IP-адреса службы подготовки устройств
Префиксы IP-адресов для общедоступных конечных точек службы подготовки устройств для центра Интернета (DPS) вещей периодически публикуются под тегом службы AzureIoTHub. Эти префиксы IP-адресов можно использовать для управления подключением между экземпляром IoT DPS и устройствами или сетевыми ресурсами для реализации различных целей сетевой изоляции:
| Goal | Подход |
|---|---|
| Убедитесь, что устройства и службы взаимодействуют только с конечными точками DPS | Используйте тег службы AzureIoTHub для обнаружения экземпляров DPS. Настройте параметр РАЗРЕШИТЬ правила для параметров брандмауэра устройств и служб для соответствующих префиксов IP-адресов. Настройте правила для удаления трафика на другие IP-адреса назначения, с которыми вы не хотите взаимодействовать устройства или службы. |
| Убедитесь, что конечная точка DPS получает подключения только от устройств и сетевых ресурсов | Используйте функцию фильтрации IP-адресов IOT DPS, чтобы создать правила фильтрации для интерфейсов API устройства и службы DPS. Правила фильтрации можно использовать, чтобы разрешить подключения только от ваших устройств и IP-адресов сетевых ресурсов (см. раздел Ограничения). |
Рекомендации
При добавлении правил ALLOW в конфигурацию брандмауэра устройств рекомендуется предоставить определенные порты, используемые применимыми протоколами.
Префиксы IP-адреса экземпляров центра Интернета вещей DPS могут изменяться. Прежде чем вступить в действие, эти изменения периодически публикуются посредством тегов службы. Поэтому важно разрабатывать процессы для регулярного получения и использования последних тегов служб. Такой процесс можно автоматизировать с помощью API обнаружения тегов службы. Обратите внимание на то, что API службы обнаружения тегов пока находится на этапе предварительной версии и в некоторых случаях может не создавать полный список тегов и IP-адресов. До момента выхода общедоступной версии API обнаружения рассмотрите возможность использования тегов службы в загружаемом формате JSON.
Используйте тег AzureIoTHub.[region name], чтобы обозначить IP-префиксы, используемые конечными точками DPS в определенном регионе. Чтобы обеспечить аварийное восстановление центра обработки данных или региональную отработку отказа, убедитесь, что доступна возможность подключения к IP-префиксам вашего экземпляра DPS в геопарном регионе.
Настройка правил брандмауэра для экземпляра DPS может блокировать подключение, необходимое для выполнения команд Azure CLI и PowerShell. Чтобы избежать проблем с подключением, можно добавить правила разрешения для префиксов IP-адресов клиентов, повторно предоставив клиентам CLI или PowerShell возможность взаимодействия с экземпляром DPS.
Ограничения и методы обхода
Функция IP-фильтрации DPS имеет ограничение в 100 правил.
Настроенные правила IP-фильтрации можно применять только к конечным точкам DPS, а не к связанным конечным точкам центра Интернета вещей. IP-фильтрацию для связанных центров IoT необходимо настроить отдельно. Дополнительные сведения см. в разделе правила фильтрации IP-адресов центра Интернета вещей.
Поддержка протокола IPv6
Сейчас протокол IPv6 не поддерживается в центре Интернета вещей или DPS.
Следующие шаги
Дополнительные сведения о конфигурациях IP-адресов с помощью DPS см. в следующих статьях.