Criar um dispositivo IoT Edge
Aplica-se a: 
IoT Edge 1.5 IoT Edge 1.4
Importante
IoT Edge 1.5 LTS e IoT Edge 1.4 LTS são versões suportadas. O IoT Edge 1.4 LTS termina a vida útil em 12 de novembro de 2024. Se tiver uma versão anterior, consulte Atualizar IoT Edge.
Este artigo fornece uma visão geral das opções disponíveis para instalar e provisionar o IoT Edge em seus dispositivos.
Este artigo fornece uma visão de todas as opções para sua solução IoT Edge e ajuda você a:
Ao final deste artigo, você terá uma imagem clara de quais opções de plataforma, provisionamento e autenticação deseja usar para sua solução IoT Edge.
Começar agora
Se você souber que tipo de plataforma, provisionamento e opções de autenticação deseja usar para criar um dispositivo IoT Edge, use os links na tabela a seguir para começar.
Se você quiser mais informações sobre como escolher a opção certa para você, continue neste artigo para saber mais.
| Contêineres Linux em hosts Linux | Contêineres Linux em hosts Windows | |
|---|---|---|
| Provisionamento manual (dispositivo único) | Certificados X.509 Chaves simétricas |
Certificados X.509 Chaves simétricas |
| Autoprovisionamento (dispositivos em escala) | Certificados X.509 TPM Chaves simétricas |
Certificados X.509 TPM Chaves simétricas |
Termos e conceitos
Se você ainda não estiver familiarizado com a terminologia do IoT Edge, revise alguns conceitos-chave:
Tempo de execução do IoT Edge: o tempo de execução do IoT Edge é uma coleção de programas que transformam um dispositivo em um dispositivo IoT Edge. Coletivamente, os componentes de tempo de execução do IoT Edge permitem que os dispositivos IoT Edge executem seus módulos do IoT Edge.
Provisionamento: cada dispositivo IoT Edge deve ser provisionado. O provisionamento é um processo de duas etapas. A primeira etapa é registrar o dispositivo em um hub IoT, que cria uma identidade de nuvem que o dispositivo usa para estabelecer a conexão com seu hub. A segunda etapa é configurar o dispositivo com sua identidade na nuvem. O provisionamento pode ser feito manualmente por dispositivo ou em escala usando o Serviço de Provisionamento de Dispositivos do Hub IoT.
Autenticação: seus dispositivos IoT Edge precisam verificar sua identidade quando se conectam ao Hub IoT. Você pode escolher qual método de autenticação usar, como senhas de chave simétrica, impressões digitais de certificado ou TPMs (módulos de plataforma confiáveis).
Escolher uma plataforma
As opções de plataforma são referidas pelo sistema operacional do contêiner e pelo sistema operacional do host. O sistema operacional de contêiner é o sistema operacional usado dentro de seus contêineres de módulo e tempo de execução do IoT Edge. O sistema operacional host é o sistema operacional do dispositivo em que os contêineres e módulos de tempo de execução do IoT Edge estão sendo executados.
Há três opções de plataforma para seus dispositivos IoT Edge.
Contêineres Linux em hosts Linux: execute contêineres IoT Edge baseados em Linux diretamente em um host Linux. Em todos os documentos do IoT Edge, você também verá essa opção conhecida como contêineres Linux e Linux para simplificar.
Contêineres Linux em hosts Windows: execute contêineres IoT Edge baseados em Linux em uma máquina virtual Linux em um host Windows. Nos documentos do IoT Edge, você também verá essa opção conhecida como Linux no Windows, IoT Edge para Linux no Windows e EFLOW.
Contêineres do Windows em hosts Windows: execute contêineres do IoT Edge baseados no Windows diretamente em um host Windows. Em todos os documentos do IoT Edge, você também verá essa opção conhecida como contêineres do Windows e do Windows para simplificar.
Para obter as informações mais recentes sobre quais sistemas operacionais são suportados atualmente para cenários de produção, consulte Sistemas com suporte do Azure IoT Edge.
Contêineres Linux no Linux
Para dispositivos Linux, o tempo de execução do IoT Edge é instalado diretamente no dispositivo host.
O IoT Edge suporta dispositivos Linux X64, ARM32 e ARM64. A Microsoft fornece pacotes de instalação oficiais para uma variedade de sistemas operacionais.
Contentores do Linux no Windows
O IoT Edge para Linux no Windows hospeda uma máquina virtual Linux em seu dispositivo Windows. A máquina virtual vem pré-criada com o tempo de execução do IoT Edge e as atualizações são gerenciadas por meio do Microsoft Update.
O IoT Edge para Linux no Windows é a maneira recomendada de executar o IoT Edge em dispositivos Windows. Para saber mais, consulte O que é o Azure IoT Edge para Linux no Windows.
Contêineres do Windows no Windows
O IoT Edge versão 1.2 ou posterior não suporta contêineres do Windows. Os contêineres do Windows não são suportados além da versão 1.1.
Escolha como provisionar seus dispositivos
Você pode provisionar um único dispositivo ou vários dispositivos em escala, dependendo das necessidades de sua solução IoT Edge.
As opções disponíveis para autenticar comunicações entre seus dispositivos IoT Edge e seus hubs IoT dependem do método de provisionamento escolhido. Você pode ler mais sobre essas opções na seção Escolha um método de autenticação.
Dispositivo único
O provisionamento de dispositivo único refere-se ao provisionamento de um dispositivo IoT Edge sem a assistência do DPS (Serviço de Provisionamento de Dispositivos) do Hub IoT. Você verá o provisionamento de dispositivo único, também conhecido como provisionamento manual.
Usando o provisionamento de dispositivo único, você precisará inserir manualmente informações de provisionamento, como uma cadeia de conexão, em seus dispositivos. O provisionamento manual é rápido e fácil de configurar para apenas alguns dispositivos, mas sua carga de trabalho aumentará com o número de dispositivos. O provisionamento ajuda quando você está considerando a escalabilidade de sua solução.
Chave simétrica e métodos de autenticação autoassinada X.509 estão disponíveis para provisionamento manual. Você pode ler mais sobre essas opções na seção Escolha um método de autenticação.
Dispositivos em escala
O provisionamento de dispositivos em escala refere-se ao provisionamento de um ou mais dispositivos IoT Edge com a assistência do Serviço de Provisionamento de Dispositivos do Hub IoT. Você verá o provisionamento em escala, também conhecido como provisionamento automático.
Se sua solução IoT Edge exigir mais de um dispositivo, o provisionamento automático usando DPS economizará o esforço de inserir manualmente informações de provisionamento nos arquivos de configuração de cada dispositivo. Esse modelo automatizado pode ser dimensionado para milhões de dispositivos IoT Edge.
Você pode proteger sua solução IoT Edge com o método de autenticação de sua escolha. Chave simétrica, certificados X.509 e métodos de autenticação de atestado de módulo de plataforma confiável (TPM) estão disponíveis para provisionamento de dispositivos em escala. Você pode ler mais sobre essas opções na seção Escolha um método de autenticação.
Para ver mais dos recursos do DPS, consulte a seção Recursos da página de visão geral.
Escolher um método de autenticação
Atestado de certificado X.509
O uso de certificados X.509 como um mecanismo de atestado é a maneira recomendada de dimensionar a produção e simplificar o provisionamento de dispositivos. Normalmente, os certificados X.509 são organizados em uma cadeia de confiança de certificados. Começando com um certificado raiz autoassinado ou confiável, cada certificado na cadeia assina o próximo certificado inferior. Esse padrão cria uma cadeia delegada de confiança do certificado raiz até o certificado de dispositivo downstream final instalado em um dispositivo.
Você cria dois certificados de identidade X.509 e os coloca no dispositivo. Ao criar uma nova identidade de dispositivo no Hub IoT, você fornece impressões digitais de ambos os certificados. Quando o dispositivo se autentica no Hub IoT, ele apresenta um certificado e o Hub IoT verifica se o certificado corresponde à sua impressão digital. As chaves X.509 no dispositivo devem ser armazenadas em um módulo de segurança de hardware (HSM). Por exemplo, módulos PKCS#11, ATECC, dTPM, etc.
Esse método de autenticação é mais seguro do que chaves simétricas e oferece suporte a inscrições em grupo que fornecem uma experiência de gerenciamento simplificada para um grande número de dispositivos. Esse método de autenticação é recomendado para cenários de produção.
Atestado TPM (Trusted Platform Module)
O uso do atestado TPM é um método para provisionamento de dispositivos que usa recursos de autenticação em software e hardware. Cada chip TPM usa uma chave de endosso exclusiva para verificar sua autenticidade.
O atestado TPM só está disponível para provisionamento em escala com DPS e só suporta inscrições individuais e não inscrições em grupo. As inscrições de grupo não estão disponíveis devido à natureza específica do dispositivo do TPM.
O TPM 2.0 é necessário quando você usa o atestado TPM com o serviço de provisionamento de dispositivo.
Esse método de autenticação é mais seguro do que as chaves simétricas e é recomendado para cenários de produção.
Atestado de chaves simétricas
O atestado de chave simétrica é uma abordagem simples para autenticar um dispositivo. Esse método de atestado representa uma experiência de "Olá mundo" para desenvolvedores que são novos no provisionamento de dispositivos ou não têm requisitos de segurança rigorosos.
Quando você cria uma nova identidade de dispositivo no Hub IoT, o serviço cria duas chaves. Você coloca uma das chaves no dispositivo e ela apresenta a chave para o Hub IoT ao autenticar.
Este método de autenticação é mais rápido para começar, mas não tão seguro. O provisionamento de dispositivos usando certificados TPM ou X.509 é mais seguro e deve ser usado para soluções com requisitos de segurança mais rigorosos.
Próximos passos
Você pode usar o sumário para navegar até o guia de ponta a ponta apropriado para criar um dispositivo IoT Edge para os requisitos de plataforma, provisionamento e autenticação da sua solução IoT Edge.
Você também pode usar os links a seguir para ir para o artigo relevante.
Contêineres Linux em hosts Linux
Provisione manualmente um único dispositivo:
- Provisionar um único dispositivo Linux usando certificados X.509
- Provisionar um único dispositivo Linux usando chaves simétricas
Provisione vários dispositivos em escala:
- Provisione dispositivos Linux em escala usando certificados X.509
- Provisione dispositivos Linux em escala usando o atestado TPM
- Provisione dispositivos Linux em escala usando chaves simétricas
Contêineres Linux em hosts Windows
Provisione manualmente um único dispositivo:
- Provisionar um único dispositivo Linux no Windows usando certificados X.509
- Provisionar um único dispositivo Linux no Windows usando chaves simétricas
Provisione vários dispositivos em escala: