Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Los prefijos de dirección IP de los puntos de conexión de IoT Hub se publican periódicamente con la etiqueta de servicioAzureIoTHub.
Nota:
En el caso de los dispositivos que se implementan dentro de redes locales, Azure IoT Hub admite la integración de conectividad de red virtual con puntos de conexión privados. Para más información, consulte Compatibilidad de IoT Hub con redes virtuales con Azure Private Link.
Puede usar estos prefijos de dirección IP para controlar la conectividad entre IoT Hub y los dispositivos o recursos de red para implementar varios objetivos de aislamiento de red:
| Objetivo | Escenarios aplicables | Enfoque |
|---|---|---|
| Comprobación de que los dispositivos y servicios solo se comunican con puntos de conexión de IoT Hub | Mensajería de dispositivo a nube y de nube a dispositivo , métodos directos, dispositivos y módulos gemelos, y flujos de dispositivos | Use la etiqueta de servicio AzureIoTHub para detectar prefijos de dirección IP de IoT Hub y, a continuación, configure reglas ALLOW en la configuración de firewall de los dispositivos y servicios para estos prefijos de dirección IP. Se descarta el tráfico hacia otras direcciones IP de destino. |
| Comprobación de que el punto de conexión de dispositivo IoT Hub solo recibe conexiones de los dispositivos y los recursos de red | Mensajería de dispositivo a nube y de nube a dispositivo , métodos directos, dispositivos y módulos gemelos, y flujos de dispositivos | Use la característica de filtro IP de IoT Hub para permitir conexiones desde sus dispositivos y direcciones IP de recursos de red. Para más información sobre las restricciones, consulte la sección Limitaciones y soluciones alternativas . |
| Asegurar que los recursos de punto de conexión personalizados de las rutas (cuentas de almacenamiento, Service Bus y centros de eventos) solo sean accesibles desde los recursos de red | Enrutamiento de mensajes | Siga las instrucciones del recurso sobre cómo restringir la conectividad; por ejemplo, a través de vínculos privados, puntos de conexión de servicio o reglas de firewall. Para más información sobre las restricciones de firewall, consulte la sección Limitaciones y soluciones alternativas . |
Procedimientos recomendados
La dirección IP de un centro de IoT está sujeta a cambios sin previo aviso. Para ocasionar el menor trastorno posible, use el nombre de host del centro de IoT (por ejemplo, myhub.azure-devices.net) en la configuración de red y firewall siempre que sea posible.
En el caso de los sistemas IoT restringidos sin resolución de nombres de dominio (DNS), se publican periódicamente intervalos de direcciones IP del centro de IoT a través de etiquetas de servicio antes de que los cambios surtan efecto. Por lo tanto, es importante que desarrolle procesos para recuperar y usar con regularidad las etiquetas de servicio más recientes. Este proceso se puede automatizar a través de la API de detección de etiquetas de servicio o revisando las etiquetas de servicio en formato JSON descargable.
Use la etiqueta AzureIoTHub.[nombre de la región] para identificar prefijos de dirección IP que usan los puntos de conexión de IoT Hub en una región determinada. Para tener en cuenta la recuperación ante desastres del centro de datos o la conmutación por error regional, asegúrese de que también está habilitada la conectividad con los prefijos IP de la región del par geográfico de IoT Hub. Para más información, consulte Confiabilidad en Azure IoT Hub.
La configuración de reglas de firewall en IoT Hub podría bloquear la conectividad necesaria para ejecutar comandos de Azure CLI y PowerShell contra tu IoT Hub. Para evitar el bloqueo de conectividad, puede agregar reglas de ALLOW para los prefijos de dirección IP de sus clientes, de modo que los clientes de CLI o PowerShell vuelvan a estar habilitados para comunicarse con su IoT hub.
Al agregar reglas de permiso en la configuración del firewall de los dispositivos, es mejor proporcionar puertos específicos utilizados por los protocolos aplicables.
Limitaciones y soluciones alternativas
La característica de filtro IP de IoT Hub tiene un límite de 100 reglas. Este límite se puede aumentar mediante solicitudes a través del servicio de soporte al cliente de Azure.
De manera predeterminada, las reglas de filtrado de IP configuradas solo se aplican de manera predeterminada en los puntos de conexión de dirección IP de IoT Hub y no en el punto de conexión del centro de eventos integrado en IoT Hub. Si también necesita que se aplique el filtrado IP en el centro de eventos donde se almacenan los mensajes, puede seleccionar la opción "Aplicar filtros IP al punto de conexión integrado?" en la configuración de redes de IoT Hub. Puede hacer lo mismo si trae su propio recurso de Event Hubs, donde puede configurar directamente las reglas de filtrado IP que desee. En este caso, debe aprovisionar su propio recurso de Event Hubs y configurar el enrutamiento de mensajes para enviar los mensajes a ese recurso en lugar del centro de eventos integrado de IoT Hub.
Las etiquetas de servicio de IoT Hub solo contienen intervalos IP para las conexiones entrantes. Para limitar el acceso del firewall en otros servicios de Azure a los datos procedentes del enrutamiento de mensajes de IoT Hub, elija la opción "Permitir servicios de Microsoft de confianza" para el servicio; por ejemplo, Event Hubs, Service Bus o Azure Storage.
Compatibilidad con IPv6
Actualmente, IPv6 no se admite en IoT Hub.