Sdílet prostřednictvím


Role a operace

Fáze vývoje řešení IoT mohou zahrnovat týdny nebo měsíce, a to z důvodu výrobní reality, jako je výrobní doba, doprava, celní proces atd. Kromě toho můžou zahrnovat aktivity napříč několika rolemi vzhledem k různým entitěm. Toto téma se podrobněji podíváme na různé role a operace související s jednotlivými fázemi a pak znázorňuje tok v sekvenčním diagramu.

Zřizování také umisťuje požadavky na výrobce zařízení, které jsou specifické pro povolení mechanismu ověřování. Výrobní operace mohou nastat i nezávisle na načasování fází automatického zřizování, zejména v případech, kdy se po vytvoření automatického zřizování pořídí nová zařízení.

V obsahu vlevo najdete řadu rychlých startů, které vám pomůžou vysvětlit automatické zřizování prostřednictvím praktických zkušeností. K usnadnění a zjednodušení procesu učení se software používá k simulaci fyzického zařízení pro registraci a registraci. Některé rychlé starty vyžadují splnění operací pro více rolí, včetně operací pro neexistující role, a to kvůli simulované povaze rychlých startů.

Role Operace Popis
Výrobce Kódování adresy URL identity a registrace Na základě použitého mechanismu ověření identity zodpovídá výrobce za kódování informací o identitě zařízení a registrační adresy URL služby Device Provisioning.

Rychlé starty: Vzhledem k tomu, že je zařízení simulované, neexistuje žádná role výrobce. Podrobnosti o tom, jak tyto informace získáte, najdete v roli Vývojář, která se používá při kódování ukázkové registrační aplikace.
Poskytnutí identity zařízení Jako původce informací o identitě zařízení je výrobce zodpovědný za to, že je sdělí operátorovi (nebo určenému agentovi) nebo ho přímo zaregistruje do služby Device Provisioning prostřednictvím rozhraní API.

Rychlé starty: Vzhledem k tomu, že je zařízení simulované, neexistuje žádná role výrobce. Podrobnosti o tom, jak získat identitu zařízení, která se používá k registraci simulovaného zařízení v instanci služby Device Provisioning, najdete v roli operátora.
Operátor Konfigurace automatického zřizování Tato operace odpovídá první fázi automatického zřizování.

Rychlé starty: Provedete roli Operátor a nakonfigurujete instance služby Device Provisioning a IoT Hubu ve vašem předplatném Azure.
Registrace identity zařízení Tato operace odpovídá druhé fázi automatického zřizování.

Rychlé starty: Provedete roli Operátor a zaregistrujete simulované zařízení v instanci služby Device Provisioning. Identitu zařízení určuje simulovaná metoda ověření identity v rychlém startu (TPM nebo X.509). Podrobnosti o ověření identity najdete v roli Vývojář.
Služba Device Provisioning,
IoT Hub
<všechny operace> Pro produkční implementaci s fyzickými zařízeními i rychlé starty se simulovanými zařízeními jsou tyto role splněny prostřednictvím služeb IoT, které konfigurujete ve svém předplatném Azure. Role/operace fungují úplně stejně, jako služby IoT jsou pro zřizování fyzických a simulovaných zařízení neschválné.
Vývojář Sestavení/nasazení registračního softwaru Tato operace odpovídá třetí fázi automatického zřizování. Vývojář zodpovídá za sestavení a nasazení registračního softwaru do zařízení pomocí příslušné sady SDK.

Rychlé starty: Ukázková registrační aplikace, kterou sestavíte, simuluje skutečné zařízení pro vámi zvolenou platformu nebo jazyk, která běží na vaší pracovní stanici (místo nasazení do fyzického zařízení). Aplikace pro registraci provádí stejné operace jako ty, které jsou nasazené na fyzické zařízení. Zadáte metodu ověření identity (certifikát TPM nebo X.509) a adresu URL registrace a obor ID vaší instance služby Device Provisioning. Identita zařízení je určená logikou ověření identity sady SDK za běhu na základě metody, kterou zadáte:
  • Ověření identity TPM – vaše vývojová pracovní stanice spouští aplikaci simulátoru TPM. Po spuštění se k extrahování ověřovacího klíče a ID registrace čipu TPM pro registraci identity zařízení použije samostatná aplikace. Logika ověření identity sady SDK také používá simulátor během registrace k prezentaci podepsaného tokenu SAS pro ověřování a ověření registrace.
  • Ověření identity X509 – k vygenerování certifikátu použijete nástroj. Po vygenerování vytvoříte soubor certifikátu požadovaný pro použití v registraci. Logika ověření identity sady SDK také používá certifikát během registrace k ověření a ověření registrace.
Zařízení Spuštění a registrace Tato operace odpovídá třetí fázi automatického zřizování, kterou splňuje software pro registraci zařízení vytvořený vývojářem. Podrobnosti najdete v roli Vývojář. Při prvním spuštění:
  1. Aplikace se připojí k instanci služby Device Provisioning podle globální adresy URL a služby "Rozsah ID" zadané během vývoje.
  2. Po připojení se zařízení ověří pomocí metody ověření identity a identity zadané během registrace.
  3. Po ověření se zařízení zaregistruje v instanci ioT Hubu určené instancí služby zřizování.
  4. Po úspěšné registraci se do registrační aplikace vrátí jedinečné ID zařízení a koncový bod ioT Hubu pro komunikaci se službou IoT Hub.
  5. Odtud může zařízení stáhnout počáteční stav dvojčete zařízení pro konfiguraci a zahájit proces generování sestav telemetrických dat.
Rychlé starty: Vzhledem k tomu, že je zařízení simulované, běží registrační software na vývojové pracovní stanici.

Následující diagram shrnuje role a sekvencování operací během automatického zřizování zařízení:

Auto-provisioning sequence for a device

Poznámka:

Volitelně může výrobce provést také operaci Registrace identity zařízení pomocí rozhraní API služby Device Provisioning (místo operátora). Podrobnou diskuzi o tomto sekvencování a další informace najdete ve videu Azure IoT s nulovým dotykovým ovládáním (počínaje značkou 41:00).

Role a účty Azure

Způsob mapování jednotlivých rolí na účet Azure je závislý na scénářích a existuje několik scénářů, které je možné zapojit. Níže uvedené běžné vzory by měly pomoct poskytnout obecné znalosti o tom, jak jsou role obecně mapovány na účet Azure.

Výrobce čipu poskytuje služby zabezpečení

V tomto scénáři spravuje výrobce zabezpečení pro zákazníky úrovně 1. Tento scénář může upřednostňovat tyto zákazníky úrovně 1, protože nemusí spravovat podrobné zabezpečení.

Výrobce zavádí zabezpečení do modulů hardwarového zabezpečení (HSM). Toto zabezpečení může zahrnovat výrobce, který získává klíče, certifikáty atd. od potenciálních zákazníků, kteří už mají nastavené instance DPS a skupiny registrací. Výrobce může také generovat tyto informace o zabezpečení pro své zákazníky.

V tomto scénáři můžou existovat dva účty Azure:

  • Účet č. 1: Do určité míry se pravděpodobně sdílí mezi operátory a vývojářskými rolemi. Tato strana může zakoupit čipy HSM od výrobce. Tyto čipy odkazují na instance DPS přidružené k účtu č. 1. U registrací DPS může tato strana zapůjčení zařízení více zákazníkům na úrovni dvě úrovně překonfigurovat nastavení registrace zařízení v DPS. Tato strana může mít také centra IoT přidělená pro back-endové systémy koncových uživatelů pro rozhraní, aby bylo možné získat přístup k telemetrii zařízení atd. V tomto druhém případě nemusí být potřeba druhý účet.

  • Účet č. 2: Koncoví uživatelé, zákazníci na úrovni dvě můžou mít své vlastní ioT huby. Strana přidružená k účtu č. 1 pouze odkazuje na zapůjčená zařízení na správné centrum v tomto účtu. Tato konfigurace vyžaduje propojení DPS a IoT Hubů napříč účty Azure, které je možné provádět pomocí šablon Azure Resource Manageru.

All-in-one OEM

Výrobce může být "all-in-one OEM", kde by bylo potřeba jenom jeden účet výrobce. Výrobce zpracovává zabezpečení a zřizování až do konce.

Výrobce může zákazníkům, kteří si zařízení kupují, poskytnout cloudovou aplikaci. Tato aplikace by byla rozhraní se službou IoT Hub přidělenou výrobcem.

Prodejní automaty nebo automatizované kávovary představují příklady pro tento scénář.

Další kroky

Při procházení odpovídajících rychlých startů pro automatické zřizování může být užitečné vytvořit záložku tohoto článku jako referenci.

Začněte dokončením rychlého startu "Nastavení automatického zřizování", který nejlépe vyhovuje předvolbě nástroje pro správu, která vás provede fází Konfigurace služby:

Pak pokračujte rychlým startem "Zřízení zařízení", který vyhovuje mechanismu ověření zařízení a preferenci jazyka sady SDK služby Device Provisioning. V tomto rychlém startu si projdete fáze Registrace zařízení a Registrace a konfigurace zařízení:

Mechanismus ověření identity zařízení Rychlý start
Symetrický klíč Zřízení simulovaného zařízení symetrického klíče
Certifikát X.509 Zřízení simulovaného zařízení X.509
Simulated Trusted Platform Module (TPM) Zřízení simulovaného zařízení TPM