IOT HUB IP-címek
Az IoT Hub nyilvános végpontok IP-címelőtagjait rendszeresen közzétesszük az AzureIoTHubszolgáltatáscímkéje alatt.
Megjegyzés
A helyszíni hálózatokon belül üzembe helyezett eszközök esetében Azure IoT Hub támogatja a virtuális hálózatok privát végpontokkal való integrációját. További információ: IoT Hub virtuális hálózat támogatása.
Ezeket az IP-címelőtagokat használhatja a IoT Hub és az eszközök vagy hálózati eszközök közötti kapcsolat szabályozására a különböző hálózatelkülönítési célok megvalósítása érdekében:
Cél | Alkalmazható forgatókönyvek | Módszer |
---|---|---|
Győződjön meg arról, hogy az eszközök és szolgáltatások csak IoT Hub végpontokkal kommunikálnak | Eszközről felhőre, valamint felhőből eszközre irányuló üzenetkezelés, közvetlen metódusok, ikereszközök és modulok és eszközstreamek | Az AzureIoTHub szolgáltatáscímkével felderítheti IoT Hub IP-címelőtagokat, majd konfigurálhatja az ALLOW szabályokat az eszközök és szolgáltatások tűzfalbeállításához ezen IP-címelőtagokhoz. A rendszer elveti a más cél IP-címekre történő forgalmat. |
Győződjön meg arról, hogy IoT Hub eszközvégpont csak az eszközökről és a hálózati eszközökről fogad kapcsolatokat | Eszközről felhőre, felhőből eszközre irányuló üzenetkezelés, közvetlen metódusok, ikereszközök és modulok, valamint eszközstreamek | Az IoT Hub IP-szűrő funkcióval engedélyezheti az eszközök és a hálózati eszközök IP-címei közötti kapcsolatokat. A korlátozásokkal kapcsolatos részletekért tekintse meg a korlátozások szakaszt . |
Győződjön meg arról, hogy az útvonalak egyéni végponti erőforrásai (tárfiókok, service bus és eseményközpontok) csak a hálózati eszközökről érhetők el | Üzenetek útválasztása | Kövesse az erőforrás kapcsolatkorlátozásra vonatkozó útmutatóját; például privát kapcsolatokon, szolgáltatásvégpontokon vagy tűzfalszabályokon keresztül. A tűzfalkorlátozásokkal kapcsolatos részletekért tekintse meg a korlátozások szakaszt . |
Ajánlott eljárások
Az IoT Hub IP-címe értesítés nélkül változhat. A fennakadások minimalizálása érdekében használja az IoT Hub gazdagépnevét (például myhub.azure-devices.net) a hálózatkezeléshez és a tűzfal konfigurálásához, amikor csak lehetséges.
A tartománynévfeloldás (DNS) nélküli korlátozott IoT-rendszerek esetében IoT Hub IP-címtartományok rendszeres időközönként közzé lesznek téve szolgáltatáscímkéken a módosítások érvénybe lépése előtt. Ezért fontos, hogy olyan folyamatokat dolgozzon ki, amelyek rendszeresen lekérik és használják a legújabb szolgáltatáscímkéket. Ez a folyamat automatizálható a szolgáltatáscímkék felderítési API-val vagy a szolgáltatáscímkék letölthető JSON formátumban történő áttekintésével.
Használja az AzureIoTHubot.[ régiónév] címke az adott régióban IoT Hub végpontok által használt IP-előtagok azonosításához. Az adatközpont vészhelyreállításához vagy a regionális feladatátvételhez győződjön meg arról, hogy az IoT Hub geopárrégiójának IP-előtagjaihoz való csatlakozás is engedélyezve van.
Ha tűzfalszabályokat állít be a IoT Hub, az blokkolhatja az Azure CLI- és PowerShell-parancsok futtatásához szükséges kapcsolatot a IoT Hub. Ennek elkerülése érdekében hozzáadhat ENGEDÉLYEZÉSI szabályokat az ügyfelek IP-címelőtagjához, hogy újra engedélyezze a parancssori felület vagy a PowerShell-ügyfelek számára a IoT Hub való kommunikációt.
Amikor engedélyezési szabályokat ad hozzá az eszközök tűzfalkonfigurációjához, a legjobb, ha a megfelelő protokollok által használt portokat adja meg.
Korlátozások és kerülő megoldások
IoT Hub IP-szűrési funkció legfeljebb 100 szabályt tartalmazhat. Ez a korlát az Azure ügyfélszolgálatán keresztüli kérésekkel emelhető.
Alapértelmezés szerint a konfigurált IP-szűrési szabályok csak az IoT Hub IP-végpontokon lesznek alkalmazva, az IoT Hub beépített eseményközpont-végpontján nem. Ha ip-szűrést is alkalmaznia kell azon az eseményközponton, ahol az üzeneteket tárolja, az "IP-szűrők alkalmazása a beépített végpontra" lehetőséget választhatja a IoT Hub Hálózati beállítások között. Ugyanezt megteheti a saját Event Hubs-erőforrásával is, ahol közvetlenül konfigurálhatja a kívánt IP-szűrési szabályokat. Ebben az esetben ki kell építenie a saját Event Hubs-erőforrását, és be kell állítania az üzenet-útválasztást, hogy az üzeneteket az adott erőforrásba küldje a IoT Hub beépített eseményközpontja helyett.
IoT Hub szolgáltatáscímkék csak a bejövő kapcsolatok IP-tartományait tartalmazzák. Ha más Azure-szolgáltatások tűzfal-hozzáférését IoT Hub Üzenet-útválasztásból származó adatokra szeretné korlátozni, válassza a megfelelő "Megbízható Microsoft-szolgáltatások engedélyezése" lehetőséget a szolgáltatáshoz, például Event Hubs, Service Bus, Azure Storage.
IPv6-támogatás
Az IPv6 jelenleg nem támogatott a IoT Hub.