プライベート エンドポイントを使用する IoT Central のネットワーク セキュリティ
デバイス接続の標準の IoT Central エンドポイントには、パブリック URL を使用してアクセスします。 有効な ID を持つ任意のデバイスは、任意の場所から IoT Central アプリケーションに接続できます。
プライベート エンドポイントを使用して、IoT Central アプリケーションへのデバイス接続を制限してセキュリティで保護し、プライベート仮想ネットワークを介したアクセスのみを許可します。
プライベート エンドポイントでは、仮想ネットワーク アドレス空間のプライベート IP アドレスを使用して、デバイスを IoT Central アプリケーションにプライベートに接続します。 仮想ネットワーク上のデバイスと IoT プラットフォーム間のネットワーク トラフィックでは、仮想ネットワークおよび Microsoft バックボーン ネットワーク上のプライベート リンクを経由することで、パブリック インターネットでさらされないようにします。
Azure 仮想ネットワークの詳細については、以下を参照してください。
IoT Central アプリケーションのプライベート エンドポイントを使用すると、次のことができます。
- パブリック エンドポイントでのすべてのデバイス接続をブロックするようにファイアウォールを構成することで、クラスターをセキュリティで保護する。
- 仮想ネットワーク上のデータを保護できるようにすることで、仮想ネットワークのセキュリティを強化します。
- VPN ゲートウェイまたは ExpressRoute プライベート ピアリングを使用することで、仮想ネットワークに接続するオンプレミス ネットワークから IoT Central にデバイスを安全に接続する。
IoT Central でプライベート エンドポイントを使用することは、オンプレミス ネットワークに接続されているデバイスに適しています。 インターネットなどのワイドエリア ネットワークにデプロイされているデバイスには、プライベート エンドポイントを使用しないでください。
プライベート エンドポイントとは
プライベート エンドポイントは、仮想ネットワークの IP アドレス範囲から IP アドレスが割り当てられている仮想ネットワーク内の Azure サービス用の特殊なネットワーク インターフェイスです。 プライベート エンドポイントでは、仮想ネットワーク上のデバイスと、接続先の IoT プラットフォームとの間の安全な接続が提供されます。 プライベート エンドポイントと Azure IoT プラットフォーム間の接続には、セキュリティで保護されたプライベート リンクが使用されます。
仮想ネットワークに接続されているデバイスは、プライベート エンドポイント経由でクラスターにシームレスに接続できます。 承認メカニズムは、パブリックエンド ポイントへの接続に使用するものと同じです。 しかし、アプリケーションに対してパブリック ネットワーク アクセスが無効になっている場合、グローバル プロビジョニング ホスト global.azure-devices-provisioning.net の URL は解決されないため、DPS 接続 URL を更新する必要があります。
ご利用の仮想ネットワークでクラスター用のプライベート エンドポイントを作成すると、サブスクリプションの所有者による承認のために同意要求が送信されます。 プライベート エンドポイントの作成を要求しているユーザーがサブスクリプションの所有者でもある場合、要求は自動的に承認されます。 サブスクリプションの所有者は、Azure portal の [プライベート エンドポイント] タブで、同意要求とクラスターのプライベート エンドポイントを管理することができます。
各 IoT Central アプリケーションでは複数のプライベート エンドポイントをサポートでき、それぞれを異なるリージョンの仮想ネットワークに配置できます。 複数のプライベート エンドポイントを使用する予定の場合は、DNS を構成し、仮想ネットワーク サブネットのサイズを計画する際に特に注意してください。
仮想ネットワーク内のサブネットのサイズを計画する
仮想ネットワーク内のサブネットのサイズは、サブネットの作成後に変更することはできません。 そのため、サブネットのサイズを計画し、将来的な拡大を考慮することが重要です。
IoT Central により、プライベート エンドポイント デプロイの一環として、顧客に表示される複数の FQDN が作成されます。 IoT Central の FQDN に加え、基になる IoT Hub、Event Hubs、およびデバイス プロビジョニング サービス リソースの FQDN があります。
IoT Central プライベート エンドポイントでは、仮想ネットワークとサブネットの複数の IP アドレスが使用されます。 また、アプリケーションの負荷プロファイルに基づいて、IoT Central によって基になる IoT Hub が自動スケールされるため、プライベート エンドポイントで使用される IP アドレスの数が増加する可能性があります。 サブネットのサイズを決定する際には、この考えられる増加に備えて計画してください。
次の情報を使用すると、サブネットに必要な IP アドレスの合計数を決定するのに役立ちます。
| 使用 | プライベート エンドポイントごとの IP アドレス数 |
|---|---|
| IoT Central URL | 1 |
| 基になる IoT ハブ | 2-50 |
| IoT ハブに対応する Event Hubs | 2-50 |
| Device Provisioning Service | 1 |
| Azure 予約アドレス | 5 |
| トータル | 11-107 |
詳細については、Azure の Azure Virtual Network に関する FAQ についてのページを参照してください。
Note
サブネットの最小サイズは /28 です (使用可能な IP アドレスは 14 個)。 IoT Central プライベート エンドポイントで使用する場合は、/24 が推奨されます。これは、極端なワークロードに役立ちます。
次のステップ
これで、プライベート エンドポイントを使用してデバイスをアプリケーションに接続する方法について学習しました。推奨される次の手順を以下に示します。