Direcciones IP de IoT Hub
Los prefijos de dirección IP de los puntos de conexión de IoT Hub se publican periódicamente con la etiqueta de servicio AzureIoTHub.
Nota
En el caso de los dispositivos que se implementan en redes locales, Azure IoT Hub admite la integración de la conectividad de red virtual con puntos de conexión privados. Para más información, consulte Compatibilidad de IoT Hub con redes virtuales.
Puede usar estos prefijos de dirección IP para controlar la conectividad entre IoT Hub y los dispositivos o recursos de red para implementar diversos objetivos de aislamiento de red:
| Objetivo | Escenarios aplicables | Enfoque |
|---|---|---|
| Comprobación de que los dispositivos y servicios solo se comunican con puntos de conexión de IoT Hub | Mensajería del dispositivo a la nube y de la nube al dispositivo, métodos directos, dispositivos y módulos gemelos y flujos de dispositivo | Use las etiquetas de servicio AzureIoTHub y EventHub para detectar IoT Hub y prefijos de direcciones IP del centro de eventos y configurar reglas de permiso en la configuración del firewall de los dispositivos y los servicios para esos prefijos de direcciones IP en consecuencia; no acepte tráfico a otras direcciones IP de destino con las que no quiere que se comuniquen los dispositivos o servicios. |
| Comprobación de que el punto de conexión de dispositivo IoT Hub solo recibe conexiones de los dispositivos y los recursos de red | Mensajería del dispositivo a la nube y de la nube al dispositivo, métodos directos, dispositivos y módulos gemelos y flujos de dispositivo | Use la característica de filtro IP de IoT Hub para permitir conexiones desde sus dispositivos y direcciones IP de recursos de red (consulte la sección de limitaciones). |
| Comprobación de que los recursos de punto de conexión personalizados de las rutas (cuentas de almacenamiento, Service Bus y centros de eventos) solo son accesibles desde los recursos de red | Enrutamiento de mensajes | Siga las instrucciones del recurso para restringir la conectividad (por ejemplo, a través de reglas de firewall, vínculos privadoso puntos de conexión de servicio); use etiquetas de servicio AzureIoTHub para detectar prefijos de dirección IP de IoT Hub y agregar reglas de permiso para esos prefijos IP en la configuración de firewall del recurso (consulte la sección de limitaciones). |
Procedimientos recomendados
La dirección IP de un centro de IoT está sujeta a cambios sin previo aviso. Para ocasionar el menor trastorno posible, use el nombre de host del centro de IoT (por ejemplo, myhub.azure-devices.net) en la configuración de red y firewall siempre que sea posible.
En el caso de los sistemas IoT restringidos sin resolución de nombres de dominio (DNS), se publican periódicamente intervalos de direcciones IP del centro de IoT a través de etiquetas de servicio antes de que los cambios surtan efecto. Por lo tanto, es importante que desarrolle procesos para recuperar y usar con regularidad las etiquetas de servicio más recientes. Este proceso se puede automatizar mediante la API de detección de etiquetas de servicio. Tenga en cuenta que la API de detección de etiquetas de servicio todavía está en versión preliminar y, en algunos casos, es posible que no genere la lista completa de etiquetas y direcciones IP. Hasta que la API de detección esté disponible con carácter general, considere la posibilidad de usar las etiquetas de servicio en formato JSON descargable.
Use la etiqueta AzureIoTHub.[nombre de la región] para identificar prefijos de dirección IP que usan los puntos de conexión de IoT Hub en una región determinada. Para tener en cuenta la recuperación ante desastres de un centro de datos o la conmutación por error regional, asegúrese de que también esté habilitada la conectividad a los prefijos de dirección IP de la región del par de replicación geográfica de su instancia de IoT Hub.
La configuración de reglas de firewall en IoT Hub puede bloquear la conectividad necesaria para ejecutar la CLI de Azure y comandos de PowerShell en IoT Hub. Para evitar esto, puede agregar reglas ALLOW a los prefijos de dirección IP de los clientes para volver a habilitar la CLI o para que los clientes de PowerShell se comuniquen con su instancia de IoT Hub.
Al agregar reglas de permiso en la configuración del firewall de los dispositivos, es mejor proporcionar puertos específicos utilizados por los protocolos aplicables.
Limitaciones y soluciones alternativas
La característica de filtro IP de IoT Hub tiene un límite de 100 reglas. Este límite se puede aumentar mediante solicitudes a través del servicio de soporte al cliente de Azure.
Las reglas de filtrado de IP configuradas solo se aplican en los puntos de conexión de dirección IP de IoT Hub y no en el punto de conexión del centro de eventos integrado en IoT Hub. Si también necesita que se aplique el filtrado de IP en el centro de eventos en el que se almacenan los mensajes, puede hacerlo con su propio recurso de centro de eventos, donde puede configurar las reglas de filtrado de IP que quiera directamente. Para ello, ha de aprovisionar su propio recurso del centro de eventos y configurar enrutamiento de mensajes para enviar los mensajes a ese recurso en lugar de al centro de eventos integrado en IoT Hub. Por último, como se describe en la tabla anterior, para habilitar la funcionalidad de enrutamiento de mensajes también debe permitir la conectividad desde los prefijos de dirección IP de IoT Hub al recurso del centro de eventos aprovisionado.
Al enrutar a una cuenta de almacenamiento, solo es posible permitir el tráfico desde los prefijos de dirección IP de IoT Hub cuando la cuenta de almacenamiento se encuentra en una región distinta que la de IoT Hub.
Compatibilidad con IPv6
Actualmente, IPv6 no se admite en IoT Hub.