Erstellen eines IoT Edge-Geräts
Gilt für: IoT Edge 1.5 IoT Edge 1.4
Wichtig
IoT Edge 1.5 LTS und IoT Edge 1.4 LTS sind unterstützte Releases. Das Ende der Lebensdauer von IoT Edge 1.4 LTS wird am 12. November 2024 erreicht. Wenn Sie ein früheres Release verwenden, finden Sie weitere Informationen unter Aktualisieren von IoT Edge.
Dieser Artikel bietet eine Übersicht über die verfügbaren Optionen zum Installieren und Bereitstellen von IoT Edge auf Ihren Geräten.
Dieser Artikel bietet einen Einblick in alle Optionen für Ihre IoT Edge-Lösung und hilft Ihnen bei folgenden Aufgaben:
- Auswählen einer Plattform
- Auswählen der Bereitstellung von Geräten
- Auswählen einer Authentifizierungsmethode
Am Ende dieses Artikels werden Sie ein klares Bild davon haben, welche Plattform-, Bereitstellungs- und Authentifizierungsoptionen Ihnen für Ihre IoT Edge-Lösung zur Verfügung stehen.
Erste Schritte
Wenn Sie wissen, welche Art von Plattform-, Bereitstellungs- und Authentifizierungsoptionen Sie für die Erstellung eines IoT Edge-Geräts wünschen, können Sie über die Links in der folgenden Tabelle loslegen.
Wenn Sie mehr Informationen darüber möchten, wie Sie sich für die richtige Option entscheiden, lesen Sie diesen Artikel weiter, um mehr zu erfahren.
Linux-Container auf Linux-Hosts | Linux-Container auf Windows-Hosts | |
---|---|---|
Manuelle Bereitstellung (Einzelgerät) | X.509-Zertifikate Symmetrische Schlüssel |
X.509-Zertifikate Symmetrische Schlüssel |
Automatische Bereitstellung (Geräte im gewünschten Umfang) | X.509-Zertifikate TPM Symmetrische Schlüssel |
X.509-Zertifikate TPM Symmetrische Schlüssel |
Begriffe und Konzepte
Falls Sie mit der IoT-Edge-Terminologie noch nicht vertraut sind, hier einige wichtige Begriffe:
IoT Edge-Runtime: Die IoT Edge-Runtime ist eine Sammlung von Programmen, durch die ein Gerät zum IoT Edge-Gerät wird. In ihrer Gesamtheit ermöglichen die IoT Edge-Runtimekomponenten IoT Edge-Geräten das Ausführen Ihrer IoT Edge-Module.
Bereitstellung: Jedes IoT Edge-Gerät muss bereitgestellt werden. Die Bereitstellung erfolgt in zwei Schritten. Der erste Schritt ist die Registrierung des Geräts in einem IoT-Hub, der eine Cloudidentität erstellt, mit der das Gerät die Verbindung mit seinem Hub herstellt. Der zweite Schritt besteht im Konfigurieren des Geräts mit seiner Cloudidentität. Die Bereitstellung kann manuell auf Einzelgerätebasis oder mit dem IoT Hub Device Provisioning Service in großem Umfang erfolgen.
Authentifizierung: Ihre IoT Edge-Geräte müssen ihre Identität bestätigen, wenn sie eine Verbindung mit IoT Hub herstellen. Sie können die gewünschte Authentifizierungsmethode wählen, z. B. Kennwörter mit symmetrischem Schlüssel, Zertifikatfingerabdrücke oder TPMs (Trusted Platform Modules).
Auswählen einer Plattform
Container- und Hostbetriebssystem verweisen auf die Plattformoptionen. Das Containerbetriebssystem ist das Betriebssystem, das innerhalb Ihrer IoT Edge-Runtime- und Modulcontainer verwendet wird. Das Hostbetriebssystem ist das Betriebssystem des Geräts, auf dem die IoT Edge-Runtimecontainer und -module ausgeführt werden.
Für Ihre IoT Edge-Geräte gibt es drei Plattformoptionen.
Linux-Container auf Linux-Hosts: Linux-basierte IoT Edge-Container werden direkt auf einem Linux-Host ausgeführt. In der gesamten IoT Edge-Dokumentation wird diese Option der Einfachheit halber auch als Linux und Linux-Container bezeichnet.
Linux-Container auf Windows-Hosts: Linux-basierte IoT-Edge-Container in einer Linux-VM werden auf einem Windows-Host ausgeführt. In der gesamten IoT Edge-Dokumentation wird diese Option auch als Linux unter Windows, IoT Edge für Linux unter Windows und EFLOW bezeichnet.
Windows-Container auf Windows-Hosts: Windows-basierte IoT Edge-Container werden direkt auf einem Windows-Host ausgeführt. In der gesamten IoT Edge-Dokumentation wird diese Option der Einfachheit halber auch als Windows und Windows-Container bezeichnet.
Neueste Informationen dazu, welche Betriebssysteme zurzeit für Produktionsszenarien unterstützt werden, finden Sie unter Von Azure IoT Edge unterstützte Systeme.
Linux-Container unter Linux
Bei Linux-Geräten wird die IoT Edge-Runtime direkt auf dem Hostgerät installiert.
IoT Edge unterstützt X64-, ARM32- und ARM64-Linux-Geräte. Microsoft stellt offizielle Installationspakete für viele verschiedene Betriebssysteme bereit.
Linux-Container unter Windows
IoT Edge für Linux unter Windows hostet auf Ihrem Window-Gerät einen virtuellen Linux-Computer. Der virtuelle Computer wird mit der IoT Edge-Runtime vorinstalliert. Updates werden über Microsoft Update verwaltet.
Für die Ausführung von IoT Edge auf Windows-Geräten wird die Verwendung von IoT Edge für Linux unter Windows empfohlen. Weitere Informationen finden Sie unter Was ist Azure IoT Edge für Linux unter Windows?.
Windows-Container unter Windows
IoT Edge unterstützt ab Version 1.2 keine Windows-Container. Windows-Container werden nicht über Version 1.1 hinaus unterstützt.
Auswählen der Bereitstellung von Geräten
Sie können je nach Anforderungen Ihrer IoT-Edge-Lösung ein einzelnes Gerät oder mehrere Geräte im gewünschten Umfang bereitstellen.
Die zur Authentifizierung der Kommunikation zwischen Ihren IoT Edge-Geräten und IoT-Hubs verfügbaren Optionen hängen von der gewählten Bereitstellungsmethode ab. Weitere Informationen zu diesen Optionen finden Sie im Abschnitt Auswählen einer Authentifizierungsmethode.
Einzelgerät
Die Bereitstellung eines Einzelgeräts entspricht der Bereitstellung eines IoT-Edgegeräts ohne Unterstützung durch den IoT Hub Device Provisioning Service (DPS). Die Bereitstellung von Einzelgeräten wird auch als manuelle Bereitstellung bezeichnet.
Bei der Bereitstellung von Einzelgeräten müssen Sie die Bereitstellungsinformationen, z. B. eine Verbindungszeichenfolge, manuell auf Ihren Geräten eingeben. Die manuelle Bereitstellung lässt sich schnell und einfach für nur wenige Geräte einrichten, wobei jedoch der Aufwand mit der Anzahl der Geräte steigt. Die Bereitstellung ist hilfreich, wenn Sie die Skalierbarkeit Ihrer Lösung berücksichtigen.
Die Authentifizierungsmethoden Symmetrischer Schlüssel und X.509, selbstsigniert sind für die manuelle Bereitstellung verfügbar. Weitere Informationen zu diesen Optionen finden Sie im Abschnitt Auswählen einer Authentifizierungsmethode.
Mehrere Geräte im gewünschten Umfang
Die Gerätebereitstellung im gewünschten Umfang entspricht der Bereitstellung eines oder mehrerer IoT Edge-Geräte mithilfe des IoT Hub Device Provisioning Service (DPS). Die Bereitstellung im gewünschten Umfang wird auch als automatische Bereitstellung bezeichnet.
Wenn Ihre IoT Edge-Lösung mehrere Geräte benötigt, erspart Ihnen die automatische Bereitstellung mit DPS die manuelle Eingabe von Bereitstellungsinformationen in die Konfigurationsdateien der einzelnen Geräte. Dieses automatisierte Modell erlaubt eine Skalierung auf Millionen von IoT Edge-Geräten.
Sie können Ihre IoT Edge-Lösung mit der Authentifizierungsmethode Ihrer Wahl schützen. Die Authentifizierungsmethoden Symmetrischer Schlüssel, X.509-Zertifikate und TPM-Nachweis (Trusted Platform Module) sind für die Bereitstellung von Geräten im gewünschten Umfang verfügbar. Weitere Informationen zu diesen Optionen finden Sie im Abschnitt Auswählen einer Authentifizierungsmethode.
Weitere Informationen zu den Features von DPS finden Sie im Abschnitt „Features“ der Übersichtsseite.
Auswählen einer Authentifizierungsmethode
X.509-Zertifikatnachweis
Die Verwendung von X.509-Zertifikaten als Nachweismechanismus ist die empfohlene Möglichkeit, die Produktion zu skalieren und die Gerätebereitstellung zu vereinfachen. X.509-Zertifikate werden normalerweise in einer Zertifikatvertrauenskette angeordnet. Beginnend mit einem selbst signierten oder vertrauenswürdigen Stammzertifikat signiert jedes Zertifikat in der Kette das nächstniedrigere Zertifikat. Mit diesem Muster wird eine delegierte Vertrauenskette vom Stammzertifikat über jedes Zwischenzertifikat bis zum endgültigen Zertifikat für nachgeschaltete Geräte erstellt, das auf einem Gerät installiert ist.
Sie erstellen zwei X. 509-Identitätszertifikate und bewahren diese auf dem Gerät auf. Wenn Sie in IoT Hub eine neue Geräteidentität erstellen, geben Sie Fingerabdrücke aus beiden Zertifikaten an. Wenn sich das Gerät bei IoT Hub authentifiziert, übergibt es ein Zertifikat, und IoT Hub überprüft, ob das Zertifikat mit dem Fingerabdruck übereinstimmt. Die X.509-Schlüssel auf dem Gerät sollten in einem Hardwaresicherheitsmodul (HSM) gespeichert werden. Beispiel: PKCS#11-Module, ATECC, dTPM usw.
Diese Authentifizierungsmethode ist sicherer als symmetrische Schlüssel und unterstützt Gruppenregistrierungen, die eine vereinfachte Verwaltung für eine große Anzahl von Geräten ermöglichen. Diese Authentifizierungsmethode wird in Produktionsszenarien empfohlen.
TPM-Nachweis (Trusted Platform Module)
Der TPM-Nachweis is eine Methode der Gerätebereitstellung, die Authentifizierungsfunktionen sowohl in der Software als auch der Hardware nutzt. Jeder TPM-Chip verwendet einen eindeutigen Endorsement Key, um seine Authentizität zu bestätigen.
Der TPM-Nachweis ist nur für die Bereitstellung in großem Umfang mit DPS verfügbar und unterstützt nur individuelle und keine Gruppenregistrierungen. Gruppenregistrierungen sind aufgrund der gerätebezogenen Natur von TPM nicht möglich.
TPM 2.0 ist erforderlich, wenn Sie den TPM-Nachweis beim Device Provisioning Service verwenden.
Diese Authentifizierungsmethode ist sicherer als symmetrische Schlüssel und wird in Produktionsszenarien empfohlen.
Nachweis des symmetrischen Schlüssels
Der Nachweis des symmetrischen Schlüssels ist eine einfache Methode zum Authentifizieren eines Geräts. Diese Nachweismethode stellt eine „Hallo Welt“-Umgebung für Entwickler bereit, die noch nicht mit der Gerätebereitstellung vertraut sind oder keine strengen Sicherheitsanforderungen haben.
Wenn Sie in IoT Hub eine neue Geräteidentität erstellen, erstellt der Dienst zwei Schlüssel. Ein Schlüssel befindet sich auf dem Gerät, den es bei der Authentifizierung in IoT Hub vorzeigt.
Diese Authentifizierungsmethode lässt sich zwar schneller einrichten, ist aber nicht so sicher. Die Gerätebereitstellung mit TPM oder X.509-Zertifikaten ist sicherer und sollte für Lösungen mit strengeren Sicherheitsanforderungen gewählt werden.
Nächste Schritte
Anhand des Inhaltsverzeichnisses können Sie zum entsprechenden Gesamtleitfaden für die Erstellung eines IoT Edge-Geräts für die Plattform-, Bereitstellungs- und Authentifizierungsanforderungen Ihrer IoT Edge-Lösung navigieren.
Sie können auch die folgenden Links verwenden, um zum entsprechenden Artikel zu wechseln.
Linux-Container auf Linux-Hosts
Manuelles Bereitstellen eines einzelnen Geräts:
- Bereitstellen eines einzelnen Linux-Geräts mit X.509-Zertifikaten
- Bereitstellen eines einzelnen Linux-Geräts mit symmetrischen Schlüsseln
Bereitstellen mehrerer Geräte im gewünschten Umfang:
- Bereitstellen von Linux-Geräten im gewünschten Umfang mit X.509-Zertifikaten
- Bereitstellen von Linux-Geräten im gewünschten Umfang mithilfe des TPM-Nachweises
- Bereitstellen von Linux-Geräten im gewünschten Umfang mit symmetrischen Schlüsseln
Linux-Container auf Windows-Hosts
Manuelles Bereitstellen eines einzelnen Geräts:
- Bereitstellen eines einzelnen Linux-Geräts unter Windows mit X.509-Zertifikaten
- Bereitstellen eines einzelnen Linux-Geräts unter Windows mit symmetrischen Schlüsseln
Bereitstellen mehrerer Geräte im gewünschten Umfang: