Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
IoT 中心设备预配服务 (DPS) 公共终结点的 IP 地址前缀会定期发布在 AzureIoTHub 服务标记下。 可以使用这些 IP 地址前缀来控制 IoT DPS 实例与设备或网络资产之间的连接,以实现各种网络隔离目标:
| 目标 | 方法 |
|---|---|
| 确保你的设备和服务只与 DPS 终结点通信 | 使用 AzureIoTHub 服务标记发现 DPS 实例。 在设备和服务的防火墙设置中为这些 IP 地址前缀相应地配置 ALLOW 规则。 配置规则以将流量丢弃到不希望设备或服务与之通信的其他目标 IP 地址。 |
| 确保 DPS 终结点仅接收来自你的设备和网络资产的连接 | 使用 IoT DPS IP 筛选器功能 为设备和 DPS 服务 API 创建筛选器规则。 这些过滤规则可用于仅允许来自您的设备和网络资产的 IP 地址的连接。 有关详细信息,请参阅 限制和解决方法。 |
最佳做法
在设备的防火墙配置中添加 ALLOW 规则时,最好提供可用协议使用的特定 端口号 。
IoT DPS 实例的 IP 地址前缀可能会更改。 这些更改在生效之前通过服务标记定期发布。 因此,请务必开发可定期检索并使用最新服务标记的进程。 此过程可以通过 服务标记发现 API 自动完成。 服务标记发现 API 仍处于预览状态,在某些情况下,可能不会生成标记和 IP 地址的完整列表。 在服务标记发现 API 正式发布之前,请考虑使用 可下载 JSON 格式的服务标记。
使用 AzureIoTHub.[region name] 标记来标识特定区域内 DPS 终结点使用的 IP 前缀。 考虑到数据中心灾难恢复或区域故障转移,请确保还启用了到 DPS 实例异地对区域的 IP 前缀的连接。
为 DPS 实例设置防火墙规则可能会阻止对它运行 Azure CLI 和 PowerShell 命令所需的连接。 为避免出现这些连接性情况,可以为客户端的 IP 地址前缀添加 ALLOW 规则,以重新允许 CLI 或 PowerShell 客户端与 DPS 实例通信。
限制和解决方法
DPS IP 筛选器功能的规则限制为 100 个。
配置的 IP 筛选规则仅适用于 DPS 终结点,而不适用于链接的 IoT 中心终结点。 必须单独配置链接 IoT 中心的 IP 筛选。 有关详细信息,请参阅“ 使用 IP 筛选器”。
支持 IPv6
IoT 中心或 DPS 目前不支持 IPv6。
后续步骤
若要详细了解 DPS 的 IP 地址配置,请参阅: