تحديث جهاز Azure لأمان شبكة IoT Hub
توضح هذه المقالة كيفية استخدام Azure Device Update ل IoT Hub لميزات أمان الشبكة التالية لإدارة التحديثات:
- علامات الخدمة في مجموعات أمان الشبكة وجدار حماية Azure
- نقاط النهاية الخاصة في شبكة Azure الظاهرية
هام
لا يدعم تحديث الجهاز تعطيل الوصول إلى الشبكة العامة في مركز IoT المرتبط.
علامات الخدمة
تمثل علامة الخدمة مجموعة من بادئات عناوين IP من خدمة Azure معينة. تقوم Microsoft بإدارة بادئات العناوين التي تشملها علامة الخدمة، كما تقوم بتحديث علامة الخدمة تلقائيًا مع تغيير العناوين، ما يقلل من تعقيد التحديثات المتكررة لقواعد أمان الشبكة. لمزيد من المعلومات حول علامات الخدمة، راجع نظرة عامة على علامات الخدمة.
يمكنك استخدام علامات الخدمة لتعريف عناصر التحكم في الوصول إلى الشبكة على مجموعات أمان الشبكة أو Azure Firewall. استخدم علامات الخدمة بدلاً من عناوين IP معينة عند إنشاء قواعد الأمان. عن طريق تحديد اسم علامة الخدمة، على سبيل المثال، AzureDeviceUpdate، في الحقل المناسب source أو destination حقل القاعدة، يمكنك السماح بنسبة استخدام الشبكة للخدمة المقابلة أو رفضها.
| علامة الخدمة | الغرض | الواردة أو الصادرة؟ | هل يمكن أن تكون إقليمية؟ | هل يمكن استخدامها مع جدار Azure Firewall؟ |
|---|---|---|---|---|
| AzureDeviceUpdate | تحديث جهاز Azure ل IoT Hub | كلاهما | لا | نعم |
نطاقات IP الإقليمية
نظرا لأن قواعد IP ل Azure IoT Hub لا تدعم علامات الخدمة، يجب عليك استخدام AzureDeviceUpdate بادئات IP لعلامة الخدمة بدلا من ذلك. العلامة عمومية، لذلك يوفر الجدول التالي نطاقات IP إقليمية للراحة.
من غير المحتمل أن تتغير بادئات IP التالية، ولكن يجب عليك مراجعة القائمة شهريا. الموقع يعني موقع موارد تحديث الجهاز.
| الموقع | نطاقات IP |
|---|---|
| شرق أستراليا | 20.211.71.192/26, 20.53.47.16/28, 20.70.223.192/26, 104.46.179.224/28, 20.92.5.128/25, 20.92.5.128/26 |
| شرق الولايات المتحدة | 20.119.27.192/26, 20.119.28.128/26, 20.62.132.240/28, 20.62.135.128/27, 20.62.135.160/28, 20.59.77.64/26, 20.59.81.64/26, 20.66.3.208/28 |
| East US 2 | 20.119.155.192/26, 20.62.59.16/28, 20.98.195.192/26, 20.40.229.32/28, 20.98.148.192/26, 20.98.148.64/26 |
| شرق الولايات المتحدة 2 EUAP | 20.47.236.192/26, 20.47.237.128/26, 20.51.20.64/28, 20.228.1.0/26, 20.45.241.192/26, 20.46.11.192/28 |
| أوروبا الشمالية | 20.223.64.64/26, 52.146.136.16/28, 52.146.141.64/26, 20.105.211.0/26, 20.105.211.192/26, 20.61.102.96/28, 20.86.93.128/26 |
| South Central US | 20.65.133.64/28, 20.97.35.64/26, 20.97.39.192/26, 20.125.162.0/26, 20.49.119.192/28, 20.51.7.64/26 |
| جنوب شرق آسيا | 20.195.65.112/28, 20.195.87.128/26, 20.212.79.64/26, 20.195.72.112/28, 20.205.49.128/26, 20.205.67.192/26 |
| منطقة السويد الوسطى | 20.91.144.0/26, 51.12.46.112/28, 51.12.74.192/26, 20.91.11.64/26, 20.91.9.192/26, 51.12.198.96/28 |
| جنوب المملكة المتحدة | 20.117.192.0/26, 20.117.193.64/26, 51.143.212.48/28, 20.58.67.0/28, 20.90.38.128/26, 20.90.38.64/26 |
| أوروبا الغربية | 20.105.211.0/26, 20.105.211.192/26, 20.61.102.96/28, 20.86.93.128/26, 20.223.64.64/26, 52.146.136.16/28, 52.146.141.64/26 |
| West US 2 | 20.125.0.128/26, 20.125.4.0/25, 20.51.12.64/26, 20.83.222.128/26, 20.69.0.112/28, 20.69.4.128/26, 20.69.4.64/26, 20.69.8.192/26 |
| غرب الولايات المتحدة الأمريكية 3 | 20.118.138.192/26, 20.118.141.64/26, 20.150.244.16/28, 20.119.27.192/26, 20.119.28.128/26, 20.62.132.240/28, 20.62.135.128/27, 20.62.135.160/28 |
نقاط النهاية الخاصة
نقطة النهاية الخاصة هي واجهة شبكة خاصة لخدمة Azure في الشبكة الظاهرية. تسمح نقطة النهاية الخاصة بنسبة استخدام الشبكة الآمنة من شبكتك الظاهرية إلى حسابات Device Update عبر ارتباط خاص، دون المرور عبر الإنترنت العام.
توفر نقطة النهاية الخاصة لحساب Device Update اتصالا آمنا بين العملاء على شبكتك الظاهرية وحساب Device Update. يتم تعيين عنوان IP لنقطة النهاية الخاصة من نطاق عناوين IP لشبكتك الظاهرية. يستخدم الاتصال بين نقطة النهاية الخاصة وخدمات تحديث الجهاز ارتباطا خاصا آمنا.
يمكنك استخدام نقاط النهاية الخاصة لموارد تحديث الجهاز من أجل:
- يمكنك الوصول بأمان إلى حساب Device Update من شبكة ظاهرية عبر شبكة Microsoft الأساسية بدلا من الإنترنت العام.
- الاتصال بأمان من الشبكات المحلية التي تتصل بالشبكة الظاهرية باستخدام شبكة ظاهرية خاصة (VPN) أو Azure ExpressRoute مع نظير خاص.
يؤدي إنشاء نقطة نهاية خاصة لحساب Device Update في شبكتك الظاهرية إلى إرسال طلب موافقة للموافقة إلى مالك المورد. إذا كان المستخدم الذي يطلب إنشاء نقطة النهاية الخاصة يمتلك الحساب أيضا، تتم الموافقة على طلب الموافقة هذا تلقائيا. وإلا، يكون الاتصال في حالة معلق حتى تتم الموافقة عليه.
يمكن للتطبيقات في الشبكة الظاهرية الاتصال بخدمة Device Update عبر نقطة النهاية الخاصة بسلاسة، باستخدام اسم المضيف المعتاد وآليات التخويل الخاصة بها. يمكن لمالكي الحسابات إدارة طلبات الموافقة ونقاط النهاية الخاصة في مدخل Microsoft Azure على علامة تبويب الوصول الخاص في صفحة الشبكات للمورد.
الاتصال بنقاط النهاية الخاصة
يجب على العملاء على شبكة ظاهرية تستخدم نقطة النهاية الخاصة استخدام نفس اسم مضيف الحساب وآليات التخويل مثل العملاء المتصلين بنقطة النهاية العامة. تقوم دقة نظام أسماء المجالات (DNS) بتوجيه الاتصالات تلقائيا من الشبكة الظاهرية إلى الحساب عبر ارتباط خاص.
بشكل افتراضي، ينشئ تحديث الجهاز منطقة DNS خاصة مرفقة بالشبكة الظاهرية مع التحديث الضروري لنقاط النهاية الخاصة. إذا كنت تستخدم خادم DNS الخاص بك، فقد تحتاج إلى إجراء تغييرات على تكوين DNS الخاص بك.
تغييرات DNS لنقاط النهاية الخاصة
عند إنشاء نقطة نهاية خاصة، يحدث سجل DNS CNAME للمورد إلى اسم مستعار في مجال فرعي بالبادئة privatelink. بشكل افتراضي، يتم إنشاء منطقة DNS خاصة تتوافق مع المجال الفرعي للارتباط الخاص.
عند الوصول إلى عنوان URL لنقطة نهاية الحساب مع نقطة النهاية الخاصة من خارج الشبكة الظاهرية، فإنه يحل إلى نقطة النهاية العامة للخدمة. سجلات موارد DNS التالية للحساب contoso، عند الوصول إليها من خارج الشبكة الظاهرية التي تستضيف نقطة النهاية الخاصة، يتم حلها إلى القيم التالية:
| سجل المورد | نوع | القيمة التي تم حلها |
|---|---|---|
contoso.api.adu.microsoft.com |
CNAME | contoso.api.privatelink.adu.microsoft.com |
contoso.api.privatelink.adu.microsoft.com |
CNAME | ملف تعريف Azure Traffic Manager |
عند الوصول إليه من داخل الشبكة الظاهرية التي تستضيف نقطة النهاية الخاصة، يتم حل عنوان URL لنقطة نهاية الحساب إلى عنوان IP لنقطة النهاية الخاصة. سجلات موارد DNS للحساب contoso، عند حلها من داخل الشبكة الظاهرية التي تستضيف نقطة النهاية الخاصة، هي كما يلي:
| سجل المورد | نوع | القيمة التي تم حلها |
|---|---|---|
contoso.api.adu.microsoft.com |
CNAME | contoso.api.privatelink.adu.microsoft.com |
contoso.api.privatelink.adu.microsoft.com |
CNAME | 10.0.0.5 |
يتيح هذا الأسلوب الوصول إلى الحساب لكل من العملاء على الشبكة الظاهرية التي تستضيف نقطة النهاية الخاصة والعملاء خارج الشبكة الظاهرية.
إذا كنت تستخدم خادم DNS مخصصا على شبكتك، يمكن للعملاء حل اسم المجال المؤهل بالكامل (FQDN) لنقطة نهاية حساب تحديث الجهاز إلى عنوان IP لنقطة النهاية الخاصة. قم بتكوين خادم DNS لتفويض المجال الفرعي للارتباط الخاص بك إلى منطقة DNS الخاصة للشبكة الظاهرية، أو تكوين سجلات A ل مع عنوان IP لنقطة accountName.api.privatelink.adu.microsoft.com النهاية الخاصة. اسم منطقة DNS الموصى به هو privatelink.adu.microsoft.com.
نقاط النهاية الخاصة وإدارة تحديث الجهاز
ينطبق هذا القسم فقط على حسابات تحديث الجهاز التي تم تعطيل الوصول إلى الشبكة العامة واتصالات نقطة النهاية الخاصة التي تمت الموافقة عليها يدويًا. يصف الجدول التالي حالات اتصال نقطة النهاية الخاصة المختلفة والتأثيرات على إدارة تحديث الجهاز، مثل الاستيراد والتجماع والنشر.
| حالة الاتصال | يمكنه إدارة تحديثات الجهاز |
|---|---|
| موافق عليها | نعم |
| مرفوض | لا |
| معلق | لا |
| غير متصل | لا |
لكي تنجح إدارة التحديث، يجب الموافقة على حالة اتصال نقطة النهاية الخاصة. إذا تم رفض اتصال، فلا يمكن الموافقة عليه بعد ذلك باستخدام مدخل Microsoft Azure. يجب حذف الاتصال وإنشاء اتصال جديد.