IoT Hub IP-adresser
IP-adressprefixen för IoT Hub offentliga slutpunkter publiceras regelbundet under tjänsttaggen AzureIoTHub.
Anteckning
För enheter som distribueras i lokala nätverk stöder Azure IoT Hub VNET-anslutningsintegrering med privata slutpunkter. Mer IoT Hub finns i IoT Hub för VNet.
Du kan använda dessa IP-adressprefix för att styra anslutningen mellan IoT Hub och dina enheter eller nätverkstillgångar för att implementera en mängd olika mål för nätverksisolering:
| Mål | Tillämpliga scenarier | Metod |
|---|---|---|
| Se till att dina enheter och tjänster endast kommunicerar IoT Hub slutpunkter | Enhet-till-moln,och meddelanden från moln till enhet, direktmetoder, enhets- och modultvilling och enhetsströmmar | Använd AzureIoTHub- och EventHub-tjänsttaggar för att identifiera IoT Hub- och Händelsehubbens IP-adressprefix och konfigurera TILLÅT-regler för dina enheters och tjänsters brandväggsinställningar för dessa IP-adressprefix. släpp trafik till andra mål-IP-adresser som du inte vill att enheterna eller tjänsterna ska kommunicera med. |
| Se till IoT Hub enhetens slutpunkt endast tar emot anslutningar från dina enheter och nätverkstillgångar | Enhet-till-moln,och meddelanden från moln till enhet, direktmetoder, enhets- och modultvilling och enhetsströmmar | Använd IoT Hub IP-filterfunktion för att tillåta anslutningar från dina enheter och IP-adresser för nätverkstillgång (se avsnittet om begränsningar). |
| Se till att vägarnas anpassade slutpunktsresurser (lagringskonton, Service Bus och händelsehubbar) endast kan nås från dina nätverkstillgångar | Meddelanderoutning | Följ resursens riktlinjer för att begränsa anslutningen (till exempel via brandväggsregler, privata länkareller tjänstslutpunkter); använd AzureIoTHub-tjänsttaggar för att identifiera IoT Hub IP-adressprefix och lägga till ALLOW-regler för dessa IP-prefix i resursens brandväggskonfiguration (se avsnittet om begränsningar). |
Bästa praxis
IP-adressen för en IoT-hubb kan ändras utan föregående meddelande. Om du vill minimera störningar använder du IoT Hub-värdnamnet (till exempel myhub.azure-devices.net) för nätverks- och brandväggskonfiguration när det är möjligt.
För begränsade IoT-system utan DNS (domain name resolution) IoT Hub IP-adressintervall regelbundet via tjänsttaggar innan ändringarna börjar gälla. Därför är det viktigt att du utvecklar processer för att regelbundet hämta och använda de senaste tjänsttaggarna. Den här processen kan automatiseras via identifierings-API:et för tjänsttaggar. Observera att API:et för identifiering av tjänsttaggar fortfarande är i förhandsversion och i vissa fall kanske inte skapar en fullständig lista över taggar och IP-adresser. Tills identifierings-API:et är allmänt tillgängligt bör du överväga att använda tjänsttaggarna i nedladdningsbart JSON-format.
Använd AzureIoTHub.[ regionnamn] för att identifiera IP-prefix som används av IoT Hub-slutpunkter i en specifik region. För att ta hänsyn till haveriberedskap för datacenter eller regional redundans ser du till att anslutningen till IP-prefixen för IoT Hub-regionens geo-par också är aktiverad.
Att konfigurera brandväggsregler i IoT Hub kan blockera anslutningen som krävs för att köra Azure CLI och PowerShell-kommandon mot IoT Hub. För att undvika detta kan du lägga till TILLÅT-regler för klienters IP-adressprefix för att återaktivera CLI eller PowerShell-klienter för att kommunicera IoT Hub.
När du lägger till TILLÅT-regler i enheternas brandväggskonfiguration är det bäst att ange specifika portar som används av tillämpliga protokoll.
Begränsningar och lösningar
IoT Hub IP-filterfunktionen har en gräns på 100 regler. Den här gränsen kan höjas via begäranden via Azures kundsupport.
De konfigurerade IP-filtreringsreglerna tillämpas endast på dina IP-IoT Hub-slutpunkter och inte på din IoT-hubbs inbyggda Event Hub-slutpunkt. Om du även kräver att IP-filtrering tillämpas på händelsehubben där dina meddelanden lagras kan du göra det genom att ta med din egen Event Hub-resurs där du kan konfigurera dina önskade IP-filtreringsregler direkt. För att göra det måste du etablera en egen händelsehubbresurs och konfigurera meddelanderoutning för att skicka meddelanden till den resursen i stället för din IoT Hub inbyggda händelsehubb. Slutligen, som beskrivs i tabellen ovan, måste du även tillåta anslutning från IP-adressprefix för IoT Hub till din etablerade Event Hub-resurs för att aktivera funktioner för meddelanderoutning.
Vid routning till ett lagringskonto är det endast möjligt att tillåta trafik från IoT Hub:s IP-adressprefix när lagringskontot finns i en annan region än IoT Hub.
Stöd för IPv6
IPv6 stöds för närvarande inte på IoT Hub.