Device Provisioning Service の IP アドレス
IoT Hub Device Provisioning Service (DPS) のパブリック エンドポイントの IP アドレス プレフィックスは、AzureIoTHub サービス タグで定期的に発行されます。 これらの IP アドレス プレフィックスを使用して、さまざまなネットワーク分離の目標を実装するために、IoT DPS インスタンスとデバイスまたはネットワーク資産間の接続を制御することができます。
Goal | アプローチ |
---|---|
デバイスとサービスが DPS エンドポイントのみと通信するようにする | AzureIoTHub サービス タグを使用して、DPS インスタンスを検出します。 必要に応じて、これらの IP アドレスのプレフィックスに対して、デバイスとサービスのファイアウォール設定の許可規則を構成します。 デバイスやサービスが通信する必要のない他の送信先 IP アドレスへのトラフィックを破棄する規則を構成します。 |
DPS のエンドポイントが、使用しているデバイスとネットワーク資産からのみ接続を受信するようにする | IoT DPS の IP フィルター機能を使用して、デバイスと DPS サービス API のフィルター規則を作成します。 これらのフィルター規則を使用して、使用しているデバイスとネットワーク資産の IP アドレスからの接続のみを許可できます (制限事項に関するセクションを参照してください)。 |
ベスト プラクティス
デバイスのファイアウォール構成で許可規則を追加する場合、適用されるプロトコルで使用される特定のポートを指定することをお勧めします。
IoT DPS インスタンスの IP アドレス プレフィックスは変更されることがあります。 これらの変更は、有効になる前に、サービス タグ経由で定期的に発行されます。 そのため、最新のサービス タグを定期的に取得して使用するためのプロセスを開発することが重要です。 このプロセスは、Service Tag Discovery API 経由で自動化できます。 Service Tag Discovery API はまだプレビュー段階であり、場合によってはタグと IP アドレスの完全な一覧が生成されないことがあります。 Discovery API が一般提供されるまでは、ダウンロード可能な JSON 形式で サービス タグを使用することを検討してください。
特定のリージョン内の DPS エンドポイントによって使用される IP プレフィックスを識別するには、AzureIoTHub.[リージョン名] タグを使用します。 データセンターのディザスター リカバリーまたはリージョン内フェールオーバーに対処するには、DPS インスタンスの geo ペア リージョンの IP プレフィックスへの接続も有効になっていることを確認してください。
DPS インスタンスのファイアウォール規則を設定すると、それに対して Azure CLI および PowerShell コマンドを実行するために必要な接続がブロックされる可能性があります。 これらの接続の問題を回避するには、クライアントの IP アドレスのプレフィックスに許可規則を追加し、CLI または PowerShell クライアントが再び DPS インスタンスと通信できるようにします。
制限事項と回避策
DPS IP フィルター機能では、規則の数は 100 個に制限されています。
構成済みの IP フィルタリング規則は、リンクされた IoT Hub のエンドポイントではなく、DPS エンドポイントにのみ適用されます。 リンクされた IoT Hub の IP フィルタリングは、個別に構成する必要があります。 詳細については、IoT Hub IP フィルタリング規則に関する記事を参照してください。
IPv6 のサポート
現在、IPv6 は IoT Hub または DPS ではサポートされていません。
次のステップ
DPS による IP アドレス構成の詳細については、以下を参照してください。