Referenční architektura Azure IoT

Vlastní řešení IoT můžete vytvořit sestavením komponent PaaS (Platforma jako služba) Azure, jak je popsáno v tomto článku. Článek a tento diagram popisují komponenty a služby Azure, které řešení IoT běžně používají, ale žádné jedno řešení nepoužívá všechny tyto komponenty.

Architektura

Stáhněte si soubor aplikace Visio s touto architekturou.

Workflow

Následující pracovní postup odpovídá předchozímu diagramu:

• Obvykle se jedná o zařízení, která generují data.
• Přehledy , které tvoříte o datech
• Akce , které provedete na základě přehledů

Například motor odesílá údaje o teplotě. Tato data použijete k vyhodnocení, jestli motor funguje podle očekávání. Pomocí přehledu o výkonu motoru můžete určit prioritu plánu údržby.

Zařízení

Azure IoT podporuje celou řadu zařízení od mikrořadiče, na kterých běží Azure Sphere , až po vývojové desky, jako jsou MXCHIP a Raspberry Pi. Azure IoT podporuje také brány inteligentních serverů, které dokážou spouštět vlastní kód. Zařízení můžou provádět určité místní zpracování prostřednictvím služby, jako je Azure IoT Edge, nebo se jednoduše připojují přímo k Azure, aby mohla odesílat data a přijímat data z řešení IoT.

Když jsou zařízení připojená ke cloudu, existuje několik služeb, které pomáhají ingestovat data. Azure IoT Hub je služba cloudové brány, která dokáže bezpečně připojit a spravovat zařízení. Služba Azure IoT Hub Device Provisioning umožňuje bezdotykové zřizování za běhu, které pomáhá registrovat velký počet zařízení zabezpečeným a škálovatelným způsobem. Azure Digital Twins umožňuje virtuální modely reálných systémů.

Přehledy

Jakmile jsou zařízení připojená ke cloudu, můžete zpracovat a prozkoumat jejich data, abyste získali přizpůsobené přehledy o jejich prostředí. Na vysoké úrovni existují tři způsoby zpracování dat: horká cesta, teplá cesta a studená cesta. Cesty se liší v požadavcích na latenci a přístup k datům.

• Horká cesta analyzuje data téměř v reálném čase při jejich příchodu. Telemetrie horké cesty musí být zpracována s nízkou latencí. Horká cesta obvykle používá modul zpracování datových proudů. Zvažte použití služeb, jako je Azure Stream Analytics nebo Azure HDInsight. Výstup může aktivovat výstrahu nebo se zapsat do strukturovaného formátu, který se dá dotazovat pomocí analytických nástrojů.
• Teplá cesta analyzuje data, která mohou pojmout delší zpoždění pro podrobnější zpracování. Zvažte Azure Data Explorer pro ukládání a analýzu velkých objemů dat.
• Studená cesta provádí dávkové zpracování v delších intervalech, jako je hodinová nebo denní. Studená cesta obvykle pracuje s velkými objemy dat, která je možné uložit v Azure Data Lake Storage. Výsledky nemusí být tak včasné jako v horkých nebo teplých cestách. Zvažte použití služby Azure Machine Learning nebo Azure Databricks k analýze studených dat.

Akce

Pomocí přehledů, které shromáždíte o svých datech, můžete spravovat a řídit vaše prostředí. Akce podnikové integrace můžou zahrnovat:

• Ukládání informačních zpráv
• Vyvolávání alarmů
• Odesílání e-mailů nebo SMS zpráv
• Integrace s obchodními aplikacemi, jako je řízení vztahů se zákazníky (CRM) a softwarová řešení pro plánování podnikových zdrojů (ERP)

Pro správu a obchodní integraci můžete použít následující služby:

• Power BI se připojuje k datům, modelům a vizualizuje je. Pomocí Power BI můžete spolupracovat na datech a používat umělou inteligenci k rozhodování na základě dat.
• Azure Maps vytváří webové a mobilní aplikace podporující polohu pomocí geoprostorových rozhraní API, sad SDK a služeb, jako jsou vyhledávání, mapy, směrování, sledování a provoz.
• Azure AI Search poskytuje zabezpečené načítání informací ve velkém měřítku nad obsahem vlastněným uživatelem v tradičních a generačních vyhledávacích aplikacích AI. AI Search má možnosti indexování, rozšiřování AI a dotazování.
• Azure API Management poskytuje jediné místo pro správu všech vašich rozhraní API.
• Aplikace Azure Service nasadí webové aplikace, které se škálují s vaší organizací.
• Azure Mobile Apps vytváří multiplatformní a nativní aplikace pro iOS, Android, Windows nebo macOS.
• Dynamics 365 kombinuje softwarová řešení CRM a ERP v cloudu.
• Microsoft Power Automate je nabídka saas (software jako služba) pro automatizaci pracovních postupů napříč aplikacemi a dalšími službami SaaS.
• Azure Logic Apps vytváří a automatizuje pracovní postupy, které integrují vaše aplikace, data, služby a systémy.

Azure také poskytuje několik služeb, které vám pomůžou monitorovat celé řešení IoT a udržovat je v bezpečí. Diagnostické služby zahrnují Azure Monitor. Služby zabezpečení, jako je Microsoft Entra ID a Microsoft Defender for IoT , pomáhají řídit, zobrazovat a spravovat nastavení zabezpečení a detekci hrozeb a reakci na ně.

Komponenty

• API Management
• Azure AI Search
• Azure App Service
• Azure Data Explorer
• Azure Data Lake
• Azure Databricks
• Azure Digital Twins
• Azure Event Hubs
• Azure Functions
• Azure HDInsight
• Azure IoT Edge
• Služba Azure IoT Hub Device Provisioning
• Azure IoT Hub
• Azure Logic Apps
• Azure Machine Learning
• Azure Maps
• Azure Mobile Apps
• Azure Monitor
• Azure Sphere
• Azure Stream Analytics
• Dynamics 365
• Microsoft Defender pro IoT
• Microsoft Entra ID
• Microsoft Power Automate
• Power BI

Důležité informace

Tyto aspekty implementují pilíře dobře architektuře Azure, což je sada hlavních principů, které je možné použít ke zlepšení kvality úlohy. Další informace naleznete v tématu Microsoft Azure Well-Architected Framework.

Možnosti správy

Azure Digital Twins můžete použít k řízení a monitorování připojených prostředí. Digitální dvojče je virtuální model reálného prostředí, které je řízené daty z obchodních systémů a zařízení IoT. Firmy a organizace používají digitální dvojčata k povolení přehledů a akcí. Vývojáři a architekti používají řešení digitálních dvojčat k implementaci inteligentních a propojených prostředí, jako jsou:

• Prediktivní údržba ve výrobě.
• Viditelnost dodavatelského řetězce
• Inteligentní police pro inventář v reálném čase.
• Propojené domy a inteligentní budovy.

Spolehlivost

Spolehlivost zajišťuje, že vaše aplikace může splňovat závazky, které uděláte pro vaše zákazníky. Další informace najdete v kontrolním seznamu pro kontrolu návrhu pro spolehlivost.

Klíčovou oblastí, která je potřeba vzít v úvahu pro odolná řešení IoT, je provozní kontinuita a zotavení po havárii. Návrh pro zajištění vysoké dostupnosti (HA) a zotavení po havárii (DR) vám může pomoct definovat a dosáhnout požadovaných cílů dostupnosti pro vaše řešení.

Různé služby Azure nabízejí různé možnosti redundance a převzetí služeb při selhání, které vám pomůžou dosáhnout cílů dostupnosti, které nejlépe vyhovují vašim obchodním cílům. Začlenění některé z těchto alternativ ha/DR do vašeho řešení IoT vyžaduje pečlivé vyhodnocení kompromisů mezi těmito:

• Úroveň odolnosti, kterou potřebujete.
• Složitost implementace a údržby
• Dopad na prodané zboží (COGS).

Informace o výkonu specifické pro službu najdete v dokumentaci pro každou službu Azure IoT.

Zabezpečení

Zabezpečení poskytuje záruky proti záměrným útokům a zneužití cenných dat a systémů. Další informace najdete v kontrolním seznamu pro kontrolu návrhu zabezpečení.

Model zabezpečení nulové důvěryhodnosti

Nulová důvěryhodnost je model zabezpečení, který předpokládá, že dojde k porušení zabezpečení, a považuje každý pokus o přístup, jako by pochází z otevřené sítě. Nulový vztah důvěryhodnosti předpokládá, že jste implementovali základy, jako je zabezpečení identit a omezení přístupu.

Základní implementace zabezpečení zahrnuje explicitní ověření uživatelů, viditelnost jejich zařízení a schopnost rozhodovat se o dynamickém přístupu pomocí detekce rizik v reálném čase. Jakmile provedete základy, můžete se zaměřit na následující požadavky na nulový vztah důvěryhodnosti pro řešení IoT:

• K ověřování zařízení použijte silnou identitu.
• Ke zmírnění poloměru výbuchu použijte nejméně privilegovaný přístup.
• Monitorujte stav zařízení, aby bylo možné označit přístup nebo označit zařízení příznakem pro nápravu.
• Proveďte aktualizace, aby byla zařízení v pořádku.
• Monitorujte, abyste mohli detekovat nově vznikající hrozby a reagovat na ně.

Důvěryhodná a zabezpečená komunikace

Všechny informace přijaté ze zařízení nebo odeslané do zařízení musí být důvěryhodné. Pokud zařízení nepodporuje následující kryptografické funkce, mělo by být omezené na místní sítě a veškerá komunikace mezi sítěmi by měla projít bránou polí:

• Šifrování dat a digitální podpisy s prokazatelně zabezpečeným, veřejně analyzovaným a široce implementovaným šifrovacím algoritmem symetrického klíče.
• Podpora protokolu TLS 1.2 pro protokol TCP nebo jiné komunikační cesty založené na datových proudech nebo DTLS 1.2 pro komunikační cesty založené na datagramu. Podpora zpracování certifikátů X.509 je volitelná. Zpracování certifikátů X.509 můžete nahradit efektivnějším a efektivnějším předsdíleným režimem výpočetních prostředků pro protokol TLS, který můžete implementovat s podporou algoritmů AES a SHA-2.
• Aktualizovatelné klíče v úložišti klíčů a na jednotlivých zařízeních. Každé zařízení musí mít jedinečný materiál klíče nebo tokeny, které ho identifikují v systému. Zařízení by měla klíč bezpečně ukládat do zařízení (například pomocí zabezpečeného úložiště klíčů). Zařízení by mělo mít možnost klíče nebo tokeny aktualizovat, a to pravidelně nebo v reakci na krizové situace, jako je narušení systému.
• Software firmwaru a aplikací na zařízení musí umožňovat, aby aktualizace opravovaly zjištěná ohrožení zabezpečení.

Mnoho zařízení je příliš omezené na podporu těchto požadavků. V takovém případě byste měli použít bránu pole. Zařízení se zabezpečeně připojují k hraniční bráně přes místní síť a brána umožňuje zabezpečenou komunikaci s cloudem.

Fyzická ochrana před neoprávněnou manipulací

Doporučený návrh zařízení zahrnuje funkce, které brání pokusům o fyzickou manipulaci, a pomáhá tak zajistit zabezpečení, integritu a důvěryhodnost celého systému.

Příklad:

• Výběr mikrořadičů, mikroprocesorů nebo podpůrného hardwaru, který poskytuje zabezpečené úložiště a umožňuje používání obsahu kryptografických klíčů, jako je integrace modulu TPM (Trusted Platform Module).
• Ukotvení zabezpečeného zavaděče spouštění a zabezpečeného načítání softwaru v čipu TPM
• Pomocí senzorů můžete detekovat pokusy o vniknutí a pokusy o manipulaci s prostředím zařízení s upozorňováním a potenciálním "digitálním sebeničením" zařízení.

Optimalizace nákladů

Optimalizace nákladů se zabývá způsoby, jak snížit zbytečné výdaje a zlepšit efektivitu provozu. Další informace najdete v kontrolním seznamu pro kontrolu návrhu pro optimalizaci nákladů.

K odhadu nákladů použijte cenovou kalkulačku Azure. Další aspekty jsou popsané v části Náklady v architektuře Microsoft Azure Well-Architected Framework.

Efektivita výkonu

Efektivita výkonu je schopnost úlohy škálovat se tak, aby efektivním způsobem splňovala požadavky, které na ni kladou uživatelé. Další informace najdete v kontrolním seznamu pro kontrolu návrhu týkajícího se efektivity výkonu.

Sestavte své řešení pro nasazení v globálním měřítku. Pro zajištění optimální škálovatelnosti sestavte aplikaci IoT s diskrétními službami, které se můžou škálovat nezávisle. Tato část popisuje aspekty škálovatelnosti pro několik služeb Azure.

IoT Hub

Každé centrum IoT se zřizuje s určitým počtem jednotek v konkrétní cenové a škálovací úrovni. Úroveň a počet jednotek určují maximální denní kvótu zpráv, které můžou zařízení do centra odesílat. Další informace najdete v tématu Kvóty a omezování služby IoT Hub. Kapacitu centra můžete vertikálně navýšit bez přerušení stávajících operací.

U služby IoT Hub zvažte následující faktory škálování:

• Maximální denní kvóta zpráv odeslaných do služby IoT Hub.
• Kvóta připojených zařízení v jedné instanci služby IoT Hub.
• Propustnost příjmu dat: Jak rychle může IoT Hub ingestovat zprávy.
• Propustnost zpracování: Jak rychle se zpracovávají příchozí zprávy.

IoT Hub automaticky rozděluje zprávy zařízení podle ID zařízení. Všechny zprávy z určitého zařízení vždy dorazí do stejného oddílu, ale jeden oddíl bude obsahovat zprávy z několika zařízení. Proto je jednotkou paralelizace ID oddílu.

Azure Functions

Když služba Azure Functions čte z koncového bodu služby Azure Event Hubs , existuje maximální počet instancí funkcí na oddíl centra událostí. Maximální rychlost zpracování určuje, jak rychle dokáže jedna instance funkce zpracovat události z jednoho oddílu. Funkce by zprávy měla zpracovávat v dávkách.

Stream Analytics

Úlohy Stream Analytics se škálují nejlépe, pokud jsou paralelní ve všech bodech kanálu Stream Analytics, od vstupu po dotazování na výstup. Úplně paralelní úloha umožňuje Stream Analytics rozdělit práci mezi několik výpočetních uzlů. Další informace najdete v tématu Využití paralelizace dotazů v Azure Stream Analytics.

Přispěvatelé

Tento článek spravuje Microsoft. Původně byla napsána následujícími přispěvateli.

Hlavní autor:

• Matthew Cosner | Hlavní správce softwarového inženýrství

Další přispěvatel:

• Armando Blanco Garcia | Vedoucí programový manažer

Pokud chcete zobrazit neveřejné profily LinkedIn, přihlaste se na LinkedIn.

Další kroky

• Referenční architektura Microsoft Azure IoT
• Architektura zabezpečení Internetu věcí (IoT)
• nulová důvěra (Zero Trust) kybernetické bezpečnosti internetu věcí
• Technické pokyny k provozní kontinuitě Azure
• Zotavení po havárii a vysoká dostupnost pro aplikace Azure

Související prostředky

• Volba řešení Internetu věcí (IoT) v Azure
• Referenční architektury Azure IoT pro konkrétní odvětví
• Vytváření inteligentních míst pomocí služby Azure Digital Twins
• Návrh architektury IoT