IP-Adressen von IoT Hub
Die IP-Adresspräfixe von öffentlichen IoT Hub-Endpunkten werden regelmäßig unter dem DiensttagAzureIoTHub veröffentlicht.
Hinweis
Bei in lokalen Netzwerken bereitgestellten Geräten unterstützt Azure IoT Hub die VNet-Konnektivitätsintegration in private Endpunkte. Weitere Informationen finden Sie unter IoT Hub-Unterstützung für VNet.
Sie können mithilfe dieser IP-Adresspräfixe die Konnektivität zwischen IoT Hub und Ihren Geräten oder Netzwerkressourcen steuern, um eine Vielzahl von Netzwerkisolationszielen zu implementieren:
| Zielsetzung | Anwendbare Szenarien | Vorgehensweise |
|---|---|---|
| Sicherstellen, dass Ihre Geräte und Dienste nur mit IoT Hub-Endpunkten kommunizieren | Gerät-zu-Cloud- und Cloud-zu-Gerät-Messaging, direkte Methoden, Geräte- und Modulzwillinge sowie Gerätestreams | Verwenden Sie das Diensttag AzureIoTHub, um IoT Hub IP-Adresspräfixe zu ermitteln. Konfigurieren Sie dann Zulassungsregeln für die Firewalleinstellung Ihrer Geräte und Dienste für diese Präfixe. Datenverkehr an andere IP-Zieladressen wird gelöscht. |
| Sicherstellen, dass Ihr IoT Hub-Geräteendpunkt Verbindungen nur von Ihren Geräten und Netzwerkressourcen empfängt | Gerät-zu-Cloud- und Cloud-zu-Gerät-Messaging, direkte Methoden, Geräte- und Modulzwillinge sowie Gerätestreams | Verwenden Sie die IP-Filterfunktion von IoT Hub, um Verbindungen zwischen Ihren Geräten und den IP-Adressen der Netzwerkressourcen zu ermöglichen. Ausführliche Informationen zu Einschränkungen finden Sie im Abschnitt Einschränkungen. |
| Sicherstellen, dass die benutzerdefinierten Endpunktressourcen Ihrer Routen (Speicherkonten, Service Bus und Event Hubs) nur von ihren Netzwerkressourcen aus erreichbar sind | Nachrichtenrouting | Folgen Sie den Anleitungen Ihrer Ressource zum Einschränken der Konnektivität, beispielsweise über private Links, Dienstendpunkte oder Firewallregeln. Ausführliche Informationen zu Firewall-Einschränkungen finden Sie im Abschnitt Einschränkungen. |
Bewährte Methoden
Die IP-Adresse eines IoT-Hubs kann ohne vorherige Ankündigung geändert werden. Zum Minimieren von Unterbrechungen verwenden Sie für die Netzwerk- und Firewallkonfiguration nach Möglichkeit den IoT Hub-Hostnamen (z. B. „myhub.azure-devices.net“).
Bei eingeschränkten IoT-Systemen ohne Domänennamenauflösung (Domain Name Resolution, DNS) werden IoT Hub-IP-Adressbereiche in regelmäßigen Abständen über Diensttags veröffentlicht, bevor Änderungen wirksam werden. Deshalb ist es wichtig, dass Sie Prozesse entwickeln, um die neuesten Diensttags regelmäßig abzurufen und zu verwenden. Dieser Prozess kann mithilfe der Dienst-Tags-Ermittlungs-API oder durch Überprüfen von Diensttags im herunterladbaren JSON-Format automatisiert werden.
Verwenden Sie das Tag AzureIoTHub.[Regionsname], um die IP-Präfixe zu ermitteln, die von IoT Hub-Endpunkten in einer bestimmten Region verwendet werden. Achten Sie zur Einbeziehung von Rechenzentrums-Notfallwiederherstellung oder regionalem Failover darauf, dass die Konnektivität mit IP-Präfixen der geografisch gekoppelten Region Ihrer IoT Hub-Instanz ebenfalls aktiviert wird.
Das Einrichten von Firewallregeln in IoT Hub kann die Konnektivität blockieren, die zum Ausführen von Azure CLI- und PowerShell-Befehlen für Ihre IoT Hub-Instanz erforderlich ist. Um dies zu vermeiden, können Sie Zulassungsregeln für die IP-Adresspräfixe Ihrer Clients hinzufügen, um die Kommunikation mit Ihrem IoT-Hub durch CLI- oder PowerShell-Clients wieder zuzulassen.
Beim Hinzufügen von Zulassungsregeln in der Firewallkonfiguration Ihrer Geräte empfiehlt sich die Bereitstellung bestimmter Ports, die von anwendbaren Protokollen genutzt werden.
Einschränkungen und Problemumgehungen
Für die IoT Hub-IP-Filterfunktion gilt ein Grenzwert von 100 Regeln. Dieser Grenzwert kann über Anforderungen, die vom Azure-Kundensupport ausgelöst wurden, angehoben werden.
Ihre konfigurierten IP-Filterregeln werden standardmäßig nur auf Ihre IoT Hub-IP-Endpunkte (und nicht auf den integrierten Event Hub-Endpunkt Ihres IoT Hubs) angewendet. Wenn die IP-Filterung auch auf den Event Hub angewendet werden muss, in dem Ihre Nachrichten gespeichert sind, können Sie dazu in den IoT Hub-Netzwerkeinstellungen die Option „IP-Filter auf den integrierten Endpunkt anwenden“ auswählen. Sie können dies auch tun, indem Sie Ihre eigene Event Hubs-Ressource nutzen, in der Sie Ihre gewünschten IP-Filterregeln direkt konfigurieren können. In diesem Fall müssen Sie Ihre eigene Event Hubs-Ressource bereitstellen und das Nachrichtenrouting so einrichten, dass Ihre Nachrichten an diese Ressource statt an den integrierten Event Hub Ihres IoT Hubs gesendet werden.
IoT Hub-Diensttags enthalten nur IP-Adressbereiche für eingehende Verbindungen. Wenn Sie den Firewallzugriff auf andere Azure-Dienste auf Daten beschränken möchten, die aus IoT Hub-Nachrichtenrouting stammen, wählen Sie die entsprechende Option „Vertrauenswürdige Microsoft-Dienste zulassen“ für Ihren Dienst (z. B. Event Hubs, Service Bus oder Azure Storage).
Unterstützung für IPv6
IPv6 wird auf IoT Hub derzeit nicht unterstützt.