Vad är IoT Hub Device Provisioning Service?
IoT Hub Device Provisioning Service (DPS) är en hjälptjänst för IoT Hub som möjliggör zero-touch- och just-in-time-etablering till rätt IoT-hubb utan mänsklig inblandning. DPS möjliggör etablering av miljontals enheter på ett säkert och skalbart sätt. Många av de manuella steg som traditionellt ingår i etableringen automatiseras med DPS för att minska tiden för att distribuera IoT-enheter och minska risken för manuella fel.
Så här fungerar enhetsetableringstjänsten
Följande diagram beskriver vad som händer i bakgrunden för att etablera en enhet med DPS.
Innan enhetsetableringsflödet börjar finns det två manuella steg att förbereda:
- På enhetssidan förbereder enhetstillverkaren enheten för etablering genom att förkonfigurera den med sina autentiseringsuppgifter och tilldelad enhetsetableringstjänst-ID och slutpunkt.
- På molnsidan förbereder du eller enhetstillverkaren instansen av enhetsetableringstjänsten med enskilda registreringar och registreringsgrupper som identifierar giltiga enheter och definierar hur de ska etableras.
När enheten och molnet har konfigurerats för etablering startar följande steg automatiskt så snart enheten aktiveras för första gången:
- Enheten aktiveras för första gången och ansluter sedan till DPS-slutpunkten och visar autentiseringsuppgifterna.
- DPS-instansen kontrollerar enhetens identitet mot registreringslistan. När enhetsidentiteten har verifierats tilldelar DPS enheten till en IoT-hubb och registrerar den i hubben.
- DPS-instansen tar emot enhets-ID och registreringsinformation från den tilldelade hubben och skickar tillbaka informationen till enheten.
- Enheten använder sin registreringsinformation för att ansluta direkt till sin tilldelade IoT-hubb och autentisera.
- Enheten och IoT-hubben börjar kommunicera direkt. DPS-instansen har ingen ytterligare roll som mellanhand om inte enheten behöver återskapas.
När Device Provisioning Service ska användas
Det finns många etableringsscenarier där DPS är ett utmärkt val för att ansluta och konfigurera enheter till IoT Hub, till exempel:
- Zero touch-etablering till en enda IoT-lösning utan att hårdkoda IoT Hub-anslutningsinformationen som fabriksinställning (första konfigurationen)
- Belastningsutjämningsenheter över flera hubbar
- Anslut enheter till ägarens IoT-lösning baserat på försäljningstransaktionsdata (flera klientorganisationer)
- Anslutning av enheter till en viss IoT-lösning beroende på användningsfall (lösningsisolering)
- Anslutning av en enhet till den IoT-hubb som har lägst fördröjning (geografisk horisontell partitionering)
- Ometablering baserat på en ändring i enheten
- Rotera de nycklar som används av enheten för att ansluta till IoT Hub (när X.509-certifikat inte används för att ansluta)
Etablering av kapslade IoT Edge-enheter (överordnade/underordnade hierarkier) stöds för närvarande inte av DPS.
Etableringsprocessen
Det finns två steg som utförs före en enhetsetablering med DPS:
- Tillverkningssteget där enheten skapas och förberedas på fabriken samt
- Molnkonfigurationssteget där Device Provisioning Service konfigureras för automatisk etablering.
Båda dessa steg kan införlivas i befintliga tillverkning- och distributionsprocesser. DPS förenklar till och med vissa distributionsprocesser som omfattar manuellt arbete för att få anslutningsinformation till enheten.
Tillverkningssteg
Det här steget handlar om vad som händer vid tillverkningen. De roller som ingår i det här steget innefattar kiseldesigner, kiseltillverkare, integrerare och sluttillverkare av enheten. Det här steget handlar om tillverkningen av själva maskinvaran.
DPS introducerar inte något nytt steg i tillverkningsprocessen. I stället är det knutet till det befintliga steget som installerar den ursprungliga programvaran och (helst) maskinvarusäkerhetsmodulen (HSM) på enheten. I stället för att skapa ett enhets-ID i det här steget programmeras enheten med information om etableringstjänsten, vilket gör att den kan anropa etableringstjänsten för att hämta sin anslutningsinformation/IoT-lösningstilldelning när den är påslagen.
I det här steget ger också tillverkaren enhetsdistributören/-operatören identifierande nyckelinformation. Att tillhandahålla den informationen kan vara så enkelt som att bekräfta att alla enheter har ett X.509-certifikat som genereras från ett signeringscertifikat som tillhandahålls av enhetsdistributören/-operatören eller så komplicerat som att extrahera den offentliga delen av en TPM-bekräftelsenyckel från varje TPM-enhet. Många kiseltillverkare erbjuder dessa tjänster.
Molnkonfigurationssteg
Det här steget handlar om att konfigurera molnet för korrekt automatisk etablering. Generellt finns det två typer av användare som ingår i molnkonfigurationssteget: någon som vet hur enheter måste konfigureras i början (en enhetsoperatör) och någon som vet hur enheter ska delas upp mellan IoT-hubbar (en lösningsoperatör).
Det finns en engångskonfiguration av etableringstjänsten, som lösningsoperatorn vanligtvis hanterar. När etableringstjänsten har konfigurerats behöver den inte ändras om inte användningsfallet ändras.
När tjänsten har konfigurerats för automatisk etablering måste den vara beredd att registrera enheter. Det här steget utförs av enhetsoperatören, som känner till den önskade konfigurationen av enheterna och ser till att etableringstjänsten kan intyga en enhets identitet korrekt. Enhetsoperatören tar emot den identifierande nyckelinformationen från tillverkaren och lägger till den i registreringslistan. Det kan förekomma efterföljande uppdateringar av registreringslistan allt eftersom nya poster läggs till eller befintliga poster uppdateras med den senaste informationen om enheterna.
Registrering och etablering
Etablering innebär olika saker beroende på vilken bransch termen används i. I samband med etablering av IoT-enheter till sina molnlösningar är etablering en tvåstegsprocess:
- Den första delen är att upprätta den första anslutningen mellan enheten och IoT-lösningen genom att registrera enheten.
- Den andra delen är att tillämpa korrekt konfiguration på enheten baserat på de särskilda kraven i den lösning som enheten registrerats för.
När båda av dessa två steg har slutförts kan enheten anses ha etablerats fullständigt. Vissa molntjänster tillhandahåller bara det första steget i etableringsprocessen och registrerar enheter till slutpunkten för IoT-lösningen, men anger inte den inledande konfigurationen. DPS automatiserar båda stegen för att tillhandahålla en sömlös etableringsupplevelse för enheten.
Funktion i Device Provisioning Service
DPS har många funktioner, vilket gör det idealiskt för etablering av enheter.
- Stöd för säker attestering för både X.509- och TPM-baserade identiteter.
- Registreringslista som innehåller fullständiga uppgifter för enheter eller grupper av enheter som kan komma att registreras. Registreringslistan innehåller information om önskad konfiguration för enheten när den registreras, och den kan uppdateras när som helst.
- Flera allokeringsprinciper för att styra hur DPS tilldelar enheter till IoT-hubbar till stöd för dina scenarier: Lägsta svarstid, jämnt viktad distribution (standard) och statisk konfiguration. Svarstiden bestäms med samma metod som Traffic Manager. Anpassad allokering, som gör att du kan implementera dina egna allokeringsprinciper via webhooks som finns i Azure Functions, stöds också.
- Övervaknings- och diagnostikloggning för att kontrollera att allt fungerar korrekt.
- Stöd för flera hubbar gör att DPS kan tilldela enheter till mer än en IoT-hubb. DPS kan prata med hubbar i flera Azure-prenumerationer.
- Stöd mellan regioner gör att DPS kan tilldela enheter till IoT-hubbar i andra regioner.
- Kryptering för vilande data gör att data i DPS kan krypteras och dekrypteras transparent med hjälp av 256-bitars AES-kryptering, en av de starkaste block chiffer som är tillgängliga och är FIPS 140-2-kompatibel.
Du kan lära dig mer om de begrepp och funktioner som ingår i enhetsetablering genom att läsa artikeln DPS-terminologi tillsammans med andra konceptuella artiklar i samma avsnitt.
Stöd att använda olika plattformar
Precis som alla Azure IoT-tjänster fungerar DPS plattformsoberoende med olika operativsystem. Azure erbjuder SDK:er med öppen källkod på olika språk för att underlätta anslutning av enheter och hantering av tjänsten. DPS stöder följande protokoll för att ansluta enheter:
- HTTPS
- AMQP
- AMQP över WebSockets
- MQTT
- MQTT över WebSockets
DPS stöder endast HTTPS-anslutningar för tjänståtgärder.
Regioner
DPS är tillgängligt i många regioner. Listan över regioner som stöds för alla tjänster finns i Azure-regioner. Du kan kontrollera tillgängligheten för Device Provisioning Service på sidan Azure Status (Azure-status).
För återhämtning och tillförlitlighet rekommenderar vi att du distribuerar till en av de regioner som stöder Tillgänglighetszoner.
Överväganden för datahemvist
Device Provisioning Service lagrar kunddata. Som standard replikeras kunddata till en sekundär region för att stödja haveriberedskapsscenarier. För distributioner i Sydostasien och Brasilien, södra, kan kunderna välja att endast behålla sina data i den regionen genom att inaktivera haveriberedskap. Mer information finns i Replikering mellan regioner i Azure.
DPS använder samma slutpunkt för enhetsetablering för alla etableringstjänstinstanser och utför belastningsutjämning för trafik till närmaste tillgängliga tjänstslutpunkt. Därför kan autentiseringshemligheter tillfälligt överföras utanför den region där DPS-instansen ursprungligen skapades. När enheten är ansluten flödar dock enhetsdata direkt till den ursprungliga regionen för DPS-instansen. Använd en privat slutpunkt för att se till att dina data inte lämnar den ursprungliga eller sekundära regionen. Information om hur du konfigurerar privata slutpunkter finns i DPS-stöd för virtuella nätverk.
Kvoter och begränsningar
Varje Azure-prenumeration har standardkvotgränser som kan påverka IoT-lösningens omfång. Den aktuella gränsen är 10 instanser av enhetsetableringstjänsten per prenumeration.
Mer information om kvotgränser finns i Tjänstbegränsningar för Azure-prenumerationer.
I följande tabell visas de gränser som gäller för Azure IoT Hub Device Provisioning Service-resurser.
| Resurs | Gräns | Justerbar? |
|---|---|---|
| Maximalt antal enhetsetableringstjänster per Azure-prenumeration | 10 | Nej |
| Maximalt antal registreringar | 1 000 000 | Nej |
| Maximalt antal enskilda registreringar | 1 000 000 | Nej |
| Maximalt antal registreringsgrupper (X.509-certifikat) | 100 | Nej |
| Maximalt antal registreringsgrupper (symmetrisk nyckel) | 100 | Nej |
| Maximalt antal certifikatutfärdare | 25 | Nej |
| Maximalt antal länkade IoT-hubbar | 50 | Nej |
| Maximal storlek på meddelandet | 96 KB | Nej |
Dricks
Om den hårda gränsen för symmetriska nyckelregistreringsgrupper är ett blockerande problem rekommenderar vi att du använder enskilda registreringar som en lösning.
Enhetsetableringstjänsten har följande hastighetsbegränsningar.
| Taxa | Värde per enhet | Justerbar? |
|---|---|---|
| Operations | 1 000/min/tjänst | Nej |
| Enhetsregistreringar | 1 000/min/tjänst | Nej |
| Avsökningsåtgärd för enheter | 5/10 sek/enhet | Nej |
Fakturerbara tjänståtgärder och priser
Varje API-anrop på DPS kan faktureras som en åtgärd. Detta omfattar alla tjänst-API:er och API:et för enhetsregistrering.
Tabellerna nedan visar aktuell fakturerbar status för varje DPS-tjänst-API-åtgärd. Om du vill veta mer om priser för DPS väljer du Pristabell högst upp på prissidan för Azure IoT Hub. Välj sedan fliken IoT Hub Device Provisioning Service och valuta och region för din tjänst.
| API | Åtgärd | Fakturerbar? |
|---|---|---|
| Enhets-API | Sökning efter enhetsregistreringsstatus | Nej |
| Enhets-API | Sökning efter åtgärdsstatus | Nej |
| Enhets-API | Registrera enhet | Ja |
| DPS-tjänst-API (registreringstillstånd) | Ta bort | Ja |
| DPS-tjänst-API (registreringstillstånd) | Hämta | Ja |
| DPS-tjänst-API (registreringstillstånd) | Fråga | Ja |
| DPS-tjänst-API (registreringsgrupp) | Skapa eller uppdatera | Ja |
| DPS-tjänst-API (registreringsgrupp) | Ta bort | Ja |
| DPS-tjänst-API (registreringsgrupp) | Hämta | Ja |
| DPS-tjänst-API (registreringsgrupp) | Get Attestation Mechanism | Ja |
| DPS-tjänst-API (registreringsgrupp) | Fråga | Ja |
| DPS-tjänst-API (registreringsgrupp) | Köra massåtgärd | Ja |
| DPS-tjänst-API (individuell registrering) | Skapa eller uppdatera | Ja |
| DPS-tjänst-API (individuell registrering) | Ta bort | Ja |
| DPS-tjänst-API (individuell registrering) | Hämta | Ja |
| DPS-tjänst-API (individuell registrering) | Get Attestation Mechanism | Ja |
| DPS-tjänst-API (individuell registrering) | Fråga | Ja |
| DPS-tjänst-API (individuell registrering) | Köra massåtgärd | Ja |
| DPS-certifikat-API | Skapa eller uppdatera | Nej |
| DPS-certifikat-API | Ta bort | Nej |
| DPS-certifikat-API | Generera verifieringskod | Nej |
| DPS-certifikat-API | Hämta | Nej |
| DPS-certifikat-API | Lista | Nej |
| DPS-certifikat-API | Verifiera certifikat | Nej |
| IoT DPS-resurs-API | Kontrollera tillgängligheten för etableringstjänstens namn | Nej |
| IoT DPS-resurs-API | Skapa eller uppdatera | Nej |
| IoT DPS-resurs-API | Ta bort | Nej |
| IoT DPS-resurs-API | Hämta | Nej |
| IoT DPS-resurs-API | Hämta åtgärdsresultat | Nej |
| IoT DPS-resurs-API | Lista efter resursgrupp | Nej |
| IoT DPS-resurs-API | Lista efter prenumeration | Nej |
| IoT DPS-resurs-API | Lista efter nycklar | Nej |
| IoT DPS-resurs-API | Listnycklar för nyckelnamn | Nej |
| IoT DPS-resurs-API | Visa en lista över giltiga SKU:er | Nej |
| IoT DPS-resurs-API | Uppdatering | Nej |
Relaterade Azure-komponenter
DPS automatiserar enhetsetablering med Azure IoT Hub. Läs mer om IoT Hub.
Kommentar
Etablering av kapslade gränsenheter (överordnade/underordnade hierarkier) stöds för närvarande inte av DPS.
IoT Central-program använder en intern DPS-instans för att hantera enhetsanslutningar. Mer information finns i Hur enheter ansluter till IoT Central.
Nästa steg
Nu har du en översikt över etablering av IoT-enheter i Azure. Nästa steg är att testa ett IoT-scenario från slutpunkt till slutpunkt.
Konfigurera IoT Hub Device Provisioning Service med Azure-portalen