IP-adresser för enhetsetableringstjänsten
IP-adressprefixen för de offentliga slutpunkterna för en IoT Hub Device Provisioning Service (DPS) publiceras regelbundet under AzureIoTHub-tjänsttaggen. Du kan använda dessa IP-adressprefix för att styra anslutningen mellan en IoT DPS-instans och enheter eller nätverkstillgångar för att implementera en mängd olika mål för nätverksisolering:
| Goal | Metod |
|---|---|
| Se till att dina enheter och tjänster endast kommunicerar med DPS-slutpunkter | Använd AzureIoTHub-tjänsttaggen för att identifiera DPS-instanser. Konfigurera ALLOW-regler på enheternas och tjänsternas brandväggsinställning för dessa IP-adressprefix i enlighet med detta. Konfigurera regler för att släppa trafik till andra mål-IP-adresser som du inte vill att enheter eller tjänster ska kommunicera med. |
| Se till att DPS-slutpunkten endast tar emot anslutningar från dina enheter och nätverkstillgångar | Använd IP-filterfunktionen IoT DPS för att skapa filterregler för api:erna för enheten och DPS-tjänsten. Dessa filterregler kan endast användas för att tillåta anslutningar från dina enheter och IP-adresser för nätverkstillgång (se avsnittet begränsningar ). |
Bästa praxis
När du lägger till ALLOW-regler i dina enheters brandväggskonfiguration är det bäst att tillhandahålla specifika portar som används av tillämpliga protokoll.
IP-adressprefixen för IoT DPS-instanser kan komma att ändras. Dessa ändringar publiceras regelbundet via tjänsttaggar innan de börjar gälla. Det är därför viktigt att du utvecklar processer för att regelbundet hämta och använda de senaste tjänsttaggar. Den här processen kan automatiseras via API:et för identifiering av tjänsttaggar. Api:et för identifiering av tjänsttaggar är fortfarande i förhandsversion och i vissa fall kanske inte den fullständiga listan över taggar och IP-adresser skapas. Överväg att använda tjänsttaggar i nedladdningsbart JSON-format tills identifierings-API:et är allmänt tillgängligt.
Använd AzureIoTHub.[ regionnamn] tagg för att identifiera IP-prefix som används av DPS-slutpunkter i en viss region. Om du vill ta hänsyn till haveriberedskap för datacenter eller regional redundans kontrollerar du att anslutningen till IP-prefix för DPS-instansens geo-parregion också är aktiverad.
Att konfigurera brandväggsregler för en DPS-instans kan blockera anslutningen som krävs för att köra Azure CLI- och PowerShell-kommandon mot den. För att undvika dessa anslutningsproblem kan du lägga till ALLOW-regler för klienternas IP-adressprefix för att återaktivera CLI- eller PowerShell-klienter för att kommunicera med din DPS-instans.
Begränsningar och lösningar
FUNKTIONEN DPS IP-filter har en gräns på 100 regler.
Dina konfigurerade IP-filtreringsregler tillämpas bara på dina DPS-slutpunkter och inte på de länkade IoT Hub-slutpunkterna. IP-filtrering för länkade IoT Hubs måste konfigureras separat. Mer information finns i IoT Hub IP-filtreringsregler.
Stöd för IPv6
IPv6 stöds för närvarande inte på IoT Hub eller DPS.
Nästa steg
Mer information om IP-adresskonfigurationer med DPS finns i: