Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Prefiksy adresów IP dla publicznych punktów końcowych usługi IoT Hub Device Provisioning Service (DPS) są okresowo publikowane w tagu usługi AzureIoTHub. Za pomocą tych prefiksów adresów IP można kontrolować łączność między wystąpieniem usługi IoT DPS a urządzeniami lub elementami zawartości sieciowymi w celu zaimplementowania różnych celów izolacji sieci:
| Cel | Metoda |
|---|---|
| Upewnij się, że urządzenia i usługi komunikują się tylko z punktami końcowymi usługi DPS | Użyj tagu usługi AzureIoTHub do odkrywania wystąpień DPS. Skonfiguruj reguły ALLOW na ustawieniach zapory na urządzeniach i usługach odpowiednio dla podanych prefiksów adresów IP. Skonfiguruj reguły w celu blokowania ruchu do innych docelowych adresów IP, z którymi nie chcesz, aby urządzenia i usługi się komunikowały. |
| Upewnij się, że punkt końcowy usługi DPS odbiera połączenia tylko z urządzeń i zasobów sieciowych | Użyj funkcji filtrowania adresów IP usługi IoT DPS, aby utworzyć reguły filtrowania dla interfejsów API urządzeń i usługi DPS. Te reguły filtrowania mogą służyć do zezwalania na połączenia tylko z urządzeń i adresów IP zasobów sieciowych. Aby uzyskać więcej informacji, zobacz Ograniczenia i obejścia. |
Najlepsze rozwiązania
Podczas dodawania reguł ALLOW w konfiguracji zapory urządzeń najlepiej zapewnić określone numery portów używane przez dostępne protokoły.
Prefiksy adresów IP wystąpień usługi IoT DPS mogą ulec zmianie. Te zmiany są okresowo publikowane za pośrednictwem tagów usługi przed ich wprowadzeniem. Dlatego ważne jest, aby opracować procesy do regularnego pobierania i używania najnowszych tagów usługi. Ten proces można zautomatyzować za pośrednictwem interfejsu API odnajdywania tagów usługi. Interfejs API odnajdywania tagów usługi jest nadal w wersji zapoznawczej i w niektórych przypadkach może nie utworzyć pełnej listy tagów i adresów IP. Dopóki API odnajdywania tagów usługi nie jest jeszcze ogólnie dostępne, rozważ użycie tagów usługi w formacie JSON do pobrania.
Użyj tagu AzureIoTHub.[nazwa regionu] do identyfikacji prefiksów adresów IP używanych przez punkty końcowe usługi DPS w konkretnym regionie. Aby uwzględnić odzyskiwanie po awarii centrum danych lub regionalne przełączenie awaryjne, upewnij się, że zapewniono także łączność z prefiksami IP regionu pary geograficznej wystąpienia usługi DPS.
Konfigurowanie reguł zapory dla instancji DPS może blokować łączność niezbędną do uruchamiania poleceń Azure CLI i PowerShell. Aby uniknąć tych problemów z łącznością, możesz dodać reguły ALLOW dla prefiksów adresów IP klientów, co umożliwi ponowne korzystanie z klientów interfejsu wiersza polecenia lub programu PowerShell do komunikacji z wystąpieniem usługi DPS.
Ograniczenia i rozwiązania
Funkcja filtru adresów IP usługi DPS ma limit 100 reguł.
Skonfigurowane reguły filtrowania adresów IP są stosowane tylko w punktach końcowych usługi DPS, a nie w połączonych punktach końcowych usługi IoT Hub. Filtrowanie adresów IP dla połączonych centrów IoT musi być konfigurowane oddzielnie. Aby uzyskać więcej informacji, zobacz Używanie filtrów adresów IP.
Obsługa protokołu IPv6
Protokół IPv6 nie jest obecnie obsługiwany w usłudze IoT Hub lub DPS.
Następne kroki
Aby dowiedzieć się więcej na temat konfiguracji adresów IP w usłudze DPS, zobacz: