IoT 中樞 IP 位址
IoT 中樞公用端點的 IP 位址首碼會定期發佈在 AzureIoTHub 服務標籤之下。
注意
對於部署在內部部署網路內的裝置,Azure IoT 中樞支援與私人端點的 VNET 連線能力整合。 如需詳細資訊,請參閱適用於 VNet 的 IoT 中樞支援。
您可以使用這些 IP 位址首碼來控制 IoT 中樞與您的裝置或網路資產之間的連線能力,以實作各種不同的網路隔離目標:
| Goal | 適用的案例 | 方法 |
|---|---|---|
| 確保您的裝置和服務只能與 IoT 中樞端點通訊 | 裝置到雲端的和雲端到裝置的傳訊、直接方法、設備和模組對應項和裝置串流 | 使用 AzureIoTHub 服務標記來探索 IoT 中樞 IP 位址前置詞,然後在這些 IP 位址前置詞的裝置和服務防火牆設定上設定允許規則。 將捨棄其他目的地 IP 位址的流量。 |
| 確保您的 IoT 中樞裝置端點只會從您的裝置和網路資產接收連線 | 裝置到雲端和雲端到裝置的傳訊、直接方法、裝置和模組對應項以及裝置串流 | 使用 IoT 中樞 IP 篩選功能,以允許來自您的裝置和網路資產 IP 位址的連線。 如需限制的詳細資料,請參閱限制一節。 |
| 確保路由的自訂端點資源 (儲存體帳戶、服務匯流排和事件中樞) 僅可從您的網路資產存取 | 訊息路由 | 遵循資源連線限制指導;例如,透過私人連結、服務端點或防火牆規則。 如需防火牆限制的詳細資料,請參閱限制一節。 |
最佳作法
IoT 中樞的 IP 位址可能會變更,不另行通知。 若要將中斷降到最低,請盡可能使用 IoT 中樞主機名稱 (例如,myhub.azure-devices.net) 以進行網路和防火牆設定。
針對沒有網域名稱解析 (DNS) 的限制 IoT 系統,在變更生效之前,會透過服務標記定期發佈 IoT 中樞 IP 位址範圍。 因此,請務必開發程序,以定期取得並使用最新的服務標記。 此流程可以透過服務標籤探索 API,或透過檢閱可下載 JSON 格式的服務標籤,來自動化。
使用 AzureIoTHub.[region name] 標記,以識別特定區域中 IoT 中樞端點所使用的 IP 首碼。 若要考慮資料中心災害復原或區域性容錯移轉,請確保同時啟用 IoT 中樞地理配對區域的 IP 首碼連線能力。
在 IoT 中樞中設定防火牆規則,可能會封鎖針對 IoT 中樞執行 Azure CLI 和 PowerShell 命令所需的連線能力。 若要避免這種情況,您可以針對用戶端的 IP 位址首碼新增允許規則,以重新啟用 CLI 或 PowerShell 用戶端來與您的 IoT 中樞進行通訊。
在裝置的防火牆設定中新增允許規則時,最好提供適用通訊協定所使用的特定連接埠。
限制和因應措施
IoT 中樞 IP 篩選功能的限制為 100 個規則。 此限制可透過 Azure 客戶支援的要求來提高。
根據預設,您設定的 IP 篩選規則僅適用於 IoT 中樞 IP 端點,而不適用於 IoT 中樞的內建事件中樞端點。 如果您也需要在儲存訊息的事件中樞上套用 IP 篩選,則可以在 IoT 中樞網路設定中選取 [將 IP 篩選套用至內建端點] 選項。 您可以使用自己的事件中樞資源來執行相同的動作,而您可以在其中直接設定所需的 IP 篩選規則。 在這種情況下,您需要佈建自己的事件中樞資源,並設定訊息路由,將您的訊息傳送至該資源,而不是 IoT 中樞的內建事件中樞。
IoT 中樞服務標記只包含進行輸入連線的 IP 範圍。 若要將其他 Azure 服務的防火牆存取限制為來自 IoT 中樞訊息路由的資料,請為您的服務選擇適當的 [允許受信任的 Microsoft 服務] 選項;例如,事件中樞、服務匯流排、Azure 儲存體。
IPv6 的支援
IoT 中樞目前不支援 IPv6。