Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Az IoT Hub Device Provisioning Service (DPS) az IoT Hub segédszolgáltatása, amely emberi beavatkozás nélkül teszi lehetővé a megfelelő IoT Hub érintés nélküli, igény szerinti kiépítését. Egy felhőalapú megoldásban a DPS több millió eszköz biztonságos és méretezhető kiépítését teszi lehetővé. A kiépítésben hagyományosan részt vevő manuális lépések nagy része automatizált a DPS-vel, hogy csökkentse az IoT-eszközök üzembe helyezésének idejét, és csökkentse a manuális hibák kockázatát.
A Device Provisioning Service működése
Az alábbi ábra azt ismerteti, hogy mi történik a színfalak mögött egy eszköz DPS-vel való kiépítéséhez.
Az eszközkiépítési folyamat megkezdése előtt két manuális lépést kell előkészíteni:
- Az eszközoldalon az eszköz gyártója előkészíti az eszközt a kiépítésre úgy, hogy előre konfigurálja a hitelesítési hitelesítő adataival, valamint a hozzárendelt Device Provisioning Service-azonosítóval és -végponttal.
- A felhőoldalon Ön vagy az eszköz gyártója előkészíti a Device Provisioning Service-példányt olyan regisztrációkkal, amelyek azonosítják az érvényes eszközöket, és meghatározzák azok üzembe helyezésének módját.
Miután az eszközt és a felhőt beállították a kiépítéshez, a következő lépések automatikusan megkezdődnek, amikor az eszköz először bekapcsol.
- Az eszköz először bekapcsol, majd csatlakozik a DPS-végponthoz, és bemutatja a hitelesítési hitelesítő adatait.
- A DPS-példány ellenőrzi az eszköz identitását a regisztrációs listán. Az eszközidentitás ellenőrzése után a DPS hozzárendeli az eszközt egy IoT Hubhoz, és regisztrálja azt a központban.
- A DPS-példány megkapja az eszközazonosítót és a regisztrációs adatokat a hozzárendelt központtól, és átadja ezeket az információkat az eszköznek.
- Az eszköz a regisztrációs adataival közvetlenül csatlakozik a hozzárendelt IoT Hubhoz, és hitelesíti azt.
- Az eszköz és az IoT Hub közvetlenül kommunikál. A DPS-példánynak nincs további közvetítői szerepe, kivéve, ha az eszközt újra kell konfigurálni.
Mikor érdemes használni a Device Provisioning Service-t?
Számos kiépítési forgatókönyv létezik, amelyekben a DPS kiváló választás az eszközök IoT Hubhoz való csatlakoztatásához és konfigurálásához, például:
- Érintésmentes kiépítés egyetlen IoT-megoldásra, az IoT Hub-kapcsolati adatok gyári kódolása nélkül (kezdeti telepítés)
- Terheléselosztási eszközök több központban
- Eszközök csatlakoztatása a tulajdonos IoT-megoldásához az értékesítési tranzakciók adatai alapján (több-bérlős)
- Eszközök csatlakoztatása egy adott IoT-megoldáshoz a használati esettől függően (megoldáselkülönítés)
- Az eszközök legkisebb mértékű késleltetéssel rendelkező IoT Hubhoz való csatlakoztatása (földrajzi horizontális skálázás)
- Ismételt telepítés az eszközt érintő változás alapján
- Az eszköz által az IoT Hubhoz való csatlakozáshoz használt kulcsok váltása (nem X.509-tanúsítványokkal történő csatlakozás esetében)
A DPS nem támogatja a beágyazott IoT Edge-eszközök (szülő-gyermek hierarchiák) kiépítését.
Az előkészítési folyamat
A DPS-sel történő eszközkiépítés előtt két lépésre van szükség:
- A gyártási lépés, amely során az eszközt előállítják és előkészítik a gyárban, valamint
- A felhőalapú telepítési lépés, amelynek keretében a Device Provisioning Service-t automatikus üzembe helyezésre konfigurálják.
Mindkét lépés beépíthető a meglévő gyártási és üzembehelyezési folyamatokba. A DPS néhány olyan üzembehelyezési folyamatot is leegyszerűsít, amelyek manuális munkát igényelnek a kapcsolati információk eszközre való lekéréséhez.
Gyártási lépés
Ez a lépés a gyártósoron történő műveletekről szól. A lépésben érintett szerepkörök közé tartozik a szilíciumtervező, a szilíciumgyártó, az integrátor és/vagy az eszköz végfelhasználója. Ez a lépés magának a hardvernek a gyártásáról szól.
A DPS nem vezet be új lépést a gyártási folyamatba; hanem a meglévő lépéshez, amely telepíti a kezdeti szoftvert, és (ideális esetben) a hardveres biztonsági modult (HSM) az eszközön. Ahelyett, hogy ebben a lépésben létrehoz egy eszközazonosítót, az eszköz be van programozva a kiépítési szolgáltatás adataival, lehetővé téve, hogy meghívja a kiépítési szolgáltatást, hogy bekapcsoláskor lekérje a kapcsolati adatait/IoT-megoldás-hozzárendelését.
Szintén ebben a lépésben látja el a gyártó az eszköz telepítőjét/kezelőjét azonosítókulcs-adatokkal. Ezen adatok átadása lehet egyszerű, mint például annak megerősítése, hogy mindegyik eszköz a telepítője/kezelője által biztosított aláíró tanúsítványból létrehozott X.509-tanúsítvánnyal rendelkezik, illetve bonyolult, mint például a TPM-ellenőrzőkulcs nyilvános részének kinyerése mindegyik TPM-eszközből. Számos szilíciumgyártó kínálja ezeket a szolgáltatásokat.
Felhőalapú telepítési lépés
Ennek a lépésnek a lényege a felhő megfelelő automatikus üzembe helyezésre való konfigurálása. A felhőalapú telepítési lépésben általában kétféle felhasználó vesz részt: az, aki tudja, hogyan kell elvégezni az eszközök kezdeti beállítását (eszközkezelő), és az, aki tudja, hogyan kell elosztani az eszközöket az IoT Hubok között (megoldáskezelő).
A kiépítési szolgáltatás kezdeti, egyszeri beállítását a megoldásért felelős személy általában kezeli. A kiépítési szolgáltatás konfigurálása után nem kell módosítani, hacsak a használati eset nem változik.
Miután a szolgáltatás automatikus kiépítésre van konfigurálva, fel kell készülnie az eszközök regisztrálására. Ezt a lépést az eszköz üzemeltetője végzi, aki ismeri az eszközök kívánt konfigurációját, és gondoskodik arról, hogy a kiépítési szolgáltatás megfelelően igazolja az eszköz identitását. Az eszközkezelő hozzáadja a gyártótól kapott azonosítókulcs-adatokat a regisztrációs listához. A regisztrációs lista későbbi frissítése lehetséges, ha új bejegyzéseket adnak hozzá, vagy a létező bejegyzéseket frissítik az eszközökre vonatkozó legfrissebb adatokkal.
Regisztráció és üzembe helyezés
Az üzembe helyezés különféle jelentéseket takarhat attól függően, mely iparágban használják. Az IoT-eszközök felhőalapú megoldáson való üzembe helyezésének kontextusában az üzembe helyezés kétrészes folyamat:
- Az első lépés a kezdeti kapcsolat létesítése az eszköz és az IoT-megoldás között az eszköz regisztrálása révén.
- A második lépés a megfelelő konfiguráció alkalmazása az eszközre annak a megoldásnak az egyéni követelményei alapján, amelyre az eszközt regisztrálták.
Miután mindkét lépés befejeződött, elmondhatjuk, hogy az eszköz teljesen ki van építve.
Az Device Provisioning Service funkciói
A DPS számos funkcióval rendelkezik, amelyek ideálissá teszik az eszközök beállításához.
- Biztonságos hitelesítés támogatása mind X.509-, mind TPM-alapú identitásokhoz.
- A regisztrációs lista tartalmazza az egy adott időpontban regisztrálható eszközök/eszközcsoportok teljes rekordját. A regisztrációs lista információkat tartalmaz az eszköz kívánt konfigurációjáról a regisztráció után, és bármikor frissíthető.
- Több foglalási szabályzattal szabályozható, hogy a DPS hogyan rendel eszközöket az IoT Hubokhoz a forgatókönyvek támogatása érdekében: a legalacsonyabb késés, az egyenletesen súlyozott elosztás (alapértelmezett) és a statikus konfiguráció. Az egyéni foglalás lehetővé teszi saját foglalási szabályzatok implementálását az Azure Functionsben üzemeltetett webhookokon keresztül az alapértelmezett beállítások használata helyett.
- A Monitorozás és diagnosztikai naplózás érdekében, hogy biztosítsuk, hogy minden megfelelően működjön.
- A több hubos támogatás lehetővé teszi, hogy a DPS több IoT Hubhoz rendeljen eszközöket. A DPS több Azure-előfizetésben is kommunikálhat a központokkal.
- A régiók közötti támogatás lehetővé teszi, hogy a DPS más régiókban lévő IoT Hubokhoz rendeljen eszközöket.
- A inaktív adatok titkosítása lehetővé teszi, hogy a DPS-ben lévő adatok transzparens módon titkosíthatók és visszafejthetők legyenek 256 bites AES-titkosítással, amely az egyik legerősebb blokktitkosítás, és a FIPS 140-2-kompatibilis.
Az eszközkiépítéssel kapcsolatos fogalmakkal és funkciókkal kapcsolatos további információkért tekintse át a DPS terminológiai cikkét, valamint az ugyanabban a szakaszban található többi fogalmi cikket.
Többplatformos támogatás
Az összes Azure IoT-szolgáltatáshoz hasonlóan a DPS is platformfüggetlenül működik a különböző operációs rendszerekkel. Az Azure különböző nyelveken kínál nyílt forráskódú SDK-kat az eszközök csatlakoztatásának és a szolgáltatás felügyeletének megkönnyítése érdekében.
A DPS az alábbi protokollokat támogatja az eszközök csatlakoztatásához:
- HTTPS*
- AMQP
- AMQP WebSocketen keresztül
- MQTT
- MQTT WebSocketen keresztül
*A DPS csak a szolgáltatásműveletek HTTPS-kapcsolatait támogatja.
Régiók
A DPS számos régióban elérhető. Az összes szolgáltatás támogatott régióinak listájáért tekintse meg az Azure-régiókat. Az Eszközkiépítési szolgáltatás elérhetőségét az Azure állapotlapján ellenőrizheti.
A rugalmasság és a megbízhatóság érdekében javasoljuk, hogy helyezzen üzembe a rendelkezésre állási zónákat támogató régiók egyikében.
Adattárolási szempont
A Device Provisioning Service tárolja az ügyféladatokat. Alapértelmezés szerint az ügyféladatok replikálva lesznek egy másodlagos régióba a vészhelyreállítási forgatókönyvek támogatásához. Délkelet-Ázsia és Dél-Brazília üzemelő példányai esetében az ügyfelek dönthetnek úgy, hogy csak az adott régióban őrzik meg adataikat a vészhelyreállítás letiltásával. További információ: Régiók közötti replikáció az Azure-ban.
A DPS ugyanazt az eszközkiépítési végpontot használja az összes kiépítési szolgáltatáspéldányhoz, és elvégzi a forgalom terheléselosztását a legközelebbi elérhető szolgáltatásvégponton. Ennek eredményeképpen előfordulhat, hogy a hitelesítési titkos kulcsok ideiglenesen át lesznek helyezve azon a régión kívül, ahol a DPS-példányt eredetileg létrehozták. Az eszköz csatlakoztatása után azonban az eszköz adatai közvetlenül a DPS-példány eredeti régiójába kerülnek. Annak érdekében, hogy az adatok ne hagyják el az eredeti vagy a másodlagos régiót, használjon privát végpontot. A privát végpontok beállításának megismeréséhez tekintse meg a DPS virtuális hálózatokhoz való támogatását.
Kvóták és korlátok
Minden Azure-előfizetés rendelkezik olyan alapértelmezett kvótakorlátokkal, amelyek hatással lehetnek az IoT-megoldás hatókörére. Az aktuális korlát előfizetésenként 10 Device Provisioning Service-példány.
További információ a kvótakorlátokról: Azure-előfizetési szolgáltatási korlátok.
A szolgáltatás egyes területeinek szabályozható korlátai vannak. Az alábbi táblázatok egy Állítható? oszlopot tartalmaznak. Ha a korlát állítható, a Állítható? érték Igen.
Az a tényleges érték, amelyre a korlát módosítható, az üzembe helyezéstől függően változhat. Nagyon nagy telepítésekhez több DPS-példányra is szükség lehet.
Ha vállalata magasabb állítható korlátot vagy kvótát igényel, nyisson meg egy támogatási jegyet , hogy további erőforrásokat kérjen. A kérelem növelése nem garantált, mert minden esethez egyéni felülvizsgálat szükséges. A megvalósítás során a lehető leghamarabb vegye fel a kapcsolatot a Microsoft ügyfélszolgálatával, hogy a csapat eldönthesse, jóváhagyja-e a kérést, és segít-e ennek megfelelően tervezni.
Az alábbi táblázat az Azure IoT Hub Device Provisioning Service-erőforrásokra vonatkozó korlátozásokat sorolja fel.
| Erőforrás | Határ | Adjustable? |
|---|---|---|
| Eszközkiépítési szolgáltatások maximális száma Azure-előfizetésenként | 10 | Igen |
| Regisztrációk maximális száma | 1,000,000 | Igen |
| Egyéni regisztrációk maximális száma | 1,000,000 | Igen |
| Regisztrációs csoportok maximális száma (X.509 tanúsítvány) | 100 | Igen |
| Regisztrációs csoportok maximális száma (szimmetrikus kulcs) | 100 | Nem |
| A hitelesítésszolgáltatók maximális száma | 25 | Igen |
| Csatolt IoT Hubok maximális száma | 50 | Nem |
| Az üzenet maximális mérete | 96 KB | Nem |
Tipp.
Ha a szimmetrikus kulcsbeiratkozási csoportok szigorú korlátja problémát okoz, használjon egyéni beiratkozásokat kerülő megoldásként.
A Device Provisioning Service a következő díjkorlátokkal rendelkezik.
| Arány | Egységenkénti érték | Adjustable? |
|---|---|---|
| Üzemeltetés | 1 000 / percenként / szolgáltatás | Igen |
| Eszközregisztrációk | 1 000 / percenként / szolgáltatás | Igen |
| Eszköz lekérdezési művelete | 5/10 mp/eszköz | Nem |
Számlázható szolgáltatásműveletek és díjszabás
A DPS minden API-hívása, akár a szolgáltatás API-jából, akár az eszközregisztrációs API-ból történik, egyetlen műveletként számlázható.
Az alábbi táblázatok az egyes DPS API-műveletek aktuális számlázható állapotát mutatják be. A DPS díjszabásával kapcsolatos további információkért válassza az Azure IoT Hub díjszabási oldalának tetején található Díjszabás táblát. Ezután válassza az IoT Hub Device Provisioning Service lapot, valamint a szolgáltatás pénznemét és régióját.
| API | Művelet | Számlázható? |
|---|---|---|
| DPS Device API – futtatókörnyezet regisztrálása | ||
| Eszközregisztrációs állapotkeresés | Nem | |
| Művelet állapot kerésés | Nem | |
| Eszköz regisztrálása | Igen | |
| DPS Service API – eszközregisztrációs állapot | Összes | Igen |
| DPS Service API – regisztrációs csoport | Összes | Igen |
| DPS Service API – egyéni regisztráció | Összes | Igen |
| DPS-tanúsítvány API | Összes | Nem |
| IoT DPS Resource API | Összes | Nem |
Kapcsolódó Azure-összetevők
A DPS automatizálja az eszközök kiépítését az Azure IoT Hubbal. További információk az IoT Hubról.
Az IoT Central-alkalmazások belső DPS-példányt használnak az eszközkapcsolatok kezeléséhez. További információ: Hogyan csatlakoznak az eszközök az IoT Centralhoz.
Következő lépések
Az IoT Hub Device Provisioning Service beállítása az Azure Portallal