Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Служба подготовки устройств Центра Интернета вещей (DPS) — это вспомогательный сервис для Центра Интернета вещей, который обеспечивает подготовку устройств нулевого касания в центрах Интернета вещей. С помощью службы подготовки устройств вы можете подготовить миллионы устройств в безопасном и масштабируемом режиме.
Подготовка устройств — это два процесса.
- Первая часть устанавливает начальное подключение между устройством и решением Интернета вещей путем регистрации устройства.
- Вторая часть применяет правильную конфигурацию к устройству на основе конкретных требований решения.
После завершения обоих шагов устройство полностью подготовлено. Служба подготовки устройств автоматизирует оба шага для обеспечения простой подготовки устройства.
В этой статье представлен обзор концепций подготовки, применимых к управлению службой. Эта статья наиболее актуальна для лиц, участвующих в процессе настройки облака при подготовке устройства к развертыванию.
Конечная точка операций службы
Конечная точка операций службы — это конечная точка для управления параметрами службы и поддержания списка регистрации. Эта конечная точка используется только администратором службы; он не используется устройствами.
Конечная точка подготовки устройств
Конечная точка подготовки устройств — это конечная точка, используемая устройствами для подготовки. Хотя все экземпляры DPS используют одно и то же глобальное имя узла конечной точки (global.azure-devices-provisioning.net), каждое устройство также должно предоставить уникальную область идентификатора , которая идентифицирует конкретный экземпляр DPS во время процесса подготовки. Это означает, что при перемещении устройств между различными экземплярами DPS используются разные значения области идентификаторов, требуя обновления конфигурации устройства или встроенного ПО при перемещении устройств между различными экземплярами DPS в сценариях с несколькими службами подготовки (например, развертываниями с более чем 1 миллионами устройств).
Связанные центры Интернета вещей
Служба подготовки устройств может поставлять устройства только в центры Интернета вещей, связанные с ней. Связывание центра Интернета вещей с экземпляром службы подготовки устройств предоставляет службе разрешения на чтение и запись в реестр устройств Центра Интернета вещей. Со ссылкой служба подготовки устройств может зарегистрировать идентификатор устройства и задать начальную конфигурацию в двойнике устройства. Связанные центры Интернета вещей могут находиться в любом регионе Azure. Вы можете связать центры в других подписках со службой подготовки.
Дополнительные сведения см. в статье "Связывание центров Интернета вещей" и управление ими
Политика выделения
Политика выделения — это параметр уровня обслуживания, который определяет, как служба подготовки устройств назначает устройства центру Интернета вещей. Существует четыре поддерживаемых политики выделения:
Равномерное распределение: связанные центры Интернета вещей, скорее всего, будут подготовлены к ним устройства. Параметр по умолчанию. Если вы подготавливаете устройства только к одному центру Интернета вещей, этот параметр можно сохранить.
Наименьшая задержка: устройства подготавливаются к центру Интернета вещей с наименьшей задержкой на устройстве. Если несколько связанных центров Интернета вещей обеспечивают ту же самую низкую задержку, службы подготовки хэширует устройства в этих центрах.
Статическую конфигурацию с помощью списка регистрации: спецификация требуемого Центра Интернета вещей в списке регистрации имеет приоритет над политикой выделения на уровне обслуживания.
Custom (Use Azure Function): настраиваемая политика выделения позволяет более контролировать назначение устройств центру Интернета вещей. Пользовательские политики выделения используют функцию Azure для назначения устройств центру Интернета вещей. Служба подготовки устройств вызывает код функции Azure, предоставляя все соответствующие сведения об устройстве и регистрации в коде. Код функции выполняется и возвращает сведения центра Интернета вещей, используемые для подготовки устройства. Для получения дополнительной информации см. учебник о применении пользовательских политик выделения с помощью Device Provisioning Service DPS.
Дополнительные сведения см. в статье "Использование политик выделения для развертывания устройств в центрах Интернета вещей".
Регистрация
Регистрация — это учетная запись устройств или групп устройств, которые могут регистрироваться автоматически. Запись регистрации содержит сведения об устройстве или группе устройств, в том числе:
- Механизм аттестации, используемый устройством
- Необязательная начальная требуемая конфигурация
- Нужный Центр Интернета вещей
- Требуемый идентификатор устройства
Существует два типа регистраций, поддерживаемых службой подготовки устройств: группы регистрации и отдельные регистрации.
Группа регистрации
Группа регистрации — это группа устройств, которые совместно используют определенный механизм аттестации. Группы регистрации поддерживают сертификат X.509 или аттестацию симметричного ключа.
Имя группы регистрации и идентификаторы регистрации, представленные устройствами, должны быть нечувствительными строками буквенно-цифровых символов, а также специальными символами: - . _ : Последний символ должен быть буквенно-цифровым или дефисом (-). Имя группы регистрации может содержать до 128 символов. В группах регистрации симметричного ключа идентификаторы регистрации, представленные устройствами, могут содержать до 128 символов. Однако в группах регистрации X.509, так как максимальная длина общего имени субъекта в сертификате X.509 составляет 64 символа, идентификаторы регистрации ограничены 64 символами.
Устройства в группе регистрации X.509 представляют сертификаты X.509, подписанные тем же корневым или промежуточным центром сертификации (ЦС). Общее имя субъекта (CN) сертификата конечной сущности (конечной) сущности каждого устройства становится идентификатором регистрации для этого устройства. Устройства в группе регистрации симметричного ключа представляют маркеры SAS, производные от симметричного ключа группы.
Для устройств в группе регистрации идентификатор регистрации также используется в качестве идентификатора устройства, зарегистрированного в Центре Интернета вещей.
Подсказка
Рекомендуется использовать группу регистрации для большого количества устройств, которые совместно используют нужную начальную конфигурацию или для всех устройств, которые собираются в одном клиенте.
Индивидуальная регистрация
Отдельная регистрация — это запись для одного устройства, которое может быть зарегистрировано. Отдельные регистрации могут использовать конечные сертификаты X.509 или маркеры SAS (из физического или виртуального доверенного платформенного модуля) в качестве механизмов аттестации.
Идентификатор регистрации в отдельной регистрации — это строка без учета регистра буквенно-цифровых символов, а также специальные символы: - . _ : Последний символ должен быть буквенно-цифровым или дефисом (-). DPS поддерживает идентификаторы регистрации до 128 символов.
Для отдельных регистраций X.509 общее имя субъекта (CN) сертификата должно соответствовать идентификатору регистрации, поэтому общее имя должно соответствовать формату строки идентификатора регистрации. Общее имя субъекта имеет максимальную длину 64 символов, поэтому идентификатор регистрации ограничен 64 символами для регистрации X.509.
Индивидуальные регистрации могут иметь требуемый идентификатор устройства Центра Интернета вещей, который может быть указан в записи регистрации. Если он не указан, идентификатор регистрации становится идентификатором устройства, зарегистрированным в Центре Интернета вещей.
Подсказка
Рекомендуется использовать отдельные регистрации для устройств, для которых требуются уникальные начальные конфигурации, или для устройств, которые могут проходить проверку подлинности только с помощью маркеров SAS с помощью аттестации доверенного платформенного модуля.
Механизм аттестации
Механизм аттестации — это метод, используемый для подтверждения удостоверения устройства. Механизм аттестации настраивается в записи регистрации и сообщает службе подготовки, какой метод следует использовать при проверке удостоверения устройства во время регистрации.
Замечание
Центр Интернета вещей использует "схему проверки подлинности" для аналогичной концепции в этой службе.
Служба подготовки устройств поддерживает следующие формы аттестации:
- Сертификаты X.509 на основе стандартного потока проверки подлинности сертификата X.509. Дополнительные сведения см. в разделе аттестации сертификатов X.509.
- Доверенный модуль платформы (TPM) на основе нецелевой проблемы, используя стандарт TPM для ключей, чтобы представить подписанный маркер подписанного подписанного маркера ПОДПИСАННОГО URL-адреса (SAS). Это не требует физического доверенного платформенного платформенного модуля на устройстве, но служба ожидает, что она будет тестировать использование ключа подтверждения для спецификации доверенного платформенного модуля. Дополнительные сведения см. в разделе аттестации доверенного платформенного модуля.
- Симметричный ключ на основе маркеров SAS, которые включают хэшированную подпись и внедренное истечение срока действия. Дополнительные сведения см. в разделе аттестации симметричного ключа.
Аппаратный модуль безопасности
Аппаратный модуль безопасности или HSM используется для безопасного, аппаратного хранения секретов устройств и является самой безопасной формой хранилища секретов. Сертификаты X.509 и маркеры SAS могут храниться в HSM.
Подсказка
Настоятельно рекомендуется использовать HSM с устройствами для безопасного хранения секретов на устройствах.
Секреты устройств также могут храниться в программном обеспечении (памяти), но это менее безопасная форма хранения, чем HSM.
Область идентификатора
Область идентификатора назначается службе подготовки устройств при его создании и используется для уникальной идентификации конкретной службы подготовки. Служба создает область идентификатора, которая является неизменяемой и гарантирует уникальность. Уникальность области идентификатора важна для длительных операций развертывания и сценариев слияния и приобретения.
Запись регистрации
Запись регистрации — это запись успешной регистрации или подготовки устройства в Центре Интернета вещей через службу подготовки устройств. Записи регистрации создаются автоматически; их можно удалить, но их нельзя обновить.
Идентификатор регистрации
Идентификатор регистрации используется для уникальной идентификации регистрации устройства в службе подготовки устройств. Идентификатор регистрации должен быть уникальным в области идентификатора службы подготовки. У каждого устройства должен быть идентификатор регистрации. Идентификатор регистрации — это строка без учета регистра буквенно-цифровых символов, а также специальные символы: - . _ : Последний символ должен быть буквенно-цифровым или дефисом (-). DPS поддерживает идентификаторы регистрации до 128 символов.
- При аттестации доверенного платформенного модуля идентификатор регистрации предоставляется самим TPM.
- При аттестации на основе X.509 идентификатор регистрации задается общим именем субъекта (CN) сертификата устройства. По этой причине общее имя должно соответствовать формату строки идентификатора регистрации. Однако идентификатор регистрации ограничен 64 символами, так как это максимальная длина общего имени субъекта в сертификате X.509.
Идентификатор устройства
Идентификатор устройства — это идентификатор, как он отображается в Центре Интернета вещей. Требуемый идентификатор устройства можно задать в записи регистрации, но не требуется. Настройка требуемого идентификатора устройства поддерживается только в отдельных регистрациях. Если требуемый идентификатор устройства не указан в списке регистрации, идентификатор регистрации используется в качестве идентификатора устройства при регистрации устройства. Для получения дополнительной информации об идентификаторах устройств в IoT Hub, см. Раздел "Общие сведения о реестре удостоверений" в вашем IoT Hub.
Operations
Операции — это единица выставления счетов службы подготовки устройств. Одна операция — это успешное завершение одной инструкции в службе. Операции могут включать регистрацию устройств и повторную регистрацию, а также изменения на стороне службы, такие как добавление и обновление записей списка регистраций.