使用 Azure Private Link 的虛擬網路IoT 中樞支援

根據預設，IoT 中樞的主機名稱會使用可透過網際網路公開路由所傳送 IP 位址來對應至公用端點。 不同客戶會共用此 IoT 中樞公用端點，且廣域網路和內部部署網路中的 IoT 裝置全部都可進行存取。

某些IoT 中樞功能，包括訊息路由、檔案上傳和大量裝置匯入/匯出，也需要透過其公用端點從IoT 中樞連線到客戶擁有的 Azure 資源。 這些連線路徑構成從IoT 中樞到客戶資源的輸出流量。

您可能會想要限制對 Azure 資源的連線 (，包括透過您擁有並運作的 VNet IoT 中樞) ，原因包括：

• 藉由防止對公用網際網路公開連線，為 IoT 中樞引進網路隔離。

• 從內部部署網路資產啟用私人連線體驗，以確保您的資料和流量會直接傳輸至 Azure 骨幹網路。

• 防止來自敏感性內部部署網路的外洩攻擊。

• 遵循使用私人端點建立的全 Azure 連線模式。

本文描述如何使用 Azure Private Link 輸入連線到 IoT 中樞，並使用信任的 Microsoft 服務例外從 IoT 中樞輸出連線到其他 Azure 資源來達成這些目標。

使用 Azure Private Link 輸入連線到 IoT 中樞

私人端點是在客戶擁有的 VNet 內配置的私人 IP 位址，可透過該 VNet 連線到 Azure 資源。 透過Azure Private Link，您可以為 IoT 中樞設定私人端點，以允許 VNet 內的服務觸達IoT 中樞，而不需要將流量傳送至IoT 中樞公用端點。 同樣地，您的內部部署裝置可以使用 虛擬私人網路 (VPN) 或 ExpressRoute 對等互連，透過其私人端點) 取得 VNet 和 IoT 中樞連線 (。 因此，您可使用 IoT 中樞 IP 篩選器或公用網路存取切換，限制或完全封鎖 IoT 中樞公用端點的連線。 此方法會使用裝置的私人端點來持續連線到您的中樞。 此設定主要是針對內部部署網路內的裝置。 若是部署在廣域網路中的裝置，則不建議此設定。

請確定符合下列先決條件，再繼續進行：

• 您已建立 Azure VNet，包含將在其中建立私人端點的子網路。

• 針對在內部部署網路中運作的裝置，請在 Azure VNet 中設定虛擬私人網路 (VPN) 或 ExpressRoute 私人對等互連。

設定用於 IoT 中樞輸入的私人端點

私人端點適用于IoT 中樞裝置 API (，例如裝置到雲端訊息) 和服務 API (，例如建立和更新裝置) 。

1. 在 Azure 入口網站中，瀏覽至您的 IoT 中樞。

2. 選取[> 網路私人存取]，然後選取 [建立私人端點]。

   

3. 提供訂用帳戶、資源組名和區域，以建立新的私人端點。 在理想情況下，應該在與中樞相同的區域中建立私人端點。

4. 選取[下一步：資源]，並提供您IoT 中樞資源的訂用帳戶，然後選取[Microsoft.Devices/IotHubs]作為資源類型、IoT 中樞名稱作為資源，並將iotHub作為目標子資源。

5. 選取 [下一步：設定 ]，並提供您的虛擬網路和子網，以在 中建立私人端點。 如有需要，請選取與 Azure 私人 DNS 區域整合的選項。

6. 選取 [下一步：標籤]，並選擇性地為您的資源提供任何標籤。

7. 選取 [檢閱 + 建立 ] 以建立您的私人連結資源。

內建事件中樞相容端點

您也可以透過私人 端點存取內建事件中樞相容端點 。 設定私人連結時，您應該會看到內建端點的另一個私人端點連線。 這是 FQDN 中含有 servicebus.windows.net 的連線。

IoT 中樞的 IP 篩選器可以選擇性地控制對內建端點進行公用存取。

若要完全封鎖 IoT 中樞的公用網路存取，請關閉公用網路存取，或使用 IP 篩選器來封鎖所有 IP，然後選取將規則套用至內建端點的選項。

Private Link 的定價

如需定價詳細資料，請參閱 Azure Private Link 定價。

從 IoT 中樞輸出連線到其他 Azure 資源

IoT 中樞可連線到 Azure Blob 儲存體、事件中樞、服務匯流排資源，以透過資源的公用端點進行訊息路由、檔案上傳和大量裝置匯入/匯出。 將資源繫結至 VNet 預設會封鎖與資源的連線。 因此，此設定可防止 IoT 中樞將資料傳送至您的資源。 若要修正此問題，請透過 [信任的 Microsoft 服務] 選項，啟用從 IoT 中樞資源到儲存體帳戶、事件中樞或服務匯流排資源的連線。

若要允許其他服務將 IoT 中樞尋找為受信任的 Microsoft 服務，您的中樞必須使用受控識別。 布建受控識別之後，請將許可權授與中樞的受控識別，以存取您的自訂端點。 請遵循IoT 中樞 中的受控識別支援一文，使用 Azure 角色型存取控制布建受控識別 (RBAC) 許可權，並將自訂端點新增至 IoT 中樞。 如果您已就地設定防火牆，請務必開啟受信任的 Microsoft 第一方例外狀況，以允許 IoT 中樞存取自訂端點。

受信任的 Microsoft 服務選項的定價

信任的 Microsoft 第一方服務例外功能為免費。 但佈建的儲存體帳戶、事件中樞或服務匯流排資源則會另外收取費用。

後續步驟

使用下列連結深入瞭解IoT 中樞功能：

• 訊息路由
• 檔案上傳
• 大量裝置匯入/匯出