Udostępnij za pośrednictwem


Terminologia dotycząca usługi IoT Hub Device Provisioning

Usługa IoT Hub Device Provisioning Service (DPS) to usługa pomocnika usługi IoT Hub, która umożliwia aprowizację urządzeń bezobsługowych w centrach IoT. Usługa Device Provisioning umożliwia udostępnianie milionów urządzeń w bezpieczny i skalowalny sposób.

Aprowizowanie urządzeń to proces dwuczęściowy.

  1. Pierwsza część ustanawia początkowe połączenie między urządzeniem a rozwiązaniem IoT przez zarejestrowanie urządzenia.
  2. Druga część stosuje odpowiednią konfigurację do urządzenia na podstawie określonych wymagań rozwiązania.

Po zakończeniu obu kroków urządzenie zostało w pełni aprowidowane. Usługa Device Provisioning automatyzuje oba kroki, aby zapewnić bezproblemowe środowisko aprowizowania dla urządzenia.

Ten artykuł zawiera omówienie pojęć związanych z aprowizowaniem mających zastosowanie do zarządzania usługą. Ten artykuł jest najbardziej istotny dla osób zaangażowanych w krok konfiguracji chmury podczas przygotowania urządzenia do wdrożenia.

Punkt końcowy operacji usługi

Punkt końcowy operacji usługi to punkt końcowy do zarządzania ustawieniami usługi i obsługi listy rejestracji. Ten punkt końcowy jest używany tylko przez administratora usługi; nie jest on używany przez urządzenia.

Punkt końcowy aprowizacji urządzeń

Punkt końcowy aprowizacji urządzeń to pojedynczy punkt końcowy używany przez wszystkie urządzenia do aprowizacji. Adres URL jest taki sam dla wszystkich wystąpień usługi aprowizacji, co eliminuje konieczność reflash urządzeń z nowymi informacjami o połączeniu w scenariuszach łańcucha dostaw. Zakres identyfikatorów zapewnia izolację dzierżawy.

Połączone centra IoT

Usługa Device Provisioning Może aprowizować urządzenia tylko w centrach IoT, które zostały z nią połączone. Łączenie centrum IoT z wystąpieniem usługi Device Provisioning Service zapewnia usłudze uprawnienia odczytu/zapisu do rejestru urządzeń centrum IoT. Za pomocą linku usługa Device Provisioning Service może zarejestrować identyfikator urządzenia i ustawić początkową konfigurację w bliźniaczej reprezentacji urządzenia. Połączone centra IoT mogą znajdować się w dowolnym regionie świadczenia usługi Azure. Koncentratory można łączyć w innych subskrypcjach z usługą aprowizacji.

Aby uzyskać więcej informacji, zobacz How to link and manage IoT Hubs (Jak łączyć centra IoT i zarządzać nimi)

Zasady alokacji

Zasady alokacji to ustawienie na poziomie usługi, które określa sposób przypisywania urządzeń do centrum IoT Hub przez usługę Device Provisioning. Istnieją cztery obsługiwane zasady alokacji:

  • Równomiernie ważona dystrybucja: połączone centra IoT są równie prawdopodobne, że urządzenia zostały im aprowidowane. Ustawienie domyślne. Jeśli aprowizujesz urządzenia tylko w jednym centrum IoT, możesz zachować to ustawienie.

  • Najmniejsze opóźnienie: urządzenia są aprowidowane w centrum IoT z najniższym opóźnieniem dla urządzenia. Jeśli wiele połączonych centrów IoT zapewni takie samo najmniejsze opóźnienie, urządzenia skrótów usługi aprowizacji w tych centrach

  • Konfiguracja statyczna za pośrednictwem listy rejestracji: specyfikacja żądanego centrum IoT Na liście rejestracji ma priorytet nad zasadami alokacji na poziomie usługi.

  • Niestandardowe (korzystanie z funkcji platformy Azure): niestandardowe zasady alokacji umożliwiają większą kontrolę nad tym, jak urządzenia są przypisywane do centrum IoT. Niestandardowe zasady alokacji używają funkcji platformy Azure do przypisywania urządzeń do centrum IoT. Usługa aprowizacji urządzeń wywołuje kod funkcji platformy Azure, podając wszystkie istotne informacje o urządzeniu i rejestracji w kodzie. Kod funkcji jest wykonywany i zwraca informacje centrum IoT używane do aprowizacji urządzenia. Aby uzyskać więcej informacji, zobacz Omówienie niestandardowych zasad alokacji.

Aby uzyskać więcej informacji, zobacz How to use allocation policies (Jak używać zasad alokacji).

Rejestrowanie

Rejestracja to rekord urządzeń lub grup urządzeń, które mogą rejestrować się w ramach automatycznej aprowizacji. Rekord rejestracji zawiera informacje o urządzeniu lub grupie urządzeń, w tym:

  • Mechanizm zaświadczania używany przez urządzenie
  • Opcjonalna początkowa żądana konfiguracja
  • Żądane centrum IoT
  • Żądany identyfikator urządzenia

Istnieją dwa typy rejestracji obsługiwanych przez usługę Device Provisioning: grupy rejestracji i rejestracje indywidualne.

Grupa rejestracji

Grupa rejestracji to grupa urządzeń, które współużytkuje określony mechanizm zaświadczania. Grupy rejestracji obsługują certyfikat X.509 lub zaświadczanie klucza symetrycznego.

Nazwa grupy rejestracji i identyfikatory rejestracji przedstawione przez urządzenia muszą być ciągami bez uwzględniania wielkości liter znaków alfanumerycznych oraz znakami specjalnymi: - . _ :. Ostatni znak musi być alfanumeryczny lub kreskowy (-). Nazwa grupy rejestracji może mieć długość maksymalnie 128 znaków. W grupach rejestracji kluczy symetrycznych identyfikatory rejestracji prezentowane przez urządzenia mogą mieć maksymalnie 128 znaków. Jednak w grupach rejestracji X.509, ponieważ maksymalna długość nazwy pospolitej podmiotu w certyfikacie X.509 wynosi 64 znaki, identyfikatory rejestracji są ograniczone do 64 znaków.

Urządzenia w grupie rejestracji X.509 prezentują certyfikaty X.509 podpisane przez ten sam główny lub pośredni urząd certyfikacji. Nazwa pospolita podmiotu (CN) certyfikatu jednostki końcowej (liścia) każdego urządzenia staje się identyfikatorem rejestracji dla tego urządzenia. Urządzenia w grupie rejestracji klucza symetrycznego prezentują tokeny SAS pochodzące z klucza symetrycznego grupy.

W przypadku urządzeń w grupie rejestracji identyfikator rejestracji jest również używany jako identyfikator urządzenia zarejestrowany w usłudze IoT Hub.

Napiwek

Zalecamy użycie grupy rejestracji dla dużej liczby urządzeń współużytkujących żądaną konfigurację początkową lub wszystkich urządzeń przechodzących do tej samej dzierżawy.

Rejestracja indywidualna

Rejestracja indywidualna to wpis dla jednego urządzenia, które może się zarejestrować. Rejestracje indywidualne mogą używać certyfikatów liści X.509 lub tokenów SAS (z fizycznego lub wirtualnego modułu TPM) jako mechanizmów zaświadczania.

Identyfikator rejestracji w ramach rejestracji indywidualnej jest ciągiem bez uwzględniania wielkości liter znaków alfanumerycznych oraz znakami specjalnymi: - . _ :. Ostatni znak musi być alfanumeryczny lub kreskowy (-). Usługa DPS obsługuje identyfikatory rejestracji o długości do 128 znaków.

W przypadku rejestracji indywidualnych X.509 nazwa pospolita podmiotu (CN) certyfikatu musi być zgodna z identyfikatorem rejestracji, więc nazwa pospolita musi być zgodna z formatem ciągu identyfikatora rejestracji. Nazwa pospolita podmiotu ma maksymalną długość 64 znaków, więc identyfikator rejestracji jest ograniczony do 64 znaków dla rejestracji X.509.

Rejestracje indywidualne mogą mieć żądany identyfikator urządzenia centrum IoT Hub określony we wpisie rejestracji. Jeśli nie zostanie określony, identyfikator rejestracji stanie się identyfikatorem urządzenia zarejestrowanym w usłudze IoT Hub.

Napiwek

Zalecamy używanie rejestracji indywidualnych dla urządzeń wymagających unikatowych konfiguracji początkowych lub urządzeń, które mogą uwierzytelniać się tylko przy użyciu tokenów SAS za pośrednictwem zaświadczania TPM.

Mechanizm zaświadczania

Mechanizm zaświadczania to metoda używana do potwierdzania tożsamości urządzenia. Mechanizm zaświadczania jest skonfigurowany we wpisie rejestracji i informuje usługę aprowizacji, która metoda ma być używana podczas weryfikowania tożsamości urządzenia podczas rejestracji.

Uwaga

Usługa IoT Hub używa "schematu uwierzytelniania" dla podobnej koncepcji w tej usłudze.

Usługa Device Provisioning Service obsługuje następujące formy zaświadczania:

  • Certyfikaty X.509 oparte na standardowym przepływie uwierzytelniania certyfikatu X.509. Aby uzyskać więcej informacji, zobacz Zaświadczenie X.509.
  • Moduł TPM (Trusted Platform Module) oparty na wyzwaniu niezwiązanym z użyciem standardu TPM dla kluczy do prezentowania podpisanego tokenu sygnatury dostępu współdzielonego (SAS). Nie wymaga to fizycznego modułu TPM na urządzeniu, ale usługa oczekuje zaświadczać przy użyciu klucza poręczenia zgodnie ze specyfikacją modułu TPM. Aby uzyskać więcej informacji, zobacz Zaświadczenie modułu TPM.
  • Klucz symetryczny oparty na tokenach sygnatury dostępu współdzielonego (SAS), które obejmują sygnaturę skrótu i osadzone wygaśnięcie. Aby uzyskać więcej informacji, zobacz Zaświadczanie klucza symetrycznego.

Sprzętowy moduł zabezpieczeń

Sprzętowy moduł zabezpieczeń (HSM) służy do bezpiecznego, sprzętowego przechowywania wpisów tajnych urządzeń i jest najbezpieczniejszą formą magazynu wpisów tajnych. Zarówno certyfikaty X.509, jak i tokeny SAS mogą być przechowywane w module HSM.

Napiwek

Zdecydowanie zalecamy używanie modułu HSM z urządzeniami do bezpiecznego przechowywania wpisów tajnych na urządzeniach.

Wpisy tajne urządzeń mogą być również przechowywane w oprogramowaniu (pamięci), ale jest to mniej bezpieczna forma magazynu niż moduł HSM.

Zakres identyfikatora

Zakres identyfikatora jest przypisywany do usługi Device Provisioning Service podczas jej tworzenia i służy do unikatowego identyfikowania określonej usługi aprowizacji. Zakres identyfikatora jest generowany przez usługę i jest niezmienny, co gwarantuje unikatowość. Unikatowość zakresu identyfikatorów jest ważna w przypadku długotrwałych operacji wdrażania i scenariuszy fuzji i pozyskiwania.

Rekord rejestracji

Rekord rejestracji to rekord pomyślnego zarejestrowania/aprowizacji urządzenia w usłudze IoT Hub za pośrednictwem usługi Device Provisioning Service. Rekordy rejestracji są tworzone automatycznie; można je usunąć, ale nie można ich zaktualizować.

Identyfikator rejestracji

Identyfikator rejestracji służy do unikatowego identyfikowania rejestracji urządzenia w usłudze Device Provisioning Service. Identyfikator rejestracji musi być unikatowy w zakresie identyfikatora usługi aprowizacji. Każde urządzenie musi mieć identyfikator rejestracji. Identyfikator rejestracji jest ciągiem bez uwzględniania wielkości liter znaków alfanumerycznych oraz znakami specjalnymi: - . _ :. Ostatni znak musi być alfanumeryczny lub kreskowy (-). Usługa DPS obsługuje identyfikatory rejestracji o długości do 128 znaków.

  • Po zaświadczeniu modułu TPM identyfikator rejestracji jest dostarczany przez sam moduł TPM.
  • W przypadku zaświadczania opartego na X.509 identyfikator rejestracji jest ustawiony na nazwę pospolitą podmiotu (CN) certyfikatu urządzenia. Z tego powodu nazwa pospolita musi być zgodna z formatem ciągu identyfikatora rejestracji. Jednak identyfikator rejestracji jest ograniczony do 64 znaków, ponieważ jest to maksymalna długość nazwy pospolitej podmiotu w certyfikacie X.509.

Identyfikator urządzenia

Identyfikator urządzenia jest identyfikatorem wyświetlanym w usłudze IoT Hub. Żądany identyfikator urządzenia może zostać ustawiony we wpisie rejestracji, ale nie jest wymagany do ustawienia. Ustawienie żądanego identyfikatora urządzenia jest obsługiwane tylko w przypadku rejestracji indywidualnych. Jeśli nie określono żądanego identyfikatora urządzenia na liście rejestracji, identyfikator rejestracji jest używany jako identyfikator urządzenia podczas rejestrowania urządzenia. Dowiedz się więcej o identyfikatorach urządzeń w usłudze IoT Hub.

Operacje

Operacje to jednostka rozliczeniowa usługi Device Provisioning Service. Jedną z operacji jest pomyślne ukończenie jednej instrukcji w usłudze. Operacje mogą obejmować rejestracje urządzeń i ponowne rejestracje, a także zmiany po stronie usługi, takie jak dodawanie i aktualizowanie wpisów listy rejestracji.