通过 Azure 专用网络链接为虚拟网络提供 IoT 中心 支持

默认情况下,IoT 中心 主机名会映射到一个公共终结点,该终结点具有一个可通过互联网公开路由的 IP 地址。 不同的客户将共享此 IoT 中心公共终结点,广域网和本地网络中的 IoT 设备均可对其进行访问。

注意

IoT 中心引入了其他终结点来支持 TLS 1.3(预览版)。 这些终结点是累加的,不会替换专用链接使用的现有终结点(<hub>.azure-devices.net)。 现有的专用终结点配置将继续正常运行,无需进行任何更改。

有关这些终结点的详细信息,请参阅 已启用 TLS 1.3 的终结点

显示 IoT 中心公共终结点和各种交互的关系图。

某些 IoT 中心功能(包括 消息路由文件上传批量设备导入/导出)还需要通过其公共终结点从 IoT 中心连接到客户拥有的 Azure 资源。 这些连接路径构成了从 IoT 中心流出到客户资源的出口流量。

你可能希望通过拥有和作的虚拟网络来限制与 Azure 资源(包括 IoT 中心)的连接,原因有多种,包括:

  • 通过防止与公共 Internet 的连接暴露,为 IoT 中心引入网络隔离。

  • 从本地网络资产启用专用连接体验,这可确保数据和流量直接传输到 Azure 主干网络。

  • 防止来自敏感本地网络的外泄攻击。

  • 采用 Azure 范围内常见的专用终结点连接模式。

本文介绍如何通过对 IoT 中心 的入站连接使用 Azure 专用链接,以及对从 IoT 中心 到其他 Azure 资源的出站连接使用受信任的 Microsoft 服务例外,来实现这些目标。

专用终结点是在客户拥有的虚拟网络中分配的专用 IP 地址,可通过该地址访问 Azure 资源。 通过使用Azure 专用链接,可以为IoT hub设置专用终结点,以便虚拟网络中的服务可以到达IoT 中心,而无需将流量发送到IoT 中心的公共终结点。 同样,本地设备可以使用 Azure VPN 网关Azure ExpressRoute 对等互连,通过其专用终结点连接以访问虚拟网络和 IoT 中心。 因此,可以使用 IoT 中心 IP 筛选器公共网络访问切换开关 来限制或完全阻止对 IoT 中心公共终结点的连接。 此方法使用设备的专用终结点保持与中心的连接。 此设置的主要重点是本地网络内的设备。 对于在广域网络中部署的设备,不建议进行此设置。

显示 IoT 中心的虚拟网络入口图表。

在继续之前,请确保满足以下先决条件:

为 IoT 中心入口设置专用端点

专用终结点适用于 IoT 中心设备 API(如设备到云消息)和服务 API(例如创建和更新设备)。

  1. Azure 门户中,转到 IoT 中心。

  2. 在左侧窗格中,在 “安全设置”下,选择“ 网络>专用访问”,然后选择“ 创建专用终结点”。

    显示为 IoT 中心添加专用终结点的位置的屏幕截图。

  3. 输入订阅、资源组、名称、网络接口名称和区域以创建新的专用终结点。 在中心所在的同一区域中创建专用终结点。

  4. 选择 Next: Resource,然后输入IoT 中心资源的订阅。 然后,为资源类型选择 Microsoft.Devices/IotHubs 、IoT 中心名称作为资源,并将 iotHub 作为目标子资源。

  5. 选择 Next: 虚拟网络,然后输入要在其中创建专用终结点的虚拟网络和子网。

  6. 选择“ 下一步:DNS”,根据需要选择与专用 DNS 区域集成的选项。

  7. 选择 “下一步:标记”,并根据需要输入资源的任何标记。

  8. 选择 “下一步:查看 + 创建 ”以查看专用链接资源的详细信息,然后选择“ 创建 ”以创建资源。

内置事件中心兼容端点

还可以通过专用终结点访问 内置的事件中心兼容终结点 。 配置专用链接时,会看到另一个专用终结点连接和内置终结点的配置。 在 FQDN 中,那个包含 servicebus.chinacloudapi.cn 的就是它。

显示 IoT 中心专用链接的两个专用终结点的屏幕截图,其中突出显示了内置终结点的 FQDN 和配置。

可以选择使用 IoT 中心 的 IP 筛选器来控制对内置终结点的公共访问。

若要完全阻止对 IoT 中心的公共 网络访问,请关闭公用网络访问 或使用 IP 筛选器阻止所有 IP,并选择将规则应用于内置终结点的选项。

有关定价详细信息,请参阅 Azure 专用链接定价

从 IoT 中心到其他 Azure 资源的出口连接

IoT 中心 可以通过这些资源的公共终结点连接到 Azure Blob 存储、事件中心和 服务总线 资源,以进行 消息路由文件上传批量设备导入/导出。 默认情况下,将资源绑定到虚拟网络会阻止与资源的连接。 因此,此配置可防止 IoT 中心将数据发送到您的资源。 若要解决此问题,请通过 受信任的 Microsoft 服务 选项,启用 IoT 中心 资源与存储账户、事件中心或 服务总线 资源之间的连接。

若要允许其他服务将 IoT 中心识别为受信任的 Microsoft 服务,您的中心必须使用托管身份。 预配托管标识后,向中心托管标识授予访问自定义终结点的权限。 按照 IoT 中心托管标识支持 中提供的步骤,使用 Azure 基于角色的访问控制(RBAC)权限来预配托管标识,并将自定义终结点添加到你的 IoT 中心。 若要允许 IoT 中心访问自定义终结点,请确保启用受信任的Microsoft第一方例外(如果已设置防火墙配置)。

可信的 Microsoft 服务选项的定价

受信任的Microsoft第一方服务例外功能是免费的。 预配的存储帐户、事件中心或服务总线资源的费用单独适用。

后续步骤

若要了解有关IoT 中心功能的详细信息,请参阅以下资源:

  • Last updated on