IP-adressen van Device Provisioning Service
De IP-adresvoorvoegsels voor de openbare eindpunten van een IoT Hub Device Provisioning Service (DPS) worden periodiek gepubliceerd onder de AzureIoTHub-servicetag. U kunt deze IP-adresvoorvoegsels gebruiken om de connectiviteit tussen een IoT DPS-exemplaar en apparaten of netwerkassets te beheren om verschillende netwerkisolatiedoelen te implementeren:
| Goal | Methode |
|---|---|
| Zorg ervoor dat uw apparaten en services alleen communiceren met DPS-eindpunten | Gebruik de AzureIoTHub-servicetag om DPS-exemplaren te detecteren. Configureer ALLOW-regels voor de firewallinstelling van uw apparaten en services voor die IP-adresvoorvoegsels dienovereenkomstig. Configureer regels om verkeer te verwijderen naar andere doel-IP-adressen waarmee u niet wilt dat apparaten of services communiceren. |
| Zorg ervoor dat uw DPS-eindpunt alleen verbindingen ontvangt van uw apparaten en netwerkassets | Gebruik de IoT DPS IP-filterfunctie om filterregels te maken voor de APPARAAT- en DPS-service-API's. Deze filterregels kunnen worden gebruikt om alleen verbindingen van uw apparaten en IP-adressen van netwerkassets toe te staan (zie de sectie Beperkingen ). |
Aanbevolen procedures
Wanneer u ALLOW-regels toevoegt in de firewallconfiguratie van uw apparaten, kunt u het beste specifieke poorten opgeven die worden gebruikt door toepasselijke protocollen.
De IP-adresvoorvoegsels van IoT DPS-exemplaren kunnen worden gewijzigd. Deze wijzigingen worden periodiek gepubliceerd via servicetags voordat ze van kracht worden. Het is daarom belangrijk dat u processen ontwikkelt om regelmatig de nieuwste servicetags op te halen en te gebruiken. Dit proces kan worden geautomatiseerd via de detectie-API voor servicetags. De detectie-API voor servicetags is nog in preview en in sommige gevallen wordt mogelijk niet de volledige lijst met tags en IP-adressen geproduceerd. Totdat de detectie-API algemeen beschikbaar is, kunt u overwegen de servicetags te gebruiken in de downloadbare JSON-indeling.
AzureIoTHub gebruiken.[ regionaam] tag om IP-voorvoegsels te identificeren die worden gebruikt door DPS-eindpunten in een specifieke regio. Als u rekening wilt houden met herstel na noodgevallen van datacenters of regionale failover, moet u ervoor zorgen dat de connectiviteit met IP-voorvoegsels van de regio geopaar van uw DPS-exemplaar ook is ingeschakeld.
Het instellen van firewallregels voor een DPS-exemplaar kan de connectiviteit blokkeren die nodig is voor het uitvoeren van Azure CLI- en PowerShell-opdrachten. Om deze verbindingsproblemen te voorkomen, kunt u ALLOW-regels toevoegen voor de IP-adresvoorvoegsels van uw clients om CLI- of PowerShell-clients opnieuw in te schakelen om te communiceren met uw DPS-exemplaar.
Beperkingen en oplossingen
De DPS IP-filterfunctie heeft een limiet van 100 regels.
Uw geconfigureerde IP-filterregels worden alleen toegepast op uw DPS-eindpunten en niet op de gekoppelde IoT Hub-eindpunten. IP-filtering voor gekoppelde IoT Hubs moet afzonderlijk worden geconfigureerd. Zie ip-filterregels voor IoT Hub voor meer informatie.
Ondersteuning voor IPv6
IPv6 wordt momenteel niet ondersteund op IoT Hub of DPS.
Volgende stappen
Zie voor meer informatie over IP-adresconfiguraties met DPS: