Adresses IP IoT Hub
Les préfixes d’adresse IP des points de terminaison publics de l’hub IoT sont publiés régulièrement sous la balise de serviceAzureIoTHub.
Notes
Pour les appareils déployés au sein des réseaux locaux, Azure IoT Hub prend en charge l’intégration de la connectivité des réseaux virtuels aux points de terminaison privés. Pour plus d’informations, consultez Prise en charge d’IoT Hub pour les réseaux virtuels.
Vous pouvez utiliser ces préfixes d’adresse IP pour contrôler la connectivité entre IoT Hub et vos appareils ou ressources réseau afin d’implémenter un large éventail d’objectifs d’isolement réseau :
| Objectif | Scénarios applicables | Approche |
|---|---|---|
| Vérifiez que vos appareils et services communiquent uniquement avec des points de terminaison IoT Hub | La messagerie appareil-à-cloudet cloud-à-appareil, les méthodes directes, les jumeaux d’appareil et de module et les flux d’appareil | Utilisez l’étiquette de service AzureIoTHub pour découvrir les préfixes d’adresses IP IoT Hub, puis configurez les règles ALLOW sur le paramètre de pare-feu de vos appareils et services pour ces préfixes d’adresse IP. Le trafic vers d’autres adresses IP de destination sera supprimé. |
| Vérifiez que votre point de terminaison d’appareil IoT Hub reçoit des connexions uniquement à partir de vos appareils et ressources réseau | Messagerie appareil-à-cloud et cloud-à-appareil, méthodes directes, jumeaux d’appareil et de module et flux d’appareil | Utilisez la fonctionnalité de filtre IP d’IoT Hub pour autoriser les connexions à partir de vos appareils et des adresses IP de vos ressources réseau. Pour plus d’informations sur les restrictions, consultez la section Limitations. |
| Assurez-vous que les ressources de point de terminaison personnalisées de vos itinéraires (comptes de stockage, Service Bus et Event Hub) sont accessibles à partir de vos ressources réseau uniquement | Routage de messages | Suivez les instructions de votre ressource sur la restriction de la connectivité, par exemple via des liaisons privées, des points de terminaison de service ou des règles de pare-feu. Pour plus d’informations sur les restrictions liées au pare-feu, consultez la section Limitations. |
Meilleures pratiques
L’adresse IP d’un hub IoT peut être modifiée sans préavis. Pour limiter les interruptions, utilisez autant que possible le nom d’hôte du hub IoT (par exemple, myhub.azure-devices.net) pour la configuration de la mise en réseau et du pare-feu.
Pour les systèmes IoT sans résolution de nom de domaine (DNS) soumis à des contraintes, des plages d’adresses IP IoT Hub sont publiées périodiquement via des étiquettes de service avant la prise d’effet des modifications. Il est donc important que vous développiez des processus pour récupérer et utiliser régulièrement les étiquettes de service les plus récentes. Ce processus peut être automatisé au moyen de l’API de découverte d’étiquettes de service ou en examinant les étiquettes de service au format JSON téléchargeable.
Utilisez l’étiquette AzureIoTHub.[nom de région] pour identifier les préfixes IP utilisés par les points de terminaison IoT Hub dans une région spécifique. Pour tenir compte de la récupération d’urgence d’un centre de données ou de basculement régional, assurez-vous que la connectivité aux préfixes IP de la région de géolocalisation de votre IoT Hub est également activée.
Dans IoT Hub, la configuration de règles de pare-feu peut bloquer la connectivité requise pour exécuter des commandes Azure CLI et PowerShell sur votre instance IoT Hub. Pour l'éviter, vous pouvez ajouter des règles d’autorisation afin de permettre aux préfixes des adresses IP de vos clients de réactiver les clients CLI ou PowerShell pour communiquer avec votre instance IoT Hub.
Lorsque vous ajoutez des règles ALLOW dans la configuration du pare-feu de vos appareils, il est préférable de fournir les ports spécifiques utilisés par les protocoles applicables.
Limitations et solutions de contournement
La fonctionnalité de filtre IP d’IoT Hub a une limite de 100 règles. Cette limite peut être augmentée sur demande via le support client Azure.
Par défaut, vos règles de filtrage IP configurées sont appliquées uniquement sur vos points de terminaison IP IoT Hub et non sur votre point de terminaison Event Hub intégré à IoT Hub. Si vous devez également appliquer le filtrage IP au Event hub où sont stockés vos messages, vous pouvez sélectionner l’option « Appliquer les filtres IP au point de terminaison intégré » dans les paramètres Réseau IoT Hub. Vous pouvez également le faire en plaçant votre propre ressource Event Hubs là où vous pouvez configurer directement les règles de filtrage IP souhaitées. Pour ce faire, vous devez approvisionner votre propre ressource Event Hubs et configurer le routage des messages de manière à envoyer vos messages à cette ressource plutôt qu’à l’Event Hub intégré à votre IoT Hub.
Les étiquettes de service IoT Hub contiennent uniquement des plages d’adresses IP pour les connexions entrantes. Pour limiter l’accès au pare-feu sur d’autres services Azure aux données provenant du routage des messages IoT Hub, choisissez l’option « Autoriser les services Microsoft approuvés » correspondant à votre service (par exemple, Event Hubs, Service Bus, Stockage Azure).
Prise en charge d’IPv6
IPv6 n’est pas pris en charge sur IoT Hub.