IP-Adressen des Device Provisioning Service
Die IP-Adresspräfixe für die öffentlichen Endpunkte eines IoT Hub Device Provisioning-Diensts (DPS) werden regelmäßig unter dem DiensttagAzureIoTHub veröffentlicht. Sie können mithilfe dieser IP-Adresspräfixe die Konnektivität zwischen einer IoT DPS-Instanz und Geräten oder Netzwerkressourcen steuern, um verschiedene Ziele in Bezug auf die Netzwerkisolation zu erreichen:
| Goal | Vorgehensweise |
|---|---|
| Sicherstellen, dass Geräte und Dienste nur mit DPM-Endpunkten kommunizieren | Verwenden Sie das Diensttag AzureIoTHub, um DPM-Instanzen zu ermitteln. Konfigurieren Sie in der Firewalleinstellung Ihrer Geräte und Dienste für diese IP-Adresspräfixe entsprechende Zulassungsregeln. Konfigurieren Sie Regeln zum Löschen des Datenverkehrs an andere IP-Zieladressen, für die Sie die Kommunikation mit Geräten oder Diensten nicht zulassen möchten. |
| Sicherstellen, dass der DPM-Endpunkt Verbindungen nur von Ihren Geräten und Netzwerkressourcen empfängt | Verwenden Sie die IP-Filterfunktion von IoT DPS, um Filterregeln für die APIs des Geräts und des DPS-Diensts zu erstellen. Sie können diese Filterregeln nutzen, um Verbindungen nur zwischen Ihren Geräten und den IP-Adressen der Netzwerkressourcen zuzulassen (siehe Abschnitt Einschränkungen). |
Bewährte Methoden
Beim Hinzufügen von Zulassungsregeln in der Firewallkonfiguration Ihrer Geräte empfiehlt sich die Bereitstellung bestimmter Ports, die von anwendbaren Protokollen genutzt werden.
Die IP-Adresspräfixe von IoT DPS-Instanzen können sich unter Umständen ändern. Solche Änderungen werden regelmäßig mithilfe von Diensttags veröffentlicht, bevor sie in Kraft treten. Deshalb ist es wichtig, dass Sie Prozesse entwickeln, um die neuesten Diensttags regelmäßig abzurufen und zu verwenden. Dieser Prozess kann mithilfe der Diensttagermittlungs-API automatisiert werden. Die Diensttagermittlungs-API befinden sich noch in der Vorschauphase, und in einigen Fällen wird ggf. nicht die vollständige Liste mit den Tags und IP-Adressen erzeugt. Bis zur allgemeinen Verfügbarkeit der Ermittlungs-API sollten Sie die Diensttags im herunterladbaren JSON-Format verwenden.
Verwenden Sie das Tag AzureIoTHub.[Regionsname], um die IP-Präfixe zu ermitteln, die von DPS-Endpunkten in einer bestimmten Region verwendet werden. Achten Sie zur Einbeziehung von Rechenzentrums-Notfallwiederherstellung oder regionalem Failover darauf, dass die Konnektivität mit IP-Präfixen der geografisch gekoppelten Region Ihrer DPS-Instanz ebenfalls aktiviert ist.
Das Einrichten von Firewallregeln für eine DPS-Instanz kann die Konnektivität blockieren, die in diesem Zusammenhang zum Ausführen von Azure CLI- und PowerShell-Befehlen erforderlich ist. Um diese Konnektivitätsprobleme zu vermeiden, können Sie Zulassungsregeln für die IP-Adresspräfixe Ihrer Clients hinzufügen, damit für CLI- oder PowerShell-Clients die Kommunikation mit Ihrer DPS-Instanz wieder zulässig ist.
Einschränkungen und Problemumgehungen
Für die IP-Filterfunktion des DPS gilt ein Grenzwert von 100 Regeln.
Ihre konfigurierten IP-Filterregeln werden nur auf Ihre DPS-Endpunkte und nicht auf die verknüpften IoT Hub-Endpunkte angewendet. Die IP-Filterung für verknüpfte IoT Hubs muss separat konfiguriert werden. Weitere Informationen finden Sie im Artikel zu den IoT Hub-IP-Filterregeln.
Unterstützung für IPv6
IPv6 wird für IoT Hub oder DPS derzeit nicht unterstützt.
Nächste Schritte
Weitere Informationen zur Konfiguration von IP-Adressen für DPS finden Sie unter: