Создание и настройка частной конечной точки для IoT Central
Устройства можно подключить к приложению IoT Central с помощью частной конечной точки в azure виртуальная сеть.
Частные конечные точки используют частные IP-адреса из адресного пространства виртуальной сети для частного подключения устройств к приложению IoT Central. Сетевой трафик между устройствами в виртуальной сети и платформой Интернета вещей проходит через виртуальную сеть и приватный канал в магистральной сети Майкрософт, устраняя уязвимость в общедоступном Интернете. В этой статье показано, как создать частную конечную точку для приложения IoT Central.
Необходимые компоненты
- Активная подписка Azure. Если у вас нет подписки Azure, создайте бесплатную учетную запись, прежде чем приступить к работе.
- Приложение IoT Central. Дополнительные сведения см. в статье Создание приложения IoT Central.
- Виртуальная сеть в подписке Azure. Дополнительные сведения см. в статье "Создание виртуальной сети". Чтобы выполнить действия, описанные в этом руководстве, вам не нужен узел бастиона или виртуальные машины.
Создание частной конечной точки
Существует несколько способов создания частной конечной точки для приложения IoT Central:
- Используйте портал Azure для создания ресурса частной конечной точки напрямую. Используйте этот параметр, если у вас нет доступа к приложению IoT Central, которому требуется частная конечная точка.
- Создание частной конечной точки в существующем приложении IoT Central
Чтобы создать частную конечную точку в существующем приложении IoT Central:
В портал Azure перейдите к приложению и выберите "Сеть".
Перейдите на вкладку "Подключения к частной конечной точке", а затем выберите +Частная конечная точка.
На вкладке "Основные сведения" введите имя и выберите регион для частной конечной точки. Затем щелкните Далее: Ресурс.
Вкладка "Ресурс" автоматически заполняется. Выберите Далее: Виртуальная сеть.
На вкладке виртуальная сеть выберите виртуальную сеть и подсеть, где требуется развернуть частную конечную точку.
На той же вкладке в разделе конфигурации частного IP-адреса выберите динамически выделить IP-адрес.
Выберите Далее: DNS.
На вкладке DNS выберите "Да " для интеграции с частной зоной DNS. Частный DNS разрешает все необходимые конечные точки на частные IP-адреса в виртуальной сети:
Примечание.
Из-за возможностей автомасштабирования в IoT Central следует использовать параметр интеграции Частная зона DNS, если это возможно. Если по какой-то причине вы не можете использовать этот параметр, см. раздел "Использование пользовательского DNS-сервера".
Нажмите кнопку "Далее": теги.
На вкладке "Теги" настройте все необходимые теги, а затем нажмите кнопку "Далее: просмотр и создание".
Просмотрите сведения о конфигурации и нажмите кнопку "Создать ", чтобы создать ресурс частной конечной точки.
Проверка создания частной конечной точки
После завершения создания частной конечной точки вы можете получить доступ к нему в портал Azure.
Чтобы просмотреть все частные конечные точки, созданные для приложения, выполните следующие действия.
В портал Azure перейдите к приложению IoT Central и выберите "Сеть".
Перейдите на вкладку "Подключения к частной конечной точке". В таблице показаны все частные конечные точки, созданные для приложения.
Использование пользовательского DNS-сервера
В некоторых ситуациях возможно, вы не сможете интегрироваться с частной зоной DNS виртуальной сети. Например, можно использовать собственный DNS-сервер или создавать записи DNS с помощью файлов узлов на виртуальных машинах. В этом разделе описывается, как добраться до зон DNS.
Установите шоколадный.
Установите ARMClient:
choco install armclientВойдите с помощью ARMClient:
armclient loginИспользуйте следующую команду, чтобы получить частные зоны DNS для приложения IoT Central. Замените заполнители сведениями для приложения IoT Central:
armclient GET /subscriptions/<subscriptionId>/resourceGroups/<resourceGroupName>/providers/Microsoft.IoTCentral/IoTApps/<AppName>/privateLinkResources?api-version=2021-11-01-previewПроверьте ответ. Требуемые зоны DNS находятся в массиве
requiredZoneNamesполезных данных ответа:{ "value": [ { "id": "/subscriptions/<subscriptionId>/resourceGroups/<resourceGroupName>/providers/Microsoft.IoTCentral/IoTApps/<AppName>/privateLinkResources/iotApp", "name": "ioTApp", "type": "Microsoft.IoTCentral/IoTApps/privateLinkResources", "location": "<the region of your application>", "properties": { "groupId": "iotApp", "requiredMembers":[ "<IoTCentral Name>", "<DPS Name>", "<IoTHub1 Name>", "<IoTHub2 Name>", "<EH1 Name>", "<EH2 Name>"], "requiredZoneNames": [ "privatelink.azureiotcentral.com", "privatelink.azure-devices.net", "privatelink.servicebus.windows.net", "privatelink.azure-devices-provisioning.net"], "provisioningState": "Succeeded"} } ] }В портал Azure перейдите к частной конечной точке и выберите конфигурацию DNS. На этой странице можно найти необходимые сведения для сопоставления IP-адресов с DNS-именем.
Предупреждение
Эти сведения позволяют заполнить пользовательский DNS-сервер необходимыми записями. Если это возможно, следует интегрироваться с частными зонами DNS виртуальной сети и не настраивать собственный пользовательский DNS-сервер. Частные конечные точки для приложений IoT Central отличаются от других служб Azure PaaS. В некоторых ситуациях, таких как автомасштабирование IoT Central, IoT Central масштабирует количество Центр Интернета вещей, доступных через частную конечную точку. Если вы решили заполнить собственный пользовательский DNS-сервер, вам нужно обновить записи DNS при автоматическом масштабировании IoT Central, а затем удалить записи, когда число центров Интернета вещей масштабируется.
Ограничение общего доступа
Чтобы ограничить общедоступный доступ для устройств в IoT Central, отключите доступ из общедоступных конечных точек. После отключения общедоступного доступа устройства не могут подключаться к IoT Central из общедоступных сетей и должны использовать частную конечную точку:
В портал Azure перейдите к приложению IoT Central и выберите "Сеть".
На вкладке "Общедоступный доступ" выберите "Отключено " для доступа к общедоступной сети.
При необходимости можно определить список IP-адресов и диапазонов, которые могут подключаться к общедоступной конечной точке приложения IoT Central.
Выберите Сохранить.
Совет
Если вы решили определить список IP-адресов и диапазонов, которые могут подключаться к общедоступной конечной точке приложения IoT Central, обязательно включите IP-адрес любого прокси-сервера, который ваши устройства используют для подключения к приложению IoT Central.
Подключение к частной конечной точке
При отключении доступа к общедоступной сети для приложения IoT Central устройства не могут подключаться к глобальной конечной точке службы подготовки устройств (DPS). Это происходит, так как только полное доменное имя для DPS имеет прямой IP-адрес в виртуальной сети. Глобальная конечная точка теперь недоступна.
При настройке частной конечной точки для приложения IoT Central конечная точка службы IoT Central обновляется, чтобы отразить прямую конечную точку DPS.
Обновите код устройства, чтобы использовать прямую конечную точку DPS.
Рекомендации
Не используйте URL-адреса поддомена приватного канала для подключения устройств к IoT Central. Всегда используйте URL-адрес DPS, отображаемый в приложении IoT Central после создания частной конечной точки.
Используйте частные зоны DNS Azure для управления DNS. Избегайте использования собственного DNS-сервера, так как вам нужно постоянно обновлять конфигурацию DNS, чтобы поддерживать автоматическое масштабирование ресурсов IoT Central.
При создании нескольких частных конечных точек для одного ресурса IoT Central зона DNS может перезаписать полное доменное имя, чтобы добавить их снова.
Ограничения
В настоящее время частное подключение включено только для подключений устройств к базовым центрам Интернета вещей и DPS в приложении IoT Central. Веб-интерфейсы и API IoT Central продолжают работать через общедоступные конечные точки.
Частная конечная точка должна находиться в том же регионе, что и виртуальная сеть.
При отключении доступа к общедоступной сети:
Имитированные устройства IoT Central не работают, так как у них нет подключения к виртуальной сети.
Глобальная конечная точка DPS (
global.device-provisioning.net) недоступна. Обновите встроенное ПО устройства, чтобы подключиться к прямому экземпляру DPS. Вы можете найти прямой URL-адрес DPS на странице групп подключений устройств в приложении IoT Central.
После настройки частной конечной точки невозможно переименовать приложение IoT Central.
Вы не можете переместить частную конечную точку или приложение IoT Central в другую группу ресурсов или подписку.
Поддержка ограничена протоколом IPv4. IPv6 не поддерживается.
Устранение неполадок
Если у вас возникли проблемы с подключением к частной конечной точке, используйте следующие рекомендации по устранению неполадок:
Проверьте состояние подключения
Убедитесь, что состояние подключения частной конечной точки установлено на утверждение.
- В портал Azure перейдите к приложению и выберите "Сеть".
- Перейдите на вкладку подключения к частным конечным точкам. Убедитесь, что состояние подключения утверждено для частной конечной точки.
Выполнение проверок в виртуальной сети
Используйте следующие проверки, чтобы изучить проблемы с подключением изнутри самой виртуальной сети. Разверните виртуальную машину в той же виртуальной сети, где вы создали частную конечную точку. Войдите на виртуальную машину, чтобы выполнить следующие тесты.
Чтобы убедиться, что разрешение имен работает правильно, выполните итерацию всех полных доменных имен в конфигурации DNS частной конечной точки и выполните тесты с помощью nslookupTest-NetConnectionдругих аналогичных средств, чтобы убедиться, что каждый DNS соответствует соответствующему IP-адресу.
Кроме того, выполните следующую команду, чтобы проверить DNS-имя каждого полного доменного имени с соответствующим IP-адресом.
#replace the <...> placeholders with the correct values
nslookup iotc-….azure-devices.net
Результат выглядит следующим образом:
#Results in the following output:
Server:127.0.0.53
Address:127.0.0.53#53
Non-authoritative answer: xyz.azure-devices.net
canonical name = xyz.privatelink.azure-devices.net
Name:xyz.privatelink.azure-devices.net
Address: 10.1.1.12
Если вы найдете полное доменное имя, которое не соответствует соответствующему IP-адресу, исправьте пользовательский DNS-сервер. Если вы не используете пользовательский DNS-сервер, отправьте запрос в службу поддержки.
Проверьте наличие нескольких частных конечных точек
Конфигурация DNS может быть перезаписана при создании или удалении нескольких частных конечных точек для одного приложения IoT Central:
- В портал Azure перейдите к ресурсу частной конечной точки.
- В разделе DNS убедитесь, что для всех необходимых ресурсов есть записи: Центр Интернета вещей, Центры событий, DPS и полные доменные имена IoT Central.
- Убедитесь, что IP-адреса (и IP-адреса для других частных конечных точек с помощью этой зоны DNS) отражаются в записи A DNS.
- Удалите все записи A для IP-адресов из старых частных конечных точек, которые ранее были удалены.
Советы по устранению неполадок
Если после проверки всех этих проверок у вас по-прежнему возникает проблема, воспользуйтесь руководством по устранению неполадок с частной конечной точкой.
Если все проверки успешны, и устройства по-прежнему не могут установить подключение к IoT Central, обратитесь к группе корпоративной безопасности, ответственной за брандмауэры и сети в целом. Возможные причины сбоев перечислены ниже.
- Неправильное настройка виртуальной сети Azure
- Неправильное настройка устройства брандмауэра
- Неправильное настройка определяемых пользователем маршрутов в виртуальной сети Azure
- Неправильно настроенный прокси-сервер между ресурсами устройства и IoT Central
Следующие шаги
Теперь, когда вы узнали, как создать частную конечную точку для приложения, вот следующий шаг: