適用於 IoT 中樞 網路安全性的 Azure 裝置更新
本文說明適用於 IoT 中樞 的 Azure 裝置更新如何使用下列網路安全性功能來管理更新:
- 網路安全組和 Azure 防火牆 中的服務標籤
- Azure 虛擬網絡 中的私人端點
重要
裝置更新不支持在連結的IoT中樞中停用公用網路存取。
服務標籤
服務標籤代表來自特定 Azure 服務的一組 IP 位址首碼。 Microsoft 會管理服務標籤包含的位址前置詞,並隨著位址變更自動更新服務標籤,而盡可能簡化網路安全性規則頻繁的更新。 如需服務標籤的詳細資訊,請參閱服務標籤概觀。
您可使用服務標籤來定義網路安全性群組或 Azure 防火牆的網路存取控制。 建立安全性規則時,請以服務標籤取代特定的 IP 位址。 藉由指定服務標籤名稱,例如, AzureDeviceUpdate在規則的適當 source 或 destination 欄位中,您可以允許或拒絕對應服務的流量。
| 服務標籤 | 目的 | 輸入或輸出? | 是否可為區域性? | 是否可與 Azure 防火牆搭配使用? |
|---|---|---|---|---|
| AzureDeviceUpdate | 適用於 IoT 中樞的 Azure 裝置更新 | 兩者 | No | Yes |
區域 IP 範圍
由於 Azure IoT 中樞 IP 規則不支援服務標籤,因此您必須改用AzureDeviceUpdate服務標籤 IP 前置綴。 卷標是全域的,因此下表提供區域IP範圍以方便使用。
下列IP前置詞不太可能變更,但您應該每月檢閱清單。 位置 表示裝置更新資源的位置。
| Location | IP 範圍 |
|---|---|
| 澳大利亞東部 | 20.211.71.192/26, 20.53.47.16/28, 20.70.223.192/26, 104.46.179.224/28, 20.92.5.128/25, 20.92.5.128/26 |
| 美國東部 | 20.119.27.192/26, 20.119.28.128/26, 20.62.132.240/28, 20.62.135.128/27, 20.62.135.160/28, 20.59.77.64/26, 20.59.81.64/26, 20.66.3.208/28 |
| 美國東部 2 | 20.119.155.192/26, 20.62.59.16/28, 20.98.195.192/26, 20.40.229.32/28, 20.98.148.192/26, 20.98.148.64/26 |
| 美國東部 2 EUAP | 20.47.236.192/26, 20.47.237.128/26, 20.51.20.64/28, 20.228.1.0/26, 20.45.241.192/26, 20.46.11.192/28 |
| 北歐 | 20.223.64.64/26, 52.146.136.16/28, 52.146.141.64/26, 20.105.211.0/26, 20.105.211.192/26, 20.61.102.96/28, 20.86.93.128/26 |
| 美國中南部 | 20.65.133.64/28, 20.97.35.64/26, 20.97.39.192/26, 20.125.162.0/26, 20.49.119.192/28, 20.51.7.64/26 |
| 東南亞 | 20.195.65.112/28, 20.195.87.128/26, 20.212.79.64/26, 20.195.72.112/28, 20.205.49.128/26, 20.205.67.192/26 |
| 瑞典中部 | 20.91.144.0/26, 51.12.46.112/28, 51.12.74.192/26, 20.91.11.64/26, 20.91.9.192/26, 51.12.198.96/28 |
| 英國南部 | 20.117.192.0/26, 20.117.193.64/26, 51.143.212.48/28, 20.58.67.0/28, 20.90.38.128/26, 20.90.38.64/26 |
| 西歐 | 20.105.211.0/26, 20.105.211.192/26, 20.61.102.96/28, 20.86.93.128/26, 20.223.64.64/26, 52.146.136.16/28, 52.146.141.64/26 |
| 美國西部 2 | 20.125.0.128/26, 20.125.4.0/25, 20.51.12.64/26, 20.83.222.128/26, 20.69.0.112/28, 20.69.4.128/26, 20.69.4.64/26, 20.69.8.192/26 |
| 美國西部 3 | 20.118.138.192/26, 20.118.141.64/26, 20.150.244.16/28, 20.119.27.192/26, 20.119.28.128/26, 20.62.132.240/28, 20.62.135.128/27, 20.62.135.160/28 |
私人端點
在您的虛擬網路中,私人端點是 Azure 服務的特殊網路介面。 私人端點可讓您透過 私人鏈接保護從虛擬網路到裝置更新帳戶的流量,而不需要透過公用因特網。
裝置更新帳戶的私人端點可在虛擬網路上的用戶端與裝置更新帳戶之間提供安全的連線。 私人端點會獲指派您虛擬網路 IP 位址範圍中的 IP 位址。 私人端點與裝置更新服務之間的聯機會使用安全的私人連結。
您可以將私人端點用於裝置更新資源,以:
- 透過Microsoft骨幹網路,安全地從虛擬網路存取您的裝置更新帳戶,而不是公用因特網。
- 使用虛擬專用網 (VPN) 或具有私人對等互連的 Azure ExpressRoute,從連線到虛擬網路的內部部署網路安全地連線。
在您的虛擬網路中建立裝置更新帳戶的私人端點,會將同意要求傳送給資源擁有者核准。 如果要求建立私人端點的使用者也擁有帳戶,則會自動核准此同意要求。 否則,聯機會處於 擱置 狀態,直到核准為止。
虛擬網路中的應用程式可以使用通常的主機名和授權機制,順暢地透過私人端點聯機到裝置更新服務。 帳戶擁有者可以在資源的 [網络] 頁面的 [私人存取] 索引標籤上,管理 Azure 入口網站 中的同意要求和私人端點。
連線私人端點
使用私人端點之虛擬網路上的用戶端應該使用與連線至公用端點的用戶端相同的帳戶主機名和授權機制。 功能變數名稱系統 (DNS) 解析會自動透過私人連結,將連線從虛擬網路路由傳送至帳戶。
根據預設,裝置更新會 建立連結至虛擬網路的私人 DNS 區域 ,其中包含私人端點的必要更新。 如果您使用自己的 DNS 伺服器,您可能需要變更 DNS 設定。
私人端點的 DNS 變更
當您建立私人端點時,資源的 DNS CNAME 記錄會以前置詞 privatelink更新為子域中的別名。 根據預設,系統會建立對應私人連結子網域的私人 DNS 區域。
從虛擬網路外部存取具有私人端點的帳戶端點 URL 時,它會解析為服務的公用端點。 從裝載私人端點的虛擬網路外部存取時,帳戶 contoso的下列 DNS 資源記錄會解析為下列值:
| 資源記錄 | 類型 | 已解析的值 |
|---|---|---|
contoso.api.adu.microsoft.com |
CNAME | contoso.api.privatelink.adu.microsoft.com |
contoso.api.privatelink.adu.microsoft.com |
CNAME | Azure 流量管理員 配置檔 |
從裝載私人端點的虛擬網路記憶體取時,帳戶端點 URL 會解析為私人端點的 IP 位址。 從裝載私人端點的虛擬網路內部解析時,帳戶 contoso的 DNS 資源記錄如下:
| 資源記錄 | 類型 | 已解析的值 |
|---|---|---|
contoso.api.adu.microsoft.com |
CNAME | contoso.api.privatelink.adu.microsoft.com |
contoso.api.privatelink.adu.microsoft.com |
CNAME | 10.0.0.5 |
此方法可讓裝載私人端點的虛擬網路上的用戶端,以及虛擬網路外部的用戶端存取帳戶。
如果您在網路上使用自定義 DNS 伺服器,用戶端可以將裝置更新帳戶端點的完整功能變數名稱 (FQDN) 解析為私人端點 IP 位址。 設定 DNS 伺服器,將私人連結子網域委派給虛擬網路的私人 DNS 區域,或使用私人端點 IP 位址設定 accountName.api.privatelink.adu.microsoft.com 的 A 記錄。 建議的 DNS 區域名稱是 privatelink.adu.microsoft.com。
私人端點和裝置更新管理
本節僅適用於已停用公用網路存取的裝置更新帳戶,以及手動核准的私人端點連線。 下表描述各種私人端點連線狀態,以及裝置更新管理的影響,例如匯入、分組和部署。
| 連線狀態 | 可以管理裝置更新 |
|---|---|
| 核准 | Yes |
| 已拒絕 | No |
| 待定 | No |
| 已中斷連接 | No |
若要讓更新管理成功,私人端點連線狀態必須 經過核准。 如果連線遭到拒絕,就無法使用 Azure 入口網站 核准連線。 您必須刪除連線並建立新的連線。