Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Per impostazione predefinita, i nomi host di hub IoT corrispondono a un endpoint pubblico con un indirizzo IP instradabile pubblicamente tramite Internet. Diversi clienti possono condividere questo endpoint pubblico dell'hub IoT e consentire l'accesso a tutti i dispositivi IoT su reti WAN (Wide Area Network) e su reti locali.
Note
hub IoT introduce altri endpoint per supportare TLS 1.3 (anteprima). Questi endpoint sono additivi e non sostituiscono l'endpoint esistente usato da collegamento privato (<hub>.azure-devices.net). Le configurazioni degli endpoint privati esistenti continuano a funzionare senza modifiche.
Per altre informazioni su questi endpoint, vedere Endpoint abilitati per TLS 1.3.
Alcune funzionalità dell'hub IoT, tra cui il routing dei messaggi, il caricamento di file e l'importazione/esportazione di dispositivi in blocco, richiedono anche la connettività dall'hub IoT a una risorsa di Azure di proprietà del cliente tramite l'endpoint pubblico. Questi percorsi di connettività costituiscono il traffico in uscita dall'hub IoT alle risorse dei clienti.
È possibile limitare la connettività alle risorse di Azure (incluso l'hub IoT) tramite una rete virtuale proprietaria e operativa per diversi motivi, tra cui:
Avvio dell'isolamento di rete per il tuo hub IoT impedendo l'esposizione della connettività a Internet pubblico.
Abilitazione di un'esperienza di connettività privata dagli asset di rete locali, che garantisce che i dati e il traffico vengano trasmessi direttamente alla rete backbone di Azure.
Prevenzione degli attacchi di esfiltrazione da reti locali sensibili.
Applicazione di modelli di connettività consolidati a livello di Azure tramite endpoint privati.
Questo articolo descrive come raggiungere questi obiettivi usando collegamento privato di Azure per la connettività in ingresso a hub IoT e usando un'eccezione servizi Microsoft attendibile per la connettività in uscita da hub IoT ad altre risorse di Azure.
Connettività in ingresso all'hub IoT tramite collegamento privato di Azure
Un endpoint privato è un indirizzo IP privato allocato all'interno di una rete virtuale di proprietà del cliente tramite cui una risorsa di Azure è raggiungibile. Usando collegamento privato di Azure, è possibile configurare un endpoint privato per il IoT hub in modo che i servizi all'interno della rete virtuale possano raggiungere hub IoT senza inviare traffico all'endpoint pubblico di hub IoT. Analogamente, i dispositivi locali possono usare il gateway VPN di Azure o il peering Di Azure ExpressRoute per ottenere la connettività alla rete virtuale e all'hub IoT (tramite l'endpoint privato). Di conseguenza, è possibile limitare o bloccare completamente la connettività agli endpoint pubblici dell'IoT hub usando hub IoT filtro IP o l'interruttore di accesso alla rete pubblica. Questo approccio consente di mantenere la connettività all'hub utilizzando l'endpoint privato per i dispositivi. L'obiettivo principale di questa configurazione è per i dispositivi all'interno di una rete locale. Questa configurazione non è consigliata per i dispositivi distribuiti in una rete a livello di area.
Prima di procedere, verificare che siano soddisfatti i prerequisiti seguenti:
È stata creata una rete virtuale di Azure con una subnet in cui creare l'endpoint privato.
Per i dispositivi che operano nelle reti locali, configurare il gateway VPN di Azure o il peering privato di Azure ExpressRoute nella rete virtuale di Azure.
Configurare un endpoint privato per l'ingresso dell'hub IoT
Gli endpoint privati funzionano per le API del dispositivo dell'hub IoT (ad esempio i messaggi da dispositivo a cloud) e le API del servizio (ad esempio la creazione e l'aggiornamento dei dispositivi).
Nel portale Azure passare all'hub IoT.
Nel riquadro a sinistra, in Impostazioni di sicurezza selezionare Accesso>privato di rete e quindi selezionare Crea un endpoint privato.
Immettere la sottoscrizione, il gruppo di risorse, il nome, il nome dell'interfaccia di rete e l'area per creare il nuovo endpoint privato. Creare l'endpoint privato nella stessa area dell'hub.
Selezionare Avanti: Risorsa e immettere la sottoscrizione per la risorsa hub IoT. Selezionare quindi Microsoft.Devices/IotHubs per il tipo di risorsa, il nome dell'hub IoT come risorsa e iotHub come sottorisorsa di destinazione.
Selezionare Avanti: Rete virtuale e immettere il virtual network e la subnet in cui creare l'endpoint privato.
Selezionare Avanti: DNS e selezionare l'opzione per l'integrazione con la zona DNS privata, se necessario.
Selezionare Avanti: Tag e, facoltativamente, immettere i tag per la risorsa.
Selezionare Avanti: Rivedi e crea per esaminare i dettagli per la risorsa collegamento privato e quindi selezionare Crea per creare la risorsa.
Endpoint compatibile con Hub eventi predefinito
È anche possibile accedere all'endpoint compatibile predefinito di Hub eventi tramite un endpoint privato. Quando si configura Private Link, vengono visualizzate un'altra connessione dell'endpoint privato e la configurazione per l'endpoint predefinito. È quello con servicebus.windows.net nel nome di dominio completo.
Facoltativamente, è possibile usare il filtro IP di hub IoT per controllare l'accesso pubblico all'endpoint predefinito.
Per bloccare completamente l'accesso alla rete pubblica all'hub IoT, disattivare l'accesso alla rete pubblica o usare il filtro IP per bloccare tutti gli INDIRIZZI IP e selezionare l'opzione per applicare regole all'endpoint predefinito.
Prezzi per il collegamento privato
Per informazioni dettagliate sui prezzi, vedere Prezzi dei collegamenti privati di Azure.
Connettività in uscita dall'hub IoT ad altre risorse di Azure
L'hub IoT può connettersi all'archivio BLOB di Azure, agli hub eventi, alle risorse del bus di servizio per il routing dei messaggi, il caricamento dei file e l'importazione/esportazione in blocco dei dispositivi tramite l'endpoint pubblico delle risorse. L'associazione della risorsa a una rete virtuale blocca la connettività alla risorsa per impostazione predefinita. Di conseguenza, questa configurazione impedisce agli hub IoT di inviare dati alle risorse. Per risolvere questo problema, abilitare la connettività dalla risorsa hub IoT all'account di archiviazione, all'hub eventi o alle risorse bus di servizio tramite l'opzione servizio Microsoft attendibile.
Per consentire ad altri servizi di trovare l'hub IoT come servizio Microsoft attendibile, l'hub deve usare un'identità gestita. Dopo che un'identità gestita è stata implementata, concedi all'identità gestita del tuo hub l'autorizzazione per accedere al tuo endpoint personalizzato. Segui le procedure fornite in supporto di hub IoT per le identità gestite per eseguire il provisioning di un'identità gestita con l'autorizzazione di controllo degli accessi basato su ruoli di Azure e per aggiungere l'endpoint personalizzato all'hub IoT. Per consentire agli hub IoT di accedere all'endpoint personalizzato, assicurarsi di attivare l'eccezione microsoft di prima parte attendibile se sono presenti le configurazioni del firewall.
Prezzi per l'opzione Microsoft di servizio attendibile
La funzionalità di eccezione dei servizi di prima parte Microsoft attendibili è gratuita. Gli addebiti per gli account di archiviazione con provisioning, gli hub eventi o le risorse del bus di servizio vengono applicati separatamente.
Passaggi successivi
Per altre informazioni sulle funzionalità di hub IoT, vedere le risorse seguenti: