Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Os prefixos de endereço IP dos pontos de extremidade públicos do Hub IoT são publicados periodicamente sob a marca de serviçoAzureIoTHub.
Observação
Para dispositivos implantados dentro de redes locais, o Hub IoT do Azure dá suporte à integração de conectividade de rede virtual com pontos de extremidade privados. Para obter mais informações, consulte o suporte do Hub IoT para redes virtuais com o Link Privado do Azure.
Você pode usar esses prefixos de endereço IP para controlar a conectividade entre o Hub IoT e seus dispositivos ou ativos de rede para implementar várias metas de isolamento de rede:
| Objetivo | Cenários aplicáveis | Abordagem |
|---|---|---|
| Garantir que seus dispositivos e serviços se comuniquem apenas com pontos de extremidade do Hub IoT | Mensagens de dispositivo para nuvem e nuvem para dispositivo, métodos diretos, dispositivo e módulos gêmeos e fluxos de dispositivos | Use a marca de serviço AzureIoTHub para descobrir os prefixos de endereço IP do Hub IoT e, em seguida, configure as regras ALLOW na configuração de firewall dos dispositivos e serviços para esses prefixos de endereço IP. O tráfego para outros endereços IP de destino é descartado. |
| Garanta que o ponto de extremidade do dispositivo do Hub IoT receba conexões somente de seus dispositivos e ativos de rede | Mensagens de dispositivo para nuvem e nuvem para dispositivo, métodos diretos, dispositivo e módulos gêmeos e fluxos de dispositivos | Use o recurso de filtro de IP do Hub IoT para permitir conexões de seus dispositivos e endereços IP de ativos de rede. Para obter detalhes sobre restrições, consulte a seção Limitações e soluções alternativas . |
| Garanta que os recursos de ponto de extremidade personalizados das rotas (contas de armazenamento, barramento de serviço e hubs de eventos) estejam acessíveis somente dos seus ativos de rede | Roteamento de mensagem | Siga as diretrizes do recurso sobre como restringir a conectividade. Por exemplo, por meio de links privados, pontos de extremidade de serviço ou regras de firewall. Para obter detalhes sobre restrições de firewall, consulte a seção Limitações e soluções alternativas . |
Práticas recomendadas
O endereço IP de um Hub IoT está sujeito a alterações sem aviso prévio. Para minimizar a interrupção, use o nome do host do Hub IoT (por exemplo, myhub.azure-devices.net) para configuração de rede e firewall sempre que possível.
Para sistemas IoT restritos sem DNS (resolução de nomes de domínio), os intervalos de endereços IP do Hub IoT são publicados periodicamente por meio de marcas de serviço antes que as alterações entrem em vigor. Portanto, é importante que você desenvolva processos de recuperação e uso regulares das marcas de serviço mais recentes. Esse processo pode ser automatizado por meio da API de descoberta de marcas de serviço ou analisando as marcas de serviço no formato JSON disponíveis para download.
Use a marca AzureIoTHub.[nome da região] para identificar os prefixos de IP usados pelos pontos de extremidade do Hub IoT em uma região específica. Para considerar a recuperação de desastres do datacenter ou o failover regional, verifique se a conectividade com os prefixos de IP da região geográfica do Hub IoT também está habilitada. Para obter mais informações, consulte Confiabilidade no Hub IoT do Azure.
A configuração de regras de firewall no Hub IoT pode bloquear a conectividade necessária para executar comandos da CLI do Azure e do PowerShell no hub IoT. Para evitar bloquear a conectividade, você pode adicionar regras ALLOW para os prefixos de endereço IP de seus clientes para habilitar novamente os clientes da CLI ou do PowerShell para se comunicarem com o hub IoT.
Ao adicionar regras de permissão na configuração de firewall dos dispositivos, é melhor fornecer portas específicas usadas pelos protocolos aplicáveis.
Limitações e Soluções Alternativas
O recurso de filtro de IP do Hub IoT tem um limite de 100 regras. Esse limite pode ser aumentado via solicitações pelo atendimento ao cliente do Azure.
Por padrão, as regras de filtragem de IP configuradas são aplicadas somente nos pontos de extremidade de IP do Hub IoT e não no ponto de extremidade do hub de eventos interno do Hub IoT. Se você também precisar que a filtragem de IP seja aplicada no hub de eventos em que suas mensagens estão armazenadas, selecione a opção "Aplicar filtros IP ao ponto de extremidade interno?" nas configurações de rede do hub IoT. Você pode fazer o mesmo usando seu próprio recurso de Hub de Eventos, no qual você pode configurar diretamente as regras de filtragem de IP desejadas. Nesse caso, você precisa provisionar seu próprio recurso dos Hubs de Eventos e configurar o roteamento de mensagens para enviar suas mensagens para esse recurso, em vez do hub de eventos interno do hub IoT.
As marcas de serviço do Hub IoT contêm apenas intervalos de IP para conexões de entrada. Para limitar o acesso de firewall em outros serviços do Azure aos dados provenientes do roteamento de mensagens do Hub IoT, escolha a opção apropriada "Permitir Serviços Confiáveis da Microsoft" para seu serviço; por exemplo, Hubs de Eventos, Barramento de Serviço ou Armazenamento do Azure.
Suporte para IPv6
No momento, não há suporte para IPv6 no Hub IoT.