Condividi tramite


Indirizzi IP dell'hub IoT

I prefissi degli indirizzi IP degli endpoint pubblici dell'hub IoT vengono pubblicati periodicamente nel tag di servizio di AzureIoTHub.

Nota

Per i dispositivi distribuiti all'interno di reti locali, l'hub IoT di Azure supporta l'integrazione di connettività VNET con endpoint privati. Per altre informazioni, vedere Supporto dell'hub IoT per la rete virtuale.

È possibile usare i prefissi degli indirizzi IP per controllare la connettività tra l'hub IoT e i dispositivi o gli asset di rete per implementare una gamma di obiettivi di isolamento rete:

Obiettivo Scenari applicabili Approccio
Assicurarsi che i dispositivi e i servizi comunichino solo con gli endpoint dell'hub IoT Messaggistica da dispositivo a cloud e da cloud a dispositivo, metodi diretti, dispositivo e moduli gemelli e flussi di dispositivi Usare il tag del servizio AzureIoTHub per individuare i prefissi degli indirizzi IP dell'hub IoT, quindi configurare le regole ALLOW nell'impostazione del firewall dei dispositivi e dei servizi per questi prefissi degli indirizzi IP. Il traffico verso altri indirizzi IP di destinazione verrà eliminato.
Assicurarsi che l'endpoint del dispositivo dell'hub IoT riceva le connessioni solo dai dispositivi e dalle risorse di rete Messaggistica da dispositivo a cloud e da cloud a dispositivo, metodi diretti, dispositivo e moduli gemelli e flussi di dispositivi Usare la funzionalità di filtro IP dell'hub IoT per consentire le connessioni dai dispositivi e dagli indirizzi IP delle risorse di rete. Per informazioni dettagliate sulle restrizioni, vedere la sezione Limitazioni.
Assicurarsi che le risorse dell'endpoint personalizzato delle route (account di archiviazione, bus di servizio e hub eventi) siano raggiungibili solo dalle risorse di rete Routing dei messaggi Seguire le indicazioni della risorsa per limitare la connettività; ad esempio, tramite collegamenti privati, endpoint di servizioo regole del firewall. Per informazioni dettagliate sulle restrizioni del firewall, vedere la sezione Limitazioni.

Procedure consigliate

  • L'indirizzo IP di un hub IoT è soggetto a modifiche senza preavviso. Per ridurre al minimo le interruzioni, usare il nome host dell'hub IoT (ad esempio, myhub.azure-devices.net) per la configurazione di rete e firewall quando possibile.

  • Per i sistemi IoT vincolati senza la risoluzione dei nomi di dominio (DNS), gli intervalli di indirizzi IP dell'hub IoT vengono pubblicati periodicamente tramite tag del servizio prima che le modifiche siano effettive. Per questa ragione è importante sviluppare processi per recuperare e usare regolarmente i tag del servizio più recenti. Questo processo può essere automatizzato tramite l'API di individuazione dei tag del servizio o esaminando i tag del servizio nel formato JSON scaricabile.

  • Usare il tag AzureIoTHub.[nome area] per identificare i prefissi IP usati dagli endpoint dell'hub IoT in un'area specifica. Per tenere conto dei ripristini di emergenza del data center o dei failover a livello di area assicurarsi che sia abilitata anche la connettività ai prefissi IP dell'area geografica dell'hub IoT.

  • La configurazione delle regole del firewall nell'hub IoT può impedire la connettività necessaria per eseguire l'interfaccia della riga di comando di Azure e i comandi PowerShell nell'hub IoT. Per evitare questo problema, è possibile aggiungere le regole ALLOW per i prefissi degli indirizzi IP dei client per riabilitare l'interfaccia della riga di comando o i client PowerShell per la comunicazione con l'hub IoT.

  • Quando si aggiungono le regole ALLOW nella configurazione del firewall dei dispositivi, è preferibile impostare porte specifiche usate dai protocolli applicabili.

Limitazioni e soluzioni alternative

  • La funzionalità di filtro IP dell'hub IoT ha un limite di 100 regole. Questo limite può essere aumentato con richieste tramite l'assistenza clienti di Azure.

  • Per impostazione predefinita, le regole di filtro IP configurate vengono applicate solo agli endpoint IP dell'hub IoT e non all'endpoint predefinito dell'hub eventi dell'hub IoT. Se è necessario applicare il filtro IP anche all'hub eventi in cui sono archiviati i messaggi, è possibile selezionare l'opzione "Applica filtri IP all'endpoint predefinito" nelle impostazioni di rete dell'hub IoT. È possibile eseguire la stessa operazione usando la propria risorsa di Hub eventi in cui è possibile configurare direttamente le regole di filtro IP desiderate. A tale scopo, è necessario effettuare il provisioning della risorsa di Hub eventi e configurare il routing dei messaggi per inviare i messaggi alla risorsa anziché all'hub eventi predefinito dell'hub IoT.

  • I tag del servizio dell'hub IoT contengono solo intervalli IP per le connessioni in ingresso. Per limitare l'accesso del firewall ad altri servizi di Azure ai dati provenienti dal routing dei messaggi dell'hub IoT, scegliere l'opzione "Consenti servizi Microsoft attendibili" appropriata per il servizio; ad esempio Hub eventi, Bus di servizio, Archiviazione di Azure.

Supporto per IPv6

IPv6 non è attualmente supportato nell'hub IoT.