Direcciones IP de IoT Hub
Los prefijos de dirección IP de los puntos de conexión de IoT Hub se publican periódicamente con la etiqueta de servicioAzureIoTHub.
Nota
En el caso de los dispositivos que se implementan en redes locales, Azure IoT Hub admite la integración de la conectividad de red virtual con puntos de conexión privados. Para obtener más información, consulte Compatibilidad de IoT Hub con redes virtuales.
Puede usar estos prefijos de dirección IP para controlar la conectividad entre IoT Hub y los dispositivos o recursos de red para implementar diversos objetivos de aislamiento de red:
| Objetivo | Escenarios aplicables | Enfoque |
|---|---|---|
| Comprobación de que los dispositivos y servicios solo se comunican con puntos de conexión de IoT Hub | Mensajería del dispositivo a la nube y de la nube al dispositivo, métodos directos, dispositivos y módulos gemelos y flujos de dispositivo | Use la etiqueta de servicio AzureIoTHub para detectar prefijos de dirección IP de IoT Hub y, a continuación, configure reglas ALLOW en la configuración de firewall de los dispositivos y servicios para estos prefijos de dirección IP. Se anulará el tráfico a otras direcciones IP de destino. |
| Comprobación de que el punto de conexión de dispositivo IoT Hub solo recibe conexiones de los dispositivos y los recursos de red | Mensajería del dispositivo a la nube y de la nube al dispositivo, métodos directos, dispositivos y módulos gemelos y flujos de dispositivo | Use la característica de filtro IP de IoT Hub para permitir conexiones desde sus dispositivos y direcciones IP de recursos de red. Para más información sobre las restricciones, consulta la sección de limitaciones. |
| Asegurar que los recursos de punto de conexión personalizados de las rutas (cuentas de almacenamiento, Service Bus y centros de eventos) solo sean accesibles desde los recursos de red | Enrutamiento de mensajes | Siga las instrucciones del recurso sobre cómo restringir la conectividad; por ejemplo, a través de vínculos privados, puntos de conexión de servicio o reglas de firewall. Para obtener más información sobre las restricciones del firewall, consulta la sección de limitaciones. |
Procedimientos recomendados
La dirección IP de un centro de IoT está sujeta a cambios sin previo aviso. Para ocasionar el menor trastorno posible, use el nombre de host del centro de IoT (por ejemplo, myhub.azure-devices.net) en la configuración de red y firewall siempre que sea posible.
En el caso de los sistemas IoT restringidos sin resolución de nombres de dominio (DNS), se publican periódicamente intervalos de direcciones IP del centro de IoT a través de etiquetas de servicio antes de que los cambios surtan efecto. Por lo tanto, es importante que desarrolle procesos para recuperar y usar con regularidad las etiquetas de servicio más recientes. Este proceso se puede automatizar a través de la API de detección de etiquetas de servicio o revisando las etiquetas de servicio en formato JSON descargable.
Use la etiqueta AzureIoTHub.[nombre de la región] para identificar prefijos de dirección IP que usan los puntos de conexión de IoT Hub en una región determinada. Para tener en cuenta la recuperación ante desastres de un centro de datos o la conmutación por error regional, asegúrese de que también esté habilitada la conectividad a los prefijos de dirección IP de la región del par de replicación geográfica de su instancia de IoT Hub.
La configuración de reglas de firewall en IoT Hub puede bloquear la conectividad necesaria para ejecutar la CLI de Azure y comandos de PowerShell en IoT Hub. Para evitar esto, puede agregar reglas ALLOW a los prefijos de dirección IP de los clientes para volver a habilitar la CLI o para que los clientes de PowerShell se comuniquen con su instancia de IoT Hub.
Al agregar reglas de permiso en la configuración del firewall de los dispositivos, es mejor proporcionar puertos específicos utilizados por los protocolos aplicables.
Limitaciones y soluciones alternativas
La característica de filtro IP de IoT Hub tiene un límite de 100 reglas. Este límite se puede aumentar mediante solicitudes a través del servicio de soporte al cliente de Azure.
De manera predeterminada, las reglas de filtrado de IP configuradas solo se aplican de manera predeterminada en los puntos de conexión de dirección IP de IoT Hub y no en el punto de conexión del centro de eventos integrado en IoT Hub. Si también necesita que el filtrado de IP se aplique en el centro de eventos donde se almacenan los mensajes, puede seleccionar la opción "Apply IP filters to the built-in endpoint" (Aplicar filtros IP al punto de conexión integrado) en la configuración de red de IoT Hub. Puede hacer lo mismo si trae su propio recurso de Event Hubs, donde puede configurar directamente las reglas de filtrado IP que desee. En este caso, ha de aprovisionar su propio recurso de Event Hubs y configurar enrutamiento de mensajes para enviar los mensajes a ese recurso en lugar de al centro de eventos integrado en IoT Hub.
Las etiquetas de servicio de IoT Hub solo contienen intervalos IP para las conexiones entrantes. Para limitar el acceso del firewall de otros servicios de Azure a los datos procedentes del enrutamiento de mensajes de IoT Hub, elija la opción adecuada "Permitir servicios de Microsoft de confianza" para su servicio; por ejemplo, Event Hubs, Service Bus, Azure Storage.
Compatibilidad con IPv6
Actualmente, IPv6 no se admite en IoT Hub.