návrhy řešení
Tento článek popisuje myšlenku řešení. Váš cloudový architekt může pomocí těchto pokynů vizualizovat hlavní komponenty pro typickou implementaci této architektury. Tento článek slouží jako výchozí bod k návrhu dobře navrženého řešení, které odpovídá konkrétním požadavkům vaší úlohy.
Tento článek popisuje, jak použít privátní síť k nahrání souborů do účtu služby Azure Storage.
U typických nasazení Azure IoT musí klientská zařízení IoT komunikovat přímo s účtem úložiště, aby nahrála soubory. Klientská zařízení IoT se obvykle distribuují v různorodých umístěních a nejsou součástí privátní sítě, takže se připojují přes veřejný internet. Tato zařízení nemůžete integrovat do privátní sítě, takže účet úložiště vyžaduje, abyste povolili příchozí internetový provoz.
Pokud ale máte přísnější požadavky na segmentaci sítě, můžete omezit přístup k účtu úložiště z privátní sítě. Toto řešení blokuje přímé internetové přenosy do účtu úložiště, aby účet úložiště přijímal pouze provoz procházející příchozí Aplikace Azure lication Gateway instance. Pokud implementujete hvězdicovou síťovou topologii, azure Firewall obvykle musí kontrolovat provoz, který poskytuje další vrstvu zabezpečení.
Architektura
Stáhněte si soubor aplikace Visio s touto architekturou.
Workflow
Následující pracovní postup odpovídá předchozímu diagramu.
Hvězdicová síťová topologie má hvězdicovou virtuální síť, která je v partnerském vztahu k jednotlivým virtuálním sítím prostředků, označovaná také jako paprsková. Veškerý provoz prochází službou Azure Firewall kvůli kontrole provozu.
Účet Služby Azure Blob Storage odepře veřejný přístup k internetu. Povoluje pouze připojení z jiných virtuálních sítí. Pravidlo instance prostředku umožňuje zvolené službě Azure IoT Hub připojit se přes spravovanou identitu. Účet Blob Storage podporuje pouze řízení přístupu na základě role v Azure (RBAC) pro přístup k rovině dat.
Aplikační brána má vlastní dns (Domain Name System) a ukončuje provoz TLS (Transport Layer Security). Nachází se ve virtuální síti. Tento partnerský vztah virtuální sítě s virtuální sítí, kterou používá privátní propojení účtu služby Blob Storage. Vynucené tunelové propojení přes virtuální síť rozbočovače vytvoří připojení.
Klientské zařízení IoT, které používá sadu IoT Hub SDK, vyžaduje identifikátor URI sdíleného přístupového podpisu (SAS) pro nahrání souborů do Služby IoT Hub. Klientské zařízení IoT odešle požadavek prostřednictvím veřejného internetu.
IoT Hub zpracovává tento požadavek na zařízení. Připojuje se přímo k účtu Blob Storage prostřednictvím ověřování spravované identity, které má oprávnění Přispěvatel dat objektů blob služby Storage pro žádosti o klíč delegování uživatele.
IoT Hub požádá o klíč delegování uživatele na účet služby Blob Storage. Krátkodobý token SAS uděluje oprávnění pro čtení a zápis zařízení k požadovanému objektu blob v kontejneru objektů blob.
IoT Hub odešle identifikátor URI veřejného účtu služby Blob Storage a token SAS do klientského zařízení IoT spolu s ID korelace.
Klientské zařízení IoT má logiku nahrazení veřejného identifikátoru URI služby Blob Storage vlastní doménou, například dvojčete zařízení. Zařízení IoT k nahrání souboru prostřednictvím vlastního DNS služby Blob Storage používá standardní sadu SDK služby Blob Storage.
Application Gateway přijme z klientského zařízení HTTP POST a odešle ho do účtu Blob Storage přes Azure Private Link.
Po dokončení nahrávání souboru klientské zařízení IoT pomocí sady Azure IoT SDK upozorní službu IoT Hub.
Klientské zařízení IoT aktualizuje stav nahrávání souborů, aby služba IoT Hub v případě konfigurace oznámení o nahrání souboru do back-endových služeb aktivovala. Klientské zařízení také uvolní prostředky, které jsou přidružené k nahrání souboru ve službě IoT Hub.
Komponenty
Application Gateway je řešení spravované platformou jako službou (PaaS), které můžete použít k vytváření vysoce zabezpečených, škálovatelných a vysoce dostupných front-endů. V této architektuře služba Application Gateway zpracovává příchozí internetový provoz HTTPS, používá ukončení protokolu TLS, vyjednává protokol TLS s účtem Blob Storage a předává provoz přes privátní síť do účtu Blob Storage.
Azure Firewall poskytuje ochranu vašich prostředků služby Azure Virtual Network. V této architektuře Azure Firewall filtruje a směruje provoz mezi hraniční sítí a paprskovými sítěmi.
IoT Hub je řešení spravované paaS, které funguje jako centrální centrum zpráv pro obousměrnou komunikaci mezi aplikací IoT a zařízeními, která spravuje. V této architektuře je IoT Hub centrálním koncovým bodem, ke kterému se klientská zařízení IoT připojují pro řízení a operace roviny dat.
Private Link poskytuje privátní přístup ke službám hostovaným na platformě Azure a přitom udržuje vaše data v síti Microsoftu. V této architektuře služba Private Link poskytuje privátní komunikaci mezi službou Application Gateway a účtem Blob Storage.
Úložiště nabízí odolné, vysoce dostupné a široce škálovatelné cloudové úložiště. Zahrnuje možnosti úložiště objektů, souborů, disků, front a tabulek. V této architektuře zařízení používají službu Blob Storage k nahrání souborů do cloudu prostřednictvím krátkodobých tokenů SAS, které IoT Hub poskytuje prostřednictvím delegování uživatele.
Privátní DNS zóny poskytují spolehlivou službu DNS s rozšířeným zabezpečením pro správu a překlad názvů domén ve virtuální síti bez nutnosti vlastního řešení DNS. V této architektuře privátní zóna DNS poskytuje privátní položku DNS pro službu Blob Storage, aby koncový bod objektu blob služby Storage přeložil do svého privátního koncového bodu IP v síti.
Virtuální síť je základním stavebním blokem vaší privátní sítě v Azure. Tato služba umožňuje mnoha typům prostředků Azure, jako jsou virtuální počítače Azure, vzájemně komunikovat, internet a místní sítě s vylepšeným zabezpečením. Tato architektura používá virtuální síť k vytvoření topologie privátní sítě, která zabraňuje internetovým veřejným koncovým bodům pro služby založené na Azure.
Podrobnosti scénáře
Pro běžná nasazení musí klientské zařízení Azure IoT komunikovat přímo s účtem úložiště, aby nahrálo soubor. Zakázání internetového provozu v účtu úložiště blokuje nahrávání souborů všem klientským zařízením IoT. Funkce nahrávání souborů Služby IoT Hub funguje jenom jako delegování uživatele pro generování tokenu SAS, který má oprávnění ke čtení a zápisu do objektu blob. Samotný nahrání souboru neprochází službou IoT Hub. Klientské zařízení IoT používá pro skutečné nahrání normální sadu SDK služby Blob Storage.
V tomto scénáři komunikace mezi IoT Hubem a účtem úložiště stále prochází veřejným koncovým bodem. Tato výjimka je možná prostřednictvím síťových konfigurací úložiště pro instance prostředků. Můžete zakázat veřejný přístup k internetu k účtu úložiště a povolit službám Azure a konkrétním instancím prostředků připojení prostřednictvím páteřní sítě Azure. Tato hraniční síť je spárovaná s hraniční sítí založenou na ID Microsoftu, která používá Azure RBAC k omezení přístupu k rovině dat.
Tato architektura přiřadí spravovanou identitu ke službě IoT Hub. Spravovaná identita má přiřazenou roli Přispěvatel dat objektů blob služby Storage k zadanému účtu úložiště. S tímto oprávněním může IoT Hub požádat klíč delegování uživatele k vytvoření tokenu SAS. Klientské zařízení IoT obdrží token SAS pro proces nahrání souboru.
Application Gateway funguje jako vstupní bod pro požadavky, které přejdou na privátní koncový bod účtu úložiště, který je nakonfigurovaný jako jediný back-end. Application Gateway používá veřejnou IP adresu. Vlastního poskytovatele DNS je možné nakonfigurovat tak, aby mapoval veřejnou IP adresu na záznam A nebo záznam CNAME .
Pokud máte interní požadavky na zabezpečení pro použití privátních koncových bodů pro mnoho služeb Azure PaaS, můžete tento scénář implementovat, abyste zajistili kratší cykly ověřování pro nasazení řešení IoT v produkčním prostředí.
Potenciální případy použití
Tato architektura se může vztahovat na jakýkoli scénář, který používá zařízení, která potřebují komunikovat s účtem úložiště, který není veřejně vystavený.
Dodavatel průmyslové automatizace například poskytuje spravované připojené hraniční kontrolery a senzory. Tyto senzory musí komunikovat s cloudem Azure prostřednictvím veřejného internetu, ale bezpečnostní tým dodavatele vyžaduje, aby byl účet úložiště odepřený veřejný přístup k internetu. Tato architektura splňuje tento požadavek.
Alternativy
Pokud nevyžadujete hvězdicovou síťovou topologii, která má kontrolu provozu služby Azure Firewall, můžete implementovat zjednodušenou topologii sítě, která z tohoto přístupu bude těžit. Můžete použít jednu virtuální síť, která má různé podsítě, aby vyhovovala službě Application Gateway, Private Link a privátní zóně DNS. Účet úložiště a IoT Hub můžou používat stejné konfigurace jako původní architektura.
Mezi výhody zjednodušené architektury patří nižší složitost a náklady. Pokud nemáte specifické obchodní nebo podnikové požadavky pro hvězdicovou topologii, použijte zjednodušenou architekturu k odstranění veřejných internetových koncových bodů z účtu úložiště. Tento přístup také pomáhá zajistit, aby správně fungovaly aplikace IoT, které používají funkci nahrávání souborů ioT Hubu.
Ukázku, která nasadí podobnou architekturu, najdete v tématu Nastavení nahrání souboru IoT Hubu do úložiště prostřednictvím privátního koncového bodu. Tato ukázka nasadí simulované klientské zařízení IoT a pomocí dvojčat zařízení nahradí vlastní název domény pro účet úložiště.
Přispěvatelé
Tento článek spravuje Microsoft. Původně byla napsána následujícími přispěvateli.
Hlavní autoři:
- Katrien De Graeve | Softwarový inženýr
- Vincent Misson | Architekt cloudového řešení
Další přispěvatel:
- Nacim Allouache | Architekt cloudového řešení
Pokud chcete zobrazit neveřejné profily LinkedIn, přihlaste se na LinkedIn.
Další krok
Naučte se nahrávat soubory pomocí IoT Hubu.