Správa přístupu k veřejné síti pro centrum IoT

Důležité

Zakázáním přístupu k veřejné síti zabráníte v používání aktualizace zařízení pro IoT Hub.

Pokud chcete omezit přístup jenom k privátnímu koncovému bodu pro centrum IoT ve vaší virtuální síti, zakažte přístup k veřejné síti. Použijte k tomu Azure Portal nebo rozhraní API publicNetworkAccess. Pomocí tohoto portálu nebo rozhraní API publicNetworkAccess můžete také povolit veřejný přístup.

Vypnutí veřejného síťového přístupu pomocí webu Azure Portal

  1. Přejděte na web Azure Portal.
  2. Přejděte do svého centra IoT. Přejděte do části Skupiny prostředků, zvolte příslušnou skupinu a vyberte IoT Hub.
  3. V nabídce na levé straně vyberte Síť.
  4. V části Povolit přístup z veřejné sítě vyberte Zakázáno.
  5. Vyberte Uložit.

Snímek obrazovky znázorňující Azure Portal, kde vypnout přístup k veřejné síti

Pokud chcete zapnout přístup k veřejné síti, vyberte Všechny sítě a pak Uložit.

Přístup k IoT Hub po zakázání veřejného síťového přístupu

Po zakázání veřejného síťového přístupu je IoT Hub přístupný jenom prostřednictvím privátního koncového bodu virtuální sítě pomocí služby Azure Private Link. Toto omezení se týká i přístupu přes Azure Portál, protože volání API směrovaná do služby IoT Hub se provádí přímo pomocí prohlížeče s vašimi přihlašovacími údaji.

IoT Hub koncového bodu, IP adresy a portů po zakázání přístupu k veřejné síti

IoT Hub je Platforma jako služba (PaaS) s více tenanty, takže různí zákazníci sdílejí stejný fond výpočetních, síťových a úložných hardwarových prostředků. Názvy hostitelů služby IoT Hub se mapují na veřejný koncový bod s veřejně směrovatelnou IP adresou přes internet. Tento veřejný koncový bod služby IoT Hub sdílejí různí zákazníci a mohou k němu přistupovat zařízení IoT v sítích WAN i místních sítích.

Zákaz veřejného síťového přístupu se vynucuje u konkrétního prostředku služby IoT Hub, čímž je zajištěna izolace. Aby služba zůstala aktivní pro ostatní zákaznické prostředky využívající veřejnou cestu, zůstává její veřejný koncový bod přeložitelný, IP adresy zjistitelné a porty otevřené. To není důvod k obavám, protože Microsoft integruje několik vrstev zabezpečení, aby mezi tenanty zajistil úplnou izolaci. Další informace najdete v tématu Izolace ve veřejném cloudu Azure.

Filtr IP adres

Pokud je veřejný síťový přístup zakázaný, všechna pravidla filtru IP adres se ignorují. Je to proto, že všechny IP adresy z veřejného internetu jsou blokované. Pokud chcete použít filtr IP adres, použijte možnost Vybrané rozsahy IP adres .

Oprava chyby s integrovaným koncovým bodem kompatibilním se službou Event Hubs

U IoT Hub došlo k chybě, kdy je integrovaný koncový bod kompatibilní se službou Event Hubs i nadále přístupný přes veřejný internet, když je veřejný síťový přístup k IoT Hub zakázaný. Další informace a kontaktování této chyby najdete v tématu Zakázání přístupu k veřejné síti pro IoT Hub zakáže přístup k integrovanému koncovému bodu služby Event Hubs.

Zapnutí síťového přístupu pomocí webu Azure Portal

  1. Přejděte na Azure Portal.
  2. Přejděte do svého centra IoT. Přejděte do skupin prostředků, vyberte příslušnou skupinu a potom vyberte centrum.
  3. V nabídce na levé straně vyberte Síť.
  4. V části Povolit přístup z veřejné sítě vyberte Vybrané rozsahy IP adres.
  5. V dialogovém okně Filtr IP adres, které se otevře, vyberte Přidat IP adresu klienta a zadejte název a rozsah adres.
  6. Vyberte Uložit. Pokud je toto tlačítko zobrazené šedě, zkontrolujte, jestli je IP adresa klienta již přidaná jako filtr IP adres.

Snímek obrazovky znázorňující Azure Portal, kde zapnout přístup k veřejné síti

Zapnutí všech rozsahů sítí

  1. Přejděte do svého centra IoT. Přejděte do skupin prostředků, vyberte příslušnou skupinu a potom vyberte centrum.
  2. V nabídce na levé straně vyberte Síť.
  3. V části Povolit přístup z veřejné sítě vyberte Všechny sítě.
  4. Vyberte Uložit.

Kontrola přístupu ke službě IoT Hub pomocí Cloud Shell

Přístup ke službě IoT Hub můžete zkontrolovat pomocí Azure Cloud Shell. Ujistěte se, že jste zapnuli všechny rozsahy sítě, a pak spusťte následující příkazy. Nahraďte SubscriptionName názvem vašeho předplatného a MyIoTHub názvem vašeho centra.

  az account set -s "SubscriptionName"
  az iot hub device-identity list --hub-name "MyIoTHub"
  Set-AzContext -Name "SubscriptionName"
  Get-AzIoTHubDevice -IotHubName "MyIoTHub"

Řešení potíží

Pokud máte potíže s přístupem k centru IoT, může být problém s konfigurací sítě. Pokud se například při pokusu o přístup ke stránce zařízení IoT zobrazí následující chybová zpráva, zkontrolujte na stránce Sítě , jestli je veřejný síťový přístup zakázaný nebo omezený na vybrané rozsahy IP adres.

  Unable to retrieve devices. Please ensure that your network connection is online and network settings allow connections from your IP address.

Při pokusu o přístup k centru IoT pomocí jiných nástrojů, například rozhraní Azure CLI, může chybová zpráva zahrnovat {"errorCode": 401002, "message": "Unauthorized"}, a to v případě, že požadavek není do centra IoT správně směrován.

Pokud chcete získat přístup k centru IoT, požádejte správce IT o povolení přidat vaši IP adresu do rozsahu IP adres nebo povolit veřejný přístup do všech sítí. Pokud se tím problém nevyřeší, zkontrolujte nastavení místní sítě nebo se obraťte na správce místní sítě a požádejte o opravu připojení ke službě IoT Hub. Někdy může přístup k centru IoT narušovat například proxy v místní síti.

Pokud předchozí příkazy nefungují nebo nemůžete zapnout všechny rozsahy sítě, obraťte se na podporu Microsoftu.