Endereços IP do Hub IoT
Os prefixos de endereço IP dos pontos de extremidade públicos do Hub IoT são publicados periodicamente sob a marca de serviço AzureIoTHub.
Nota
Para dispositivos implantados dentro de redes locais, o Hub IoT do Azure oferece suporte à integração de conectividade VNET com pontos de extremidade privados. Para obter mais informações, consulte Suporte do Hub IoT para VNet.
Você pode usar esses prefixos de endereço IP para controlar a conectividade entre o Hub IoT e seus dispositivos ou ativos de rede para implementar uma variedade de metas de isolamento de rede:
| Goal | Cenários aplicáveis | Abordagem |
|---|---|---|
| Garantir que seus dispositivos e serviços se comuniquem apenas com pontos de extremidade do Hub IoT | Mensagens de dispositivo para nuvem e de nuvem para dispositivo , métodos diretos, gêmeos de dispositivo e módulo e fluxos de dispositivos | Use a marca de serviço AzureIoTHub para descobrir prefixos de endereço IP do Hub IoT e, em seguida, configure regras ALLOW na configuração de firewall de seus dispositivos e serviços para esses prefixos de endereço IP. O tráfego para outros endereços IP de destino será descartado. |
| Certifique-se de que seu ponto de extremidade de dispositivo do Hub IoT receba conexões somente de seus dispositivos e ativos de rede | Mensagens de dispositivo para nuvem e de nuvem para dispositivo, métodos diretos, gêmeos de dispositivo e módulo e fluxos de dispositivos | Use o recurso de filtro IP do Hub IoT para permitir conexões de seus dispositivos e endereços IP de ativos de rede. Para obter detalhes sobre restrições, consulte a seção de limitações . |
| Certifique-se de que os recursos de ponto de extremidade personalizados de suas rotas (contas de armazenamento, barramento de serviço e hubs de eventos) estejam acessíveis apenas a partir de seus ativos de rede | Encaminhamento de mensagens | Siga as orientações do seu recurso sobre como restringir a conectividade; por exemplo, através de links privados, pontos de extremidade de serviço ou regras de firewall. Para obter detalhes sobre restrições de firewall, consulte a seção de limitações . |
Melhores práticas
O endereço IP de um hub IoT está sujeito a alterações sem aviso prévio. Para minimizar a interrupção, use o nome do host do hub IoT (por exemplo, myhub.azure-devices.net) para configuração de rede e firewall sempre que possível.
Para sistemas IoT restritos sem resolução de nome de domínio (DNS), os intervalos de endereços IP do Hub IoT são publicados periodicamente por meio de tags de serviço antes que as alterações entrem em vigor. Portanto, é importante que você desenvolva processos para recuperar e usar regularmente as tags de serviço mais recentes. Esse processo pode ser automatizado por meio da API de descoberta de tags de serviço ou da revisão de tags de serviço no formato JSON para download.
Use o AzureIoTHub.[ region name] para identificar prefixos IP usados por pontos de extremidade do Hub IoT em uma região específica. Para levar em conta a recuperação de desastres do datacenter ou o failover regional, verifique se a conectividade com prefixos IP da região de pares geográficos do hub IoT também está habilitada.
A configuração de regras de firewall no Hub IoT pode bloquear a conectividade necessária para executar comandos da CLI do Azure e do PowerShell no seu Hub IoT. Para evitar isso, você pode adicionar regras ALLOW para os prefixos de endereço IP de seus clientes para rehabilitar os clientes CLI ou PowerShell para se comunicar com seu Hub IoT.
Ao adicionar regras ALLOW na configuração de firewall dos seus dispositivos, é melhor fornecer portas específicas usadas pelos protocolos aplicáveis.
Limitações e soluções alternativas
O recurso de filtro IP do Hub IoT tem um limite de 100 regras. Este limite pode ser aumentado através de pedidos através do Suporte ao Cliente do Azure.
Por padrão, as regras de filtragem de IP configuradas são aplicadas apenas nos pontos de extremidade IP do Hub IoT e não no ponto de extremidade interno do hub IoT. Se você também exigir que a filtragem IP seja aplicada no hub de eventos onde suas mensagens são armazenadas, selecione a opção "Aplicar filtros IP ao ponto de extremidade interno" nas configurações de Rede do Hub IoT. Você pode fazer a mesma coisa usando seu próprio recurso de Hubs de Eventos, onde você pode configurar suas regras de filtragem de IP desejadas diretamente. Nesse caso, você precisa provisionar seu próprio recurso de Hubs de Eventos e configurar o roteamento de mensagens para enviar suas mensagens para esse recurso em vez do hub de eventos interno do Hub IoT.
As Tags de Serviço do Hub IoT contêm apenas intervalos de IP para conexões de entrada. Para limitar o acesso ao firewall em outros serviços do Azure a dados provenientes do Roteamento de Mensagens do Hub IoT, escolha a opção apropriada "Permitir Serviços Microsoft Confiáveis" para seu serviço; por exemplo, Hubs de Eventos, Service Bus, Armazenamento do Azure.
Suporte para IPv6
Atualmente, o IPv6 não é suportado no Hub IoT.