Een IoT Edge-apparaat maken
Van toepassing op:
IoT Edge 1.5 IoT Edge 1.4
Belangrijk
IoT Edge 1.5 LTS en IoT Edge 1.4 LTS worden ondersteund releases. IoT Edge 1.4 LTS eindigt op 12 november 2024. Raadpleeg IoT Edge bijwerken als u een eerdere versie hebt.
Dit artikel bevat een overzicht van de beschikbare opties voor het installeren en inrichten van IoT Edge op uw apparaten.
Dit artikel bevat een overzicht van alle opties voor uw IoT Edge-oplossing en helpt u bij het volgende:
Aan het einde van dit artikel krijgt u een duidelijk beeld van welke platform-, inrichtings- en verificatieopties u wilt gebruiken voor uw IoT Edge-oplossing.
Aan de slag
Als u weet welk type platform, inrichting en verificatieopties u wilt gebruiken om een IoT Edge-apparaat te maken, gebruikt u de koppelingen in de volgende tabel om aan de slag te gaan.
Als u meer informatie wilt over het kiezen van de juiste optie voor u, gaat u verder met dit artikel voor meer informatie.
| Linux-containers op Linux-hosts | Linux-containers op Windows-hosts | |
|---|---|---|
| Handmatig inrichten (één apparaat) | X.509-certificaten Symmetrische sleutels |
X.509-certificaten Symmetrische sleutels |
| Automatisch inrichten (apparaten op schaal) | X.509-certificaten TPM Symmetrische sleutels |
X.509-certificaten TPM Symmetrische sleutels |
Termen en concepten
Als u nog niet bekend bent met ioT Edge-terminologie, raadpleegt u enkele belangrijke concepten:
IoT Edge-runtime: De IoT Edge-runtime is een verzameling programma's die een apparaat omzetten in een IoT Edge-apparaat. Met de IoT Edge-runtimeonderdelen kunnen IoT Edge-apparaten gezamenlijk uw IoT Edge-modules uitvoeren.
Inrichten: Elk IoT Edge-apparaat moet worden ingericht. Inrichten is een proces in twee stappen. De eerste stap is het registreren van het apparaat in een IoT-hub, waarmee een cloudidentiteit wordt gemaakt die het apparaat gebruikt om de verbinding met de hub tot stand te brengen. De tweede stap is het configureren van het apparaat met de cloudidentiteit. Het inrichten kan handmatig per apparaat worden uitgevoerd of kan op schaal worden uitgevoerd met behulp van de IoT Hub Device Provisioning Service.
Verificatie: uw IoT Edge-apparaten moeten de identiteit verifiëren wanneer deze verbinding maakt met IoT Hub. U kunt kiezen welke verificatiemethode u wilt gebruiken, zoals symmetrische sleutelwachtwoorden, certificaatvingerafdrukken of vertrouwde platformmodules (TPM's).
Een platform kiezen
Platformopties worden aangeduid door het containerbesturingssysteem en het hostbesturingssysteem. Het containerbesturingssysteem is het besturingssysteem dat wordt gebruikt in uw IoT Edge-runtime- en modulecontainers. Het hostbesturingssysteem is het besturingssysteem van het apparaat waarop de IoT Edge-runtimecontainers en -modules worden uitgevoerd.
Er zijn drie platformopties voor uw IoT Edge-apparaten.
Linux-containers op Linux-hosts: Voer Op Linux gebaseerde IoT Edge-containers rechtstreeks uit op een Linux-host. In de IoT Edge-documenten ziet u deze optie ook wel Linux - en Linux-containers genoemd voor het gemak.
Linux-containers op Windows-hosts: Voer Op Linux gebaseerde IoT Edge-containers uit op een virtuele Linux-machine op een Windows-host. In de IoT Edge-documenten ziet u deze optie ook wel Linux in Windows, IoT Edge voor Linux in Windows en EFLOW.
Windows-containers op Windows-hosts: Voer Windows IoT Edge-containers rechtstreeks uit op een Windows-host. In de IoT Edge-documenten ziet u deze optie ook wel Windows - en Windows-containers genoemd voor het gemak.
Zie ondersteunde Systemen van Azure IoT Edge voor de meest recente informatie over welke besturingssystemen momenteel worden ondersteund voor productiescenario's.
Linux-containers op Linux
Voor Linux-apparaten wordt de IoT Edge-runtime rechtstreeks op het hostapparaat geïnstalleerd.
IoT Edge ondersteunt X64-, ARM32- en ARM64 Linux-apparaten. Microsoft biedt officiële installatiepakketten voor verschillende besturingssystemen.
Linux-containers in Windows
IoT Edge voor Linux in Windows fungeert als host voor een virtuele Linux-machine op uw Windows-apparaat. De virtuele machine wordt vooraf samengesteld met de IoT Edge-runtime en updates worden beheerd via Microsoft Update.
IoT Edge voor Linux in Windows is de aanbevolen manier om IoT Edge uit te voeren op Windows-apparaten. Zie Wat is Azure IoT Edge voor Linux in Windows voor meer informatie.
Windows-containers in Windows
IoT Edge versie 1.2 of hoger biedt geen ondersteuning voor Windows-containers. Windows-containers worden niet ondersteund buiten versie 1.1.
Kiezen hoe u uw apparaten inricht
U kunt één apparaat of meerdere apparaten op schaal inrichten, afhankelijk van de behoeften van uw IoT Edge-oplossing.
Welke opties beschikbaar zijn voor het verifiëren van communicatie tussen uw IoT Edge-apparaten en uw IoT-hubs, is afhankelijk van de inrichtingsmethode die u kiest. Meer informatie over deze opties vindt u in de sectie Een verificatiemethode kiezen.
Eén apparaat
Eén apparaatinrichting verwijst naar het inrichten van een IoT Edge-apparaat zonder hulp van de IoT Hub Device Provisioning Service (DPS). U ziet dat het inrichten van één apparaat ook wel handmatig wordt ingericht.
Met het inrichten van één apparaat moet u handmatig inrichtingsgegevens invoeren, zoals een verbindingsreeks, op uw apparaten. Handmatig inrichten is snel en eenvoudig in te stellen voor slechts een paar apparaten, maar uw werkbelasting neemt toe met het aantal apparaten. Inrichten helpt bij het overwegen van de schaalbaarheid van uw oplossing.
Symmetrische sleutel en zelfondertekende X.509-verificatiemethoden zijn beschikbaar voor handmatige inrichting. Meer informatie over deze opties vindt u in de sectie Een verificatiemethode kiezen.
Apparaten op schaal
Het inrichten van apparaten op schaal verwijst naar het inrichten van een of meer IoT Edge-apparaten met behulp van de IoT Hub Device Provisioning Service. U ziet dat inrichting op schaal ook wel automatisch inrichten wordt genoemd.
Als uw IoT Edge-oplossing meer dan één apparaat vereist, bespaart automatisch inrichten met DPS u de moeite om handmatig inrichtingsgegevens in te voeren in de configuratiebestanden van elk apparaat. Dit geautomatiseerde model kan worden geschaald naar miljoenen IoT Edge-apparaten.
U kunt uw IoT Edge-oplossing beveiligen met de verificatiemethode van uw keuze. Symmetrische sleutel, X.509-certificaten en TPM-verificatiemethoden (Trusted Platform Module) zijn beschikbaar voor het inrichten van apparaten op schaal. Meer informatie over deze opties vindt u in de sectie Een verificatiemethode kiezen.
Zie de sectie Functies van de overzichtspagina voor meer informatie over de functies van DPS.
Een verificatiemethode kiezen
X.509-certificaatattestatie
Het gebruik van X.509-certificaten als attestation-mechanisme is de aanbevolen manier om productie te schalen en het inrichten van apparaten te vereenvoudigen. Normaal gesproken worden X.509-certificaten gerangschikt in een certificaatketen van vertrouwen. Vanaf een zelfondertekend of vertrouwd basiscertificaat ondertekent elk certificaat in de keten het volgende lagere certificaat. Met dit patroon maakt u een gedelegeerde vertrouwensketen van het basiscertificaat tot en met elk tussenliggend certificaat tot het uiteindelijke downstreamapparaatcertificaat dat op een apparaat is geïnstalleerd.
U maakt twee X.509-identiteitscertificaten en plaatst deze op het apparaat. Wanneer u een nieuwe apparaat-id in IoT Hub maakt, geeft u vingerafdruk van beide certificaten op. Wanneer het apparaat wordt geverifieerd bij IoT Hub, geeft het één certificaat weer en controleert IoT Hub of het certificaat overeenkomt met de vingerafdruk. De X.509-sleutels op het apparaat moeten worden opgeslagen in een HSM (Hardware Security Module). Bijvoorbeeld PKCS#11-modules, ATECC, dTPM, enzovoort.
Deze verificatiemethode is veiliger dan symmetrische sleutels en ondersteunt groepsinschrijvingen die een vereenvoudigde beheerervaring bieden voor een groot aantal apparaten. Deze verificatiemethode wordt aanbevolen voor productiescenario's.
TPM-attestation (Trusted Platform Module)
Het gebruik van TPM-attestation is een methode voor het inrichten van apparaten die gebruikmaakt van verificatiefuncties in zowel software als hardware. Elke TPM-chip gebruikt een unieke goedkeuringssleutel om de echtheid ervan te verifiëren.
TPM-attestation is alleen beschikbaar voor inrichting op schaal met DPS en biedt alleen ondersteuning voor afzonderlijke inschrijvingen zonder groepsinschrijvingen. Groepsinschrijvingen zijn niet beschikbaar vanwege de apparaatspecifieke aard van TPM.
TPM 2.0 is vereist wanneer u TPM-attestation gebruikt met de device provisioning-service.
Deze verificatiemethode is veiliger dan symmetrische sleutels en wordt aanbevolen voor productiescenario's.
Attestation voor symmetrische sleutels
Attestation met symmetrische sleutels is een eenvoudige benadering voor het verifiëren van een apparaat. Deze attestation-methode vertegenwoordigt een 'Hallo wereld'-ervaring voor ontwikkelaars die geen ervaring hebben met het inrichten van apparaten of waarvoor geen strikte beveiligingsvereisten gelden.
Wanneer u een nieuwe apparaat-id in IoT Hub maakt, maakt de service twee sleutels. U plaatst een van de sleutels op het apparaat en geeft de sleutel aan IoT Hub weer bij het verifiëren.
Deze verificatiemethode is sneller om aan de slag te gaan, maar niet zo veilig. Apparaatinrichting met behulp van TPM- of X.509-certificaten is veiliger en moet worden gebruikt voor oplossingen met strengere beveiligingsvereisten.
Volgende stappen
U kunt de inhoudsopgave gebruiken om naar de juiste end-to-end-handleiding te navigeren voor het maken van een IoT Edge-apparaat voor het platform, de inrichting en de verificatievereisten van uw IoT Edge-oplossing.
U kunt ook de onderstaande koppelingen gebruiken om naar het relevante artikel te gaan.
Linux-containers op Linux-hosts
Eén apparaat handmatig inrichten:
- Eén Linux-apparaat inrichten met X.509-certificaten
- Eén Linux-apparaat inrichten met behulp van symmetrische sleutels
Meerdere apparaten op schaal inrichten:
- Linux-apparaten op schaal inrichten met X.509-certificaten
- Linux-apparaten op schaal inrichten met TPM-attestation
- Linux-apparaten op schaal inrichten met behulp van symmetrische sleutels
Linux-containers op Windows-hosts
Eén apparaat handmatig inrichten:
- Eén Linux-apparaat inrichten met X.509-certificaten
- Eén Linux-apparaat inrichten op een Windows-apparaat met behulp van symmetrische sleutels
Meerdere apparaten op schaal inrichten: