Indirizzi IP del servizio Device Provisioning
I prefissi degli indirizzi IP per gli endpoint pubblici di un servizio Device Provisioning in hub IoT (DPS) vengono pubblicati periodicamente in AzureIoTHub come tag del servizio. È possibile usare i prefissi degli indirizzi IP per controllare la connettività tra un'istanza del servizio Device Provisioning in hub IoT e i dispositivi o gli asset di rete per implementare una gamma di obiettivi di isolamento rete:
| Obiettivo | Approccio |
|---|---|
| Assicurarsi che i dispositivi e i servizi comunichino solo con gli endpoint del servizio Device Provisioning | Usare il tag del servizio AzureIoTHub per individuare le istanze del servizio Device Provisioning. Configurare le regole ALLOW nell'impostazione del firewall dei dispositivi e dei servizi per i prefissi degli indirizzi IP di conseguenza. Configurare le regole per eliminare il traffico verso altri indirizzi IP di destinazione con cui non si vuole che i dispositivi o i servizi comunichino. |
| Assicurarsi che l'endpoint del servizio Device Provisioning riceva le connessioni solo dai dispositivi e dagli asset di rete | Usare la funzionalità del filtro IP del servizio Device Provisioning in hub IoT per creare regole di filtro per il dispositivo e le API del servizio Device Provisioning. Queste regole di filtro possono essere usate per consentire le connessioni solo dai dispositivi e dagli indirizzi IP degli asset di rete. Vedere la sezione Limitazioni. |
Procedure consigliate
Quando si aggiungono le regole ALLOW nella configurazione del firewall dei dispositivi, è preferibile impostare porte specifiche usate dai protocolli applicabili.
I prefissi degli indirizzi IP delle istanze del Device Provisioning in hub IoT sono soggetti a modifiche. Queste modifiche vengono pubblicate periodicamente tramite i tag di servizio prima di diventare effettive. Per questa ragione è importante sviluppare processi per recuperare e usare regolarmente i tag di servizio più recenti. Questo processo può essere automatizzato tramite l'API di individuazione dei tag di servizio. L'API di individuazione dei tag di servizio è ancora in anteprima e in alcuni casi potrebbe non produrre l'elenco completo di tag e indirizzi IP. Fino a quando l'API di individuazione non è disponibile a livello generale, è consigliabile usare i tag del servizio in formato JSON scaricabile.
Usare il tag AzureIoTHub.[nome area] per identificare i prefissi IP usati dagli endpoint del servizio Device Provisioning in un'area specifica. Per tenere conto dei ripristini di emergenza del data center o dei failover a livello di area, assicurarsi che sia abilitata anche la connettività ai prefissi IP dell'area geografica corrispondente dell'istanza del servizio Device Provisioning.
La configurazione delle regole del firewall per un'istanza del servizio Device Provisioning può impedire la connettività necessaria per eseguire l'interfaccia della riga di comando di Azure e i comandi PowerShell in tale istanza. Per evitare questi problemi di connettività, è possibile aggiungere le regole ALLOW per i prefissi degli indirizzi IP dei client per riabilitare l'interfaccia della riga di comando o i client PowerShell per la comunicazione con l'istanza del servizio Device Provisioning.
Limitazioni e soluzioni alternative
La funzionalità di filtro IP del servizio Device Provisioning ha un limite di 100 regole.
Le regole di filtro IP configurate vengono applicate solo agli endpoint del servizio Device Provisioning e non agli endpoint dell'hub IoT collegati. Il filtro IP per gli hub IoT collegati deve essere configurato separatamente. Per altre informazioni, vedere Regole di filtro IP dell'hub IoT.
Supporto per IPv6
IPv6 non è attualmente supportato nell'hub IoT o nel servizio Device Provisioning.
Passaggi successivi
Per altre informazioni sulle configurazioni degli indirizzi IP con il servizio Device Provisioning, vedere: