Поддержка Центра Интернета вещей для виртуальных сетей с помощью Приватного канала Azure

По умолчанию имена узлов Центра Интернета вещей сопоставляют с общедоступной конечной точкой с общедоступным IP-адресом через Интернет. Разные клиенты совместно используют эту общедоступную конечную точку Центра Интернета вещей, и получить к ней доступ могут все устройства Интернета вещей в глобальных и локальных сетях.

Некоторые функции Центра Интернета вещей, включая маршрутизацию сообщений, отправку файлов и массовый импорт и экспорт устройств, также требуют подключения из Центра Интернета вещей к ресурсу Azure, принадлежащим клиенту, через общедоступную конечную точку Azure. Эти пути подключения составляют исходящий трафик из Центра Интернета вещей к ресурсам клиентов.

Возможно, вам потребуется ограничить подключение к ресурсам Azure (включая Центр Интернета вещей) через виртуальную сеть, которую вы владеете и работаете по нескольким причинам, в том числе:

• Внедрение сетевой изоляции для Центра Интернета вещей путем предотвращения воздействия подключения к общедоступному Интернету.

• Включение частного подключения из локальных сетевых ресурсов, что гарантирует передачу данных и трафика непосредственно в магистральную сеть Azure.

• Предотвращение атак эксфильтрации данных из конфиденциальных локальных сетей.

• При использовании установленных шаблонов подключения в масштабе Azure с использованием частных конечных точек.

В этой статье описывается, как достичь этих целей с помощью Приватного канала Azure для подключения к Центру Интернета вещей и использования исключения доверенных служб Майкрософт для исходящего подключения из Центра Интернета вещей к другим ресурсам Azure.

Подключение к Центру Интернета вещей с помощью Приватного канала Azure

Частная конечная точка — это частный IP-адрес, выделенный в виртуальной сети клиента, с помощью которой доступен ресурс Azure. С помощью Приватного канала Azure можно настроить частную конечную точку для Центра Интернета вещей, чтобы службы внутри виртуальной сети могли добраться до Центра Интернета вещей, не требуя отправки трафика в общедоступную конечную точку Центра Интернета вещей. Аналогичным образом локальные устройства могут использовать VPN-шлюз Azure или пиринг Azure ExpressRoute для подключения к виртуальной сети и центру Интернета вещей (через частную конечную точку). В результате можно ограничить или полностью заблокировать подключение к общедоступным конечным точкам IoT Hub с помощью IP-фильтра IoT Hub или переключателя доступа к общедоступной сети. Этот подход обеспечивает подключение к центру с помощью частной конечной точки для устройств. Основное внимание в этой настройке уделяется устройствам в локальной сети. Эта настройка не рекомендуется использовать для устройств, развернутых в широкой сети.

Прежде чем продолжить, убедитесь, что выполнены следующие предварительные требования:

• Вы создали виртуальную сеть Azure с подсетью, в которой создается частная конечная точка.

• Для устройств, работающих в локальных сетях, настройте VPN-шлюз Azure или частный пиринг Azure ExpressRoute в виртуальной сети Azure.

Настройка частной конечной точки для входящего трафика Центра Интернета вещей

Частные конечные точки работают для API устройств IoT Hub (таких как сообщения из устройства в облако) и API службы (например, создание и обновление устройств).

1. Найдите нужный Центр Интернета вещей на портале Azure.

2. В левой области в разделе "Параметры безопасности" выберите ">Сетевой частный доступ" и выберите "Создать частную конечную точку".

   

3. Укажите подписку, группу ресурсов, имя, имя сетевого интерфейса и регион для создания новой частной конечной точки. В идеале частная конечная точка должна быть создана в том же регионе, что и центр.

4. Нажмите кнопку "Далее": ресурс и укажите подписку для ресурса Центра Интернета вещей. Затем выберите Microsoft.Devices/IotHubs для типа ресурса, имя центра Интернета вещей в качестве ресурса и iotHub в качестве целевого подресурса.

5. Нажмите кнопку "Далее": виртуальная сеть и укажите виртуальную сеть и подсеть, чтобы создать частную конечную точку.

6. Нажмите кнопку "Далее": DNS и выберите вариант интеграции с частной зоной DNS, если это необходимо.

7. Нажмите «Далее: теги» и при необходимости укажите любые теги для вашего ресурса.

8. Нажмите «Далее: проверка и создание», чтобы просмотреть сведения о ресурсе приватной ссылки, а затем нажмите «Создать», чтобы создать ресурс.

Встроенная конечная точка, совместимая с Центрами событий

Встроенная конечная точка, совместимая с Центрами событий, также может быть доступна через частную конечную точку. При настройке приватного канала вы увидите другое подключение к частной конечной точке и конфигурацию для встроенной конечной точки. Это тот, в полном доменном имени которого servicebus.windows.net.

Фильтр IP-адресов Центра Интернета вещей при необходимости может контролировать общий доступ к встроенной конечной точке.

Чтобы полностью заблокировать доступ к общедоступной сети к центру Интернета вещей, отключите доступ к общедоступной сети или используйте IP-фильтр для блокировки всех IP-адресов и выберите параметр применения правил к встроенной конечной точке.

Цены на Private Link

Дополнительные сведения о ценах см. в разделе о ценах на Приватный канал Azure.

Исходящие подключения из Центра Интернета вещей к другим ресурсам Azure

Центр Интернета вещей может подключаться к хранилищу BLOB-объектов Azure, концентратору событий, ресурсам служебной шины для маршрутизации сообщений, отправки файлов и импорта/экспорта устройств с помощью общедоступной конечной точки ресурсов. Привязка ресурса к виртуальной сети блокирует подключение к ресурсу по умолчанию. В результате эта конфигурация блокирует IoT хабы от отправки данных в ваши ресурсы. Чтобы устранить эту проблему, включите подключение из ресурса Центра IoT к вашей учетной записи хранения, концентратору событий или ресурсам служебной шины через параметр "доверенная служба Microsoft".

Чтобы разрешить другим службам найти ваш узел IoT в качестве доверенного сервиса Microsoft, ваш узел должен использовать управляемую идентичность. После подготовки управляемого удостоверения предоставьте разрешение управляющей сущности вашего узла на доступ к пользовательской конечной точке. Следуйте процедурам, изложенным в IoT Hub с поддержкой управляемых удостоверений, чтобы задать управляемое удостоверение с разрешением на управление доступом на основе ролей Azure (RBAC) и добавить пользовательскую конечную точку в ваш IoT Hub. Чтобы разрешить центрам Интернета вещей доступ к пользовательской конечной точке, убедитесь, что вы включили исключение для доверенного поставщика от Microsoft, если у вас настроены правила брандмауэра.

Цены на доверенный вариант службы Майкрософт

Функция исключения доверенных собственных служб Microsoft предоставляется бесплатно. Плата за выделенные учетные записи хранения, центры событий или ресурсы шины обслуживания применяются отдельно.

Дальнейшие шаги

Чтобы узнать больше о функциях Центра Интернета вещей, воспользуйтесь следующими ссылками:

• Маршрутизация сообщений Центра Интернета вещей для отправки сообщений из устройства в облако в службы Azure
• Отправка файлов с помощью Центра Интернета вещей
• Import and export IoT Hub device identities in bulk (Импорт и экспорт удостоверений устройств центра Интернета вещей в пакетном режиме)