IP-adressen IoT Hub
De IP-adresvoorvoegsels van IoT Hub openbare eindpunten worden periodiek gepubliceerd onder de servicetag AzureIoTHub.
Notitie
Voor apparaten die zijn geïmplementeerd in on-premises netwerken, ondersteunt Azure IoT Hub de integratie van VNET-connectiviteit met privé-eindpunten. Zie IoT Hub ondersteuning voor VNet voor meer informatie.
U kunt deze IP-adresvoorvoegsels gebruiken om de connectiviteit tussen IoT Hub en uw apparaten of netwerkassets te beheren om verschillende doelen voor netwerkisolatie te implementeren:
| Doel | Toepasselijke scenario's | Methode |
|---|---|---|
| Zorg ervoor dat uw apparaten en services alleen communiceren met IoT Hub-eindpunten | Apparaat-naar-cloud- en cloud-naar-apparaat-berichten , directe methoden, apparaat- en moduledubbels en apparaatstreams | Gebruik de servicetag AzureIoTHub om IoT Hub IP-adresvoorvoegsels te detecteren en configureer vervolgens ALLOW-regels voor de firewallinstelling van uw apparaten en services voor deze IP-adresvoorvoegsels. Verkeer naar andere DOEL-IP-adressen wordt verwijderd. |
| Zorg ervoor dat uw IoT Hub apparaateindpunt alleen verbindingen van uw apparaten en netwerkassets ontvangt | Apparaat-naar-cloud- en cloud-naar-apparaat-berichten , directe methoden, apparaat- en moduledubbels en apparaatstreams | Gebruik IoT Hub IP-filterfunctie om verbindingen vanaf uw apparaten en IP-adressen van netwerkassets toe te staan. Zie de sectie beperkingen voor meer informatie over beperkingen . |
| Zorg ervoor dat de aangepaste eindpuntresources van uw routes (opslagaccounts, Service Bus en Event Hubs) alleen bereikbaar zijn vanaf uw netwerkassets | Berichtroutering | Volg de richtlijnen van uw resource voor het beperken van de connectiviteit; bijvoorbeeld via privékoppelingen, service-eindpunten of firewallregels. Zie de sectie beperkingen voor meer informatie over firewallbeperkingen. |
Aanbevolen procedures
Het IP-adres van een IoT-hub kan zonder kennisgeving worden gewijzigd. Als u onderbrekingen wilt minimaliseren, gebruikt u waar mogelijk de hostnaam van de IoT-hub (bijvoorbeeld myhub.azure-devices.net) voor netwerk- en firewallconfiguratie.
Voor beperkte IoT-systemen zonder DNS (Domain Name Resolution) worden IoT Hub IP-adresbereiken periodiek gepubliceerd via servicetags voordat wijzigingen van kracht worden. Het is daarom belangrijk dat u processen ontwikkelt om regelmatig de nieuwste servicetags op te halen en te gebruiken. Dit proces kan worden geautomatiseerd via de detectie-API voor servicetags of door servicetags in downloadbare JSON-indeling te controleren.
Gebruik de AzureIoTHub.[ region name] tag om IP-voorvoegsels te identificeren die worden gebruikt door IoT Hub eindpunten in een specifieke regio. Zorg ervoor dat connectiviteit met IP-voorvoegsels van de geo-pairregio van uw IoT-hub ook is ingeschakeld om rekening te houden met herstel na noodgevallen of regionale failover van het datacenter.
Het instellen van firewallregels in IoT Hub kan de connectiviteit blokkeren die nodig is om Azure CLI- en PowerShell-opdrachten uit te voeren op uw IoT Hub. Om dit te voorkomen, kunt u ALLOW-regels toevoegen voor de IP-adresvoorvoegsels van uw clients om CLI- of PowerShell-clients opnieuw in te schakelen om te communiceren met uw IoT Hub.
Wanneer u ALLOW-regels toevoegt aan de firewallconfiguratie van uw apparaten, kunt u het beste specifieke poorten opgeven die worden gebruikt door toepasselijke protocollen.
Beperkingen en tijdelijke oplossingen
IoT Hub IP-filterfunctie heeft een limiet van 100 regels. Deze limiet kan worden verhoogd via aanvragen via azure-klantondersteuning.
Standaard worden uw geconfigureerde IP-filterregels alleen toegepast op uw IoT Hub IP-eindpunten en niet op het ingebouwde Event Hub-eindpunt van uw IoT-hub. Als u ook wilt dat IP-filtering wordt toegepast op de Event Hub waar uw berichten zijn opgeslagen, kunt u de optie IP-filters toepassen op het ingebouwde eindpunt selecteren in de IoT Hub Netwerkinstellingen. U kunt hetzelfde doen met behulp van uw eigen Event Hubs-resource, waar u de gewenste IP-filterregels rechtstreeks kunt configureren. In dit geval moet u uw eigen Event Hubs-resource inrichten en berichtroutering instellen om uw berichten naar die resource te verzenden in plaats van de ingebouwde Event Hub van uw IoT Hub.
IoT Hub-servicetags bevatten alleen IP-bereiken voor binnenkomende verbindingen. Als u de firewalltoegang op andere Azure-services wilt beperken tot gegevens die afkomstig zijn van IoT Hub Berichtroutering, kiest u de juiste optie Vertrouwde Microsoft-services toestaan voor uw service, bijvoorbeeld Event Hubs, Service Bus, Azure Storage.
Ondersteuning voor IPv6
IPv6 wordt momenteel niet ondersteund op IoT Hub.