Konfigurieren von privaten Endpunkten für Device Update for IoT Hub-Konten
Sie können private Endpunkte verwenden, um den Datenverkehr direkt aus Ihrem virtuellen Netzwerk zu Ihrem Konto sicher über eine private Verbindung zu ermöglichen, ohne das öffentliche Internet durchlaufen zu müssen. Der private Endpunkt verwendet eine IP-Adresse aus dem VNet-Adressraum für Ihr Konto. Weitere konzeptionelle Informationen finden Sie unter Netzwerksicherheit.
In diesem Artikel wird beschrieben, wie private Endpunkte für Konten konfiguriert werden.
Sie können zum Erstellen eines privaten Endpunkts für ein Konto entweder das Azure-Portal oder die Azure-Befehlszeilenschnittstelle (Azure CLI) verwenden.
Voraussetzungen
Keine Voraussetzungen für das Azure-Portal.
Konfigurieren von privaten Endpunkten aus dem Device Update-Konto
Im Azure-Portal können Sie einen neuen privaten Endpunkt aus dem Device Update-Konto erstellen. Diese privaten Endpunktverbindungen werden automatisch genehmigt und erfordern nicht die im Rest dieses Artikels beschriebenen zusätzlichen Schritte, mit denen sie überprüft und genehmigt werden.
Melden Sie sich am Azure-Portal an, und navigieren Sie zu Ihrem Konto oder Ihrer Domäne.
Wechseln Sie zur Registerkarte Netzwerk Ihrer Kontoseite. Wenn Sie den Zugriff nur auf den privaten Endpunkt einschränken möchten, deaktivieren Sie die Option Öffentlicher Netzwerkzugriff.
Wechseln Sie zur Registerkarte Privater Zugriff, und wählen Sie auf der Symbolleiste die Option + Hinzufügen aus.
Geben Sie auf der Seite Grundlagen die folgenden Informationen für Ihren privaten Endpunkt an:
Abonnement: Das Azure-Abonnement, in dem Sie den privaten Endpunkt erstellen möchten.
Ressourcengruppe: Eine bestehende oder neue Ressourcengruppe für den privaten Endpunkt.
Name: Ein Name für den Endpunkt. Mit diesem Wert wird der Netzwerkschnittstellenname automatisch generiert.
Region: Eine Azure-Region für den Endpunkt. Ihr privater Endpunkt muss sich in derselben Region wie Ihr virtuelles Netzwerk befinden, kann aber in einer anderen Region als das Device Update-Konto enthalten sein.
Die Seite Ressource wird automatisch ausgefüllt.
Wählen Sie auf der Seite Virtuelles Netzwerk das Subnetz und virtuelle Netzwerk aus, in dem Sie den privaten Endpunkt bereitstellen möchten.
Virtuelles Netzwerk: In der Dropdownliste werden nur virtuelle Netzwerke im zurzeit ausgewählten Abonnement und am zurzeit ausgewählten Standort aufgeführt.
Subnetz: Wählen Sie im ausgewählten virtuellen Netzwerk ein Subnetz aus.
Verwenden Sie auf der Seite DNS die bereits ausgefüllten Werte, sofern Sie nicht Ihr eigenes benutzerdefiniertes DNS verwenden.
Erstellen Sie auf der Seite Tags beliebige Tags (Namen und Werte), die Sie der privaten Endpunktressource zuordnen möchten.
Überprüfen Sie auf der Seite Überprüfen und erstellen alle Einstellungen, und wählen Sie Erstellen aus, um den privaten Endpunkt zu erstellen.
Konfigurieren von privaten Endpunkten aus dem Private Link Center
Wenn Sie keinen Zugriff auf das Device Update-Konto haben, können Sie private Endpunkte aus dem Private Link Center erstellen. Wenn der Benutzer, der die Verbindung erstellt, nicht die Befugnis hat, sie auch zu genehmigen, wird die Verbindung im Status „Ausstehend“ erstellt.
Sie können private Endpunkt entweder über das Azure-Portal oder die Azure CLI erstellen.
Navigieren Sie im Azure-Portal zu Private Link Center>Private Endpunkte, und wählen Sie + Erstellen aus.
Geben Sie auf der Seite Grundlagen die folgenden Informationen für Ihren privaten Endpunkt an:
- Abonnement: Das Azure-Abonnement, in dem Sie den privaten Endpunkt erstellen möchten.
- Ressourcengruppe: Eine bestehende oder neue Ressourcengruppe für den privaten Endpunkt.
- Name: Ein Name für den Endpunkt. Mit diesem Wert wird der Netzwerkschnittstellenname automatisch generiert.
- Region: Eine Azure-Region für den Endpunkt. Ihr privater Endpunkt muss sich in derselben Region wie Ihr virtuelles Netzwerk befinden, kann aber in einer anderen Region als das Device Update-Konto enthalten sein.
Füllen Sie auf der Registerkarte Ressource alle erforderlichen Felder aus.
- Verbindungsmethode: Wählen Sie Verbindung mit einer Azure-Ressource mithilfe einer Ressourcen-ID oder eines Alias herstellen aus.
- Ressourcen-ID oder Alias: Geben Sie die Ressourcen-ID des Device Update-Kontos ein. Sie können die Ressourcen-ID eines Device Update-Kontos über das Azure-Portal abrufen, indem Sie auf der Seite Übersicht die Option JSON-Ansicht auswählen. Sie können sie auch mithilfe des Befehls az iot du account show abrufen und den ID-Wert abfragen:
az iot du account show -n <account_name> --query id
. - Untergeordnete Zielressource: Der Wert muss DeviceUpdate lauten.
Wählen Sie auf der Seite Virtuelles Netzwerk das Subnetz und virtuelle Netzwerk aus, in dem Sie den privaten Endpunkt bereitstellen möchten.
- Virtuelles Netzwerk: In der Dropdownliste werden nur virtuelle Netzwerke im zurzeit ausgewählten Abonnement und am zurzeit ausgewählten Standort aufgeführt.
- Subnetz: Wählen Sie im ausgewählten virtuellen Netzwerk ein Subnetz aus.
Verwenden Sie auf der Seite DNS die bereits ausgefüllten Werte, sofern Sie nicht Ihr eigenes benutzerdefiniertes DNS verwenden.
Erstellen Sie auf der Seite Tags beliebige Tags (Namen und Werte), die Sie der privaten Endpunktressource zuordnen möchten.
Überprüfen Sie auf der Seite Überprüfen und erstellen alle Einstellungen, und wählen Sie Erstellen aus, um den privaten Endpunkt zu erstellen.
Verwalten von Private Link-Verbindungen
Wenn Sie einen privaten Endpunkt erstellen, der auf die manuelle Genehmigung wartet, muss die Verbindung genehmigt werden, bevor sie verwendet werden kann. Wenn sich die Ressource, für die Sie einen privaten Endpunkt erstellen, in Ihrem Verzeichnis befindet, können Sie die Verbindungsanforderung genehmigen, sofern Sie über ausreichende Berechtigungen verfügen. Wenn Sie eine Verbindung mit einer Azure-Ressource in einem anderen Verzeichnis herstellen, müssen Sie warten, bis der Besitzer dieser Ressource Ihre Verbindungsanforderung genehmigt hat.
Es gibt vier Möglichkeiten für den Bereitstellungsstatus:
Dienstaktion | Zustand des privaten Endpunkts des Dienstconsumers | BESCHREIBUNG |
---|---|---|
Keine | Ausstehend | Die Verbindung wurde manuell erstellt, und die Genehmigung des Besitzers der Private Link-Ressource steht aus. |
Genehmigen | Genehmigt | Die Verbindung wurde automatisch oder manuell genehmigt und ist zur Verwendung bereit. |
Reject | Rejected (Abgelehnt) | Die Verbindung wurde vom Besitzer der Private Link-Ressource abgelehnt. |
Remove (Entfernen) | Getrennt | Die Verbindung wurde vom Besitzer der Private Link-Ressource entfernt, der private Endpunkt wird informativ und sollte zur Bereinigung gelöscht werden. |
Überprüfen einer ausstehenden Verbindung aus dem Device Update-Konto
Navigieren Sie über das Azure-Portal zu dem Device Update-Konto, das Sie verwalten möchten.
Wählen Sie die Registerkarte Netzwerk aus.
Sollten ausstehende Verbindungen vorhanden sein, wird in der Liste eine Verbindung mit dem Bereitstellungsstatus Ausstehend angezeigt.
Aktivieren Sie das Kontrollkästchen, um die ausstehende Verbindung auszuwählen, und wählen Sie dann entweder Genehmigen oder Ablehnen aus.
Überprüfen einer ausstehenden Verbindung aus dem Private Link Center
Navigieren Sie im Azure-Portal zu Private Link Center>Ausstehende Verbindungen.
Aktivieren Sie das Kontrollkästchen, um die ausstehende Verbindung auszuwählen, und wählen Sie dann entweder Genehmigen oder Ablehnen aus.