Freigeben über


Konfigurieren von privaten Endpunkten für Device Update for IoT Hub-Konten

Sie können private Endpunkte verwenden, um den Datenverkehr direkt aus Ihrem virtuellen Netzwerk zu Ihrem Konto sicher über eine private Verbindung zu ermöglichen, ohne das öffentliche Internet durchlaufen zu müssen. Der private Endpunkt verwendet eine IP-Adresse aus dem VNet-Adressraum für Ihr Konto. Weitere konzeptionelle Informationen finden Sie unter Netzwerksicherheit.

In diesem Artikel wird beschrieben, wie private Endpunkte für Konten konfiguriert werden.

Sie können zum Erstellen eines privaten Endpunkts für ein Konto entweder das Azure-Portal oder die Azure-Befehlszeilenschnittstelle (Azure CLI) verwenden.

Voraussetzungen

Keine Voraussetzungen für das Azure-Portal.

Konfigurieren von privaten Endpunkten aus dem Device Update-Konto

Im Azure-Portal können Sie einen neuen privaten Endpunkt aus dem Device Update-Konto erstellen. Diese privaten Endpunktverbindungen werden automatisch genehmigt und erfordern nicht die im Rest dieses Artikels beschriebenen zusätzlichen Schritte, mit denen sie überprüft und genehmigt werden.

  1. Melden Sie sich am Azure-Portal an, und navigieren Sie zu Ihrem Konto oder Ihrer Domäne.

  2. Wechseln Sie zur Registerkarte Netzwerk Ihrer Kontoseite. Wenn Sie den Zugriff nur auf den privaten Endpunkt einschränken möchten, deaktivieren Sie die Option Öffentlicher Netzwerkzugriff.

  3. Wechseln Sie zur Registerkarte Privater Zugriff, und wählen Sie auf der Symbolleiste die Option + Hinzufügen aus.

    Screenshot that shows the Device Update Networking tab.

  4. Geben Sie auf der Seite Grundlagen die folgenden Informationen für Ihren privaten Endpunkt an:

    • Abonnement: Das Azure-Abonnement, in dem Sie den privaten Endpunkt erstellen möchten.

    • Ressourcengruppe: Eine bestehende oder neue Ressourcengruppe für den privaten Endpunkt.

    • Name: Ein Name für den Endpunkt. Mit diesem Wert wird der Netzwerkschnittstellenname automatisch generiert.

    • Region: Eine Azure-Region für den Endpunkt. Ihr privater Endpunkt muss sich in derselben Region wie Ihr virtuelles Netzwerk befinden, kann aber in einer anderen Region als das Device Update-Konto enthalten sein.

      Screenshot showing the Basics page of the Create a private endpoint wizard.

  5. Die Seite Ressource wird automatisch ausgefüllt.

    Screenshot showing the Resource page of the Create a private endpoint wizard.

  6. Wählen Sie auf der Seite Virtuelles Netzwerk das Subnetz und virtuelle Netzwerk aus, in dem Sie den privaten Endpunkt bereitstellen möchten.

    • Virtuelles Netzwerk: In der Dropdownliste werden nur virtuelle Netzwerke im zurzeit ausgewählten Abonnement und am zurzeit ausgewählten Standort aufgeführt.

    • Subnetz: Wählen Sie im ausgewählten virtuellen Netzwerk ein Subnetz aus.

      Screenshot showing the Virtual Network page of the Creating a private endpoint wizard.

  7. Verwenden Sie auf der Seite DNS die bereits ausgefüllten Werte, sofern Sie nicht Ihr eigenes benutzerdefiniertes DNS verwenden.

    Screenshot showing the DNS page of the Creating a private endpoint wizard.

  8. Erstellen Sie auf der Seite Tags beliebige Tags (Namen und Werte), die Sie der privaten Endpunktressource zuordnen möchten.

  9. Überprüfen Sie auf der Seite Überprüfen und erstellen alle Einstellungen, und wählen Sie Erstellen aus, um den privaten Endpunkt zu erstellen.

Wenn Sie keinen Zugriff auf das Device Update-Konto haben, können Sie private Endpunkte aus dem Private Link Center erstellen. Wenn der Benutzer, der die Verbindung erstellt, nicht die Befugnis hat, sie auch zu genehmigen, wird die Verbindung im Status „Ausstehend“ erstellt.

Sie können private Endpunkt entweder über das Azure-Portal oder die Azure CLI erstellen.

  1. Navigieren Sie im Azure-Portal zu Private Link Center>Private Endpunkte, und wählen Sie + Erstellen aus.

    Screenshot showing the Private Endpoints tab in Private Link Center.

  2. Geben Sie auf der Seite Grundlagen die folgenden Informationen für Ihren privaten Endpunkt an:

    • Abonnement: Das Azure-Abonnement, in dem Sie den privaten Endpunkt erstellen möchten.
    • Ressourcengruppe: Eine bestehende oder neue Ressourcengruppe für den privaten Endpunkt.
    • Name: Ein Name für den Endpunkt. Mit diesem Wert wird der Netzwerkschnittstellenname automatisch generiert.
    • Region: Eine Azure-Region für den Endpunkt. Ihr privater Endpunkt muss sich in derselben Region wie Ihr virtuelles Netzwerk befinden, kann aber in einer anderen Region als das Device Update-Konto enthalten sein.
  3. Füllen Sie auf der Registerkarte Ressource alle erforderlichen Felder aus.

    • Verbindungsmethode: Wählen Sie Verbindung mit einer Azure-Ressource mithilfe einer Ressourcen-ID oder eines Alias herstellen aus.
    • Ressourcen-ID oder Alias: Geben Sie die Ressourcen-ID des Device Update-Kontos ein. Sie können die Ressourcen-ID eines Device Update-Kontos über das Azure-Portal abrufen, indem Sie auf der Seite Übersicht die Option JSON-Ansicht auswählen. Sie können sie auch mithilfe des Befehls az iot du account show abrufen und den ID-Wert abfragen: az iot du account show -n <account_name> --query id.
    • Untergeordnete Zielressource: Der Wert muss DeviceUpdate lauten.

    Screenshot showing the Resource page of the Create a private endpoint tab in Private Link Center.

  4. Wählen Sie auf der Seite Virtuelles Netzwerk das Subnetz und virtuelle Netzwerk aus, in dem Sie den privaten Endpunkt bereitstellen möchten.

    • Virtuelles Netzwerk: In der Dropdownliste werden nur virtuelle Netzwerke im zurzeit ausgewählten Abonnement und am zurzeit ausgewählten Standort aufgeführt.
    • Subnetz: Wählen Sie im ausgewählten virtuellen Netzwerk ein Subnetz aus.
  5. Verwenden Sie auf der Seite DNS die bereits ausgefüllten Werte, sofern Sie nicht Ihr eigenes benutzerdefiniertes DNS verwenden.

  6. Erstellen Sie auf der Seite Tags beliebige Tags (Namen und Werte), die Sie der privaten Endpunktressource zuordnen möchten.

  7. Überprüfen Sie auf der Seite Überprüfen und erstellen alle Einstellungen, und wählen Sie Erstellen aus, um den privaten Endpunkt zu erstellen.

Wenn Sie einen privaten Endpunkt erstellen, der auf die manuelle Genehmigung wartet, muss die Verbindung genehmigt werden, bevor sie verwendet werden kann. Wenn sich die Ressource, für die Sie einen privaten Endpunkt erstellen, in Ihrem Verzeichnis befindet, können Sie die Verbindungsanforderung genehmigen, sofern Sie über ausreichende Berechtigungen verfügen. Wenn Sie eine Verbindung mit einer Azure-Ressource in einem anderen Verzeichnis herstellen, müssen Sie warten, bis der Besitzer dieser Ressource Ihre Verbindungsanforderung genehmigt hat.

Es gibt vier Möglichkeiten für den Bereitstellungsstatus:

Dienstaktion Zustand des privaten Endpunkts des Dienstconsumers BESCHREIBUNG
Keine Ausstehend Die Verbindung wurde manuell erstellt, und die Genehmigung des Besitzers der Private Link-Ressource steht aus.
Genehmigen Genehmigt Die Verbindung wurde automatisch oder manuell genehmigt und ist zur Verwendung bereit.
Reject Rejected (Abgelehnt) Die Verbindung wurde vom Besitzer der Private Link-Ressource abgelehnt.
Remove (Entfernen) Getrennt Die Verbindung wurde vom Besitzer der Private Link-Ressource entfernt, der private Endpunkt wird informativ und sollte zur Bereinigung gelöscht werden.

Überprüfen einer ausstehenden Verbindung aus dem Device Update-Konto

  1. Navigieren Sie über das Azure-Portal zu dem Device Update-Konto, das Sie verwalten möchten.

  2. Wählen Sie die Registerkarte Netzwerk aus.

  3. Sollten ausstehende Verbindungen vorhanden sein, wird in der Liste eine Verbindung mit dem Bereitstellungsstatus Ausstehend angezeigt.

    Screenshot showing a Pending Connection in the Networking tab in Device Update account.

  4. Aktivieren Sie das Kontrollkästchen, um die ausstehende Verbindung auszuwählen, und wählen Sie dann entweder Genehmigen oder Ablehnen aus.

  1. Navigieren Sie im Azure-Portal zu Private Link Center>Ausstehende Verbindungen.

  2. Aktivieren Sie das Kontrollkästchen, um die ausstehende Verbindung auszuwählen, und wählen Sie dann entweder Genehmigen oder Ablehnen aus.

    Screenshot showing the Pending Connections tab in Private Link Center.

Nächste Schritte

Informieren Sie sich über Netzwerksicherheitskonzepte.