Netwerkbeveiliging voor IoT Central met behulp van privé-eindpunten
De standaard-IoT Central-eindpunten voor apparaatconnectiviteit worden geopend met behulp van openbare URL's. Elk apparaat met een geldige identiteit kan vanaf elke locatie verbinding maken met uw IoT Central-toepassing.
Gebruik privé-eindpunten om de connectiviteit van apparaten met uw IoT Central-toepassing te beperken en te beveiligen en alleen toegang toe te staan via uw virtuele privénetwerk.
Privé-eindpunten gebruiken privé-IP-adressen van een virtueel netwerkadresruimte om uw apparaten privé te verbinden met uw IoT Central-toepassing. Netwerkverkeer tussen apparaten in het virtuele netwerk en het IoT-platform doorkruist het virtuele netwerk en een privékoppeling op het Backbone-netwerk van Microsoft, waardoor blootstelling op het openbare internet wordt geëlimineerd.
Zie voor meer informatie over Azure Virtual Networks:
Met privé-eindpunten in uw IoT Central-toepassing kunt u het volgende doen:
- Beveilig uw cluster door de firewall zo te configureren dat alle apparaatverbindingen op het openbare eindpunt worden geblokkeerd.
- Verhoog de beveiliging voor het virtuele netwerk door u in staat te stellen gegevens in het virtuele netwerk te beveiligen.
- Verbind apparaten veilig met IoT Central vanuit on-premises netwerken die verbinding maken met het virtuele netwerk met behulp van een VPN-gateway of persoonlijke ExpressRoute-peering .
Het gebruik van privé-eindpunten in IoT Central is geschikt voor apparaten die zijn verbonden met een on-premises netwerk. Gebruik geen privé-eindpunten voor apparaten die zijn geïmplementeerd in een wide area-netwerk, zoals internet.
Wat is een privé-eindpunt?
Een privé-eindpunt is een speciale netwerkinterface voor een Azure-service in uw virtuele netwerk waaraan IP-adressen zijn toegewezen vanuit het IP-adresbereik van uw virtuele netwerk. Privé-eindpunt biedt beveiligde connectiviteit tussen uw apparaten in het virtuele netwerk en het IoT-platform waarmee ze verbinding maken. De verbinding tussen het privé-eindpunt en het Azure IoT-platform maakt gebruik van een beveiligde privékoppeling:
Apparaten die zijn verbonden met het virtuele netwerk, kunnen naadloos verbinding maken met het cluster via het privé-eindpunt. De autorisatiemechanismen zijn dezelfde mechanismen die u zou gebruiken om verbinding te maken met de openbare eindpunten. U moet de DPS-verbindings-URL echter bijwerken omdat de host-URL global.azure-devices-provisioning.net voor globale inrichting niet wordt omgezet wanneer openbare netwerktoegang is uitgeschakeld voor uw toepassing.
Wanneer u een privé-eindpunt voor een cluster in uw virtuele netwerk maakt, wordt er een toestemmingsaanvraag verzonden voor goedkeuring door de eigenaar van het abonnement. Als de gebruiker die het privé-eindpunt wil maken, ook eigenaar van het abonnement is, wordt de aanvraag automatisch goedgekeurd. Abonnementseigenaren kunnen toestemmingsaanvragen en privé-eindpunten voor het cluster beheren in Azure Portal, onder Privé-eindpunten.
Elke IoT Central-toepassing kan ondersteuning bieden voor meerdere privé-eindpunten, die elk zich in een virtueel netwerk in een andere regio kunnen bevinden. Als u van plan bent om meerdere privé-eindpunten te gebruiken, moet u uw DNS configureren en de grootte van de subnetten van uw virtuele netwerk plannen.
De grootte van het subnet in uw virtuele netwerk plannen
De grootte van het subnet in uw virtuele netwerk kan niet worden gewijzigd nadat het subnet is gemaakt. Daarom is het belangrijk om de grootte van het subnet te plannen en toekomstige groei mogelijk te maken.
IoT Central maakt meerdere zichtbare FQDN's van klanten als onderdeel van een implementatie van een privé-eindpunt. Naast de FQDN voor IoT Central zijn er FQDN's voor onderliggende IoT Hub-, Event Hubs- en Device Provisioning Service-resources.
Het privé-eindpunt van IoT Central maakt gebruik van meerdere IP-adressen uit uw virtuele netwerk en subnet. Op basis van het belastingsprofiel van de toepassing schaalt IoT Central ook automatisch de onderliggende IoT Hubs , zodat het aantal IP-adressen dat door een privé-eindpunt wordt gebruikt, kan toenemen. Plan deze mogelijke toename wanneer u de grootte van het subnet bepaalt.
Gebruik de volgende informatie om het totale aantal IP-adressen te bepalen dat is vereist in uw subnet:
| Gebruik | Aantal IP-adressen per privé-eindpunt |
|---|---|
| IoT Central-URL | 1 |
| Onderliggende IoT-hubs | 2-50 |
| Event Hubs die overeenkomen met IoT-hubs | 2-50 |
| Device Provisioning Service | 1 |
| Gereserveerde Azure-adressen | 5 |
| Totaal | 11-107 |
Zie de veelgestelde vragen over Azure Virtual Network voor meer informatie.
Notitie
De minimale grootte voor het subnet is /28 (14 bruikbare IP-adressen). Voor gebruik met een privé-eindpunt /24 van IoT Central wordt aanbevolen, wat helpt bij extreme workloads.
Volgende stappen
Nu u hebt geleerd hoe u privé-eindpunten gebruikt om een apparaat te verbinden met uw toepassing, volgt u de voorgestelde volgende stap: