IoT 中樞公用端點的 IP 位址首碼會定期發佈在 AzureIoTHub服務標籤之下。
注意
針對在內部部署網路內部署的裝置,Azure IoT 中樞支援與私人端點的虛擬網路連線整合。 如需詳細資訊,請參閱 使用 Azure Private Link 對虛擬網路的 IoT 中樞支援。
您可以使用這些 IP 位址前綴來控制 IoT 中樞與裝置或網路資產之間的連線,以實作各種網路隔離目標:
| 目標 | 適用的案例 | 方法 |
|---|---|---|
| 確保您的裝置和服務只能與 IoT 中樞端點通訊 | 裝置到雲端 和 雲端到裝置 傳訊、 直接方法、 裝置與模組雙胞胎,以及 裝置串流 | 使用 AzureIoTHub 服務標記來探索 IoT 中樞 IP 位址前置詞,然後在這些 IP 位址前置詞的裝置和服務防火牆設定上設定允許規則。 其他目的地 IP 位址的流量已被丟棄。 |
| 確保您的 IoT 中樞裝置端點只會從您的裝置和網路資產接收連線 | 裝置到雲端 和 雲端到裝置 傳訊、 直接方法、 裝置與模組雙胞胎,以及 裝置串流 | 使用 IoT 中樞 IP 篩選功能,以允許來自您的裝置和網路資產 IP 位址的連線。 如需限制的詳細資訊,請參閱 限制和因應措施 一節。 |
| 確保路由的自訂端點資源 (儲存體帳戶、服務匯流排和事件中樞) 僅可從您的網路資產存取 | 訊息路由 | 遵循資源連線限制指導;例如,透過私人連結、服務端點或防火牆規則。 如需防火牆限制的詳細資訊,請參閱 限制和因應措施 一節。 |
最佳作法
IoT 中樞的 IP 位址可能會變更,不另行通知。 若要將中斷降到最低,請盡可能使用 IoT 中樞主機名稱 (例如,myhub.azure-devices.net) 以進行網路和防火牆設定。
針對沒有網域名稱解析 (DNS) 的限制 IoT 系統,在變更生效之前,會透過服務標記定期發佈 IoT 中樞 IP 位址範圍。 因此,請務必開發程序,以定期取得並使用最新的服務標記。 此流程可以透過服務標籤探索 API,或透過檢閱可下載 JSON 格式的服務標籤,來自動化。
使用 AzureIoTHub.[region name] 標記,以識別特定區域中 IoT 中樞端點所使用的 IP 首碼。 若要考慮資料中心災害復原或區域性容錯移轉,請確保同時啟用 IoT 中樞地理配對區域的 IP 首碼連線能力。 如需詳細資訊,請參閱 Azure IoT 中樞的可靠性。
在 IoT 中樞設定防火牆規則可能會封鎖對 IoT 中樞執行 Azure CLI 和 PowerShell 命令所需的連線。 若要避免封鎖連線,您可以為用戶端的IP位址前綴新增ALLOW規則,以重新啟用 CLI 或 PowerShell 用戶端來與 IoT 中樞通訊。
在裝置的防火牆設定中新增允許規則時,最好提供適用通訊協定所使用的特定連接埠。
限制和因應措施
IoT 中樞 IP 篩選功能的限制為 100 個規則。 此限制可透過 Azure 客戶支援的要求來提高。
根據預設,您設定的 IP 篩選規則僅適用於 IoT 中樞 IP 端點,而不適用於 IoT 中樞的內建事件中樞端點。 如果您也需要在儲存訊息的事件中樞套用IP篩選,您可以在IoT中樞的網路設定中選取 [將IP篩選器套用至內建端點?] 選項。 您可以使用自己的事件中樞資源來執行相同的動作,而您可以在其中直接設定所需的 IP 篩選規則。 在此情況下,您必須布建自己的事件中樞資源,並設定 訊息路由 ,將您的訊息傳送至該資源,而不是IoT中樞的內建事件中樞。
IoT 中樞服務標籤只包含輸入連線的IP範圍。 若要將其他 Azure 服務的防火牆存取限制為來自 IoT 中樞訊息路由的數據,請為您的服務選擇適當的 [允許受信任的Microsoft服務] 選項;例如, 事件中樞、 服務總線或 Azure 記憶體。
IPv6 的支援
IoT 中樞目前不支援 IPv6。