Aracılığıyla paylaş


IP filtrelerini kullanma

Güvenlik, Azure IoT Hub'ı temel alan tüm IoT çözümlerinin önemli bir yönüdür. Bazen güvenlik yapılandırmanız kapsamında cihazların hangi IP adreslerinden bağlanabileceğini açıkça belirtmeniz gerekir. IP filtresi özelliği, belirli IPv4 adreslerinden gelen trafiği reddetme veya kabul etme kurallarını yapılandırmanızı sağlar.

ne zaman kullanılmalı

Yalnızca belirli bir IP adresi aralığından trafik almak ve diğer her şeyi reddetmek için IP filtresini kullanın. Örneğin, IoT hub'ınız ile şirket içi altyapınız arasında özel bağlantılar oluşturmak için Azure Express Route ile IoT hub'ınızı kullanıyorsunuz.

Varsayılan ayar

IoT hub'ınızın IP Filtresi ayarları sayfasına ulaşmak için Güvenlik ayarları>>Genel erişimi'ni ve ardından Seçili IP Aralıkları'nı seçin:

Varsayılan IP filtresi ayarlarının nasıl yapıldığını gösteren ekran görüntüsü.

Varsayılan olarak, bir IoT hub'ına yönelik portaldaki IP Filtresi kılavuzu boş olur. Bu varsayılan ayar, hub'ınızın tüm IP adreslerinden gelen bağlantıları engellediğini gösterir. Bu varsayılan ayar, IP adresi aralığını engelleyen bir kurala 0.0.0.0/0 eşdeğerdir.

IP filtresi kuralını ekleme veya düzenleme

IP filtresi kuralı eklemek için IP Filtresi Kuralı Ekle'yi seçin. Bilgisayarınızın IP adresini hızla eklemek için İstemci IP adresinizi ekleyin'i seçin.

IoT hub'ına IP filtresi kuralı eklemeyi gösteren ekran görüntüsü.

IP Filtresi Kuralı Ekle'yi seçtikten sonra alanları doldurun. İstemci IP adresinizi eklemeyi seçtiyseniz bu alanlar sizin için önceden doldurulur.

IP filtresi kuralı ekledikten sonra yapılacakları gösteren ekran görüntüsü.

  • IP Filtresi kuralı için bir ad girin. Bu ad en fazla 128 karakter uzunluğunda benzersiz, büyük/küçük harfe duyarlı olmayan, alfasayısal bir dize olmalıdır. Yalnızca ASCII 7 bit alfasayısal karakterlerin yanı sıra aşağıdaki özel karakterler kabul edilir: - : . + % _ # * ? ! ( ) , = @ ; '.

  • Tek IPv4 adresi veya CIDR gösteriminde bir IP adresleri bloğu belirtin. Örneğin CIDR gösteriminde 192.168.100.0/22, 192.168.100.0 ile 192.168.103.255 arasındaki 1024 IPv4 adresini temsil eder.

Alanları doldurduktan sonra Kaydet'i seçerek kuralı kaydedin. Güncelleştirmenin devam ettiğini bildiren bir uyarı görürsünüz.

En fazla 100 IP filtresi kuralına ulaştığınızda Ekle seçeneği devre dışı bırakılır.

Mevcut kuralı düzenlemek için, değiştirmek istediğiniz verileri seçin, değişikliği yapın ve sonra da Kaydet'i seçerek düzenlemenizi kaydedin.

IP filtresi kuralını silme

IP filtresi kuralını silmek için, bu satırdaki çöp kutusu simgesini seçin ve ardından Kaydet'i seçin. Kural kaldırılır ve değişiklik kaydedilir.

IoT Hub IP filtresi kuralının nasıl silineceği gösteren ekran görüntüsü.

Yerleşik Event Hubs uyumlu uç noktasına IP filtresi kuralları uygulama

YERLEŞIK Event Hubs uyumlu uç noktasına IP filtresi kurallarını uygulamak için, Yerleşik uç noktaya IP filtreleri uygula mı?'nın yanındaki kutuyu işaretleyin ve Kaydet'i seçin.

Yerleşik uç noktanın geçişini gösteren ekran görüntüsü.

Not

Bu seçenek ücretsiz (F1) IoT hub'larında kullanılamaz. Yerleşik uç noktaya IP filtresi kuralları uygulamak için ücretli bir IoT hub'ı kullanın.

Bu seçenek etkinleştirildiğinde, IP filtresi kurallarınız yerleşik uç noktaya çoğaltılır, böylece yalnızca güvenilen IP aralıkları buna erişebilir.

Bu seçeneği devre dışı bırakırsanız, yerleşik uç noktaya tüm IP adresleri erişebilir. Azure Stream Analytics gibi zaman içinde değişebilen kaynak IP adreslerine sahip hizmetlerle uç noktadan okumak istiyorsanız bu davranış yararlı olabilir.

Filtre kuralları nasıl uygulanır?

IP filtresi kuralları IoT Hub hizmet düzeyinde uygulanır. Bu nedenle, IP filtresi kuralları desteklenen protokolleri kullanarak cihazlardan ve arka uç uygulamalarından gelen tüm bağlantılar için geçerlidir. Ayrıca, yerleşik Event Hubs uyumlu uç noktasının (IoT Hub bağlantı dizesi aracılığıyla değil) bu kurallara bağlı olup olmadığını seçebilirsiniz.

Açıkça izin verilmeyen bir IP adresinden yapılan tüm bağlantı girişimleri yetkisiz bir 401 durum kodu ve açıklaması alır. Yanıt iletisi IP kuralından bahsetmiyor. IP adreslerini reddetmek Azure Stream Analytics, Azure Sanal Makineler veya Azure portalındaki Cihaz Gezgini gibi diğer Azure hizmetlerinin IoT hub'ı ile etkileşim kurmasını engelleyebilir.

Not

IP filtresi etkinleştirilmiş bir IoT hub'ından gelen iletileri okumak için Azure Stream Analytics (ASA) kullanmak istiyorsanız, Yerleşik uç noktaya IP filtrelerini uygula seçeneğini devre dışı bırakın ve ardından ASA'ya event Hubs akış girişini el ile eklemek için IoT hub'ınızın olay hub'ı ile uyumlu adını ve uç noktasını kullanın.

Azure portal

Ip filtresi kuralları, Azure portalı üzerinden IoT Hub kullanılırken de uygulanır. Bunun nedeni IoT Hub hizmetine yapılan API çağrılarının, diğer Azure hizmetleriyle tutarlı olan kimlik bilgilerinizle doğrudan tarayıcınızı kullanarak yapılmasıdır. IP filtresi etkinleştirildiğinde Azure portalını kullanarak IoT Hub'a erişmek için bilgisayarınızın IP adresini izin verilenler listesine ekleyin.

Sıralama

IP filtresi kuralları izin verme kurallarıdır ve sıralama olmadan uygulanır. Yalnızca eklediğiniz IP adreslerinin IoT Hub'a bağlanmasına izin verilir.

Örneğin, aralıktaki 192.168.100.0/22 adresleri kabul etmek ve diğer her şeyi reddetmek istiyorsanız, kılavuza adres aralığına 192.168.100.0/22sahip tek bir kural eklemeniz yeterlidir.

Azure CLI kullanarak IP filtrelerini alma ve güncelleştirme

IoT hub'ınızın IP filtreleri Azure CLI aracılığıyla alınabilir ve güncelleştirilebilir.

IoT Hub'ınızın geçerli IP filtrelerini almak için şunu çalıştırın:

az resource show -n <iothubName> -g <resourceGroupName> --resource-type Microsoft.Devices/IotHubs

Bu, mevcut IP filtrelerinizin anahtarın properties.networkRuleSets altında listelendiği bir JSON nesnesi döndürür:

{
...
    "properties": {
        "networkRuleSets": {
            "defaultAction": "Deny",
            "applyToBuiltInEventHubEndpoint": true,
            "ipRules": [{
                    "filterName": "TrustedFactories",
                    "action": "Allow",
                    "ipMask": "1.2.3.4/5"
                },
                {
                    "filterName": "TrustedDevices",
                    "action": "Allow",
                    "ipMask": "1.1.1.1/1"
                }
            ]
        }
    }
}

IoT Hub'ınıza yeni bir IP filtresi eklemek için şunu çalıştırın:

az resource update -n <iothubName> -g <resourceGroupName> --resource-type Microsoft.Devices/IotHubs --add properties.networkRuleSets.ipRules "{\"action\":\"Allow\",\"filterName\":\"TrustedIP\",\"ipMask\":\"192.168.0.1\"}"

IoT Hub'ınızdaki mevcut bir IP filtresini kaldırmak için şunu çalıştırın:

az resource update -n <iothubName> -g <resourceGroupName> --resource-type Microsoft.Devices/IotHubs --add properties.networkRuleSets.ipRules <ipFilterIndexToRemove>

Burada, <ipFilterIndexToRemove> IoT hub'ınızdaki IP filtrelerinin sıralamasına properties.networkRuleSets.ipRuleskarşılık gelir.

Azure PowerShell kullanarak IP filtrelerini alma ve güncelleştirme

Not

Azure ile etkileşim kurmak için Azure Az PowerShell modülünü kullanmanızı öneririz. Başlamak için bkz. Azure PowerShell'i yükleme. Az PowerShell modülüne nasıl geçeceğinizi öğrenmek için bkz. Azure PowerShell’i AzureRM’den Az’ye geçirme.

IoT Hub'ınızın IP filtreleri Azure PowerShell aracılığıyla alınabilir ve ayarlanabilir.

# Get your IoT Hub resource using its name and its resource group name
$iothubResource = Get-AzResource -ResourceGroupName <resourceGroupName> -ResourceName <iotHubName> -ExpandProperties

# Access existing IP filter rules
$iothubResource.Properties.networkRuleSets.ipRules |% { Write-host $_ }

# Construct a new IP filter
$filter = @{'filterName'='TrustedIP'; 'action'='Allow'; 'ipMask'='192.168.0.1'}

# Add your new IP filter rule
$iothubResource.Properties.networkRuleSets.ipRules += $filter

# Remove an existing IP filter rule using its name, e.g., 'GoodIP'
$iothubResource.Properties.networkRuleSets.ipRules = @($iothubResource.Properties.networkRuleSets.ipRules | Where 'filterName' -ne 'GoodIP')

# Update your IoT Hub resource with your updated IP filters
$iothubResource | Set-AzResource -Force

REST kullanarak IP filtresi kurallarını güncelleştirme

Ayrıca Azure kaynak Sağlayıcısı'nın REST uç noktasını kullanarak IoT Hub'ınızın IP filtresini alabilir ve değiştirebilirsiniz. createorupdate yöntemi altında properties.networkRuleSets bölümüne bakın.

Sonraki adımlar

IoT Hub'ın özelliklerini daha fazla keşfetmek için bkz: