IP adresy služby Device Provisioning
Předpony IP adres pro veřejné koncové body služby IoT Hub Device Provisioning Service (DPS) se pravidelně publikují pod značkou služby AzureIoTHub. Tyto předpony IP adres můžete použít k řízení připojení mezi instancí IoT DPS a zařízeními nebo síťovými prostředky k implementaci různých cílů izolace sítě:
Goal | Přístup |
---|---|
Zajistěte, aby vaše zařízení a služby komunikují jenom s koncovými body DPS. | Ke zjišťování instancí DPS použijte značku služby AzureIoTHub. Nakonfigurujte pravidla ALLOW v nastavení brány firewall vašich zařízení a služeb pro tyto předpony IP adres odpovídajícím způsobem. Nakonfigurujte pravidla tak, aby zahazování provozu do jiných cílových IP adres, se kterými nechcete, aby zařízení nebo služby komunikovali. |
Ujistěte se, že koncový bod DPS přijímá připojení jenom z vašich zařízení a síťových prostředků. | Pomocí funkce filtru IP adres služby IoT DPS můžete vytvořit pravidla filtrování pro rozhraní API služby a zařízení a DPS. Tato pravidla filtru se dají použít k povolení připojení jenom z vašich zařízení a IP adres síťových prostředků (viz část Omezení ). |
Osvědčené postupy
Při přidávání pravidel ALLOW do konfigurace brány firewall zařízení je nejlepší poskytnout konkrétní porty používané příslušnými protokoly.
Předpony IP adres instancí IoT DPS se můžou změnit. Tyto změny se publikují pravidelně prostřednictvím značek služeb, než se projeví. Proto je důležité vyvíjet procesy, které pravidelně načítají a používají nejnovější značky služeb. Tento proces je možné automatizovat prostřednictvím rozhraní API pro zjišťování značek služeb. Rozhraní API pro zjišťování značek služeb je stále ve verzi Preview a v některých případech nemusí vytvořit úplný seznam značek a IP adres. Dokud nebude rozhraní API zjišťování obecně dostupné, zvažte použití značek služeb ve formátu JSON ke stažení.
Použijte AzureIoTHub.[ značka název oblasti] k identifikaci předpon IP adres používaných koncovými body DPS v konkrétní oblasti. Pokud chcete počítat s zotavením po havárii datacentra nebo regionálním převzetím služeb při selhání, ujistěte se, že je povolené také připojení k předponám IP adres geograficky spárované oblasti vaší instance DPS.
Nastavení pravidel brány firewall pro instanci DPS může blokovat připojení potřebné ke spouštění příkazů Azure CLI a PowerShellu. Abyste se těmto problémům s připojením vyhnuli, můžete přidat pravidla ALLOW pro předpony IP adres klientů, abyste mohli znovu povolit rozhraní příkazového řádku nebo klienty PowerShellu pro komunikaci s vaší instancí DPS.
Omezení a zástupná řešení
Funkce filtru IP adres SLUŽBY DPS má limit 100 pravidel.
Nakonfigurovaná pravidla filtrování IP adres se použijí jenom na koncové body DPS, a ne na propojené koncové body IoT Hubu. Filtrování IP adres pro propojené ioT Huby musí být nakonfigurované samostatně. Další informace najdete v pravidlech filtrování IP adres služby IoT Hub.
Podpora protokolu IPv6
Protokol IPv6 se v současné době nepodporuje ve službě IoT Hub nebo DPS.
Další kroky
Další informace o konfiguracích IP adres pomocí DPS najdete tady: