Управление доступом к общедоступной сети для центра Интернета вещей

Важно!

Отключение доступа к общедоступной сети не позволит использовать обновление устройств для Центра Интернета вещей.

Чтобы ограничить доступ только частными конечными точками центра Интернета вещей в виртуальной сети, отключите доступ к общедоступной сети. Это можно сделать с помощью портала Azure или через API publicNetworkAccess. Также с помощью портала или API publicNetworkAccess вы можете разрешить доступ.

Отключение доступа к общедоступной сети с помощью портала Azure

  1. Перейдите на портал Azure.
  2. Перейдите в Центр Интернета вещей. Перейдите в раздел Группы ресурсов и выберите соответствующую группу, а затем свой центр Интернета вещей.
  3. В меню слева выберите пункт Сеть.
  4. В разделе "Разрешить доступ к общедоступной сети" выберите пункт Отключено.
  5. Щелкните Сохранить.

Снимок экрана: отключение доступа к общедоступной сети на портале Azure

Чтобы включить доступ к общедоступной сети, выберите пункт Все сети, а затем нажмите кнопку Сохранить.

Доступ к Центру Интернета вещей Azure после отключения доступа к общедоступной сети

После отключения доступа к общедоступной сети центр Интернета вещей Azure будет доступен только через частную конечную точку в виртуальной сети по приватному каналу Azure. Это ограничение касается доступа через портал Azure, так как вызовы API в службе центра Интернета вещей выполняются непосредственно в браузере с использованием ваших учетных данных.

Конечная точка Центра Интернета вещей Azure, IP-адрес и порты после отключения доступа к общедоступной сети

Центр Интернета вещей — это платформа как услуга (PaaS) для множества клиентов, и разные клиенты используют одни и те же вычислительные ресурсы, сети и устройства хранения. Имена узлов Центра Интернета вещей Azure сопоставляются с общедоступной конечной точкой с общедоступным маршрутизируемым IP-адресом через Интернет. Разные клиенты совместно используют эту общедоступную конечную точку Центра Интернета вещей, и получить к ней доступ могут все устройства Интернета вещей в глобальных и локальных сетях.

Доступ к общедоступной сети отключается на конкретном ресурсе центра Интернета вещей, что обеспечивает изоляцию процессов. Для сохранения активности службы для других ресурсов клиента, использующих общедоступный путь, его общедоступная конечная точка остается разрешимой, IP-адреса доступны для обнаружения, а порты остаются открытыми. Это не проблема, так как Майкрософт внедряет несколько уровней безопасности, чтобы обеспечить полную изоляцию клиентов. Дополнительные сведения см. в статье Изоляция в общедоступном облаке Azure.

Фильтрация IP-адресов

Если доступ к общедоступной сети отключен, все правила фильтрации IP-адресов игнорируются. Это связано с тем, что блокируются все IP-адреса из общедоступной сети Интернет. Чтобы использовать фильтрацию IP-адресов, используйте параметр Выбранные диапазоны IP-адресов.

Исправление ошибок встроенной конечной точки центров событий Azure

В Центре Интернета вещей встречается ошибка, из-за которой встроенная конечная точка центров событий Azure остается доступной через общедоступный Интернет при отключенном доступе к Центру Интернета вещей через общедоступную сеть. Дополнительные сведения об этой ошибке и возможностях связи с нами см. в статье Отключение доступа через общедоступную сеть для Центра Интернета вещей Azure отключает доступ к встроенной конечной точке центров событий Azure.

Включение доступа к общедоступной сети с помощью портала Azure

  1. Перейдите на портал Azure.
  2. Перейдите в Центр Интернета вещей. Перейдите в раздел Группы ресурсов и выберите соответствующую группу, а затем свой центр Интернета вещей.
  3. В меню слева выберите пункт Сеть.
  4. В разделе "Разрешить доступ к общедоступной сети" выберите пункт Выбранные диапазоны IP-адресов.
  5. В открывшемся диалоговом окне IP-фильтр выберите Добавьте IP-адрес своего клиента и введите имя и диапазон адресов.
  6. Щелкните Сохранить. Если кнопка неактивна, убедитесь, что IP-адрес клиента уже добавлен в качестве IP-фильтра.

Снимок экрана: включение доступа к общедоступной сети на портале Azure

Включение всех диапазонов сетевых адресов

  1. Перейдите в Центр Интернета вещей. Перейдите в раздел Группы ресурсов и выберите соответствующую группу, а затем свой центр Интернета вещей.
  2. В меню слева выберите пункт Сеть.
  3. В разделе "Разрешить доступ к общедоступной сети" выберите пункт Все сети.
  4. Щелкните Сохранить.

Проверка доступа к центру Интернета вещей с помощью Cloud Shell

Проверить доступ к центру Интернета вещей можно с помощью Azure Cloud Shell. Убедитесь, что включены все диапазоны сетевых адресов, а затем выполните следующие команды. Замените "SubscriptionName" именем своей подписки, а "MyIoTHub" — именем своего центра.

  az account set -s "SubscriptionName"
  az iot hub device-identity list --hub-name "MyIoTHub"
  Set-AzContext -Name "SubscriptionName"
  Get-AzIoTHubDevice -IotHubName "MyIoTHub"

Устранение неполадок

Если у вас возникли проблемы с доступом к центру Интернета вещей, это может быть связано с конфигурацией сети. Например, если при попытке доступа к странице "Устройства IoT" отображается следующее сообщение об ошибке, перейдите на страницу Сеть, чтобы узнать, не отключен ли доступ к общедоступной сети или не ограничен ли он выбранными диапазонами IP-адресов.

  Unable to retrieve devices. Please ensure that your network connection is online and network settings allow connections from your IP address.

При попытке открыть центр Интернета вещей с помощью других средств, таких как Azure CLI, в сообщении об ошибке может содержаться {"errorCode": 401002, "message": "Unauthorized"}, если запрос некорректно направляется в центр Интернета вещей.

Чтобы получить доступ к центру Интернета вещей, запросите разрешение у администратора, чтобы добавить свой IP-адрес в диапазон разрешенных IP-адресов или разрешить доступ ко всем общедоступным сетям. Если это не удается устранить проблему, проверка параметры локальной сети или обратитесь к администратору локальной сети, чтобы исправить подключение к Центру Интернета вещей. Например, иногда доступу к Центру Интернета вещей может мешать прокси-сервер в локальной сети.

Если указанные выше команды не помогают или вы не можете включить все диапазоны сетевых адресов, обратитесь в службу поддержки Майкрософт.