IoT 中樞 裝置布建服務術語
IoT 中樞 裝置布建服務 (DPS) 是 IoT 中樞 的協助程式服務,可對 IoT 中樞進行零觸控式裝置佈建。 透過裝置布建服務,您可以以安全且可調整的方式布建數百萬部裝置。
裝置布建是兩個部分的程式。
- 第一個部分會藉由 註冊 裝置來建立裝置與IoT解決方案之間的初始連線。
- 第二個部分會根據解決方案的特定需求,將適當的設定套用至裝置。
完成這兩個步驟之後,裝置便已完全 布建。 [裝置佈建服務] 會自動進行這兩個步驟,為裝置提供順暢的佈建體驗。
本文概述適用於管理服務的布建概念。 本文與讓裝置準備好進行部署的雲端設定步驟所涉及的角色最相關。
服務作業端點
服務作業端點是管理服務設定和維護註冊清單的端點。 此端點僅供服務管理員使用;裝置不會使用它。
裝置佈建端點
裝置布建端點是所有裝置用於布建的單一端點。 所有布建服務實例的 URL 都相同,因此不需要在供應鏈案例中使用新的連線資訊重新刷新裝置。 標識元 範圍 可確保租用戶隔離。
連結的 IoT 中樞
[裝置佈建服務] 只能將裝置佈建至已連結的 IoT 中樞。 將IoT中樞連結至裝置布建服務的實例,可提供IoT中樞裝置登錄的服務讀取/寫入許可權。 透過連結,裝置布建服務可以註冊裝置標識碼,並在裝置對應項中設定初始設定。 連結的 IoT 中樞可能位於任何 Azure 區域中。 您可以將其他訂用帳戶中的中樞連結至布建服務。
如需詳細資訊,請參閱 如何連結和管理IoT中樞
配置原則
配置原則是服務層級設定,可決定裝置布建服務如何將裝置指派給IoT中樞。 支援配置原則有四個:
平均加權分佈:連結的IoT中樞同樣可能會布建裝置。 預設設定。 如果您只將裝置布建到一個 IoT 中樞,您可以保留此設定。
最低延遲:裝置會布建至IoT中樞,且裝置的延遲最低。 如果多個連結的IoT中樞會提供相同的最低延遲,布建服務會跨這些中樞哈希裝置
透過註冊清單進行靜態設定:註冊清單中的所需IoT中樞規格優先於服務層級配置原則。
自定義 (使用 Azure 函式):自訂配置原則可讓您更充分掌控如何將裝置指派給 IoT 中樞。 自訂配置原則會使用 Azure 函式將裝置指派給 IoT 中樞。 裝置佈建服務會呼叫您的 Azure 函式程式碼,提供關於裝置和程式碼註冊的所有資訊。 您的函式程式碼會執行並傳回用來佈建裝置的 IoT 中樞資訊。 如需詳細資訊,請參閱 瞭解自定義配置原則。
如需詳細資訊,請參閱 如何使用配置原則。
註冊
註冊是可透過自動布建註冊之裝置或裝置群組的記錄。 註冊記錄包含關於裝置或裝置群組的資訊,包括:
- 裝置所使用的證明機制
- 選擇性的初始所需設定
- 所需的IoT中樞
- 所需的裝置識別碼
裝置布建服務支援兩種類型的註冊:註冊群組和個別註冊。
註冊群組
註冊群組是共用特定證明機制的裝置群組。 註冊群組支援 X.509 憑證或對稱金鑰證明。
裝置所呈現的註冊組名和註冊標識碼必須是不區分大小寫的英數位元字串加上特殊字元: - . _ :
。 最後一個字元必須是英數位元或虛線 (-
)。 註冊組名長度最多可達 128 個字元。 在對稱金鑰註冊群組中,裝置所呈現的註冊標識碼長度最多可達 128 個字元。 不過,在 X.509 註冊群組中,因為 X.509 憑證中主體一般名稱的最大長度是 64 個字元,因此註冊標識碼限製為 64 個字元。
X.509 註冊群組中的裝置會顯示由相同根或中繼證書頒發機構單位 (CA) 簽署的 X.509 憑證。 每個裝置端實體 (分葉) 憑證的主體通用名稱 (CN) 會成為該裝置的註冊識別碼。 對稱金鑰註冊群組中的裝置會顯示衍生自群組對稱密鑰的 SAS 令牌。
對於註冊群組中的裝置,註冊標識碼也會作為註冊至 IoT 中樞 的裝置標識碼。
提示
我們建議針對共用所需初始設定的大量裝置,或針對所有前往相同租用戶的裝置,使用註冊群組。
個別註冊
個別註冊是單一裝置可註冊的專案。 個別註冊可以使用 X.509 分葉憑證或 SAS 令牌(來自實體或虛擬 TPM)作為證明機制。
個別註冊中的註冊標識碼是不區分大小寫的英數位元字串,加上特殊字元: - . _ :
。 最後一個字元必須是英數位元或虛線 (-
)。 DPS 支援最多 128 個字元的註冊標識碼。
針對 X.509 個別註冊,憑證的主體通用名稱 (CN) 必須符合註冊識別碼,因此通用名稱必須遵守註冊標識符字串格式。 主體一般名稱的長度上限為64個字元,因此 X.509 註冊的註冊標識元限制為64個字元。
個別註冊可能會在註冊專案中指定所需的IoT中樞裝置標識碼。 如果未指定,註冊標識碼會變成註冊至 IoT 中樞 的裝置標識碼。
提示
我們建議針對需要唯一初始設定的裝置,或只能透過 TPM 證明使用 SAS 令牌進行驗證的裝置使用個別註冊。
證明機制
證明機制是用來確認裝置身分識別的方法。 證明機制是在註冊項目上設定,並告知布建服務在註冊期間驗證裝置身分識別時要使用的方法。
注意
IoT 中樞針對該服務中的類似概念使用「驗證配置」。
裝置佈建服務支援下列形式的證明:
- 以標準 X.509 憑證驗證流程為基礎的 X.509 憑證。 如需詳細資訊,請參閱 X.509 證明。
- 以 Nonce 挑戰為基礎的受信任平臺模組 (TPM), 使用密鑰的 TPM 標準來呈現已簽署的共用存取簽章 (SAS) 令牌。 這不需要裝置上的實體 TPM,但服務預期會根據 TPM 規格使用簽署密鑰進行證明。如需詳細資訊,請參閱 TPM 證明。
- 以共用存取簽章 (SAS) SAS 令牌為基礎的對稱密鑰,其中包含哈希簽章和內嵌到期日。 如需詳細資訊,請參閱 對稱密鑰證明。
硬體安全模型
硬體安全性模組或 HSM 用於裝置密碼的安全、硬體型儲存,而且是最安全的秘密儲存形式。 X.509 憑證和 SAS 令牌都可以儲存在 HSM 中。
提示
強烈建議您搭配使用 HSM 與裝置,在裝置上安全地儲存祕密。
裝置密碼也可以儲存在軟體(記憶體),但它比 HSM 更安全的記憶體形式。
識別碼範圍
標識符範圍會在建立裝置布建服務時指派給裝置布建服務,並用來唯一識別特定的布建服務。 識別碼範圍是由服務產生且不可變,可保證唯一性。 標識符範圍唯一性對於長時間執行的部署作業和合併和收購案例而言很重要。
註冊記錄
註冊記錄是裝置透過裝置布建服務成功向 IoT 中樞 註冊/布建的記錄。 註冊記錄會自動建立;它們可以刪除,但無法更新。
註冊識別碼
註冊標識碼是用來唯一識別裝置布建服務的裝置註冊。 每個註冊識別碼在佈建服務的識別碼範圍中都必須是獨一無二的。 每個裝置都必須具有註冊識別碼。 註冊標識碼是不區分大小寫的英數位元字串,加上特殊字元: - . _ :
。 最後一個字元必須是英數位元或虛線 (-
)。 DPS 支援最多 128 個字元的註冊標識碼。
- 透過 TPM 證明,註冊標識碼是由 TPM 本身提供。
- 使用以 X.509 為基礎的證明,註冊標識符會設定為裝置憑證的主體通用名稱(CN)。 因此,一般名稱必須遵循註冊標識符字串格式。 不過,註冊標識碼限製為64個字元,因為這是 X.509 憑證中主體一般名稱的最大長度。
裝置識別碼
裝置識別碼是 IoT 中樞內顯示的識別碼。 所需的裝置識別碼可能會在註冊項目中設定,但不需要設定。 只有個別註冊才支援設定所需的裝置識別碼。 如果在註冊清單中未指定任何所需的裝置識別碼,註冊識別碼會在註冊裝置時用作裝置識別碼使用。 深入瞭解 IoT 中樞 中的裝置標識碼。
Operations
作業是 [裝置佈建服務] 的計費單位。 一項作業是成功完成對服務的一個指令。 作業可能包括裝置註冊和重新註冊,以及服務端變更,例如新增和更新註冊清單專案。