Endereços IP do Serviço de Provisionamento de Dispositivos
Os prefixos de endereço IP para os pontos de extremidade públicos de um DPS (Serviço de Provisionamento de Dispositivos) no IoT são publicados periodicamente sob a marca de serviço AzureIoTHub. Você pode usar esses prefixos de endereço IP para controlar a conectividade entre uma instância do DPS em IoT e seus dispositivos ou ativos de rede, para implementar uma variedade de metas de isolamento de rede:
| Meta | Abordagem |
|---|---|
| Certifique-se de que os dispositivos e serviços se comuniquem apenas com pontos de extremidade do DPS | Use a marca de serviço AzureIoTHub para descobrir instâncias do DPS. Configure as regras de PERMISSÃO na configuração de firewall dos dispositivos e dos serviços para os prefixos de endereço IP de acordo. Configure regras para remover o tráfego para outros endereços IP de destino aos quais você não deseja que os dispositivos ou serviços se comuniquem. |
| Certifique-se de que o ponto de extremidade do DPS receba conexões somente de seus dispositivos e ativos de rede | Use o recurso de filtro IP de DPS em IoT para criar regras de filtro para as APIs do serviço de DPS e do dispositivo. Essas regras de filtro podem ser usadas para permitir conexões apenas de seus dispositivos e endereços IP de ativos de rede (confira a seção de limitações). |
Práticas recomendadas
Ao adicionar regras de permissão na configuração de firewall dos dispositivos, é melhor fornecer portas específicas usadas pelos protocolos aplicáveis.
Os prefixos de endereço IP das instâncias do DPS no IoT estão sujeitos a alterações. Essas alterações são publicadas periodicamente por meio de marcas de serviço antes de entrarem em vigor. Portanto, é importante que você desenvolva processos de recuperação e uso regulares das marcas de serviço mais recentes. Esse processo pode ser automatizado por meio da API de descoberta de marcas de serviço. A API de descoberta de marcas de serviço ainda está em versão prévia. Além disso, em alguns casos, ela pode não produzir a lista completa de marcas e endereços IP. Até que a API de descoberta esteja disponível para o público geral, considere usar as marcas de serviço no formato JSON baixável.
Use a marca AzureIoTHub.[nome da região] para identificar os prefixos de IP usados pelos pontos de extremidade do DPS em uma região específica. Para proporcionar a recuperação de desastre do datacenter ou failover regional, garanta que a conectividade com os prefixos de IP da região de par geográfico da instância do DPS também esteja habilitada.
A configuração de regras de firewall para a instância do DPS pode bloquear a conectividade necessária para executar a CLI do Azure e comandos do PowerShell nela. Para evitar esses problemas de conectividade, você pode adicionar regras de permissão para os prefixos de endereço IP dos clientes, a fim de reabilitar os clientes da CLI ou do PowerShell a se comunicarem com a instância do DPS.
Limitações e soluções alternativas
O recurso de filtro de IP do DPS tem um limite de 100 regras.
As regras de filtragem de IP configuradas são aplicadas somente nos pontos de extremidade do DPS e não nos pontos de extremidade do Hub IoT vinculados. A filtragem de IP para Hubs IoT vinculados deve ser configurada separadamente. Para saber mais, confira regras de filtragem de IP do Hub IoT.
Suporte para IPv6
No momento, não há suporte para IPv6 no Hub IoT ou no DPS.
Próximas etapas
Para saber mais sobre as configurações de endereço IP com o DPS, confira: