Azure IoT DPS IP bağlantı filtrelerini kullanma
Güvenlik tüm IoT çözümlerinde önemli bir konudur. Bazen güvenlik yapılandırmanız kapsamında cihazların hangi IP adreslerinden bağlanabileceğini açıkça belirtmeniz gerekir. Azure IoT Hub Cihazı Sağlama Hizmeti'nin (DPS) IP filtresi özelliği, belirli IPv4 adreslerinden gelen trafiği reddetmek veya kabul etmek için kurallar yapılandırmanıza olanak tanır.
ne zaman kullanılmalı
Belirli IP adreslerinden DPS uç noktasına bağlantıları engellemenin yararlı olduğu iki belirgin kullanım örneği vardır:
DPS'niz yalnızca belirtilen IP adresi aralığından gelen trafiği almalı ve diğer her şeyi reddetmelidir. Örneğin, DPS örneğinizle cihazlarınız arasında özel bağlantılar oluşturmak için DPS'nizi Azure Express Route ile birlikte kullanıyorsunuz.
DPS yöneticisinin şüpheli olarak tanımladığı IP adreslerinden gelen trafiği reddetmeniz gerekir.
IP filtresi kuralları sınırlamaları
IP filtreleme etkinse aşağıdaki sınırlamalara dikkat edin:
Kayıtları yönetmek için Azure portalını kullanamayabilirsiniz. Bu durumda, bir veya daha fazla makinenin IP adresini'ne
ipFilterRulesekleyebilir ve Azure CLI, PowerShell veya hizmet API'leri olan bu makinelerden DPS örneğindeki kayıtları yönetebilirsiniz.Bu senaryo, yalnızca seçili IP adreslerine erişime izin vermek için IP filtreleme kullanmak istediğinizde büyük olasılıkla gerçekleşir. Bu durumda, belirli adresleri veya adres aralıklarını etkinleştirmek için kuralları ve diğer tüm adresleri (0.0.0.0/0) engelleyen varsayılan bir kural yapılandıracaksınız. Bu varsayılan kural, Azure portalının DPS örneğinde kayıtları yönetme gibi işlemler gerçekleştirmesini engeller. Daha fazla bilgi için bu makalenin devamında yer alan IP filtresi kuralı değerlendirmesine bakın.
Filtre kuralları nasıl uygulanır?
IP filtresi kuralları DPS örneği düzeyinde uygulanır. Bu nedenle IP filtresi kuralları desteklenen bir protokol kullanılarak cihazlardan ve arka uç uygulamalarından gelen tüm bağlantılara uygulanır.
DPS örneğinizde IP reddetme kuralıyla eşleşen bir IP adresinden gelen tüm bağlantı girişimleri bir yetkisiz 401 durum kodu ve açıklaması alır. Yanıt iletisinde IP kuralı belirtilmez.
Önemli
IP adreslerinin reddedilmesi diğer Azure Hizmetlerinin DPS örneğiyle etkileşim kurmasını engelleyebilir.
Varsayılan ayar
Varsayılan olarak, IP filtreleme devre dışı bırakılır ve Genel ağ erişimi Tüm ağlar olarak ayarlanır. Bu varsayılan ayar, DPS'nizin herhangi bir IP adresinden bağlantıları kabul ettiğini veya 0.0.0.0/0 IP adresi aralığını kabul eden bir kurala uyduğunu gösterir.
IP filtresi kuralı ekleme
IP filtresi kuralı eklemek için:
Azure portalına gidin.
Sol taraftaki menüden veya portal sayfasında Tüm kaynaklar'ı seçin.
Cihaz Sağlama Hizmetinizi seçin.
Sol taraftaki Ayarlar menüsünde Ağ'ı seçin.
Genel ağ erişimi'nin altında Seçili IP aralıkları'ni seçin
+ IP Filtresi Kuralı Ekle'yi seçin.
Aşağıdaki alanları doldurun:
Alan Veri Akışı Açıklaması Dosya Adı 128 karakter uzunluğunda benzersiz, büyük/küçük harfe duyarlı olmayan, alfasayısal dize. Yalnızca ASCII 7-bit alfasayısal karakterler ile {'-', ':', '/', '\', '.', '+', '%', '_', '#', '*', '?', '!', '(', ')', ',', '=', '@', ';', '''}karakterleri kabul edilir.Adres Aralığı CIDR gösteriminde tek bir IPv4 adresi veya IP adresleri bloğu. Örneğin CIDR gösteriminde 192.168.100.0/22, 192.168.100.0 ile 192.168.103.255 arasındaki 1024 IPv4 adresini temsil eder. Eylem İzin Ver veya Engelle'yi seçin. 
Kaydet'i seçin. Güncelleştirmenin devam ettiğini bildiren bir uyarı görmeniz gerekir.
Dekont
+ IP Filtresi Kuralı Ekle, en fazla 100 IP filtresi kuralına ulaştığınızda devre dışı bırakılır.
IP filtresi kuralını düzenleme
Mevcut bir kuralı düzenlemek için:
Değiştirmek istediğiniz IP filtresi kuralı verilerini seçin.
Değişikliği yapın.
Kaydet'i seçin.
IP filtresi kuralını silme
IP filtresi kuralını silmek için:
Silmek istediğiniz IP kuralının satırındaki sil simgesini seçin.
Kaydet'i seçin.
IP filtresi kuralı değerlendirmesi
IP filtresi kuralları sırayla uygulanır. IP adresiyle eşleşen ilk kural kabul etme veya reddetme eylemini belirler.
Örneğin 192.168.100.0/22 aralığındaki adresleri kabul etmek ve diğer her şeyi reddetmek istiyorsanız, kılavuzdaki ilk kural 192.168.100.0/22 adres aralığını kabul etmelidir. Sonraki kural 0.0.0.0/0 aralığını kullanarak tüm adresleri reddetmelidir.
IP filtresi kurallarınızın sırasını değiştirmek için:
Taşımak istediğiniz kuralı seçin.
Kuralı sürükleyip istediğiniz konuma bırakın.
Kaydet'i seçin.
Azure Resource Manager şablonlarını kullanarak IP filtresi kurallarını güncelleştirme
DPS IP filtrenizi güncelleştirmenin iki yolu vardır:
IoT Hub Kaynağı REST API'sini çağırın. REST kullanarak IP filtresi kurallarınızı nasıl güncelleştireceğinizi öğrenmek için Iot Hub Kaynağı - Güncelleştirme yönteminin Tanımlar bölümüne bakın
IpFilterRule.Azure Resource Manager şablonlarını kullanın. Resource Manager şablonlarını kullanma hakkında yönergeler için bkz . Azure Resource Manager şablonları. Aşağıdaki örneklerde, Azure Resource Manager şablonlarıyla DPS IP filtresi kurallarının nasıl oluşturulacağı, düzenleneceği ve silineceği gösterilmektedir.
Dekont
Azure CLI ve Azure PowerShell şu anda DPS IP filtresi kuralları güncelleştirmelerini desteklememektedir.
IP filtresi kuralı ekleme
Aşağıdaki şablon örneği tüm trafiği kabul eden "AllowAll" adlı yeni bir IP filtresi kuralı oluşturur.
{
"$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"iotDpsName": {
"type": "string",
"defaultValue": "[resourceGroup().name]",
"minLength": 3,
"metadata": {
"description": "Specifies the name of the IoT DPS service."
}
},
"location": {
"type": "string",
"defaultValue": "[resourceGroup().location]",
"metadata": {
"description": "Location for Iot DPS resource."
}
}
},
"variables": {
"iotDpsApiVersion": "2020-01-01"
},
"resources": [
{
"type": "Microsoft.Devices/provisioningServices",
"apiVersion": "[variables('iotDpsApiVersion')]",
"name": "[parameters('iotDpsName')]",
"location": "[parameters('location')]",
"sku": {
"name": "S1",
"tier": "Standard",
"capacity": 1
},
"properties": {
"IpFilterRules": [
{
"FilterName": "AllowAll",
"Action": "Accept",
"ipMask": "0.0.0.0/0"
}
]
}
}
]
}
Şablonun IP filtresi kuralı özniteliklerini gereksinimlerinize göre güncelleştirin.
| Öznitelik | Tanım |
|---|---|
| FilterName | IP Filtresi kuralı için bir ad girin. Benzersiz, büyük-küçük harfe duyarlı olmayan alfasayısal bir dize olmalı ve en fazla 128 karakterden oluşmalıdır. Yalnızca ASCII 7-bit alfasayısal karakterler ile {'-', ':', '/', '\', '.', '+', '%', '_', '#', '*', '?', '!', '(', ')', ',', '=', '@', ';', '''} karakterleri kabul edilir. |
| Eylem | Kabul edilen değerler, IP filtresi kuralı için eylem olarak Kabul Et veya Reddet'tir. |
| ipMask | Tek IPv4 adresi veya CIDR gösteriminde bir IP adresleri bloğu belirtin. Örneğin CIDR gösteriminde 192.168.100.0/22, 192.168.100.0 ile 192.168.103.255 arasındaki 1024 IPv4 adresini temsil eder. |
IP filtresi kuralını güncelleştirme
Aşağıdaki şablon örneği daha önce gösterilen "AllowAll" adlı IP filtresi kuralını tüm trafiği reddedecek şekilde güncelleştirir.
{
"$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"iotDpsName": {
"type": "string",
"defaultValue": "[resourceGroup().name]",
"minLength": 3,
"metadata": {
"description": "Specifies the name of the IoT DPS service."
}
},
"location": {
"type": "string",
"defaultValue": "[resourceGroup().location]",
"metadata": {
"description": "Location for Iot DPS resource."
}
}
},
"variables": {
"iotDpsApiVersion": "2020-01-01"
},
"resources": [
{
"type": "Microsoft.Devices/provisioningServices",
"apiVersion": "[variables('iotDpsApiVersion')]",
"name": "[parameters('iotDpsName')]",
"location": "[parameters('location')]",
"sku": {
"name": "S1",
"tier": "Standard",
"capacity": 1
},
"properties": {
"IpFilterRules": [
{
"FilterName": "AllowAll",
"Action": "Reject",
"ipMask": "0.0.0.0/0"
}
]
}
}
]
}
IP filtresi kuralını silme
Aşağıdaki şablon örneği DPS örneği için tüm IP filtresi kurallarını siler.
{
"$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"iotDpsName": {
"type": "string",
"defaultValue": "[resourceGroup().name]",
"minLength": 3,
"metadata": {
"description": "Specifies the name of the IoT DPS service."
}
},
"location": {
"type": "string",
"defaultValue": "[resourceGroup().location]",
"metadata": {
"description": "Location for Iot DPS resource."
}
}
},
"variables": {
"iotDpsApiVersion": "2020-01-01"
},
"resources": [
{
"type": "Microsoft.Devices/provisioningServices",
"apiVersion": "[variables('iotDpsApiVersion')]",
"name": "[parameters('iotDpsName')]",
"location": "[parameters('location')]",
"sku": {
"name": "S1",
"tier": "Standard",
"capacity": 1
},
"properties": {
}
}
]
}
Sonraki adımlar
DPS yönetimini daha fazla incelemek için bkz: