Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Por padrão, os nomes de host do Hub IoT são associados a um ponto de extremidade público com um endereço IP publicamente roteável pela Internet. Diferentes clientes compartilham esse ponto de extremidade público do Hub IoT, e dispositivos IoT em redes de longa distância e redes locais podem acessá-lo.
Note
Hub IoT apresenta pontos de extremidade adicionais para dar suporte ao TLS 1.3 (versão prévia). Esses pontos de extremidade são aditivos e não substituem o ponto de extremidade existente usado por Link Privado (<hub>.azure-devices.net). As configurações de ponto de extremidade privado existentes continuam funcionando sem alterações.
Para obter mais informações sobre esses pontos de extremidade, consulte pontos de extremidade habilitados para TLS 1.3.
Alguns recursos de Hub IoT, incluindo message routing, file upload e bulk device import/export, também exigem conectividade de Hub IoT para um recurso de Azure de propriedade do cliente sobre seu ponto de extremidade público. Esses caminhos de conectividade compõem o tráfego de saída de Hub IoT para recursos do cliente.
Talvez você queira restringir a conectividade aos recursos de Azure (incluindo Hub IoT) por meio de uma rede virtual que você possui e opera por vários motivos, incluindo:
Apresentando o isolamento de rede para o seu hub IoT, evitando a exposição da conectividade à internet pública.
Habilitar uma experiência de conectividade privada de seus ativos de rede locais, o que garante que seus dados e tráfego sejam transmitidos diretamente para Azure rede de backbone.
Impedindo ataques de exfiltração de redes locais confidenciais.
Seguindo padrões de conectividade estabelecidos em todo o Azure usando pontos de extremidade privados.
Este artigo descreve como alcançar esses objetivos usando o Link Privado do Azure para conectividade de entrada para o Hub IoT e a exceção para serviços confiáveis da Microsoft para conectividade de saída do Hub IoT para outros recursos do Azure.
Conectividade de ingresso ao Hub IoT usando o Link Privado do Azure
Um ponto de extremidade privado é um endereço IP privado alocado dentro de uma rede virtual de propriedade do cliente por meio da qual um recurso de Azure é acessível. Usando Link Privado do Azure, você pode configurar um ponto de extremidade privado para seu IoT hub para que os serviços dentro de sua rede virtual possam alcançar Hub IoT sem enviar tráfego para o ponto de extremidade público do Hub IoT. Da mesma forma, seus dispositivos locais podem usar o Gateway de VPN do Azure ou o peering do Azure ExpressRoute para obter conectividade com sua rede virtual e seu hub de IoT (por meio do endpoint privado dele). Como resultado, você pode restringir ou bloquear completamente a conectividade com os pontos de extremidade públicos do Hub IoT por meio do filtro de IP do Hub IoT ou da opção de acesso à rede pública. Essa abordagem mantém a conexão com o seu hub usando o endpoint privado para dispositivos. O foco principal dessa configuração é para dispositivos dentro de uma rede local. Essa configuração não é recomendada para dispositivos implantados em uma rede de ampla área.
Antes de prosseguir, verifique se os seguintes pré-requisitos são atendidos:
Você criou uma rede virtual do Azure com uma sub-rede na qual será criado o endpoint privado.
Para dispositivos que operam em redes locais, configure o Gateway de VPN do Azure ou o emparelhamento privado do Azure ExpressRoute com sua rede virtual do Azure.
Configurar um ponto de extremidade privado para entrada do Hub IoT
Os pontos de extremidade privados funcionam para APIs de dispositivo Hub IoT (como mensagens de dispositivo para nuvem) e APIs de serviço (como criar e atualizar dispositivos).
No portal Azure, vá para o seu hub de IoT.
No painel esquerdo, em configurações de segurança, selecione Acesso>privado de rede e, em seguida, selecione Criar um ponto de extremidade privado.
Digite a assinatura, o grupo de recursos, o nome, o nome da interface de rede e a região para criar o novo endpoint privado. Crie o endpoint privado na mesma região do seu hub.
Selecione Next: Resource e insira a assinatura do recurso Hub IoT. Em seguida, selecione Microsoft. Devices/IotHubs para o tipo de recurso, o nome do hub IoT como o recurso e iotHub como o sub-recurso de destino.
Selecione Avançar: Rede virtual e insira sua rede virtual e sub-rede na qual criar o ponto de extremidade privado.
Selecione Avançar: DNS e selecione a opção de integração com a zona DNS privada, se desejar.
Selecione Avançar: Marcas e, opcionalmente, insira as marcas do recurso.
Selecione Avançar: Examine + crie para examinar os detalhes do recurso de link privado e, em seguida, selecione Criar para criar o recurso.
Endpoint integrado compatível com Event Hubs
Você também pode acessar o endpoint integrado compatível com o Event Hubs por meio de um endpoint privado. Ao configurar o link privado, você vê outra conexão de ponto de extremidade privado e a configuração do ponto de extremidade integrado. É aquele com servicebus.windows.net no FQDN.
Opcionalmente, você pode usar o filtro IP do Hub IoT para controlar o acesso público ao endpoint interno.
Para bloquear completamente o acesso à rede pública ao hub IoT, desative o acesso à rede pública ou use o filtro IP para bloquear todo o IP e selecione a opção para aplicar regras ao ponto de extremidade interno.
Preços do Link Privado
Para obter detalhes de preço, confira Preço do Link Privado do Azure.
Conectividade de saída do Hub IoT para outros recursos do Azure
Hub IoT pode se conectar ao armazenamento de blobs do Azure, aos Hubs de Eventos e aos recursos do Barramento de Serviço para roteamento de mensagens, upload de arquivos e importação/exportação em massa de dispositivos por meio do ponto de extremidade público dos recursos. Associar seu recurso a uma rede virtual bloqueia a conectividade com o recurso por padrão. Como resultado, essa configuração impede que os hubs IoT enviem dados para seus recursos. Para corrigir esse problema, habilite a conectividade do recurso Hub IoT para sua conta de armazenamento, hub de eventos ou recursos Barramento de Serviço por meio da opção trusted Microsoft service.
Para permitir que outros serviços encontrem o hub IoT como um serviço de Microsoft confiável, seu hub deve usar uma identidade gerenciada. Depois que uma identidade gerenciada for provisionada, conceda permissão à identidade gerenciada do seu hub para acessar o ponto de extremidade personalizado. Siga os procedimentos fornecidos em Suporte do Hub IoT para identidades gerenciadas para provisionar uma identidade gerenciada com permissão de controle de acesso baseado em função (RBAC) do Azure e adicionar o ponto de extremidade personalizado ao seu hub IoT. Para permitir que seus hubs de IoT acessem o ponto de extremidade personalizado, certifique-se de ativar a exceção confiável de serviços primários da Microsoft se houver configurações de firewall habilitadas.
Preço da opção de serviço de Microsoft confiável
O recurso de exceção de serviços de primeira parte Microsoft confiáveis é gratuito. As cobranças pelas contas de armazenamento provisionadas, pelo Event Hubs ou pelos recursos do Service Bus são cobradas separadamente.
Próximas Etapas
Para saber mais sobre Hub IoT recursos, confira os seguintes recursos: