Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Служба подготовки устройств в IoT Hub (DPS) — это вспомогательная служба для IoT Hub, которая обеспечивает автоматическое и своевременное подключение к нужному IoT Hub без участия человека. В облачном решении DPS позволяет настраивать миллионы устройств безопасным и масштабируемым образом. Многие шаги вручную, традиционно участвующие в подготовке, автоматизированы с DPS, чтобы сократить время развертывания устройств Интернета вещей и снизить риск ошибки вручную.
Как работает служба подготовки устройств
На следующей схеме описывается, что происходит за кулисами для подготовки устройства с помощью DPS.
Перед началом процесса подготовки устройства необходимо выполнить два этапа подготовки вручную.
- На стороне устройства производитель устройства готовит его для конфигурирования, предварительно настроив аутентификационные данные, назначенный идентификатор службы подготовки устройств и конечную точку.
- Что касается облачной среды, вы или производитель устройства подготавливаете экземпляр службы регистрации устройств с записями, которые идентифицируют валидные устройства и определяют, как они должны быть настроены.
После настройки устройства и облака для подготовки следующие действия начинаются автоматически при первом включении устройства:
- Устройство впервые включается, затем соединяется с конечной точкой DPS и представляет свои учетные данные для проверки подлинности.
- Экземпляр DPS сверяет идентификатор устройства с его списком регистрации. После проверки удостоверения устройства DPS назначает устройство центру Интернета вещей и регистрирует его в центре Интернета вещей.
- Экземпляр DPS получает идентификатор устройства и сведения о регистрации из назначенного концентратора и передает эти сведения обратно на устройство.
- Устройство использует сведения о регистрации для подключения непосредственно к назначенному центру Интернета вещей и проверке подлинности.
- Устройство и Центр Интернета вещей начинают взаимодействовать напрямую. Экземпляр DPS не играет роли в качестве посредника, если только устройству не потребуется повторная конфигурация.
Когда следует использовать службу подготовки устройств
Существует множество сценариев подготовки, в которых DPS является отличным выбором для подключения и настройки устройств к IoT Hub.
- Подготовка к одному решению Интернета вещей без жесткой кодировки сведений о подключении Центра Интернета вещей на фабрике (начальная настройка)
- Балансировка нагрузки устройств в нескольких хабах
- Подключение устройств к решению Интернета вещей его владельца на основе данных о сделках купли-продажи (мультитенантность)
- Подключение устройств к конкретному решению Интернета вещей в зависимости от варианта использования (изоляция решения)
- Подключение устройства к Центру Интернета вещей с наименьшей задержкой (гео-сегментированием)
- Повторная подготовка на основе изменения устройства
- Обновление ключей, используемых устройством для подключения к Центру Интернета вещей (если для подключения не используются сертификаты X.509)
DPS не поддерживает конфигурирование вложенных устройств IoT Edge (иерархий родитель/дочернее устройство).
Процесс подготовки
Перед подготовкой устройств с помощью DPS выполняется два шага:
- Производственный этап , в котором устройство создано и подготовлено на заводе, и
- Шаг настройки облака, на котором Служба предоставления устройств настроена для автоматического развертывания.
Оба этих шага можно включить в существующие процессы производства и развертывания. DPS даже упрощает некоторые процессы развертывания, связанные с ручной работой, чтобы получить сведения о подключении к устройству.
Этап производства
Этот шаг касается того, что происходит на производственной линии. Роли, участвующие в этом шаге, включают в себя силиконовой конструктор, изготовитель кремния, интегратор и/или конечный производитель устройства. Этот шаг связан с созданием самого оборудования.
DPS не вводит новый шаг в производственном процессе; скорее, он связывается с существующим шагом, который устанавливает исходное программное обеспечение и (в идеале) аппаратный модуль безопасности (HSM) на устройстве. Вместо создания идентификатора устройства на этом шаге, устройство запрограммировано с информацией о службе настройки, что позволяет ему вызывать службу настройки, чтобы получить информацию о подключении или назначение решения IoT при включении.
Кроме того, на этом этапе производитель предоставляет лицу, ответственному за развертывание или эксплуатацию устройства, ключевую информацию для идентификации. Предоставление этой информации может быть таким же простым, как подтверждение того, что все устройства имеют сертификат X.509, созданный из сертификата подписи, предоставленного оператором устройства, или столь же сложным, как извлечение открытой части ключа подтверждения доверенного платформенного модуля (TPM) из каждого устройства. Многие производители кремниев предлагают эти услуги.
Шаг настройки облака
Этот шаг посвящен настройке облака для правильного автоматического предоставления ресурсов. Как правило, существует два типа пользователей, участвующих на этапе настройки облака: кто-то, кто знает, как устройства должны быть изначально настроены (оператор устройства), и кто-то другой, который знает, как устройства должны быть разделены между центрами Интернета вещей (оператор решения).
Существует однократная начальная настройка службы подготовки, которую обычно обрабатывает оператор решения. После настройки службы предоставления, ее не нужно изменять, если вариант использования не изменится.
После настройки службы для автоматического предоставления она должна быть готова к регистрации устройств. Этот шаг выполняется оператором устройства, который знает нужную конфигурацию устройств и гарантирует, что служба конфигурации может правильно подтвердить идентичность устройства. Оператор устройства принимает данные ключа идентификации от производителя и добавляет его в список регистрации. При добавлении новых записей можно выполнить последующие обновления списка регистрации, а существующие записи обновляются с последними сведениями об устройствах.
Регистрация и подготовка
Провизия может иметь разные значения в зависимости от того, в какой отрасли используется этот термин. В контексте подготовки устройств Интернета вещей в облачном решении подготовка состоит из двух частей:
- Первая часть — установка начального подключения между устройством и решением Интернета вещей путем регистрации устройства.
- Вторая часть заключается в применении корректной конфигурации к устройству на основе конкретных требований решения, к которому оно было зарегистрировано.
После завершения обоих этих действий можно сказать, что устройство полностью подготовлено.
Функции службы подготовки устройств
DPS имеет множество функций, благодаря которым он идеально подходит для развертывания устройств.
- Поддержка безопасной аттестации для удостоверений на основе X.509 и TPM.
- Список регистрации , содержащий полную запись устройств или групп устройств, которые могут регистрироваться в определенный момент. Список регистрации содержит сведения о требуемой конфигурации устройства после регистрации, и его можно обновить в любое время.
- Несколько политик выделения, управляющих процессом назначения устройств узлам Интернета вещей для поддержки ваших сценариев: наименьшая задержка, равномерное распределение (по умолчанию) и статическая конфигурация. Настраиваемое распределение позволяет реализовать собственные политики распределения с помощью вебхуков, размещенных в Функциях Azure, вместо использования стандартных решений.
- Мониторинг и ведение журнала диагностики , чтобы убедиться, что все работает правильно.
- Поддержка нескольких центров позволяет DPS назначать устройства нескольким центрам Интернета вещей. DPS может взаимодействовать с центрами в нескольких подписках Azure.
- Поддержка между регионами позволяет DPS назначать устройства центрам Интернета вещей в других регионах.
- Шифрование неактивных данных позволяет шифровать и расшифровывать данные в DPS прозрачно с помощью 256-разрядного шифрования AES, одного из самых надежных блочных шифров и соответствия FIPS 140-2.
Дополнительные сведения о понятиях и функциях, связанных с подготовкой устройств, см. в статье о терминологии DPS вместе с другими концептуальными статьями в том же разделе.
Кроссплатформенная поддержка
Как и все службы Интернета вещей Azure, DPS работает кроссплатформенной с различными операционными системами. Azure предлагает пакеты SDK с открытым кодом на различных языках для упрощения подключения устройств и управления службой.
DPS поддерживает следующие протоколы для подключения устройств:
- HTTPS*
- AMQP
- AMQP через веб-сокеты
- Протокол передачи телеметрических сообщений MQTT
- MQTT по веб-сокетам
*DPS поддерживает только HTTPS-подключения для операций службы.
Регионы
DPS доступен во многих регионах. Список поддерживаемых регионов для всех служб см. в разделе "Регионы Azure". Вы можете проверить доступность службы настройки устройств на странице состояния Azure.
Для обеспечения устойчивости и надежности рекомендуется развернуть в одном из регионов, поддерживающих зоны доступности.
Рекомендации по месту расположения данных
Служба подготовки устройств хранит данные клиента. По умолчанию данные клиента реплицируются в дополнительный регион для поддержки сценариев аварийного восстановления. Для развертываний в Юго-Восточной Азии и Бразилии клиенты могут хранить свои данные только в этом регионе, отключив аварийное восстановление. Дополнительные сведения см. в статье Репликация между регионами в Azure.
DPS использует ту же конечную точку подготовки устройств для всех экземпляров службы подготовки и выполняет балансировку нагрузки трафика к ближайшей доступной конечной точке службы. В результате секреты проверки подлинности могут временно передаваться за пределы региона, в котором изначально был создан экземпляр DPS. Однако после подключения устройства данные устройства передаются непосредственно в исходный регион экземпляра DPS. Чтобы убедиться, что данные не покидают исходный или дополнительный регион, используйте частную конечную точку. Сведения о настройке частных конечных точек см. в статье о поддержке DPS для виртуальных сетей.
Квоты и ограничения
Каждая подписка Azure имеет ограничения квоты по умолчанию, которые могут повлиять на область вашего решения Интернета вещей. Текущее ограничение составляет 10 экземпляров службы Device Provisioning Service в рамках одной подписки.
Дополнительные сведения об ограничениях квот см. в разделе об ограничениях службы подписки Azure.
В следующей таблице перечислены ограничения, которые применяются к ресурсам Службы подготовки устройств к добавлению в Центр Интернета вещей.
| Ресурс | Лимит |
|---|---|
| Максимальное количество служб подготовки устройств на подписку на Azure | 10 |
| Максимальное количество регистраций | 1 000 000 |
| Максимальное число отдельных регистраций | 1 000 000 |
| Максимальное количество групп регистрации (сертификат X.509) | 100 |
| Максимальное число групп регистрации (симметричный ключ) | 100 |
| Максимальное количество центров сертификации | двадцать пять |
| Максимальное число связанных центров Интернета вещей | 50 |
| Максимальный размер сообщения | 96 КБ |
Подсказка
Если жесткий лимит для групп регистрации симметричного ключа является блокирующей проблемой, используйте отдельные регистрации в качестве обходного решения.
Для службы подготовки устройств установлены указанные ниже ограничения частоты.
| Ставка | Значение для каждой единицы |
|---|---|
| Операции | 1000/мин/услуга |
| Регистрация устройств | 1000/мин/услуга |
| Операция опроса устройства | 5/10 секунда/устройство |
Оплачиваемые операции и цены на услуги
Каждый вызов API для DPS, будь то из API-интерфейсов службы или API регистрации устройств, взимается как одна операция.
В следующих таблицах показано текущее состояние выставления счетов для каждой операции API DPS. Чтобы узнать больше о ценах на DPS, выберите таблицу цен в верхней части страницы цен Центра Интернета вещей Azure . Затем выберите вкладку Служба подготовки устройств Центра Интернета вещей, а затем выберите валюту и регион для вашей службы.
| API (Интерфейс программирования приложений) | Операция | Подлежит оплате? |
|---|---|---|
| API устройств DPS — регистрация среды выполнения | Поиск состояния регистрации устройства | нет |
| Проверка состояния операции | нет | |
| Зарегистрировать устройство | Да | |
| API службы DPS — состояние регистрации устройства | Все | Да |
| API службы DPS — группа регистрации | Все | Да |
| API службы DPS — индивидуальная регистрация | Все | Да |
| API сертификатов DPS | Все | нет |
| API ресурсов IoT DPS | Все | нет |
Связанные компоненты Azure
DPS автоматизирует подготовку устройств с помощью Центра Интернета вещей Azure. Узнайте больше о Центре Интернета вещей.
Приложения IoT Central используют внутренний экземпляр DPS для управления подключениями устройств. Дополнительные сведения см. в статье о подключении устройств к IoT Central.
Дальнейшие шаги
Настройка службы подготовки устройств Центра Интернета вещей с помощью портала Azure