Co je služba Azure IoT Hub Device Provisioning?
IoT Hub Device Provisioning Service (DPS) je pomocná služba pro IoT Hub, která umožňuje bezdotykové zřizování za běhu pro správné centrum IoT bez nutnosti zásahu člověka. DPS umožňuje zabezpečené a škálovatelné zřizování milionů zařízení. Řada ručních kroků, které se tradičně týkají zřizování, se s DPS automatizuje, aby se zkrátila doba nasazení zařízení IoT a snížila riziko ruční chyby.
Jak funguje služba Device Provisioning
Následující diagram popisuje, co se děje na pozadí za účelem zřízení zařízení s DPS.
Než začne tok zřizování zařízení, je potřeba připravit dva ruční kroky:
- Výrobce zařízení na straně zařízení připraví zařízení na zřízení tak, že ho předem nakonfiguruje pomocí přihlašovacích údajů pro ověření a přiřazeného ID a koncového bodu služby Device Provisioning.
- Na straně cloudu vy nebo výrobce zařízení připravíte instanci služby Device Provisioning s jednotlivými registracemi a skupinami registrací, které identifikují platná zařízení a definují, jak se mají zřídit.
Jakmile zařízení a cloud nastavíte pro zřizování, spustí se následující kroky automaticky, jakmile se zařízení poprvé zapne:
- Zařízení se poprvé zapne, pak se připojí ke koncovému bodu DPS a zobrazí přihlašovací údaje pro ověření.
- Instance DPS zkontroluje identitu zařízení v seznamu registrací. Jakmile je identita zařízení ověřená, služba DPS toto zařízení přiřadí k centru IoT a zaregistruje ho v centru.
- Instance DPS obdrží ID zařízení a informace o registraci z přiřazeného centra a předá je zpět do zařízení.
- Zařízení používá své registrační informace k přímému připojení k přiřazené službě IoT Hub a ověření.
- Zařízení a centrum IoT začnou komunikovat přímo. Instance DPS nemá žádnou další roli jako zprostředkovatel, pokud zařízení nepotřebuje znovu zřízení.
Kdy použít službu Device Provisioning
Existuje mnoho scénářů zřizování, ve kterých je DPS skvělou volbou pro připojení a konfiguraci zařízení ke službě IoT Hub, například:
- Plně automatizované zřizování do jednoho řešení IoT bez nutnosti pevně kódovat informace o připojení ke službě IoT Hub v továrně (počáteční nastavení)
- Zařízení pro vyrovnávání zatížení napříč několika rozbočovači
- Připojení zařízení do řešení IoT vlastníka na základě dat prodejních transakcí (víceklientská architektura)
- Připojování zařízení ke konkrétnímu řešení IoT v závislosti na případu použití (izolace řešení)
- Připojování zařízení k centru IoT s nejnižší latencí (geografické horizontální dělení)
- Opětovné zřizování na základě změny v zařízení
- Obměna klíčů, které zařízení používá k připojení ke službě IoT Hub (pokud k připojení nepoužívá certifikáty X.509)
Služba DPS v současné době nepodporuje zřizování vnořených zařízení IoT Edge (hierarchie nadřazených/podřízených) .
Proces zřizování
Před zřizováním zařízení pomocí DPS se provádějí dva kroky:
- Krok výroby, při kterém se zařízení vytvoří a připraví v továrně.
- Krok nastavení cloudu, při kterém se ve službě Device Provisioning nakonfiguruje automatizované zřizování.
Oba tyto kroky je možné začlenit do stávajících procesů výroby a nasazení. Služba DPS dokonce zjednodušuje některé procesy nasazení, které zahrnují ruční práci pro získání informací o připojení do zařízení.
Krok výroby
Tento krok zahrnuje vše, co se děje na výrobní lince. Mezi role zapojené do tohoto kroku patří návrhář čipu, výrobce čipu, integrátor nebo koncový výrobce zařízení. Tento krok se týká samotného vytvoření hardwaru.
DPS nezavádí nový krok ve výrobním procesu; spíše se sváže s existujícím krokem, který nainstaluje počáteční software a (ideálně) modul hardwarového zabezpečení (HSM) na zařízení. Místo vytvoření ID zařízení v tomto kroku se zařízení naprogramuje informacemi o službě zřizování a umožní mu volat službu zřizování, aby získala informace o připojení nebo přiřazení řešení IoT při zapnutí.
V tomto kroku také výrobce zařízení poskytne nasazovači nebo operátorovi zařízení klíčové identifikující informace. Poskytnutí těchto informací může být jednoduché a spočívat pouze v potvrzení, že všechna zařízení mají certifikát X.509 vygenerovaný z podpisového certifikátu od nasazovače nebo operátora zařízení. Nebo může být složité a spočívat v extrahování veřejné části ověřovacího klíče TPM ze všech zařízení TPM. Mnoho výrobců silikonů nabízí tyto služby.
Krok nastavení cloudu
Tento krok se týká konfigurace cloudu pro správné automatické zřizování. Do kroku nastavení cloudu se obvykle zapojují dva typy uživatelů: někdo, kdo ví, jaké má být počáteční nastavení zařízení (operátor zařízení), a někdo jiný, kdo ví, jak se mají zařízení rozdělit mezi centra IoT (operátor řešení).
K dispozici je jednorázové počáteční nastavení služby zřizování, které obvykle obsluhuje operátor řešení. Jakmile je služba zřizování nakonfigurovaná, není nutné ji upravovat, pokud se nezmění případ použití.
Jakmile je služba nakonfigurovaná pro automatické zřizování, musí být připravená k registraci zařízení. Tento krok provádí operátor zařízení, který zná požadovanou konfiguraci zařízení a zajistí, aby služba zřizování správně ověřila identitu zařízení. Operátor zařízení vezme klíčové identifikující informace od výrobce a přidá je do seznamu registrací. Seznam registrací se následně může aktualizovat s ohledem na přidávání nových položek nebo aktualizaci nejnovějších informací o zařízeních ve stávajících položkách.
Registrace a zřizování
Termín zřizování znamená různé věci v závislosti na odvětví, ve kterém se použije. V kontextu zřizování zařízení IoT v cloudovém řešení je zřizování proces skládající se ze dvou částí:
- První část představuje navázání počátečního připojení mezi zařízením a řešením IoT prostřednictvím registrace zařízení.
- Druhá část představuje použití správné konfigurace pro zařízení na základě konkrétních požadavků řešení, do kterého se zaregistrovalo.
Po dokončení obou těchto kroků můžeme říct, že je zařízení plně zřízené. Některé cloudové služby poskytují pouze první krok procesu zřizování, registraci zařízení do koncového bodu řešení IoT, ale neposkytují počáteční konfiguraci. SLUŽBA DPS automatizuje oba kroky, aby poskytovala bezproblémové zřizování zařízení.
Funkce služby Device Provisioning
DPS má mnoho funkcí, díky čemuž je ideální pro zřizování zařízení.
- Podpora zabezpečeného osvědčení pro identity založené na X.509 i TPM.
- Seznam registrací obsahující úplné záznamy o zařízeních a skupinách zařízení, která se někdy můžou registrovat. Jakmile se zařízení zaregistruje, bude seznam registrací obsahovat informace o požadované konfiguraci zařízení a může se kdykoli aktualizovat.
- Několik zásad přidělování pro řízení způsobu přiřazování zařízení k ioT Hubům v podpoře vašich scénářů: Nejnižší latence, rovnoměrná distribuce (výchozí) a statická konfigurace. Latence se určuje stejnou metodou jako Traffic Manager. Vlastní přidělování, které umožňuje implementovat vlastní zásady přidělování prostřednictvím webhooků hostovaných ve službě Azure Functions, se také podporuje.
- Monitorování a protokolování diagnostiky pro zajištění, že vše funguje správně.
- Podpora více center umožňuje službě DPS přiřadit zařízení k více než jednomu centru IoT. DPS může komunikovat s rozbočovači napříč několika předplatnými Azure.
- Podpora mezi oblastmi umožňuje službě DPS přiřazovat zařízení do center IoT v jiných oblastech.
- Šifrování neaktivních uložených dat umožňuje transparentní šifrování a dešifrování dat v DPS pomocí 256bitového šifrování AES, jednoho z nejsilnějších dostupných blokových šifr a je kompatibilní s STANDARDEM FIPS 140-2.
Další informace o konceptech a funkcích, které se týkají zřizování zařízení, najdete v článku terminologie DPS spolu s dalšími koncepčními články ve stejné části.
Podpora napříč platformami
Stejně jako všechny služby Azure IoT funguje DPS napříč platformami s různými operačními systémy. Azure nabízí opensourcové sady SDK v různých jazycích, které usnadňují připojení zařízení a správu služby. DPS podporuje pro připojení zařízení následující protokoly:
- HTTPS
- AMQP
- AMQP přes webové sokety
- MQTT
- MQTT přes webové sokety
DPS podporuje pouze připojení HTTPS pro operace služeb.
Oblasti
Služba DPS je dostupná v mnoha oblastech. Seznam podporovaných oblastí pro všechny služby je k dispozici v oblastech Azure. Dostupnost služby Device Provisioning můžete zkontrolovat na stránce Stav Azure.
Kvůli odolnosti a spolehlivosti doporučujeme nasazení do jedné z oblastí, které podporují Zóny dostupnosti.
Důležité informace o rezidenci dat
Služba Device Provisioning ukládá zákaznická data. Ve výchozím nastavení se zákaznická data replikují do sekundární oblasti, aby podporovala scénáře zotavení po havárii. V případě nasazení v jihovýchodní Asii a Brazílii – jih se zákazníci můžou rozhodnout zachovat svá data pouze v této oblasti zakázáním zotavení po havárii. Další informace najdete v tématu Replikace mezi oblastmi v Azure.
DPS používá stejný koncový bod zřizování zařízení pro všechny instance služby zřizování a provádí vyrovnávání zatížení provozu do nejbližšího dostupného koncového bodu služby. V důsledku toho se tajné kódy ověřování můžou dočasně přenést mimo oblast, ve které byla instance DPS původně vytvořena. Po připojení zařízení ale data zařízení proudí přímo do původní oblasti instance DPS. Pokud chcete zajistit, aby vaše data neopustná původní nebo sekundární oblast, použijte privátní koncový bod. Informace o nastavení privátních koncových bodů najdete v tématu Podpora DPS pro virtuální sítě.
Kvóty a omezení
Pro každé předplatné Azure platí výchozí omezení kvót, která můžou ovlivnit dosah vašeho řešení IoT. Aktuální limit je 10 instancí služby Device Provisioning na jedno předplatné.
Další informace o limitech kvót najdete v tématu Limity služby Předplatné Azure.
Následující tabulka uvádí omezení, která platí pro prostředky služby Azure IoT Hub Device Provisioning.
| Prostředek | Omezení | Upravitelné? |
|---|---|---|
| Maximální počet služeb zřizování zařízení na předplatné Azure | 10 | No |
| Maximální počet registrací | 1 000 000 | No |
| Maximální počet jednotlivých registrací | 1 000 000 | No |
| Maximální počet skupin registrací (certifikát X.509) | 100 | No |
| Maximální počet skupin registrací (symetrický klíč) | 100 | No |
| Maximální počet certifikačních autorit | 25 | No |
| Maximální počet propojených center IoT | 50 | No |
| Maximální velikost zprávy | 96 kB | No |
Tip
Pokud je problém s blokováním omezený u skupin symetrických klíčů, doporučuje se jako alternativní řešení použít jednotlivé registrace.
Služba Device Provisioning má následující omezení rychlosti.
| Míra | Hodnota na jednotku | Upravitelné? |
|---|---|---|
| Operace | 1 000/min/služba | No |
| Registrace zařízení | 1 000/min/služba | No |
| Operace dotazování zařízení | 5/10 sekund/zařízení | No |
Fakturovatelné operace a ceny služeb
Každé volání rozhraní API v DPS je fakturovatelné jako jedna operace. To zahrnuje všechna rozhraní API služby a rozhraní API pro registraci zařízení.
Následující tabulky zobrazují aktuální fakturovatelný stav pro každou operaci rozhraní API služby DPS. Další informace o cenách dps najdete v tabulce Cen v horní části stránky s cenami služby Azure IoT Hub . Pak vyberte kartu služby IoT Hub Device Provisioning a měnu a oblast vaší služby.
| rozhraní API | Operace | Zúčtovatelné? |
|---|---|---|
| Rozhraní API pro zařízení | Vyhledávání stavu registrace zařízení | No |
| Rozhraní API pro zařízení | Vyhledávání stavu operace | No |
| Rozhraní API pro zařízení | Registrace zařízení | Ano |
| Rozhraní API služby DPS (stav registrace) | Odstranění | Ano |
| Rozhraní API služby DPS (stav registrace) | Získat | Ano |
| Rozhraní API služby DPS (stav registrace) | Dotaz | Ano |
| Rozhraní API služby DPS (skupina registrací) | Vytvoření nebo aktualizace | Ano |
| Rozhraní API služby DPS (skupina registrací) | Odstranění | Ano |
| Rozhraní API služby DPS (skupina registrací) | Získat | Ano |
| Rozhraní API služby DPS (skupina registrací) | Získání mechanismu ověření identity | Ano |
| Rozhraní API služby DPS (skupina registrací) | Dotaz | Ano |
| Rozhraní API služby DPS (skupina registrací) | Spuštění hromadné operace | Ano |
| Rozhraní API služby DPS (individuální registrace) | Vytvoření nebo aktualizace | Ano |
| Rozhraní API služby DPS (individuální registrace) | Odstranění | Ano |
| Rozhraní API služby DPS (individuální registrace) | Získat | Ano |
| Rozhraní API služby DPS (individuální registrace) | Získání mechanismu ověření identity | Ano |
| Rozhraní API služby DPS (individuální registrace) | Dotaz | Ano |
| Rozhraní API služby DPS (individuální registrace) | Spuštění hromadné operace | Ano |
| Rozhraní API certifikátu DPS | Vytvoření nebo aktualizace | No |
| Rozhraní API certifikátu DPS | Odstranění | No |
| Rozhraní API certifikátu DPS | Vygenerovat ověřovací kód | No |
| Rozhraní API certifikátu DPS | Získat | No |
| Rozhraní API certifikátu DPS | Seznam | No |
| Rozhraní API certifikátu DPS | Ověření certifikátu | No |
| Rozhraní API pro prostředky IoT DPS | Kontrola dostupnosti názvu služby zřizování | No |
| Rozhraní API pro prostředky IoT DPS | Vytvoření nebo aktualizace | No |
| Rozhraní API pro prostředky IoT DPS | Odstranění | No |
| Rozhraní API pro prostředky IoT DPS | Získat | No |
| Rozhraní API pro prostředky IoT DPS | Získání výsledku operace | No |
| Rozhraní API pro prostředky IoT DPS | Seznam podle skupiny prostředků | No |
| Rozhraní API pro prostředky IoT DPS | Seznam podle předplatného | No |
| Rozhraní API pro prostředky IoT DPS | Seznam podle klíčů | No |
| Rozhraní API pro prostředky IoT DPS | Výpis klíčů pro název klíče | No |
| Rozhraní API pro prostředky IoT DPS | Výpis platných skladových položek | No |
| Rozhraní API pro prostředky IoT DPS | Update | No |
Související komponenty Azure
DPS automatizuje zřizování zařízení pomocí Azure IoT Hubu. Další informace o službě IoT Hub.
Poznámka:
Služba DPS v současné době nepodporuje zřizování vnořených hraničních zařízení (hierarchie nadřazených a podřízených) .
Aplikace IoT Central používají k správě připojení zařízení interní instanci DPS. Další informace najdete v tématu Jak se zařízení připojují k IoT Central.
Další kroky
Teď máte přehled o zřizování zařízení IoT v Azure. Dalším krokem je vyzkoušet si kompletní scénář IoT.
Nastavení služby IoT Hub Device Provisioning pomocí webu Azure Portal