Обновление устройств Azure для Центр Интернета вещей сетевой безопасности
В этой статье описывается, как обновление устройств Azure для Центр Интернета вещей использует следующие функции сетевой безопасности для управления обновлениями:
- Теги служб в группах безопасности сети и Брандмауэр Azure
- Частные конечные точки в Azure виртуальная сеть
Внимание
Обновление устройств не поддерживает отключение доступа к общедоступной сети в связанном центре Интернета вещей.
Теги служб
Тег службы представляет группу префиксов IP-адресов из определенной службы Azure. Корпорация Майкрософт управляет префиксами адресов, входящих в тег службы, и автоматически обновляет этот тег при изменении адресов, сводя к минимуму сложность частых обновлений правил сетевой безопасности. Для получения дополнительной информации о служебных тегах см. статью Обзор служебных тегов.
Теги службы можно использовать для определения элементов управления доступом к сети в группах безопасности сети или Брандмауэре Azure. Теги служб можно использовать вместо определенных IP-адресов при создании правил безопасности. Указав имя тега службы, например AzureDeviceUpdate, в соответствующем source или destination поле правила, можно разрешить или запретить трафик соответствующей службы.
| Тег службы | Характер использования | Входящий или исходящий трафик? | Может быть региональным? | Можно ли использовать с Брандмауэром Azure? |
|---|---|---|---|---|
| AzureDeviceUpdate | Обновление устройств Azure для Центр Интернета вещей | И то, и другое | No | Да |
Региональные диапазоны IP-адресов
Так как Центр Интернета вещей Azure правила IP-адресов не поддерживают теги служб, вместо этого необходимо использовать AzureDeviceUpdate префиксы IP-адресов тега службы. Тег является глобальным, поэтому следующая таблица предоставляет региональные диапазоны IP-адресов для удобства.
Следующие префиксы IP-адресов вряд ли изменятся, но вы должны просмотреть список ежемесячно. Расположение означает расположение ресурсов обновления устройства.
| Расположение | Диапазоны IP-адресов |
|---|---|
| Восточная Австралия | 20.211.71.192/26, 20.53.47.16/28, 20.70.223.192/26, 104.46.179.224/28, 20.92.5.128/25, 20.92.5.128/26 |
| Восточная часть США | 20.119.27.192/26, 20.119.28.128/26, 20.62.132.240/28, 20.62.135.128/27, 20.62.135.160/28, 20.59.77.64/26, 20.59.81.64/26, 20.66.3.208/28 |
| Восточная часть США 2 | 20.119.155.192/26, 20.62.59.16/28, 20.98.195.192/26, 20.40.229.32/28, 20.98.148.192/26, 20.98.148.64/26 |
| Восточная часть США 2 (EUAP) | 20.47.236.192/26, 20.47.237.128/26, 20.51.20.64/28, 20.228.1.0/26, 20.45.241.192/26, 20.46.11.192/28 |
| Северная Европа | 20.223.64.64/26, 52.146.136.16/28, 52.146.141.64/26, 20.105.211.0/26, 20.105.211.192/26, 20.61.102.96/28, 20.86.93.128/26 |
| Центрально-южная часть США | 20.65.133.64/28, 20.97.35.64/26, 20.97.39.192/26, 20.125.162.0/26, 20.49.119.192/28, 20.51.7.64/26 |
| Юго-Восточная Азия | 20.195.65.112/28, 20.195.87.128/26, 20.212.79.64/26, 20.195.72.112/28, 20.205.49.128/26, 20.205.67.192/26 |
| Центральная Швеция | 20.91.144.0/26, 51.12.46.112/28, 51.12.74.192/26, 20.91.11.64/26, 20.91.9.192/26, 51.12.198.96/28 |
| южная часть Соединенного Королевства | 20.117.192.0/26, 20.117.193.64/26, 51.143.212.48/28, 20.58.67.0/28, 20.90.38.128/26, 20.90.38.64/26 |
| Западная Европа | 20.105.211.0/26, 20.105.211.192/26, 20.61.102.96/28, 20.86.93.128/26, 20.223.64.64/26, 52.146.136.16/28, 52.146.141.64/26 |
| западная часть США 2 | 20.125.0.128/26, 20.125.4.0/25, 20.51.12.64/26, 20.83.222.128/26, 20.69.0.112/28, 20.69.4.128/26, 20.69.4.64/26, 20.69.8.192/26 |
| Западная часть США — 3 | 20.118.138.192/26, 20.118.141.64/26, 20.150.244.16/28, 20.119.27.192/26, 20.119.28.128/26, 20.62.132.240/28, 20.62.135.128/27, 20.62.135.160/28 |
Частные конечные точки
Частная конечная точка — это специальный сетевой интерфейс для службы Azure, размещенный в виртуальной сети. Частная конечная точка позволяет безопасному трафику из виртуальной сети в учетные записи обновления устройств через приватный канал, не проходя через общедоступный Интернет.
Частная конечная точка для учетной записи обновления устройств обеспечивает безопасное подключение между клиентами в виртуальной сети и учетной записью обновления устройств. Частной конечной точке назначается IP-адрес из диапазона IP-адресов виртуальной сети. Подключение между частной конечной точкой и службами обновления устройств использует безопасную приватную связь.
Для ресурсов обновления устройств можно использовать частные конечные точки:
- Безопасно доступ к учетной записи обновления устройств из виртуальной сети через магистральную сеть Майкрософт вместо общедоступного Интернета.
- Безопасное подключение из локальных сетей, которые подключаются к виртуальной сети с помощью виртуальной частной сети (VPN) или Azure ExpressRoute с частным пирингом.
Создание частной конечной точки для учетной записи обновления устройств в виртуальной сети отправляет запрос согласия на утверждение владельцу ресурса. Если пользователь, запрашивающий создание частной конечной точки, также владеет учетной записью, этот запрос согласия автоматически утвержден. В противном случае подключение находится в состоянии ожидания до утверждения.
Приложения в виртуальной сети могут легко подключаться к службе обновления устройств через частную конечную точку с помощью обычных механизмов авторизации и имени узла. Владельцы учетных записей могут управлять запросами согласия и частными конечными точками портал Azure на вкладке "Частный доступ" на странице "Сеть" ресурса.
Подключение к частным конечным точкам
Клиенты виртуальной сети, использующая частную конечную точку, должны использовать те же механизмы узла учетной записи и авторизации, что и клиенты, подключающиеся к общедоступной конечной точке. Разрешение системы доменных имен (DNS) автоматически направляет подключения из виртуальной сети к учетной записи через приватный канал.
По умолчанию обновление устройства создает частную зону DNS, подключенную к виртуальной сети, с необходимым обновлением для частных конечных точек. Если вы используете собственный DNS-сервер, может потребоваться внести изменения в конфигурацию DNS.
Изменения DNS для частных конечных точек
При создании частной конечной точки запись DNS CNAME для ресурса обновляет псевдоним в поддомене с префиксом privatelink. По умолчанию создается частная зона DNS, соответствующая поддомену частной ссылки.
Когда URL-адрес конечной точки учетной записи с частной конечной точкой осуществляется из-за пределов виртуальной сети, он разрешается в общедоступную конечную точку службы. Следующие записи ресурсов DNS для учетной записи contoso, при доступе извне виртуальной сети, на котором размещена частная конечная точка, разрешаются следующие значения:
| Тип записи ресурса | Тип | Разрешенное значение |
|---|---|---|
contoso.api.adu.microsoft.com |
CNAME | contoso.api.privatelink.adu.microsoft.com |
contoso.api.privatelink.adu.microsoft.com |
CNAME | профиль Диспетчер трафика Azure |
При доступе из виртуальной сети, на котором размещена частная конечная точка, URL-адрес конечной точки учетной записи разрешается по IP-адресу частной конечной точки. Записи ресурсов DNS для учетной записи contosoпри разрешении из виртуальной сети, в которых размещена частная конечная точка, приведены ниже.
| Тип записи ресурса | Тип | Разрешенное значение |
|---|---|---|
contoso.api.adu.microsoft.com |
CNAME | contoso.api.privatelink.adu.microsoft.com |
contoso.api.privatelink.adu.microsoft.com |
CNAME | 10.0.0.5 |
Этот подход обеспечивает доступ к учетной записи как для клиентов в виртуальной сети, на котором размещена частная конечная точка, так и клиенты за пределами виртуальной сети.
Если в сети используется пользовательский DNS-сервер, клиенты могут разрешить полное доменное имя (FQDN) для конечной точки учетной записи обновления устройства на IP-адрес частной конечной точки. Настройте DNS-сервер, чтобы делегировать поддомен приватного канала в частную зону DNS для виртуальной сети или настроить записи A для accountName.api.privatelink.adu.microsoft.com IP-адреса частной конечной точки. Рекомендуемое имя зоны DNS — privatelink.adu.microsoft.com.
Частные конечные точки и управление обновлениями устройств
Этот раздел относится только к учетным записям Обновления устройств с отключенным доступом к общедоступной сети и подключениям к частной конечной точке, утвержденным вручную. В следующей таблице описываются различные состояния подключения к частной конечной точке и последствия управления обновлениями устройств, например импорт, группирование и развертывание.
| Состояние подключения | Может управлять обновлениями устройств |
|---|---|
| Утвержденная | Да |
| Аннулировано | No |
| Не завершено | No |
| Отключено | No |
Для успешного управления обновлениями необходимо утвердить состояние подключения к частной конечной точке. Если подключение отклонено, оно не может быть утверждено с помощью портал Azure. Необходимо удалить подключение и создать новый.