IP filtrelerini kullanma
Güvenlik, Azure IoT Hub'ı temel alan tüm IoT çözümlerinin önemli bir yönüdür. Bazen güvenlik yapılandırmanız kapsamında cihazların hangi IP adreslerinden bağlanabileceğini açıkça belirtmeniz gerekir. IP filtresi özelliği, belirli IPv4 adreslerinden gelen trafiği reddetme veya kabul etme kurallarını yapılandırmanızı sağlar.
ne zaman kullanılmalı
Yalnızca belirli bir IP adresi aralığından trafik almak ve diğer her şeyi reddetmek için IP filtresini kullanın. Örneğin, IoT hub'ınız ile şirket içi altyapınız arasında özel bağlantılar oluşturmak için Azure Express Route ile IoT hub'ınızı kullanıyorsunuz.
Varsayılan ayar
IoT hub'ınızın IP Filtresi ayarları sayfasına ulaşmak için Güvenlik ayarları>Ağ>Genel erişimi'ni ve ardından Seçili IP Aralıkları'nı seçin:
Varsayılan olarak, bir IoT hub'ına yönelik portaldaki IP Filtresi kılavuzu boş olur. Bu varsayılan ayar, hub'ınızın tüm IP adreslerinden gelen bağlantıları engellediğini gösterir. Bu varsayılan ayar, IP adresi aralığını engelleyen bir kurala 0.0.0.0/0 eşdeğerdir.
IP filtresi kuralını ekleme veya düzenleme
IP filtresi kuralı eklemek için IP Filtresi Kuralı Ekle'yi seçin. Bilgisayarınızın IP adresini hızla eklemek için İstemci IP adresinizi ekleyin'i seçin.
IP Filtresi Kuralı Ekle'yi seçtikten sonra alanları doldurun. İstemci IP adresinizi eklemeyi seçtiyseniz bu alanlar sizin için önceden doldurulur.
IP Filtresi kuralı için bir ad girin. Bu ad en fazla 128 karakter uzunluğunda benzersiz, büyük/küçük harfe duyarlı olmayan, alfasayısal bir dize olmalıdır. Yalnızca ASCII 7 bit alfasayısal karakterlerin yanı sıra aşağıdaki özel karakterler kabul edilir:
- : . + % _ # * ? ! ( ) , = @ ; '.Tek IPv4 adresi veya CIDR gösteriminde bir IP adresleri bloğu belirtin. Örneğin CIDR gösteriminde 192.168.100.0/22, 192.168.100.0 ile 192.168.103.255 arasındaki 1024 IPv4 adresini temsil eder.
Alanları doldurduktan sonra Kaydet'i seçerek kuralı kaydedin. Güncelleştirmenin devam ettiğini bildiren bir uyarı görürsünüz.
En fazla 100 IP filtresi kuralına ulaştığınızda Ekle seçeneği devre dışı bırakılır.
Mevcut kuralı düzenlemek için, değiştirmek istediğiniz verileri seçin, değişikliği yapın ve sonra da Kaydet'i seçerek düzenlemenizi kaydedin.
IP filtresi kuralını silme
IP filtresi kuralını silmek için, bu satırdaki çöp kutusu simgesini seçin ve ardından Kaydet'i seçin. Kural kaldırılır ve değişiklik kaydedilir.
Yerleşik Event Hubs uyumlu uç noktasına IP filtresi kuralları uygulama
YERLEŞIK Event Hubs uyumlu uç noktasına IP filtresi kurallarını uygulamak için, Yerleşik uç noktaya IP filtreleri uygula mı?'nın yanındaki kutuyu işaretleyin ve Kaydet'i seçin.
Not
Bu seçenek ücretsiz (F1) IoT hub'larında kullanılamaz. Yerleşik uç noktaya IP filtresi kuralları uygulamak için ücretli bir IoT hub'ı kullanın.
Bu seçenek etkinleştirildiğinde, IP filtresi kurallarınız yerleşik uç noktaya çoğaltılır, böylece yalnızca güvenilen IP aralıkları buna erişebilir.
Bu seçeneği devre dışı bırakırsanız, yerleşik uç noktaya tüm IP adresleri erişebilir. Azure Stream Analytics gibi zaman içinde değişebilen kaynak IP adreslerine sahip hizmetlerle uç noktadan okumak istiyorsanız bu davranış yararlı olabilir.
Filtre kuralları nasıl uygulanır?
IP filtresi kuralları IoT Hub hizmet düzeyinde uygulanır. Bu nedenle, IP filtresi kuralları desteklenen protokolleri kullanarak cihazlardan ve arka uç uygulamalarından gelen tüm bağlantılar için geçerlidir. Ayrıca, yerleşik Event Hubs uyumlu uç noktasının (IoT Hub bağlantı dizesi aracılığıyla değil) bu kurallara bağlı olup olmadığını seçebilirsiniz.
Açıkça izin verilmeyen bir IP adresinden yapılan tüm bağlantı girişimleri yetkisiz bir 401 durum kodu ve açıklaması alır. Yanıt iletisi IP kuralından bahsetmiyor. IP adreslerini reddetmek Azure Stream Analytics, Azure Sanal Makineler veya Azure portalındaki Cihaz Gezgini gibi diğer Azure hizmetlerinin IoT hub'ı ile etkileşim kurmasını engelleyebilir.
Not
IP filtresi etkinleştirilmiş bir IoT hub'ından gelen iletileri okumak için Azure Stream Analytics (ASA) kullanmak istiyorsanız, Yerleşik uç noktaya IP filtrelerini uygula seçeneğini devre dışı bırakın ve ardından ASA'ya event Hubs akış girişini el ile eklemek için IoT hub'ınızın olay hub'ı ile uyumlu adını ve uç noktasını kullanın.
Azure portal
Ip filtresi kuralları, Azure portalı üzerinden IoT Hub kullanılırken de uygulanır. Bunun nedeni IoT Hub hizmetine yapılan API çağrılarının, diğer Azure hizmetleriyle tutarlı olan kimlik bilgilerinizle doğrudan tarayıcınızı kullanarak yapılmasıdır. IP filtresi etkinleştirildiğinde Azure portalını kullanarak IoT Hub'a erişmek için bilgisayarınızın IP adresini izin verilenler listesine ekleyin.
Sıralama
IP filtresi kuralları izin verme kurallarıdır ve sıralama olmadan uygulanır. Yalnızca eklediğiniz IP adreslerinin IoT Hub'a bağlanmasına izin verilir.
Örneğin, aralıktaki 192.168.100.0/22 adresleri kabul etmek ve diğer her şeyi reddetmek istiyorsanız, kılavuza adres aralığına 192.168.100.0/22sahip tek bir kural eklemeniz yeterlidir.
Azure CLI kullanarak IP filtrelerini alma ve güncelleştirme
IoT hub'ınızın IP filtreleri Azure CLI aracılığıyla alınabilir ve güncelleştirilebilir.
IoT Hub'ınızın geçerli IP filtrelerini almak için şunu çalıştırın:
az resource show -n <iothubName> -g <resourceGroupName> --resource-type Microsoft.Devices/IotHubs
Bu, mevcut IP filtrelerinizin anahtarın properties.networkRuleSets altında listelendiği bir JSON nesnesi döndürür:
{
...
"properties": {
"networkRuleSets": {
"defaultAction": "Deny",
"applyToBuiltInEventHubEndpoint": true,
"ipRules": [{
"filterName": "TrustedFactories",
"action": "Allow",
"ipMask": "1.2.3.4/5"
},
{
"filterName": "TrustedDevices",
"action": "Allow",
"ipMask": "1.1.1.1/1"
}
]
}
}
}
IoT Hub'ınıza yeni bir IP filtresi eklemek için şunu çalıştırın:
az resource update -n <iothubName> -g <resourceGroupName> --resource-type Microsoft.Devices/IotHubs --add properties.networkRuleSets.ipRules "{\"action\":\"Allow\",\"filterName\":\"TrustedIP\",\"ipMask\":\"192.168.0.1\"}"
IoT Hub'ınızdaki mevcut bir IP filtresini kaldırmak için şunu çalıştırın:
az resource update -n <iothubName> -g <resourceGroupName> --resource-type Microsoft.Devices/IotHubs --add properties.networkRuleSets.ipRules <ipFilterIndexToRemove>
Burada, <ipFilterIndexToRemove> IoT hub'ınızdaki IP filtrelerinin sıralamasına properties.networkRuleSets.ipRuleskarşılık gelir.
Azure PowerShell kullanarak IP filtrelerini alma ve güncelleştirme
Not
Azure ile etkileşim kurmak için Azure Az PowerShell modülünü kullanmanızı öneririz. Başlamak için bkz. Azure PowerShell'i yükleme. Az PowerShell modülüne nasıl geçeceğinizi öğrenmek için bkz. Azure PowerShell’i AzureRM’den Az’ye geçirme.
IoT Hub'ınızın IP filtreleri Azure PowerShell aracılığıyla alınabilir ve ayarlanabilir.
# Get your IoT Hub resource using its name and its resource group name
$iothubResource = Get-AzResource -ResourceGroupName <resourceGroupName> -ResourceName <iotHubName> -ExpandProperties
# Access existing IP filter rules
$iothubResource.Properties.networkRuleSets.ipRules |% { Write-host $_ }
# Construct a new IP filter
$filter = @{'filterName'='TrustedIP'; 'action'='Allow'; 'ipMask'='192.168.0.1'}
# Add your new IP filter rule
$iothubResource.Properties.networkRuleSets.ipRules += $filter
# Remove an existing IP filter rule using its name, e.g., 'GoodIP'
$iothubResource.Properties.networkRuleSets.ipRules = @($iothubResource.Properties.networkRuleSets.ipRules | Where 'filterName' -ne 'GoodIP')
# Update your IoT Hub resource with your updated IP filters
$iothubResource | Set-AzResource -Force
REST kullanarak IP filtresi kurallarını güncelleştirme
Ayrıca Azure kaynak Sağlayıcısı'nın REST uç noktasını kullanarak IoT Hub'ınızın IP filtresini alabilir ve değiştirebilirsiniz. createorupdate yöntemi altında properties.networkRuleSets bölümüne bakın.
Sonraki adımlar
IoT Hub'ın özelliklerini daha fazla keşfetmek için bkz: