Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
По умолчанию имена узлов Центр Интернета вещей сопоставляются с общедоступной конечной точкой, имеющей публично маршрутизируемый IP-адрес в Интернете. Разные клиенты совместно используют эту общедоступную конечную точку Центра Интернета вещей, и получить к ней доступ могут все устройства Интернета вещей в глобальных и локальных сетях.
Note
Центр Интернета вещей предоставляет дополнительные конечные точки для поддержки TLS 1.3 (предварительная версия). Эти конечные точки являются аддитивными и не заменяют существующую конечную точку, используемую Приватный канал (<hub>.azure-devices.net). Существующие конфигурации частной конечной точки продолжают функционировать без каких-либо изменений.
Дополнительные сведения об этих конечных точках см. в конечных точках с поддержкой TLS 1.3.
Некоторые функции Центра Интернета вещей, включая маршрутизацию сообщений, отправку файлов и массовый импорт и экспорт устройств, также требуют подключения из Центра Интернета вещей к ресурсу Azure, принадлежащим клиенту, через общедоступную конечную точку Azure. Эти пути подключения составляют исходящий трафик из Центра Интернета вещей к ресурсам клиентов.
Возможно, вам потребуется ограничить подключение к ресурсам Azure (включая Центр Интернета вещей) через виртуальную сеть, которую вы владеете и работаете по нескольким причинам, в том числе:
Внедрение сетевой изоляции для Центра Интернета вещей путем предотвращения воздействия подключения к общедоступному Интернету.
Включение частного подключения из локальных сетевых ресурсов, что гарантирует передачу данных и трафика непосредственно в магистральную сеть Azure.
Предотвращение атак эксфильтрации данных из конфиденциальных локальных сетей.
При использовании установленных шаблонов подключения в масштабе Azure с использованием частных конечных точек.
В этой статье описывается, как достичь этих целей с помощью Приватный канал Azure для входящего подключения к Центр Интернета вещей и с помощью исключения для доверенных служб Microsoft для исходящего подключения из Центр Интернета вещей к другим ресурсам Azure.
Подключение к Центру Интернета вещей с помощью Приватного канала Azure
Частная конечная точка — это частный IP-адрес, выделенный в виртуальной сети клиента, с помощью которой доступен ресурс Azure. С помощью Приватный канал Azure можно настроить частную конечную точку для IoT hub, чтобы службы внутри виртуальной сети могли достичь Центр Интернета вещей без отправки трафика в общедоступную конечную точку Центр Интернета вещей. Аналогичным образом локальные устройства могут использовать VPN-шлюз Azure или пиринг Azure ExpressRoute для подключения к виртуальной сети и центру Интернета вещей (через частную конечную точку). В результате можно ограничить или полностью заблокировать подключение к общедоступным конечным точкам IoT hub с помощью фильтра IP-адресов Центр Интернета вещей или переключателя общедоступной сети. Этот подход обеспечивает подключение к центру с помощью частной конечной точки для устройств. Основное внимание в этой настройке уделяется устройствам в локальной сети. Эта настройка не рекомендуется использовать для устройств, развернутых в широкой сети.
Прежде чем продолжить, убедитесь, что выполнены следующие предварительные требования:
Вы создали виртуальную сеть Azure с подсетью, в которой создается частная конечная точка.
Для устройств, работающих в локальных сетях, настройте VPN-шлюз Azure или частный пиринг Azure ExpressRoute в виртуальной сети Azure.
Настройка частной конечной точки для входящего трафика Центра Интернета вещей
Частные конечные точки работают для API устройств Центр Интернета вещей (таких как сообщения из устройства в облако) и API службы (например, создание и обновление устройств).
На портале Azure перейдите в центр Интернета вещей.
В левой области в разделе "Параметры безопасности" выберите ">Сетевой частный доступ" и выберите "Создать частную конечную точку".
Введите подписку, группу ресурсов, имя, имя сетевого интерфейса и регион, чтобы создать новую частную конечную точку. Создайте частную конечную точку в том же регионе, что и центр.
Выберите Next: Resource и введите подписку для ресурса Центр Интернета вещей. Затем выберите Microsoft.Devices/IotHubs для типа ресурса, имя центра Интернета вещей в качестве ресурса и iotHub в качестве целевого подресурса.
Выберите Next: виртуальная сеть, а затем введите виртуальную сеть и подсеть, в которых нужно создать частную конечную точку.
Нажмите кнопку "Далее": DNS и выберите вариант интеграции с частной зоной DNS, если это необходимо.
Нажмите кнопку "Далее": теги и при необходимости введите любые теги для ресурса.
Нажмите «Далее: проверка и создание», чтобы просмотреть сведения о ресурсе приватной ссылки, а затем нажмите «Создать», чтобы создать ресурс.
Встроенная конечная точка, совместимая с Центрами событий
Вы также можете получить доступ к встроенной совместимой конечной точке Центров событий через частную конечную точку. При настройке Private Link отображаются ещё одно подключение к частной конечной точке и конфигурация встроенной конечной точки. Это тот, в полном доменном имени которого servicebus.windows.net.
При необходимости можно использовать фильтр Центр Интернета вещей IP для управления общедоступным доступом к встроенной конечной точке.
Чтобы полностью заблокировать доступ к общедоступной сети к центру Интернета вещей, отключите доступ к общедоступной сети или используйте IP-фильтр для блокировки всех IP-адресов и выберите параметр применения правил к встроенной конечной точке.
Цены на Приватный канал
Дополнительные сведения о ценах см. в разделе о ценах на Приватный канал Azure.
Исходящее подключение из Центр Интернета вещей к другим ресурсам Azure
Центр Интернета вещей может подключаться к хранилищу BLOB-объектов Azure, ресурсам Event Hubs и служебная шина для маршрутизации сообщений, отправки файлов и массового импорта и экспорта устройств через общедоступную конечную точку этих ресурсов. Привязка ресурса к виртуальной сети блокирует подключение к ресурсу по умолчанию. В результате эта конфигурация блокирует IoT хабы от отправки данных в ваши ресурсы. Чтобы устранить эту проблему, включите возможность подключения от ресурса Центр Интернета вещей к учетной записи хранения, концентратору событий или ресурсам служебная шина с помощью параметра Доверенная служба Microsoft.
Чтобы разрешить другим службам найти ваш узел IoT в качестве доверенного сервиса Microsoft, ваш узел должен использовать управляемую идентичность. После подготовки управляемого удостоверения предоставьте разрешение управляющей сущности вашего узла на доступ к пользовательской конечной точке. Следуйте процедурам, изложенным в Центр Интернета вещей с поддержкой управляемых удостоверений, чтобы задать управляемое удостоверение с разрешением на управление доступом на основе ролей Azure (RBAC) и добавить пользовательскую конечную точку в ваш Центр Интернета вещей. Чтобы разрешить центрам Интернета вещей доступ к пользовательской конечной точке, убедитесь, что вы включили исключение для доверенного поставщика от Microsoft, если у вас настроены правила брандмауэра.
Цены на доверенный вариант службы Майкрософт
Функция исключения доверенных собственных служб Microsoft предоставляется бесплатно. Плата за выделенные учетные записи хранения, центры событий или ресурсы шины обслуживания применяются отдельно.
Дальнейшие шаги
Дополнительные сведения о функциях Центр Интернета вещей см. в следующих ресурсах: