Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Os prefixos de endereço IP dos pontos de extremidade públicos do Hub IoT são publicados periodicamente sob a marca de serviço AzureIoTHub.
Nota
Para dispositivos implantados dentro de redes locais, o Hub IoT do Azure dá suporte à integração de conectividade de rede virtual com pontos de extremidade privados. Para obter mais informações, consulte Suporte do Hub IoT para redes virtuais com o Azure Private Link.
Você pode usar esses prefixos de endereço IP para controlar a conectividade entre o Hub IoT e seus dispositivos ou ativos de rede para implementar várias metas de isolamento de rede:
| Objetivo | Cenários aplicáveis | Abordagem |
|---|---|---|
| Garantir que seus dispositivos e serviços se comuniquem apenas com pontos de extremidade do Hub IoT | Mensagens de dispositivo para nuvem e de nuvem para dispositivo , métodos diretos, gêmeos de dispositivo e módulo e fluxos de dispositivo | Use a marca de serviço AzureIoTHub para descobrir prefixos de endereço IP do Hub IoT e, em seguida, configure regras ALLOW na configuração de firewall de seus dispositivos e serviços para esses prefixos de endereço IP. O tráfego para outros endereços IP de destino é descartado. |
| Certifique-se de que seu ponto de extremidade de dispositivo do Hub IoT receba conexões somente de seus dispositivos e ativos de rede | Mensagens de dispositivo para nuvem e de nuvem para dispositivo , métodos diretos, gêmeos de dispositivo e módulo e fluxos de dispositivo | Use o recurso de filtro IP do Hub IoT para permitir conexões de seus dispositivos e endereços IP de ativos de rede. Para obter detalhes sobre restrições, consulte a seção Limitações e soluções alternativas . |
| Certifique-se de que os recursos de ponto de extremidade personalizados de suas rotas (contas de armazenamento, barramento de serviço e hubs de eventos) estejam acessíveis apenas a partir de seus ativos de rede | Encaminhamento de mensagens | Siga as orientações do seu recurso sobre como restringir a conectividade; por exemplo, através de links privados, pontos de extremidade de serviço ou regras de firewall. Para obter detalhes sobre restrições de firewall, consulte a seção Limitações e soluções alternativas . |
Melhores práticas
O endereço IP de um hub IoT está sujeito a alterações sem aviso prévio. Para minimizar a interrupção, use o nome do host do hub IoT (por exemplo, myhub.azure-devices.net) para configuração de rede e firewall sempre que possível.
Para sistemas IoT restritos sem resolução de nome de domínio (DNS), os intervalos de endereços IP do Hub IoT são publicados periodicamente por meio de tags de serviço antes que as alterações entrem em vigor. Portanto, é importante que você desenvolva processos para recuperar e usar regularmente as tags de serviço mais recentes. Esse processo pode ser automatizado por meio da API de descoberta de tags de serviço ou da revisão de tags de serviço no formato JSON para download.
Use o AzureIoTHub.[ region name] para identificar prefixos IP usados por pontos de extremidade do Hub IoT em uma região específica. Para levar em conta a recuperação de desastres do datacenter ou o failover regional, verifique se a conectividade com prefixos IP da região de pares geográficos do hub IoT também está habilitada. Para obter mais informações, consulte Confiabilidade no Hub IoT do Azure.
Configurar regras de firewall no Hub IoT pode bloquear a conectividade necessária para executar comandos da CLI do Azure e do PowerShell em seu hub IoT. Para evitar bloquear a conectividade, pode adicionar regras para permitir os prefixos de endereço IP dos seus clientes, a fim de reativar os clientes CLI ou PowerShell para comunicarem com o seu hub IoT.
Ao adicionar regras ALLOW na configuração de firewall dos seus dispositivos, é melhor fornecer portas específicas usadas pelos protocolos aplicáveis.
Limitações e soluções alternativas
O recurso de filtro IP do Hub IoT tem um limite de 100 regras. Este limite pode ser aumentado através de pedidos através do Suporte ao Cliente do Azure.
Por padrão, as regras de filtragem de IP configuradas são aplicadas apenas nos pontos de extremidade IP do Hub IoT e não no ponto de extremidade interno do hub IoT. Se você também precisar que a filtragem IP seja aplicada no hub de eventos onde suas mensagens são armazenadas, poderá selecionar a opção "Aplicar filtros IP ao ponto de extremidade interno?" nas Configurações de rede para seu hub IoT. Você pode fazer a mesma coisa usando seu próprio recurso de Hubs de Eventos, onde você pode configurar suas regras de filtragem de IP desejadas diretamente. Nesse caso, você precisa provisionar seu próprio recurso de Hubs de Eventos e configurar o roteamento de mensagens para enviar suas mensagens para esse recurso em vez do hub de eventos interno do hub IoT.
As tags de serviço do Hub IoT contêm apenas intervalos de IP para conexões de entrada. Para limitar o acesso ao firewall em outros serviços do Azure aos dados provenientes do roteamento de mensagens do Hub IoT, escolha a opção apropriada "Permitir Serviços Microsoft Confiáveis" para seu serviço; por exemplo, Hubsde Eventos, Service Bus ou Armazenamento do Azure.
Suporte para IPv6
Atualmente, o IPv6 não é suportado no Hub IoT.