Zabezpieczenia sieci dla usługi IoT Central przy użyciu prywatnych punktów końcowych
Dostęp do standardowych punktów końcowych usługi IoT Central na potrzeby łączności urządzeń uzyskuje się przy użyciu publicznych adresów URL. Każde urządzenie z prawidłową tożsamością może łączyć się z aplikacją usługi IoT Central z dowolnej lokalizacji.
Użyj prywatnych punktów końcowych, aby ograniczyć i zabezpieczyć łączność urządzenia z aplikacją usługi IoT Central i zezwalać na dostęp tylko za pośrednictwem prywatnej sieci wirtualnej.
Prywatne punkty końcowe używają prywatnych adresów IP z przestrzeni adresowej sieci wirtualnej, aby połączyć urządzenia prywatnie z aplikacją usługi IoT Central. Ruch sieciowy między urządzeniami w sieci wirtualnej a platformą IoT przechodzi przez sieć wirtualną i link prywatny w sieci szkieletowej firmy Microsoft, eliminując narażenie na publiczne internet.
Aby dowiedzieć się więcej o sieciach wirtualnych platformy Azure, zobacz:
Prywatne punkty końcowe w aplikacji usługi IoT Central umożliwiają:
- Zabezpiecz klaster, konfigurując zaporę w celu blokowania wszystkich połączeń urządzeń w publicznym punkcie końcowym.
- Zwiększ bezpieczeństwo sieci wirtualnej, umożliwiając ochronę danych w sieci wirtualnej.
- Bezpieczne łączenie urządzeń z usługą IoT Central z sieci lokalnych łączących się z siecią wirtualną przy użyciu bramy sieci VPN lub prywatnej komunikacji równorzędnej usługi ExpressRoute .
Korzystanie z prywatnych punktów końcowych w usłudze IoT Central jest odpowiednie dla urządzeń połączonych z siecią lokalną. Nie należy używać prywatnych punktów końcowych dla urządzeń wdrożonych w sieci rozległej, takiej jak Internet.
Co to jest prywatny punkt końcowy?
Prywatny punkt końcowy to specjalny interfejs sieciowy dla usługi platformy Azure w sieci wirtualnej, który jest przypisany adres IP (es) z zakresu adresów IP sieci wirtualnej. Prywatny punkt końcowy zapewnia bezpieczną łączność między urządzeniami w sieci wirtualnej a platformą IoT, z którą się łączą. Połączenie między prywatnym punktem końcowym a platformą Azure IoT korzysta z bezpiecznego łącza prywatnego:
Urządzenia połączone z siecią wirtualną mogą bezproblemowo łączyć się z klastrem za pośrednictwem prywatnego punktu końcowego. Mechanizmy autoryzacji są takie same, których należy użyć do nawiązywania połączenia z publicznymi punktami końcowymi. Należy jednak zaktualizować adres URL połączenia z usługą DPS, ponieważ globalny adres URL hosta global.azure-devices-provisioning.net aprowizacji nie jest rozpoznawany, gdy dostęp do sieci publicznej jest wyłączony dla aplikacji.
Podczas tworzenia prywatnego punktu końcowego dla klastra w sieci wirtualnej żądanie zgody jest wysyłane do zatwierdzenia przez właściciela subskrypcji. Jeśli użytkownik żądający utworzenia prywatnego punktu końcowego jest również właścicielem subskrypcji, żądanie zostanie automatycznie zatwierdzone. Właściciele subskrypcji mogą zarządzać żądaniami zgody i prywatnymi punktami końcowymi klastra w witrynie Azure Portal w obszarze Prywatne punkty końcowe.
Każda aplikacja usługi IoT Central może obsługiwać wiele prywatnych punktów końcowych, z których każda może znajdować się w sieci wirtualnej w innym regionie. Jeśli planujesz używać wielu prywatnych punktów końcowych, pamiętaj, aby skonfigurować usługę DNS i zaplanować rozmiar podsieci sieci wirtualnej.
Planowanie rozmiaru podsieci w sieci wirtualnej
Nie można zmienić rozmiaru podsieci w sieci wirtualnej po utworzeniu podsieci. Dlatego ważne jest, aby zaplanować rozmiar podsieci i umożliwić przyszły wzrost.
Usługa IoT Central tworzy wiele widocznych przez klienta nazw FQDN w ramach wdrożenia prywatnego punktu końcowego. Oprócz nazwy FQDN dla usługi IoT Central istnieją nazwy FQDN dla bazowych zasobów usługi IoT Hub, Event Hubs i Device Provisioning Service.
Prywatny punkt końcowy usługi IoT Central używa wielu adresów IP z sieci wirtualnej i podsieci. Ponadto w oparciu o profil ładowania aplikacji usługa IoT Central automatycznie skaluje swoje bazowe centra IoT Hub, dzięki czemu liczba adresów IP używanych przez prywatny punkt końcowy może wzrosnąć. Zaplanuj ten możliwy wzrost podczas określania rozmiaru podsieci.
Skorzystaj z poniższych informacji, aby określić łączną liczbę adresów IP wymaganych w podsieci:
| Używanie | Liczba adresów IP na prywatny punkt końcowy |
|---|---|
| IoT Central URL | 1 |
| Bazowe centra IoT | 2-50 |
| Usługa Event Hubs odpowiadająca usługom IoT Hubs | 2-50 |
| Device Provisioning Service | 1 |
| Zarezerwowane adresy platformy Azure | 5 |
| Łącznie | 11-107 |
Aby dowiedzieć się więcej, zobacz Często zadawane pytania dotyczące usługi Azure Azure Virtual Network.
Uwaga
Minimalny rozmiar podsieci to /28 (14 adresów IP do użycia). W przypadku korzystania z prywatnego punktu końcowego /24 usługi IoT Central zaleca się, co pomaga w ekstremalnych obciążeniach.
Następne kroki
Teraz, gdy wiesz już, jak używać prywatnych punktów końcowych do łączenia urządzenia z aplikacją, oto sugerowany następny krok:
Utwórz prywatny punkt końcowy dla aplikacji usługi Azure IoT Central.