IoT Hub IP-adresser

  • Artikel

IP-adressprefixen för IoT Hub offentliga slutpunkter publiceras regelbundet under tjänsttaggenAzureIoTHub.

Anteckning

För enheter som distribueras i lokala nätverk stöder Azure IoT Hub VNET-anslutningsintegrering med privata slutpunkter. Mer information finns i IoT Hub stöd för VNet.

Du kan använda dessa IP-adressprefix för att styra anslutningen mellan IoT Hub och dina enheter eller nätverkstillgångar för att implementera en mängd olika mål för nätverksisolering:

Mål Tillämpliga scenarier Metod
Se till att dina enheter och tjänster endast kommunicerar med IoT Hub slutpunkter Meddelanden från enhet till moln och meddelanden från moln till enhet , direktmetoder, enhets- och modultvillingar och enhetsströmmar Använd tjänsttaggen AzureIoTHub för att identifiera IoT Hub IP-adressprefix och konfigurera sedan ALLOW-regler för brandväggsinställningen för dina enheter och tjänster för dessa IP-adressprefix. Trafik till andra mål-IP-adresser tas bort.
Se till att din IoT Hub enhetens slutpunkt endast tar emot anslutningar från dina enheter och nätverkstillgångar Meddelanden från enhet till moln och meddelanden från moln till enhet , direktmetoder, enhets- och modultvillingar och enhetsströmmar Använd IoT Hub IP-filterfunktion för att tillåta anslutningar från dina enheter och IP-adresser för nätverkstillgång. Mer information om begränsningar finns i avsnittet begränsningar .
Se till att dina vägars anpassade slutpunktsresurser (lagringskonton, Service Bus och händelsehubbar) endast kan nås från dina nätverkstillgångar Meddelanderoutning Följ din resurs vägledning om att begränsa anslutningen. till exempel via privata länkar, tjänstslutpunkter eller brandväggsregler. Mer information om brandväggsbegränsningar finns i avsnittet begränsningar.

Bästa praxis

  • IP-adressen för en IoT-hubb kan komma att ändras utan föregående meddelande. För att minimera störningar använder du IoT Hub-värdnamnet (till exempel myhub.azure-devices.net) för nätverk och brandväggskonfiguration när det är möjligt.

  • För begränsade IoT-system utan DNS (domain name resolution) publiceras IoT Hub IP-adressintervall regelbundet via tjänsttaggar innan ändringarna börjar gälla. Det är därför viktigt att du utvecklar processer för att regelbundet hämta och använda de senaste tjänsttaggar. Den här processen kan automatiseras via API:et för identifiering av tjänsttaggar eller genom att granska tjänsttaggar i nedladdningsbart JSON-format.

  • Använd AzureIoTHub.[ regionnamn] tagg för att identifiera IP-prefix som används av IoT Hub slutpunkter i en viss region. Om du vill ta hänsyn till haveriberedskap för datacenter eller regional redundans kontrollerar du att anslutningen till IP-prefix för IoT-hubbens geo-parregion också är aktiverad.

  • Om du konfigurerar brandväggsregler i IoT Hub kan det blockera anslutningen som krävs för att köra Azure CLI- och PowerShell-kommandon mot din IoT Hub. För att undvika detta kan du lägga till ALLOW-regler för klienternas IP-adressprefix för att återaktivera CLI- eller PowerShell-klienter för att kommunicera med din IoT Hub.

  • När du lägger till ALLOW-regler i enheternas brandväggskonfiguration är det bäst att tillhandahålla specifika portar som används av tillämpliga protokoll.

Begränsningar och lösningar

  • IoT Hub IP-filterfunktion har en gräns på 100 regler. Den här gränsen och kan höjas via begäranden via Azure-kundsupport.

  • Som standard tillämpas dina konfigurerade IP-filtreringsregler endast på dina IoT Hub IP-slutpunkter och inte på IoT-hubbens inbyggda slutpunkt för händelsehubben. Om du också kräver att IP-filtrering tillämpas på händelsehubben där dina meddelanden lagras kan du välja alternativet "Tillämpa IP-filter på den inbyggda slutpunkten" i IoT Hub Nätverksinställningar. Du kan göra samma sak med hjälp av din egen Event Hubs-resurs där du kan konfigurera önskade IP-filtreringsregler direkt. I det här fallet måste du etablera en egen Event Hubs-resurs och konfigurera meddelanderoutning för att skicka meddelanden till resursen i stället för din IoT Hub inbyggda händelsehubb.

  • IoT Hub-tjänsttaggar innehåller bara IP-intervall för inkommande anslutningar. Om du vill begränsa brandväggsåtkomsten för andra Azure-tjänster till data som kommer från IoT Hub Meddelanderoutning väljer du lämpligt alternativ "Tillåt betrodda Microsoft-tjänster" för din tjänst, till exempel Event Hubs, Service Bus och Azure Storage.

Stöd för IPv6

IPv6 stöds för närvarande inte på IoT Hub.