Arquitetura de referência do Azure IoT

Funções
IoT Hub
Serviço de Aprovisionamento de Dispositivos de IoT
Stream Analytics
Digital Twins

Pode criar soluções IoT personalizadas montando componentes Azure PaaS (plataforma-as-a-service) como este artigo descreve. O artigo e este diagrama descrevem componentes e serviços Azure que as soluções IoT normalmente utilizam, mas nenhuma solução utiliza todos estes componentes.

Arquitetura

Diagrama mostrando arquitetura para aplicações IoT usando componentes Azure PaaS.

Transfira um ficheiro do Visio desta arquitetura.

Fluxo de trabalho

As soluções Azure IoT envolvem:

  • Coisas, tipicamente dispositivos que geram dados.
  • Insights que forma sobre os dados.
  • Ações que tomas com base em insights.

Por exemplo, um motor envia dados de temperatura. Utilize estes dados para avaliar se o motor está a funcionar como esperado. Utiliza a visão sobre o desempenho do motor para priorizar o seu horário de manutenção.

Dispositivos

O Azure IoT suporta uma grande variedade de dispositivos, desde microcontroladores que executam Azure RTOS e Azure Sphere até placas de desenvolvedores como MX Chip e Raspberry Pi. O Azure IoT também suporta gateways de servidores inteligentes capazes de executar código personalizado. Os dispositivos podem realizar algum processamento local através de um serviço como o Azure IoT Edge, ou apenas ligar-se diretamente ao Azure para que possam enviar dados e receber dados da solução IoT.

Quando os dispositivos estão ligados à nuvem, existem vários serviços que ajudam a ingerir dados. Hub IoT do Azure é um serviço de gateway de nuvem que pode ligar e gerir dispositivos de forma segura. Hub IoT do Azure Serviço de Provisionamento de Dispositivos (DPS) permite um fornecimento de toque zero, just-in-time que ajuda a registar um grande número de dispositivos de forma segura e escalável. A Azure Digital Twins permite modelos virtuais de sistemas do mundo real.

Informações

Uma vez que os dispositivos estão ligados à nuvem, você pode processar e explorar os seus dados para obter insights personalizados sobre o seu ambiente. A um nível elevado, há três maneiras de processar dados: caminho quente, caminho quente e caminho frio. Os caminhos diferem nos seus requisitos para a latência e acesso aos dados.

  • O caminho quente analisa os dados em quase tempo real à medida que chega. A telemetria do caminho quente deve ser processada com latência muito baixa. O caminho quente normalmente usa um motor de processamento de fluxo. Considere usar serviços como Azure Stream Analytics ou Azure HDInsight. A saída pode desencadear um alerta ou ser escrita para um formato estruturado que pode ser consultado usando ferramentas analíticas.
  • O caminho quente analisa dados que podem acomodar atrasos mais longos para um processamento mais detalhado. Considere a Azure Data Explorer para armazenar e analisar grandes volumes de dados.
  • O caminho frio executa o processamento do lote em intervalos mais longos, como de hora ou de dia. O caminho frio funciona normalmente sobre grandes volumes de dados, que podem ser armazenados em Azure Data Lake Storage. Os resultados não precisam de ser tão oportunos como nos caminhos quentes ou quentes. Considere usar Azure Machine Learning ou Azure Databricks para analisar dados frios.

Ações

Pode utilizar as informações que recolhe sobre os seus dados para gerir e controlar o seu ambiente. As ações de integração de negócios podem incluir:

  • Armazenando mensagens informativas.
  • A fazer soar os alarmes.
  • Envio de e-mail ou sms.
  • Integração com aplicações empresariais como a gestão de relacionamento com o cliente (CRM) e o planeamento de recursos empresariais (ERP).

Pode utilizar os seguintes serviços para gestão e integração empresarial:

  • O Power BI conecta-se a modelos e visualiza os seus dados. O Power BI permite-lhe colaborar em dados e usar inteligência artificial para tomar decisões baseadas em dados.
  • Azure Maps cria aplicações web e móveis conscientes da localização utilizando APIs geoespaciais, SDKs e serviços como pesquisa, mapas, encaminhamento, rastreio e tráfego.
  • Azure Cognitive Search fornece um serviço de pesquisa sobre diferentes tipos de conteúdo. A Pesquisa Cognitiva inclui indexação, enriquecimento de IA e capacidades de consulta.
  • Azure Gestão de API fornece um único lugar para gerir todas as suas APIs.
  • Serviço de Aplicações do Azure implementa aplicações web que escalam com a sua organização.
  • A azure Mobile Apps constrói plataformas cruzadas e aplicativos nativos para iOs, Android, Windows ou Mac.
  • A Dynamics 365 combina CRM e ERP na nuvem.
  • Microsoft Power Automate (Microsoft Flow) é uma oferta saaS para automatizar fluxos de trabalho em aplicações e outros serviços SaaS.
  • A Azure Logic Apps cria e automatiza fluxos de trabalho que integram as suas apps, dados, serviços e sistemas.

O Azure também fornece vários serviços para ajudá-lo a monitorizar toda a sua solução IoT e mantê-la segura. Os serviços de diagnóstico incluem o Azure Monitor. Serviços de segurança como o Azure Ative Directory (Azure AD) e Microsoft Defender para IoT ajudam-no a controlar, visualizar e gerir configurações de segurança e deteção e resposta de ameaças.

Componentes

Considerações

Estas considerações implementam os pilares do Quadro Azure Well-Architected, que é um conjunto de princípios orientadores que podem ser utilizados para melhorar a qualidade de uma carga de trabalho. Para mais informações, consulte o Microsoft Azure Well-Architected Framework.

Capacidade de gestão

Pode utilizar a Azure Digital Twins para controlar e monitorizar ambientes conectados. Um gémeo digital é um modelo virtual de um ambiente real que é impulsionado com dados de sistemas de negócios e dispositivos IoT. Empresas e organizações usam gémeos digitais para permitir insights e ações. Os desenvolvedores e arquitetos usam soluções gémeas digitais para ajudar a implementar ambientes inteligentes e conectados, tais como:

  • Manutenção preditiva na fabricação.
  • Visibilidade da cadeia de abastecimento.
  • Prateleiras inteligentes para inventário em tempo real.
  • Casas conectadas e edifícios inteligentes.

Fiabilidade

A fiabilidade garante que a sua candidatura pode cumprir os compromissos que assumiu com os seus clientes. Para mais informações, consulte a visão geral do pilar de fiabilidade."

Uma área-chave de consideração para soluções IoT resilientes é a continuidade do negócio e a recuperação de desastres. Conceber para alta disponibilidade (HA) e recuperação de desastres (DR) pode ajudá-lo a definir e alcançar os objetivos de uptime necessários para a sua solução.

Os diferentes serviços Azure oferecem diferentes opções de redundância e falha para ajudá-lo a alcançar os objetivos de uptime que melhor se adequam aos objetivos do seu negócio. A incorporação de qualquer uma destas alternativas HA/DR na sua solução IoT requer uma avaliação cuidadosa das trocas entre:

  • Nível de resiliência que precisa.
  • Implementação e complexidade de manutenção.
  • Custo do impacto do custo das mercadorias vendidas (COGS).

Pode encontrar informações de desempenho específicas do serviço na documentação de cada serviço Azure IoT.

Segurança

A segurança fornece garantias contra ataques deliberados e abuso dos seus valiosos dados e sistemas. Para mais informações, consulte a visão geral do pilar de segurança. Esta secção contém considerações para a construção de soluções seguras.

Modelo de segurança de confiança zero

A confiança zero é um modelo de segurança que assume que as violações vão acontecer, e trata todas as tentativas de acesso como se fosse originária de uma rede aberta. A confiança zero assume que implementou o básico, como garantir identidades e limitar o acesso.

A implementação básica da segurança inclui verificar explicitamente os utilizadores, ter visibilidade nos seus dispositivos e ser capaz de tomar decisões dinâmicas de acesso usando a deteção de riscos em tempo real. Depois de fazer o básico, pode mudar o seu foco para os seguintes requisitos de confiança zero para soluções IoT:

  • Utilize uma identidade forte para autenticar dispositivos.
  • Use o acesso menos privilegiado para mitigar o raio de explosão.
  • Monitorize a saúde do dispositivo para o portão de acesso ou dispositivos de bandeira para reparação.
  • Execute atualizações para manter os dispositivos saudáveis.
  • Monitorize para detetar e responder a ameaças emergentes.

Comunicação fiável e segura

Todas as informações recebidas de e enviadas para um dispositivo têm de ser fiáveis. A menos que um dispositivo possa suportar as seguintes capacidades criptográficas, deve ser limitado às redes locais, e todas as comunicações inter-rede devem passar por um gateway de campo:

  • Encriptação de dados e assinaturas digitais com um algoritmo de encriptação de chaves simétricas comprovadamente seguros, analisados publicamente e amplamente implementados.
  • Suporte para TLS 1.2 para TCP ou outras vias de comunicação baseadas em fluxo, ou DTLS 1.2 para caminhos de comunicação baseados em datagramas. O suporte ao tratamento do certificado X.509 é opcional. Pode substituir o tratamento de certificados X.509 pelo modo de chave pré-partilhado mais eficiente em termos de cálculo e eficiente em termos de fio para o TLS, que pode implementar com suporte para os algoritmos AES e SHA-2.
  • Arquivo de chaves atualizável e chaves por dispositivo. Cada dispositivo deve ter material chave ou fichas únicas que o identifiquem no sistema. Os dispositivos devem armazenar a chave de forma segura no dispositivo (por exemplo, utilizando uma loja de chaves segura). O dispositivo deve conseguir atualizar as chaves ou os tokens de forma periódica ou reativa em situações de emergência, como em caso de falha do sistema.
  • O firmware e o software da aplicação no dispositivo têm de permitir atualizações para a reparação de vulnerabilidades de segurança detetadas.

Muitos dispositivos estão demasiado limitados para suportar estes requisitos. Nesse caso, deves usar um portal de campo. Os dispositivos ligam em segurança ao gateway de campo através de uma rede local e o gateway permite a comunicação segura com a cloud.

Protegido com adulterações físicas

O design recomendado do dispositivo incorpora funcionalidades que se defendem contra tentativas de manipulação física, para ajudar a garantir a segurança, integridade e fiabilidade do sistema global.

Por exemplo:

  • Escolha microcontroladores/microprocessadores ou hardware auxiliar que forneça armazenamento seguro e uso de material chave criptográfico, como integração de módulo de plataforma fidedigna (TPM).
  • Ancorar o carregador de arranque seguro e o carregamento de software seguro no TPM.
  • Utilize sensores para detetar tentativas de intrusão e tentativas de manipular o ambiente do dispositivo, com alerta e potencial "autodestruição digital" do dispositivo.

Otimização de custos

A otimização de custos tem a ver com formas de reduzir despesas desnecessárias e melhorar a eficiência operacional. Para mais informações, consulte a visão geral do pilar de otimização de custos.

Em geral, utilize a calculadora de preços Azure para estimar os custos. Outras considerações são descritas na secção Custo no Quadro de Well-Architected microsoft Azure.

Eficiência de desempenho

Eficiência de desempenho é a capacidade da sua carga de trabalho para dimensionar para satisfazer as exigências que os utilizadores lhe colocam de forma eficiente. Para obter mais informações, consulte a visão geral do pilar de eficiência de desempenho.

Construa a sua solução para implantar à escala global. Para uma escalabilidade ótima, construa a sua aplicação IoT com serviços discretos que podem escalar de forma independente. Esta secção descreve considerações de escalabilidade para vários serviços Azure.

IoT Hub

Cada hub IoT é a provisionado com um certo número de unidades num nível específico de preços e escala. O escalão e o número de unidades determinam a quota diária máxima de mensagens que os dispositivos podem enviar para o hub. Para mais informações, consulte Hub IoT quotas e estrangulamento. Pode aumentar verticalmente um hub sem interromper as operações existentes.

Para o Hub IoT, considere os seguintes fatores de dimensionamento:

  • A quota diária máxima de mensagens para o Hub IoT.
  • A quota de dispositivos ligados numa instância do Hub IoT.
  • Produção de ingestão: Quão rápido Hub IoT pode ingerir mensagens.
  • Processamento de produção: A rapidez com que as mensagens recebidas são processadas.

O Hub IoT cria automaticamente partições das mensagens do dispositivo com base no ID do dispositivo. Todas as mensagens de um dispositivo específico chegarão sempre à mesma partição, mas uma única partição terá mensagens de vários dispositivos. Portanto, a unidade de paralelização é o ID da partição.

Funções do Azure

Quando Funções do Azure lê de um ponto final Hubs de Eventos do Azure, há um número máximo de instâncias por partição do centro de eventos. A velocidade máxima de processamento é determinada pela rapidez com que uma instância de função consegue processar os eventos de uma única partição. A função deve processar as mensagens em lotes.

Stream Analytics

Os trabalhos stream Analytics escalam melhor se forem paralelos em todos os pontos do pipeline Stream Analytics, desde a entrada à consulta até à saída. Uma tarefa totalmente paralela permite ao Stream Analytics dividir o trabalho por vários nós de computação. Para obter mais informações, veja Leverage query parallelization in Azure Stream Analytics (Tirar partido da paralelização de consultas no Azure Stream Analytics).

Contribuidores

Este artigo é mantido pela Microsoft. Foi originalmente escrito pelos seguintes contribuintes.

Autor principal:

Outro contribuinte:

Para ver perfis não públicos do LinkedIn, inscreva-se no LinkedIn.

Passos seguintes