Поделиться через

Поддержка службы подготовки устройств Центра Интернета вещей Azure (DPS) для виртуальных сетей

В этой статье представлен шаблон подключения к виртуальной сети для устройств Интернета вещей, подготавливающихся к работе с центрами Интернета вещей с помощью DPS. Этот шаблон обеспечивает частное подключение между устройствами, DPS и Центром Интернета вещей в виртуальной сети Azure, принадлежащей клиенту.

В большинстве случаев, когда DPS настроена с виртуальной сетью, центр Интернета вещей также настраивается в той же виртуальной сети. Дополнительные сведения о поддержке и настройке виртуальных сетей для центров Интернета вещей см. в статье "Поддержка центра Интернета вещей" для виртуальных сетей с помощью Приватного канала Azure.

Введение

По умолчанию имена хостов DPS связаны с публичной конечной точкой, имеющей общедоступный IP-адрес в Интернет. Эта общедоступная конечная точка отображается всем клиентам. Устройства Интернета вещей по широкодоступным сетям и локальным сетям могут попытаться получить доступ к общедоступной конечной точке.

По нескольким причинам клиенты могут ограничить подключение к ресурсам Azure, таким как DPS. Ниже приведены следующие причины:

  • Предотвратите раскрытие подключения через общедоступный Интернет. Уязвимость может быть сокращена путем внедрения дополнительных уровней безопасности с помощью изоляции сетевого уровня для ресурсов Центра Интернета вещей и DPS

  • Обеспечение частного подключения из локальных сетевых ресурсов, что гарантирует передачу ваших данных и трафика непосредственно в основную сеть Azure.

  • Предотвращение атак эксфильтрации из чувствительных локальных сетей.

  • Следуя установленным шаблонам подключения в пределах Azure с использованием частных конечных точек.

Распространенные подходы к ограничению подключения включают правила фильтрации IP-адресов DPS и виртуальные сети с частными конечными точками. Цель этой статьи — описать подход к виртуальной сети для DPS с помощью частных конечных точек.

Устройства, работающие в локальных сетях, могут использовать vpn-сеть или частный пиринг ExpressRoute для подключения к виртуальной сети в Azure и доступа к ресурсам DPS через частные конечные точки.

Частная конечная точка — это частный IP-адрес, выделенный в виртуальной сети, принадлежащей клиенту, с помощью которой доступен ресурс Azure. Имея частную конечную точку для ресурса DPS, вы можете разрешить устройствам, работающим в виртуальной сети, запрашивать подготовку с помощью ресурса DPS, не разрешая трафик к общедоступной конечной точке. Каждый ресурс DPS может поддерживать несколько частных конечных точек, каждая из которых может находиться в виртуальной сети в другом регионе.

Предпосылки

Прежде чем продолжить, убедитесь, что выполнены следующие предварительные требования:

Ограничения частной конечной точки

Обратите внимание на следующие текущие ограничения для DPS при использовании частных конечных точек:

  • Частные конечные точки не работают, если ресурс DPS и связанный центр Интернета вещей находятся в разных облаках. Например, Azure для государственных организаций и глобальной платформы Azure.

  • Частные конечные точки в DPS используют Приватный канал Azure, который поддерживается только в общедоступных регионах. Дополнительные сведения см. в статье о доступности Приватного канала Azure.

  • В настоящее время пользовательские политики выделения с функциями Azure для DPS не работают, если функция Azure заблокирована на виртуальную сеть и частные конечные точки.

  • Текущая поддержка виртуальной сети DPS предназначена только для входящего трафика данных в DPS. Исходящие данные, представляющие собой трафик из DPS в IoT Хаб, используют внутренний межслужебный механизм вместо выделенной виртуальной сети. Поддержка полной блокировки исходящего трафика на основе виртуальной сети между DPS и Центром Интернета вещей в настоящее время недоступна.

  • Политика наименьшей задержки используется для привязки устройства к центру Интернета вещей с наименьшей задержкой. Эта политика выделения не является надежной в среде виртуальной сети.

  • Включение одной или нескольких частных конечных точек обычно включает отключение общедоступного доступа к экземпляру DPS. После отключения общедоступного доступа вы больше не сможете использовать портал Azure для управления регистрациями. Вместо этого можно управлять регистрацией с помощью API Azure CLI, PowerShell или службы с компьютеров в одной или нескольких виртуальных сетях или частных конечных точках, настроенных в экземпляре DPS.

  • При использовании частных конечных точек рекомендуется развернуть DPS в одном из регионов, поддерживающих зоны доступности. В противном случае, экземпляры DPS с включенными частными конечными точками могут испытывать снижение доступности в случае выхода из строя.

Примечание.

Рекомендации по месту размещения данных:

DPS предоставляет глобальную конечную точку устройства (global.azure-devices-provisioning.net). Однако при использовании глобальной конечной точки данные могут быть перенаправлены за пределы региона, в котором изначально создан экземпляр DPS. Чтобы обеспечить расположение данных в исходном регионе DPS, используйте частные конечные точки.

Настройка частной конечной точки

Чтобы настроить частную конечную точку, выполните следующие действия.

  1. На портале Azure перейдите к ресурсу DPS.

  2. В меню службы в разделе "Параметры" выберите вкладку "Сеть ".

  3. В рабочей области выберите вкладку "Закрытый доступ" и нажмите кнопку "Создать частную конечную точку".

    Снимок экрана: добавление новой частной конечной точки для экземпляра DPS на портале Azure.

  4. На вкладке "Основы " страницы "Создание частной конечной точки " введите сведения, упомянутые в следующей таблице.

    Снимок экрана: вкладка

    Поле Ценность
    Подписка Выберите нужную подписку Azure, чтобы разместить частную конечную точку.
    Группа ресурсов Выберите или создайте группу ресурсов для включения в нее частной конечной точки.
    Имя Введите имя для частной конечной точки.
    Имя сетевого интерфейса При необходимости введите имя сетевого интерфейса частной конечной точки.
    Регион Выберите регион для частной конечной точки. Выбранный регион должен совпадать с регионом, содержащим виртуальную сеть, но он не должен совпадать с ресурсом DPS.

    Нажмите кнопку Далее: ресурс , чтобы настроить ресурс, на который указывает частная конечная точка.

  5. На вкладке "Ресурс " на странице "Создание частной конечной точки " введите сведения, упомянутые в следующей таблице.

    Снимок экрана: вкладка

    Поле Ценность
    Подписка Если он еще не выбран, выберите подписку Azure, содержащую ресурс DPS, на который указывает частная конечная точка.
    Тип ресурса Если он еще не выбран, выберите Microsoft.Devices/ProvisioningServices.
    Ресурс Если он еще не выбран, выберите ресурс DPS, с которым сопоставляется частная конечная точка.
    Целевой дочерний ресурс Выберите iotDps.

    Подсказка

    Сведения о подключении к ресурсу Azure по идентификатору ресурса или параметру псевдонима приведены в разделе "Запрос частной конечной точки " в этой статье.

    Нажмите кнопку "Далее" — виртуальная сеть , чтобы настроить виртуальную сеть для частной конечной точки.

  6. На вкладке "Виртуальная сеть " на странице "Создание частной конечной точки " выберите виртуальную сеть и подсеть, чтобы создать частную конечную точку.

    Снимок экрана: вкладка

    Нажмите кнопку "Далее" — DNS , чтобы выбрать любые параметры частной интеграции DNS, необходимые для частной конечной точки.

  7. На вкладке DNS страницы "Создание частной конечной точки " выберите все параметры интеграции с частным DNS, необходимыми для частной конечной точки.

    Снимок экрана: вкладка DNS страницы

    Нажмите Далее: Теги и при необходимости предоставьте любые теги для ресурса.

  8. Нажмите кнопку "Далее: проверка и создание", а затем нажмите кнопку "Создать", чтобы создать ресурс частной конечной точки.

Использование частных конечных точек с устройствами

Чтобы использовать частные конечные точки с кодом подготовки устройств, код подготовки должен использовать определенную конечную точку службы для экземпляра DPS, как показано на странице обзора экземпляра DPS на портале Azure. Конечная точка службы имеет следующую форму.

<Your DPS Tenant Name>.azure-devices-provisioning.net

В большинстве примеров кода, показанного в нашей документации и пакетах SDK, используйте глобальную конечную точку устройства (global.azure-devices-provisioning.net) и область идентификатора для разрешения конкретного экземпляра DPS. При подключении к экземпляру DPS с помощью частных конечных точек используйте конечную точку службы вместо глобальной конечной точки устройства для развертывания ваших устройств.

Например, пример клиента устройства подготовки (pro_dev_client_sample) в пакете SDK для Azure IoT C предназначен для использования конечной точки глобального устройства в качестве глобального URI подготовки (global_prov_uri) в prov_dev_client_sample.c.

MU_DEFINE_ENUM_STRINGS_WITHOUT_INVALID(PROV_DEVICE_RESULT, PROV_DEVICE_RESULT_VALUE);
MU_DEFINE_ENUM_STRINGS_WITHOUT_INVALID(PROV_DEVICE_REG_STATUS, PROV_DEVICE_REG_STATUS_VALUES);

static const char* global_prov_uri = "global.azure-devices-provisioning.net";
static const char* id_scope = "[ID Scope]";

}

PROV_DEVICE_RESULT prov_device_result = PROV_DEVICE_RESULT_ERROR;
PROV_DEVICE_HANDLE prov_device_handle;
if ((prov_device_handle = Prov_Device_Create(global_prov_uri, id_scope, prov_transport)) == NULL)
{
    (void)printf("failed calling Prov_Device_Create\r\n");

Чтобы использовать пример с частной конечной точкой, выделенный код в предыдущем примере будет изменен, чтобы использовать конечную точку службы для ресурса DPS. Например, если конечная точка службы была mydps.azure-devices-provisioning.net, код будет выглядеть следующим образом.

static const char* global_prov_uri = "global.azure-devices-provisioning.net";
static const char* service_uri = "mydps.azure-devices-provisioning.net";
static const char* id_scope = "[ID Scope]";

    PROV_DEVICE_RESULT prov_device_result = PROV_DEVICE_RESULT_ERROR;
    PROV_DEVICE_HANDLE prov_device_handle;
    if ((prov_device_handle = Prov_Device_Create(service_uri, id_scope, prov_transport)) == NULL)
    {
        (void)printf("failed calling Prov_Device_Create\r\n");
    }

Запрос частной конечной точки

Вы можете запросить частную конечную точку к экземпляру DPS, используя идентификатор ресурса. Чтобы сделать этот запрос, необходимо, чтобы владелец ресурса предоставлял идентификатор ресурса.

  1. Идентификатор ресурса предоставляется на странице "Свойства" ресурса DPS на портале Azure, как показано на следующем снимке экрана.

    Снимок экрана: страница

    Осторожность

    Идентификатор ресурса содержит идентификатор подписки.

  2. После получения идентификатора ресурса выполните действия из раздела "Настройка частной конечной точки" до шага 3 на вкладке "Ресурс" страницы "Создание частной конечной точки". Выберите "Подключиться к ресурсу Azure по идентификатору ресурса или псевдониму " и введите сведения в следующей таблице.

    Поле Ценность
    Идентификатор ресурса или псевдоним Введите идентификатор ресурса для ресурса DPS.
    Целевой дочерний ресурс Введите iotDps
    Запрос сообщения Введите сообщение запроса для владельца ресурса DPS.
    Например:
    Please approve this new private endpoint
    for IoT devices in site 23 to access this DPS instance

    Нажмите кнопку "Далее" — виртуальная сеть , чтобы настроить виртуальную сеть для частной конечной точки.

  3. На вкладке "Виртуальная сеть " на странице "Создание частной конечной точки " выберите виртуальную сеть и подсеть, чтобы создать частную конечную точку.

    Снимок экрана: вкладка

    Нажмите кнопку "Далее" — DNS , чтобы выбрать любые параметры частной интеграции DNS, необходимые для запроса частной конечной точки.

  4. На вкладке DNS страницы "Создание частной конечной точки " выберите все параметры частной интеграции DNS, необходимые для запроса частной конечной точки.

    Снимок экрана: вкладка DNS страницы

    Нажмите Далее: Теги и при необходимости предоставьте любые теги для ресурса.

  5. Нажмите "Далее: просмотр и создание", а затем "Создать", чтобы создать запрос частной конечной точки.

  6. Владелец DPS видит запрос частной конечной точки в списке подключений к частной конечной точке на странице "Сеть " экземпляра DPS на портале Azure. На этой странице владелец может утвердить или отклонить запрос частной конечной точки.

    Снимок экрана, который показывает страницу сети экземпляра DPS на портале Azure, где выделен запрос частной конечной точки.

Цены на частные конечные точки

Дополнительные сведения о ценах см. на странице цен на службу "Приватный канал" Azure.

Дальнейшие действия

Дополнительные сведения о функциях безопасности DPS:

  • Last updated on