Membuat perangkat IoT Edge
Berlaku untuk:
IoT Edge 1.5 IoT Edge 1.4
Penting
IoT Edge 1.5 LTS dan IoT Edge 1.4 LTS adalah rilis yang didukung. IoT Edge 1.4 LTS adalah akhir masa pakai pada 12 November 2024. Jika Anda menggunakan rilis sebelumnya, lihat Memperbarui IoT Edge.
Artikel ini memberikan gambaran umum tentang opsi yang tersedia bagi Anda untuk menginstal dan memprovisikan IoT Edge di perangkat Anda.
Artikel ini memberikan tampilan semua opsi untuk solusi IoT Edge Anda dan membantu Anda:
Di akhir artikel ini, Anda akan memiliki gambaran yang jelas tentang opsi platform, provisi, dan autentikasi apa yang ingin Anda gunakan untuk solusi IoT Edge Anda.
Memulai
Jika Anda tahu jenis opsi platform, provisi, dan autentikasi apa yang ingin digunakan untuk membuat perangkat IoT Edge, gunakan tautan dalam tabel berikut untuk memulai.
Jika Anda menginginkan informasi selengkapnya tentang cara memilih opsi yang tepat untuk Anda, lanjutkan melalui artikel ini untuk mempelajari lebih lanjut.
| Kontainer Linux di host Linux | Kontainer Linux di host Windows | |
|---|---|---|
| Provisi manual (perangkat tunggal) | Sertifikat X.509 Kunci konten |
Sertifikat X.509 Kunci konten |
| Provisi otomatis (perangkat dalam skala besar) | Sertifikat X.509 TPM Kunci konten |
Sertifikat X.509 TPM Kunci konten |
Syarat dan konsep
Jika Anda belum terbiasa dengan terminologi IoT Edge, tinjau beberapa konsep utama:
Runtime IoT Edge: Runtime IoT Edge adalah kumpulan program yang mengubah perangkat menjadi perangkat IoT Edge. Secara kolektif, komponen runtime IoT Edge memungkinkan perangkat IoT Edge menjalankan modul IoT Edge Anda.
Provisi: Setiap perangkat IoT Edge harus diprovisikan. Provisi adalah proses dua langkah. Langkah pertama adalah mendaftarkan perangkat di hub IoT, yang menciptakan identitas cloud yang digunakan perangkat untuk membangun koneksi ke hub-nya. Langkah kedua adalah mengonfigurasi perangkat dengan identitas cloud-nya. Provisi dapat dilakukan secara manual berdasarkan per perangkat, atau dapat dilakukan dalam skala besar menggunakan IoT Hub Device Provisioning Service.
Autentikasi: Perangkat IoT Edge Anda perlu memverifikasi identitasnya saat terhubung ke IoT Hub. Anda dapat memilih metode autentikasi mana yang akan digunakan, seperti kata sandi kunci simetris, sidik jari sertifikat, atau modul platform tepercaya (TMM).
Pilih platform
Opsi platform disebut oleh sistem operasi kontainer dan sistem operasi host. Sistem operasi kontainer adalah sistem operasi yang digunakan di dalam runtime IoT Edge dan kontainer modul Anda. Sistem operasi host adalah sistem operasi perangkat kontainer runtime IoT Edge dan modul berjalan.
Ada tiga opsi platform untuk perangkat IoT Edge Anda.
Kontainer Linux pada host Linux: Jalankan kontainer IoT Edge berbasis Linux langsung pada host Linux. Di seluruh dokumen IoT Edge, Anda juga akan melihat opsi ini disebut sebagai Linux dan kontainer Linuxuntuk memudahkan.
Kontainer Linux pada host Windows: Jalankan kontainer IoT Edge berbasis Linux di mesin virtual Linux pada host Windows. Di seluruh dokumen IoT Edge, Anda juga akan melihat opsi ini disebut sebagai Linux di Windows, IoT Edge untuk Linux di Windows, dan EFLOW.
Kontainer Windows di host Windows: Jalankan kontainer IoT Edge berbasis Windows langsung di host Windows. Di seluruh dokumen IoT Edge, Anda juga akan melihat opsi ini disebut sebagai Windows dan kontainer Windows untuk memudahkan.
Untuk informasi terkini tentang sistem operasi mana yang saat ini didukung untuk skenario produksi, lihat Sistem yang didukung Azure IoT Edge.
Kontainer Linux di host Linux
Untuk perangkat Linux, runtime IoT Edge diinstal langsung di perangkat host.
IoT Edge mendukung perangkat Linux X64, ARM32, dan ARM64. Microsoft menyediakan paket penginstalan resmi untuk berbagai sistem operasi.
Kontainer Linux di Windows
IoT Edge untuk Linux di Windows menghosting mesin virtual Linux di perangkat Windows Anda. Mesin virtual hadir dengan runtime IoT Edge dan pembaruan dikelola melalui Microsoft Update.
IoT Edge untuk Linux di Windows adalah cara yang disarankan untuk menjalankan IoT Edge di perangkat Windows. Untuk mempelajari lebih lanjut, lihat Apa yang dimaksud dengan Azure IoT Edge untuk Linux di Windows.
Kontainer Windows di host Windows
IoT Edge versi 1.2 atau yang lebih baru tidak mendukung kontainer Windows. Kontainer Windows tidak didukung di luar versi 1.1.
Memilih cara memprovisikan perangkat Anda
Anda dapat menyediakan satu perangkat atau beberapa perangkat dalam skala besar, tergantung pada kebutuhan solusi IoT Edge Anda.
Opsi yang tersedia untuk mengautentikasi komunikasi antara perangkat IoT Edge dan hub IoT Anda bergantung pada metode provisi apa yang Anda pilih. Anda dapat membaca lebih lanjut tentang opsi tersebut di bagian Pilih metode autentikasi.
Perangkat tunggal
Provisi perangkat tunggal mengacu pada provisi perangkat IoT Edge tanpa bantuan IoT Hub Device Provisioning Service (DPS). Anda akan melihat provisi perangkat tunggal juga disebut sebagai provisi manual.
Dengan menggunakan provisi perangkat tunggal, Anda harus memasukkan informasi provisi secara manual, seperti string koneksi, di perangkat Anda. Provisi manual cepat dan mudah diatur hanya untuk beberapa perangkat, tetapi beban kerja Anda akan meningkat dengan jumlah perangkat. Provisi membantu saat Anda mempertimbangkan skalabilitas solusi Anda.
Kunci simetris dan metode autentikasi X.509 yang ditandatangani sendiri tersedia untuk penyediaan manual. Anda dapat membaca lebih lanjut tentang opsi tersebut di bagian Pilih metode autentikasi.
Perangkat dalam skala besar
Provisi perangkat dalam skala besar mengacu pada provisi satu atau beberapa perangkat IoT Edge dengan bantuan IoT Hub Device Provisioning Service. Anda akan melihat provisi dalam skala besar juga disebut provisi otomatis.
Jika solusi IoT Edge Anda memerlukan lebih dari satu perangkat, provisi otomatis menggunakan DPS akan menghemat upaya memasukkan informasi provisi secara manual ke dalam file konfigurasi setiap perangkat. Model otomatis ini dapat diskalakan ke jutaan perangkat IoT Edge.
Anda dapat mengamankan solusi IoT Edge dengan metode autentikasi pilihan Anda. Metode autentikasi Kunci konten, sertifikat X.509, dan pengesahan modul platform tepercaya (TPM) tersedia untuk provisi perangkat dalam skala besar. Anda dapat membaca lebih lanjut tentang opsi tersebut di bagian Pilih metode autentikasi.
Untuk melihat lebih banyak fitur DPS, lihat bagian Fitur halaman gambaran umum.
Memilih metode autentikasi
Pengesahan sertifikat X.509
Menggunakan sertifikat X.509 sebagai mekanisme pengesahan adalah cara yang direkomendasikan untuk menskalakan produksi dan menyederhanakan provisi perangkat. Biasanya, sertifikat X.509 diatur dalam rantai sertifikat kepercayaan. Dimulai dengan sertifikat akar yang ditandatangani sendiri atau tepercaya, setiap sertifikat dalam rantai menandatangani sertifikat lebih rendah berikutnya. Pola ini membuat rantai kepercayaan yang didelegasikan dari sertifikat akar ke bawah melalui setiap sertifikat perantara ke sertifikat perangkat hilir akhir yang diinstal pada perangkat.
Anda membuat dua sertifikat identitas X.509 dan menempatkannya di perangkat. Saat Anda membuat identitas perangkat baru di IoT Hub, Anda menyediakan thumbprint dari kedua sertifikat. Saat perangkat mengautentikasi ke IoT Hub, perangkat menyajikan satu sertifikat dan IoT Hub memverifikasi bahwa sertifikat cocok dengan thumbprint-nya. Kunci X.509 pada perangkat harus disimpan dalam Modul Keamanan Perangkat Keras (HSM). Misalnya, modul PKCS#11, ATECC, dTPM, dll.
Metode autentikasi ini lebih aman daripada kunci konten dan mendukung pendaftaran grup yang memberikan pengalaman manajemen yang disederhanakan untuk sejumlah besar perangkat. Metode autentikasi ini direkomendasikan untuk skenario produksi.
Pengesahan modul platform tepercaya (TPM)
Menggunakan pengesahan TPM adalah metode untuk provisi perangkat yang menggunakan fitur autentikasi di perangkat lunak dan perangkat keras. Setiap chip TPM menggunakan kunci dukungan unik untuk memverifikasi keasliannya.
Pengesahan TPM hanya tersedia untuk penyediaan dalam skala besar dengan DPS, dan hanya mendukung pendaftaran individu bukan pendaftaran kelompok. Pendaftaran grup tidak tersedia karena sifat TPM khusus perangkat.
TPM 2.0 diperlukan saat Anda menggunakan pengesahan TPM dengan layanan provisi perangkat.
Metode autentikasi ini lebih aman, dan direkomendasikan untuk skenario produksi.
Pengesahan kunci konten
Pengesahan kunci konten adalah pendekatan sederhana untuk mengautentikasi perangkat. Metode pengesahan ini mewakili pengalaman "Halo dunia" bagi pengembang yang baru menggunakan provisi perangkat, atau tidak memiliki persyaratan keamanan yang ketat.
Saat Anda membuat identitas perangkat baru di IoT Hub, layanan ini membuat dua kunci. Anda menempatkan salah satu kunci pada perangkat, dan menyajikan kunci ke IoT Hub saat mengautentikasi.
Metode autentikasi ini lebih cepat untuk memulai, tetapi tidak sama amannya. Provisi perangkat yang menggunakan sertifikat TPM atau X.509 lebih aman dan harus digunakan untuk solusi dengan persyaratan keamanan yang lebih ketat.
Langkah berikutnya
Anda dapat menggunakan daftar isi untuk menavigasi ke panduan end-to-end yang sesuai untuk membuat perangkat IoT Edge untuk platform, provisi, dan persyaratan autentikasi solusi IoT Edge Anda.
Anda juga dapat menggunakan tautan di bawah untuk masuk ke artikel yang relevan.
Kontainer Linux di host Linux
Secara manual memprovisikan satu perangkat:
- Memprovisikan satu perangkat Linux menggunakan sertifikat X.509
- Memprovisikan satu perangkat Linux menggunakan kunci konten
Memprovisikan beberapa perangkat dalam skala besar:
- Memprovisikan perangkat Linux dalam skala besar menggunakan sertifikat X.509
- Memprovisikan perangkat Linux dalam skala besar menggunakan pengesahan TPM
- Memprovisikan perangkat Linux dalam skala besar menggunakan kunci konten
Kontainer Linux di host Windows
Secara manual memprovisikan satu perangkat:
- Memprovisikan satu perangkat Linux menggunakan sertifikat X.509
- Memprovisikan satu perangkat Linux di Windows menggunakan kunci konten
Memprovisikan beberapa perangkat dalam skala besar: