本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用 AWS IoT Core 使用介面VPC端點
同 AWS IoT Core,您可以使用介面端點在虛擬私有雲 (VPC) 中建立 IoT 資料VPC端點。介面VPC端點由 AWS PrivateLink,一個 AWS 您可以用來存取執行中之服務的技術 AWS 通過使用私有 IP 地址。如需詳細資訊,請參閱 Amazon Virtual Private Cloud。
若要將遠端網路 (例如公司網路) 上的現場裝置連接到 AmazonVPC,請參閱網路到 Amazon 連VPC線矩陣中列出的選項。
目錄
建立VPC端點 AWS IoT Core 資料平面
您可以建立VPC端點 AWS IoT Core API用於連接裝置的資料平面 AWS IoT 服務及其他 AWS 服務。若要開始使用VPC端點,請建立介面VPC端點並選取 AWS IoT Core 作為 AWS 服務。如果您正在使用CLI,請先呼叫describe-vpc-endpoint-services以確保您選擇的是可用區域 AWS IoT Core 存在於您的特定 AWS 區域。 例如,在 us-east-1 中,這個命令看起來像:
aws ec2 describe-vpc-endpoint-services --service-name com.amazonaws.us-east-1.iot.data
注意
自動建立DNS記錄的VPC功能已停用。若要連線到這些端點,您必須手動建立私人DNS記錄。如需私人VPCDNS記錄的詳細資訊,請參閱介面端點DNS的私人。如需關於 AWS IoT Core VPC限制,請參閱限制。
如果要將MQTT用戶端連線到VPC端點介面:
-
您必須在附加至您的私人託管區域中手動建立DNS記錄VPC。若要開始使用,請參閱建立私有託管區域。
-
在您的私有託管區域中,為VPC端點的每個 elastic network interface IP 建立別名記錄。如果多個VPC端點有多個網路介面IPs,請在所有加權DNS記錄中建立具有相同權重的加權記錄。在說明欄位中按VPC端點 ID 篩選後,可從DescribeNetworkInterfacesAPI呼叫中使用這些 IP 位址。
請參閱下面的詳細說明,以建立 Amazon VPC 界面端點和設定私有託管區域 AWS IoT Core 資料平面。
建立VPC端點 AWS IoT Core 憑證提供者
您可以建立VPC端點 AWS IoT Core 憑據提供者,使用基於客戶端證書的身份驗證連接設備並獲得臨時 AWS 認證 AWS 簽名版本 4 格式。若要開始使用的VPC端點 AWS IoT Core 憑據提供者,運行create-vpc-endpointCLI命令以創建接口VPC端點並選擇 AWS IoT Core 認證提供者作為 AWS 服務。為了確保您選擇的可用區域 AWS IoT Core 存在於您的特定 AWS 區域,您的第一次運行describe-vpc-endpoint-services命令。例如,在 us-east-1 中,此命令將如下所示:
aws ec2 describe-vpc-endpoint-services --service-name com.amazonaws.us-east-1.iot.credentials
注意
自動建立DNS記錄的VPC功能已停用。若要連線到這些端點,您必須手動建立私人DNS記錄。如需私人VPCDNS記錄的詳細資訊,請參閱介面端點DNS的私人。如需關於 AWS IoT Core VPC限制,請參閱限制。
如果要將HTTP用戶端連線到VPC端點介面:
-
您必須在附加至您的私人託管區域中手動建立DNS記錄VPC。若要開始使用,請參閱建立私有託管區域。
-
在您的私有託管區域中,為VPC端點的每個 elastic network interface IP 建立別名記錄。如果多個VPC端點有多個網路介面IPs,請在所有加權DNS記錄中建立具有相同權重的加權記錄。在說明欄位中按VPC端點 ID 篩選後,可從DescribeNetworkInterfacesAPI呼叫中使用這些 IP 位址。
請參閱下面的詳細說明,以建立 Amazon VPC 界面端點和設定私有託管區域 AWS IoT Core 認證提供者。
創建一個 Amazon VPC 界面端點
您可以建立要連接到的介面VPC端點 AWS 服務提供支援 AWS PrivateLink。 使用下列程序建立連線到的介面VPC端點 AWS IoT Core 資料平面或 AWS IoT Core 認證提供者。如需詳細資訊,請參閱存取 AWS 使用接口VPC端點的服務。
注意
創建一個 Amazon VPC 界面端點的過程 AWS IoT Core 資料平面和 AWS IoT Core 憑證提供者類似,但您必須進行端點特定的變更才能使連線正常運作。
使用端點主控台建立介面VPCVPC
-
瀏覽至 Endpoint 主控台,在左側功能表的「虛擬私有雲」下,選擇「端點」,然後選擇「建立端點」VPC
-
在「建立端點」頁面中,指定下列資訊。
-
選擇 AWS 服務 s 代表服務類別。
-
針對 Service Name (服務名稱),輸入關鍵字
iot進行搜尋。在顯示的iot服務清單中,選擇端點。如果您建立的VPC端點 AWS IoT Core 資料平面,選擇 AWS IoT Core 您區域的資料平面API端點。端點的格式為
com.amazonaws.。region.iot.data如果您建立的VPC端點 AWS IoT Core 認證提供者,選擇 AWS IoT Core 您區域的憑據提供者端點。端點的格式為
com.amazonaws.。region.iot.credentials注意
下列項目的服務名稱 AWS IoT Core 中國地區的數據平面將採用該格式
cn.com.amazonaws.。建立VPC端點 AWS IoT Core 中國地區不支援憑證提供者。region.iot.data -
對於VPC和子網路,請選擇您VPC要建立端點的位置,以及要在其中建立端點網路的可用區域 (AZs)。
-
對於 [啟用DNS名稱],確定未選取 [為此端點啟用]。既不是 AWS IoT Core 數據平面也沒有 AWS IoT Core 憑據提供程序還支持私人DNS名稱。
-
針對 Security group (安全群組),選擇要與端點網路介面建立關聯的安全群組。
-
您可以選擇性地新增或移除標籤。標籤是您用來與端點建立關聯的名稱值對。
-
-
若要建立VPC端點,請選擇 [建立端點]。
建立之後 AWS PrivateLink 端點,在端點的「詳細資料」索引標籤中,您會看到名DNS稱清單。您可以使用您在本節中建立的其中一個DNS名稱來設定您的私有託管區域。
配置私有託管區域
您可以使用您在上一節中建立的其中一個DNS名稱來設定您的私有託管區域。
對於 AWS IoT Core 資料平面
該DNS名稱必須是您的網域組態名稱或IoT:Data-ATS端點。範例DNS名稱可以是:xxx-ats.data.iot.region.amazonaws.com
對於 AWS IoT Core 憑證提供者
名DNS稱必須是您的iot:CredentialProvider端點。範例DNS名稱可以是:xxxx.credentials.iot.region.amazonaws.com
注意
設定私有託管區域的程序 AWS IoT Core 資料平面和 AWS IoT Core 憑證提供者類似,但您必須進行端點特定的變更才能使連線正常運作。
建立私有託管區域
若要使用 Route 53 主控台建立私有託管區域
-
導覽至 Route 53
Hosted zones (託管區域) 主控台,然後選擇 Create hosted zone (建立託管區域)。 -
在 Create hosted zone (建立託管區域) 頁面中,指定下列資訊。
-
在「網域名稱」中,輸入您
iot:Data-ATS或端點的iot:CredentialProvider端點位址。如下所示 AWS CLI指令顯示如何透過公用網路取得端點:aws iot describe-endpoint --endpoint-type iot:Data-ATS、或aws iot describe-endpoint --endpoint-type iot:CredentialProvider。注意
如果您使用自訂網域,請參閱搭配VPC端點使用自訂網域。不支援自訂網域 AWS IoT Core 認證提供者。
-
針對 Type (類型),選擇 Private Hosted Zone (私有託管區域)。
-
或者,您可以新增或移除要與託管區域建立關聯的標籤。
-
-
若要建立私有託管區域,請選擇 Create hosted zone (建立託管區域)。
如需詳細資訊,請參閱建立私有託管區域。
建立記錄
建立私人託管區域之後,您可以建立記錄,告知您希望DNS如何將流量路由至該網域。
若要建立記錄
-
在顯示的託管區域清單,選擇您先前建立的私有託管區域,然後選擇 Create record (建立記錄)。
-
使用精靈方法來建立記錄。如果主控台呈現 Quick create (快速建立) 方法,請選擇 Switch to wizard (切換至精靈)。
-
為 Routing policy (路由政策) 選擇 Simple Routing (簡易路由),然後選擇 Next (下一步)。
-
在 Configure records (設定記錄) 頁面中,選擇 Define simple record (定義簡易記錄)。
-
在 Define simple record (定義簡易記錄) 頁面中:
-
在「記錄名稱」中,輸入
iot:Data-ATS端點或iot:CredentialProvider端點。這必須與私有託管區域名稱相同。 -
針對 Record type (紀錄類型),將值保留為
A - Routes traffic to an IPv4 address and some AWS resources。 -
對於值/路由傳送流量,請選擇端點的別名。VPC接著,選擇您的 Region (區域),然後從顯示的端點清單中選擇您先前建立的端點,如創建一個 Amazon VPC 界面端點所述。
-
-
選擇 Define simple record (定義簡易記錄) 來建立您的記錄。
控制存取 AWS IoT Core 在端VPC點上
您可以限制裝置存取 AWS IoT Core 通過使用VPC條件上下文鍵只允許通過VPC端點。 AWS IoT Core 支援下列VPC相關內容索引鍵:
注意
AWS IoT Core 不支援端點的端VPC點策略。
例如,下列原則授與連線的權限 AWS IoT Core 使用符合物名稱的用戶端 ID,並發佈至以物件名稱為前置詞的任何主題,以連線至具有特定 VPC End VPC point ID 之端點的裝置為條件。此政策會拒絕與公有 IoT 資料端點的連線嘗試。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iot:Connect" ], "Resource": [ "arn:aws:iot:us-east-1:123456789012:client/${iot:Connection.Thing.ThingName}" ], "Condition": { "StringEquals": { "aws:SourceVpce": "vpce-1a2b3c4d" } } }, { "Effect": "Allow", "Action": [ "iot:Publish" ], "Resource": [ "arn:aws:iot:us-east-1:123456789012:topic/${iot:Connection.Thing.ThingName}/*" ] } ] }
限制
VPC端點目前僅支援 AWS IoT Core 資料端點和 AWS IoT Core 認證提供者端點。VPC聯邦資訊處理標準 (FIPS) 端點不支援端點。
IoT 數據VPC端點的局限性
本節涵蓋 IoT 資料VPC端點的限制。
-
MQTT保持活力期限制為 230 秒。保持活躍時間超過此時間將自動減少到 230 秒。
-
每個VPC端點支援總共 100,000 個並行連線裝置。如果您需要更多連線,請參閱 調整VPC端點的比例 AWS IoT Core。
-
VPC端點僅支援IPv4流量。
-
VPC端點將僅提供ATS憑證,自訂網域除外。
-
VPC不支援端點策略。
-
VPC針對為 AWS IoT Core 資料平面, AWS IoT Core 不支持使用區域或區域公共DNS記錄。
憑證提供者端點的限制
本節涵蓋認證提供者VPC端點的限制。
調整VPC端點的比例 AWS IoT Core
AWS IoT Core 透過單一介面VPC端點,介面端點限制為 100,000 個連線裝置。如果您的使用案例要求更多同時連線至代理程式,建議您使用多個VPC端點,並在介面端點之間手動路由您的裝置。建立私人DNS記錄以將流量路由到VPC端點時,請務必建立與端點相同數量的加權記錄,以將流量分散到多個端點。VPC
搭配VPC端點使用自訂網域
如果您想要將自訂網域與VPC端點搭配使用,則必須在私人託管區域中建立自訂網域名稱記錄,並在 Route53 中建立路由記錄。如需詳細資訊,請參閱建立私有託管區域。
注意
自訂網域僅支援 AWS IoT Core 資料端點。
VPC端點的可用性 AWS IoT Core
AWS IoT Core 所有接口VPC端點都可用 AWS IoT Core
支援的地區
