IP-адреса центра Интернета вещей
Префиксы IP-адресов общедоступных конечных точек центра Интернета вещей периодически публикуются в теге службыAzureIoTHub.
Примечание.
Для устройств, развернутых в локальных сетях, центр Интернета вещей Azure поддерживает интеграцию подключения к виртуальной сети с частными конечными точками. Дополнительные сведения см. в статье Поддержка центра Интернета вещей для виртуальной сети.
Эти префиксы IP-адресов можно использовать для управления подключением между центром Интернета вещей и устройствами или сетевыми ресурсами, чтобы реализовать различные цели сетевой изоляции.
Goal | Применимые сценарии | Подход |
---|---|---|
Обеспечить взаимодействие устройств и служб только с конечными точками центра Интернета вещей | Обмен сообщениями с устройства в облако и из облака на устройство, прямые методы, двойники устройства и модуля, потоки устройств | Используйте тег службы AzureIoTHub для обнаружения префиксов IP-адресов центра Интернета вещей, а затем настройте правила разрешения (ALLOW) в настройках брандмауэра устройств и служб для этих префиксов IP-адресов. Трафик к другим конечным IP-адресам будет удален. |
Обеспечить подключение конечной точки устройства центра Интернета вещей только от ваших устройств и сетевых ресурсов | Обмен сообщениями с устройства в облако и из облака на устройство, прямые методы, двойники устройства и модуля и потоки устройств | Используйте функцию IP-фильтра центра Интернета вещей, чтобы разрешить подключения с IP-адресов устройств и сетевых ресурсов. Дополнительные сведения об ограничениях см. в разделе об ограничениях . |
Обеспечьте доступность ресурсов пользовательской конечной точки маршрутов (учетные записи хранения, служебная шина и концентраторы событий) только из ваших сетевых ресурсов | Маршрутизация сообщений | Следуйте указаниям ресурса по ограничению возможностей подключения. Например, через частные ссылки, конечные точки службы или правила брандмауэра. Дополнительные сведения об ограничениях брандмауэра см. в разделе об ограничениях . |
Рекомендации
IP-адрес центра Интернета вещей может быть изменен без предварительного уведомления. Чтобы свести к минимуму количество сбоев, при настройке сети и брандмауэра используйте имя узла центра Интернета вещей (когда это возможно), например myhub.azure-devices.net.
Для систем Интернета вещей с ограниченными возможностями и без службы доменных имен (DNS) мы периодически публикуем сведения о диапазонах IP-адресов центра Интернета вещей через теги служб (прежде чем изменения вступят в силу). Поэтому важно разработать процессы, чтобы регулярно получать и использовать новейшие версии тегов службы. Этот процесс можно автоматизировать с помощью API обнаружения тегов службы или просмотра тегов службы в формате скачиваемого JSON.
Используйте тег AzureIoTHub.[имя региона], чтобы обозначить IP-префиксы для конечных точек центра Интернета вещей в отдельных регионах. Чтобы обеспечить аварийное восстановление центра обработки данных или региональную отработку отказа, убедитесь, что доступна возможность подключения к IP-префиксам в регионе геосвязи центра Интернета вещей.
Настройка правил брандмауэра в центре Интернета вещей может блокировать подключение, необходимое для выполнения команд Azure CLI и PowerShell для центра Интернета вещей. Чтобы избежать этого, можно добавить правила разрешения для префиксов IP-адресов клиентов, повторно предоставив клиентам Azure CLI или PowerShell возможность взаимодействия с центром Интернета вещей.
При добавлении правил разрешения в конфигурацию брандмауэра устройств мы рекомендуем указывать определенные порты, используемые соответствующими протоколами.
Ограничения и методы обхода
Функция IP-фильтрации центра Интернета вещей имеет ограничение в 100 правил. Это ограничение можно изменить, создав запрос в службу поддержки клиентов Azure.
Настроенные правила IP-фильтрации по умолчанию можно применять только к конечным точкам IP-адресов центра Интернета вещей, а не к встроенной конечной точке концентратора событий центра Интернета вещей. Если также требуется, чтобы фильтрация IP-адресов была применена в концентраторе событий, где хранятся сообщения, можно выбрать параметр "Применять IP-фильтры ко встроенной конечной точке" в параметрах сети центра Интернета вещей. То же самое можно сделать с помощью собственного ресурса концентраторов событий, в котором можно настроить нужные правила фильтрации IP-адресов напрямую. В этом случае необходимо предоставить собственный ресурс концентратора событий и настроить маршрутизацию сообщений, чтобы отправлять сообщения в этот ресурс вместо встроенного концентратора событий центра Интернета вещей.
Теги службы центра Интернета вещей содержат диапазоны IP-адресов только для входящих подключений. Чтобы ограничить доступ брандмауэра в других службах Azure к данным, поступающим из маршрутизации сообщений центра Интернета вещей, выберите соответствующий параметр "Разрешить доверенные службы Майкрософт" для вашей службы. Например, Концентраторы событий, Служебная шина, Служба хранилища Azure.
Поддержка протокола IPv6
Сейчас протокол IPv6 не поддерживается в центре Интернета вещей.