通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

IoT 中心通过 Azure 专用链接支持虚拟网络

默认情况下,IoT 中心的主机名通过 Internet 映射到具有可公开路由 IP 地址的公共终结点。 不同的客户将共享此 IoT 中心公共终结点,广域网和本地网络中的 IoT 设备均可对其进行访问。

IoT 中心的公共终结点和各种交互的示意图。

某些 IoT 中心功能(包括 消息路由文件上传批量设备导入/导出)还需要通过其公共终结点从 IoT 中心连接到客户拥有的 Azure 资源。 这些连接路径构成了从 IoT 中心流出到客户资源的出口流量。

你可能希望通过拥有和作的虚拟网络来限制与 Azure 资源(包括 IoT 中心)的连接,原因有多种,包括:

  • 通过防止与公共 Internet 的连接暴露,为 IoT 中心引入网络隔离。

  • 从本地网络资产启用专用连接体验,这可确保数据和流量直接传输到 Azure 主干网络。

  • 防止来自敏感本地网络的外泄攻击。

  • 采用 Azure 范围内常见的专用终结点连接模式。

本文介绍了如何使用 Azure 专用链接 来实现这些目标,以确保 IoT 中心的入口连接,并使用受信任的 Microsoft 服务例外处理从 IoT 中心到其他 Azure 资源的出口连接。

专用终结点是在客户拥有的虚拟网络中分配的专用 IP 地址,可通过该地址访问 Azure 资源。 使用 Azure 专用链接,可以为 IoT 中心设置专用终结点,以允许虚拟网络中的服务访问 IoT 中心,而无需将流量发送到 IoT 中心的公共终结点。 同样,本地设备可以使用 Azure VPN 网关Azure ExpressRoute 对等互连来(通过其专用终结点)连接到虚拟网络和 IoT 中心。 因此,可以使用 IoT 中心 IP 筛选器公用网络访问切换来限制或完全阻止与 IoT 中心的公共终结点的连接。 此方法通过专用终结点保持设备与中心的连接。 此设置的主要重点是本地网络内的设备。 对于在广域网络中部署的设备,不建议进行此设置。

IoT 中心虚拟网络入口图示。

在继续前,请确保满足以下先决条件:

为 IoT 中心传入设置专用端点

专用终结点适用于 IoT 中心设备 API(如设备到云消息)和服务 API(例如创建和更新设备)。

  1. Azure 门户中导航到 IoT 中心。

  2. 在左侧窗格中,在 “安全设置”下,选择“ 网络>专用访问”,然后选择“ 创建专用终结点”。

    显示为 IoT 中心添加专用终结点的位置的屏幕截图。

  3. 提供订阅、资源组、名称、网络接口名称和区域以创建新的专用终结点。 理想情况下,应在中心所在的同一区域中创建专用终结点。

  4. 选择 “下一步:资源”,并提供 IoT 中心资源的订阅。 然后,为资源类型选择 Microsoft.Devices/IotHubs 、IoT 中心名称作为资源,并将 iotHub 作为目标子资源。

  5. 选择 “下一步:虚拟网络”,并提供要在其中创建专用终结点的虚拟网络和子网。

  6. 选择“ 下一步:DNS”,根据需要选择与专用 DNS 区域集成的选项。

  7. 选择 “下一步:标记”,并根据需要为资源提供任何标记。

  8. 选择 “下一步:查看 + 创建 ”以查看专用链接资源的详细信息,然后选择“ 创建 ”以创建资源。

内置的与事件中心兼容的终结点

与事件中心兼容的内置终结点也可以通过专用终结点进行访问。 配置专用链接时,你应该会看到内置终结点的其他专用终结点连接和配置。 此连接的 FQDN 中包含 servicebus.windows.net

显示 IoT 中心专用链接的两个专用终结点的屏幕截图,其中突出显示了内置终结点的 FQDN 和配置。

IoT 中心的 IP 筛选器可以视情况控制对内置终结点的公共访问。

若要完全阻止对 IoT 中心的公共 网络访问,请关闭公用网络访问 或使用 IP 筛选器阻止所有 IP,并选择将规则应用于内置终结点的选项。

有关定价详细信息,请参阅 Azure 专用链接定价

从 IoT 中心到其他 Azure 资源的出口连接

IoT 中心可以通过(后述资源的)公共终结点连接到 Azure blob 存储、事件中心、服务总线资源,以进行消息路由文件上传批量设备导入/导出操作。 默认情况下,将资源绑定到虚拟网络会阻止与资源的连接。 因此,此配置可防止 IoT hubs 将数据发送到您的资源。 若要解决此问题,请通过 受信任的Microsoft服务 选项启用从 IoT 中心资源到存储帐户、事件中心或服务总线资源的连接。

若要允许其他服务将 IoT Hub 识别为受信任的 Microsoft 服务,则中心必须使用托管标识。 预配托管标识后,向中心托管标识授予访问自定义终结点的权限。 按照 IoT Hub 支持托管标识中提供的步骤,通过 Azure 角色基于访问控制(RBAC)权限预配托管标识,并将自定义终结点添加到您的 IoT 中心。 若要允许 IoT 中心访问自定义终结点,请确保启用受信任的Microsoft第一方例外(如果已设置防火墙配置)。

值得信赖的 Microsoft 服务选项的定价

受信任的Microsoft第一方服务例外功能是免费的。 预配的存储帐户、事件中心或服务总线资源的费用单独适用。

后续步骤

使用以下链接了解有关 IoT 中心功能的详细信息: