Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Les préfixes d’adresse IP des points de terminaison publics du Service IoT Hub Device Provisioning (DPS) sont publiés régulièrement sous la balise de serviceAzureIoTHub. Vous pouvez utiliser ces préfixes d’adresse IP pour contrôler la connectivité entre une instance IoT DPS et des appareils ou des ressources réseau pour implémenter différents objectifs d’isolation réseau :
| But | Approche |
|---|---|
| Vérifier que vos appareils et services communiquent uniquement avec des points de terminaison DPS | Utilisez la balise de service AzureIoTHub pour découvrir des instances DPS. Configurez des règles d’autorisation sur le paramètre de pare-feu de vos appareils et services pour les préfixes d’adresses IP correspondants. Configurez des règles pour supprimer le trafic vers les adresses IP de destination avec lesquelles vous ne voulez pas que les appareils et les services communiquent. |
| Vérifier que votre point de terminaison DPS ne reçoit que les connexions provenant de vos appareils et ressources réseau | Utilisez la fonctionnalité de filtre IP IoT DPS pour créer des règles de filtre pour les API de service DPS et d’appareil. Ces règles de filtre peuvent être utilisées pour autoriser les connexions uniquement à partir de vos appareils et adresses IP de ressources réseau. Pour plus d’informations, consultez Limitations et solutions de contournement. |
Bonnes pratiques
Lorsque vous ajoutez des règles ALLOW dans la configuration du pare-feu de vos appareils, il est préférable de fournir des numéros de port spécifiques utilisés par les protocoles disponibles.
Les préfixes d’adresse IP des instances IoT DPS peuvent faire l’objet de modifications. Ces modifications sont publiées régulièrement par le biais de balises de service avant d’être prises en compte. Il est donc important de développer des processus pour récupérer et utiliser régulièrement les étiquettes de service les plus récentes. Ce processus peut être automatisé via l’API De découverte des balises de service. L’API De découverte des balises de service est toujours en préversion et, dans certains cas, peut ne pas produire la liste complète des étiquettes et adresses IP. Tant que l’API Découverte des balises de service n’est pas généralement disponible, envisagez d’utiliser les balises de service au format JSON téléchargeable.
Utilisez la balise AzureIoTHub.[nom de la région] pour identifier les préfixes IP utilisés par les points de terminaison DPS dans une région spécifique. Pour tenir compte de la récupération d’urgence d’un centre de données ou d’un basculement régional, vérifiez que la connectivité aux préfixes IP de la région de géolocalisation de votre instance DPS est également activée.
La configuration des règles de pare-feu pour une instance DPS peut bloquer la connectivité nécessaire pour exécuter Azure CLI et les commandes PowerShell sur celle-ci. Pour éviter ces problèmes de connectivité, vous pouvez ajouter des règles d’autorisation de sorte que les préfixes des adresses IP de vos clients permettent aux clients CLI ou PowerShell de communiquer à nouveau avec votre instance DPS.
Limitations et solutions de contournement
La fonctionnalité de filtre IP DPS impose une limite de 100 règles.
Vos règles de filtrage IP configurées ne sont appliquées que sur vos points de terminaison DPS, et non sur les points de terminaison IoT Hub liés. Le filtrage IP pour les hubs IoT liés doit être configuré séparément. Pour plus d’informations, consultez Utiliser des filtres IP.
Prise en charge d’IPv6
IPv6 n’est pas pris en charge à l’heure actuelle sur IoT Hub ou DPS.
Étapes suivantes
Pour plus d’informations sur les configurations d’adresses IP avec DPS, consultez :