Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
De IP-adresvoorvoegsels van openbare IoT Hub-eindpunten worden periodiek gepubliceerd onder de AzureIoTHub-servicetag.
Notitie
Voor apparaten die binnen on-premises netwerken zijn geïmplementeerd, biedt Azure IoT Hub ondersteuning voor integratie van virtuele netwerkconnectiviteit met privé-eindpunten. Zie IoT Hub-ondersteuning voor virtuele netwerken met Azure Private Link voor meer informatie.
U kunt deze IP-adresvoorvoegsels gebruiken om de connectiviteit tussen IoT Hub en uw apparaten of netwerkassets te beheren om verschillende doelen voor netwerkisolatie te implementeren:
Doel | Toepasselijke scenario's | Methode |
---|---|---|
Zorg ervoor dat uw apparaten en services alleen communiceren met IoT Hub-eindpunten | Apparaat-naar-cloud en cloud-naar-apparaat-berichten, directe methodes, apparaat- en module tweelingen en apparaatstreams | Gebruik de AzureIoTHub-servicetag om IP-adresvoorvoegsels van IoT Hub te detecteren en configureer vervolgens ALLOW-regels voor de firewallinstelling van uw apparaten en services voor deze IP-adresvoorvoegsels. Verkeer naar andere DOEL-IP-adressen wordt verwijderd. |
Zorg ervoor dat uw IoT Hub-apparaateindpunt alleen verbindingen ontvangt van uw apparaten en netwerkassets | Apparaat-naar-cloud en cloud-naar-apparaat-berichten, directe methodes, apparaat- en module tweelingen en apparaatstreams | Gebruik de ip-filterfunctie van IoT Hub om verbindingen van uw apparaten en IP-adressen van netwerkassets toe te staan. Zie de sectie Beperkingen en tijdelijke oplossingen voor meer informatie over beperkingen. |
Zorg ervoor dat de aangepaste eindpuntresources van uw routes (opslagaccounts, servicebus en Event Hubs) alleen bereikbaar zijn vanuit uw netwerkassets | Berichtroutering | Volg de richtlijnen van uw resource voor het beperken van de connectiviteit; Bijvoorbeeld via privékoppelingen, service-eindpunten of firewallregels. Zie de sectie Beperkingen en tijdelijke oplossingen voor meer informatie over firewallbeperkingen. |
Aanbevolen procedures
Het IP-adres van een IoT-hub kan zonder kennisgeving worden gewijzigd. Als u onderbrekingen wilt minimaliseren, gebruikt u waar mogelijk de hostnaam van de IoT-hub (bijvoorbeeld myhub.azure-devices.net) voor netwerk- en firewallconfiguratie.
Voor beperkte IoT-systemen zonder DNS (Domain Name Resolution) worden IP-adresbereiken van IoT Hub periodiek gepubliceerd via servicetags voordat wijzigingen van kracht worden. Het is daarom belangrijk dat u processen ontwikkelt om regelmatig de nieuwste servicetags op te halen en te gebruiken. Dit proces kan worden geautomatiseerd via de detectie-API voor servicetags of door servicetags te controleren in de downloadbare JSON-indeling.
AzureIoTHub gebruiken.[ regionaam] tag om IP-voorvoegsels te identificeren die worden gebruikt door IoT Hub-eindpunten in een specifieke regio. Als u rekening wilt houden met herstel na noodgevallen van datacenters of regionale failover, moet u ervoor zorgen dat de connectiviteit met IP-voorvoegsels van de geopaarregio van uw IoT-hub ook is ingeschakeld. Zie Betrouwbaarheid in Azure IoT Hub voor meer informatie.
Het instellen van firewallregels in IoT Hub blokkeert mogelijk de connectiviteit die nodig is om Azure CLI- en PowerShell-opdrachten uit te voeren op uw IoT-hub. Om te voorkomen dat connectiviteit wordt geblokkeerd, kunt u REGELS VOOR TOESTAAN toevoegen voor de IP-adresvoorvoegsels van uw clients om CLI- of PowerShell-clients opnieuw in te schakelen om te communiceren met uw IoT-hub.
Wanneer u ALLOW-regels toevoegt in de firewallconfiguratie van uw apparaten, kunt u het beste specifieke poorten opgeven die worden gebruikt door toepasselijke protocollen.
Beperkingen en oplossingen
IoT Hub IP-filterfunctie heeft een limiet van 100 regels. Deze limiet en kan worden verhoogd via aanvragen via de klantondersteuning van Azure.
Standaard worden uw geconfigureerde IP-filterregels alleen toegepast op uw IoT Hub IP-eindpunten en niet op het ingebouwde Event Hub-eindpunt van uw IoT Hub. Als u ook ip-filtering wilt toepassen op de Event Hub waar uw berichten zijn opgeslagen, kunt u de optie IP-filters toepassen op het ingebouwde eindpunt selecteren in de netwerkinstellingen voor uw IoT-hub. U kunt hetzelfde doen met uw eigen Event Hubs-resource, waar u de gewenste IP-filterregels rechtstreeks kunt configureren. In dit geval moet u uw eigen Event Hubs-resource inrichten en berichtroutering instellen om uw berichten naar die resource te verzenden in plaats van de ingebouwde Event Hub van uw IoT-hub.
IoT Hub-servicetags bevatten alleen IP-bereiken voor binnenkomende verbindingen. Als u de firewalltoegang voor andere Azure-services wilt beperken tot gegevens die afkomstig zijn van IoT Hub-berichtroutering, kiest u de juiste optie Vertrouwde Microsoft-services toestaan voor uw service; Bijvoorbeeld Event Hubs, Service Bus of Azure Storage.
Ondersteuning voor IPv6
IPv6 wordt momenteel niet ondersteund in IoT Hub.