Indirizzi IP dell'hub IoT
I prefissi degli indirizzi IP di hub IoT endpoint pubblici vengono pubblicati periodicamente nel tag del servizioAzureIoTHub.
Nota
Per i dispositivi distribuiti all'interno delle reti locali, hub IoT di Azure supporta l'integrazione della connettività di rete virtuale con endpoint privati. Per altre informazioni, vedere hub IoT supporto per la rete virtuale.
È possibile usare i prefissi degli indirizzi IP per controllare la connettività tra l'hub IoT e i dispositivi o gli asset di rete per implementare una gamma di obiettivi di isolamento rete:
| Obiettivo | Scenari applicabili | Approccio |
|---|---|---|
| Assicurarsi che i dispositivi e i servizi comunichino solo con gli endpoint dell'hub IoT | Messaggistica da dispositivo a cloud e da cloud a dispositivo, metodi diretti, dispositivo e moduli gemelli e flussi di dispositivi | Usare il tag del servizio AzureIoTHub per individuare hub IoT prefissi degli indirizzi IP, quindi configurare le regole ALLOW nell'impostazione del firewall dei dispositivi e dei servizi per questi prefissi di indirizzo IP. Il traffico verso altri indirizzi IP di destinazione verrà eliminato. |
| Assicurarsi che l'endpoint del dispositivo dell'hub IoT riceva le connessioni solo dai dispositivi e dalle risorse di rete | Messaggistica da dispositivo a cloud e da cloud a dispositivo, metodi diretti, dispositivi e moduli gemelli eflussi del dispositivo | Usare hub IoT funzionalità di filtro IP per consentire le connessioni dai dispositivi e dagli indirizzi IP degli asset di rete. Per informazioni dettagliate sulle restrizioni, vedere la sezione limitazioni . |
| Verificare che le risorse endpoint personalizzate delle route (account di archiviazione, bus di servizio e hub eventi) siano raggiungibili solo dagli asset di rete | Routing dei messaggi | Seguire le indicazioni della risorsa per limitare la connettività; ad esempio tramite collegamenti privati, endpoint di servizio o regole del firewall. Per informazioni dettagliate sulle restrizioni del firewall, vedere la sezione limitazioni . |
Procedure consigliate
L'indirizzo IP di un hub IoT è soggetto a modifiche senza preavviso. Per ridurre al minimo le interruzioni, usare il nome host dell'hub IoT (ad esempio, myhub.azure-devices.net) per la configurazione di rete e firewall, quando possibile.
Per i sistemi IoT vincolati senza la risoluzione dei nomi di dominio (DNS), hub IoT intervalli di indirizzi IP vengono pubblicati periodicamente tramite tag di servizio prima che le modifiche vengano applicate. È quindi importante sviluppare processi per recuperare e usare regolarmente i tag di servizio più recenti. Questo processo può essere automatizzato tramite l'API di individuazione dei tag del servizio o esaminando i tag del servizio in formato JSON scaricabile.
Usare AzureIoTHub.[ region name] tag per identificare i prefissi IP usati da hub IoT endpoint in un'area specifica. Per tenere conto del ripristino di emergenza del data center o del failover a livello di area, assicurarsi che sia abilitata anche la connettività ai prefissi IP dell'area geografica dell'hub IoT.
La configurazione delle regole del firewall nell'hub IoT può impedire la connettività necessaria per eseguire l'interfaccia della riga di comando di Azure e i comandi PowerShell nell'hub IoT. Per evitare questo problema, è possibile aggiungere le regole ALLOW per i prefissi degli indirizzi IP dei client per riabilitare l'interfaccia della riga di comando o i client PowerShell per la comunicazione con l'hub IoT.
Quando si aggiungono regole ALLOW nella configurazione del firewall dei dispositivi, è consigliabile fornire porte specifiche usate dai protocolli applicabili.
Limitazioni e soluzioni alternative
hub IoT funzionalità di filtro IP ha un limite di 100 regole. Questo limite può essere aumentato con richieste tramite l'assistenza clienti di Azure.
Per impostazione predefinita, le regole di filtro IP configurate vengono applicate solo agli endpoint IP hub IoT e non all'endpoint dell'hub eventi predefinito dell'hub IoT. Se è necessario applicare il filtro IP anche all'hub eventi in cui sono archiviati i messaggi, è possibile selezionare l'opzione "Applica filtri IP all'endpoint predefinito" nelle impostazioni di rete hub IoT. È possibile eseguire la stessa operazione usando la propria risorsa di Hub eventi in cui è possibile configurare direttamente le regole di filtro IP desiderate. In questo caso, è necessario effettuare il provisioning della propria risorsa di Hub eventi e configurare il routing dei messaggi per inviare i messaggi a tale risorsa anziché all'hub eventi predefinito dell'hub IoT.
hub IoT tag del servizio contengono solo intervalli IP per le connessioni in ingresso. Per limitare l'accesso del firewall ad altri servizi di Azure ai dati provenienti da hub IoT Routing dei messaggi, scegliere l'opzione "Consenti servizi Microsoft attendibili" per il servizio, ad esempio Hub eventi, bus di servizio, Archiviazione di Azure.
Supporto per IPv6
IPv6 non è attualmente supportato nell'hub IoT.