Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Az IoT Hub Device Provisioning Service (DPS) az IoT Hub segédszolgáltatása, amely lehetővé teszi az eszközök érintés nélküli kiépítését az IoT Hubokon. Az Eszközkiépítési szolgáltatással több millió eszközt építhet ki biztonságos és méretezhető módon.
Az eszközkiépítés két részből áll.
- Az első rész az eszköz regisztrálásával hozza létre az eszköz és az IoT-megoldás közötti kezdeti kapcsolatot.
- A második rész a megoldás konkrét követelményei alapján alkalmazza a megfelelő konfigurációt az eszközre.
Miután mindkét lépés befejeződött, az eszköz teljesen ki van építve. A Device Provisioning Service a két lépés automatizálásával biztosítja az eszközök zökkenőmentes kiépítését.
Ez a cikk áttekintést nyújt a szolgáltatás kezelésére vonatkozó kiépítési fogalmakról. Ez a cikk leginkább azoknak a személyeknek szól, akik részt vesznek az eszközök üzembe helyezésre való felkészítésének felhőbeállítási lépésében .
Szolgáltatásműveleti végpont
A szolgáltatásműveleti végpont a szolgáltatásbeállítások kezelésére és a regisztrációs lista karbantartására szolgáló végpont. Ezt a végpontot csak a szolgáltatásadminisztrátor használja; az eszközök nem használják.
Eszközkiépítési végpont
Az eszközkiépítési végpont az a végpont, amelyet az eszközök a kiépítéshez használnak. Bár minden DPS-példány ugyanazt a globális végpontgazdanevet (global.azure-devices-provisioning.net) használja, minden eszköznek meg kell adnia azt az egyedi azonosító hatókört is, amely azonosítja az adott DPS-példányt a kiépítési folyamat során. Ez azt jelenti, hogy a különböző DPS-példányokra kiépített eszközök különböző azonosítótartomány-értékeket használnak, amelyek eszközkonfigurációt vagy belső vezérlőprogram-frissítéseket igényelnek az eszközök különböző DPS-példányok közötti áthelyezésekor több kiépítési szolgáltatást (például több mint 1 millió eszközt tartalmazó üzembe helyezéseket) érintő helyzetekben.
IoT-központokkal összekapcsolva
A Device Provisioning Service csak a hozzá társított IoT Hubokhoz tud eszközöket kiépíteni. Az IoT Hub és a Device Provisioning Service egy példányának összekapcsolása olvasási/írási engedélyeket ad a szolgáltatásnak az IoT Hub eszközregisztrációs adatbázisához. A hivatkozással a Device Provisioning Service regisztrálhat egy eszközazonosítót, és beállíthatja a kezdeti konfigurációt az ikereszközben. A csatolt IoT Hubok bármely Azure-régióban lehetnek. Más előfizetésekben lévő hálózati csomópontokat összekapcsolhatja a provisioning szolgáltatással.
További információ: IoT Hubok csatolása és kezelése
Foglalási szabályzat
A kiosztási szabályzat egy szolgáltatásszintű beállítás, amely meghatározza, hogy a Device Provisioning Service hogyan rendel eszközöket egy IoT Hubhoz. Négy támogatott allokációs irányelv létezik:
Egyenletesen súlyozott elosztás: a csatolt IoT Hubok ugyanolyan valószínűséggel rendelkeznek az eszközök üzembe helyezésére. Az alapértelmezett beállítás. Ha csak egy IoT Hubra épít ki eszközöket, megtarthatja ezt a beállítást.
Legalacsonyabb késés: az eszközök ki vannak építve egy IoT Hubra, amely a legalacsonyabb késést jelenti az eszközön. Ha több csatolt IoT Hub is ugyanazt a legalacsonyabb késést nyújtaná, a kiépítési szolgáltatás az összes ilyen hubon kivonatot ad az eszközökről
Statikus konfiguráció a regisztrációs listával: a regisztrációs listában a kívánt IoT Hub specifikációja elsőbbséget élvez a szolgáltatásszintű foglalási szabályzattal szemben.
Egyéni (Azure-függvény használata):: Az egyéni foglalási szabályzatok nagyobb mértékben szabályozják az eszközök IoT Hubhoz való hozzárendelését. Az egyéni elosztási szabályzatok egy Azure-függvény segítségével rendelnek eszközöket egy IoT-hubhoz. Az eszközkiépítési szolgáltatás meghívja az Azure-függvénykódot, amely minden releváns információt megad az eszközről és a kód regisztrálásáról. A rendszer végrehajtja a függvénykódot, és visszaadja az eszköz kiépítéséhez használt IoT Hub-adatokat. További információért tekintse meg az Oktatóanyagot: Egyéni hozzárendelési szabályzatok használata a Device Provisioning Service (DPS) szolgáltatásnál.
További információért lásd Hogyan használjuk az allokációs szabályzatokat az eszközök IoT hubokon való kiépítéséhez.
Bejegyzés
A regisztráció azon eszközök vagy eszközcsoportok rekordja, amelyek automatikusan regisztrálhatók. A regisztrációs rekord információkat tartalmaz az eszközről vagy eszközcsoportról, beleértve a következőket:
- Az eszköz által használt igazolási mechanizmus
- Az opcionális kezdeti kívánt konfiguráció
- A kívánt IoT Hub
- A kívánt eszközazonosító
A Device Provisioning Service kétféle regisztrációt támogat: regisztrációs csoportokat és egyéni regisztrációkat.
Regisztrációs csoport
A regisztrációs csoport egy olyan eszközcsoport, amely egy adott igazolási mechanizmussal rendelkezik. A regisztrációs csoportok támogatják az X.509 tanúsítványt vagy szimmetrikus kulcsigazolást.
A regisztrációs csoport nevének és az eszközök által megjelenített regisztrációs azonosítóknak alfanumerikus karakterekből és speciális karakterekből álló kis- és nagybetűknek kell lenniük: - . _ :. Az utolsó karakternek alfanumerikusnak vagy kötőjelnek (-) kell lennie. A regisztrációs csoport neve legfeljebb 128 karakter hosszú lehet. Szimmetrikus kulcsregisztrációs csoportokban az eszközök által megjelenített regisztrációs azonosítók legfeljebb 128 karakter hosszúak lehetnek. Az X.509 regisztrációs csoportokban azonban, mivel az X.509-tanúsítványokban a tulajdonos közös nevének maximális hossza 64 karakter, a regisztrációs azonosítók legfeljebb 64 karakter hosszúságúak.
Az X.509 regisztrációs csoportban lévő eszközök olyan X.509-tanúsítványokat mutatnak be, amelyeket ugyanaz a legfelső szintű vagy köztes hitelesítésszolgáltató (CA) ír alá. Az egyes eszközök végfelhasználói tanúsítványának (levéltanúsítványának) tulajdonosi köznapi neve (CN) lesz az adott eszköz regisztrációs azonosítója. A szimmetrikus kulcsregisztrációs csoportban lévő eszközök a csoport szimmetrikus kulcsából származtatott SAS-jogkivonatokat mutatnak be.
A regisztrációs csoportban lévő eszközök esetében a regisztrációs azonosító az IoT Hubon regisztrált eszközazonosítóként is használatos.
Jótanács
Javasoljuk, hogy nagy számú olyan eszközhöz használjon regisztrációs csoportot, amely a kívánt kezdeti konfigurációval rendelkezik, vagy olyan eszközökhöz, amelyek mindegyike ugyanarra a bérlőre kerül.
Egyéni regisztráció
Az egyéni regisztráció egy olyan eszköz bejegyzése, amely regisztrálható. Az egyéni regisztrációk az igazolási mechanizmusként X.509 levéltanúsítványokat vagy SAS-jogkivonatokat (fizikai vagy virtuális TPM-ből) használhatnak.
Az egyéni regisztráció regisztrációs azonosítója egy kis- és nagybetűket nem megkülönböztető sztring, amely alfanumerikus karakterekből és speciális karakterekből áll: - . _ :. Az utolsó karakternek alfanumerikusnak vagy kötőjelnek (-) kell lennie. A DPS legfeljebb 128 karakter hosszú regisztrációs azonosítókat támogat.
Az X.509 egyéni regisztrációk esetében a tanúsítvány tulajdonosának köznapi nevének (CN) meg kell egyeznie a regisztrációs azonosítóval, így a köznapi névnek meg kell felelnie a regisztrációs azonosító sztringformátumának. A tulajdonos köznapi neve legfeljebb 64 karakter hosszúságú lehet, ezért az X.509-regisztrációk esetében a regisztrációs azonosító legfeljebb 64 karakter hosszúságú lehet.
Előfordulhat, hogy az egyes regisztrációkhoz meg van adva a kívánt IoT Hub-eszközazonosító a regisztrációs bejegyzésben. Ha nincs megadva, a regisztrációs azonosító lesz az IoT Hubon regisztrált eszközazonosító.
Jótanács
Javasoljuk, hogy egyéni regisztrációkat használjunk egyedi kezdeti konfigurációt igénylő eszközökhöz, vagy olyan eszközökhöz, amelyek csak TPM-igazolással tudnak hitelesíteni SAS-jogkivonatokkal.
Igazolási mechanizmus
Az igazolási mechanizmus az eszköz identitásának megerősítésére használt módszer. Az igazolási mechanizmus egy regisztrációs bejegyzésen van konfigurálva, és közli a kiépítési szolgáltatással, hogy melyik módszert kell használni az eszköz személyazonosságának ellenőrzésekor a regisztráció során.
Megjegyzés:
Az IoT Hub a szolgáltatás hasonló koncepciójának "hitelesítési sémáját" használja.
A Device Provisioning Service az alábbi igazolási formákat támogatja:
- X.509-tanúsítványok a szabványos X.509-tanúsítványhitelesítési folyamat alapján. További információ: X.509 tanúsítványigazolás.
- Megbízható platformmodul (TPM) egy egyszer használatos kihívás alapján, a kulcsok TPM-szabványának használatával egy aláírt megosztott hozzáférési aláírás (SAS) jogosultságkódot jelenít meg. Ehhez nincs szükség fizikai TPM-re az eszközön, de a szolgáltatás elvárja, hogy a TPM specifikációja szerinti ellenőrző kulccsal igazolja. További információ: TPM-igazolás.
- Szimmetrikus kulcs a közös hozzáférésű jogosultságkódon (SAS) alapuló SAS-jogkivonatokon, amelyek kivonatolt aláírást és beágyazott lejáratot tartalmaznak. További információ: Szimmetrikus kulcsigazolás.
Hardveres biztonsági modul
A hardveres biztonsági modult vagy HSM-et az eszköz titkos kulcsainak biztonságos, hardveralapú tárolására használják, és ez a titkos kulcsok tárolásának legbiztonságosabb formája. Az X.509-tanúsítványok és az SAS-jogkivonatok is tárolhatók egy HSM-ben.
Jótanács
Határozottan javasoljuk, hogy használjon HSM-et eszközökkel a titkos kódok biztonságos tárolásához az eszközein.
Az eszköz titkos kódjai szoftverben (memóriában) is tárolhatók, de kevésbé biztonságos tárolási forma, mint a HSM.
Azonosító hatóköre
Az azonosító hatóköre a létrehozáskor egy eszközkiépítési szolgáltatáshoz van rendelve, és az adott kiépítési szolgáltatás egyedi azonosítására szolgál. A szolgáltatás létrehozza az azonosító hatókörét, amely nem módosítható, és garantálja az egyediséget. Az azonosító hatókörének egyedisége fontos a hosszú ideig futó üzembe helyezési műveletek, valamint az egyesülési és felvásárlási forgatókönyvek esetében.
Regisztrációs rekord
A regisztrációs rekord egy eszköz sikeres IoT Hubhoz való regisztrációját/előkészítését rögzíti a Device Provisioning Service-en keresztül. A regisztrációs rekordok automatikusan létrejönnek; törölhetők, de nem frissíthetők.
Regisztráció azonosítója
A regisztrációs azonosítóval egyedileg azonosíthatja az eszközregisztrációt a Device Provisioning Service szolgáltatással. A regisztrációs azonosítónak egyedinek kell lennie a szolgáltatáskiépítési azonosító hatókörén belül. Minden eszköznek rendelkeznie kell regisztrációs azonosítóval. A regisztrációs azonosító egy kis- és nagybetűket nem megkülönböztető karakterlánc, amely alfanumerikus karakterekből és speciális karakterekből áll: - . _ :. Az utolsó karakternek alfanumerikusnak vagy kötőjelnek (-) kell lennie. A DPS legfeljebb 128 karakter hosszú regisztrációs azonosítókat támogat.
- A TPM-igazolással a regisztrációs azonosítót maga a TPM adja meg.
- X.509-alapú igazolás esetén a regisztrációs azonosító az eszköztanúsítvány tulajdonosi köznapi nevére (CN) van állítva. Ezért a közhasználatú névnek meg kell felelnie a regisztrációs azonosító sztring formátumának. A regisztrációs azonosító azonban legfeljebb 64 karakter hosszúságú lehet, mivel az X.509-tanúsítványban ez a tulajdonos közös nevének maximális hossza.
Eszközazonosító
Az eszközazonosító az IoT Hubban megjelenő azonosító. A kívánt eszközazonosító beállítható a regisztrációs bejegyzésben, de nem szükséges beállítani. A kívánt eszközazonosító beállítása csak az egyes regisztrációkban támogatott. Ha nincs megadva kívánt eszközazonosító a regisztrációs listában, a regisztrációs azonosító lesz az eszközazonosító az eszköz regisztrálásakor. Az IoT Hub eszközazonosítóiról további információt az IoT Hub identitásjegyzékének ismertetése című témakörben talál.
Műveletek
A műveletek a Device Provisioning Service számlázási egységei. Az egyik művelet egy utasítás sikeres végrehajtása a szolgáltatás számára. A műveletek tartalmazhatnak eszközregisztrációkat és újraregisztrációkat, valamint szolgáltatásoldali módosításokat, például regisztrációs listabejegyzések hozzáadását és frissítését.