你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Azure Device Update for IoT Hub 网络安全性
本文介绍 Azure Device Update for IoT Hub 如何使用以下网络安全功能来管理更新:
- 网络安全组和 Azure 防火墙中的服务标记
- Azure 虚拟网络中的专用终结点
重要
Device Update 不支持在链接的 IoT 中心内禁用公用网络访问。
服务标记
服务标记表示来自特定 Azure 服务的一组 IP 地址前缀。 Microsoft 会管理服务标记包含的地址前缀,并在地址更改时自动更新服务标记,从而尽量减少频繁更新网络安全规则所需的复杂操作。 有关服务标记的详细信息,请参阅服务标记概述。
可以在网络安全组或 Azure 防火墙中使用服务标记来定义网络访问控制。 创建安全规则时,请使用服务标记代替特定 IP 地址。 通过在规则的相应 source 或 destination 字段中指定服务标记名(例如 AzureDeviceUpdate),可以允许或拒绝相应服务的流量。
| 服务标记 | 用途 | 入站还是出站? | 可以支持区域范围? | 是否可与 Azure 防火墙一起使用? |
|---|---|---|---|---|
| AzureDeviceUpdate | Azure Device Update for IoT Hub | 两者都有 | 否 | 是 |
区域 IP 范围
由于 Azure IoT 中心 IP 规则不支持服务标记,因此必须改用 AzureDeviceUpdate 服务标记 IP 前缀。 标记是全局标记,因此为方便起见,下表提供了区域 IP 范围。
以下 IP 前缀不太可能变更,但你应每月查看一次列表。 “位置”是指 Device Update 资源的位置。
| 位置 | IP 范围 |
|---|---|
| 澳大利亚东部 | 20.211.71.192/26、20.53.47.16/28、20.70.223.192/26、104.46.179.224/28、20.92.5.128/25、20.92.5.128/26 |
| 美国东部 | 20.119.27.192/26、20.119.28.128/26、20.62.132.240/28、20.62.135.128/27、20.62.135.160/28、20.59.77.64/26、20.59.81.64/26、20.66.3.208/28 |
| 美国东部 2 | 20.119.155.192/26、20.62.59.16/28、20.98.195.192/26、20.40.229.32/28、20.98.148.192/26、20.98.148.64/26 |
| 美国东部 2 EUAP | 20.47.236.192/26、20.47.237.128/26、20.51.20.64/28、20.228.1.0/26、20.45.241.192/26、20.46.11.192/28 |
| 北欧 | 20.223.64.64/26、52.146.136.16/28、52.146.141.64/26、20.105.211.0/26、20.105.211.192/26、20.61.102.96/28、20.86.93.128/26 |
| 美国中南部 | 20.65.133.64/28、20.97.35.64/26、20.97.39.192/26、20.125.162.0/26、20.49.119.192/28、20.51.7.64/26 |
| 东南亚 | 20.195.65.112/28、20.195.87.128/26、20.212.79.64/26、20.195.72.112/28、20.205.49.128/26、20.205.67.192/26 |
| 瑞典中部 | 20.91.144.0/26、51.12.46.112/28、51.12.74.192/26、20.91.11.64/26、20.91.9.192/26、51.12.198.96/28 |
| 英国南部 | 20.117.192.0/26、20.117.193.64/26、51.143.212.48/28、20.58.67.0/28、20.90.38.128/26、20.90.38.64/26 |
| 西欧 | 20.105.211.0/26、20.105.211.192/26、20.61.102.96/28、20.86.93.128/26、20.223.64.64/26、52.146.136.16/28、52.146.141.64/26 |
| 美国西部 2 | 20.125.0.128/26、20.125.4.0/25、20.51.12.64/26、20.83.222.128/26、20.69.0.112/28、20.69.4.128/26、20.69.4.64/26、20.69.8.192/26 |
| 美国西部 3 | 20.118.138.192/26、20.118.141.64/26、20.150.244.16/28、20.119.27.192/26、20.119.28.128/26、20.62.132.240/28、20.62.135.128/27、20.62.135.160/28 |
专用终结点
专用终结点是虚拟网络中 Azure 服务的特殊网络接口。 借助专用终结点,可以让流量从虚拟网络通过专用链接安全流向 Device Update 帐户,而无需通过公共 Internet。
Device Update 帐户的专用终结点在虚拟网络上的客户端与 Device Update 帐户之间提供安全连接。 从虚拟网络的 IP 地址范围为专用终结点分配 IP 地址。 专用终结点与 Device Update 服务之间的连接使用安全的专用链接。
可以为 Device Update 资源使用专用终结点,从而:
- 通过 Microsoft 主干网络(而不是公共 Internet)从虚拟网络安全访问 Device Update 帐户。
- 使用虚拟专用网 (VPN) 或 Azure ExpressRoute 通过专用对等互连从连接到虚拟网络的本地网络安全地进行连接。
如果在虚拟网络中创建用于 Device Update 帐户的专用终结点,会将申请批准的同意请求发送给资源所有者。 如果请求创建专用终结点的用户还是帐户的所有者,则此许可请求会自动获得批准。 否则,连接将处于挂起状态,直到获得批准。
虚拟网络中的应用程序可以使用通常的主机名和授权机制,通过专用终结点无缝地连接到 Device Update 服务。 帐户所有者可以在 Azure 门户中通过资源的“网络”页面中的“专用访问”选项卡管理许可请求和专用终结点。
连接到专用终结点
虚拟网络上使用专用终结点的客户端所用的帐户主机名和授权机制应与连接到公共终结点的客户端相同。 域名系统 (DNS) 解析会通过专用链接自动将连接从虚拟网络路由到帐户。
默认情况下,Device Update 会创建一个附加到虚拟网络的专用 DNS 区域,其中包含专用终结点的必要更新。 如果使用自己的 DNS 服务器,则可能需要对 DNS 配置进行更改。
专用终结点的 DNS 更改
创建专用终结点时,资源的 DNS CNAME 记录将更新为子域中具有前缀 privatelink 的别名。 默认情况下,系统会创建一个对应于专用链接的子域的专用 DNS 区域。
在从虚拟网络外部访问使用专用终结点的帐户终结点 URL 时,它会解析为服务的公共终结点。 从托管专用终结点的虚拟网络外部访问时,帐户 contoso 的以下 DNS 资源记录会解析为以下值:
| 资源记录 | 类型 | 已解析的值 |
|---|---|---|
contoso.api.adu.microsoft.com |
CNAME | contoso.api.privatelink.adu.microsoft.com |
contoso.api.privatelink.adu.microsoft.com |
CNAME | Azure 流量管理器配置文件 |
从托管专用终结点的虚拟网络内访问时,帐户终结点 URL 解析为专用终结点的 IP 地址。 从托管专用终结点的虚拟网络内部进行解析时,帐户 contoso 的 DNS 资源记录如下所示:
| 资源记录 | 类型 | 已解析的值 |
|---|---|---|
contoso.api.adu.microsoft.com |
CNAME | contoso.api.privatelink.adu.microsoft.com |
contoso.api.privatelink.adu.microsoft.com |
CNAME | 10.0.0.5 |
此方法使得托管专用终结点的虚拟网络上的客户端和虚拟网络外部的客户端都可以访问帐户。
如果在网络上使用自定义 DNS 服务器,客户端可以将 Device Update 帐户终结点的完全限定的域名 (FQDN) 解析为专用终结点 IP 地址。 配置 DNS 服务器以将专用链接子域委托给虚拟网络的专用 DNS 区域,或使用专用终结点 IP 地址为accountName.api.privatelink.adu.microsoft.com 配置 A 记录。 建议 DNS 区域名称为 privatelink.adu.microsoft.com。
专用终结点和 Device Update 管理
本部分仅适用于禁用了公用网络访问并手动批准了专用终结点连接的设备更新帐户。 下表描述了各种专用终结点连接状态及其对设备更新管理(例如导入、分组和部署)的影响。
| 连接状态 | 可以管理设备更新 |
|---|---|
| 已批准 | 是 |
| 已拒绝 | 否 |
| 挂起 | 否 |
| 已断开连接 | 否 |
若要成功进行更新管理,专用终结点连接状态必须为“已批准”。 如果连接被拒绝,则无法使用 Azure 门户批准该连接。 必须删除该连接,然后创建一个新的连接。