Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Die IP-Adresspräfixe für die öffentlichen Endpunkte eines IoT Hub Device Provisioning-Diensts (DPS) werden regelmäßig unter dem DiensttagAzureIoTHub veröffentlicht. Sie können diese IP-Adresspräfixe verwenden, um die Konnektivität zwischen einer IoT DPS-Instanz und Geräten oder Netzwerkressourcen zu steuern, um verschiedene Ziele für die Netzwerkisolation zu implementieren:
| Zielsetzung | Vorgehensweise |
|---|---|
| Sicherstellen, dass Geräte und Dienste nur mit DPM-Endpunkten kommunizieren | Verwenden Sie das Diensttag AzureIoTHub, um DPM-Instanzen zu ermitteln. Konfigurieren Sie in der Firewalleinstellung Ihrer Geräte und Dienste für diese IP-Adresspräfixe entsprechende Zulassungsregeln. Konfigurieren Sie Regeln zum Löschen des Datenverkehrs an andere IP-Zieladressen, für die Sie die Kommunikation mit Geräten oder Diensten nicht zulassen möchten. |
| Sicherstellen, dass der DPM-Endpunkt Verbindungen nur von Ihren Geräten und Netzwerkressourcen empfängt | Verwenden Sie das IoT DPS-IP-Filterfeature , um Filterregeln für die Geräte- und DPS-Dienst-APIs zu erstellen. Diese Filterregeln können verwendet werden, um Verbindungen nur von Ihren Geräten und Netzwerkobjekt-IP-Adressen zuzulassen. Weitere Informationen finden Sie unter Einschränkungen und Problemumgehungen. |
Bewährte Methoden
Beim Hinzufügen von ALLOW-Regeln in der Firewallkonfiguration Ihrer Geräte ist es am besten, bestimmte Portnummern bereitzustellen, die von verfügbaren Protokollen verwendet werden.
Die IP-Adresspräfixe von IoT DPS-Instanzen können sich unter Umständen ändern. Solche Änderungen werden regelmäßig mithilfe von Diensttags veröffentlicht, bevor sie in Kraft treten. Deshalb ist es wichtig, dass Sie Prozesse entwickeln, um die neuesten Diensttags regelmäßig abzurufen und zu verwenden. Dieser Prozess kann über die ServiceTag Discovery-API automatisiert werden. Die Diensttag-Discovery-API befindet sich noch in der Vorschau und kann in einigen Fällen nicht die vollständige Liste der Tags und IP-Adressen erzeugen. Bis die Diensttags-Discovery-API allgemein verfügbar ist, sollten Sie die Diensttags im herunterladbaren JSON-Format verwenden.
Verwenden Sie das Tag AzureIoTHub.[Regionsname], um die IP-Präfixe zu ermitteln, die von DPS-Endpunkten in einer bestimmten Region verwendet werden. Achten Sie zur Einbeziehung von Rechenzentrums-Notfallwiederherstellung oder regionalem Failover darauf, dass die Konnektivität mit IP-Präfixen der geografisch gekoppelten Region Ihrer DPS-Instanz ebenfalls aktiviert ist.
Das Einrichten von Firewallregeln für eine DPS-Instanz kann die Konnektivität blockieren, die in diesem Zusammenhang zum Ausführen von Azure CLI- und PowerShell-Befehlen erforderlich ist. Um diese Konnektivitätsprobleme zu vermeiden, können Sie Zulassungsregeln für die IP-Adresspräfixe Ihrer Clients hinzufügen, damit für CLI- oder PowerShell-Clients die Kommunikation mit Ihrer DPS-Instanz wieder zulässig ist.
Einschränkungen und Problemumgehungen
Für die IP-Filterfunktion des DPS gilt ein Grenzwert von 100 Regeln.
Ihre konfigurierten IP-Filterregeln werden nur auf Ihre DPS-Endpunkte und nicht auf die verknüpften IoT Hub-Endpunkte angewendet. Die IP-Filterung für verknüpfte IoT-Hubs muss separat konfiguriert werden. Weitere Informationen finden Sie unter "Verwenden von IP-Filtern".
Unterstützung für IPv6
IPv6 wird für IoT Hub oder DPS derzeit nicht unterstützt.
Nächste Schritte
Weitere Informationen zur Konfiguration von IP-Adressen für DPS finden Sie unter: