Een IoT Edge-apparaat maken

Van toepassing op:IoT Edge 1.4 vinkje IoT Edge 1.4

Dit artikel bevat een overzicht van de beschikbare opties voor het installeren en inrichten van IoT Edge op uw apparaten.

Dit artikel bevat een overzicht van alle opties voor uw IoT Edge-oplossing en helpt u bij het volgende:

Aan het einde van dit artikel hebt u een duidelijk beeld van welke platform-, inrichtings- en verificatieopties u wilt gebruiken voor uw IoT Edge-oplossing.

Aan de slag

Als u weet welk type platform, inrichting en verificatieopties u wilt gebruiken om een IoT Edge apparaat te maken, gebruikt u de koppelingen in de volgende tabel om aan de slag te gaan.

Als u meer informatie wilt over het kiezen van de juiste optie, gaat u verder met dit artikel voor meer informatie.

Notitie

In de volgende tabel ziet u de ondersteunde scenario's voor IoT Edge versie 1.4.

Linux-containers op Linux-hosts
Handmatig inrichten (één apparaat) X.509-certificaten

Symmetrische sleutels
Automatische inrichting (apparaten op schaal) X.509-certificaten

TPM

Symmetrische sleutels
Linux-containers op Linux-hosts Linux-containers op Windows-hosts
Handmatig inrichten (één apparaat) X.509-certificaten

Symmetrische sleutels
X.509-certificaten

Symmetrische sleutels
Automatische inrichting (apparaten op schaal) X.509-certificaten

TPM

Symmetrische sleutels
X.509-certificaten

TPM

Symmetrische sleutels

Termen en concepten

Als u nog niet bekend bent met IoT Edge terminologie, bekijkt u enkele belangrijke concepten:

IoT Edge runtime: de IoT Edge runtime is een verzameling programma's die van een apparaat een IoT Edge apparaat maken. Met de IoT Edge runtime-onderdelen kunnen IoT Edge apparaten gezamenlijk uw IoT Edge-modules uitvoeren.

Inrichting: elk IoT Edge apparaat moet worden ingericht. Het inrichten is een proces in twee stappen. De eerste stap is het registreren van het apparaat in een IoT-hub, waarmee een cloud-id wordt gemaakt die het apparaat gebruikt om de verbinding met de hub tot stand te brengen. De tweede stap is het configureren van het apparaat met de bijbehorende cloudidentiteit. Het inrichten kan handmatig per apparaat worden uitgevoerd of op schaal met behulp van de IoT Hub Device Provisioning Service.

Verificatie: uw IoT Edge apparaten moeten de identiteit verifiëren wanneer deze verbinding maakt met IoT Hub. U kunt kiezen welke verificatiemethode u wilt gebruiken, zoals symmetrische sleutelwachtwoorden, certificaatvingerafdrukken of vertrouwde platformmodules (TTPM's).

Een platform kiezen

Platformopties worden aangeduid door het containerbesturingssysteem en het hostbesturingssysteem. Het containerbesturingssysteem is het besturingssysteem dat wordt gebruikt in uw IoT Edge runtime- en modulecontainers. Het hostbesturingssysteem is het besturingssysteem van het apparaat waarop de IoT Edge runtimecontainers en -modules worden uitgevoerd.

Er zijn drie platformopties voor uw IoT Edge-apparaten.

  • Linux-containers op Linux-hosts: voer op Linux gebaseerde IoT Edge containers rechtstreeks op een Linux-host uit. In de IoT Edge documenten wordt deze optie voor het gemak ook wel Linux- en Linux-containers genoemd.

  • Linux-containers op Windows-hosts: voer op Linux gebaseerde IoT Edge containers uit op een virtuele Linux-machine op een Windows-host. In de IoT Edge documenten ziet u deze optie ook aangeduid als Linux in Windows, IoT Edge voor Linux in Windows en EFLOW.

  • Windows-containers op Windows-hosts: Voer windows-IoT Edge containers rechtstreeks op een Windows-host uit. In de IoT Edge documenten wordt deze optie voor het gemak ook wel Windows- en Windows-containers genoemd.

Zie Azure IoT Edge ondersteunde systemen voor de meest recente informatie over welke besturingssystemen momenteel worden ondersteund voor productiescenario's.

Linux-containers in Linux

Voor Linux-apparaten wordt de IoT Edge runtime rechtstreeks op het hostapparaat geïnstalleerd.

IoT Edge ondersteunt X64-, ARM32- en ARM64 Linux-apparaten. Microsoft biedt officiële installatiepakketten voor verschillende besturingssystemen.

Linux-containers in Windows

IoT Edge voor Linux in Windows host een virtuele Linux-machine op uw Windows-apparaat. De virtuele machine wordt geleverd met de IoT Edge runtime en updates worden beheerd via Microsoft Update.

IoT Edge voor Linux in Windows is de aanbevolen manier om IoT Edge uit te voeren op Windows-apparaten. Zie Wat is Azure IoT Edge voor Linux in Windows voor meer informatie.

Windows-containers in Windows

IoT Edge versie 1.4 biedt geen ondersteuning voor Windows-containers. Windows-containers worden niet ondersteund na versie 1.1.

Kiezen hoe u uw apparaten wilt inrichten

U kunt één apparaat of meerdere apparaten op schaal inrichten, afhankelijk van de behoeften van uw IoT Edge-oplossing.

De beschikbare opties voor het verifiëren van communicatie tussen uw IoT Edge-apparaten en uw IoT-hubs zijn afhankelijk van de inrichtingsmethode die u kiest. Meer informatie over deze opties vindt u in de sectie Een verificatiemethode kiezen.

Eén apparaat

Inrichting van één apparaat verwijst naar het inrichten van een IoT Edge apparaat zonder de hulp van de IoT Hub Device Provisioning Service (DPS). U ziet inrichting van één apparaat, ook wel handmatig inrichten genoemd.

Met het inrichten van één apparaat moet u handmatig inrichtingsgegevens, zoals een connection string, invoeren op uw apparaten. Handmatig inrichten is snel en eenvoudig in te stellen voor slechts enkele apparaten, maar uw werkbelasting neemt toe met het aantal apparaten. Het inrichten is handig wanneer u de schaalbaarheid van uw oplossing overweegt.

Symmetrische sleutel en zelfondertekende X.509-verificatiemethoden zijn beschikbaar voor handmatige inrichting. Meer informatie over deze opties vindt u in de sectie Een verificatiemethode kiezen.

Apparaten op schaal

Apparaten op schaal inrichten verwijst naar het inrichten van een of meer IoT Edge apparaten met de hulp van de IoT Hub Device Provisioning Service. U ziet dat inrichting op schaal ook wel automatische inrichting wordt genoemd.

Als uw IoT Edge-oplossing meer dan één apparaat vereist, bespaart automatische inrichting met DPS u de moeite van het handmatig invoeren van inrichtingsgegevens in de configuratiebestanden van elk apparaat. Dit geautomatiseerde model kan worden geschaald naar miljoenen IoT Edge apparaten.

U kunt uw IoT Edge-oplossing beveiligen met de verificatiemethode van uw keuze. Symmetrische sleutel, X.509-certificaten en verificatiemethoden voor TPM-attestation (Trusted Platform Module) zijn beschikbaar voor het inrichten van apparaten op schaal. Meer informatie over deze opties vindt u in de sectie Een verificatiemethode kiezen.

Zie de sectie Functies van de overzichtspagina voor meer van de functies van DPS.

Een verificatiemethode kiezen

X.509-certificaatattestatie

Het gebruik van X.509-certificaten als attestation-mechanisme is de aanbevolen manier om productie te schalen en de inrichting van apparaten te vereenvoudigen. Normaal gesproken worden X.509-certificaten gerangschikt in een certificaatketen van vertrouwen. Vanaf een zelfondertekend of vertrouwd basiscertificaat ondertekent elk certificaat in de keten het volgende lagere certificaat. Dit patroon maakt een gedelegeerde vertrouwensketen van het basiscertificaat tot elk tussenliggend certificaat tot het uiteindelijke downstreamapparaatcertificaat dat op een apparaat is geïnstalleerd.

U maakt twee X.509-identiteitscertificaten en plaatst deze op het apparaat. Wanneer u een nieuwe apparaat-id maakt in IoT Hub, geeft u vingerafdruk op van beide certificaten. Wanneer het apparaat wordt geverifieerd voor IoT Hub, wordt één certificaat weergegeven en wordt IoT Hub gecontroleerd of het certificaat overeenkomt met de vingerafdruk. De X.509-sleutels op het apparaat moeten worden opgeslagen in een HSM (Hardware Security Module). Bijvoorbeeld PKCS#11-modules, ATECC, dTPM, enzovoort.

Deze verificatiemethode is veiliger dan symmetrische sleutels en ondersteunt groepsinschrijvingen die een vereenvoudigde beheerervaring bieden voor een groot aantal apparaten. Deze verificatiemethode wordt aanbevolen voor productiescenario's.

TPM-attestation (Trusted Platform Module)

Het gebruik van TPM-attestation is een methode voor apparaatinrichting die gebruikmaakt van verificatiefuncties in zowel software als hardware. Elke TPM-chip gebruikt een unieke goedkeuringssleutel om de echtheid te verifiëren.

TPM-attestation is alleen beschikbaar voor inrichting op schaal met DPS en ondersteunt alleen afzonderlijke inschrijvingen, niet groepsinschrijvingen. Groepsinschrijvingen zijn niet beschikbaar vanwege de apparaatspecifieke aard van TPM.

TPM 2.0 is vereist wanneer u TPM-attestation gebruikt met de device provisioning service.

Deze verificatiemethode is veiliger dan symmetrische sleutels en wordt aanbevolen voor productiescenario's.

Attestation voor symmetrische sleutels

Attestation met symmetrische sleutels is een eenvoudige benadering voor het verifiëren van een apparaat. Deze attestation-methode vertegenwoordigt een 'Hallo wereld'-ervaring voor ontwikkelaars die geen ervaring hebben met het inrichten van apparaten of die geen strikte beveiligingsvereisten hebben.

Wanneer u een nieuwe apparaat-id maakt in IoT Hub, maakt de service twee sleutels. U plaatst een van de toetsen op het apparaat en deze geeft de sleutel weer voor IoT Hub tijdens de verificatie.

Deze verificatiemethode is sneller om aan de slag te gaan, maar niet zo veilig. Het inrichten van apparaten met een TPM- of X.509-certificaat is veiliger en moet worden gebruikt voor oplossingen met strengere beveiligingsvereisten.

Volgende stappen

U kunt de inhoudsopgave gebruiken om naar de juiste end-to-end-handleiding te gaan voor het maken van een IoT Edge apparaat voor het platform, de inrichting en de verificatievereisten van uw IoT Edge-oplossing.

U kunt ook de onderstaande koppelingen gebruiken om naar het betreffende artikel te gaan.

Linux-containers op Linux-hosts

Eén apparaat handmatig inrichten:

Meerdere apparaten op schaal inrichten:

Linux-containers op Windows-hosts

Eén apparaat handmatig inrichten:

Meerdere apparaten op schaal inrichten: