重要
禁用公用网络访问可防止使用 IoT 中心的设备更新。
若要限制对 虚拟网络中 IoT 中心的专用终结点的访问,请禁用公用网络访问。 为此,请使用 Azure 门户或 publicNetworkAccess API。 还可以使用门户或 publicNetworkAccess API 允许公共访问。
使用 Azure 门户关闭公用网络访问
- 转到 Azure 门户
- 导航到 IoT 中心。 转到 资源组,选择相应的组,然后选择 IoT 中心。
- 从左侧菜单中选择 “网络 ”。
- 在“允许公用网络访问”下,选择“已禁用”
- 选择“保存”。
若要启用公共网络访问,请选中“ 所有网络”,然后选择 “保存”。
禁用公共网络访问后访问 IoT 中心
禁用公用网络访问后,IoT 中心只能通过 其虚拟网络专用终结点使用 Azure 专用链接进行访问。 此限制包括通过 Azure 门户进行访问,因为您使用浏览器和凭据直接对 IoT 中心服务进行 API 调用。
禁用公用网络访问后,IoT 中心终结点、IP 地址和端口
IoT 中心是一个多租户平台即服务(PaaS),因此不同的客户共享同一池的计算、网络和存储硬件资源。 IoT 中心的主机名通过 Internet 映射到具有可公开路由 IP 地址的公共终结点。 不同的客户共享此 IoT 中心公共终结点,广域网络和本地网络中的 IoT 设备都可以访问它。
对特定的 IoT 中心资源强制实施禁用公共网络访问,确保隔离。 若要使用公共路径使服务对其他客户资源保持活动状态,其公共终结点仍可解析、IP 地址可发现,并且端口保持打开状态。 由于Microsoft集成多层安全性以确保租户之间完全隔离,因此这种可用性并不是造成问题的原因。 若要了解详细信息,请参阅 Azure 公有云中的隔离。
IP 筛选器
如果禁用了公用网络访问,则忽略所有 IP 筛选器 规则。 发生这种情况是因为所有来自公共互联网的 IP 都被阻止了。 若要使用 IP 筛选器,请使用 “所选 IP 范围 ”选项。
使用与内置事件中心兼容的终结点进行 Bug 修复
IoT 中心存在一个漏洞,当禁用对 IoT 中心的公共网络访问时,内置的兼容 Event Hubs 的终结点 仍然可以通过公共 Internet 进行访问。 若要了解有关此 bug 的详细信息并与我们联系,请参阅 禁用 IoT 中心的公用网络访问可禁用对内置事件中心终结点的访问。
使用 Azure 门户启用网络访问
- 转到 Azure 门户。
- 导航到 IoT 中心。 转到 资源组,选择相应的组,然后选择中心。
- 从左侧菜单中选择 “网络 ”。
- 在“允许公用网络访问”下,选择 “所选 IP 范围”。
- 在打开的 “IP 筛选器 ”对话框中,选择 “添加客户端 IP 地址 ”,然后输入名称和地址范围。
- 选择“保存”。 如果按钮灰显,请确保客户端 IP 地址已添加为 IP 筛选器。
打开所有网络区域
- 导航到 IoT 中心。 转到 资源组,选择相应的组,然后选择中心。
- 从左侧菜单中选择 “网络 ”。
- 在“允许公共网络访问”下,选择 “所有网络”。
- 选择“保存”。
Troubleshooting
如果访问 IoT 中心时遇到问题,则网络配置可能是个问题。 例如,如果在尝试访问 IoT 设备页时看到以下错误消息,请检查 “网络 ”页以查看公共网络访问是否已禁用或限制为所选 IP 范围。
Unable to retrieve devices. Please ensure that your network connection is online and network settings allow connections from your IP address.
尝试使用其他工具(如 Azure CLI)访问 IoT 中心时,错误消息可能包括 {"errorCode": 401002, "message": "Unauthorized"} 在请求未正确路由到 IoT 中心的情况下。
若要访问 IoT 中心,请向 IT 管理员请求权限,以将 IP 地址添加到 IP 地址范围或启用对所有网络的公用网络访问。 如果无法解决问题,请检查本地网络设置,或联系本地网络管理员以修复与 IoT 中心的连接。 例如,有时本地网络中的代理可能会干扰对 IoT 中心的访问权限。
如果上述命令不起作用,或者无法打开所有网络范围,请联系Microsoft支持人员。