Adresy IP usługi Device Provisioning Service
Prefiksy adresów IP dla publicznych punktów końcowych usługi IoT Hub Device Provisioning Service (DPS) są okresowo publikowane w tagu usługi AzureIoTHub. Za pomocą tych prefiksów adresów IP można kontrolować łączność między wystąpieniem usługi IoT DPS a urządzeniami lub elementami zawartości sieciowymi w celu zaimplementowania różnych celów izolacji sieci:
| Goal | Metoda |
|---|---|
| Upewnij się, że urządzenia i usługi komunikują się tylko z punktami końcowymi usługi DPS | Użyj tagu usługi AzureIoTHub , aby odnaleźć wystąpienia usługi DPS. Skonfiguruj odpowiednio ustawienia zapory dla tych prefiksów adresów IP dla reguł ALLOW na urządzeniach i usługach. Skonfiguruj reguły w celu usunięcia ruchu do innych docelowych adresów IP, z którymi nie chcesz komunikować się z urządzeniami ani usługami. |
| Upewnij się, że punkt końcowy usługi DPS odbiera połączenia tylko z urządzeń i zasobów sieciowych | Użyj funkcji filtrowania adresów IP usługi IoT DPS, aby utworzyć reguły filtrowania dla interfejsów API urządzeń i usługi DPS. Te reguły filtrowania mogą służyć do zezwalania na połączenia tylko z urządzeń i adresów IP zasobów sieciowych (zobacz sekcję ograniczenia ). |
Najlepsze rozwiązania
Podczas dodawania reguł ALLOW w konfiguracji zapory urządzeń najlepiej zapewnić określone porty używane przez odpowiednie protokoły.
Prefiksy adresów IP wystąpień usługi IoT DPS mogą ulec zmianie. Te zmiany są okresowo publikowane za pośrednictwem tagów usługi przed ich wprowadzeniem. Dlatego ważne jest, aby opracowywać procesy w celu regularnego pobierania i używania najnowszych tagów usługi. Ten proces można zautomatyzować za pośrednictwem interfejsu API odnajdywania tagów usługi. Interfejs API odnajdywania tagów usługi jest nadal w wersji zapoznawczej i w niektórych przypadkach może nie utworzyć pełnej listy tagów i adresów IP. Dopóki interfejs API odnajdywania nie będzie ogólnie dostępny, rozważ użycie tagów usługi w formacie JSON do pobrania.
Korzystanie z usługi AzureIoTHub.[ nazwa regionu] tag służący do identyfikowania prefiksów adresów IP używanych przez punkty końcowe usługi DPS w określonym regionie. Aby uwzględnić odzyskiwanie po awarii centrum danych lub regionalne przejście w tryb failover, upewnij się, że włączono również łączność z prefiksami IP regionu pary geograficznej wystąpienia usługi DPS.
Skonfigurowanie reguł zapory dla wystąpienia usługi DPS może blokować łączność wymaganą do uruchamiania poleceń interfejsu wiersza polecenia platformy Azure i programu PowerShell. Aby uniknąć tych problemów z łącznością, możesz dodać reguły ALLOW dla prefiksów adresów IP klientów, aby ponownie włączyć interfejs wiersza polecenia lub klientów programu PowerShell w celu komunikowania się z wystąpieniem usługi DPS.
Ograniczenia i rozwiązania
Funkcja filtru adresów IP usługi DPS ma limit 100 reguł.
Skonfigurowane reguły filtrowania adresów IP są stosowane tylko w punktach końcowych usługi DPS, a nie w połączonych punktach końcowych usługi IoT Hub. Filtrowanie adresów IP dla połączonych centrów IoT Hub należy skonfigurować oddzielnie. Aby uzyskać więcej informacji, zobacz Reguły filtrowania adresów IP usługi IoT Hub.
Obsługa protokołu IPv6
Protokół IPv6 nie jest obecnie obsługiwany w usłudze IoT Hub lub DPS.
Następne kroki
Aby dowiedzieć się więcej na temat konfiguracji adresów IP w usłudze DPS, zobacz: