Eszközkiépítési szolgáltatás IP-címei
Az IoT Hub Device Provisioning Service (DPS) nyilvános végpontjaihoz tartozó IP-címelőtagok rendszeres időközönként megjelennek az AzureIoTHub szolgáltatáscímkéje alatt. Ezeket az IP-címelőtagokat használhatja az IoT DPS-példányok és az eszközök vagy hálózati eszközök közötti kapcsolat szabályozására különböző hálózati elkülönítési célok megvalósítására:
| Cél | Módszer |
|---|---|
| Győződjön meg arról, hogy eszközei és szolgáltatásai csak a DPS-végpontokkal kommunikálnak | Az AzureIoTHub szolgáltatáscímkéje segítségével felderítheti a DPS-példányokat. Ennek megfelelően konfigurálja az eszközök és szolgáltatások tűzfalbeállításának ALLOW-szabályait az ip-címelőtagokhoz. Konfiguráljon olyan szabályokat, amelyekkel más cél IP-címekre irányíthatja a forgalmat, amelyekkel nem szeretné, hogy az eszközök vagy szolgáltatások kommunikáljanak. |
| Győződjön meg arról, hogy a DPS-végpont csak az eszközökről és a hálózati eszközökről fogad kapcsolatokat | Az IoT DPS IP-szűrési funkciójával szűrőszabályokat hozhat létre az eszköz és a DPS szolgáltatás API-jai számára. Ezek a szűrőszabályok csak az eszközök és a hálózati eszközök IP-címei közötti kapcsolatok engedélyezésére használhatók (lásd a korlátozások szakaszt ). |
Ajánlott eljárások
Amikor engedélyezési szabályokat ad hozzá az eszközök tűzfalkonfigurációjához, a legjobb, ha az alkalmazandó protokollok által használt portokat adja meg.
Az IoT DPS-példányok IP-címelőtagjai változhatnak. Ezeket a módosításokat a módosítások érvénybe léptetése előtt rendszeresen közzéteszik szolgáltatáscímkéken keresztül. Ezért fontos, hogy olyan folyamatokat dolgozzon ki, amelyek rendszeresen lekérik és használják a legújabb szolgáltatáscímkéket. Ez a folyamat a szolgáltatáscímkék felderítési API-jának használatával automatizálható. A Szolgáltatáscímkék felderítési API még előzetes verzióban érhető el, és bizonyos esetekben előfordulhat, hogy nem hozza létre a címkék és IP-címek teljes listáját. Amíg a discovery API általánosan el nem érhető, fontolja meg a szolgáltatáscímkék letölthető JSON-formátumban való használatát.
Használja az AzureIoTHubot.[ régiónév] címke egy adott régió DPS-végpontjai által használt IP-előtagok azonosításához. Az adatközpont vészhelyreállításának vagy regionális feladatátvételének figyelembevétele érdekében győződjön meg arról, hogy a DPS-példány geopárrégiójának IP-előtagjaihoz való kapcsolódás is engedélyezve van.
A DPS-példány tűzfalszabályainak beállítása blokkolhatja az Azure CLI- és PowerShell-parancsok futtatásához szükséges kapcsolatot. A csatlakozási problémák elkerülése érdekében hozzáadhat engedélyezési szabályokat az ügyfelek IP-címelőtagjaihoz, hogy újra engedélyezze a parancssori felület vagy a PowerShell-ügyfelek számára a DPS-példánysal való kommunikációt.
Korlátozások és kerülő megoldások
A DPS IP-szűrő funkciójának korlátja 100 szabály.
A konfigurált IP-szűrési szabályok csak a DPS-végpontokra vonatkoznak, a csatolt IoT Hub-végpontokra nem. A csatolt IoT Hubok IP-szűrését külön kell konfigurálni. További információ: IoT Hub IP-szűrési szabályok.
Az IPv6 támogatása
Az IPv6 jelenleg nem támogatott az IoT Hubon vagy a DPS-en.
Következő lépések
Az IP-címkonfigurációkkal kapcsolatos további információkért lásd: