IoT Hub IP-adressen
De IP-adres voorvoegsels IoT Hub openbare eindpunten worden periodiek gepubliceerd onder de AzureIoTHub-servicetag.
Notitie
Voor apparaten die in on-premises netwerken zijn geïmplementeerd, ondersteunt Azure IoT Hub VNET-connectiviteitsintegratie met privé-eindpunten. Zie IoT Hub ondersteuning voor VNet voor meer informatie.
U kunt deze IP-adres voorvoegsels gebruiken om de connectiviteit tussen IoT Hub en uw apparaten of netwerkactiva te beheren om verschillende doelen voor netwerkisolatie te implementeren:
| Doel | Toepasselijke scenario's | Methode |
|---|---|---|
| Zorg ervoor dat uw apparaten en services communiceren met IoT Hub eindpunten | Apparaat-naar-cloud-en cloud-naar-apparaat-berichten, directe methoden,apparaat- en module-tweelingen en apparaatstreams | Gebruik AzureIoTHub- en EventHub-servicetags om IoT Hub en EVENT Hub IP-adres voorvoegsels te ontdekken en configureer de firewallinstelling ALLOW-regels op de firewall-instelling van uw apparaten en services voor die IP-adres voorvoegsels; zet verkeer neer op andere doel-IP-adressen met wie u niet wilt dat de apparaten of services communiceren. |
| Zorg ervoor IoT Hub dat het apparaat-eindpunt alleen verbindingen ontvangt van uw apparaten en netwerkactiva | Apparaat-naar-cloud-en cloud-naar-apparaat-berichten, directe methoden,apparaat- en module-tweelingen en apparaatstreams | Gebruik IoT Hub IP-filterfunctie om verbindingen vanaf uw apparaten en IP-adressen van netwerkactiva toe te staan (zie de sectie Beperkingen). |
| Zorg ervoor dat de aangepaste eindpuntresources van uw routes (opslagaccounts, Service Bus en Event Hubs) alleen bereikbaar zijn vanaf uw netwerkactiva | Berichtroutering | Volg de richtlijnen van uw resource voor het beperken van connectiviteit (bijvoorbeeld via firewallregels, privékoppelingenof service-eindpunten); Gebruik AzureIoTHub-servicetags om IoT Hub IP-adres voorvoegsels te ontdekken en ALLOW-regels toe te voegen voor deze IP-voorvoegsels in de firewallconfiguratie van uw resource (zie de sectie beperkingen). |
Aanbevolen procedures
Het IP-adres van een IoT-hub kan zonder kennisgeving worden gewijzigd. Als u onderbrekingen wilt minimaliseren, gebruikt u waar mogelijk de hostnaam van de IoT-hub (bijvoorbeeld myhub.azure-devices.net) voor netwerk- en firewallconfiguratie.
Voor beperkte IoT-systemen zonder DNS (Domain Name Resolution) worden IoT Hub IP-adresbereiken periodiek gepubliceerd via servicetags voordat wijzigingen van kracht worden. Het is daarom belangrijk dat u processen ontwikkelt om regelmatig de nieuwste servicetags op te halen en te gebruiken. Dit proces kan worden geautomatiseerd via de detectie-API voor servicetags. Houd er rekening mee dat de detectie-API voor servicetags nog steeds in preview is en dat in sommige gevallen niet de volledige lijst met tags en IP-adressen wordt geproduceerd. Overweeg de servicetags in downloadbare JSON-indeling te gebruiken totdat de detectie-API algemeen beschikbaar is.
Gebruik AzureIoTHub.[ regionaam] om IP-voorvoegsels te identificeren die worden gebruikt door IoT-hub-eindpunten in een specifieke regio. Zorg er ook voor dat connectiviteit met IP-voorvoegsels van de geopaarregio van uw IoT Hub is ingeschakeld om rekening te houden met herstel na noodherstel van datacenters of regionale failover.
Het instellen van firewallregels in IoT Hub mogelijk de connectiviteit die nodig is om Azure CLI- en PowerShell-opdrachten uit te voeren op uw IoT Hub. U kunt dit voorkomen door REGELS VOOR TOESTAAN toe te voegen voor de IP-adres voorvoegsels van uw clients, zodat CLI- of PowerShell-clients opnieuw kunnen communiceren met uw IoT Hub.
Wanneer u ALLOW-regels toevoegt aan de firewallconfiguratie van uw apparaten, kunt u het beste specifieke poorten bieden die worden gebruikt door toepasselijke protocollen.
Beperkingen en tijdelijke oplossingen
IoT Hub IP-filterfunctie heeft een limiet van 100 regels. Deze limiet en kunnen worden verhoogd via aanvragen via de klantondersteuning van Azure.
Uw geconfigureerde IP-filterregels worden alleen toegepast op uw IoT Hub IP-eindpunten en niet op het ingebouwde Event Hub-eindpunt van uw IoT-hub. Als u ook vereist dat IP-filtering wordt toegepast op de Event Hub waar uw berichten worden opgeslagen, kunt u dit doen door uw eigen Event Hub-resource te gebruiken, waar u de gewenste IP-filterregels rechtstreeks kunt configureren. Om dit te doen, moet u uw eigen Event Hub-resource inrichten en berichtroutering instellen om uw berichten naar die resource te verzenden in plaats van de ingebouwde Event Hub van uw IoT Hub. Ten slotte, zoals beschreven in de bovenstaande tabel, moet u, om de functionaliteit voor berichtroutering in te schakelen, ook connectiviteit toestaan vanuit de IP-adres voorvoegsels van IoT Hub naar uw inrichtende Event Hub-resource.
Bij routering naar een opslagaccount is het toestaan van verkeer van ip-adres voorvoegsels van IoT Hub alleen mogelijk wanneer het opslagaccount zich in een andere regio dan uw IoT Hub.
Ondersteuning voor IPv6
IPv6 wordt momenteel niet ondersteund op IoT Hub.