Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Som standard mappas IoT Hubs värdnamn till en offentlig slutpunkt med en offentligt dirigerbar IP-adress via Internet. Olika kunder delar den här offentliga IoT Hub-slutpunkten och IoT-enheter i WAN och lokala nätverk har åtkomst till den.
Vissa IoT Hub-funktioner, inklusive meddelanderoutning, filuppladdning och massimport/export av enheter, kräver också anslutning från IoT Hub till en kundägd Azure-resurs via den offentliga slutpunkten. Dessa anslutningsvägar utgör utgående trafik från IoT Hub till kundresurser.
Du kanske vill begränsa anslutningen till dina Azure-resurser (inklusive IoT Hub) via ett virtuellt nätverk som du äger och använder av flera orsaker, bland annat:
Introduktion till nätverksisolering för din IoT-hubb genom att förhindra att anslutningen exponeras för det offentliga Internet.
Aktivera en privat anslutningsupplevelse från dina lokala nätverkstillgångar, vilket säkerställer att dina data och trafik överförs direkt till Azures stamnätverk.
Förhindra exfiltreringsattacker från känsliga lokala nätverk.
Följ etablerade Azure-omfattande anslutningsmönster med hjälp av privata slutpunkter.
Den här artikeln beskriver hur du uppnår dessa mål med Azure Private Link för ingressanslutning till IoT Hub och med hjälp av undantag för betrodda Microsoft-tjänster för utgående anslutningar från IoT Hub till andra Azure-resurser.
Inkommande anslutning till IoT Hub med Azure Private Link
En privat slutpunkt är en privat IP-adress som allokeras i ett kundägt virtuellt nätverk genom vilket en Azure-resurs kan nås. Med Azure Private Link kan du konfigurera en privat slutpunkt för din IoT-hubb så att tjänster i ditt virtuella nätverk kan nå IoT Hub utan att kräva att trafik skickas till IoT Hubs offentliga slutpunkt. På samma sätt kan dina lokala enheter använda Azure VPN Gateway eller Azure ExpressRoute-peering för att få anslutning till ditt virtuella nätverk och din IoT-hubb (via dess privata slutpunkt). Därför kan du begränsa eller helt blockera anslutningen till IoT-hubbens offentliga slutpunkter med hjälp av IP-filtret för IoT Hub eller växlingsknappen för offentlig nätverksåtkomst. Den här metoden behåller anslutningen till din hubb med hjälp av den privata slutpunkten för enheter. Huvudfokus för den här installationen är för enheter i ett lokalt nätverk. Den här konfigurationen rekommenderas inte för enheter som distribueras i ett omfattande nätverk.
Kontrollera att följande krav uppfylls innan du fortsätter:
Du har skapat ett virtuellt Azure-nätverk med ett undernät där du kan skapa den privata slutpunkten.
För enheter som fungerar i lokala nätverk konfigurerar du en privat Azure VPN Gateway - eller Azure ExpressRoute-peering i ditt virtuella Azure-nätverk.
Konfigurera en privat slutpunkt för IoT Hub-ingress
Privata slutpunkter fungerar för IoT Hub-enhets-API:er (till exempel enhets-till-moln-meddelanden) och tjänst-API:er (som att skapa och uppdatera enheter).
I Azure Portal, navigerar du till din IoT-hubb.
I den vänstra rutan går du till Säkerhetsinställningar, väljer Privat>nätverksåtkomst och sedan Skapa en privat slutpunkt.
Ange prenumeration, resursgrupp, namn, nätverksgränssnittsnamn och region för att skapa den nya privata slutpunkten. Helst bör en privat slutpunkt skapas i samma region som din hubb.
Välj Nästa: Resurs och ange prenumerationen för din IoT Hub-resurs. Välj sedan Microsoft.Devices/IotHubs som resurstyp, ditt IoT-hubbnamn som resurs och iotHub som målunderresurs.
Välj Nästa: Virtuellt nätverk och ange ditt virtuella nätverk och undernät för att skapa den privata slutpunkten i.
Välj Nästa: DNS och välj alternativet för att integrera med den privata DNS-zonen om du vill.
Välj Nästa: Taggar och ange eventuella taggar för resursen.
Välj Nästa: Granska + skapa för att granska informationen för din privata länkresurs och välj sedan Skapa för att skapa resursen.
Inbyggd Event Hubs-kompatibel slutpunkt
Den inbyggda Event Hubs-kompatibla slutpunkten kan också nås via privat slutpunkt. När den privata länken har konfigurerats bör du se en annan privat slutpunktsanslutning och konfiguration för den inbyggda slutpunkten. Det är den med servicebus.windows.net i FQDN.
IoT Hubs IP-filter kan eventuellt styra offentlig åtkomst till den inbyggda slutpunkten.
Om du vill blockera åtkomsten till det offentliga nätverket helt till din IoT-hubb stänger du av åtkomsten till det offentliga nätverket eller använder IP-filter för att blockera alla IP-adresser och väljer alternativet för att tillämpa regler på den inbyggda slutpunkten.
Priser för Private Link
Prisinformation finns i Priser för Azure Private Link.
Utgående anslutning från IoT Hub till andra Azure-resurser
IoT Hub kan ansluta till din Azure-bloblagring, händelsehubb, service bus-resurser för meddelanderoutning, filuppladdning och massimport/massexport av enheter via resursernas offentliga slutpunkt. Om du binder resursen till ett virtuellt nätverk blockeras anslutningen till resursen som standard. Därför förhindrar den här konfigurationen att IoT-hubbar skickar data till dina resurser. Åtgärda problemet genom att aktivera anslutningen från din IoT Hub-resurs till ditt lagringskonto, händelsehubb eller service bus-resurser via det betrodda Microsoft-tjänstalternativet .
För att andra tjänster ska kunna hitta din IoT-hubb som en betrodd Microsoft-tjänst måste din hubb använda en hanterad identitet. När en hanterad identitet har etablerats beviljar du behörighet till hubbens hanterade identitet för att få åtkomst till din anpassade slutpunkt. Följ procedurerna i IoT Hub-stöd för hanterade identiteter för att etablera en hanterad identitet med rollbaserad åtkomstkontroll i Azure (RBAC) och lägg till den anpassade slutpunkten i din IoT-hubb. Om du vill ge dina IoT-hubbar åtkomst till den anpassade slutpunkten ska du kontrollera att du aktiverar det betrodda Microsoft-undantaget för första parts om du har brandväggskonfigurationerna på plats.
Prissättning för betrodda Microsoft-tjänstalternativ
Den betrodda undantagsfunktionen för Microsofts förstapartstjänster är kostnadsfri. Avgifter för etablerade lagringskonton, händelsehubbar eller Service Bus-resurser tillämpas separat.
Nästa steg
Använd följande länkar för att lära dig mer om IoT Hub-funktioner: