IoT ハブの IP アドレスIoT Hub IP addresses

IoT ハブ パブリック エンドポイントの IP アドレス プレフィックスは、AzureIoTHub サービス タグで定期的に発行されます。The IP address prefixes of IoT Hub public endpoints are published periodically under the AzureIoTHub service tag.

注意

オンプレミス ネットワーク内にデプロイされているデバイスの場合、Azure IoT Hub は、プライベート エンドポイントとの VNET 接続の統合をサポートします。For devices that are deployed inside of on-premises networks, Azure IoT Hub supports VNET connectivity integration with private endpoints. 詳細については、IoT Hub による VNet のサポートに関する記事を参照してください。See IoT Hub support for VNet for more information.

これらの IP アドレス プレフィックスを使用して、さまざまなネットワーク分離の目標を実装するために、IoT Hub とデバイスまたはネットワーク資産間の接続を制御することができます。You may use these IP address prefixes to control connectivity between IoT Hub and your devices or network assets in order to implement a variety of network isolation goals:

目標Goal 該当するシナリオApplicable scenarios アプローチApproach
デバイスとサービスが IoT Hub エンドポイントのみと通信するようにするEnsure your devices and services communicate with IoT Hub endpoints only Device-to-cloud、および cloud-to-device メッセージング、ダイレクト メソッドデバイスとモジュールのツイン および デバイス ストリームDevice-to-cloud, and cloud-to-device messaging, direct methods, device and module twins and device streams AzureIoTHub および EventHub サービス タグを使用して IoT Hub およびイベント ハブの IP アドレス プレフィックスを検出し、それに応じて、デバイスとサービスのファイアウォール設定の許可規則を構成します。デバイスやサービスが通信する必要のない他の宛先 IP アドレスにトラフィックをドロップします。Use AzureIoTHub and EventHub service tags to discover IoT Hub, and Event Hub IP address prefixes and configure ALLOW rules on your devices' and services' firewall setting for those IP address prefixes accordingly; drop traffic to other destination IP addresses you do not want the devices or services to communicate with.
IoT Hub デバイスのエンドポイントが、使用しているデバイスとネットワーク資産からのみ接続を受信するようにするEnsure your IoT Hub device endpoint receives connections only from your devices and network assets Device-to-cloud、および cloud-to-device メッセージング、ダイレクト メソッドデバイスとモジュールのツイン および デバイス ストリームDevice-to-cloud, and cloud-to-device messaging, direct methods, device and module twins and device streams 使用しているデバイスとネットワーク資産の IP アドレスからの接続を許可するには、IoT Hub IP フィルター機能 を使用します (制限事項に関するセクションを参照してください)。Use IoT Hub IP filter feature to allow connections from your devices and network asset IP addresses (see limitations section).
ルートのカスタム エンドポイント リソース (ストレージ アカウント、Service Bus、およびイベント ハブ) がネットワーク資産からのみアクセス可能であることを確認するEnsure your routes' custom endpoint resources (storage accounts, service bus and event hubs) are reachable from your network assets only メッセージ ルーティングMessage routing 接続の制限に関するリソースのガイダンスに従います (たとえば、ファイアウォール規則プライベート リンクサービス エンドポイント 経由など)。AzureIoTHub サービス タグを使用して IoT Hub IP アドレス プレフィックスを検出し、リソースのファイアウォール構成の IP プレフィックスに対して許可規則を追加します (制限事項に関するセクションを参照してください)。Follow your resource's guidance on restrict connectivity (for example via firewall rules, private links, or service endpoints); use AzureIoTHub service tags to discover IoT Hub IP address prefixes and add ALLOW rules for those IP prefixes on your resource's firewall configuration (see limitations section).

ベスト プラクティスBest practices

  • デバイスのファイアウォール構成で許可規則を追加する場合、適用されるプロトコルで使用される特定のポートを指定することをお勧めします。When adding ALLOW rules in your devices' firewall configuration, it is best to provide specific ports used by applicable protocols.

  • IoT ハブの IP アドレス プレフィックスは変更されることがあります。The IP address prefixes of IoT hub are subject to change. これらの変更は、有効になる前に、サービス タグ経由で定期的に発行されます。These changes are published periodically via service tags before taking effect. そのため、最新のサービス タグを定期的に取得して使用するためのプロセスを開発することが重要です。It is therefore important that you develop processes to regularly retrieve and use the latest service tags. このプロセスは、Service Tag Discovery API 経由で自動化できます。This process can be automated via the service tags discovery API. Service Tag Discovery API はまだプレビュー段階であり、場合によってはタグと IP アドレスの完全な一覧が生成されないことがあります。Note that Service tags discovery API is still in preview and in some cases may not produce the full list of tags and IP addresses. Discovery API が一般提供されるまでは、ダウンロード可能な JSON 形式で サービス タグを使用することを検討してください。Until discovery API is generally available, consider using the service tags in downloadable JSON format.

  • 特定のリージョン内の IoT Hub エンドポイントによって使用される IP プレフィックスを識別するには、AzureIoTHub.[リージョン名] タグを使用します。Use the AzureIoTHub.[region name] tag to identify IP prefixes used by IoT hub endpoints in a specific region. データセンターのディザスター リカバリーまたはリージョン内フェールオーバーに対処するには、IoT Hub の geo ペア リージョンの IP プレフィックスへの接続も有効になっていることを確認してください。To account for datacenter disaster recovery, or regional failover ensure connectivity to IP prefixes of your IoT Hub's geo-pair region is also enabled.

  • IoT Hub でファイアウォール ルールを設定すると、IoT Hub に対して Azure CLI および PowerShell コマンドを実行するために必要な接続がブロックされる可能性があります。Setting up firewall rules in IoT Hub may block off connectivity needed to run Azure CLI and PowerShell commands against your IoT Hub. これを回避するには、クライアントの IP アドレスのプレフィックスに ALLOW ルールを追加し、CLI または PowerShell クライアントが再び IoT Hub と通信できるようにします。To avoid this, you can add ALLOW rules for your clients' IP address prefixes to re-enable CLI or PowerShell clients to communicate with your IoT Hub.

制限事項と回避策Limitations and workarounds

  • IoT Hub IP フィルター機能では、規則の数は 10 個に制限されています。IoT Hub IP filter feature has a limit of 10 rules. この上限は、Azure カスタマー サポートへリクエストすることで上げることができます。This limit and can be raised via requests through Azure Customer Support.

  • 構成済みの IP フィルタリング規則 は、IoT Hub の組み込みイベント ハブ エンドポイントではなく、IoT Hub IP エンドポイントにのみ適用されます。Your configured IP filtering rules are only applied on your IoT Hub IP endpoints and not on your IoT hub's built-in Event Hub endpoint. また、メッセージが格納されているイベント ハブに IP フィルターを適用する必要がある場合は、独自のイベント ハブ リソースを使用して、目的の IP フィルタリング規則を直接構成することもできます。If you also require IP filtering to be applied on the Event Hub where your messages are stored, you may do so bringing your own Event Hub resource where you can configure your desired IP filtering rules directly. これを行うには、独自のイベント ハブ リソースをプロビジョニングし、メッセージ ルーティング を設定して、IoT Hub の組み込みイベント ハブの代わりにメッセージをそのリソースに送信する必要があります。To do so, you need to provision your own Event Hub resource and set up message routing to send your messages to that resource instead of your IoT Hub's built-in Event Hub. 最後に、上の表で説明したように、メッセージ ルーティング機能を有効にするには、IoT Hub の IP アドレス プレフィックスからプロビジョニング済みのイベント ハブリソースへの接続を許可する必要もあります。Finally, as discussed in the table above, to enable message routing functionality you also need to allow connectivity from IoT Hub's IP address prefixes to your provisioned Event Hub resource.

  • ストレージ アカウントにルーティングする場合、IoT Hub の IP アドレス プレフィックスからのトラフィックを許可できるのは、ストレージ アカウントが IoT Hub とは異なるリージョンにある場合のみです。When routing to a storage account, allowing traffic from IoT Hub's IP address prefixes is only possible when the storage account is in a different region as your IoT Hub.

IPv6 のサポートSupport for IPv6

現在、IPv6 は IoT Hub ではサポートされていません。IPv6 is currently not supported on IoT Hub.