Suporte do Hub IoT para redes virtuais com o Link Privado do Azure
Por padrão, os nomes de host do Hub IoT são mapeados para um ponto de extremidade público com um endereço IP roteado publicamente pela Internet. Diferentes clientes compartilham esse ponto de extremidade público do Hub IoT, e dispositivos IoT em redes de longa distância e redes locais podem acessá-lo.
Alguns recursos do Hub IoT, incluindo roteamento de mensagens, upload de arquivos e importação/exportação de dispositivos em massa, também exigem conectividade do Hub IoT para um recurso do Azure de propriedade do cliente no respectivo ponto de extremidade público. Esses caminhos de conectividade compõem o tráfego de saída do Hub IoT para os recursos do cliente.
O ideal é restringir a conectividade com os recursos do Azure (incluindo o Hub IoT) por meio de uma VNet da qual você é o proprietário e o operador por vários motivos, incluindo:
A introdução ao isolamento de rede para o Hub IoT, impedindo a exposição da conectividade à Internet pública.
A habilitação de uma experiência de conectividade privada dos seus ativos de rede local, garantindo que os dados e tráfego sejam transmitidos diretamente para a rede de backbone do Azure.
Impedir ataques de vazamento de redes locais confidenciais.
Seguindo os padrões estabelecidos de conectividade de todo o Azure usando pontos de extremidade privados.
Este artigo descreve como atingir essas metas usando Link Privado do Azure para conectividade de entrada ao Hub IoT e usando exceção de serviços confiáveis da Microsoft para a conectividade de saída do Hub IoT para outros recursos do Azure.
Conectividade de entrada para Hub IoT usando Link Privado do Azure
Um ponto de extremidade privado é um endereço IP privado alocado em uma VNet de propriedade do cliente por meio da qual um recurso do Azure pode ser acessado. Com o Link Privado do Azure, você pode configurar um ponto de extremidade privado para o hub IoT para permitir que os serviços na sua VNet acessem o Hub IoT sem exigir que o tráfego seja enviado ao ponto de extremidade público do Hub IoT. Da mesma forma, seus dispositivos locais podem usar o emparelhamento da VPN (rede virtual privada) ou do ExpressRoute para obter conectividade com a VNet e o hub IoT (por meio do respectivo ponto de extremidade privado). Como resultado, você pode restringir ou bloquear completamente a conectividade com os pontos de extremidade públicos do seu Hub IoT usando o filtro de IP do Hub IoT ou a alternância de acesso de rede pública. Essa abordagem mantém a conectividade com o seu hub usando o ponto de extremidade privado para dispositivos. O foco principal dessa configuração é para dispositivos dentro de uma rede local. Essa configuração não é recomendada para dispositivos implantados em uma rede de longa distância.
Antes de continuar, verifique se os seguintes pré-requisitos foram atendidos:
Você criou uma VNet do Azure com uma sub-rede na qual o ponto de extremidade privado será criado.
Para dispositivos que operam em redes locais, configure o emparelhamento da Rede Virtual Privada (VPN) ou do ExpressRoute privado em sua VNet do Azure.
Configurar um ponto de extremidade privado para a entrada do Hub IoT
O ponto de extremidade privado funciona para as APIs de dispositivo do Hub IoT (como mensagens do dispositivo para a nuvem), bem como para as APIs de serviço (como a criação e a atualização de dispositivos).
No portal do Azure, navegue para o hub IoT.
Selecione Rede>Acesso privado e escolha Criar um ponto de extremidade privado.
Forneça a assinatura, o grupo de recursos, o nome e a região para criar o ponto de extremidade privado. De preferência, um ponto de extremidade privado deve ser criado na mesma região do hub.
Selecione Avançar: Recurso, forneça a assinatura do recurso do Hub IoT e escolha "Microsoft.Devices/IotHubs" como o tipo de recurso, o nome do hub IoT como recurso e iotHub como o sub-recurso de destino.
Selecione Avançar: Configuração e forneça a rede virtual e a sub-rede na qual o ponto de extremidade privado será criado. Selecione a opção para integrar-se à zona DNS privada do Azure, se desejado.
Selecione Avançar: Marcas e, opcionalmente, forneça marcas para o recurso.
Selecione Revisar + criar para criar seu recurso de link privado.
Ponto de extremidade compatível com o hub de Eventos interno
O ponto de extremidade compatível com os Hubs de Eventos interno também pode ser acessado pelo ponto de extremidade privado. Quando o link privado estiver configurado, você verá outra conexão de ponto de extremidade privado para o ponto de extremidade interno. É aquele com servicebus.windows.net
no FQDN.
O filtro de IP do Hub IoT pode, opcionalmente, controlar o acesso público ao ponto de extremidade interno.
Para bloquear completamente o acesso da rede pública ao seu Hub IoT, desative o acesso da rede pública ou use o filtro de IP para bloquear todo o IP e selecione a opção para aplicar regras ao ponto de extremidade interno.
Preços para o Link Privado
Para obter detalhes de preço, confira Preço do Link Privado do Azure.
Conectividade de saída do Hub IoT para outros recursos do Azure
O Hub IoT pode se conectar ao armazenamento de blobs do Azure, hub de eventos, recursos do barramento de serviço para roteamento de mensagens, carregamento de arquivos e importação/exportação de dispositivos em massa sobre o ponto de extremidade público dos recursos. A associação do seu recurso a uma VNet bloqueia a conectividade com o recurso por padrão. Como resultado, essa configuração impede que os hubs IoT enviem dados para seus recursos. Para corrigir esse problema, habilite a conectividade do recurso de Hub IoT para sua conta de armazenamento, hub de eventos ou recursos do barramento de serviço por meio da opção serviço confiável da Microsoft.
Para permitir que outros serviços localizem seu hub IoT como um serviço confiável da Microsoft, o hub precisa usar uma identidade gerenciada. Depois que uma identidade gerenciada for provisionada, conceda permissão à identidade gerenciada do hub para acessar seu ponto de extremidade personalizado. Siga o artigo Suporte a identidades gerenciadas no Hub IoT para provisionar uma identidade gerenciada com a permissão do RBAC (controle de acesso baseado em função) do Azure e adicionar o ponto de extremidade personalizado ao hub IoT. Ative a exceção interna confiável da Microsoft para permitir o acesso dos hubs IoT ao ponto de extremidade personalizado se você tiver as configurações de firewall em vigor.
Preço da opção de serviço confiável da Microsoft
O recurso confiável de exceção de serviços de terceiros da Microsoft é gratuito. Os preços das contas de armazenamento provisionadas, dos hubs de eventos ou dos recursos do barramento de serviço são aplicados separadamente.
Próximas etapas
Use os seguintes links para saber mais sobre os recursos do Hub IoT: