共用方式為


使用私人端點的IoT Central網路安全性

使用公用 URL 存取裝置連線的標準 IoT Central 端點。 任何具有有效身分識別的裝置都可以從任何位置連線到 IoT Central 應用程式。

使用私人端點來限制和保護IoT Central應用程式的裝置連線能力,並且只允許透過您的專用虛擬網路進行存取。

私人端點會使用虛擬網路位址空間的私人 IP 位址,將裝置私下連線至 IoT Central 應用程式。 虛擬網路上的裝置和 IoT 平台之間的網路流量,會流經虛擬網路和 Microsoft 骨幹網路上的私人連結,以排除公開至網際網路的風險。

若要深入瞭解 Azure 虛擬網絡,請參閱:

IoT Central 應用程式中的私人端點可讓您:

  • 設定防火牆來封鎖公用端點上的所有裝置連線,以保護您的叢集。
  • 藉由讓您保護虛擬網路上的數據,以提高虛擬網路的安全性。
  • 使用 VPN 閘道ExpressRoute 私人對等互連,從連線到虛擬網路的內部部署網路安全地將裝置連線到 IoT Central。

在 IoT Central 中使用私人端點適用於連線到內部部署網路的裝置。 您不應該將私人端點用於部署在廣域網中的裝置,例如因特網。

什麼是私人端點?

私人端點是虛擬網路中 Azure 服務的特殊網路介面,其會從虛擬網路的 IP 位址範圍指派 IP 位址。 私人端點可在虛擬網路上的裝置與其連線的IoT平臺之間提供安全的連線。 私人端點與 Azure IoT 平台之間的聯機會使用安全的私人連結:

顯示私人端點使用狀況的圖表。

線上至虛擬網路的裝置可以透過私人端點順暢地連線到叢集。 授權機制與您用來連線至公用端點的授權機制相同。 不過,您必須更新 DPS 連線 URL,因為當應用程式停用公用網路存取時,全域布建主機 global.azure-devices-provisioning.net URL 不會解析。

當您在虛擬網路中建立叢集的私人端點時,會傳送同意要求以供訂用帳戶擁有者核准。 如果要求建立私人端點的使用者也是訂用帳戶的擁有者,則會自動核准要求。 訂用帳戶擁有者可以在 Azure 入口網站 的 [私人端點] 下管理叢集的同意要求和私人端點

每個 IoT Central 應用程式都可以支援多個私人端點,每個端點都可以位於不同區域的虛擬網路中。 如果您打算使用多個私人端點,請特別小心設定 DNS 並規劃虛擬網路子網的大小。

規劃虛擬網路中的子網大小

建立子網之後,就無法改變虛擬網路中的子網大小。 因此,請務必規劃子網的大小,並允許未來成長。

IoT Central 會在私人端點部署中建立多個客戶可見的 FQDN。 除了適用於IoT Central的 FQDN 之外,還有適用於基礎 IoT 中樞、事件中樞和裝置布建服務資源的 FQDN。

顯示客戶可見 FQDN 之 Azure 入口網站 的螢幕快照。

IoT Central 私人端點會使用來自虛擬網路和子網的多個IP位址。 此外,根據應用程式的負載配置檔,IoT Central 會自動調整其基礎 IoT 中樞,因此私人端點所使用的IP位址數目可能會增加。 當您決定子網的大小時,請規劃此可能增加。

使用下列資訊來協助判斷子網中所需的IP位址總數:

使用 每個私人端點的IP位址數目
IoT Central URL 1
基礎 IoT 中樞 2-50
對應至IoT中樞的事件中樞 2-50
裝置佈建服務 1
Azure 保留位址 5
總數 11-107

若要深入瞭解,請參閱 Azure azure 虛擬網絡 常見問題

注意

子網的大小下限是 /28 (14 個可用IP位址)。 建議搭配IoT Central私人端點 /24 使用,以協助極端工作負載。

下一步

既然您已瞭解如何使用私人端點將裝置連線到您的應用程式,以下是建議的下一個步驟: