IoT Hub Device Provisioning Service (DPS) のパブリック エンドポイントの IP アドレス プレフィックスは、AzureIoTHubサービス タグで定期的に発行されます。 これらの IP アドレス プレフィックスを使用して、IoT DPS インスタンスとデバイスまたはネットワーク資産の間の接続を制御し、さまざまなネットワーク分離目標を実装できます。
| 目標 | アプローチ |
|---|---|
| デバイスとサービスが DPS エンドポイントのみと通信するようにする | AzureIoTHub サービス タグを使用して、DPS インスタンスを検出します。 必要に応じて、これらの IP アドレスのプレフィックスに対して、デバイスとサービスのファイアウォール設定の許可規則を構成します。 デバイスやサービスが通信する必要のない他の送信先 IP アドレスへのトラフィックを破棄する規則を構成します。 |
| DPS のエンドポイントが、使用しているデバイスとネットワーク資産からのみ接続を受信するようにする | IoT DPS IP フィルター機能 を使用して、デバイスと DPS サービス API のフィルター 規則を作成します。 これらのフィルター 規則は、デバイスとネットワーク資産の IP アドレスからの接続のみを許可するために使用できます。 詳細については、「 制限事項と回避策」を参照してください。 |
ベスト プラクティス
デバイスのファイアウォール構成に ALLOW 規則を追加する場合は、使用可能なプロトコルで使用される特定の ポート番号 を指定することをお勧めします。
IoT DPS インスタンスの IP アドレス プレフィックスは変更されることがあります。 これらの変更は、有効になる前に、サービス タグ経由で定期的に発行されます。 そのため、最新のサービス タグを定期的に取得して使用するためのプロセスを開発することが重要です。 このプロセスは、 Service Tag Discovery API を使用して自動化できます。 Service Tag Discovery API はまだプレビュー段階であり、場合によってはタグと IP アドレスの完全な一覧が生成されない場合があります。 サービス タグ探索 API が一般公開されるまでは、 ダウンロード可能な JSON 形式でサービス タグを使用することを検討してください。
特定のリージョン内の DPS エンドポイントによって使用される IP プレフィックスを識別するには、AzureIoTHub.[リージョン名] タグを使用します。 データセンターのディザスター リカバリーまたはリージョン内フェールオーバーに対処するには、DPS インスタンスの geo ペア リージョンの IP プレフィックスへの接続も有効になっていることを確認してください。
DPS インスタンスのファイアウォール規則を設定すると、それに対して Azure CLI と PowerShell コマンドを実行するために必要な接続がブロックされる場合があります。 これらの接続の問題を回避するには、クライアントの IP アドレスのプレフィックスに許可規則を追加し、CLI または PowerShell クライアントが再び DPS インスタンスと通信できるようにします。
制限事項と回避策
DPS IP フィルター機能では、規則の数は 100 個に制限されています。
構成済みの IP フィルタリング規則は、リンクされた IoT Hub のエンドポイントではなく、DPS エンドポイントにのみ適用されます。 リンクされた IoT ハブの IP フィルター処理は、個別に構成する必要があります。 詳細については、「 IP フィルターの使用」を参照してください。
IPv6 のサポート
現在、IPv6 は IoT Hub または DPS ではサポートされていません。
次のステップ
DPS による IP アドレス構成の詳細については、以下を参照してください。