IoT Hub IP 주소
IoT Hub 공용 엔드포인트의 IP 주소 접두사는 AzureIoTHub 서비스 태그에 주기적으로 게시됩니다.
참고 항목
온-프레미스 네트워크 내에 배포된 디바이스의 경우 Azure IoT Hub는 프라이빗 엔드포인트와의 VNET 연결 통합을 지원합니다. 자세한 내용은 VNet에 대한 IoT Hub 지원을 참조하세요.
이러한 IP 주소 접두사를 사용하여 다양한 네트워크 격리 목적을 구현하기 위해 IoT Hub와 디바이스 또는 네트워크 자산 간의 연결을 제어할 수 있습니다.
목표 | 적용 가능한 시나리오 | 접근 방식 |
---|---|---|
디바이스 및 서비스가 IoT Hub 엔드포인트와만 통신하는지 확인 | 디바이스-클라우드 및 클라우드-디바이스 메시지, 직접 메서드, 디바이스 및 모듈 쌍 및 디바이스 스트림 | AzureIoTHub 서비스 태그를 사용하여 IoT Hub IP 주소 접두사를 검색한 다음, 이러한 IP 주소 접두사에 대한 디바이스 및 서비스의 방화벽 설정에 대한 ALLOW 규칙을 구성합니다. 다른 대상 IP 주소에 대한 트래픽은 삭제됩니다. |
IoT Hub 디바이스 엔드포인트가 디바이스 및 네트워크 자산의 연결만을 수신하는지 확인 | 디바이스-클라우드 및 클라우드-디바이스 메시지, 직접 메서드, 디바이스 및 모듈 쌍 및 디바이스 스트림 | IoT Hub IP 필터 기능을 사용하여 디바이스 및 네트워크 자산 IP 주소에서의 연결을 허용합니다. 제한 사항에 대한 자세한 내용은 제한 사항 섹션을 참조하세요. |
네트워크 자산에서만 경로의 사용자 지정 엔드포인트 리소스(스토리지 계정, 서비스 버스 및 이벤트 허브)에 연결할 수 있는지 확인 | 메시지 라우팅 | 예를 들어 프라이빗 링크, 서비스 엔드포인트 또는 방화벽 규칙을 통해 연결 제한에 대한 리소스의 지침을 따릅니다. 방화벽 제한 사항에 대한 자세한 내용은 제한 사항 섹션을 참조하세요. |
모범 사례
IoT Hub의 IP 주소는 예고 없이 변경될 수 있습니다. 중단을 최소화하려면 가능할 때마다 네트워킹 및 방화벽 구성에 IoT Hub 호스트 이름(예: myhub.azure-devices.net)을 사용하세요.
DNS(Domain Name System)가 없는 제한된 IoT 시스템의 경우 IoT Hub IP 주소 범위는 변경 내용이 적용되기 전에 서비스 태그를 통해 주기적으로 게시됩니다. 따라서 최신 서비스 태그를 정기적으로 검색하고 사용하는 프로세스를 개발하는 것이 중요합니다. 이 프로세스는 서비스 태그 검색 API를 통해 또는 다운로드 가능한 JSON 형식의 서비스 태그를 검토하여 자동화할 수 있습니다.
AzureIoTHub.[지역 이름] 태그를 사용하여 특정 지역의 IoT Hub 엔드포인트에서 사용하는 IP 접두사를 식별합니다. 데이터 센터 재해 복구 또는 지역별 장애 조치(failover)를 고려하여 IoT 허브의 지역 쌍 지역에 대한 IP 접두사 연결도 사용하도록 설정해야 합니다.
IoT Hub 방화벽 규칙을 설정하면 IoT Hub에 대해 Azure CLI 및 PowerShell 명령을 실행하는 데 필요한 연결을 차단할 수 있습니다. 이를 방지하려면 클라이언트의 IP 주소 접두사에 대한 허용 규칙을 추가하여 CLI 또는 PowerShell 클라이언트가 IoT Hub와 통신할 수 있도록 다시 설정할 수 있습니다.
디바이스의 방화벽 구성에서 허용 규칙을 추가할 때 적용 가능한 프로토콜에서 사용하는 특정 포트를 제공하는 것이 가장 좋습니다.
제한 사항 및 해결 방법
IoT Hub IP 필터 기능에는 규칙 100개 제한이 있습니다. 이 제한은 Azure 고객 지원을 통한 요청을 통해 발생할 수 있습니다.
기본적으로 구성된 IP 필터링 규칙은 IoT 허브의 기본 제공 이벤트 허브 엔드포인트가 아니라 IoT Hub IP 엔드포인트에만 적용됩니다. 메시지가 저장된 이벤트 허브에도 IP 필터링을 적용해야 하는 경우 IoT Hub 네트워크 설정에서 "기본 제공 엔드포인트에 IP 필터 적용" 옵션을 선택할 수 있습니다. 원하는 IP 필터링 규칙을 직접 구성할 수 있는 고유한 Event Hubs 리소스를 사용하여 동일한 작업을 수행할 수 있습니다. 이 경우 사용자 고유의 Event Hubs 리소스를 프로비전하고 메시지 라우팅을 설정하여 IoT Hub의 기본 제공 이벤트 허브 대신 해당 리소스로 메시지를 전송해야 합니다.
IoT Hub 서비스 태그에는 인바운드 연결에 대한 IP 범위만 포함됩니다. 다른 Azure 서비스의 방화벽 액세스를 IoT Hub 메시지 라우팅에서 들어오는 데이터로 제한하려면 서비스에 적절한 "신뢰할 수 있는 Microsoft 서비스 허용" 옵션(예: Event Hubs, Service Bus, Azure Storage)을 선택합니다.
IPv6에 대한 지원
IPv6은 현재 IoT Hub에서 지원되지 않습니다.