Сетевая безопасность для ресурсов Обновления устройств для Центра Интернета вещей
В этой статье описывается, как использовать следующие функции сетевой безопасности при управлении обновлениями устройств.
- Теги служб в группах безопасности сети и Брандмауэрах Azure
- Частные конечные точки в виртуальных сетях Azure
Важно!
Обновление устройств не поддерживает отключение доступа к общедоступной сети в связанном Центре Интернета вещей.
Теги служб
Тег службы представляет группу префиксов IP-адресов из определенной службы Azure. Корпорация Майкрософт управляет префиксами адресов, входящих в тег службы, и автоматически обновляет этот тег при изменении адресов, сводя к минимуму сложность частых обновлений правил сетевой безопасности. Для получения дополнительной информации о служебных тегах см. статью Обзор служебных тегов.
Теги службы можно использовать для определения элементов управления доступом к сети в группах безопасности сети или Брандмауэре Azure. Теги служб можно использовать вместо определенных IP-адресов при создании правил безопасности. Указав имя тега службы (например, AzureDeviceUpdate) в соответствующем поле источника или назначения правила, можно разрешить или запретить трафик для соответствующей службы.
| Тег службы | Назначение | Может ли использовать входящий или исходящий трафик? | Может быть региональным? | Можно ли использовать с Брандмауэром Azure? |
|---|---|---|---|---|
| AzureDeviceUpdate | Обновление устройств для Центра Интернета вещей. | both | Нет | Да |
Региональные диапазоны IP-адресов
Так как правила Центр Интернета вещей IP-адресов не поддерживают теги служб, необходимо использовать префиксы IP-адресов тега службы AzureDeviceUpdate. Так как этот тег в настоящее время является глобальным, для удобства мы предоставляем следующую таблицу. Обратите внимание, что расположение — это расположение ресурсов обновления устройств.
| Расположение | Диапазоны IP-адресов |
|---|---|
| Восточная Австралия | 20.211.71.192/26,20.53.47.16/28,20.70.223.192/26,104.46.179.224/28,20.92.5.128/25,20.92.5.128/26 |
| Восточная часть США | 20.119.27.192/26,20.119.28.128/26,20.62.132.240/28,20.62.135.128/27,20.62.135.160/28,20.59.77.64/26,20.59.81.64/26,20.66.3.208/28 |
| восточная часть США 2 | 20.119.155.192/26,20.62.59.16/28,20.98.195.192/26,20.40.229.32/28,20.98.148.192/26,20.98.148.64/26 |
| Восточная часть США 2 (EUAP) | 20.47.236.192/26,20.47.237.128/26,20.51.20.64/28,20.228.1.0/26,20.45.241.192/26,20.46.11.192/28 |
| Северная Европа | 20.223.64.64/26,52.146.136.16/28,52.146.141.64/26,20.105.211.0/26,20.105.211.192/26,20.61.102.96/28,20.86.93.128/26 |
| Центрально-южная часть США | 20.65.133.64/28,20.97.35.64/26,20.97.39.192/26,20.125.162.0/26,20.49.119.192/28,20.51.7.64/26 |
| Southeast Asia | 20.195.65.112/28,20.195.87.128/26,20.212.79.64/26,20.195.72.112/28,20.205.49.128/26,20.205.67.192/26 |
| Центральная Швеция | 20.91.144.0/26,51.12.46.112/28,51.12.74.192/26,20.91.11.64/26,20.91.9.192/26,51.12.198.96/28 |
| южная часть Соединенного Королевства | 20.117.192.0/26,20.117.193.64/26,51.143.212.48/28,20.58.67.0/28,20.90.38.128/26,20.90.38.64/26 |
| Западная Европа | 20.105.211.0/26,20.105.211.192/26,20.61.102.96/28,20.86.93.128/26,20.223.64.64/26,52.146.136.16/28,52.146.141.64/26 |
| западная часть США 2 | 20.125.0.128/26,20.125.4.0/25,20.51.12.64/26,20.83.222.128/26,20.69.0.112/28,20.69.4.128/26,20.69.4.64/26,20.69.8.192/26 |
| Западная часть США — 3 | 20.118.138.192/26,20.118.141.64/26,20.150.244.16/28,20.119.27.192/26,20.119.28.128/26,20.62.132.240/28,20.62.135.128/27,20.62.135.160/28 |
Примечание
Приведенные выше префиксы IP-адресов вряд ли изменятся, но список следует просматривать раз в месяц.
Частные конечные точки
Вы можете пустить через частные конечные точки безопасный трафик из виртуальной сети в учетные записи Обновления устройств по приватному каналу без использования общедоступного Интернета. Частная конечная точка — это особый сетевой интерфейс для службы Azure в виртуальной сети. При создании частной конечной точки для учетной записи Обновления устройств обеспечивается безопасное подключение между клиентами в виртуальной сети и учетной записью Обновления устройств. Частной конечной точке назначается IP-адрес из диапазона IP-адресов вашей виртуальной сети. Подключение между частной конечной точкой и службами Обновления устройств использует защищенный приватный канал.
Использование частных конечных точек для Обновления устройств позволяет:
- Обеспечивать безопасный доступ к учетной записи Обновления устройств из виртуальной сети через магистральную сеть Майкрософт, а не через общедоступный Интернет.
- Выполнять безопасное подключение из локальных сетей, которые подключаются к виртуальной сети с помощью VPN или ExpressRoute с частным пирингом.
Когда вы создаете в виртуальной сети частную конечную точку для учетной записи Обновления устройств, владельцу ресурса отправляется соответствующий запрос на предоставление согласия. Если пользователь, запрашивающий создание частной конечной точки, одновременно является владельцем учетной записи, запрос на согласие утверждается автоматически. В противном случае соединение находится в состоянии ожидания, пока не будет утверждено. Приложения в виртуальной сети могут легко подключаться к службе Обновления устройств через частную конечную точку, используя то же имя узла и механизмы авторизации, которые они использовали бы в иных случаях. Владельцы учетных записей могут управлять запросами на согласие и частными конечными точками на вкладке Частные конечные точки для ресурса на портале Azure.
Подключение к частным конечным точкам
Клиенты в виртуальной сети, использующие частную конечную точку, должны использовать то же имя узла учетной записи и механизмы авторизации, что и клиенты, подключающиеся к общедоступной конечной точке. Разрешение DNS автоматически направляет подключения из виртуальной сети в учетную запись по приватному каналу. Обновление устройств создает частную зону DNS, подключенную к виртуальной сети, с необходимыми обновлениями для частных конечных точек по умолчанию. Однако если вы используете собственный DNS-сервер, может потребоваться внести дополнительные изменения в конфигурацию DNS.
Изменения DNS для частных конечных точек
При создании частной конечной точки запись DNS CNAME для ресурса обновляется и получает псевдоним в поддомене с префиксом privatelink. По умолчанию создается частная зона DNS, соответствующая поддомену частной ссылки.
URL-адрес конечной точки учетной записи из-за пределов виртуальной сети с частной конечной точкой разрешается в общедоступную конечную точку службы. Записи ресурсов DNS для учетной записи "Contoso", если они разрешаются из-за пределов виртуальной сети, в которой размещается частная конечная точка, будут таковы:
| Имя | Тип | Значение |
|---|---|---|
contoso.api.adu.microsoft.com |
CNAME | contoso.api.privatelink.adu.microsoft.com |
contoso.api.privatelink.adu.microsoft.com |
CNAME | <Профиль диспетчера трафика Azure> |
При разрешении из виртуальной сети, в которой размещается конечная точка, URL-адрес конечной точки учетной записи разрешается в IP-адрес частной конечной точки. Записи ресурсов DNS для учетной записи "Contoso", если они разрешаются внутри виртуальной сети, в которой размещается частная конечная точка, будут таковы:
| Имя | Тип | Значение |
|---|---|---|
contoso.api.adu.microsoft.com |
CNAME | contoso.api.privatelink.adu.microsoft.com |
contoso.api.privatelink.adu.microsoft.com |
CNAME | 10.0.0.5 |
Такой подход обеспечивает доступ к учетной записи для клиентов в виртуальной сети, где размещаются частные конечные точки, а также для клиентов за пределами виртуальной сети.
При использовании пользовательского DNS-сервера в сети клиенты могут разрешить полное доменное имя для конечной точки учетной записи Обновления устройств в IP-адрес частной конечной точки. Настройте DNS-сервер для делегирования поддомена приватного канала в частную зону DNS для виртуальной сети или настройте записи A для accountName.api.privatelink.adu.microsoft.com с IP-адресом частной конечной точки.
Рекомендуемое имя зоны DNS — privatelink.adu.microsoft.com.
Частные конечные точки и управление обновлениями устройств
Примечание
Этот раздел относится только к учетным записям Обновления устройств с отключенным доступом к общедоступной сети и подключениям к частной конечной точке, утвержденным вручную.
В следующей таблице описаны различные состояния подключения к частной конечной точке и их влияние на управление обновлением устройств (импорт, группировку и развертывание).
| Состояние соединения | Успешное управление обновлениями устройств (да или нет) |
|---|---|
| Approved | Да |
| Отклонено | нет |
| Ожидает | нет |
| Отключено | нет |
Чтобы обновление устройств прошло успешно, состояние подключения к частной конечной точке должно быть утверждено. Если подключение отклоняется, оно не может быть утверждено с помощью портал Azure. Единственной возможностью является удаление соединения и создание нового.