閱讀英文版本

分享方式:

管理 IoT 中樞的公用網路存取

  • 文章
  • 01/06/2023

重要

停用公用網路存取可防止您使用 IoT 中樞裝置更新。

若要限制僅存取您 VNet 中的 IoT 中樞的私人端點,請停用公用網路存取。 若要這樣做,請使用 Azure 入口網站或 publicNetworkAccess API。 您也可以使用入口網站或 publicNetworkAccess API 來允許公用存取。

使用 Azure 入口網站關閉公用網路存取

  1. 移至 Azure 入口網站
  2. 瀏覽至您的 IoT 中樞。 移至 [資源群組],選擇適當的群組,然後選取您的 IoT 中樞。
  3. 從左側功能表中選取網路
  4. 在 [允許公用網路存取] 下,選取 [已停用]
  5. 選取 [儲存]。

Screenshot showing Azure portal where to turn off public network access.

若要開啟公用網路存取,請選取 [所有網路],然後選取 [儲存]

停用公用網路存取之後存取 IoT 中樞

在公用網路存取停用後,IoT 中樞只能透過其使用 Azure 私人連結的 VNet 私人端點來存取。 這種限制包括透過 Azure 入口網站存取,因為會直接在您的瀏覽器中使用您的認證來進行對 IoT 中樞服務的 API 呼叫。

停用公用網路存取之後的 IoT 中樞端點、IP 位址和連接埠

IoT 中樞是多租用戶的平台即服務 (PaaS),因此不同的客戶會共用相同的計算、網路和儲存體硬體資源集區。 IoT 中樞的主機名稱會使用可透過網際網路公開路由所傳送 IP 位址來對應至公用端點。 不同客戶會共用此 IoT 中樞公用端點,且廣域網路和內部部署網路中的 IoT 裝置全部都可進行存取。

停用公用網路存取會在特定的 IoT 中樞資源上強制執行,以確保隔離。 若要使用公用路徑讓其他客戶資源的服務保持作用中,其公用端點會保持可解析、IP 位址保持可探索,以及連接埠保持開啟狀態。 這並不是需要考量的原因,因為 Microsoft 會整合多層安全性,以確保租用戶之間完全隔離。 如要深入了解,請參閱 Azure 公用雲端中的隔離

IP 篩選器

如果公用網路存取已停用,則會忽略所有 IP 篩選規則。 這是因為公用網際網路的所有 IP 都會遭到封鎖。 若要使用 IP 篩選器,請使用 [選取的 IP 範圍] 選項。

使用內建事件中樞相容端點修正錯誤

IoT 中樞發生錯誤,當 IoT 中樞的公用網路存取停用時,內建事件中樞相容端點可繼續透過公用網際網路存取。 若要深入了解並針對此錯誤與我們連絡,請參閱停用 IoT 中樞的公用網路存取會停用對內建事件中樞端點的存取

使用 Azure 入口網站開啟網路存取

  1. 移至 Azure 入口網站
  2. 瀏覽至您的 IoT 中樞。 移至資源群組,選擇適當的群組,然後選取您的中樞。
  3. 從左側功能表中選取網路
  4. 在 [允許公用網路存取] 下,選取 [選取的 IP 範圍]
  5. 在開啟的 IP 篩選條件對話方塊中,選取新增您的用戶端 IP 位址,然後輸入名稱和位址範圍。
  6. 選取 [儲存]。 如果此按鈕呈現灰色,請確定用戶端 IP 位址已新增為 IP 篩選條件。

Screenshot showing the Azure portal where to turn on public network access.

開啟所有網路範圍

  1. 瀏覽至您的 IoT 中樞。 移至資源群組,選擇適當的群組,然後選取您的中樞。
  2. 從左側功能表中選取網路
  3. 在 [允許公用網路存取] 下,選取 [所有網路]
  4. 選取 [儲存]。

使用 Cloud Shell 檢查 IoT 中樞存取

您可以使用 Azure Cloud Shell 來檢查 IoT 中樞存取權。 請確定您已開啟所有網路範圍,然後發出下列命令。 以您的訂用帳戶名稱取代 "SubscriptionName",並將 "MyIoTHub" 取代為您的中樞名稱。

  az account set -s "SubscriptionName"
  az iot hub device-identity list --hub-name "MyIoTHub"

  Set-AzContext -Name "SubscriptionName"
  Get-AzIoTHubDevice -IotHubName "MyIoTHub"

疑難排解

如果無法存取 IoT 中樞,表示網路設定可能有問題。 例如,如果您嘗試存取 IoT 裝置頁面時看到下列錯誤訊息,請到 [網路] 頁面檢查公用網路存取是否停用或限於選取的 IP 範圍。

  Unable to retrieve devices. Please ensure that your network connection is online and network settings allow connections from your IP address.

嘗試使用其他工具 (例如 Azure CLI) 來存取 IoT 中樞時,如果要求未正確路由傳送至 IoT 中樞,則錯誤訊息可能包含 {"errorCode": 401002, "message": "Unauthorized"}

若要存取 IoT 中樞,請向 IT 管理員要求權限在 IP 位址範圍中新增 IP 位址,或允許所有網路從公用網路存取。 如果這樣無法解決問題,請檢查區域網路設定,或連絡您的區域網路管理員來修正對 IoT 中樞的連線能力。 例如,區域網路中的 Proxy 有時會妨礙對 IoT 中樞的存取。

如果上述命令無法運作,或您無法開啟所有網路範圍,請連絡 Microsoft 支援服務。

更多資源