Hub IoT endereços IP
Os prefixos de endereço IP de Hub IoT pontos finais públicos são publicados periodicamente na etiqueta de serviço do AzureIoTHub.
Nota
Para dispositivos implementados dentro de redes no local, Hub IoT do Azure suporta a integração de conectividade da VNET com pontos finais privados. Para obter mais informações, veja Hub IoT suporte para A VNet.
Pode utilizar estes prefixos de endereço IP para controlar a conectividade entre Hub IoT e os seus dispositivos ou recursos de rede para implementar uma variedade de objetivos de isolamento de rede:
| Objetivo | Cenários aplicáveis | Abordagem |
|---|---|---|
| Certifique-se de que os seus dispositivos e serviços comunicam apenas com Hub IoT pontos finais | Mensagens de dispositivo paradispositivo , métodos diretos, dispositivos e módulos duplosefluxos de dispositivos | Utilize a etiqueta de serviço do AzureIoTHub para detetar Hub IoT prefixos de endereços IP e, em seguida, configure regras ALLOW na definição de firewall dos seus dispositivos e serviços para estes prefixos de endereço IP. O tráfego para outros endereços IP de destino será removido. |
| Certifique-se de que o ponto final do dispositivo Hub IoT recebe ligações apenas dos seus dispositivos e recursos de rede | Mensagens do dispositivo para a cloud e da cloud para o dispositivo , métodos diretos, dispositivos e módulos duplos e fluxos de dispositivos | Utilize Hub IoT funcionalidade de filtro IP para permitir ligações dos seus dispositivos e endereços IP de recursos de rede. Para obter detalhes sobre as restrições, veja a secção limitações . |
| Certifique-se de que os recursos de ponto final personalizados das rotas (contas de armazenamento, service bus e hubs de eventos) só estão acessíveis a partir dos recursos de rede | Encaminhamento de mensagens | Siga a documentação de orientação do recurso sobre a restrição da conectividade; por exemplo, através de ligações privadas, pontos finais de serviço ou regras de firewall. Para obter detalhes sobre as restrições de firewall, veja a secção limitações . |
Melhores práticas
O endereço IP de um hub IoT está sujeito a alterações sem aviso prévio. Para minimizar a interrupção, utilize o nome do anfitrião do hub IoT (por exemplo, myhub.azure-devices.net) para configuração de rede e firewall sempre que possível.
Para sistemas IoT restritos sem resolução de nomes de domínio (DNS), Hub IoT intervalos de endereços IP são publicados periodicamente através de etiquetas de serviço antes de as alterações entrarem em vigor. Por conseguinte, é importante desenvolver processos para obter e utilizar regularmente as etiquetas de serviço mais recentes. Este processo pode ser automatizado através da API de deteção de etiquetas de serviço ou ao rever as etiquetas de serviço no formato JSON transferível.
Utilize o AzureIoTHub.[ nome da região] etiqueta para identificar prefixos IP utilizados por Hub IoT pontos finais numa região específica. Para ter em conta a recuperação após desastre do datacenter ou a ativação pós-falha regional, certifique-se de que a conectividade aos prefixos IP da região do par geográfico do hub IoT também está ativada.
A configuração de regras de firewall no Hub IoT pode bloquear a conectividade necessária para executar comandos da CLI do Azure e do PowerShell no seu Hub IoT. Para evitar isto, pode adicionar regras ALLOW para os prefixos de endereços IP dos seus clientes para reativar a CLI ou os clientes do PowerShell para comunicar com o seu Hub IoT.
Ao adicionar regras ALLOW na configuração da firewall dos seus dispositivos, é melhor fornecer portas específicas utilizadas pelos protocolos aplicáveis.
Limitações e soluções
Hub IoT funcionalidade de filtro IP tem um limite de 100 regras. Este limite e pode ser aumentado através de pedidos através do Suporte ao Cliente do Azure.
Por predefinição, as regras de filtragem de IP configuradas só são aplicadas nos pontos finais de IP Hub IoT e não no ponto final incorporado do hub de eventos do hub IoT. Se também exigir que a filtragem de IP seja aplicada no hub de eventos onde as suas mensagens são armazenadas, poderá selecionar a opção "Aplicar filtros IP ao ponto final incorporado" nas definições de Rede do Hub IoT. Pode fazer o mesmo ao utilizar o seu próprio recurso dos Hubs de Eventos, onde pode configurar diretamente as regras de filtragem de IP pretendidas. Neste caso, tem de aprovisionar o seu próprio recurso dos Hubs de Eventos e configurar o encaminhamento de mensagens para enviar as suas mensagens para esse recurso em vez do hub de eventos incorporado do seu Hub IoT.
Hub IoT Etiquetas de Serviço contêm apenas intervalos de IP para ligações de entrada. Para limitar o acesso à firewall noutros serviços do Azure a dados provenientes de Hub IoT Encaminhamento de Mensagens, selecione a opção "Permitir Serviços Microsoft Fidedignos" adequada para o seu serviço; por exemplo, Hubs de Eventos, Service Bus, Armazenamento do Azure.
Suporte para IPv6
Atualmente, o IPv6 não é suportado no Hub IoT.