Referenční architektura Azure IoT

Tento článek popisuje doporučenou architekturu pro aplikace IoT využívající komponenty Azure PaaS (platforma jako služba). Následující diagram znázorňuje různé komponenty Azure, které je možné použít k architektuře řešení IoT. Diagram znázorňuje a zvýrazní článek většinu běžně používaných služeb, ale žádné řešení je nevyžaduje všechny. Pokud s Azure IoT začínáte nebo chcete vytvořit první řešení pro potvrzení konceptu, začněte tady:

Tato referenční architektura využívá komponenty Azure PaaS (platforma jako služba). Microsoft doporučuje začít s Azure IoT Central,což je platforma řešení IoT (platforma jako služba aplikací) aPaaS. Je navržená tak, aby zjednodušila a zrychlila sestavení a provoz řešení IoT díky předběžnému sestavení, škálování a správě mnoha stejných služeb PaaS popsaných v této referenční architektuře. Výsledkem je připravená a připravená k použití plochy uživatelského rozhraní a rozhraní API s funkcemi potřebnými pro připojení, správu a provoz vozového parku zařízení ve velkém měřítku. Přečtěte si další informace o tom, jak IoT Central (aPaaS) s přístupem k řešení PaaS na základě potřeb vašeho řešení.

Řešení Azure IoT zahrnují věci (obvykle zařízení), které generují data, přehledy, které vytváříte o datech, a akce, které na základě těchto přehledů promyslíte. Představte si motor, který odesílá údaje o teplotě. Tato data se používají k vyhodnocení, jestli motor výkoní podle očekávání. Přehled o jeho výkonu se používá k určení priority plánu údržby pro motor.

Zařízení

Azure IoT podporuje širokou škálu zařízení, od mikrořadičů se systémem Azure RTOS a Azure Sphere až po vývojářské desky, jako jsou MX Chip a Raspberry Pi. Azure IoT také podporuje brány inteligentního serveru schopné spouštění vlastního kódu. Zařízení můžou provádět určité místní zpracování prostřednictvím služby, jako je Azure IoT Edge , nebo se připojovat přímo k Azure, aby mohla odesílat data do a přijímat data z řešení IoT.

Když jsou zařízení připojená ke cloudu, existuje několik služeb, které pomáhají s ingestací dat. Azure IoT Hub je služba cloudové brány, která dokáže bezpečně připojit a spravovat zařízení. IoT Hub Device Provisioning Service (DPS) umožňuje bez problémů zřizování za běhu, které pomáhá bezpečným a škálovatelným způsobem registrovat velký počet zařízení. Azure Digital Twins umožňuje virtuální modely reálných systémů.

Insights

Po připojení zařízení v cloudu je možné jejich data zpracovat a prozkoumat, abyste získali vlastní přehledy o jejich prostředí. Na nejvyšší úrovni existují tři způsoby zpracování horké cesty dat, teplé cesty a — studené cesty. Rozdíl mezi nimi musí splňovat požadavky na latenci a přístup k datům.

• Horká cesta analyzuje data při jejich příchodu v reálném čase. V případě kritické cesty se telemetrická data musí zpracovat s velmi nízkou latencí. Kritická cesta se obvykle implementuje s využitím modulu pro zpracování streamů. Zvažte použití služeb, jako jsou Azure Stream Analytics nebo HDInsight. Výstup může aktivovat upozornění nebo se může zapsat do strukturovaného formátu, který je možné dotazovat pomocí analytických nástrojů.
• Teplé cesty analyzuje data, která mohou pojmout delší zpoždění pro podrobnější zpracování. Zvažte Azure Data Explorer nebo azure time series Přehledy pro ukládání a analýzu velkých objemů dat.
• Studená cesta provádí dávkové zpracování v delších intervalech (každou hodinu nebo každý den). Studená cesta obvykle pracuje s velkými objemy dat, která mohou být uložena v Azure Data Lake, a výsledky nemusí být tak včasné jako horké nebo teplé cesty. Zvažte použití Azure Machine Learning nebo Azure Databricks k analýze studených dat.

Akce

K řízení a správě prostředí můžete použít přehledy shromážděné o vašich datech. Akce obchodní integrace můžou zahrnovat ukládání informačních zpráv, upozornění, odesílání e-mailů nebo SMS zpráv nebo integraci s obchodními aplikacemi, jako jsou CRM a ERP. Pro správu a obchodní integraci jsou k dispozici následující služby:

• Power BI se připojuje k datům, modeluje je a vizualuje je. Power BI vám umožňuje spolupracovat na datech a používat umělou inteligenci k rozhodování na základě dat.
• Azure Mapy umožňuje vytvářet webové a mobilní aplikace s informací o poloze pomocí geoprostorových služeb (vyhledávání, mapy, směrování, sledování a provoz), rozhraní API a sdk.
• Azure Cognitive Search poskytuje vyhledávací službu pro různé typy obsahu. To zahrnuje možnosti indexování, rozšiřování AI a dotazování.
• Azure API Management poskytuje jedno místo pro správu všech vašich rozhraní API.
• Azure Web Apps umožňuje nasazovat webové aplikace, které se škáluje ve vaší organizaci.
• Mobile Apps umožňuje vytvářet aplikace pro více platforem a nativní aplikace pro iOs, Android, Windows nebo Mac.
• Dynamics 365 kombinuje CRM (řízení vztahů se zákazníky) a ERP (plánování podnikových zdrojů) v cloudu.
• Microsoft Flow je nabídka SaaS pro automatizaci pracovních postupů napříč aplikacemi a dalšími službami SaaS.
• Azure Logic Apps je cloudová nabídka PaaS, která slouží k vytváření a automatizaci pracovních postupů, které integrují vaše aplikace, data, služby a systémy.

Azure poskytuje také několik služeb, které vám pomůžou monitorovat celé řešení IoT a zabezpečit ho. Diagnostické služby zahrnují Azure Monitor. Služby zabezpečení, jako Azure Active Directory a Azure Defender for IoT pomáhají řídit, zobrazit a spravovat nastavení zabezpečení, detekci hrozeb a reakce na tyto hrozby.

Digital Twins

Zákazníci zkoumají Digital Twins jako mechanismus řízení a monitorování připojených prostředí. Digitální dvojče je virtuální model reálného prostředí, který je řízený daty z obchodních systémů a zařízení IoT. Slouží k povolení přehledů a akcí pro firmu nebo organizaci. Vývojáři a architekti hledají digitální dvojčata jako řešení, které umožňuje inteligentní a propojená prostředí, například:

• Prediktivní údržba ve výrobě
• Viditelnost dodavatelského řetězce
• Inteligentní regály pro inventář v reálném čase
• Propojené domácnosti a inteligentní budovy

Nasazení ve velkém měřítku

Vytvořte řešení pro nasazení v globálním měřítku. Pro zajištění optimální škálovatelnosti sestavte aplikaci IoT jako diskrétní služby, které se mohou škálovat nezávisle. Tato část obsahuje důležité informace o škálovatelnosti pro různé služby Azure.

Funkce. Při čtení z koncového bodu služby Event Hubs platí maximální počet instancí funkce na oddíl centra událostí. Maximální rychlost zpracování určuje, jak rychle dokáže jedna instance funkce zpracovat události z jednoho oddílu. Funkce by zprávy měla zpracovávat v dávkách.

IoT Hub. U služby IoT Hub zvažte následující faktory škálování:

• Maximální denní kvóta zpráv odeslaných do služby IoT Hub.
• Kvóta připojených zařízení v jedné instanci služby IoT Hub.
• Propustnost příjmu — jak rychle může IoT Hub přijímat zprávy.
• Propustnost zpracování — jak rychle se příchozí zprávy zpracovávají.

Každé centrum IoT má určitý počet jednotek v konkrétní cenové a škálovací úrovni. Úroveň a počet jednotek určují maximální denní kvótu zpráv, které můžou zařízení do centra odesílat. Další informace najdete v tématu IoT Hub kvót a omezování. Kapacitu centra můžete vertikálně navýšit bez přerušení stávajících operací.

Stream Analytics. Úlohy Stream Analytics se škálují nejlépe, pokud jsou v kanálu Stream Analytics paralelní ve všech bodech, od vstupu přes dotazování až po výstup. Úplně paralelní úloha umožňuje Stream Analytics rozdělit práci mezi několik výpočetních uzlů. Další informace najdete v tématu Využití paralelizace dotazů v Azure Stream Analytics.

IoT Hub automaticky rozděluje zprávy zařízení podle ID zařízení. Všechny zprávy z určitého zařízení vždy dorazí do stejného oddílu, ale jeden oddíl bude obsahovat zprávy z několika zařízení. Proto je jednotkou paralelizace ID oddílu.

Zabezpečení

Tato část obsahuje důležité informace o vytváření zabezpečených řešení.

nulová důvěra (Zero Trust) zabezpečení

nulová důvěra (Zero Trust) je model zabezpečení, který předpokládá, že dojde k porušení zabezpečení, a přistupuje ke každému pokusu o přístup, jako by pocházel z otevřené sítě. nulová důvěra (Zero Trust) předpokládá, že jste implementovali základní principy, jako je zabezpečení identit a omezení přístupu. To zahrnuje explicitní ověření uživatelů, přehled o jejich zařízeních a možnost provádět dynamická rozhodnutí o přístupu pomocí detekce rizik v reálném čase. Po splnění základních podmínek se můžete zaměřit na následující požadavky nulová důvěra (Zero Trust) řešení IoT:

• Použití silné identity k ověřování zařízení
• Ke zmírnění poloměru používejte nejméně privilegovaný přístup.
• Monitorujte stav zařízení, abyste zařízení ochráním přístupu nebo příznakem nápravy.
• Proveďte aktualizace, aby zařízení byla v pořádku.
• Monitorujte, abyste detekovat nově vznikající hrozby a reagovat na ně.

Úplné podrobnosti nulová důvěra (Zero Trust) dokumentu white paper kyberbezpečnosti Internet věcí zabezpečení.

Důvěryhodná a zabezpečená komunikace

Všechny informace přijaté ze zařízení nebo odeslané do zařízení musí být důvěryhodné. Pokud zařízení nepodporuje následující kryptografické funkce, mělo by být omezené na místní sítě a veškerá komunikace v síti by měla procházet přes hraniční bránu:

• Šifrování dat a digitální podpisy s prokazatelně zabezpečeným, veřejně analyzovaným a široce implementovaným šifrovacím algoritmem symetrického klíče.
• Podpora protokolu TLS 1.2 pro komunikační trasy založené na protokolu TCP nebo jiném datovém proudu nebo protokolu DTLS 1.2 pro komunikační trasy založené na datagramech. Podpora zpracování certifikátů X.509 je volitelná a v případě protokolu TLS se dá nahradit za režim předsdíleného klíče s efektivnějším využitím výpočetních a přenosových prostředků, který je možné implementovat s podporou algoritmů AES a SHA-2.
• Aktualizovatelné klíče v úložišti klíčů a na jednotlivých zařízeních. Každé zařízení musí mít jedinečný materiál klíčů nebo tokeny, které ho v systému identifikují. Klíče by měly být bezpečně uložené na samotném zařízení (například s využitím zabezpečeného úložiště klíčů). Zařízení by mělo mít možnost klíče nebo tokeny aktualizovat, a to pravidelně nebo v reakci na krizové situace, jako je narušení systému.
• Software firmwaru a aplikací na zařízení musí umožňovat, aby aktualizace opravovaly zjištěná ohrožení zabezpečení.

Řada zařízení je příliš constrained na to, aby tyto požadavky podporovala. V takovém případě by se měla použít hraniční brána. Zařízení se zabezpečeně připojují k hraniční bráně přes místní síť a brána umožňuje zabezpečenou komunikaci s cloudem.

Fyzická ochrana před neoprávněnou manipulací

Důrazně doporučujeme, aby návrh zařízení zahrnoval funkce, které chrání před pokusy o fyzickou manipulaci a které pomůžou zajistit integritu zabezpečení a důvěryhodnost celého systému.

Příklad:

• Zvolte mikrořadiče/mikroprocesory nebo pomocný hardware, který poskytuje zabezpečené úložiště a použití materiálu kryptografických klíčů, jako je integrace čipu TPM (Trusted Platform Module).
• Zabezpečený zavaděč spouštění a zabezpečené načítání softwaru ukotvené v čipu TPM.
• Pomocí senzorů můžete detekovat pokusy o neoprávněná vniknutí a manipulovat s prostředím zařízení s výstrahou a potenciálním digitálním vlastním zničením zařízení.

Další aspekty zabezpečení najdete v tématu Architektura zabezpečení Internetu věcí (IoT).

Spolehlivost a výkon

Klíčovou oblastí, ve které je třeba vzít v úvahu odolná řešení IoT, je kontinuita podnikových služeb a zotavení po havárii. Návrh pro vysokou dostupnost (HA) a zotavení po havárii (DR) vám může pomoct definovat a dosáhnout požadovaných cílů dostupnosti pro vaše řešení.

Různé služby Azure nabízejí různé možnosti redundance a převzetí služeb při selhání, které vám pomůžou dosáhnout cílů provozuschopnosti, které nejlépe vyhovují vašim obchodním cílům. Zahrnutí kterékoli z těchto alternativ ha/dr do řešení IoT vyžaduje pečlivé vyhodnocení promyšleného řešení:

• Úroveň odolnosti, kterou požadujete
• Složitost implementace a údržby
• Dopad na náklady na prodané zboží (COGS)

Článek Technické pokyny k kontinuitě podnikových prostředíAzure popisuje obecné rozhraní, které vám pomůže přemýšlet o kontinuitě podnikových   prostředí a zotavení po havárii. Dokument Zotavení po haváriia vysoká dostupnost pro aplikace Azure poskytuje pokyny k návrhu architektury pro strategie pro aplikace Azure k dosažení vysoké dostupnosti   (HA) a zotavení po havárii (DR).

Informace o výkonu jednotlivých služeb najdete také v dokumentaci ke každé službě Azure IoT.

Důležité informace o nákladech

Obecně platí, že k odhadu nákladů použijte cenovou kalkulačku Azure. Další důležité informace jsou popsány v části Náklady v Microsoft Azure Well-Architected Framework.

Další kroky

Další informace o jednotlivých částech architektury řešení najdete v následujících tématech:

• Azure IoT Edge
• Azure IoT Hub
• Azure IoT Hub Device Provisioning Service (DPS)
• Azure Digital Twins
• Azure Stream Analytics
• Azure HDInsight
• Azure Time Series Insights
• Azure Data Explorer
• Azure Machine Learning
• Azure Databricks
• Power BI
• Azure Maps
• Azure Cognitive Search
• API Management
• Azure App Service
• Azure Mobile Apps
• Dynamics 365
• Microsoft Power Automate (Microsoft Flow)
• Azure Logic Apps