Azure Device Update for IoT Hub のネットワーク セキュリティ
この記事では、Azure Device Update for IoT Hub で次のネットワーク セキュリティ機能を使用して更新プログラムを管理する方法について説明します。
- ネットワーク セキュリティ グループと Azure Firewall のサービス タグ
- Azure Virtual Networks のプライベート エンドポイント
重要
Device Update では、リンクされた IoT ハブでのパブリック ネットワーク アクセスの無効化はサポートされていません。
サービス タグ
サービス タグは、特定の Azure サービスからの IP アドレス プレフィックスのグループを表します。 サービス タグに含まれるアドレス プレフィックスの管理は Microsoft が行い、アドレスが変化するとサービス タグは自動的に更新されます。これにより、ネットワーク セキュリティ規則に対する頻繁な更新の複雑さを最小限に抑えられます。 サービス タグの詳細については、サービス タグの概要に関する記事を参照してください。
サービス タグを使用して、ネットワーク セキュリティ グループまたは Azure Firewall でのネットワーク アクセス制御を定義できます。 セキュリティ規則を作成するときに、特定の IP アドレスの代わりにサービス タグを使用します。 規則の適切な source または destination フィールドにサービス タグ名 (例: AzureDeviceUpdate) を指定すると、対応するサービスのトラフィックを許可または拒否できます。
| サービス タグ | パーパス | 受信または送信? | リージョン別か | Azure Firewall と共に使用できるか |
|---|---|---|---|---|
| AzureDeviceUpdate | Azure Device Update for IoT Hub | 両方 | いいえ | はい |
リージョン IP 範囲
Azure IoT Hub IP ルールはサービス タグをサポートしていないため、代わりに AzureDeviceUpdate サービス タグ IP プレフィックスを使用する必要があります。 タグはグローバルであるため、便宜上、次の表にリージョンの IP 範囲を示します。
次の IP プレフィックスは変更される可能性はほとんどありませんが、毎月一覧を確認する必要があります。 場所は、Device Update リソースの場所を意味します。
| Location | IP 範囲 |
|---|---|
| オーストラリア東部 | 20.211.71.192/26、20.53.47.16/28、20.70.223.192/26、104.46.179.224/28、20.92.5.128/25、20.92.5.128/26 |
| 米国東部 | 20.119.27.192/26、20.119.28.128/26、20.62.132.240/28、20.62.135.128/27、20.62.135.160/28、20.59.77.64/26、20.59.81.64/26、20.66.3.208/28 |
| 米国東部 2 | 20.119.155.192/26、20.62.59.16/28、20.98.195.192/26、20.40.229.32/28、20.98.148.192/26、20.98.148.64/26 |
| 米国東部 2 EUAP | 20.47.236.192/26、20.47.237.128/26、20.51.20.64/28、20.228.1.0/26、20.45.241.192/26、20.46.11.192/28 |
| 北ヨーロッパ | 20.223.64.64/26、52.146.136.16/28、52.146.141.64/26、20.105.211.0/26、20.105.211.192/26、20.61.102.96/28、20.86.93.128/26 |
| 米国中南部 | 20.65.133.64/28、20.97.35.64/26、20.97.39.192/26、20.125.162.0/26、20.49.119.192/28、20.51.7.64/26 |
| 東南アジア | 20.195.65.112/28、20.195.87.128/26、20.212.79.64/26、20.195.72.112/28、20.205.49.128/26、20.205.67.192/26 |
| スウェーデン中部 | 20.91.144.0/26、51.12.46.112/28、51.12.74.192/26、20.91.11.64/26、20.91.9.192/26、51.12.198.96/28 |
| 英国南部 | 20.117.192.0/26、20.117.193.64/26、51.143.212.48/28、20.58.67.0/28、20.90.38.128/26、20.90.38.64/26 |
| 西ヨーロッパ | 20.105.211.0/26、20.105.211.192/26、20.61.102.96/28、20.86.93.128/26、20.223.64.64/26、52.146.136.16/28、52.146.141.64/26 |
| 米国西部 2 | 20.125.0.128/26、20.125.4.0/25、20.51.12.64/26、20.83.222.128/26、20.69.0.112/28、20.69.4.128/26、20.69.4.64/26、20.69.8.192/26 |
| 米国西部 3 | 20.118.138.192/26、20.118.141.64/26、20.150.244.16/28、20.119.27.192/26、20.119.28.128/26、20.62.132.240/28、20.62.135.128/27、20.62.135.160/28 |
プライベート エンドポイント
プライベート エンドポイントは、仮想ネットワーク内の Azure サービス用の特別なネットワーク インターフェイスです。 プライベート エンドポイントを使用すると、パブリック インターネットを経由せずに、プライベート リンクを介して仮想ネットワークからデバイス更新アカウントへの安全なトラフィックが可能になります。
Device Update アカウントのプライベート エンドポイントでは、仮想ネットワーク上のクライアントと Device Update アカウントとの間の安全な接続が提供されます。 プライベート エンドポイントには、仮想ネットワークの IP アドレス範囲から IP アドレスが割り当てられます。 プライベート エンドポイントと Device Update サービス間の接続には、セキュリティで保護されたプライベート リンクが使用されます。
Device Update リソースのプライベート エンドポイントを使用して、次のことができます。
- パブリック インターネットではなく、Microsoft バックボーン ネットワーク経由で仮想ネットワークから Device Update アカウントに安全にアクセスします。
- 仮想プライベート ネットワーク (VPN) またはプライベート ピアリングを使用する Azure ExpressRoute を使用して、仮想ネットワークに接続するオンプレミス ネットワークから安全に接続します。
仮想ネットワークで Device Update アカウントのプライベート エンドポイントを作成すると、承認の同意要求がリソース所有者に送信されます。 プライベート エンドポイントの作成を要求するユーザーもアカウントを所有している場合、この同意要求は自動的に承認されます。 それ以外の場合、接続は承認されるまで保留中の状態になります。
仮想ネットワーク内のアプリケーションは、通常のホスト名と認可メカニズムを使用して、プライベート エンドポイント経由で Device Update サービスにシームレスに接続できます。 アカウント所有者は、Azure portal のリソースの [ネットワーク] ページの [プライベート アクセス] タブで同意要求とプライベート エンドポイントを管理できます。
プライベート エンドポイントに接続する
プライベート エンドポイントを使用する仮想ネットワーク上のクライアントは、パブリック エンドポイントに接続するクライアントと同じホスト名と認可メカニズムを使用する必要があります。 ドメイン ネーム システム (DNS) 解決により、仮想ネットワークからプライベート リンクを介してアカウントへの接続が自動的にルーティングされます。
Device Update では、既定で、仮想ネットワークに接続されているプライベート DNS ゾーンが作成され、プライベート エンドポイントに必要な更新も行われます。 独自の DNS サーバーを使用している場合は、DNS 構成に変更が必要になることがあります。
プライベート エンドポイントの DNS の変更
プライベート エンドポイントを作成すると、リソースの DNS CNAME レコードは、プレフィックス privatelink を持つサブドメイン内のエイリアスに更新されます。 既定では、プライベート リンクのサブドメインに対応するプライベート DNS ゾーンが作成されます。
プライベート エンドポイントを持つアカウント エンドポイント URL に仮想ネットワークの外部からアクセスすると、サービスのパブリック エンドポイントに解決されます。 アカウント contosoの次の DNS リソース レコードは、プライベート エンドポイントをホストする仮想ネットワークの外部からアクセスすると、次の値に解決されます。
| リソース レコード | Type | 解決された値 |
|---|---|---|
contoso.api.adu.microsoft.com |
CNAME | contoso.api.privatelink.adu.microsoft.com |
contoso.api.privatelink.adu.microsoft.com |
CNAME | Azure Traffic Manager プロファイル |
プライベート エンドポイントをホストしている仮想ネットワーク内からアクセスすると、アカウント エンドポイント URL はプライベート エンドポイントの IP アドレスに解決されます。 アカウント contoso の DNS リソース レコードは、プライベート エンドポイントをホストしている仮想ネットワーク内部から解決されると、次のようになります。
| リソース レコード | Type | 解決された値 |
|---|---|---|
contoso.api.adu.microsoft.com |
CNAME | contoso.api.privatelink.adu.microsoft.com |
contoso.api.privatelink.adu.microsoft.com |
CNAME | 10.0.0.5 |
この方法では、プライベート エンドポイントをホストする仮想ネットワーク上のクライアントと、仮想ネットワークの外部にあるクライアントの両方のアカウントにアクセスできます。
ネットワーク上でカスタム DNS サーバーを使っている場合、クライアントで、デバイス更新アカウント エンドポイントの完全修飾ドメイン名 (FQDN) をプライベート エンドポイント IP アドレスに解決できます。 プライベート リンク サブドメインを仮想ネットワークのプライベート DNS ゾーンに委任するように DNS サーバーを構成するか、プライベート エンドポイントの IP アドレスを使用して accountName.api.privatelink.adu.microsoft.com の A レコードを構成します。 推奨される DNS ゾーン名は privatelink.adu.microsoft.com です。
プライベート エンドポイントとデバイス更新の管理
このセクションは、パブリック ネットワーク アクセスが無効になっている Device Update アカウントと、手動で承認されたプライベート エンドポイント接続にのみ適用されます。 次の表では、プライベート エンドポイント接続のさまざまな状態と、デバイス更新の管理 (インポート、グループ化、デプロイ) に対する影響について説明します。
| 接続状態 | デバイスの更新プログラムを管理できます |
|---|---|
| Approved | はい |
| 拒否 | いいえ |
| 保留中 | いいえ |
| [Disconnected](切断済み) | いいえ |
更新の管理を成功させるには、プライベート エンドポイントの接続状態が承認済みである必要があります。 接続が拒否された場合は、Azure portal を使用して承認することはできません。 接続を削除し、新しい接続を作成する必要があります。