设备预配服务 IP 地址
IoT 中心设备预配服务 (DPS) 公共终结点的 IP 地址前缀会定期发布在 AzureIoTHub 服务标记下。 你可以使用这些 IP 地址前缀来控制 IoT DPS 实例与设备或网络资产之间的连接,以实现各种网络隔离目标:
目标 | 方法 |
---|---|
确保你的设备和服务只与 DPS 终结点通信 | 使用 AzureIoTHub 服务标记发现 DPS 实例。 在设备和服务的防火墙设置中为这些 IP 地址前缀相应地配置 ALLOW 规则。 配置规则以将流量丢弃到不希望设备或服务与之通信的其他目标 IP 地址。 |
确保 DPS 终结点仅接收来自你的设备和网络资产的连接 | 使用 IoT DPS IP 筛选器功能为设备和 DPS 服务 API 创建筛选规则。 这些筛选规则仅用于允许来自设备和网络资产 IP 地址的连接(请参阅限制部分)。 |
最佳做法
在设备的防火墙配置中添加允许规则时,最好提供适用协议使用的特定端口。
IoT DPS 实例的 IP 地址前缀可能会更改。 这些更改在生效之前通过服务标记定期发布。 因此,请务必开发可定期检索并使用最新服务标记的进程。 可以通过服务标记发现 API 自动执行此进程。 服务标记发现 API 仍处于预览状态,在某些情况下,可能不会生成标记和 IP 地址的完整列表。 在发现 API 推出正式版之前,请考虑使用可下载 JSON 格式的服务标记。
使用 AzureIoTHub.[region name] 标记来标识特定区域内 DPS 终结点使用的 IP 前缀。 考虑到数据中心灾难恢复或区域故障转移,请确保还启用了到 DPS 实例异地对区域的 IP 前缀的连接。
为 DPS 实例设置防火墙规则可能会阻止针对其运行 Azure CLI 和 PowerShell 命令所需的连接。 为避免出现这些连接性情况,可以为客户端的 IP 地址前缀添加 ALLOW 规则,以重新允许 CLI 或 PowerShell 客户端与 DPS 实例通信。
限制和解决方法
DPS IP 筛选器功能的规则限制为 100 个。
配置的 IP 筛选规则仅适用于 DPS 终结点,而不适用于链接的 IoT 中心终结点。 必须单独配置用于链接的 IoT 中心的 IP 筛选。 有关详细信息,请参阅 IoT 中心 IP 筛选规则。
支持 IPv6
IoT 中心或 DPS 目前不支持 IPv6。
后续步骤
若要详细了解 DPS 的 IP 地址配置,请参阅: