Megosztás a következőn keresztül:

IoT Hub IP-címek

  • Cikk

Az IoT Hub nyilvános végpontjainak IP-címelőtagjai rendszeresen megjelennek az AzureIoTHub szolgáltatáscímkéje alatt.

Feljegyzés

A helyszíni hálózatokon belül üzembe helyezett eszközök esetében az Azure IoT Hub támogatja a virtuális hálózatok privát végpontokkal való integrációját. További információ: IoT Hub-támogatás a VNethez.

Ezeket az IP-címelőtagokat használhatja az IoT Hub és az eszközök vagy a hálózati eszközök közötti kapcsolat szabályozására különböző hálózati elkülönítési célok megvalósítása érdekében:

Cél Alkalmazható forgatókönyvek Módszer
Győződjön meg arról, hogy eszközei és szolgáltatásai csak az IoT Hub-végpontokkal kommunikálnak Eszközök közötti és felhőbeli üzenetkezelés, közvetlen metódusok, ikereszközök és eszközstreamek Az AzureIoTHub szolgáltatáscímkével felderítheti az IoT Hub IP-címelőtagokat, majd konfigurálhatja az eszközök és szolgáltatások tűzfalbeállítására vonatkozó ALLOW-szabályokat ezekhez az IP-címelőtagokhoz. A többi cél IP-cím felé történő forgalom el lesz ejtve.
Győződjön meg arról, hogy az IoT Hub-eszközvégpont csak az eszközökről és a hálózati eszközökről fogad kapcsolatokat Eszközről felhőre, valamint felhőből eszközre irányuló üzenetkezelés, közvetlen metódusok, ikereszközök és modulok, valamint eszközstreamek Az IoT Hub IP-szűrési funkciójával engedélyezheti az eszközök és a hálózati eszközök IP-címei közötti kapcsolatokat. A korlátozásokkal kapcsolatos részletekért tekintse meg a korlátozások szakaszt .
Győződjön meg arról, hogy az útvonalak egyéni végponterőforrásai (tárfiókok, service bus és eseményközpontok) csak a hálózati eszközökről érhetők el Üzenetek útválasztása Kövesse az erőforrás kapcsolatkorlátozásra vonatkozó útmutatását; például privát hivatkozásokon, szolgáltatásvégpontokon vagy tűzfalszabályokon keresztül. A tűzfalkorlátozásokkal kapcsolatos részletekért tekintse meg a korlátozások szakaszt .

Ajánlott eljárások

  • Az IoT Hub IP-címe értesítés nélkül változhat. A megszakítások minimalizálása érdekében használja az IoT Hub gazdagépnevét (például myhub.azure-devices.net) a hálózatkezeléshez és a tűzfal konfigurálásához, amikor csak lehetséges.

  • A tartománynévfeloldás (DNS) nélküli korlátozott IoT-rendszerek esetén az IoT Hub IP-címtartományait a módosítások érvénybe lépése előtt a rendszer rendszeresen közzéteszi szolgáltatáscímkéken keresztül. Ezért fontos, hogy olyan folyamatokat dolgozzon ki, amelyek rendszeresen lekérik és használják a legújabb szolgáltatáscímkéket. Ez a folyamat automatizálható a szolgáltatáscímkék felderítési API-ján keresztül vagy a szolgáltatáscímkék letölthető JSON formátumban történő áttekintésével.

  • Használja az AzureIoTHubot.[ régiónév] címke egy adott régió IoT Hub-végpontjai által használt IP-előtagok azonosításához. Az adatközpont vészhelyreállításának vagy regionális feladatátvételének figyelembevétele érdekében győződjön meg arról, hogy az IoT Hub geopárrégiójának IP-előtagjaihoz való kapcsolódás is engedélyezve van.

  • Az IoT Hub tűzfalszabályainak beállítása blokkolhatja az Azure CLI- és PowerShell-parancsok IoT Hubon való futtatásához szükséges kapcsolatot. Ennek elkerülése érdekében hozzáadhat engedélyezési szabályokat az ügyfelek IP-címelőtagjaihoz, hogy újra engedélyezze a parancssori felület vagy a PowerShell-ügyfelek kommunikációját az IoT Hubbal.

  • Amikor engedélyezési szabályokat ad hozzá az eszközök tűzfalkonfigurációjához, a legjobb, ha az alkalmazandó protokollok által használt portokat adja meg.

Korlátozások és kerülő megoldások

  • Az IoT Hub IP-szűrési funkciójának korlátja 100 szabály. Ezt a korlátot az Azure ügyfélszolgálatán keresztüli kérésekkel lehet elérni.

  • Alapértelmezés szerint a konfigurált IP-szűrési szabályok csak az IoT Hub IP-végpontjaira vonatkoznak, az IoT Hub beépített eseményközpont-végpontjára nem. Ha ip-szűrést is szeretne alkalmazni az üzeneteit tároló eseményközpontban, az IoT Hub hálózati beállításai között választhatja az "IP-szűrők alkalmazása a beépített végpontra" lehetőséget. Ugyanezt megteheti saját Event Hubs-erőforrásával is, ahol közvetlenül konfigurálhatja a kívánt IP-szűrési szabályokat. Ebben az esetben ki kell építenie egy saját Event Hubs-erőforrást, és be kell állítania az üzenet-útválasztást , hogy az IoT Hub beépített eseményközpontja helyett az adott erőforrásba küldje az üzeneteket.

  • Az IoT Hub szolgáltatáscímkék csak a bejövő kapcsolatok IP-tartományait tartalmazzák. Ha más Azure-szolgáltatások tűzfalhoz való hozzáférését az IoT Hub üzenet-útválasztásából származó adatokra szeretné korlátozni, válassza a megfelelő "Megbízható Microsoft-szolgáltatások engedélyezése" lehetőséget a szolgáltatáshoz; például Event Hubs, Service Bus, Azure Storage.

Az IPv6 támogatása

Az IPv6 jelenleg nem támogatott az IoT Hubon.