Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Standardmäßig werden IoT-Hub-Hostnamen einem öffentlichen Endpunkt mit einer über das Internet öffentlich erreichbaren IP-Adresse zugeordnet. Dieser öffentliche IoT Hub-Endpunkt wird von verschiedenen Kunden gemeinsam genutzt, und alle IoT-Geräte in WANs und lokalen Netzwerken können darauf zugreifen.
Note
IoT Hub führt zusätzliche Endpunkte ein, um TLS 1.3 (Vorschau) zu unterstützen. Diese Endpunkte sind additiv und ersetzen nicht den vorhandenen Endpunkt, der von Private Link verwendet wird (<hub>.azure-devices.net). Vorhandene Konfigurationen für private Endpunkte funktionieren weiterhin ohne Änderungen.
Weitere Informationen zu diesen Endpunkten finden Sie unter TLS 1.3-fähige Endpunkte.
Einige IoT Hub-Features, einschließlich Nachrichtenrouting, Dateiupload und Massenimport/-export von Geräten, erfordern auch Konnektivität von IoT Hub zu einer kundeneigenen Azure-Ressource über seinen öffentlichen Endpunkt. Diese Verbindungspfade bilden den Ausgehenden Datenverkehr von IoT Hub zu Kundenressourcen.
Möglicherweise möchten Sie die Konnektivität mit Ihren Azure-Ressourcen (einschließlich IoT Hub) über ein virtuelles Netzwerk einschränken, das Sie besitzen und aus mehreren Gründen betreiben, darunter:
Einführung der Netzwerkisolation für Ihren IoT-Hub, indem die Verbindung mit dem öffentlichen Internet verhindert wird.
Aktivieren einer privaten Konnektivitätserfahrung von Ihren lokalen Netzwerkressourcen, wodurch sichergestellt wird, dass Ihre Daten und Ihr Datenverkehr direkt an das Azure-Backbone-Netzwerk übertragen werden.
Verhindern von Exfiltrationsangriffen von sensiblen lokalen Netzwerken.
Folgen sie etablierten azureweiten Konnektivitätsmustern mithilfe privater Endpunkte.
In diesem Artikel wird beschrieben, wie Sie diese Ziele erreichen, indem Sie Azure Private Link für die Ingresskonnektivität zu IoT Hub und die Ausnahme für vertrauenswürdige Microsoft-Dienste für die Egresskonnektivität von IoT Hub zu anderen Azure-Ressourcen verwenden.
Eingehende Konnektivität mit IoT Hub mithilfe von Azure Private Link
Ein privater Endpunkt ist eine private IP-Adresse, die in einem virtuellen Netzwerk eines Kunden zugeordnet ist, über das eine Azure-Ressource erreichbar ist. Mithilfe von Azure Private Link können Sie einen privaten Endpunkt für Ihre IoT hub einrichten, damit Dienste innerhalb Ihres virtuellen Netzwerks IoT Hub erreichen können, ohne Datenverkehr an den öffentlichen Endpunkt IoT Hub zu senden. Auf ähnliche Weise können Ihre lokalen Geräte Azure VPN-Gateway oder Azure ExpressRoute-Peering verwenden, um Verbindungen mit Ihrem virtuellen Netzwerk und Ihrem IoT-Hub (über seinen privaten Endpunkt) zu erhalten. Daher können Sie die Konnektivität mit den öffentlichen Endpunkten Ihres IoT Hub einschränken oder vollständig blockieren, indem Sie den IoT Hub-IP-Filter oder den Umschalter für den Zugriff über öffentliche Netzwerke verwenden. Dieser Ansatz sorgt dafür, dass die Verbindung mit Ihrem Hub mithilfe des privaten Endpunkts für Geräte beibehalten wird. Der Schwerpunkt dieses Setups liegt auf Geräten innerhalb eines lokalen Netzwerks. Diese Einrichtung wird nicht für Geräte empfohlen, die in einem breit angelegten Netzwerk bereitgestellt werden.
Stellen Sie vor dem Fortfahren sicher, dass die folgenden Voraussetzungen erfüllt sind:
Sie haben ein virtuelles Azure-Netzwerk mit einem Subnetz erstellt, in dem der private Endpunkt erstellt werden soll.
Richten Sie für Geräte, die in lokalen Netzwerken arbeiten, Azure VPN-Gateway oder Azure ExpressRoute private Peering in Ihr virtuelles Azure-Netzwerk ein.
Einrichten eines privaten Endpunkts für IoT Hub Eingang
Private Endpunkte funktionieren für IoT Hub-Geräte-APIs (z. B. Geräte-zu-Cloud-Nachrichten) und Dienst-APIs (z. B. Erstellen und Aktualisieren von Geräten).
Navigieren Sie im Azure-Portal zu Ihrem IoT Hub.
Wählen Sie im linken Bereich unter "Sicherheitseinstellungen" denprivaten Netzwerkzugriff> und dann "Privaten Endpunkt erstellen" aus.
Geben Sie das Abonnement, die Ressourcengruppe, den Namen, den Netzwerkschnittstellennamen und die Region ein, um den neuen privaten Endpunkt zu erstellen. Erstellen Sie den privaten Endpunkt in derselben Region wie Ihr Hub.
Wählen Sie Next: Resource aus, und geben Sie das Abonnement für Ihre IoT Hub-Ressource ein. Wählen Sie dann "Microsoft.Devices/IotHubs" für den Ressourcentyp, Ihren IoT-Hubnamen als Ressource und iotHub als Zielunterressource aus.
Wählen Sie Weiter: Virtuelles Netzwerk aus, und geben Sie Ihr virtuelles Netzwerk und Ihr Subnetz ein, in dem der private Endpunkt erstellt werden soll.
Wählen Sie "Weiter: DNS" aus, und wählen Sie bei Bedarf die Option für die Integration in die private DNS-Zone aus.
Wählen Sie "Weiter" aus: "Tags" und geben Sie optional beliebige Tags für Ihre Ressource ein.
Wählen Sie Weiter: Überprüfen und Erstellen aus, um die Details Ihrer privaten Linkressource zu überprüfen, und wählen Sie dann Erstellen aus, um die Ressource zu erstellen.
Integrierter Event Hubs-kompatibler Endpunkt
Sie können auch über einen privaten Endpunkt auf den integrierten Event Hubs-kompatiblen Endpunkt zugreifen. Wenn Sie einen privaten Link konfigurieren, wird eine weitere private Endpunktverbindung und -konfiguration für den integrierten Endpunkt angezeigt. Es ist dasjenige mit servicebus.windows.net im FQDN.
Optional können Sie den IP-Filter IoT Hub verwenden, um den öffentlichen Zugriff auf den integrierten Endpunkt zu steuern.
Um den Zugriff auf ihr IoT-Hub vollständig zu blockieren, deaktivieren Sie den Zugriff auf das öffentliche Netzwerk , oder verwenden Sie DEN IP-Filter, um alle IP-Adressen zu blockieren, und wählen Sie die Option aus, Regeln auf den integrierten Endpunkt anzuwenden.
Preise für private Links
Ausführliche Preisinformationen finden Sie unter Azure Private Link – Preise.
Ausgehende Konnektivität von IoT Hub zu anderen Azure-Ressourcen
IoT Hub kann eine Verbindung zu Ihren Azure-Blobspeicher-, Event Hubs- und Service Bus-Ressourcen für Nachrichtenrouting, Dateiupload und Massenimport/-export von Geräten über den öffentlichen Endpunkt dieser Ressourcen herstellen. Wenn Sie Ihre Ressource an ein virtuelles Netzwerk binden, wird die Konnektivität mit der Ressource standardmäßig blockiert. Daher verhindert diese Konfiguration, dass IoT-Hubs Daten an Ihre Ressourcen senden. Um dieses Problem zu beheben, aktivieren Sie über die Option vertrauenswürdiger Microsoft-Dienst die Verbindung von Ihrer IoT Hub-Ressource zu Ihrem Speicherkonto bzw. zu Ihren Event Hub- oder Service Bus-Ressourcen.
Damit andere Dienste Ihren IoT-Hub als vertrauenswürdiger Microsoft-Dienst finden können, muss Ihr Hub eine verwaltete Identität verwenden. Nachdem eine verwaltete Identität bereitgestellt wurde, erteilen Sie der verwalteten Identität Ihres Hubs die Berechtigung für den Zugriff auf Ihren benutzerdefinierten Endpunkt. Befolgen Sie die in der IoT Hub-Unterstützung für verwaltete Identitäten bereitgestellten Verfahren, um eine verwaltete Identität mit der Azure-Berechtigung für die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) bereitzustellen, und fügen Sie den benutzerdefinierten Endpunkt ihrem IoT-Hub hinzu. Um den Zugriff Ihrer IoT Hubs auf den benutzerdefinierten Endpunkt zu ermöglichen, stellen Sie sicher, dass Sie die Ausnahme für vertrauenswürdige Microsoft-Erstanbieter aktivieren, falls Ihre Firewallkonfigurationen vorhanden sind.
Preise für vertrauenswürdige Microsoft-Dienstoption
Die Ausnahmefunktion für vertrauenswürdige Microsoft-Erstanbieterdienste ist kostenlos. Gebühren für die bereitgestellten Speicherkonten, Event Hubs oder Servicebusressourcen gelten separat.
Nächste Schritte
Weitere Informationen zu IoT Hub Features finden Sie in den folgenden Ressourcen: