Referenční architektura Azure IoT

Azure Functions
Azure IoT Hub
Azure Stream Analytics
Azure Digital Twins

Vlastní řešení IoT můžete vytvořit sestavením komponent Azure PaaS (platforma jako služba), jak je popsáno v tomto článku. Článek a tento diagram popisují komponenty a služby Azure, které řešení IoT běžně používají, ale žádné jedno řešení nepoužívá všechny tyto komponenty.

Architektura

Diagram showing architecture for IoT applications using Azure PaaS components.

Stáhněte si soubor aplikace Visio s touto architekturou.

Workflow

Řešení Azure IoT zahrnují:

  • Obvykle se jedná o zařízení, která generují data.
  • Přehledy, že jste vytvořili informace o datech.
  • Akce , které provedete na základě přehledů

Například motor odesílá údaje o teplotě. Tato data použijete k vyhodnocení, jestli motor funguje podle očekávání. Pomocí přehledu o výkonu motoru můžete určit prioritu plánu údržby.

Zařízení

Azure IoT podporuje celou řadu zařízení od mikrořadiče, na kterých běží Azure RTOS a Azure Sphere , až po vývojové desky, jako je MX Chip a Raspberry Pi. Azure IoT podporuje také brány inteligentních serverů, které dokážou spouštět vlastní kód. Zařízení můžou provádět určité místní zpracování prostřednictvím služby, jako je Azure IoT Edge, nebo se jednoduše připojují přímo k Azure, aby mohla odesílat data a přijímat data z řešení IoT.

Když jsou zařízení připojená ke cloudu, existuje několik služeb, které pomáhají ingestovat data. Azure IoT Hub je služba cloudové brány, která dokáže bezpečně připojit a spravovat zařízení. Azure IoT Hub Device Provisioning Service (DPS) umožňuje bezdotykové zřizování za běhu, které pomáhá registrovat velký počet zařízení zabezpečeným a škálovatelným způsobem. Azure Digital Twins umožňuje virtuální modely skutečných systémů.

Přehledy

Jakmile jsou zařízení připojená ke cloudu, můžete zpracovat a prozkoumat jejich data, abyste získali přizpůsobené přehledy o jejich prostředí. Na vysoké úrovni existují tři způsoby zpracování dat: horká cesta, teplá cesta a studená cesta. Cesty se liší v požadavcích na latenci a přístup k datům.

  • Horká cesta analyzuje data téměř v reálném čase při jejich příchodu. Telemetrie horké cesty musí být zpracována s velmi nízkou latencí. Horká cesta obvykle používá modul zpracování datových proudů. Zvažte použití služeb, jako je Azure Stream Analytics nebo Azure HDInsight. Výstup může aktivovat výstrahu nebo se zapsat do strukturovaného formátu, který se dá dotazovat pomocí analytických nástrojů.
  • Teplá cesta analyzuje data, která mohou pojmout delší zpoždění pro podrobnější zpracování. Zvažte Azure Data Explorer pro ukládání a analýzu velkých objemů dat.
  • Studená cesta provádí dávkové zpracování v delších intervalech, jako je hodinová nebo denní. Studená cesta obvykle pracuje s velkými objemy dat, která je možné uložit v Azure Data Lake Storage. Výsledky nemusí být tak včasné jako v horkých nebo teplých cestách. Zvažte použití služby Azure Machine Učení nebo Azure Databricks k analýze studených dat.

Akce

Pomocí přehledů, které shromáždíte o svých datech, můžete spravovat a řídit vaše prostředí. Akce podnikové integrace můžou zahrnovat:

  • Ukládání informačních zpráv
  • Vyvolávání alarmů.
  • Posílání e-mailů nebo SMS zpráv.
  • Integrace s obchodními aplikacemi, jako je řízení vztahů se zákazníky (CRM) a plánování podnikových zdrojů (ERP).

Pro správu a obchodní integraci můžete použít následující služby:

  • Power BI se připojuje k datům, modelům a vizualizuje je. Power BI umožňuje spolupracovat na datech a používat umělou inteligenci k rozhodování na základě dat.
  • Azure Mapy vytváří webové a mobilní aplikace pracující s umístěním pomocí geoprostorových rozhraní API, sad SDK a služeb, jako jsou vyhledávání, mapy, směrování, sledování a provoz.
  • Azure Cognitive Search poskytuje vyhledávací službu v různých typech obsahu. Kognitivní vyhledávání zahrnuje funkce indexování, rozšiřování AI a dotazování.
  • Azure API Management poskytuje jediné místo pro správu všech vašich rozhraní API.
  • Aplikace Azure Service nasadí webové aplikace, které se škálují s vaší organizací.
  • Azure Mobile Apps vytváří multiplatformní a nativní aplikace pro iOs, Android, Windows nebo Mac.
  • Dynamics 365 kombinuje CRM a ERP v cloudu.
  • Microsoft Power Automate (Microsoft Flow) je nabídka SaaS pro automatizaci pracovních postupů napříč aplikacemi a dalšími službami SaaS.
  • Azure Logic Apps vytváří a automatizuje pracovní postupy, které integrují vaše aplikace, data, služby a systémy.

Azure také poskytuje několik služeb, které vám pomůžou monitorovat celé řešení IoT a udržovat je v bezpečí. Diagnostické služby zahrnují Azure Monitor. Služby zabezpečení, jako je Microsoft Entra ID a Microsoft Defender for IoT , pomáhají řídit, zobrazovat a spravovat nastavení zabezpečení a detekci hrozeb a reakci na ně.

Komponenty

Důležité informace

Tyto aspekty implementují pilíře dobře architektuře Azure, což je sada hlavních principů, které je možné použít ke zlepšení kvality úlohy. Další informace naleznete v tématu Microsoft Azure Well-Architected Framework.

Možnosti správy

Azure Digital Twins můžete použít k řízení a monitorování připojených prostředí. Digitální dvojče je virtuální model reálného prostředí, které je řízené daty z obchodních systémů a zařízení IoT. Firmy a organizace používají digitální dvojčata k povolení přehledů a akcí. Vývojáři a architekti používají řešení digitálních dvojčat k implementaci inteligentních a propojených prostředí, jako jsou:

  • Prediktivní údržba ve výrobě.
  • Viditelnost dodavatelského řetězce
  • Inteligentní police pro inventář v reálném čase.
  • Připojení domů a inteligentní budovy.

Spolehlivost

Spolehlivost zajišťuje, že vaše aplikace může splňovat závazky, které uděláte pro vaše zákazníky. Další informace najdete v tématu Přehled pilíře spolehlivosti."

Klíčovou oblastí, která je potřeba vzít v úvahu pro odolná řešení IoT, je provozní kontinuita a zotavení po havárii. Návrh pro vysokou dostupnost (HA) a zotavení po havárii (DR) vám může pomoct definovat a dosáhnout požadovaných cílů dostupnosti pro vaše řešení.

Různé služby Azure nabízejí různé možnosti redundance a převzetí služeb při selhání, které vám pomůžou dosáhnout cílů dostupnosti, které nejlépe vyhovují vašim obchodním cílům. Začlenění některé z těchto alternativ ha/DR do vašeho řešení IoT vyžaduje pečlivé vyhodnocení kompromisů mezi těmito:

  • Úroveň odolnosti, kterou potřebujete.
  • Složitost implementace a údržby
  • Dopad na náklady na prodané zboží (COGS).

Informace o výkonu specifické pro službu najdete v dokumentaci pro každou službu Azure IoT.

Zabezpečení

Zabezpečení poskytuje záruky proti záměrným útokům a zneužití cenných dat a systémů. Další informace najdete v tématu Přehled pilíře zabezpečení. Tato část obsahuje důležité informace o vytváření zabezpečených řešení.

Model zabezpečení nulové důvěryhodnosti

Nulová důvěryhodnost je model zabezpečení, který předpokládá, že dojde k porušení zabezpečení, a považuje každý pokus o přístup, jako by pochází z otevřené sítě. Nulový vztah důvěryhodnosti předpokládá, že jste implementovali základy, jako je zabezpečení identit a omezení přístupu.

Základní implementace zabezpečení zahrnuje explicitní ověření uživatelů, viditelnost jejich zařízení a schopnost rozhodovat se o dynamickém přístupu pomocí detekce rizik v reálném čase. Jakmile provedete základy, můžete se zaměřit na následující požadavky na nulový vztah důvěryhodnosti pro řešení IoT:

  • K ověřování zařízení použijte silnou identitu.
  • Ke zmírnění poloměru výbuchu použijte nejméně privilegovaný přístup.
  • Monitorujte stav zařízení, aby bylo možné označit přístup nebo označit zařízení příznakem pro nápravu.
  • Proveďte aktualizace, aby byla zařízení v pořádku.
  • Monitorujte, abyste mohli detekovat nově vznikající hrozby a reagovat na ně.

Důvěryhodná a zabezpečená komunikace

Všechny informace přijaté ze zařízení nebo odeslané do zařízení musí být důvěryhodné. Pokud zařízení nepodporuje následující kryptografické funkce, mělo by být omezené na místní sítě a veškerá komunikace mezi sítěmi by měla projít bránou polí:

  • Šifrování dat a digitální podpisy s prokazatelně zabezpečeným, veřejně analyzovaným a široce implementovaným šifrovacím algoritmem symetrického klíče.
  • Podpora protokolu TLS 1.2 pro protokol TCP nebo jiné komunikační cesty založené na datových proudech nebo DTLS 1.2 pro komunikační cesty založené na datagramu. Podpora zpracování certifikátů X.509 je volitelná. Zpracování certifikátů X.509 můžete nahradit efektivnějším a efektivnějším předsdíleným režimem výpočetních prostředků pro protokol TLS, který můžete implementovat s podporou algoritmů AES a SHA-2.
  • Aktualizovatelné klíče v úložišti klíčů a na jednotlivých zařízeních. Každé zařízení musí mít jedinečný materiál klíče nebo tokeny, které ho identifikují v systému. Zařízení by měla klíč bezpečně ukládat do zařízení (například pomocí zabezpečeného úložiště klíčů). Zařízení by mělo mít možnost klíče nebo tokeny aktualizovat, a to pravidelně nebo v reakci na krizové situace, jako je narušení systému.
  • Software firmwaru a aplikací na zařízení musí umožňovat, aby aktualizace opravovaly zjištěná ohrožení zabezpečení.

Mnoho zařízení je příliš omezené na podporu těchto požadavků. V takovém případě byste měli použít bránu pole. Zařízení se zabezpečeně připojují k hraniční bráně přes místní síť a brána umožňuje zabezpečenou komunikaci s cloudem.

Fyzická ochrana před neoprávněnou manipulací

Doporučený návrh zařízení zahrnuje funkce, které brání pokusům o fyzickou manipulaci, a pomáhá tak zajistit zabezpečení, integritu a důvěryhodnost celého systému.

Příklad:

  • Výběr mikrořadičů, mikroprocesorů nebo podpůrného hardwaru, který poskytuje zabezpečené úložiště a umožňuje používání obsahu kryptografických klíčů, jako je integrace modulu TPM (Trusted Platform Module).
  • Ukotvení zabezpečeného zavaděče spouštění a zabezpečeného načítání softwaru v čipu TPM
  • Pomocí senzorů můžete detekovat pokusy o vniknutí a pokusy o manipulaci s prostředím zařízení s upozorňováním a potenciálním "digitálním sebeničením" zařízení.

Optimalizace nákladů

Optimalizace nákladů se zabývá způsoby, jak snížit zbytečné výdaje a zlepšit efektivitu provozu. Další informace najdete v tématu Přehled pilíře optimalizace nákladů.

K odhadu nákladů použijte cenovou kalkulačku Azure. Další aspekty jsou popsané v části Náklady v architektuře Microsoft Azure Well-Architected Framework.

Efektivita výkonu

Efektivita výkonu je schopnost úlohy škálovat se tak, aby efektivním způsobem splňovala požadavky, které na ni kladou uživatelé. Další informace najdete v tématu Přehled pilíře efektivity výkonu.

Sestavte své řešení pro nasazení v globálním měřítku. Pro zajištění optimální škálovatelnosti sestavte aplikaci IoT s diskrétními službami, které se můžou škálovat nezávisle. Tato část popisuje aspekty škálovatelnosti pro několik služeb Azure.

IoT Hub

Každé centrum IoT se zřizuje s určitým počtem jednotek v konkrétní cenové a škálovací úrovni. Úroveň a počet jednotek určují maximální denní kvótu zpráv, které můžou zařízení do centra odesílat. Další informace najdete v tématu Kvóty a omezování služby IoT Hub. Kapacitu centra můžete vertikálně navýšit bez přerušení stávajících operací.

U služby IoT Hub zvažte následující faktory škálování:

  • Maximální denní kvóta zpráv odeslaných do služby IoT Hub.
  • Kvóta připojených zařízení v jedné instanci služby IoT Hub.
  • Propustnost příjmu dat: Jak rychle může IoT Hub ingestovat zprávy.
  • Propustnost zpracování: Jak rychle se zpracovávají příchozí zprávy.

IoT Hub automaticky rozděluje zprávy zařízení podle ID zařízení. Všechny zprávy z určitého zařízení vždy dorazí do stejného oddílu, ale jeden oddíl bude obsahovat zprávy z několika zařízení. Proto je jednotkou paralelizace ID oddílu.

Azure Functions

Když služba Azure Functions čte z koncového bodu služby Azure Event Hubs , existuje maximální počet instancí funkcí na oddíl centra událostí. Maximální rychlost zpracování určuje, jak rychle dokáže jedna instance funkce zpracovat události z jednoho oddílu. Funkce by zprávy měla zpracovávat v dávkách.

Stream Analytics

Úlohy Stream Analytics se škálují nejlépe, pokud jsou paralelní ve všech bodech kanálu Stream Analytics, od vstupu po dotazování na výstup. Úplně paralelní úloha umožňuje Stream Analytics rozdělit práci mezi několik výpočetních uzlů. Další informace najdete v tématu Využití paralelizace dotazů v Azure Stream Analytics.

Přispěvatelé

Tento článek spravuje Microsoft. Původně byla napsána následujícími přispěvateli.

Hlavní autor:

Další přispěvatel:

Pokud chcete zobrazit neveřejné profily LinkedIn, přihlaste se na LinkedIn.

Další kroky