Dela via


IP-adresser för IoT Hub

IP-adressprefixen för offentliga IoT Hub-slutpunkter publiceras regelbundet under AzureIoTHub-tjänsttaggen.

Kommentar

För enheter som distribueras i lokala nätverk har Azure IoT Hub stöd för VNET-anslutningsintegrering med privata slutpunkter. Mer information finns i IoT Hub-stöd för VNet.

Du kan använda dessa IP-adressprefix för att styra anslutningen mellan IoT Hub och dina enheter eller nätverkstillgångar för att implementera en mängd olika mål för nätverksisolering:

Goal Tillämpliga scenarier Metod
Se till att dina enheter och tjänster endast kommunicerar med IoT Hub-slutpunkter Meddelanden från enhet till moln och meddelanden från moln till enhet , direkta metoder, enhets- och modultvillingar och enhetsströmmar Använd AzureIoTHub-tjänsttaggen för att identifiera IP-adressprefix för IoT Hub och konfigurera sedan ALLOW-regler för brandväggsinställningen för dina enheter och tjänster för dessa IP-adressprefix. Trafik till andra mål-IP-adresser tas bort.
Se till att din IoT Hub-enhetsslutpunkt endast tar emot anslutningar från dina enheter och nätverkstillgångar Meddelanden från enhet till moln och meddelanden från moln till enhet , direkta metoder, enhets- och modultvillingar och enhetsströmmar Använd IP-filterfunktionen i IoT Hub för att tillåta anslutningar från dina enheter och IP-adresser för nätverkstillgång. Mer information om begränsningar finns i avsnittet begränsningar .
Se till att dina vägars anpassade slutpunktsresurser (lagringskonton, Service Bus och händelsehubbar) endast kan nås från dina nätverkstillgångar Meddelanderoutning Följ resursens riktlinjer för att begränsa anslutningen. till exempel via privata länkar, tjänstslutpunkter eller brandväggsregler. Mer information om brandväggsbegränsningar finns i avsnittet begränsningar .

Bästa praxis

  • IP-adressen för en IoT-hubb kan komma att ändras utan föregående meddelande. För att minimera störningar använder du IoT Hub-värdnamnet (till exempel myhub.azure-devices.net) för nätverks- och brandväggskonfiguration när det är möjligt.

  • För begränsade IoT-system utan domännamnsmatchning (DNS) publiceras IP-adressintervall för IoT Hub regelbundet via tjänsttaggar innan ändringarna börjar gälla. Det är därför viktigt att du utvecklar processer för att regelbundet hämta och använda de senaste tjänsttaggar. Den här processen kan automatiseras via API:et för identifiering av tjänsttaggar eller genom att granska tjänsttaggar i nedladdningsbart JSON-format.

  • Använd AzureIoTHub.[ regionnamn] tagg för att identifiera IP-prefix som används av IoT Hub-slutpunkter i en viss region. Om du vill ta hänsyn till haveriberedskap för datacenter eller regional redundans kontrollerar du att anslutningen till IP-prefix för IoT-hubbens geo-parregion också är aktiverad.

  • Att konfigurera brandväggsregler i IoT Hub kan blockera anslutningen som behövs för att köra Azure CLI- och PowerShell-kommandon mot din IoT Hub. För att undvika detta kan du lägga till ALLOW-regler för klienternas IP-adressprefix för att återaktivera CLI- eller PowerShell-klienter för att kommunicera med din IoT Hub.

  • När du lägger till ALLOW-regler i dina enheters brandväggskonfiguration är det bäst att tillhandahålla specifika portar som används av tillämpliga protokoll.

Begränsningar och lösningar

  • IP-filterfunktionen i IoT Hub har en gräns på 100 regler. Den här gränsen och kan höjas via begäranden via Azure-kundsupport.

  • Som standard tillämpas dina konfigurerade IP-filtreringsregler endast på IoT Hub IP-slutpunkter och inte på din IoT Hubs inbyggda slutpunkt för händelsehubben. Om du också kräver att IP-filtrering tillämpas på händelsehubben där dina meddelanden lagras kan du välja alternativet "Tillämpa IP-filter på den inbyggda slutpunkten" i IoT Hub-nätverksinställningarna. Du kan göra samma sak med hjälp av din egen Event Hubs-resurs där du kan konfigurera önskade IP-filtreringsregler direkt. I det här fallet måste du etablera en egen Event Hubs-resurs och konfigurera meddelandedirigering för att skicka meddelanden till den resursen i stället för IoT Hubs inbyggda händelsehubb.

  • IoT Hub-tjänsttaggar innehåller bara IP-intervall för inkommande anslutningar. Om du vill begränsa brandväggsåtkomsten för andra Azure-tjänster till data som kommer från IoT Hub-meddelanderoutning väljer du lämpligt alternativ "Tillåt betrodda Microsoft-tjänster" för din tjänst. Till exempel Event Hubs, Service Bus, Azure Storage.

Stöd för IPv6

IPv6 stöds för närvarande inte på IoT Hub.