Vytvoření a konfigurace privátního koncového bodu pro IoT Central

  • Článek

Svá zařízení můžete připojit k aplikaci IoT Central pomocí privátního koncového bodu ve službě Azure Virtual Network.

Privátní koncové body používají privátní IP adresy z adresního prostoru virtuální sítě k privátnímu připojení zařízení k aplikaci IoT Central. Síťový provoz mezi zařízeními ve virtuální síti a platformou IoT prochází virtuální sítí a privátním propojením v páteřní síti Microsoftu, čímž se eliminuje vystavení na veřejném internetu. V tomto článku se dozvíte, jak vytvořit privátní koncový bod pro aplikaci IoT Central.

Požadavky

  • Aktivní předplatné Azure. Pokud ještě nemáte předplatné Azure, vytvořte si napřed bezplatný účet.
  • Aplikace IoT Central. Další informace najdete v tématu Vytvoření aplikace IoT Central.
  • Virtuální síť ve vašem předplatném Azure. Další informace najdete v tématu Vytvoření virtuální sítě. K dokončení kroků v této příručce nepotřebujete hostitele Bastionu ani virtuální počítače.

Vytvoření privátního koncového bodu

Existuje několik způsobů, jak vytvořit privátní koncový bod pro aplikaci IoT Central:

  • Pomocí webu Azure Portal můžete přímo vytvořit prostředek privátního koncového bodu. Tuto možnost použijte, pokud nemáte přístup k aplikaci IoT Central, která potřebuje privátní koncový bod.
  • Vytvoření privátního koncového bodu v existující aplikaci IoT Central

Vytvoření privátního koncového bodu v existující aplikaci IoT Central:

  1. Na webu Azure Portal přejděte do aplikace a pak vyberte Sítě.

  2. Vyberte kartu připojení privátního koncového bodu a pak vyberte + privátní koncový bod.

  3. Na kartě Základy zadejte název a vyberte oblast vašeho privátního koncového bodu. Pak vyberte Další: Prostředek.

  4. Karta Prostředek se automaticky načítá za vás. Vyberte Další: Virtuální síť.

  5. Na kartě Virtuální síť vyberte virtuální síť a podsíť, do které chcete nasadit privátní koncový bod.

  6. Na stejné kartě v části Konfigurace privátní IP adresy vyberte Dynamicky přidělovat IP adresu.

  7. Vyberte Další: DNS.

  8. Na kartě DNS vyberte Možnost Ano pro integraci s privátní zónou DNS. Privátní DNS překládá všechny požadované koncové body na privátní IP adresy ve vaší virtuální síti:

    Snímek obrazovky webu Azure Portal znázorňující integraci privátního DNS

    Poznámka:

    Vzhledem k možnostem automatického škálování ve službě IoT Central byste měli použít možnost integrace Privátní DNS, pokud je to vůbec možné. Pokud z nějakého důvodu tuto možnost nemůžete použít, přečtěte si téma Použití vlastního serveru DNS.

  9. Vyberte Další: Značky.

  10. Na kartě Značky nakonfigurujte všechny požadované značky a pak vyberte Další: Zkontrolovat a vytvořit.

  11. Projděte si podrobnosti o konfiguraci a pak vyberte Vytvořit , abyste vytvořili prostředek privátního koncového bodu.

Snímek obrazovky webu Azure Portal zobrazující souhrn pro vytvoření privátního koncového bodu

Ověření vytvoření privátního koncového bodu

Po vytvoření privátního koncového bodu k němu budete mít přístup na webu Azure Portal.

Zobrazení všech privátních koncových bodů vytvořených pro vaši aplikaci:

  1. Na webu Azure Portal přejděte do aplikace IoT Central a pak vyberte Sítě.

  2. Vyberte kartu připojení privátního koncového bodu. Tabulka zobrazuje všechny privátní koncové body vytvořené pro vaši aplikaci.

Použití vlastního serveru DNS

V některých situacích se možná nebudete moct integrovat s privátní zónou DNS virtuální sítě. Můžete například použít vlastní server DNS nebo vytvořit záznamy DNS pomocí souborů hostitelů na virtuálních počítačích. Tato část popisuje, jak se dostat do zón DNS.

  1. Nainstalujte čokoládu.

  2. Instalace ARMClient:

    choco install armclient

  3. Přihlaste se pomocí ARMClient:

    armclient login

  4. Pomocí následujícího příkazu získáte privátní zóny DNS pro vaši aplikaci IoT Central. Zástupné symboly nahraďte podrobnostmi o vaší aplikaci IoT Central:

    armclient GET /subscriptions/<subscriptionId>/resourceGroups/<resourceGroupName>/providers/Microsoft.IoTCentral/IoTApps/<AppName>/privateLinkResources?api-version=2021-11-01-preview

  5. Zkontrolujte odpověď. Požadované zóny DNS jsou v requiredZoneNames poli v datové části odpovědi:

    {  
  "value": [  
    {  
      "id": "/subscriptions/<subscriptionId>/resourceGroups/<resourceGroupName>/providers/Microsoft.IoTCentral/IoTApps/<AppName>/privateLinkResources/iotApp",  
      "name": "ioTApp",  
      "type": "Microsoft.IoTCentral/IoTApps/privateLinkResources",  
      "location": "<the region of your application>",  
      "properties": {  
      "groupId": "iotApp",  
      "requiredMembers":[  
        "<IoTCentral Name>",  
        "<DPS Name>",  
        "<IoTHub1 Name>",  
        "<IoTHub2 Name>",  
        "<EH1 Name>",  
        "<EH2 Name>"],  
      "requiredZoneNames": [  
        "privatelink.azureiotcentral.com",  
        "privatelink.azure-devices.net",  
        "privatelink.servicebus.windows.net",  
        "privatelink.azure-devices-provisioning.net"],  
      "provisioningState": "Succeeded"}  
    }  
  ]  
}

  6. Na webu Azure Portal přejděte k privátnímu koncovému bodu a vyberte konfiguraci DNS. Na této stránce najdete požadované informace pro mapování IP adres na název DNS.

Snímek obrazovky webu Azure Portal zobrazící konfiguraci privátního DNS

Upozorňující

Tyto informace vám umožní naplnit vlastní server DNS potřebnými záznamy. Pokud je to možné, měli byste se integrovat s privátními zónami DNS virtuální sítě a nenakonfigurovat vlastní server DNS. Privátní koncové body pro aplikace IoT Central se liší od jiných služeb Azure PaaS. V některých situacích, jako je automatické škálování IoT Central, Služba IoT Central škáluje počet ioT Hubů, které jsou přístupné prostřednictvím privátního koncového bodu. Pokud se rozhodnete naplnit vlastní server DNS, je vaší zodpovědností aktualizovat záznamy DNS při každém automatickém škálování IoT Central a později odebrat záznamy, když se počet center IoT škáluje.

Omezení veřejného přístupu

Pokud chcete omezit veřejný přístup pro vaše zařízení do IoT Central, vypněte přístup z veřejných koncových bodů. Po vypnutí veřejného přístupu se zařízení nemůžou připojit ke službě IoT Central z veřejných sítí a musí používat privátní koncový bod:

  1. Na webu Azure Portal přejděte do aplikace IoT Central a pak vyberte Sítě.

  2. Na kartě Veřejný přístup vyberte Zakázáno pro přístup k veřejné síti.

  3. Volitelně můžete definovat seznam IP adres a rozsahů, které se můžou připojit k veřejnému koncovému bodu aplikace IoT Central.

  4. Zvolte Uložit.

Tip

Pokud se rozhodnete definovat seznam IP adres a rozsahů, které se můžou připojit k veřejnému koncovému bodu aplikace IoT Central, nezapomeňte zahrnout IP adresu libovolného proxy serveru, který vaše zařízení používají pro připojení k aplikaci IoT Central.

Připojení k privátnímu koncovému bodu

Když zakážete přístup k veřejné síti pro aplikaci IoT Central, nebudou se vaše zařízení moct připojit ke globálnímu koncovému bodu služby Device Provisioning Service (DPS). K tomu dochází, protože jediný plně kvalifikovaný název domény pro DPS má ve vaší virtuální síti přímou IP adresu. Globální koncový bod je teď nedostupný.

Při konfiguraci privátního koncového bodu pro aplikaci IoT Central se koncový bod služby IoT Central aktualizuje tak, aby odrážel přímý koncový bod DPS.

Aktualizujte kód zařízení tak, aby používal přímý koncový bod DPS.

Snímek obrazovky z aplikace IoT Central, která zobrazuje přímý koncový bod DPS

Osvědčené postupy

  • Nepoužívejte k připojení zařízení k IoT Central adresy URL subdomény privátního propojení. Po vytvoření privátního koncového bodu vždy používejte adresu URL DPS zobrazenou v aplikaci IoT Central.

  • Pro správu DNS použijte privátní zóny DNS poskytnuté v Azure. Nepoužívejte vlastní server DNS, protože byste museli neustále aktualizovat konfiguraci DNS, abyste udrželi krok s tím, jak IoT Central automaticky škáluje své prostředky.

  • Pokud pro stejný prostředek IoT Central vytvoříte několik privátních koncových bodů, zóna DNS může přepsat plně kvalifikované názvy domén, abyste je měli znovu přidat.

Omezení

  • V současné době je privátní připojení povolené jenom pro připojení zařízení k podkladovým centrem IoT a DPS v aplikaci IoT Central. Webové uživatelské rozhraní a rozhraní API IoT Central nadále pracují prostřednictvím svých veřejných koncových bodů.

  • Privátní koncový bod musí být ve stejné oblasti jako vaše virtuální síť.

  • Když zakážete přístup k veřejné síti:

    • Simulovaná zařízení IoT Central nefungují, protože nemají připojení k vaší virtuální síti.

    • Globální koncový bod DPS (global.device-provisioning.net) není přístupný. Aktualizujte firmware zařízení tak, aby se připojil k přímé instanci DPS. Přímou adresu URL DPS najdete na stránce Skupiny připojení zařízení v aplikaci IoT Central.

  • Aplikaci IoT Central nemůžete přejmenovat po konfiguraci privátního koncového bodu.

  • Privátní koncový bod ani aplikaci IoT Central nemůžete přesunout do jiné skupiny prostředků nebo předplatného.

  • Podpora je omezená na protokol IPv4. Protokol IPv6 se nepodporuje.

Řešení problému

Pokud máte potíže s připojením k privátnímu koncovému bodu, postupujte podle následujících pokynů k řešení potíží:

Kontrola stavu připojení

Ujistěte se, že je stav připojení privátního koncového bodu nastavený na schválenou.

  1. Na webu Azure Portal přejděte do aplikace a pak vyberte Sítě.
  2. Vyberte kartu připojení privátních koncových bodů. Ověřte, zda je stav připojení schválen pro váš privátní koncový bod.

Spouštění kontrol ve virtuální síti

Pomocí následujících kontrol můžete prozkoumat problémy s připojením ze stejné virtuální sítě. Nasaďte virtuální počítač ve stejné virtuální síti, ve které jste vytvořili privátní koncový bod. Přihlaste se k virtuálnímu počítači a spusťte následující testy.

Abyste měli jistotu, že překlad názvů funguje správně, iterujte všechny plně kvalifikované názvy domén v konfiguraci DNS privátního koncového bodu a spusťte testy pomocí nslookupnástroje , Test-NetConnectionnebo jiných podobných nástrojů, abyste ověřili, že každý DNS odpovídá příslušné IP adrese.

Kromě toho spuštěním následujícího příkazu ověřte, že se název DNS každého plně kvalifikovaného názvu domény shoduje s odpovídající IP adresou.

#replace the <...> placeholders with the correct values 
nslookup iotc-….azure-devices.net

Výsledek vypadá jako následující výstup:

#Results in the following output: 
Server:127.0.0.53 
Address:127.0.0.53#53 

Non-authoritative answer: xyz.azure-devices.net
canonical name = xyz.privatelink.azure-devices.net
Name:xyz.privatelink.azure-devices.net
Address: 10.1.1.12

Pokud zjistíte plně kvalifikovaný název domény, který neodpovídá jeho odpovídající IP adrese, opravte vlastní server DNS. Pokud nepoužíváte vlastní server DNS, vytvořte lístek podpory.

Zkontrolujte, jestli máte více privátních koncových bodů.

Konfiguraci DNS je možné přepsat, pokud vytvoříte nebo odstraníte několik privátních koncových bodů pro jednu aplikaci IoT Central:

  • Na webu Azure Portal přejděte k prostředku privátního koncového bodu.
  • V části DNS se ujistěte, že existují položky pro všechny požadované prostředky: IoT Hubs, Event Hubs, DPS a Plně kvalifikované názvy domén IoT Central.
  • Ověřte, že SE IP adresy (a IP adresy pro jiné privátní koncové body používající tuto zónu DNS) projeví v záznamu A DNS.
  • Odeberte všechny záznamy A pro IP adresy ze starších privátních koncových bodů, které byly dříve odstraněny.

Další tipy pro řešení potíží

Pokud po vyzkoušení všech těchto kontrol stále dochází k problému, zkuste průvodce odstraňováním potíží s privátním koncovým bodem.

Pokud jsou všechny kontroly úspěšné a vaše zařízení stále nemůžou navázat připojení ke službě IoT Central, obraťte se obecně na tým podnikového zabezpečení zodpovědný za brány firewall a sítě. Mezi potenciální příčiny selhání patří:

  • Chybná konfigurace virtuální sítě Azure
  • Chybná konfigurace zařízení brány firewall
  • Chybná konfigurace tras definovaných uživatelem ve virtuální síti Azure
  • Chybně nakonfigurovaný proxy server mezi zařízeními a prostředky IoT Central

Další kroky

Teď, když jste se naučili vytvořit privátní koncový bod pro vaši aplikaci, tady je navrhovaný další krok:

Správa aplikace