Nätverkssäkerhet för IoT Central med privata slutpunkter
Standardslutpunkterna för IoT Central för enhetsanslutning används med offentliga URL:er. Alla enheter med en giltig identitet kan ansluta till ditt IoT Central-program från valfri plats.
Använd privata slutpunkter för att begränsa och skydda enhetsanslutningen till ditt IoT Central-program och endast tillåta åtkomst via ditt privata virtuella nätverk.
Privata slutpunkter använder privata IP-adresser från ett virtuellt nätverksadressutrymme för att ansluta dina enheter privat till ditt IoT Central-program. Nätverkstrafik mellan enheter i det virtuella nätverket och IoT-plattformen passerar det virtuella nätverket och en privat länk i Microsofts stamnätverk, vilket eliminerar exponeringen på det offentliga Internet.
Mer information om virtuella Azure-nätverk finns i:
Med privata slutpunkter i IoT Central-programmet kan du:
- Skydda klustret genom att konfigurera brandväggen så att den blockerar alla enhetsanslutningar på den offentliga slutpunkten.
- Öka säkerheten för det virtuella nätverket genom att göra det möjligt för dig att skydda data i det virtuella nätverket.
- Anslut enheter till IoT Central på ett säkert sätt från lokala nätverk som ansluter till det virtuella nätverket med hjälp av en privat VPN-gateway eller expressroute-peering .
Användningen av privata slutpunkter i IoT Central är lämplig för enheter som är anslutna till ett lokalt nätverk. Du bör inte använda privata slutpunkter för enheter som distribueras i ett omfattande nätverk, till exempel Internet.
Vad är en privat slutpunkt?
En privat slutpunkt är ett särskilt nätverksgränssnitt för en Azure-tjänst i ditt virtuella nätverk som har tilldelats IP-adresser från IP-adressintervallet för ditt virtuella nätverk. Privat slutpunkt ger säker anslutning mellan dina enheter i det virtuella nätverket och den IoT-plattform som de ansluter till. Anslutningen mellan den privata slutpunkten och Azure IoT-plattformen använder en säker privat länk:
Enheter som är anslutna till det virtuella nätverket kan sömlöst ansluta till klustret via den privata slutpunkten. Auktoriseringsmekanismerna är samma som du använder för att ansluta till de offentliga slutpunkterna. Du måste dock uppdatera DPS-anslutnings-URL:en eftersom den globala etableringsvärd-URL global.azure-devices-provisioning.net :en inte matchar när åtkomsten till det offentliga nätverket är inaktiverad för ditt program.
När du skapar en privat slutpunkt för ett kluster i ditt virtuella nätverk skickas en begäran om medgivande för godkännande av prenumerationsägaren. Om användaren som begär att den privata slutpunkten ska skapas också är ägare till prenumerationen godkänns begäran automatiskt. Prenumerationsägare kan hantera begäranden om medgivande och privata slutpunkter för klustret i Azure Portal under Privata slutpunkter.
Varje IoT Central-program kan ha stöd för flera privata slutpunkter, som var och en kan finnas i ett virtuellt nätverk i en annan region. Om du planerar att använda flera privata slutpunkter bör du vara extra noga med att konfigurera din DNS och planera storleken på dina virtuella nätverksundernät.
Planera storleken på undernätet i ditt virtuella nätverk
Det går inte att ändra storleken på undernätet i det virtuella nätverket när undernätet har skapats. Därför är det viktigt att planera för undernätets storlek och möjliggöra framtida tillväxt.
IoT Central skapar flera kund synliga FQDN:er som en del av en privat slutpunktsdistribution. Utöver FQDN för IoT Central finns det FQDN för underliggande IoT Hub-, Event Hubs- och Device Provisioning Service-resurser.
Den privata IoT Central-slutpunkten använder flera IP-adresser från ditt virtuella nätverk och undernät. Baserat på programmets belastningsprofil skalar IoT Central automatiskt sina underliggande IoT Hubs så att antalet IP-adresser som används av en privat slutpunkt kan öka. Planera för den här möjliga ökningen när du fastställer storleken på undernätet.
Använd följande information för att fastställa det totala antalet IP-adresser som krävs i undernätet:
| Använd | Antal IP-adresser per privat slutpunkt |
|---|---|
| IoT Central-URL | 1 |
| Underliggande IoT-hubbar | 2-50 |
| Händelsehubbar som motsvarar IoT-hubbar | 2-50 |
| Device Provisioning Service | 1 |
| Reserverade Azure-adresser | 5 |
| Totalt | 11-107 |
Mer information finns i vanliga frågor och svar om Azure Azure Virtual Network.
Kommentar
Den minsta storleken för undernätet är /28 (14 användbara IP-adresser). För användning med en privat IoT Central-slutpunkt /24 rekommenderas, vilket hjälper till med extrema arbetsbelastningar.
Nästa steg
Nu när du har lärt dig hur du använder privata slutpunkter för att ansluta enheten till ditt program, så här är det föreslagna nästa steg: