限制 Azure IoT 中心的出站网络访问

IoT 中心支持通过路由到自定义终结点、文件上传和设备标识导出将数据传出到其他服务。 要在企业环境中进一步提高安全性，请使用 restrictOutboundNetworkAccess API 将 IoT 中心限制为仅将数据传出到已明确批准的目标。 目前无法在 Azure 门户中使用此功能。

若要启用该功能，请使用任何可更新 IoT 中心资源属性的方法 (PUT) 将 restrictOutboundNetworkAccess 设置为 true，同时添加一个数组形式的、包含完全限定域名 (FQDN) 的 allowedFqdnList。

演示与 create 或 update 方法结合使用的 JSON 表示形式的示例：

{
...
            "properties": {
              ...
                "restrictOutboundNetworkAccess": true,
                "allowedFqdnList": [
                    "my-eventhub.servicebus.chinacloudapi.cn",
                    "iothub-ns-built-in-endpoint-2917414-51ea2487eb.servicebus.chinacloudapi.cn"
                ]
              ...
            },
            "sku": {
                "name": "S1",
                "capacity": 1
            }
        }
    }
}

若要使用 Azure CLI 进行相同的更新，请运行

az resource update -n <iothubName> -g <resourceGroupName> --resource-type Microsoft.Devices/IotHubs --set properties.restrictOutboundNetworkAccess=true properties.allowedFqdnList="['my-eventhub.servicebus.chinacloudapi.cn','iothub-ns-built-in-endpoint-2917414-51ea2487eb.servicebus.chinacloudapi.cn']"

将 restrictOutboundNetworkAccess 设置为 true 后，尝试向允许的 FQDN 之外的目标发出数据将会失败。 如果不在允许的 FQDN 列表中包含自定义终结点，即使是现有的已配置路由也会停止工作。

如果 restrictOutboundNetworkAccess 设置为 true，则与内置事件中心兼容的终结点无法免除上述限制。 换句话说，必须在允许的 FQDN 列表中包含内置终结点 FQDN，才能让该终结点继续正常工作。

• 若要使用托管标识来传出数据，请参阅 IoT 中心对托管标识的支持。
• 若要限制入站网络访问，请参阅管理 IoT 中心的公用网络访问和 IoT 中心对使用专用链接的虚拟网络的支持。