Безопасность сети для IoT Central с помощью частных конечных точек
Доступ к стандартным конечным точкам IoT Central для подключения к устройству используется с помощью общедоступных URL-адресов. Любое устройство с допустимым удостоверением может подключаться к приложению IoT Central из любого расположения.
Используйте частные конечные точки, чтобы ограничить и защитить подключение устройств к приложению IoT Central и разрешить доступ только через частную виртуальную сеть.
Частные конечные точки используют частные IP-адреса из адресного пространства виртуальной сети для частного подключения устройств к приложению IoT Central. Сетевой трафик между устройствами в виртуальной сети и платформой Интернета вещей проходит через виртуальную сеть и приватный канал в магистральной сети Майкрософт, устраняя уязвимость в общедоступном Интернете.
Дополнительные сведения о виртуальная сеть Azure см. в следующем разделе:
Частные конечные точки в приложении IoT Central позволяют:
- Защита кластера путем настройки брандмауэра для блокировки всех подключений устройств к общедоступной конечной точке.
- Увеличьте безопасность виртуальной сети, позволяя защитить данные в виртуальной сети.
- Безопасное подключение устройств к IoT Central из локальных сетей, которые подключаются к виртуальной сети с помощью VPN-шлюза или частного пиринга ExpressRoute.
Использование частных конечных точек в IoT Central подходит для устройств, подключенных к локальной сети. Не следует использовать частные конечные точки для устройств, развернутых в широкой сети, например в Интернете.
Что собой представляет частная конечная точка?
Частная конечная точка — это специальный сетевой интерфейс для службы Azure в виртуальной сети, назначаемой IP-адресами из диапазона IP-адресов виртуальной сети. Частная конечная точка обеспечивает безопасное подключение между устройствами в виртуальной сети и платформой Интернета вещей, к которой они подключаются. Подключение между частной конечной точкой и платформой Интернета вещей Azure использует безопасную частную связь:
Устройства, подключенные к виртуальной сети, могут легко подключаться к кластеру через частную конечную точку. Механизмы авторизации одинаковы для подключения к общедоступным конечным точкам. Однако необходимо обновить URL-адрес подключения DPS, так как URL-адрес узла global.azure-devices-provisioning.net глобальной подготовки не разрешается, если для приложения отключен доступ к общедоступной сети.
При создании частной конечной точки для кластера в виртуальной сети запрос согласия отправляется для утверждения владельцем подписки. Если пользователь, запрашивающий создание частной конечной точки, также является владельцем подписки, запрос автоматически утвержден. Владельцы подписок могут управлять запросами согласия и частными конечными точками кластера в портал Azure в частных конечных точках.
Каждое приложение IoT Central может поддерживать несколько частных конечных точек, каждая из которых может находиться в виртуальной сети в другом регионе. Если вы планируете использовать несколько частных конечных точек, обратите внимание на настройку DNS и планирование размера подсетей виртуальной сети.
Планирование размера подсети в виртуальной сети
Размер подсети в виртуальной сети нельзя изменить после создания подсети. Поэтому важно спланировать размер подсети и обеспечить будущий рост.
IoT Central создает несколько видимых полных доменных имен клиента в рамках развертывания частной конечной точки. Помимо полного доменного имени для IoT Central существуют полные доменные имена для базовых Центр Интернета вещей, центров событий и ресурсов службы подготовки устройств.
Частная конечная точка IoT Central использует несколько IP-адресов из виртуальной сети и подсети. Кроме того, на основе профиля загрузки приложения IoT Central автоматически масштабирует свои базовые Центр Интернета вещей, чтобы число IP-адресов, используемых частной конечной точкой, может увеличиться. Запланируйте это возможное увеличение при определении размера подсети.
Используйте следующие сведения, чтобы определить общее количество IP-адресов, необходимых в подсети:
| Использование | Количество IP-адресов на частную конечную точку |
|---|---|
| URL-адрес IoT Central | 1 |
| Базовые центры Интернета вещей | 2–50 |
| Центры событий, соответствующие центрам Интернета вещей | 2–50 |
| Служба подготовки устройств | 1 |
| Зарезервированные адреса Azure | 5 |
| Итог | 11-107 |
Дополнительные сведения см. в статье azure виртуальная сеть часто задаваемые вопросы.
Примечание.
Минимальный размер подсети — /28 14 доступных IP-адресов. Для использования с частной конечной точкой /24 IoT Central рекомендуется, что помогает с экстремальными рабочими нагрузками.
Следующие шаги
Теперь, когда вы узнали об использовании частных конечных точек для подключения устройства к приложению, выполните следующий шаг:
Создайте частную конечную точку для приложения Azure IoT Central.