Azure IoT-referenciaarchitektúra

Blob Storage
Functions
IoT Hub
IoT Device Provisioning Service
Logic Apps
Stream Analytics

Ez a cikk egy ajánlott architektúrát ismertet az Azure PaaS(szolgáltatásként platform) összetevőket használó IoT-alkalmazásokhoz. Az alábbi ábrán az IoT-megoldások építésre használható különböző Azure-összetevők láthatóak. Az ábrán látható, és a cikk kiemeli a legtöbb gyakran használt szolgáltatást, de egyik megoldás sem igényli mindegyiket. Ha csak most ismerkedik az Azure IoT-val, vagy az első koncepció igazolási megoldását keresi, kezdje itt:

Az architektúra ábrája

Ez a referenciaarchitektúra Azure PaaS- (szolgáltatásként nyújtott platform) összetevőket használ. A Microsoft a Azure IoT Central használatát javasolja,amely egy aPaaS (alkalmazásplatform szolgáltatásként) IoT-megoldásplatform. Úgy tervezték, hogy leegyszerűsítse és felgyorsítsa az IoT-megoldások szerelvényét és műveleteit azáltal, hogy a referenciaarchitektúrában ismertetett számos PaaS-szolgáltatást előszava, skáláz és kezeli. Az eredmény egy használatra kész, használatra kész felhasználói felület és API-felület, amely rendelkezik az eszközflotta nagy léptékű csatlakoztatásához, kezeléséhez és működtetéséhez szükséges képességekkel. További információ a megoldások IoT Central (aPaaS) és a PaaS-megoldások megközelítésének összehasonlításáról.

Az Azure IoT-megoldások olyan dolgokat (általában eszközöket) tartalmaznak, amelyek adatokat hoznak létre, betekintő adatokat hoznak létre az adatokról, valamint az elemzések alapján tett műveleteket. Vesszünk egy motort, amely hőmérsékleti adatokat küld. Ezek az adatok annak kiértékeléséhez használhatók, hogy a motor a várt módon működik-e. A teljesítményével kapcsolatos elemzés a motor karbantartási ütemezésének rangsorolása.

Eszközök

Az Azure IoT eszközök széles körét támogatja, a mikrovezérlőktől a Azure RTOS és Azure Sphere, például az MX Chip és a Raspberry Pi fejlesztői táblákig. Az Azure IoT támogatja az egyéni kódok futtatására képes intelligens kiszolgálóátjárókat is. Előfordulhat, hogy az eszközök helyi feldolgozást végeznek egy szolgáltatáson keresztül, például Azure IoT Edge, vagy csak közvetlenül csatlakoznak az Azure-hoz, hogy adatokat küldsenek az IoT-megoldásnak, és adatokat fogadjanak onnan.

Amikor az eszközök csatlakoznak a felhőhöz, több szolgáltatás is segít az adatok bebecslésében. Azure IoT Hub egy felhőátjáró szolgáltatás, amely biztonságosan tud eszközöket csatlakoztatni és felügyelni. IoT Hub Device Provisioning Service (DPS) lehetővé teszi az érintés nélküli, az időben való kiépítést, amely segít nagy számú eszköz biztonságos és skálázható regisztrálásában. Azure Digital Twins lehetővé teszi a valós rendszerek virtuális modelljeit.

Insights

Miután az eszközök csatlakoztatva vannak a felhőben, az adataik feldolgozhatóak és vizsgálhatóak, így egyéni elemzéseket kaphatnak a környezetükről. Magas szinten háromféleképpen lehet feldolgozni az adatokat a meleg útjára, a meleg útvonalra és a — hideg útvonalra. A kettő közötti különbség a késésre és az adatelérésre vonatkozó követelményekkel kapcsolatos.

  • A gyors elérési út közel valós időben elemzi az adatokat a beérkezésükkor. A gyakori elérésű útvonalon a telemetriát rendkívül kis késéssel kell feldolgozni. A gyakori elérésű útvonalakat általában egy streamfeldolgozó motorral valósítják meg. Fontolja meg olyan szolgáltatások, mint a Azure Stream Analytics vagy a HDInsight használata. A kimenet aktiválhat egy riasztást, vagy kiírható egy strukturált formátumba, amely aztán elemzőeszközökkel lekérdezhető.
  • A meleg útvonal olyan adatokat elemez, amelyek hosszabb késést is el tudnak fogadni a részletesebb feldolgozás érdekében. Nagy Azure Data Explorer tárolására és elemzésére érdemes lehet Elemzések Azure Time Series-t vagy Azure Time Series-t.
  • A ritka elérésű útvonal kötegelt feldolgozást végez hosszabb időközönként (óránként vagy naponta). A hideg útvonal általában nagy mennyiségű, az Azure Data Lake-ben tárolható adatmennyiségen működik, és az eredményeknek nem kell olyan gyorsnak lennie, mint a gyakran vagy gyakran használt útvonalak. Fontolja meg a Azure Machine Learning vagy Azure Databricks a hideg adatok elemzéséhez.

Műveletek

A környezet kezeléséhez és vezérléséhez használhatja az adatokról gyűjtött elemzéseket. Az üzleti integrációs műveletek magukban foglalhatják a tájékoztató üzenetek tárolását, a riasztások küldését, az e-mailek vagy SMS-üzenetek küldését, illetve az olyan üzleti alkalmazásokkal való integrációt, mint a CRM és az ERP. A következő szolgáltatások érhetők el a felügyelethez és az üzleti integrációhoz:

  • Power BI csatlakozik az adatokhoz, modelleket hoznak össze és vizualizálnak. Power BI lehetővé teszi az adatokon való együttműködést és a mesterséges intelligencia használatát az adatvezérelt döntések meghozatalához.
  • Az Azure Térképek lehetővé teszi, hogy helyeket kereső webes és mobilalkalmazásokat hozzon létre térinformatikai szolgáltatások (keresés, térképek, útválasztás, követés és forgalom), API-k és ADATtitkok használatával.
  • Azure Cognitive Search különböző típusú tartalmakhoz kínál keresési szolgáltatást. Ide tartozik az indexelés, az AI-bővítő és a lekérdezési képességek.
  • Az Azure API Management egyetlen helyen kezelheti az összes API-t.
  • Az Azure Web Apps lehetővé teszi olyan webalkalmazások üzembe helyezését, amelyek a szervezettel együtt skáláznak.
  • Mobile Apps platformfüggetlen és natív alkalmazásokat építhet iOs, Android, Windows vagy Mac rendszerre.
  • A Dynamics 365 egyesíti a CRM -t (ügyfélkapcsolat-kezelés) és az ERP-t (vállalati erőforrás-tervezést) a felhőben.
  • Microsoft Flow egy SaaS-ajánlat, amely automatizálja a munkafolyamatokat az alkalmazások és más SaaS-szolgáltatások között.
  • Azure Logic Apps egy felhőalapú PaaS-ajánlat, amely az alkalmazásokat, adatokat, szolgáltatásokat és rendszereket integráló munkafolyamatok létrehozására és automatizálására használható.

Az Azure számos olyan szolgáltatást is kínál, amelyek segítenek a teljes IoT-megoldás figyelése és biztonságának biztosítása érdekében. A diagnosztikai szolgáltatások közé tartozik a Azure Monitor. Az olyan biztonsági Azure Active Directory és Azure Defender for IoT, amelyek segítenek a biztonsági beállítások, a fenyegetésészlelés és a reagálás szabályozásában, megtekintésében és felügyeletében.

Digital Twins

Az ügyfelek a Digital Twins környezetek vezérlésének és monitorozásának egyik mechanizmusaként ismerkednek meg. A digitális iker egy valós környezet virtuális modellje, amely üzleti rendszerekből és IoT-eszközökből származó adatokon van vezérelve. Lehetővé teszi a betekintő adatok és műveletek üzleti vagy szervezeti adatokat. A fejlesztők és tervezők a digitális ikereket keresik megoldásként, amely intelligens és csatlakoztatott környezeteket tesz lehetővé, például a következőket:

  • Prediktív karbantartás a gyártásban
  • Ellátási lánc láthatósága
  • Intelligens polcok valós idejű leltárhoz
  • Csatlakoztatott házak és intelligens épületek

Nagy léptékű üzembe helyezés

Megoldás kiépítése globális szintű üzembe helyezéshez. Az optimális méretezhetőség érdekében az IoT-alkalmazást különálló, egymástól függetlenül skálázható szolgáltatásként építheti fel. Ez a szakasz különböző Azure-szolgáltatások skálázhatósági szempontjait tartalmazza.

Függvények. Az Event Hubs-végpont olvasásakor meg van határozva a függvénypéldányok maximális száma eseményközpont-partíciónként. A maximális feldolgozási sebességét az határozza meg, hogy egy függvénypéldány milyen gyorsan képes feldolgozni az eseményeket egyetlen partícióról. A függvénynek kötegekben érdemes feldolgoznia az üzeneteket.

IoT Hub:. Az IoT Hub esetében a következő méretezési tényezők lépnek fel:

  • Az IoT Hubba naponta maximálisan küldhető üzenetek kvótája.
  • Az egyes IoT Hub-példányokon csatlakoztatott eszközök kvótája.
  • Betöltési sebesség — milyen gyorsan képes az IoT Hub betölteni az üzeneteket.
  • Feldolgozási sebesség — mennyi időt vesz igénybe a bejövő üzenetek feldolgozása.

Minden IoT Hub adott számú egységre van kiépítve egy adott tarifacsomagban és skálázási szinten. A szint és az egységek száma határozza meg az eszközök által naponta a hubra maximálisan küldhető üzenetek kvótáját. További információkért lásd a kvóták IoT Hub szabályozását. A hubok a folyamatban lévő műveletek megszakítása nélkül skálázhatók fel vertikálisan.

Stream Analytics:. A Stream Analytics-feladatok legjobban akkor méretezhetők, ha a Stream Analytics-folyamat minden pontján párhuzamosak, a bemenettől a lekérdezésen keresztül a kimenetig. A teljes mértékben párhuzamos feladatokban a Stream Analytics több számítási csomópont között tudja szétosztani a munkát. További információért lásd az Azure Stream Analytics-lekérdezések párhozamosításának előnyeit ismertető cikket.

Az IoT Hub automatikusan particionálja az eszközüzeneteket az eszközazonosító alapján. Egy adott eszközről az összes üzenet mindig ugyanarra a partícióra érkezik, egy partícióra azonban több eszközről is érkeznek üzenetek. A párhuzamosításhoz használt egység tehát a partícióazonosító.

Biztonság

Ez a szakasz a biztonságos megoldások építésével kapcsolatos szempontokat tartalmazza.

Teljes felügyelet modell

Teljes felügyelet biztonsági modell feltételezi, hogy biztonsági incidensek történnek, és minden hozzáférési kísérletet nyitott hálózatról származóként kezel. Teljes felügyelet feltételezi, hogy megvalósította az olyan alapvető ismereteket, mint az identitások biztonságossá tétele és a hozzáférés korlátozása. Ez magában foglalja a felhasználók explicit ellenőrzését, az eszközök láthatóságát, valamint a dinamikus hozzáférési döntések valós idejű kockázatészlelést használó meghozhatóságát. Az alapok teljesültével a következő, IoT-megoldásokra vonatkozó Teljes felügyelet összpontosíthat:

  • Erős identitás használata az eszközök hitelesítéséhez.
  • Használjon minimális jogosultsági szintű hozzáférést a sugár csökkentéséhez.
  • Az eszköz állapotának figyelése a hozzáférés kapuihoz vagy az eszközök szervizelési megjelöléséhez való megjelöléséhez.
  • Végezze el a frissítéseket az eszközök kifogástalan állapotúként való végrehajtásához.
  • Figyelés a felmerülő fenyegetések észlelésére és az ezekre való válaszadásra.

A részletekért olvassa Teljes felügyelet kiberbiztonságról szóló eszközök internetes hálózata tanulmányt.

Megbízható és biztonságos kommunikáció

Az eszközökről érkező és a nekik küldött összes üzenetnek megbízhatónak kell lennie. Ha egy eszköz nem támogatja az alábbi titkosítási funkciókat, a helyi hálózatokra kell korlátoznia, és a hálózatok közötti összes kommunikációnak helyszíni átjárókon keresztül kell zajlania:

  • Adattitkosítás és digitális aláírások egy megbízhatóan biztonságos, nyilvánosan elemzett és széles körben megvalósított szimmetrikus kulcsú titkosítási algoritmussal.
  • A TLS 1.2 támogatása a TCP- vagy egyéb streamalapú kommunikációs útvonalakon, vagy a DTLS 1.2 támogatása a datagramalapú kommunikációs útvonalakon. Az X.509 tanúsítvány kezelésének támogatása nem kötelező, és kiváltható a TLS számítási és átviteli szempontból hatékonyabb előre megosztott kulcsú módjával, amely az AES és az SHA-2 algoritmusok támogatásával is megvalósítható.
  • Frissíthető kulcstároló és eszközönkénti kulcsok. Minden eszköznek egyedi kulcsanyagokkal vagy jogkivonatokkal kell rendelkezik, amelyek azonosítják a rendszer számára. Az eszközök kulcsait biztonságosan, magukon az eszközökön kell tárolni (például egy biztonságos kulcstárolóval). Az eszközöknek képesnek kell lenniük a kulcsok vagy jogkivonatok rendszeres időközönként, illetve vészhelyzet (pl. a rendszer feltörésekor) esetén történő reaktív frissítésére.
  • Az eszközök belső vezérlőprogramjának és a rajtuk lévő alkalmazásszoftvereknek engedélyezniük kell a frissítéseket a felfedezett biztonsági rések javítása érdekében.

Sok eszköz túl korlátozott ahhoz, hogy támogassa ezeket a követelményeket. Ilyen esetben helyszíni átjárót érdemes használnia. Az eszközök biztonságosan kapcsolódnak a helyszíni átjáróhoz egy helyi hálózaton keresztül, és az átjáró teszi lehetővé a biztonságos kommunikációt a felhő felé.

Illetéktelen fizikai hozzáférés megakadályozása

Erősen ajánlott az eszközt úgy kialakítani, hogy védelmet nyújtson az illetéktelen hozzáférésre irányuló fizikai kísérletek ellen, és így segítsen biztosítani a teljes rendszer biztonsági integritását és megbízhatóságát.

Például:

  • Mikrovezérlők/mikroprocesszorok vagy kiegészítő hardverek kiválasztása, amelyek biztonságos tárolást és kriptográfiai kulcsok használatát biztosítják, például a platformmegbízható modul (TPM) integrációját.
  • Biztonságos rendszertöltő és biztonságos szoftverbetöltés a TPM-hez rögzítetten.
  • Használjon érzékelőket a behatolási kísérletek és az eszköz környezetének manipulálására tett kísérletek észlelésére riasztásokkal és az eszköz lehetséges "digitális önmegsempülésével".

A további biztonsági szempontokért lásd az eszközök internetes hálózatának (IoT) biztonsági architektúráját ismertető szakaszt.

Megbízhatóság és teljesítmény

A rugalmas IoT-megoldások egyik legfontosabb szempontja az üzletmenet-folytonosság és a vészhelyreállítás. A magas rendelkezésre állásra (HA) és vészhelyreállításra (DR) tervezéssel meghatározhatja és megvalósíthatja a megoldáshoz szükséges üzemidőre vonatkozó célokat.

A különböző Azure-szolgáltatások különböző redundancia- és feladatátvételi lehetőségeket kínálnak az üzleti céljainak leginkább megfelelő üzemidőre vonatkozó célok eléréséhez. Ha ezen ha/DR alternatívák bármelyikét beépíti az IoT-megoldásba, a következő megoldások közötti különbségek alapos kiértékelése szükséges:

  • A szükséges rugalmassági szint
  • Implementáció és karbantartás összetettsége
  • Az értékesített termékek költségére (COGS) gyakorolt hatás

Az Azure Üzletmenet-folytonosság műszaki útmutatójaegy általános keretrendszert ír le, amely segít az üzletmenet folytonosságának és a   vészhelyreállításnak a megoldásában. Az Azure-alkalmazásokvészhelyreállítása és magas rendelkezésre állása tanulmány architektúratervezési útmutatást nyújt az Azure-alkalmazások magas rendelkezésre állás (HA) és vészhelyreállítás (DR) elérésére vonatkozó   stratégiáihoz.

Az egyes Azure IoT-szolgáltatások dokumentációjában szolgáltatásspecifikus teljesítményinformációkat is találhat.

Költségekkel kapcsolatos szempontok

Általában az Azure-díjkalkulátor használatával becsülheti meg a költségeket. Az egyéb szempontokat a Microsoft Azure Well-Architected Keretrendszer Költség Microsoft Azure Well-Architected ismerteti.

Következő lépések

A megoldásarchitektúra egyes darabjaival kapcsolatos további információkért tekintse meg a következő témaköröket: