裝置佈建服務 IP 位址
IoT 中樞裝置佈建服務 (DPS) 公用端點的 IP 位址首碼會定期在 AzureIoTHub 服務標籤下發佈。 您可以使用這些 IP 位址首碼,控制 IoT DPS 執行個體與裝置或網路資產之間的連線能力,以實作各種不同的網路隔離目標:
| Goal | 方法 |
|---|---|
| 確保您的裝置和服務只與 DPS 端點通訊 | 使用 AzureIoTHub 服務標籤來探索 DPS 執行個體。 針對這些 IP 位址首碼,相應地在您裝置和服務的防火牆設定上設定 ALLOW 規則。 設定規則,將流量卸除至您不想要裝置或服務與其通訊的其他目的地 IP 位址。 |
| 確保您的 DPS 端點只會從您的裝置和網路資產接收連線 | 使用 IoT DPS IP 篩選功能來建立裝置和 DPS 服務 API 的篩選規則。 這些篩選規則可以用來僅允許來自您裝置和網路資產 IP 位址的連線 (請參閱限制一節)。 |
最佳作法
在裝置的防火牆設定中新增允許規則時,最好提供適用通訊協定所使用的特定連接埠。
IoT DPS 執行個體的 IP 位址首碼可能會變更。 這些變更會在生效之前透過服務標籤定期發佈。 因此,請務必開發定期取得並使用最新服務標籤的流程。 此處理序可透過服務標記探索 API 進行自動化。 服務標籤探索 API 仍處於預覽階段,而且在某些情況下,可能不會產生標籤和 IP 位址的完整清單。 在探索 API 正式推出之前,請考慮使用可下載之 JSON 格式的服務標籤。
使用 AzureIoTHub.[region name] 標籤,以識別特定區域中 DSP 端點所使用的 IP 首碼。 若要考慮資料中心災害復原或區域性容錯移轉,請確保同時啟用 DSP 執行個體地理配對區域的 IP 首碼連線能力。
設定 DPS 執行個體的防火牆規則,可能會封鎖針對該執行個體執行 Azure CLI 和 PowerShell 命令所需的連線能力。 若要避免這些連線能力問題,您可以針對用戶端的 IP 位址首碼新增允許規則,以重新啟用 CLI 或 PowerShell 用戶端來與您的 DSP 執行個體進行通訊。
限制和因應措施
DPS IP 篩選功能的限制為 100 個規則。
您設定的 IP 篩選規則僅適用於 DPS 端點,而不適用於連結的 IoT 中樞端點。 必須個別設定所連結 IoT 中樞的 IP 篩選。 如需詳細資訊,請參閱 IoT 中樞 IP 篩選規則。
IPv6 的支援
IoT 中樞或 DPS 目前不支援 IPv6。
下一步
若要深入了解 IP 位址設定與 DPS,請參閱: