Endereços IP do Hub IoT
Os prefixos de endereço IP dos pontos de extremidade públicos do Hub IoT são publicados periodicamente sob a marca de serviçoAzureIoTHub.
Observação
Para dispositivos implantados dentro de redes locais, o Hub IoT dá suporte à integração de conectividade VNET com pontos de extremidade privados. Para obter mais informações, confira Suporte ao Hub IoT para VNet.
Você pode usar esses prefixos de endereço IP para controlar a conectividade entre o Hub IoT e seus dispositivos ou ativos de rede, com o objetivo de implementar uma variedade de metas de isolamento de rede:
| Goal | Cenários aplicáveis | Abordagem |
|---|---|---|
| Garantir que seus dispositivos e serviços se comuniquem apenas com pontos de extremidade do Hub IoT | Troca de mensagens de dispositivo para nuvem e nuvem para dispositivo, métodos diretos, dispositivo e módulos gêmeos e fluxos de dispositivos | Use a marca de serviço AzureIoTHub para descobrir os prefixos de endereço IP do Hub IoT e, em seguida, configure as regras ALLOW na configuração de firewall dos dispositivos e serviços para esses prefixos de endereço IP. O tráfego para outros endereços IP de destino será removido. |
| Garanta que o ponto de extremidade do dispositivo do Hub IoT receba conexões somente de seus dispositivos e ativos de rede | Mensagens do dispositivo para a nuvem e da nuvem para o dispositivo, métodos diretos, dispositivo e módulos gêmeos e fluxos de dispositivos | Use o recurso de filtro de IP do Hub IoT para permitir conexões de seus dispositivos e endereços IP de ativos de rede. Para obter detalhes sobre restrições, confira a seção limitações. |
| Garanta que os recursos de ponto de extremidade personalizados das rotas (contas de armazenamento, barramento de serviço e hubs de eventos) estejam acessíveis somente dos seus ativos de rede | Roteamento de mensagem | Siga as diretrizes do recurso sobre como restringir a conectividade. Por exemplo, por meio de links privados, pontos de extremidade de serviço ou regras de firewall. Para obter detalhes sobre restrições de firewall, confira a seção limitações. |
Práticas recomendadas
O endereço IP de um Hub IoT está sujeito a alterações sem aviso prévio. Para minimizar a interrupção, use o nome do host do Hub IoT (por exemplo, myhub.azure-devices.net) para configuração de rede e firewall sempre que possível.
Para sistemas IoT restritos sem DNS (resolução de nomes de domínio), os intervalos de endereços IP do Hub IoT são publicados periodicamente por meio de marcas de serviço antes que as alterações entrem em vigor. Portanto, é importante que você desenvolva processos de recuperação e uso regulares das marcas de serviço mais recentes. Esse processo pode ser automatizado por meio da API de descoberta de marcas de serviço ou analisando as marcas de serviço no formato JSON disponíveis para download.
Use a marca AzureIoTHub.[nome da região] para identificar os prefixos de IP usados pelos pontos de extremidade do Hub IoT em uma região específica. Para proporcionar a recuperação de desastre do datacenter ou failover regional, garanta que a conectividade com os prefixos de IP da região de par geográfico do Hub IoT também esteja habilitada.
A configuração de regras de firewall no Hub IoT pode bloquear a conectividade necessária para executar a CLI do Azure e comandos do PowerShell em relação ao Hub IoT. Para evitar isso, você pode adicionar regras de permissão para os prefixos de endereço IP dos clientes, a fim de reabilitar os clientes da CLI ou do PowerShell a se comunicarem com o Hub IoT.
Ao adicionar regras de permissão na configuração de firewall dos dispositivos, é melhor fornecer portas específicas usadas pelos protocolos aplicáveis.
Limitações e Soluções Alternativas
O recurso de filtro de IP do Hub IoT tem um limite de 100 regras. Esse limite pode ser aumentado via solicitações pelo atendimento ao cliente do Azure.
Por padrão, as regras de filtragem de IP configuradas são aplicadas somente nos pontos de extremidade de IP do Hub IoT e não no ponto de extremidade do hub de eventos interno do Hub IoT. Se você também exigir que a filtragem de IP seja aplicada no hub de eventos em que as mensagens estão armazenadas, poderá selecionar a opção "Aplicar filtros IP ao ponto de extremidade interno" nas configurações de rede do Hub IoT. Você pode fazer o mesmo usando seu próprio recurso de Hub de Eventos, no qual você pode configurar diretamente as regras de filtragem de IP desejadas. Nesse caso, você precisa provisionar seu próprio recurso de hub de eventos e configurar o roteamento de mensagens para enviar mensagens a esse recurso em vez do hub de eventos interno do Hub IoT.
As marcas de serviço do Hub IoT contêm apenas intervalos IP para conexões de entrada. Para limitar o acesso de firewall em outros serviços do Azure aos dados provenientes do Roteamento de Mensagens do Hub IoT, escolha a opção "Permitir serviços confiáveis da Microsoft" apropriada para seu serviço, por exemplo, Hubs de Eventos, Barramento de Serviço, Armazenamento do Microsoft Azure.
Suporte para IPv6
No momento, não há suporte para IPv6 no Hub IoT.