Netzwerksicherheit für Device Update for IoT Hub-Ressourcen
In diesem Artikel wird beschrieben, wie Sie die folgenden Netzwerksicherheitsfeatures beim Verwalten von Geräteupdates verwenden:
- Diensttags in Netzwerksicherheitsgruppen und Azure-Firewall
- Private Endpunkte in Azure Virtual Networks
Wichtig
Das Deaktivieren des öffentlichen Netzwerkzugriffs im verknüpften IoT Hub wird von Device Update nicht unterstützt.
Diensttags
Ein Diensttag steht für eine Gruppe von IP-Adresspräfixen eines bestimmten Azure-Diensts. Microsoft verwaltet die Adresspräfixe, für die das Diensttag gilt, und aktualisiert das Tag automatisch, wenn sich die Adressen ändern. Auf diese Weise wird die Komplexität häufiger Updates an Netzwerksicherheitsregeln minimiert. Weitere Informationen zu Diensttags finden Sie unter Diensttags: Übersicht.
Sie können Diensttags verwenden, um Netzwerkzugriffssteuerungen in Netzwerksicherheitsgruppen oder in der Azure Firewall zu definieren. Verwenden Sie Diensttags anstelle von spezifischen IP-Adressen, wenn Sie Sicherheitsregeln erstellen. Indem Sie den Diensttagnamen (z. B. AzureDeviceUpdate) im entsprechenden Feld für die Quelle oder das Ziel einer Regel angeben, können Sie den Datenverkehr für den entsprechenden Dienst zulassen oder verweigern.
Diensttag | Zweck | Eingehend oder ausgehend möglich? | Regional möglich? | Einsatz mit Azure Firewall möglich? |
---|---|---|---|---|
AzureDeviceUpdate | Device Update for IoT Hub | Beide | Nein | Ja |
Regionale IP-Bereiche
Da IoT Hub IP-Regeln keine Diensttags unterstützen, müssen Sie stattdessen IP-Präfixe des AzureDeviceUpdate-Diensttags verwenden. Da dieses Tag derzeit global ist, stellen wir der Einfachheit halber die folgende Tabelle bereit. Beachten Sie, dass der Standort mit dem der Geräteupdateressourcen identisch ist.
Standort | IP-Bereiche |
---|---|
Australien (Osten) | 20.211.71.192/26,20.53.47.16/28,20.70.223.192/26,104.46.179.224/28,20.92.5.128/25,20.92.5.128/26 |
USA, Osten | 20.119.27.192/26,20.119.28.128/26,20.62.132.240/28,20.62.135.128/27,20.62.135.160/28,20.59.77.64/26,20.59.81.64/26,20.66.3.208/28 |
USA (Ost) 2 | 20.119.155.192/26,20.62.59.16/28,20.98.195.192/26,20.40.229.32/28,20.98.148.192/26,20.98.148.64/26 |
USA, Osten 2 (EUAP) | 20.47.236.192/26,20.47.237.128/26,20.51.20.64/28,20.228.1.0/26,20.45.241.192/26,20.46.11.192/28 |
Nordeuropa | 20.223.64.64/26,52.146.136.16/28,52.146.141.64/26,20.105.211.0/26,20.105.211.192/26,20.61.102.96/28,20.86.93.128/26 |
USA Süd Mitte | 20.65.133.64/28,20.97.35.64/26,20.97.39.192/26,20.125.162.0/26,20.49.119.192/28,20.51.7.64/26 |
Asien, Südosten | 20.195.65.112/28,20.195.87.128/26,20.212.79.64/26,20.195.72.112/28,20.205.49.128/26,20.205.67.192/26 |
Schweden, Mitte | 20.91.144.0/26,51.12.46.112/28,51.12.74.192/26,20.91.11.64/26,20.91.9.192/26,51.12.198.96/28 |
UK, Süden | 20.117.192.0/26,20.117.193.64/26,51.143.212.48/28,20.58.67.0/28,20.90.38.128/26,20.90.38.64/26 |
Europa, Westen | 20.105.211.0/26,20.105.211.192/26,20.61.102.96/28,20.86.93.128/26,20.223.64.64/26,52.146.136.16/28,52.146.141.64/26 |
USA, Westen 2 | 20.125.0.128/26,20.125.4.0/25,20.51.12.64/26,20.83.222.128/26,20.69.0.112/28,20.69.4.128/26,20.69.4.64/26,20.69.8.192/26 |
USA, Westen 3 | 20.118.138.192/26,20.118.141.64/26,20.150.244.16/28,20.119.27.192/26,20.119.28.128/26,20.62.132.240/28,20.62.135.128/27,20.62.135.160/28 |
Hinweis
Es ist unwahrscheinlich, dass sich die obigen IP-Präfixe ändern, aber Sie sollten die Liste einmal im Monat überprüfen.
Private Endpunkte
Sie können private Endpunkte verwenden, um eine sichere Datenübertragung direkt aus Ihrem virtuellen Netzwerk zu Ihren Device Update-Konten über eine private Verbindung zu ermöglichen, ohne dass der Datenverkehr das öffentliche Internet durchlaufen muss. Ein privater Endpunkt ist eine spezielle Netzwerkschnittstelle für einen Azure-Dienst in Ihrem VNET. Wenn Sie einen privaten Endpunkt für Ihr Device Update-Konto erstellen, stellt dieser eine sichere Verbindung zwischen Clients in Ihrem VNet und Ihrem Device Update-Konto bereit. Dem privaten Endpunkt wird eine IP-Adresse aus dem IP-Adressbereich Ihres VNET zugewiesen. Für die Verbindung zwischen dem privaten Endpunkt und den Device Update-Diensten wird eine sichere private Verbindung verwendet.
Die Verwendung von privaten Endpunkten für Ihre Device Update-Ressource ermöglicht Folgendes:
- Sicherer Zugriff auf Ihr Device Update-Konto aus einem VNet über das Microsoft-Backbonenetzwerk im Gegensatz zum öffentlichen Internet.
- Sicheres Verbinden aus lokalen Netzwerken, die eine Verbindung mit dem VNET über VPN oder ExpressRoute mit privatem Peering herstellen.
Wenn Sie einen privaten Endpunkt für ein Device Update-Konto in Ihrem VNet erstellen, wird an den Ressourcenbesitzer eine Einwilligungsanforderung zur Genehmigung gesendet. Wenn der Benutzer, der die Erstellung des privaten Endpunkts anfordert, auch ein Besitzer des Kontos ist, wird diese Einwilligungsanforderung automatisch genehmigt. Andernfalls befindet sich die Verbindung im Status Ausstehend, bis sie genehmigt wurde. Anwendungen im VNet können über den privaten Endpunkt eine nahtlose Verbindung mit dem Device Update-Dienst herstellen. Dabei verwenden die Anwendungen denselben Hostnamen und dieselben Autorisierungsmechanismen wie sonst auch. Kontobesitzer können Einwilligungsanforderungen und die privaten Endpunkte im Azure-Portal über die Registerkarte Private Endpunkte für die Ressource verwalten.
Herstellen einer Verbindung mit privaten Endpunkten
Clients in einem VNet, die den privaten Endpunkt nutzen, müssen denselben Hostnamen und dieselben Autorisierungsmechanismen für das Konto verwenden wie Clients, die eine Verbindung mit dem öffentlichen Endpunkt herstellen. Die DNS-Auflösung leitet Verbindungen aus dem VNet automatisch über eine private Verbindung an das Konto weiter. Device Update erstellt standardmäßig eine private DNS-Zone, die mit dem erforderlichen Update für die privaten Endpunkte an das VNet angefügt wird. Wenn Sie jedoch einen eigenen DNS-Server verwenden, müssen Sie möglicherweise zusätzliche Änderungen an Ihrer DNS-Konfiguration vornehmen.
DNS-Änderungen für private Endpunkte
Wenn Sie einen privaten Endpunkt erstellen, wird der DNS-CNAME-Eintrag für die Ressource auf einen Alias in einer Unterdomäne mit dem Präfix privatelink
aktualisiert. Standardmäßig wird eine private DNS-Zone erstellt, die der Unterdomäne des privaten Links entspricht.
Wenn Sie die Endpunkt-URL des Kontos außerhalb des VNet mit dem privaten Endpunkt auflösen, erfolgt die Auflösung in den öffentlichen Endpunkt des Diensts. Die DNS-Ressourceneinträge für das Konto „Contoso“ lauten nach dem Auflösen außerhalb des VNet, das den privaten Endpunkt hostet, wie folgt:
Name | type | Wert |
---|---|---|
contoso.api.adu.microsoft.com |
CNAME | contoso.api.privatelink.adu.microsoft.com |
contoso.api.privatelink.adu.microsoft.com |
CNAME | <Azure Traffic Manager-Profil> |
Bei Auflösung aus dem VNet, das den privaten Endpunkt hostet, wird die Kontoendpunkt-URL in die IP-Adresse des privaten Endpunkts aufgelöst. Die DNS-Ressourceneinträge für das Thema „Contoso“ lauten nach dem Auflösen innerhalb des VNet, das den privaten Endpunkt hostet, wie folgt:
Name | type | Wert |
---|---|---|
contoso.api.adu.microsoft.com |
CNAME | contoso.api.privatelink.adu.microsoft.com |
contoso.api.privatelink.adu.microsoft.com |
CNAME | 10.0.0.5 |
Diese Vorgehensweise ermöglicht sowohl Clients in dem VNet, das die privaten Endpunkte hostet, als auch Clients außerhalb des VNet Zugriff auf das Konto.
Wenn Sie einen benutzerdefinierten DNS-Server in Ihrem Netzwerk verwenden, können Clients den FQDN für den Endpunkt des Device Update-Kontos in die IP-Adresse des privaten Endpunkts auflösen. Konfigurieren Sie den DNS-Server so, dass die Unterdomäne der privaten Verbindung an die private DNS-Zone für das VNET delegiert wird, oder konfigurieren Sie die A-Einträge für accountName.api.privatelink.adu.microsoft.com
mit der IP-Adresse des privaten Endpunkts.
Der empfohlene Name der DNS-Zone ist privatelink.adu.microsoft.com
.
Private Endpunkte und Verwaltung von Geräteupdates
Hinweis
Dieser Abschnitt gilt nur für Device Update-Konten, für die der öffentliche Netzwerkzugriff deaktiviert wurde und manuell private Endpunktverbindungen genehmigt wurden.
Die folgende Tabelle beschreibt die verschiedenen Status der privaten Endpunktverbindung und ihre Auswirkungen auf die Verwaltung von Geräteupdates (Importieren, Gruppieren und Bereitstellen):
Verbindungsstatus | Erfolgreiches Verwalten von Geräteupdates (Ja/Nein) |
---|---|
Genehmigt | Ja |
Rejected (Abgelehnt) | Nein |
Ausstehend | Nein |
Getrennt | Nein |
Damit die Updateverwaltung erfolgreich ausgeführt werden kann, muss der Verbindungsstatus der privaten Endpunkte Genehmigt lauten. Wenn eine Verbindung abgelehnt wird, kann sie nicht mithilfe des Azure-Portals genehmigt werden. Die einzige Möglichkeit besteht darin, die Verbindung zu löschen und eine neue Verbindung zu erstellen.