Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
O Serviço de Provisionamento de Dispositivos no Hub IoT (DPS) é um serviço auxiliar para Hub IoT que permite o provisionamento Just-In-Time e sem toque no hub IoT correto sem exigir intervenção humana. O DPS permite o provisionamento de milhões de dispositivos de maneira segura e escalonável. Muitas das etapas manuais tradicionalmente envolvidas no provisionamento são automatizadas com o DPS para reduzir o tempo para implantação de dispositivos IoT e reduzir o risco de erro manual.
Como o Serviço de Provisionamento de Dispositivos funciona
O diagrama a seguir descreve o que ocorre nos bastidores para provisionar um dispositivo com DPS.
Antes do fluxo de provisionamento de dispositivos começar, há duas etapas manuais a serem preparadas:
- No lado do dispositivo, o fabricante do dispositivo o prepara para provisionamento pré-configurando o dispositivo com suas credenciais de autenticação e a ID e ponto de extremidade do Serviço de Provisionamento de Dispositivos atribuídos.
- No lado da nuvem, você ou o fabricante do dispositivo prepara a instância do Serviço de Provisionamento de Dispositivos com registros que identificam dispositivos válidos e definem como eles devem ser provisionados.
Depois que o dispositivo e a nuvem estiverem configurados para provisionamento, as seguintes etapas começarão automaticamente quando o dispositivo for ativado pela primeira vez:
- O dispositivo liga pela primeira vez, conecta-se ao ponto de extremidade DPS e apresenta suas credenciais de autenticação.
- A instância do DPS verifica a identidade do dispositivo em relação à sua lista de registros. Após a identidade do dispositivo ser verificada, o DPS atribui o dispositivo a um hub IoT e o registra no hub.
- A instância do DPS recebe a ID do dispositivo e as informações de registro do hub atribuído e passa essas informações de volta para o dispositivo.
- O dispositivo usa suas informações de registro para se conectar diretamente ao hub IoT atribuído e se autenticar.
- O dispositivo e o hub IoT começam a se comunicar diretamente. A instância do DPS não tem mais nenhuma função como intermediário, a menos que o dispositivo precise ser reprovisionado.
Quando usar o Serviço de Provisionamento de Dispositivos
Há muitos cenários de provisionamento nos quais o DPS é uma excelente opção para obter dispositivos conectados e configurados para o Hub IoT, tais como:
- Provisionamento de toque zero para uma única solução de IoT sem codificar informações de conexão de Hub IoT de fábrica (configuração inicial)
- Dispositivos de balanceamento de carga entre vários hubs
- Conectando dispositivos à solução de IoT do proprietário deles com base nos dados de transação de vendas (multilocação)
- Conectando dispositivos a uma determinada solução de IoT dependendo do caso de uso (isolamento de solução)
- Conectar um dispositivo ao hub IoT com a menor latência (fragmentação geográfica)
- Reprovisionar com base em uma alteração no dispositivo
- Reverter as chaves usadas pelo dispositivo para se conectar ao Hub IoT do Azure (quando não estiver usando certificados X.509 para conectar-se)
O DPS não dá suporte ao provisionamento de dispositivos aninhados do IoT Edge (hierarquias pai/filho).
Processo de provisionamento
Há duas etapas que ocorrem antes de um provisionamento de dispositivos com DPS:
- A etapa de fabricação, na qual o dispositivo é criado e preparado na fábrica e
- A etapa de configuração de nuvem, em que o Serviço de Provisionamento de Dispositivos é configurado para o provisionamento automatizado.
Ambas essas etapas podem ser incorporadas aos processos de fabricação e implantação existentes. O DPS simplifica até mesmo alguns processos de implantação que envolvem trabalho manual para obter informações de conexão para o dispositivo.
Etapa de fabricação
Esta etapa trata-se do que acontece na linha de produção. As funções envolvidas nesta etapa incluem designer de silício, fabricante de silício, integrador e/ou o fabricante final do dispositivo. Esta etapa envolve a criação do hardware em si.
O DPS não introduz uma nova etapa no processo de fabricação; em vez disso, ele está associado à etapa existente que instala o software inicial e (idealmente) o HSM (módulo de segurança de hardware) no dispositivo. Em vez de criar uma ID de dispositivo nesta etapa, o dispositivo é programado com as informações do serviço de provisionamento, permitindo que ele chame o serviço de provisionamento para obter suas informações de conexão/atribuição de solução de IoT quando ele é ativado.
Também nesta etapa, o fabricante fornece as informações de chave de identificação ao implantador/operador do dispositivo. Fornecer essas informações pode ser algo tão simples quanto confirmar que todos os dispositivos têm um certificado X.509 gerado de um certificado de autenticação fornecido pelo implantador/operador do dispositivo ou pode ser complicado como extrair a parte pública da chave de endosso do TPM de cada dispositivo TPM. Muitos fabricantes de silício oferecem esses serviços.
Etapa de configuração de nuvem
Esta etapa trata da configuração de nuvem para o provisionamento automático adequado. Geralmente, há dois tipos de usuários envolvidos na etapa de configuração de nuvem: alguém que sabe como os dispositivos precisam ser configurados inicialmente (um operador de dispositivo) e outra pessoa que sabe como os dispositivos devem ser divididos entre os Hubs IoT (um operador de solução).
Há uma única configuração inicial do serviço de provisionamento, que é realizada pelo operador de solução. Quando o serviço de provisionamento está configurado, ele não precisa ser modificado, a menos que o caso de uso seja alterado.
Depois que o serviço for configurado para o provisionamento automático, ele deve estar preparado para registrar dispositivo. Esta etapa é realizada pelo operador de dispositivo, que sabe a configuração desejada dos dispositivo e se certifica de que o serviço de provisionamento pode atestar corretamente a identidade de um dispositivo. O operador de dispositivo pega as informações de chave de identificação do fabricante e as adiciona à lista de registro. Pode haver atualizações subsequentes para a lista de registro, tais como novas entradas serem adicionadas ou entradas existentes serem atualizadas com as informações mais recentes sobre os dispositivos.
Registro e provisionamento
Provisionamento significa diversas coisas dependendo do setor no qual o termo é usado. No contexto de provisionamento de dispositivos IoT para a solução de nuvem deles, o provisionamento é um processo de duas partes:
- A primeira parte é estabelecer a conexão inicial entre o dispositivo e a solução de IoT, registrando o dispositivo.
- A segunda parte é aplicar a configuração apropriada ao dispositivo com base nos requisitos específicos da solução para a qual ele foi registrado.
Depois que ambas as etapas forem concluídas, podemos dizer que o dispositivo está totalmente provisionado.
Recursos do Serviço de Provisionamento de Dispositivos
O DPS tem muitos recursos que o tornam ideal para provisionar dispositivos.
- Suporte a atestado protegido tanto para identidades baseadas em X.509 quanto para aquelas baseadas em TPM.
- Lista de registro que contém o registro completo de dispositivos/grupos de dispositivos que podem se registrar em algum momento. A lista de registro contém informações sobre a configuração desejada de um dispositivo quando ele se registra e pode ser atualizada a qualquer momento.
- Várias políticas de alocação para controlar como o DPS atribui dispositivos para Hubs IoT para dar suporte a seus cenários: Latência mais baixa, distribuição uniformemente ponderada (padrão) e configuração estática. A alocação personalizada permite implementar suas próprias políticas de alocação por meio de webhooks hospedados no Azure Functions em vez de usar um dos padrões.
- Logs de monitoramento e de diagnóstico para verificar se tudo está funcionando corretamente.
- O suporte a vários hubs permite que o DPS atribua dispositivos a mais de um hub IoT. O DPS pode se comunicar com hubs entre várias assinaturas do Azure.
- O suporte entre regiões permite que o DPS atribua dispositivos a hubs IoT em outras regiões.
- A criptografia de dados em repouso permite que os dados do DPS sejam criptografados e descriptografados de maneira transparente usando a criptografia AES de 256 bits, uma das codificações de bloco mais fortes disponíveis, e é compatível com o FIPS 140-2.
Você pode aprender mais sobre os conceitos e recursos envolvidos no provisionamento de dispositivos examinando ao artigo terminologia de DPS junto com os outros artigos conceituais na mesma seção.
Suporte de multiplaforma
Assim como todos os serviços de Internet das Coisas do Azure, o DPS funciona em multiplataforma com vários sistemas operacionais. O Azure oferece SDKs de software livre em vários idiomas para facilitar a conexão de dispositivos e o gerenciamento do serviço.
O DPS dá suporte aos seguintes protocolos para conectar dispositivos:
- HTTPS*
- AMQP
- AMQP sobre websockets
- MQTT
- MQTT sobre websockets
*O DPS dá suporte apenas a conexões HTTPS para operações de serviço.
Regiões
O DPS está disponível em muitas regiões. Para obter a lista de regiões com suporte para todos os serviços, consulte as regiões do Azure. Você pode verificar a disponibilidade do Serviço de Provisionamento de Dispositivos na página de status do Azure.
Para resiliência e confiabilidade, recomendamos implantar em uma das regiões que dão suporte a zonas de disponibilidade.
Consideração sobre residência de dados
O Serviço de Provisionamento de Dispositivos armazena dados do cliente. Por padrão, os dados do cliente são replicados para uma região secundária para dar suporte a cenários de recuperação de desastre. Para implantações no sudeste da Ásia e no sul do Brasil, os clientes podem optar por manter seus dados somente dentro dessa região desabilitando a recuperação de desastre. Para saber mais, confira Replicação entre regiões no Azure.
O DPS usa o mesmo ponto de extremidade de provisionamento de dispositivos para todas as instâncias do serviço de provisionamento e executa o balanceamento de carga de tráfego no ponto de extremidade de serviço mais próximo disponível. Como resultado, os segredos de autenticação podem ser temporariamente transferidos para fora da região onde a instância do DPS foi inicialmente criada. No entanto, depois que o dispositivo está conectado, os dados do dispositivo fluem diretamente para a região original da instância do DPS. Para garantir que seus dados não deixem a região original ou secundária, use um ponto de extremidade privado. Para saber como configurar pontos de extremidade privados, consulte Suporte do DPS para redes virtuais.
Cotas e limites
Cada assinatura do Azure tem limites de cota padrão em vigor que podem afetar o escopo da solução de IoT. O limite atual é de 10 instâncias do serviço de provisionamento de dispositivos por assinatura.
Para obter mais informações sobre limites de cota, consulte os limites de serviço de assinatura do Azure.
A tabela a seguir lista os limites que se aplicam aos recursos do Serviço de Provisionamento de Dispositivos no Hub IoT do Azure.
| Recurso | Limite |
|---|---|
| Máximo de serviços de provisionamento de dispositivos por assinatura do Azure | 10 |
| Número máximo de registros | 1.000.000 |
| Número máximo de inscrições individuais | 1.000.000 |
| Número máximo de grupos de inscrição (certificado X.509) | 100 |
| Número máximo de grupos de inscrição (chave simétrica) | 100 |
| Número máximo de CAs | 25 |
| Número máximo de hubs IoT vinculados | 50 |
| Tamanho máximo da mensagem | 96 KB |
Dica
Se o limite rígido dos grupos de registro de chaves simétricas for um problema de bloqueio, use registros individuais como uma solução alternativa.
O Serviço de Provisionamento de Dispositivos tem os seguintes limites de taxa.
| Tarifa | Valor por unidade |
|---|---|
| Operações | 1.000/min/serviço |
| Registros de dispositivo | 1.000/min/serviço |
| Operação de sondagem de dispositivo | 5/10 s/dispositivo |
Operações de serviço cobradas e preços
Cada chamada à API no DPS, seja das APIs de serviço ou da API de registro do dispositivo, pode ser cobrada como uma operação.
As tabelas a seguir mostram o status atual faturável para cada operação de API do DPS. Para saber mais sobre o preço do DPS, selecione Tabela de preços na parte superior da página Preços do Hub IoT do Azure. Em seguida, selecione a guia Serviço de Provisionamento de Dispositivos no Hub IoT, a moeda e a região do serviço.
| API | Operação | Cobrado? |
|---|---|---|
| API do Dispositivo DPS – registro em runtime | Pesquisa de status de registro do dispositivo | Não |
| Pesquisa de status da operação | Não | |
| Registrar dispositivo | Sim | |
| API do Serviço DPS – estado de registro do dispositivo | Todos | Sim |
| API do Serviço DPS – grupo de registro | Todos | Sim |
| API de Serviço DPS – registro individual | Todos | Sim |
| API de Certificado DPS | Todos | Não |
| API de Recursos do DPS IoT | Todos | Não |
Componentes relacionados do Azure
O DPS automatiza o provisionamento de dispositivos com o Hub IoT do Azure. Saiba mais sobre o Hub IoT.
Os aplicativos do IoT Central usam uma instância de DPS interna para gerenciar conexões de dispositivo. Para saber mais, veja Como os dispositivos se conectam ao IoT Central.
Próximas etapas
Configurar o Serviço de Provisionamento de Dispositivos no Hub IoT com o portal do Azure