Partager via


Adresses IP du service de provisionnement des appareils

Les préfixes d’adresse IP des points de terminaison publics du Service IoT Hub Device Provisioning (DPS) sont publiés régulièrement sous la balise de service AzureIoTHub. Vous pouvez utiliser ces préfixes d’adresse IP pour contrôler la connectivité entre une instance IoT DPS et vos appareils ou ressources réseau afin d’atteindre un large éventail d’objectifs d’isolement réseau :

But Approche
Vérifier que vos appareils et services communiquent uniquement avec des points de terminaison DPS Utilisez la balise de service AzureIoTHub pour découvrir des instances DPS. Configurez des règles d’autorisation sur le paramètre de pare-feu de vos appareils et services pour les préfixes d’adresses IP correspondants. Configurez des règles pour supprimer le trafic vers les adresses IP de destination avec lesquelles vous ne voulez pas que les appareils et les services communiquent.
Vérifier que votre point de terminaison DPS ne reçoit que les connexions provenant de vos appareils et ressources réseau Utilisez la fonctionnalité de filtre IP IoT DPS afin de créer des règles de filtre pour les API d’appareil et de service DPS. Ces règles permettent d’autoriser uniquement les connexions provenant de vos appareils et des adresses IP de vos ressources réseau (voir la section Limitations).

Bonnes pratiques

  • Quand vous ajoutez des règles ALLOW dans la configuration du pare-feu de vos appareils, il est préférable de fournir les ports spécifiques utilisés par les protocoles applicables.

  • Les préfixes d’adresse IP des instances IoT DPS peuvent faire l’objet de modifications. Ces modifications sont publiées régulièrement par le biais de balises de service avant d’être prises en compte. Il est donc important de développer des processus pour récupérer et utiliser régulièrement les étiquettes de service les plus récentes. Ce processus peut être automatisé via l’API de détection de balises de service. L’API de détection de balises de service est toujours en préversion ; il peut arriver, dans certains cas, qu’elle ne génère pas la liste complète des balises et adresses IP. En attendant la mise à la disposition générale de l'API de détection, pensez à utiliser les balises de service au format JSON téléchargeable.

  • Utilisez la balise AzureIoTHub.[nom de la région] pour identifier les préfixes IP utilisés par les points de terminaison DPS dans une région spécifique. Pour tenir compte de la récupération d’urgence d’un centre de données ou d’un basculement régional, vérifiez que la connectivité aux préfixes IP de la région de géolocalisation de votre instance DPS est également activée.

  • Le fait de configurer des règles de pare-feu pour une instance DPS risque de bloquer la connectivité nécessaire pour exécuter des commandes Azure CLI et PowerShell sur cette instance. Pour éviter ces problèmes de connectivité, vous pouvez ajouter des règles d’autorisation de sorte que les préfixes des adresses IP de vos clients permettent aux clients CLI ou PowerShell de communiquer à nouveau avec votre instance DPS.

Limitations et solutions de contournement

  • La fonctionnalité de filtre IP DPS impose une limite de 100 règles.

  • Vos règles de filtrage IP configurées ne sont appliquées que sur vos points de terminaison DPS, et non sur les points de terminaison IoT Hub liés. Le filtrage IP de ces derniers doit être configuré séparément. Pour plus d’informations, consultez Règles de filtrage IP IoT Hub.

Prise en charge d’IPv6

IPv6 n’est pas pris en charge à l’heure actuelle sur IoT Hub ou DPS.

Étapes suivantes

Pour plus d’informations sur les configurations d’adresses IP avec DPS, consultez :