建立 IoT Edge 裝置

適用於： IoT Edge 1.5 IoT Edge 1.4

重要

IoT Edge 1.5 LTS 和 IoT Edge 1.4 LTS 為支援的版本。 IoT Edge 1.4 LTS 於 2024 年 11 月 12 日結束生命週期。 如果您是舊版，請參閱更新 IoT Edge。

本文提供您裝置上安裝與佈建 IoT Edge 可用選項的概觀。

本文提供您 IoT Edge 解決方案的所有選項，並協助您：

• 選擇平台
• 選取如何佈建您的裝置
• 選擇驗證方法

在本文中結束時，您將清楚了解您想要用於 IoT Edge 解決方案的平台、佈建和驗證選項。

開始使用

如果您知道您想要用來建立 IoT Edge 裝置的平台、佈建與驗證選項類型，請使用下表中的連結以開始使用。

如果您想要如何為您選擇正確選項的相關詳細資訊，請繼續瀏覽本文以深入了解。

	Linux 主機上的 Linux 容器	Windows 主機上的 Linux 容器
手動佈建 (單一裝置)	X.509 憑證 對稱金鑰	X.509 憑證 對稱金鑰
自動佈建 (大規模裝置)	X.509 憑證 TPM 對稱金鑰	X.509 憑證 TPM 對稱金鑰

詞彙和概念

如果您還不熟悉 IoT Edge 術語，請檢閱一些重要概念：

IoT Edge 執行階段：IoT Edge 執行階段是指將裝置變成 IoT Edge 裝置的一系列程式。 整體上，IoT Edge 執行階段元件可讓 IoT Edge 裝置執行您的 IoT Edge 模組。

佈建：必須佈建每個 IoT Edge 裝置。 佈建是一個兩步驟的處理流程。 第一個步驟是在 IoT 中樞註冊裝置，此舉會建立雲端身分識別，並讓裝置建立與其中樞的連線。 第二個步驟是使用其雲端身分識別來設定裝置。 您可以根據每個裝置手動完成佈建，也可以使用 IoT 中樞裝置佈建服務大規模完成佈建。

驗證：您的 IoT Edge 裝置連線到 IoT 中樞時，必須驗證其身分識別。 您可以選擇要使用的驗證方法，例如對稱金鑰密碼、憑證指紋或信賴平台模組 (TPM)。

選擇平台

平台選項是參考容器作業系統和主機作業系統。 容器作業系統是 IoT Edge 執行階段和模組容器內所使用的作業系統。 主機作業系統是 IoT Edge 執行階段容器和模組執行所在的裝置作業系統。

IoT Edge 裝置有三個平台選項。

• Linux 主機上的 Linux 容器：直接在 Linux 主機上執行以 Linux 為基礎的 IoT Edge 容器。 在整個 IoT Edge 文件中，為求簡單，您也會看到此選項被稱作是 Linux 和 Linux 容器。

• Windows 主機上的 Linux 容器：在 Windows 主機上的 Linux 虛擬機器中執行以 Linux 為基礎的 IoT Edge 容器。 在整個 IoT Edge 文件中，您也會看到此選項被稱作是 Windows 上的 Linux、適用於 Windows 上的 Linux IoT Edge，以及 EFLOW。

• Windows 主機上的 Windows 容器：直接在 Windows 主機上執行以 Windows 為基礎的 IoT Edge 容器。 在整個 IoT Edge 文件中，為求簡單，您也會看到此選項被稱作是 Windows 和 Windows 容器。

如需生產情境下，何種 Windows 作業系統可供使用的相關資訊，請參閱 Azure IoT Edge 支援系統。

Linux 上的 Linux 容器

針對 Linux 裝置，IoT Edge 執行階段會直接安裝在主機裝置上。

IoT Edge 支援 X64、ARM32 和 ARM64 Linux 裝置。 Microsoft 提供各種作業系統的官方安裝套件。

Windows 上的 Linux 容器

Windows 上適用於 Linux 的 IoT Edge，於您的 Windows 裝置上裝載 Linux 虛擬機器。 虛擬機器已預建 IoT Edge 執行階段，並透過 Microsoft Update 管理更新。

建議以 Windows 上適用於 Linux 的 IoT Edge，執行 Windows 裝置上的 IoT Edge。 若要深入瞭解，請參閱什麼是 Windows 上適用於 Linux 的 Azure IoT Edge。

Windows 上的 Window 容器

IoT Edge 1.2 版或更新版本不支援 Windows 容器。 Windows 容器並不支援 1.1 以上之版本。

選取如何佈建您的裝置

您可以根據 IoT Edge 解決方案的需求，大規模佈建單一或多個裝置。

可用來驗證 IoT Edge 裝置與 IoT 中樞之間通訊之選項，取決於您所選擇的佈建方法。 您可以在選擇驗證方法一節中深入了解這些選項。

單一裝置

單一裝置佈建是指佈建 IoT Edge 裝置時不需要 IoT 中樞裝置佈建服務 (DPS) 的協助。 您會看到單一裝置佈建也被稱作是手動佈建。

使用單一裝置佈建時，您必須在裝置上手動輸入佈建資訊，例如連接字串。 僅僅有少數裝置需要設定，手動佈建相當快速且容易，但您的工作負載將會隨著裝置數量不同而增加。 當您考慮解決方案的延展性時，佈建可協助您。

手動佈建方法有可用的對稱金鑰和X.509 自我簽署驗證方法。 您可以在選擇驗證方法一節中深入了解這些選項。

大規模裝置

大規模佈建裝置是指透過 IoT 中樞裝置佈建服務的協助，來佈建一個或多個 IoT Edge 裝置。 您會看到大規模佈建也稱作是自動佈建。

如果您的 IoT Edge 解決方案需要一個以上的裝置，使用 DPS 自動佈建可幫助您省下手動輸入佈建資訊至每個裝置組態檔中的工作時間。 此自動化模型可以調整為數百萬個 IoT Edge 裝置。

您可以使用您選擇的驗證方法來保護您的 IoT Edge 解決方案。 對稱金鑰、X.509 憑證和信賴平台模組 (TPM) 證明驗證方法可用於大規模佈建裝置。 您可以在選擇驗證方法一節中深入了解這些選項。

若要檢視 DPS 的更多功能，請參閱概觀頁面的功能一節。

選取驗證方法

X.509 憑證證明

使用 X.509 憑證作為證明機制，是調整生產環境並簡化裝置佈建的建議方式。 X.509 憑證通常會配置在信任的信任鏈結中。 從自我簽署或受信任的根憑證開始，鏈結中的每個憑證都會簽署下一個較低的憑證。 此模式會透過每個中繼憑證，從根憑證到裝置上安裝的最終下游裝置憑證，建立委派的信任鏈結。

您可以建立兩個 X.509 身分識別憑證，並將其置於裝置上。 當您在 IoT 中樞中建立新的裝置身分識別時，您會從這兩個憑證提供指紋。 當裝置向 IoT 中樞進行驗證時，其會顯示一個憑證，而 IoT 中樞會確認憑證符合其指紋。 裝置上的 X.509 金鑰應該儲存在硬體安全性模組 (HSM) 中。 例如，PKCS#11 模組、ATECC、dTPM 等。

此驗證方法比對稱金鑰更安全，並支援群組註冊，可為大量裝置提供簡化的管理體驗。 建議針對生產案例使用此驗證方法。

信賴平台模組 (TPM) 證明

使用 TPM 證明，是一種在軟體和硬體中使用驗證功能的裝置佈建方法。 每個 TPM 晶片都會使用唯一的簽署金鑰來驗證其真確性。

TPM 證明僅適用於使用 DPS 大規模佈建，且僅支援個別註冊，而非群組註冊。 由於 TPM 的裝置特定本質，因此無法使用群組註冊。

當您搭配裝置佈建服務並使用 TPM 證明時，需要 TPM 2.0。

此驗證方法比對稱金鑰更安全，並建議用於生產案例。

對稱金鑰證明

對稱金鑰證明是驗證裝置的簡單方法。 對於不熟悉裝置佈建或沒有嚴格安全性需求的開發人員，這個證明方法代表 "Hello world" 經驗。

當您在 IoT 中樞中建立新的裝置身分識別時，服務會建立兩個金鑰。 您會在裝置上放置其中一個金鑰，並在驗證時呈現 IoT 中樞的金鑰。

這個驗證方法上手較為快速，但並非是安全的方法。 使用 TPM 或 X.509 憑證的裝置佈建會更加安全，並且應該用於更嚴格的安全性需求。

下一步

您可以使用目錄瀏覽至適當的端對端指南，為您的 IoT Edge 解決方案的平台、佈建，以及驗證需求建立 IoT Edge 裝置。

您也可以使用下列連結前往相關文章。

Linux 主機上的 Linux 容器

手動佈建單一裝置：

• 使用 X.509 憑證佈建單一 Linux 裝置
• 使用對稱金鑰佈建單一 Linux 裝置

大規模佈建多個裝置：

• 使用 X.509 憑證大規模佈建 Linux 裝置
• 使用 TPM 證明大規模佈建 Linux 裝置
• 使用對稱金鑰大規模佈建 Linux 裝置

Windows 主機上的 Linux 容器

手動佈建單一裝置：

• 使用 X.509 憑證佈建 Windows 上的單一 Linux 裝置
• 使用對稱金鑰佈建 Windows 上的單一 Linux 裝置

大規模佈建多個裝置：

• 使用 X.509 憑證大規模佈建 Windows 上的 Linux 裝置
• 使用 TPM 證明大規模佈建 Windows 上的 Linux 裝置
• 使用對稱金鑰大規模佈建 Windows 上的 Linux 裝置