Privé-eindpunten configureren voor Device Update voor IoT Hub-accounts

U kunt privé-eindpunten gebruiken om verkeer rechtstreeks vanuit uw virtuele netwerk naar uw account toe te staan via een privékoppeling zonder via het openbare internet te gaan. Het privé-eindpunt maakt gebruik van een IP-adres uit de VNet-adresruimte voor uw account. Zie Netwerkbeveiliging voor meer conceptuele informatie.

In dit artikel wordt beschreven hoe u privé-eindpunten voor accounts configureert.

U kunt Azure Portal of de Azure CLI gebruiken om een privé-eindpunt voor een account te maken.

Vereisten

Azure-portal

Er zijn geen vereisten voor Azure Portal.

Azure-CLI

Een Azure CLI-omgeving:

• Gebruik de Bash-omgeving in Azure Cloud Shell.

  

• Als u liever CLI-referentieopdrachten lokaal uitvoert, installeert u de Azure CLI

  • Meld u aan bij de Azure CLI met behulp van de opdracht az login .

  • Voer az version uit om de geïnstalleerde versie en afhankelijke bibliotheken te vinden. Voer az upgrade uit om te upgraden naar de nieuwste versie.

  • Installeer bij het eerste gebruik de Azure CLI-extensie wanneer hierom wordt gevraagd. De opdrachten in dit artikel gebruiken de azure-iot-extensie . Voer deze opdracht uit az extension update --name azure-iot om ervoor te zorgen dat u de nieuwste versie van de extensie gebruikt.

Privé-eindpunten configureren vanuit het Device Update-account

In Azure Portal kunt u een nieuw privé-eindpunt maken vanuit het Device Update-account. Deze privé-eindpuntverbindingen worden automatisch goedgekeurd en hebben niet de extra stappen nodig om te worden beoordeeld en goedgekeurd, zoals beschreven in de rest van dit artikel.

1. Meld u aan bij Azure Portal en navigeer naar uw account of domein.

2. Ga naar het tabblad Netwerken van uw accountpagina. Als u de toegang tot alleen het privé-eindpunt wilt beperken, schakelt u de openbare netwerktoegang uit.

3. Ga naar het tabblad Persoonlijke toegang en selecteer + Toevoegen op de werkbalk.

   

4. Geef op de pagina Basisinformatie de volgende informatie op voor uw privé-eindpunt:

   • Abonnement: het Azure-abonnement waarin u het privé-eindpunt wilt maken.

   • Resourcegroep: een bestaande of nieuwe resourcegroep voor het privé-eindpunt.

   • Naam: Een naam voor het eindpunt. Deze waarde wordt gebruikt om de naam van de netwerkinterface automatisch te genereren.

   • Regio: Een Azure-regio voor het eindpunt. Uw privé-eindpunt moet zich in dezelfde regio bevinden als uw virtuele netwerk, maar kan zich in een andere regio bevinden dan het Apparaatupdate-account.

     

5. De resourcepagina wordt automatisch ingevuld

   

6. Selecteer op de pagina Virtueel netwerk het subnet en het virtuele netwerk waar u het privé-eindpunt wilt implementeren.

   • Virtueel netwerk: Alleen virtuele netwerken in het geselecteerde abonnement en de locatie worden weergegeven in de vervolgkeuzelijst.

   • Subnet: Selecteer een subnet in het virtuele netwerk dat u hebt geselecteerd.

     

7. Gebruik op de pagina DNS de vooraf ingevulde waarden, tenzij u uw eigen aangepaste DNS gebruikt.

   

8. Maak op de pagina Tags alle tags (namen en waarden) die u wilt koppelen aan de privé-eindpuntresource.

9. Controleer op de pagina Beoordelen en maken alle instellingen en selecteer Maken om het privé-eindpunt te maken.

Privé-eindpunten configureren vanuit het Private Link-centrum

Als u geen toegang hebt tot het Device Update-account, kunt u privé-eindpunten maken vanuit het Private Link Center. In het geval dat de gebruiker die de verbinding maakt, niet over de bevoegdheid beschikt om deze ook goed te keuren, wordt de verbinding gemaakt in de status In behandeling.

U kunt Azure Portal of de Azure CLI gebruiken om privé-eindpunten te maken.

Azure-portal

1. Navigeer in Azure Portal naar Private Link Center-privé-eindpunten> en selecteer +Maken.

   

2. Geef op de pagina Basisinformatie de volgende informatie op voor uw privé-eindpunt:

   • Abonnement: het Azure-abonnement waarin u het privé-eindpunt wilt maken.
   • Resourcegroep: een bestaande of nieuwe resourcegroep voor het privé-eindpunt.
   • Naam: Een naam voor het eindpunt. Deze waarde wordt gebruikt om de naam van de netwerkinterface automatisch te genereren.
   • Regio: Een Azure-regio voor het eindpunt. Uw privé-eindpunt moet zich in dezelfde regio bevinden als uw virtuele netwerk, maar kan zich in een andere regio bevinden dan het Apparaatupdate-account.

3. Vul alle vereiste velden op het tabblad Resource in

   • Verbinding maken ionmethode: selecteer Verbinding maken naar een Azure-resource op resource-id of alias.
   • Resource-id of alias: voer de resource-id van het Device Update-account in. U kunt de resource-id van een Device Update-account ophalen in Azure Portal door JSON-weergave te selecteren op de overzichtspagina. U kunt het ook ophalen met behulp van de opdracht az iot du account show en het opvragen van de id-waarde: az iot du account show -n <account_name> --query id.
   • Doelsubresource: Waarde moet DeviceUpdate zijn

   

4. Selecteer op de pagina Virtueel netwerk het subnet en het virtuele netwerk waar u het privé-eindpunt wilt implementeren.

   • Virtueel netwerk: Alleen virtuele netwerken in het geselecteerde abonnement en de locatie worden weergegeven in de vervolgkeuzelijst.
   • Subnet: Selecteer een subnet in het virtuele netwerk dat u hebt geselecteerd.

5. Gebruik op de pagina DNS de vooraf ingevulde waarden, tenzij u uw eigen aangepaste DNS gebruikt.

6. Maak op de pagina Tags alle tags (namen en waarden) die u wilt koppelen aan de privé-eindpuntresource.

7. Controleer op de pagina Beoordelen en maken alle instellingen en selecteer Maken om het privé-eindpunt te maken.

Azure-CLI

Gebruik de opdracht az network private-endpoint create om een privé-eindpunt te maken.

Vervang de volgende tijdelijke aanduidingen door uw eigen gegevens:

• RESOURCE_GROUP_NAME: naam van de resourcegroep.
• PRIVATE_ENDPOINT_NAME: naam van het privé-eindpunt.
• PRIVATE_LINK_CONNECTION_NAME: naam van de private link-serviceverbinding.
• VIRTUAL_NETWORK_NAME: naam van een bestaand virtueel netwerk dat is gekoppeld aan het subnet.
• SUBNET_NAME: naam of id van een bestaand subnet. Als u een subnetnaam gebruikt, moet u ook de naam van het virtuele netwerk opnemen. Als u een subnet-id gebruikt, kunt u de --vnet-name parameter weglaten.
• DEVICE_UPDATE_RESOURCE_ID: U kunt de resource-id van een Apparaatupdate-account ophalen in Azure Portal door JSON-weergave te selecteren op de overzichtspagina. U kunt het ook ophalen met behulp van de opdracht az iot du account show en het opvragen van de id-waarde: az iot du account show -n <account_name> --query id.
• LOCATIE: Naam van de Azure-regio. Uw privé-eindpunt moet zich in dezelfde regio bevinden als uw virtuele netwerk, maar kan zich in een andere regio bevinden dan het Apparaatupdate-account.

az network private-endpoint create \
    --resource-group <RESOURCE_GROUP_NAME> \
    --name <PRIVATE_ENDPOINT_NAME> \
    --connection-name <PRIVATE_LINK_CONNECTION_NAME> \
    --vnet-name <VIRTUAL_NETWORK_NAME> \
    --subnet <SUBNET_NAME> \
    --private-connection-resource-id "<DEVICE_UPDATE_RESOURCE_ID> \
    --location <LOCATION> \
    --group-id DeviceUpdate
    --request-message "Optional message"
    --manual-request

U kunt een privé-eindpunt verwijderen met de opdracht az network private-endpoint delete .

az network private-endpoint delete --resource-group <RESOURCE_GROUP_NAME> --name <PRIVATE_ENDPOINT_NAME>

Privékoppelingsverbindingen beheren

Wanneer u een privé-eindpunt maakt dat wacht op de handmatige goedkeuring, moet de verbinding worden goedgekeurd voordat deze kan worden gebruikt. Als de resource waarvoor u een privé-eindpunt maakt zich in uw directory bevindt, kunt u de verbindingsaanvraag goedkeuren als u over voldoende machtigingen beschikt. Als u verbinding maakt met een Azure-resource in een andere map, moet u wachten tot de eigenaar van die resource uw verbindingsaanvraag goedkeurt.

Er zijn vier inrichtingsstatussen:

Serviceactie	Status privé-eindpunt serviceconsument	Beschrijving
Geen	In behandeling	Verbinding maken wordt handmatig gemaakt en wacht op goedkeuring van de eigenaar van de private Link-resource.
Goedkeuren	Goedgekeurd	De verbinding werd automatisch of handmatig goedgekeurd en is klaar om te worden gebruikt.
Verwerpen	Afgewezen	De verbinding werd afgewezen door de resource-eigenaar van de private link.
Verwijderen	Ontkoppeld	De verbinding is verwijderd door de resource-eigenaar van de private link, het privé-eindpunt wordt informatief en moet worden verwijderd voor opschoning.

Azure-portal

Een verbinding controleren die in behandeling is vanuit het Device Update-account

1. Navigeer vanuit Azure Portal naar het Device Update-account dat u wilt beheren.

2. Selecteer het tabblad Netwerken.

3. Als er verbindingen zijn die in behandeling zijn, ziet u een verbinding met In behandeling in de inrichtingsstatus.

   

4. Gebruik het selectievakje om de in behandeling zijnde verbinding te selecteren en selecteer vervolgens Goedkeuren of Weigeren.

Controleer een in behandeling zijnde verbinding vanuit het Private Link-centrum

1. Navigeer vanuit Azure Portal naar Verbindingen die in behandeling zijn met Private Link Center>.

2. Gebruik het selectievakje om de in behandeling zijnde verbinding te selecteren en selecteer vervolgens Goedkeuren of Weigeren.

   

Azure-CLI

Gebruik de opdracht az iot du account private-endpoint-connection set om de privé-eindpuntverbinding te beheren.

Vervang de volgende tijdelijke aanduidingen door uw eigen gegevens:

• ACCOUNT_NAME: naam van het Apparaatupdate-account.
• PRIVATE_LINK_CONNECTION_NAME: naam van de private link-serviceverbinding.
• STATUS: Of Approved Rejected.

az iot du account private-endpoint-connection set \
    --name <ACCOUNT_NAME> \
    --connection-name <PRIVATE_LINK_CONNECTION_NAME> \
    --status <STATUS> \
    --desc 'Optional description'

Volgende stappen

Meer informatie over netwerkbeveiligingsconcepten.