Что собой представляет Служба подготовки устройств к добавлению в Центр Интернета вещей?
Служба подготовки устройств (DPS) Центра Интернета вещей является вспомогательной службой для Центра Интернета вещей, что позволяет быстро и полностью в автоматическом режиме подготовить необходимый Центр Интернета вещей без вмешательства пользователя. DPS позволяет безопасно и в масштабируемый способ предоставлять доступ к миллионам устройств. DPS автоматизирует большинство выполняемых вручную действий подготовки, чтобы сократить время развертывания устройств Интернета вещей и снизить риск ошибки пользователей.
Как работает служба подготовки устройств
На следующей схеме описывается, что происходит за кулисами для подготовки устройства с помощью DPS.
Перед началом процесса подготовки устройства необходимо выполнить два этапа подготовки вручную.
- На стороне устройства производитель устройства готовит устройство для подготовки, предварительно настроив его учетными данными проверки подлинности и назначенный идентификатор службы подготовки устройств и конечную точку.
- На стороне облака вы или производитель устройства подготавливаете экземпляр службы подготовки устройств с отдельными группами регистрации и группами регистрации, которые определяют допустимые устройства и определяют, как они должны быть подготовлены.
Когда устройство и облако настроены для подготовки, следующие шаги запускаются автоматически, как только устройство будет впервые включено:
- Устройство впервые включается, а затем подключается к конечной точке DPS и представляет учетные данные проверки подлинности.
- Экземпляр DPS проверка удостоверение устройства в списке регистрации. После проверки удостоверения устройства DPS назначает устройство центру Интернета вещей и регистрирует его в центре Интернета вещей.
- Экземпляр DPS получает идентификатор устройства и сведения о регистрации из назначенного концентратора и передает эти сведения обратно на устройство.
- Устройство использует сведения о регистрации для подключения непосредственно к назначенному центру Интернета вещей и проверке подлинности.
- Устройство и Центр Интернета вещей начинают взаимодействовать напрямую. Экземпляр DPS не имеет дополнительной роли в качестве посредника, если устройство не должно повторно подготовиться.
Сценарии использования службы подготовки устройств
Существует множество сценариев подготовки, в которых DPS помогает подключить и настроить устройства в Центре Интернета вещей, например:
- полностью автоматическая подготовка для одного решения Интернета вещей, не требующая указывания в коде сведений о подключении Центра Интернета вещей производителем (начальная настройка);
- Балансировка нагрузки устройств в нескольких центрах
- подключение устройств к решениям Интернета вещей их владельцев на основе данных операций по продажам (мультитенантность);
- подключение устройств к определенному решению Интернета вещей в зависимости от сценария использования (изоляция решений);
- подключение устройства к Центру Интернета вещей с минимальной задержкой (геосегментирование);
- повторная подготовка на основе изменений в устройстве;
- развертывание ключей, используемых устройством для подключения к Центру Интернета вещей (когда для подключения не используется сертификат X.509).
Подготовка вложенных устройств IoT Edge (родительских и дочерних иерархий) в настоящее время не поддерживается DPS.
Процесс подготовки
Перед подготовкой устройств с помощью DPS выполняется два шага:
- Этап производства, на котором устройство создается и подготавливается производителем.
- Этап настройки облака, на котором служба подготовки устройств настраивается для автоматической подготовки.
Оба этих шага можно включить в существующие процессы производства и развертывания. DPS даже упрощает некоторые процессы развертывания, которые выполняются вручную, чтобы получить сведения о подключении на устройстве.
Этап производства
Этот этап полностью посвящен действиям на производственной линии. На этом этапе задействуются такие роли, как кремниевый конструктор, кремниевый производитель, интегратор и (или) конечный производитель устройства. Этот этап посвящен созданию оборудования.
DPS не вводит новый шаг в производственном процессе; скорее, он связывается с существующим шагом, который устанавливает исходное программное обеспечение и (в идеале) аппаратный модуль безопасности (HSM) на устройстве. Вместо создания идентификатора устройства на этом шаге устройство запрограммировано с помощью сведений о службе подготовки, что позволяет ему вызывать службу подготовки для получения сведений о подключении или назначения решения Интернета вещей при включении.
На этом этапе производитель также предоставляет специалисту по развертыванию или оператору устройств сведения об идентифицирующем ключе. Эта процедура может заключаться в простом подтверждении того, что все устройства имеют сертификат X.509, созданный из сертификата для подписи, который предоставил специалист по развертыванию или оператор устройств. Также сведения могут предоставляться для более сложной задачи: извлечения открытой части ключа подтверждения доверенного платформенного модуля (TPM) из каждого устройства TPM. Многие производители кремниев предлагают эти услуги.
Этап настройки облака
На этом этапе выполняется настройка облака для правильной автоматической подготовки. Обычно на этом этапе задействованы два типа пользователей: пользователь, который знает, как выполнить изначальную настройку устройств (оператор устройств), и пользователь, который знает, как разделить устройства среди Центров Интернета вещей (оператор решений).
Существует однократная начальная настройка службы подготовки, которую обычно обрабатывает оператор решения. После настройки службы подготовки он не должен быть изменен, если вариант использования не изменится.
После настройки службы для автоматической подготовки необходимо подготовиться к регистрации устройств. Этот шаг выполняется оператором устройства, который знает нужную конфигурацию устройств и гарантирует, что служба подготовки может правильно проверить удостоверение устройства. Оператор устройств принимает сведения об идентифицирующем ключе от производителя и добавляет их в список регистрации. Список регистрации может обновляться по мере добавления новых записей или обновления имеющихся записей последними сведениями об устройствах.
Регистрация и подготовка
Под подготовкой подразумеваются различные действия, в зависимости от отрасли, в которой используется термин. В контексте подготовки устройств Интернета вещей для облачных решений подготовка состоит из двух этапов:
- На первом этапе устанавливается начальное подключение между устройством и решением Интернета вещей путем регистрации устройства.
- Второй этап включает применение правильной конфигурации на устройстве на основе определенных требований решения, в котором оно зарегистрировано.
Устройство будет полностью подготовлено только после завершения обоих этапов. Некоторые облачные службы предоставляют только первый шаг процесса подготовки, регистрируя устройства в конечной точке решения Интернета вещей, но не предоставляют начальную конфигурацию. DPS автоматизирует оба этапа для обеспечения эффективной подготовки устройства.
Возможности службы подготовки устройств
DPS имеет множество возможностей, благодаря которым она идеально подходит для подготовки устройств.
- Поддержка безопасной аттестации удостоверения X.509 и удостоверения на основе доверенного платформенного модуля.
- Список регистрации, содержащий полную запись устройств или групп устройств, которые можно зарегистрировать в определенный момент. Он также содержит сведения о требуемой конфигурации устройства после его регистрации и может быть обновлен в любое время.
- Несколько политик выделения для управления назначением устройств центрам Интернета вещей в поддержке сценариев: наименьшая задержка, равномерное распределение (по умолчанию) и статическая конфигурация. Задержка определяется с помощью того же метода, что использует Диспетчер трафика. Настраиваемое выделение, которое позволяет реализовать собственные политики выделения с помощью веб-перехватчиков, размещенных в Функции Azure, также поддерживается.
- Ведение журналов мониторинга и диагностики позволяет убедиться, что все работает правильно.
- Поддержка нескольких центров позволяет DPS назначить устройства нескольким Центрам Интернета вещей. DPS может взаимодействовать с центрами в нескольких подписках Azure.
- Поддержка нескольких регионов позволяет DPS назначить устройства Центрам Интернета вещей в других регионах.
- Шифрование неактивных данных позволяет прозрачно шифровать и расшифровывать данные в DPS с помощью 256-битного шифрования AES. Это один из самых надежных из доступных сейчас блочных шифров. При этом обеспечивается соответствие FIPS 140-2.
Дополнительные сведения о понятиях и функциях, связанных с подготовкой устройств, см. в статье о терминологии DPS вместе с другими концептуальными статьями в том же разделе.
Межплатформенная поддержка
Как и все службы Интернета вещей Azure, DPS работает кроссплатформенной с различными операционными системами. Azure предлагает пакеты SDK с открытым кодом на различных языках для упрощения подключения устройств и управления службой. DPS поддерживает следующие протоколы для подключения устройств:
- HTTPS
- AMQP
- AMQP через веб-сокеты;
- MQTT
- MQTT через веб-сокеты.
DPS поддерживает только HTTPS-подключения для операций службы.
Регионы
DPS доступна во многих регионах. Список поддерживаемых регионов для всех служб доступен в регионах Azure. Проверить доступность службы подготовки устройств можно на странице Состояние Azure.
Для обеспечения устойчивости и надежности рекомендуется развернуть в одном из регионов, поддерживающих Зоны доступности.
Рекомендации по месту расположения данных
Служба подготовки устройств хранит данные клиента. По умолчанию данные клиента реплика в дополнительный регион для поддержки сценариев аварийного восстановления. Для развертываний в Юго-Восточной Азии и Бразилии клиенты могут хранить свои данные только в этом регионе, отключив аварийное восстановление. Дополнительные сведения см. в статье Репликация между регионами в Azure.
DPS использует ту же конечную точку подготовки устройств для всех экземпляров службы подготовки и выполняет балансировку нагрузки трафика к ближайшей доступной конечной точке службы. В результате секреты проверки подлинности могут быть временно переданы за пределами региона, в котором изначально был создан экземпляр DPS. Однако после подключения устройства данные устройства передаются непосредственно в исходный регион экземпляра DPS. Чтобы убедиться, что данные не покидают исходный или дополнительный регион, используйте частную конечную точку. Сведения о настройке частных конечных точек см. в статье о поддержке DPS для виртуальных сетей.
Квоты и ограничения
Для каждой подписки Azure предусмотрена квота по умолчанию, которая может повлиять на зону охвата решения Интернета вещей. Текущее ограничение составляет 10 экземпляров службы подготовки устройств на подписку.
Дополнительные сведения об ограничениях квот см. в разделе "Ограничения службы подписок Azure".
В следующей таблице перечислены ограничения, которые применяются к ресурсам Службы подготовки устройств к добавлению в Центр Интернета вещей.
| Ресурс | Ограничение | Настраивается? |
|---|---|---|
| Максимальное количество служб подготовки устройств на подписку Azure | 10 | No |
| Максимальное количество действий регистрации | 1 000 000 | No |
| Максимальное число отдельных регистраций | 1 000 000 | No |
| Максимальное количество групп регистрации (сертификат X.509) | 100 | No |
| Максимальное число групп регистрации (симметричный ключ) | 100 | No |
| Максимальное количество центров сертификации | 25 | No |
| Максимальное число связанных центров Интернета вещей | 50 | No |
| Максимальный размер сообщения | 96 КБ | No |
Совет
Если жесткое ограничение на группы регистрации симметричных ключей является блокирующей проблемой, рекомендуется в качестве обходного решения использовать отдельные регистрации.
Для службы подготовки устройств установлены указанные ниже ограничения скорости.
| Ставка | Значение для каждой единицы | Настраивается? |
|---|---|---|
| Операции | 1000/min/service | No |
| Регистрация устройств | 1000/min/service | No |
| Операция опроса устройства | 5/10 с/устройство | No |
Оплачиваемые операции службы и цены
Каждый вызов API в DPS оплачивается как одна операция. Сюда входят все API-интерфейсы службы и API регистрации устройств.
В таблицах ниже показано текущее состояние оплаты для каждой операции API службы DPS. Чтобы узнать больше о ценах на DPS, выберите таблицу цен в верхней части страницы цен Центр Интернета вещей Azure. Затем выберите вкладку "Служба подготовки устройств" Центр Интернета вещей и валюту и регион для службы.
| API | Операция | Подлежит оплате |
|---|---|---|
| API устройств | Проверка состояния регистрации устройства | No |
| API устройств | Проверка состояния операции | No |
| API устройств | Регистрация устройства | Да |
| API службы DPS (состояние регистрации) | Удаление | Да |
| API службы DPS (состояние регистрации) | Get | Да |
| API службы DPS (состояние регистрации) | Запрос | Да |
| API службы DPS (группа регистрации) | Создание или обновление | Да |
| API службы DPS (группа регистрации) | Удаление | Да |
| API службы DPS (группа регистрации) | Get | Да |
| API службы DPS (группа регистрации) | Получение механизма аттестации | Да |
| API службы DPS (группа регистрации) | Запрос | Да |
| API службы DPS (группа регистрации) | Выполнение групповой операции | Да |
| API службы DPS (индивидуальная регистрация) | Создание или обновление | Да |
| API службы DPS (индивидуальная регистрация) | Удаление | Да |
| API службы DPS (индивидуальная регистрация) | Get | Да |
| API службы DPS (индивидуальная регистрация) | Получение механизма аттестации | Да |
| API службы DPS (индивидуальная регистрация) | Запрос | Да |
| API службы DPS (индивидуальная регистрация) | Выполнение групповой операции | Да |
| API сертификата DPS | Создание или обновление | No |
| API сертификата DPS | Удаление | No |
| API сертификата DPS | Создание кода проверки | No |
| API сертификата DPS | Get | No |
| API сертификата DPS | Список | No |
| API сертификата DPS | Проверка сертификата | No |
| API ресурсов IoT DP | Проверка доступности имени Службы подготовки | No |
| API ресурсов IoT DP | Создание или обновление | No |
| API ресурсов IoT DP | Удаление | No |
| API ресурсов IoT DP | Get | No |
| API ресурсов IoT DP | Получение результата операции | No |
| API ресурсов IoT DP | вывод списка по группе ресурсов; | No |
| API ресурсов IoT DP | Вывод списка по подпискам | No |
| API ресурсов IoT DP | Перечисление по ключам | No |
| API ресурсов IoT DP | Перечисление ключей для имени ключа | No |
| API ресурсов IoT DP | Перечисление допустимых номеров SKU | No |
| API ресурсов IoT DP | Update | No |
Связанные компоненты Azure
DPS автоматизирует подготовку устройств с помощью Центра Интернета вещей. См. дополнительные сведения о Центре Интернета вещей.
Примечание.
Подготовка вложенных пограничных устройств (родительских или дочерних иерархий) в настоящее время не поддерживается DPS.
Приложения IoT Central используют внутренний экземпляр DPS для управления подключениями устройств. Дополнительные сведения см. в статье о подключении устройств к IoT Central.
Следующие шаги
Вы ознакомились с общими сведениями о подготовке устройств Интернета вещей в Azure. Далее следует ознакомиться с комплексным сценарием Интернета вещей.
Настройка службы "Подготовка устройств к добавлению в Центр Интернета вещей" на портале Azure