IoT 中心通过 路由到自定义终结点、 文件上传和设备 标识导出,支持将数据传出到其他服务。 为了在企业环境中实现额外的安全性,请使用 restrictOutboundNetworkAccess API 将 IoT 中心出口限制为仅显式批准的目标。 目前,此功能在 Azure 门户中不可用。
启用限制
若要启用该功能,可以使用任何方法更新 IoT 中心资源属性(PUT),将restrictOutboundNetworkAccess设置为true,同时包含一个包含完全限定域名(FQDN)的数组的allowedFqdnList。
显示 JSON 表示形式的示例,用于 IoT 中心资源的 创建或更新方法。
{
...
"properties": {
...
"restrictOutboundNetworkAccess": true,
"allowedFqdnList": [
"my-eventhub.servicebus.chinacloudapi.cn",
"iothub-ns-built-in-endpoint-2917414-51ea2487eb.servicebus.chinacloudapi.cn"
]
...
},
"sku": {
"name": "S1",
"capacity": 1
}
}
}
}
若要使用 Azure CLI 进行相同的更新,请运行
az resource update -n <iothubName> -g <resourceGroupName> --resource-type Microsoft.Devices/IotHubs --set properties.restrictOutboundNetworkAccess=true properties.allowedFqdnList="['my-eventhub.servicebus.chinacloudapi.cn','iothub-ns-built-in-endpoint-2917414-51ea2487eb.servicebus.chinacloudapi.cn']"
使用现有路由限制出站网络访问
一旦restrictOutboundNetworkAccess设置为true,尝试将数据发送到允许的 FQDN 之外的目的地将失败。 如果允许的 FQDN 列表中不包含自定义终结点,甚至现有配置的路由也会停止工作。
内置终结点
如果 restrictOutboundNetworkAccess 设置为 true,则内置事件中心兼容的终结点不会免除限制。 换句话说,您必须在允许的 FQDN 列表中添加内置终端 FQDN,以便其继续运行。
后续步骤
- 若要对数据出口使用托管标识,请参阅 IoT 中心对托管标识的支持。
- 若要限制入站网络访问,请参阅 管理 IoT 中心的公共网络访问和 Azure 专用链接对虚拟网络的 IoT 中心支持。