Endereços IP do Serviço de Provisionamento de Dispositivos
Os prefixos de endereço IP para os pontos de extremidade públicos de um DPS (Serviço de Provisionamento de Dispositivo) do Hub IoT são publicados periodicamente na marca de serviço AzureIoTHub. Você pode usar esses prefixos de endereço IP para controlar a conectividade entre uma instância do IoT DPS e dispositivos ou ativos de rede para implementar uma variedade de metas de isolamento de rede:
| Goal | Abordagem |
|---|---|
| Certifique-se de que seus dispositivos e serviços se comuniquem apenas com pontos de extremidade DPS | Use a marca de serviço AzureIoTHub para descobrir instâncias DPS. Configure as regras ALLOW na configuração de firewall dos seus dispositivos e serviços para esses prefixos de endereço IP de acordo. Configure regras para soltar tráfego para outros endereços IP de destino com os quais você não deseja que os dispositivos ou serviços se comuniquem. |
| Certifique-se de que seu ponto de extremidade DPS receba conexões somente de seus dispositivos e ativos de rede | Use o recurso de filtro IP IoT DPS para criar regras de filtro para o dispositivo e APIs de serviço DPS. Essas regras de filtro podem ser usadas para permitir conexões somente de seus dispositivos e endereços IP de ativos de rede (consulte a seção de limitações ). |
Melhores práticas
Ao adicionar regras ALLOW na configuração de firewall dos seus dispositivos, é melhor fornecer portas específicas usadas pelos protocolos aplicáveis.
Os prefixos de endereço IP das instâncias do IoT DPS estão sujeitos a alterações. Estas alterações são publicadas periodicamente através de etiquetas de serviço antes de entrarem em vigor. Portanto, é importante que você desenvolva processos para recuperar e usar regularmente as tags de serviço mais recentes. Esse processo pode ser automatizado por meio da API de descoberta de tags de serviço. A API de descoberta de tags de serviço ainda está em visualização e, em alguns casos, pode não produzir a lista completa de tags e endereços IP. Até que a API de descoberta esteja disponível ao público, considere usar as tags de serviço no formato JSON para download.
Use o AzureIoTHub.[ region name] para identificar prefixos IP usados por pontos de extremidade DPS em uma região específica. Para levar em conta a recuperação de desastres do datacenter ou o failover regional, certifique-se de que a conectividade com prefixos IP da região de par geográfico da instância DPS também esteja habilitada.
A configuração de regras de firewall para uma instância do DPS pode bloquear a conectividade necessária para executar os comandos da CLI do Azure e do PowerShell em relação a ela. Para evitar esses problemas de conectividade, você pode adicionar regras ALLOW para os prefixos de endereço IP de seus clientes para rehabilitar os clientes CLI ou PowerShell para se comunicar com sua instância DPS.
Limitações e soluções alternativas
O recurso de filtro IP DPS tem um limite de 100 regras.
Suas regras de filtragem de IP configuradas são aplicadas apenas em seus pontos de extremidade DPS e não nos pontos de extremidade vinculados do Hub IoT. A filtragem de IP para Hubs IoT vinculados deve ser configurada separadamente. Para obter mais informações, consulte Regras de filtragem de IP do Hub IoT.
Suporte para IPv6
Atualmente, o IPv6 não é suportado no Hub IoT ou no DPS.
Próximos passos
Para saber mais sobre as configurações de endereço IP com DPS, consulte: