Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Los prefijos de dirección IP de los puntos de conexión de una instancia de IoT Hub Device Provisioning Service (DPS) se publican periódicamente con la etiqueta de servicioAzureIoTHub. Puede usar estos prefijos de dirección IP para controlar la conectividad entre una instancia de IoT DPS y dispositivos o recursos de red para implementar varios objetivos de aislamiento de red:
| Objetivo | Enfoque |
|---|---|
| Comprobar que los dispositivos y servicios solo se comunican con puntos de conexión de DPS | Use la etiqueta de servicio AzureIoTHub para detectar instancias de DPS. Configure las reglas de permiso en la configuración del firewall de los dispositivos y los servicios de esos prefijos de direcciones IP en consecuencia. Configure reglas para derivar el tráfico a otras direcciones IP de destino con las que no quiera que se comuniquen los dispositivos o servicios. |
| Comprobar que el punto de conexión de DPS solo recibe conexiones de sus dispositivos y recursos de red | Use la característica de filtro IP de IoT DPS para crear reglas de filtro para las API del servicio DPS y del dispositivo. Estas reglas de filtro pueden usarse para permitir conexiones solo desde tus dispositivos y las direcciones IP de los activos de red. Para obtener más información, consulte Limitaciones y soluciones alternativas. |
procedimientos recomendados
Al agregar reglas ALLOW en la configuración del firewall de los dispositivos, es mejor proporcionar números de puerto específicos usados por los protocolos disponibles.
Los prefijos de dirección IP de IoT Hub DPS están sujetos a cambios. Estos cambios se publican periódicamente mediante etiquetas de servicio antes de entrar en vigor. Por lo tanto, es importante que desarrolle procesos para recuperar y usar con regularidad las etiquetas de servicio más recientes. Este proceso se puede automatizar a través de la API de detección de etiquetas de servicio. La API de detección de etiquetas de servicio todavía está en versión preliminar y, en algunos casos, es posible que no genere la lista completa de etiquetas y direcciones IP. Hasta que la API de detección de etiquetas de servicio esté disponible con carácter general, considere la posibilidad de usar las etiquetas de servicio en formato JSON descargable.
Use la etiqueta AzureIoTHub.[nombre de la región] para identificar los prefijos de dirección IP que se usan en los puntos de conexión de DPS de una región determinada. Para tener en cuenta la recuperación ante desastres de un centro de datos o la conmutación por error regional, asegúrese de que también esté habilitada la conectividad a los prefijos de dirección IP de la región del par de replicación geográfica de su instancia de DPS.
La configuración de reglas de firewall para una instancia de DPS podría bloquear la conectividad necesaria para ejecutar la CLI de Azure y los comandos de PowerShell en ella. Para evitar estos problemas de conectividad, puede agregar reglas de permiso para los prefijos de dirección IP de los clientes para volver a habilitar la CLI o para que los clientes de PowerShell se comuniquen con su instancia de DPS.
Limitaciones y soluciones alternativas
La característica de filtro de IP de DPS tiene un límite de 100 reglas.
Las reglas de filtrado de IP configuradas solo se aplican en los puntos de conexión de DPS y no en los puntos de conexión de IoT Hub vinculados. El filtrado IP para centros de IoT vinculados debe configurarse por separado. Para obtener más información, consulte Uso de filtros IP.
Compatibilidad con IPv6
Actualmente, IPv6 no se admite en IoT Hub ni DPS.
Pasos siguientes
Para obtener más información acerca de las configuraciones de direcciones IP con DPS, consulte: