Bagikan melalui


Membuat perangkat IoT Edge

Berlaku untuk: Tanda centang IoT Edge 1.5 IoT Edge 1.5 Tanda centang IoT Edge 1.4 IoT Edge 1.4

Penting

IoT Edge 1.5 LTS dan IoT Edge 1.4 LTS adalah rilis yang didukung. IoT Edge 1.4 LTS adalah akhir masa pakai pada 12 November 2024. Jika Anda menggunakan rilis sebelumnya, lihat Memperbarui IoT Edge.

Artikel ini memberikan gambaran umum tentang opsi yang tersedia bagi Anda untuk menginstal dan memprovisikan IoT Edge di perangkat Anda.

Artikel ini memberikan tampilan semua opsi untuk solusi IoT Edge Anda dan membantu Anda:

Di akhir artikel ini, Anda akan memiliki gambaran yang jelas tentang opsi platform, provisi, dan autentikasi apa yang ingin Anda gunakan untuk solusi IoT Edge Anda.

Memulai

Jika Anda tahu jenis opsi platform, provisi, dan autentikasi apa yang ingin digunakan untuk membuat perangkat IoT Edge, gunakan tautan dalam tabel berikut untuk memulai.

Jika Anda menginginkan informasi selengkapnya tentang cara memilih opsi yang tepat untuk Anda, lanjutkan melalui artikel ini untuk mempelajari lebih lanjut.

Kontainer Linux di host Linux Kontainer Linux di host Windows
Provisi manual (perangkat tunggal) Sertifikat X.509

Kunci konten
Sertifikat X.509

Kunci konten
Provisi otomatis (perangkat dalam skala besar) Sertifikat X.509

TPM

Kunci konten
Sertifikat X.509

TPM

Kunci konten

Syarat dan konsep

Jika Anda belum terbiasa dengan terminologi IoT Edge, tinjau beberapa konsep utama:

Runtime IoT Edge: Runtime IoT Edge adalah kumpulan program yang mengubah perangkat menjadi perangkat IoT Edge. Secara kolektif, komponen runtime IoT Edge memungkinkan perangkat IoT Edge menjalankan modul IoT Edge Anda.

Provisi: Setiap perangkat IoT Edge harus diprovisikan. Provisi adalah proses dua langkah. Langkah pertama adalah mendaftarkan perangkat di hub IoT, yang menciptakan identitas cloud yang digunakan perangkat untuk membangun koneksi ke hub-nya. Langkah kedua adalah mengonfigurasi perangkat dengan identitas cloud-nya. Provisi dapat dilakukan secara manual berdasarkan per perangkat, atau dapat dilakukan dalam skala besar menggunakan IoT Hub Device Provisioning Service.

Autentikasi: Perangkat IoT Edge Anda perlu memverifikasi identitasnya saat terhubung ke IoT Hub. Anda dapat memilih metode autentikasi mana yang akan digunakan, seperti kata sandi kunci simetris, sidik jari sertifikat, atau modul platform tepercaya (TMM).

Pilih platform

Opsi platform disebut oleh sistem operasi kontainer dan sistem operasi host. Sistem operasi kontainer adalah sistem operasi yang digunakan di dalam runtime IoT Edge dan kontainer modul Anda. Sistem operasi host adalah sistem operasi perangkat kontainer runtime IoT Edge dan modul berjalan.

Ada tiga opsi platform untuk perangkat IoT Edge Anda.

  • Kontainer Linux pada host Linux: Jalankan kontainer IoT Edge berbasis Linux langsung pada host Linux. Di seluruh dokumen IoT Edge, Anda juga akan melihat opsi ini disebut sebagai Linux dan kontainer Linuxuntuk memudahkan.

  • Kontainer Linux pada host Windows: Jalankan kontainer IoT Edge berbasis Linux di mesin virtual Linux pada host Windows. Di seluruh dokumen IoT Edge, Anda juga akan melihat opsi ini disebut sebagai Linux di Windows, IoT Edge untuk Linux di Windows, dan EFLOW.

  • Kontainer Windows di host Windows: Jalankan kontainer IoT Edge berbasis Windows langsung di host Windows. Di seluruh dokumen IoT Edge, Anda juga akan melihat opsi ini disebut sebagai Windows dan kontainer Windows untuk memudahkan.

Untuk informasi terkini tentang sistem operasi mana yang saat ini didukung untuk skenario produksi, lihat Sistem yang didukung Azure IoT Edge.

Kontainer Linux di host Linux

Untuk perangkat Linux, runtime IoT Edge diinstal langsung di perangkat host.

IoT Edge mendukung perangkat Linux X64, ARM32, dan ARM64. Microsoft menyediakan paket penginstalan resmi untuk berbagai sistem operasi.

Kontainer Linux di Windows

IoT Edge untuk Linux di Windows menghosting mesin virtual Linux di perangkat Windows Anda. Mesin virtual hadir dengan runtime IoT Edge dan pembaruan dikelola melalui Microsoft Update.

IoT Edge untuk Linux di Windows adalah cara yang disarankan untuk menjalankan IoT Edge di perangkat Windows. Untuk mempelajari lebih lanjut, lihat Apa yang dimaksud dengan Azure IoT Edge untuk Linux di Windows.

Kontainer Windows di host Windows

IoT Edge versi 1.2 atau yang lebih baru tidak mendukung kontainer Windows. Kontainer Windows tidak didukung di luar versi 1.1.

Memilih cara memprovisikan perangkat Anda

Anda dapat menyediakan satu perangkat atau beberapa perangkat dalam skala besar, tergantung pada kebutuhan solusi IoT Edge Anda.

Opsi yang tersedia untuk mengautentikasi komunikasi antara perangkat IoT Edge dan hub IoT Anda bergantung pada metode provisi apa yang Anda pilih. Anda dapat membaca lebih lanjut tentang opsi tersebut di bagian Pilih metode autentikasi.

Perangkat tunggal

Provisi perangkat tunggal mengacu pada provisi perangkat IoT Edge tanpa bantuan IoT Hub Device Provisioning Service (DPS). Anda akan melihat provisi perangkat tunggal juga disebut sebagai provisi manual.

Dengan menggunakan provisi perangkat tunggal, Anda harus memasukkan informasi provisi secara manual, seperti string koneksi, di perangkat Anda. Provisi manual cepat dan mudah diatur hanya untuk beberapa perangkat, tetapi beban kerja Anda akan meningkat dengan jumlah perangkat. Provisi membantu saat Anda mempertimbangkan skalabilitas solusi Anda.

Kunci simetris dan metode autentikasi X.509 yang ditandatangani sendiri tersedia untuk penyediaan manual. Anda dapat membaca lebih lanjut tentang opsi tersebut di bagian Pilih metode autentikasi.

Perangkat dalam skala besar

Provisi perangkat dalam skala besar mengacu pada provisi satu atau beberapa perangkat IoT Edge dengan bantuan IoT Hub Device Provisioning Service. Anda akan melihat provisi dalam skala besar juga disebut provisi otomatis.

Jika solusi IoT Edge Anda memerlukan lebih dari satu perangkat, provisi otomatis menggunakan DPS akan menghemat upaya memasukkan informasi provisi secara manual ke dalam file konfigurasi setiap perangkat. Model otomatis ini dapat diskalakan ke jutaan perangkat IoT Edge.

Anda dapat mengamankan solusi IoT Edge dengan metode autentikasi pilihan Anda. Metode autentikasi Kunci konten, sertifikat X.509, dan pengesahan modul platform tepercaya (TPM) tersedia untuk provisi perangkat dalam skala besar. Anda dapat membaca lebih lanjut tentang opsi tersebut di bagian Pilih metode autentikasi.

Untuk melihat lebih banyak fitur DPS, lihat bagian Fitur halaman gambaran umum.

Memilih metode autentikasi

Pengesahan sertifikat X.509

Menggunakan sertifikat X.509 sebagai mekanisme pengesahan adalah cara yang direkomendasikan untuk menskalakan produksi dan menyederhanakan provisi perangkat. Biasanya, sertifikat X.509 diatur dalam rantai sertifikat kepercayaan. Dimulai dengan sertifikat akar yang ditandatangani sendiri atau tepercaya, setiap sertifikat dalam rantai menandatangani sertifikat lebih rendah berikutnya. Pola ini membuat rantai kepercayaan yang didelegasikan dari sertifikat akar ke bawah melalui setiap sertifikat perantara ke sertifikat perangkat hilir akhir yang diinstal pada perangkat.

Anda membuat dua sertifikat identitas X.509 dan menempatkannya di perangkat. Saat Anda membuat identitas perangkat baru di IoT Hub, Anda menyediakan thumbprint dari kedua sertifikat. Saat perangkat mengautentikasi ke IoT Hub, perangkat menyajikan satu sertifikat dan IoT Hub memverifikasi bahwa sertifikat cocok dengan thumbprint-nya. Kunci X.509 pada perangkat harus disimpan dalam Modul Keamanan Perangkat Keras (HSM). Misalnya, modul PKCS#11, ATECC, dTPM, dll.

Metode autentikasi ini lebih aman daripada kunci konten dan mendukung pendaftaran grup yang memberikan pengalaman manajemen yang disederhanakan untuk sejumlah besar perangkat. Metode autentikasi ini direkomendasikan untuk skenario produksi.

Pengesahan modul platform tepercaya (TPM)

Menggunakan pengesahan TPM adalah metode untuk provisi perangkat yang menggunakan fitur autentikasi di perangkat lunak dan perangkat keras. Setiap chip TPM menggunakan kunci dukungan unik untuk memverifikasi keasliannya.

Pengesahan TPM hanya tersedia untuk penyediaan dalam skala besar dengan DPS, dan hanya mendukung pendaftaran individu bukan pendaftaran kelompok. Pendaftaran grup tidak tersedia karena sifat TPM khusus perangkat.

TPM 2.0 diperlukan saat Anda menggunakan pengesahan TPM dengan layanan provisi perangkat.

Metode autentikasi ini lebih aman, dan direkomendasikan untuk skenario produksi.

Pengesahan kunci konten

Pengesahan kunci konten adalah pendekatan sederhana untuk mengautentikasi perangkat. Metode pengesahan ini mewakili pengalaman "Halo dunia" bagi pengembang yang baru menggunakan provisi perangkat, atau tidak memiliki persyaratan keamanan yang ketat.

Saat Anda membuat identitas perangkat baru di IoT Hub, layanan ini membuat dua kunci. Anda menempatkan salah satu kunci pada perangkat, dan menyajikan kunci ke IoT Hub saat mengautentikasi.

Metode autentikasi ini lebih cepat untuk memulai, tetapi tidak sama amannya. Provisi perangkat yang menggunakan sertifikat TPM atau X.509 lebih aman dan harus digunakan untuk solusi dengan persyaratan keamanan yang lebih ketat.

Langkah berikutnya

Anda dapat menggunakan daftar isi untuk menavigasi ke panduan end-to-end yang sesuai untuk membuat perangkat IoT Edge untuk platform, provisi, dan persyaratan autentikasi solusi IoT Edge Anda.

Anda juga bisa menggunakan tautan berikut untuk masuk ke artikel yang relevan.

Kontainer Linux di host Linux

Secara manual memprovisikan satu perangkat:

Memprovisikan beberapa perangkat dalam skala besar:

Kontainer Linux di host Windows

Secara manual memprovisikan satu perangkat:

Memprovisikan beberapa perangkat dalam skala besar: