IP-adressen van IoT Hub
De IP-adresvoorvoegsels van openbare IoT Hub-eindpunten worden periodiek gepubliceerd onder de AzureIoTHub-servicetag.
Notitie
Voor apparaten die binnen on-premises netwerken zijn geïmplementeerd, ondersteunt Azure IoT Hub VNET-connectiviteitsintegratie met privé-eindpunten. Zie IoT Hub-ondersteuning voor VNet voor meer informatie.
U kunt deze IP-adresvoorvoegsels gebruiken om de connectiviteit tussen IoT Hub en uw apparaten of netwerkassets te beheren om verschillende netwerkisolatiedoelen te implementeren:
| Goal | Toepasselijke scenario's | Methode |
|---|---|---|
| Zorg ervoor dat uw apparaten en services alleen communiceren met IoT Hub-eindpunten | Apparaat-naar-cloud en cloud-naar-apparaat-berichten, directe methoden, apparaat- en moduledubbels en apparaatstreams | Gebruik de AzureIoTHub-servicetag om IP-adresvoorvoegsels van IoT Hub te detecteren en configureer vervolgens ALLOW-regels voor de firewallinstelling van uw apparaten en services voor deze IP-adresvoorvoegsels. Verkeer naar andere DOEL-IP-adressen wordt verwijderd. |
| Zorg ervoor dat uw IoT Hub-apparaateindpunt alleen verbindingen ontvangt van uw apparaten en netwerkassets | Apparaat-naar-cloud en cloud-naar-apparaat-berichten, directe methoden, apparaat- en moduledubbels en apparaatstreams | Gebruik de ip-filterfunctie van IoT Hub om verbindingen van uw apparaten en IP-adressen van netwerkassets toe te staan. Zie de sectie Beperkingen voor meer informatie over beperkingen. |
| Zorg ervoor dat de aangepaste eindpuntresources van uw routes (opslagaccounts, servicebus en Event Hubs) alleen bereikbaar zijn vanuit uw netwerkassets | Berichtroutering | Volg de richtlijnen van uw resource voor het beperken van de connectiviteit; Bijvoorbeeld via privékoppelingen, service-eindpunten of firewallregels. Zie de sectie beperkingen voor meer informatie over firewallbeperkingen. |
Aanbevolen procedures
Het IP-adres van een IoT-hub kan zonder kennisgeving worden gewijzigd. Als u onderbrekingen wilt minimaliseren, gebruikt u waar mogelijk de hostnaam van de IoT-hub (bijvoorbeeld myhub.azure-devices.net) voor netwerk- en firewallconfiguratie.
Voor beperkte IoT-systemen zonder DNS (Domain Name Resolution) worden IP-adresbereiken van IoT Hub periodiek gepubliceerd via servicetags voordat wijzigingen van kracht worden. Het is daarom belangrijk dat u processen ontwikkelt om regelmatig de nieuwste servicetags op te halen en te gebruiken. Dit proces kan worden geautomatiseerd via de detectie-API voor servicetags of door servicetags te controleren in de downloadbare JSON-indeling.
AzureIoTHub gebruiken.[ regionaam] tag om IP-voorvoegsels te identificeren die worden gebruikt door IoT Hub-eindpunten in een specifieke regio. Als u rekening wilt houden met herstel na noodgevallen van datacenters of regionale failover, moet u ervoor zorgen dat de connectiviteit met IP-voorvoegsels van de geopaarregio van uw IoT-hub ook is ingeschakeld.
Het instellen van firewallregels in IoT Hub kan de connectiviteit blokkeren die nodig is om Azure CLI- en PowerShell-opdrachten uit te voeren op uw IoT Hub. Om dit te voorkomen, kunt u ALLOW-regels toevoegen voor de IP-adresvoorvoegsels van uw clients om CLI- of PowerShell-clients opnieuw in te schakelen om te communiceren met uw IoT Hub.
Wanneer u ALLOW-regels toevoegt in de firewallconfiguratie van uw apparaten, kunt u het beste specifieke poorten opgeven die worden gebruikt door toepasselijke protocollen.
Beperkingen en oplossingen
IoT Hub IP-filterfunctie heeft een limiet van 100 regels. Deze limiet en kan worden verhoogd via aanvragen via de klantondersteuning van Azure.
Standaard worden uw geconfigureerde IP-filterregels alleen toegepast op uw IoT Hub IP-eindpunten en niet op het ingebouwde Event Hub-eindpunt van uw IoT Hub. Als u ook ip-filtering wilt toepassen op de Event Hub waar uw berichten worden opgeslagen, kunt u de optie IP-filters toepassen op het ingebouwde eindpunt selecteren in de netwerkinstellingen van IoT Hub. U kunt hetzelfde doen met uw eigen Event Hubs-resource, waar u de gewenste IP-filterregels rechtstreeks kunt configureren. In dit geval moet u uw eigen Event Hubs-resource inrichten en berichtroutering instellen om uw berichten naar die resource te verzenden in plaats van de ingebouwde Event Hub van uw IoT Hub.
IoT Hub-servicetags bevatten alleen IP-bereiken voor binnenkomende verbindingen. Als u de firewalltoegang voor andere Azure-services wilt beperken tot gegevens die afkomstig zijn van IoT Hub-berichtroutering, kiest u de juiste optie Vertrouwde Microsoft-services toestaan voor uw service; Bijvoorbeeld Event Hubs, Service Bus, Azure Storage.
Ondersteuning voor IPv6
IPv6 wordt momenteel niet ondersteund in IoT Hub.