Tworzenie urządzenia usługi IoT Edge
Dotyczy:
IoT Edge 1.5 IoT Edge 1.4
Ważne
Obsługiwane są wersje usługi IoT Edge 1.5 LTS i IoT Edge 1.4 LTS. Usługa IoT Edge 1.4 LTS kończy się 12 listopada 2024 r. Jeśli korzystasz z wcześniejszej wersji, zobacz aktualizację Azure IoT Edge.
Ten artykuł zawiera omówienie dostępnych opcji instalowania i aprowizacji usługi IoT Edge na urządzeniach.
Ten artykuł zawiera omówienie wszystkich opcji rozwiązania usługi IoT Edge i ułatwia:
Po zakończeniu tego artykułu będziesz mieć jasny obraz platformy, aprowizacji i opcji uwierzytelniania, których chcesz użyć dla rozwiązania usługi IoT Edge.
Rozpocznij
Jeśli wiesz, jakiego typu platformy, aprowizacji i opcji uwierzytelniania chcesz użyć do utworzenia urządzenia usługi IoT Edge, skorzystaj z linków w poniższej tabeli, aby rozpocząć pracę.
Jeśli chcesz uzyskać więcej informacji na temat wybierania odpowiedniej opcji, przejdź do tego artykułu, aby dowiedzieć się więcej.
| Kontenery systemu Linux na hostach z systemem Linux | Kontenery systemu Linux na hostach systemu Windows | |
|---|---|---|
| Ręczna aprowizacja (pojedyncze urządzenie) | Certyfikaty X.509 Klucze symetryczne |
Certyfikaty X.509 Klucze symetryczne |
| Automatyczne aprowizowanie (urządzenia na dużą skalę) | Certyfikaty X.509 TPM Klucze symetryczne |
Certyfikaty X.509 TPM Klucze symetryczne |
Terminy i pojęcia
Jeśli nie znasz jeszcze terminologii usługi IoT Edge, zapoznaj się z niektórymi kluczowymi pojęciami:
Środowisko uruchomieniowe usługi IoT Edge: środowisko uruchomieniowe usługi IoT Edge to kolekcja programów, które przekształcają urządzenie w urządzenie usługi IoT Edge. Zbiorczo składniki środowiska uruchomieniowego usługi IoT Edge umożliwiają urządzeniom usługi IoT Edge uruchamianie modułów usługi IoT Edge.
Aprowizowanie: każde urządzenie usługi IoT Edge musi być aprowizowane. Aprowizowanie jest procesem dwuetapowym. Pierwszym krokiem jest zarejestrowanie urządzenia w centrum IoT Hub, co powoduje utworzenie tożsamości w chmurze używanej przez urządzenie do nawiązania połączenia z centrum. Drugi krok polega na skonfigurowaniu urządzenia przy użyciu tożsamości w chmurze. Aprowizowanie można wykonać ręcznie dla poszczególnych urządzeń lub można to zrobić na dużą skalę przy użyciu usługi IoT Hub Device Provisioning.
Uwierzytelnianie: Urządzenia usługi IoT Edge muszą zweryfikować swoją tożsamość podczas nawiązywania połączenia z usługą IoT Hub. Możesz wybrać metodę uwierzytelniania, na przykład symetryczne hasła klucza, odciski palca certyfikatu lub moduły zaufanej platformy (TPM).
Wybierz platformę
Opcje platformy są określane przez system operacyjny kontenera i system operacyjny hosta. System operacyjny kontenera jest systemem operacyjnym używanym w środowisku uruchomieniowym usługi IoT Edge i kontenerach modułów. System operacyjny hosta to system operacyjny urządzenia, na którym działają kontenery i moduły środowiska uruchomieniowego usługi IoT Edge.
Istnieją trzy opcje platformy dla urządzeń usługi IoT Edge.
Kontenery systemu Linux na hostach systemu Linux: uruchamianie kontenerów usługi IoT Edge opartych na systemie Linux bezpośrednio na hoście systemu Linux. W dokumentacji usługi IoT Edge zobaczysz również tę opcję nazywaną kontenerami systemu Linux i Linux dla uproszczenia.
Kontenery systemu Linux na hostach systemu Windows: uruchamianie kontenerów usługi IoT Edge opartych na systemie Linux na maszynie wirtualnej z systemem Linux na hoście systemu Windows. W dokumentacji usługi IoT Edge zobaczysz również tę opcję nazywaną systemem Linux w systemie Windows, usługą IoT Edge dla systemu Linux w systemie Windows i EFLOW.
Kontenery systemu Windows na hostach systemu Windows: uruchamianie kontenerów usługi IoT Edge opartych na systemie Windows bezpośrednio na hoście systemu Windows. W dokumentacji usługi IoT Edge zobaczysz również tę opcję nazywaną kontenerami systemu Windows i Windows dla uproszczenia.
Aby uzyskać najnowsze informacje o tym, które systemy operacyjne są obecnie obsługiwane w scenariuszach produkcyjnych, zobacz Obsługiwane systemy usługi Azure IoT Edge.
Kontenery systemu Linux w systemie Linux
W przypadku urządzeń z systemem Linux środowisko uruchomieniowe usługi IoT Edge jest instalowane bezpośrednio na urządzeniu hosta.
Usługa IoT Edge obsługuje urządzenia Z systemem Linux X64, ARM32 i ARM64. Firma Microsoft udostępnia oficjalne pakiety instalacyjne dla różnych systemów operacyjnych.
Kontenery systemu Linux w systemie Windows
Usługa IoT Edge dla systemu Linux w systemie Windows hostuje maszynę wirtualną z systemem Linux na urządzeniu z systemem Windows. Maszyna wirtualna jest wstępnie utworzona przy użyciu środowiska uruchomieniowego usługi IoT Edge i aktualizacje są zarządzane za pośrednictwem usługi Microsoft Update.
Usługa IoT Edge dla systemu Linux w systemie Windows jest zalecanym sposobem uruchamiania usługi IoT Edge na urządzeniach z systemem Windows. Aby dowiedzieć się więcej, zobacz Co to jest usługa Azure IoT Edge dla systemu Linux w systemie Windows.
Kontenery systemu Windows w systemie Windows
Usługa IoT Edge w wersji 1.2 lub nowszej nie obsługuje kontenerów systemu Windows. Kontenery systemu Windows nie są obsługiwane poza wersją 1.1.
Wybieranie sposobu aprowizacji urządzeń
W zależności od potrzeb rozwiązania usługi IoT Edge można aprowizować jedno urządzenie lub wiele urządzeń na dużą skalę.
Dostępne opcje uwierzytelniania komunikacji między urządzeniami usługi IoT Edge a centrum IoT zależą od wybranej metody aprowizacji. Więcej informacji na temat tych opcji można uzyskać w sekcji Wybieranie metody uwierzytelniania.
Jedno urządzenie
Aprowizowanie pojedynczego urządzenia dotyczy aprowizowania urządzenia usługi IoT Edge bez pomocy usługi IoT Hub Device Provisioning Service (DPS). Zobaczysz również aprowizację pojedynczego urządzenia, nazywaną aprowizowaniem ręcznym.
Przy użyciu aprowizacji pojedynczego urządzenia należy ręcznie wprowadzić informacje dotyczące aprowizacji, takie jak parametry połączenia, na urządzeniach. Aprowizacja ręczna jest szybka i łatwa do skonfigurowania tylko dla kilku urządzeń, ale obciążenie zwiększy się wraz z liczbą urządzeń. Aprowizowanie pomaga w rozważaniu skalowalności rozwiązania.
Metody uwierzytelniania z podpisem własnym i klucz symetryczny X.509 są dostępne do ręcznej aprowizacji. Więcej informacji na temat tych opcji można uzyskać w sekcji Wybieranie metody uwierzytelniania.
Urządzenia na dużą skalę
Aprowizowanie urządzeń na dużą skalę odnosi się do aprowizacji co najmniej jednego urządzenia usługi IoT Edge z pomocą usługi IoT Hub Device Provisioning. Zobaczysz również aprowizowanie na dużą skalę, nazywane autoprowizowaniem.
Jeśli rozwiązanie usługi IoT Edge wymaga więcej niż jednego urządzenia, automatyczne aprowizowanie przy użyciu usługi DPS pozwala zaoszczędzić nakład pracy ręcznego wprowadzania informacji o aprowizacji w plikach konfiguracji każdego urządzenia. Ten zautomatyzowany model można skalować do milionów urządzeń usługi IoT Edge.
Rozwiązanie usługi IoT Edge można zabezpieczyć przy użyciu wybranej metody uwierzytelniania. Metody uwierzytelniania zaświadczeń modułu TPM (Symmetric Key, X.509, Symmetric Key, X.509) i zaufanego modułu platformy (TPM) są dostępne do aprowizowania urządzeń na dużą skalę. Więcej informacji na temat tych opcji można uzyskać w sekcji Wybieranie metody uwierzytelniania.
Aby wyświetlić więcej funkcji usługi DPS, zobacz sekcję Funkcje na stronie przeglądu.
Wybieranie metody uwierzytelniania
Zaświadczanie certyfikatu X.509
Używanie certyfikatów X.509 jako mechanizmu zaświadczania jest zalecanym sposobem skalowania produkcji i upraszczania aprowizacji urządzeń. Zazwyczaj certyfikaty X.509 są rozmieszczane w łańcuchu zaufania certyfikatów. Począwszy od certyfikatu z podpisem własnym lub zaufanego certyfikatu głównego, każdy certyfikat w łańcuchu podpisuje następny niższy certyfikat. Ten wzorzec tworzy delegowany łańcuch zaufania z certyfikatu głównego w dół za pośrednictwem każdego certyfikatu pośredniego do końcowego certyfikatu urządzenia podrzędnego zainstalowanego na urządzeniu.
Tworzysz dwa certyfikaty tożsamości X.509 i umieszczasz je na urządzeniu. Podczas tworzenia nowej tożsamości urządzenia w usłudze IoT Hub podajesz odciski palca z obu certyfikatów. Gdy urządzenie uwierzytelnia się w usłudze IoT Hub, przedstawia jeden certyfikat, a usługa IoT Hub sprawdza, czy certyfikat jest zgodny z jego odciskiem palca. Klucze X.509 na urządzeniu powinny być przechowywane w sprzętowym module zabezpieczeń (HSM). Na przykład moduły PKCS#11, ATECC, dTPM itp.
Ta metoda uwierzytelniania jest bezpieczniejsza niż klucze symetryczne i obsługuje rejestracje grup, które zapewniają uproszczone środowisko zarządzania dla dużej liczby urządzeń. Ta metoda uwierzytelniania jest zalecana w scenariuszach produkcyjnych.
Zaświadczenie modułu TPM (Trusted Platform Module)
Zaświadczanie modułu TPM to metoda aprowizacji urządzeń, która korzysta z funkcji uwierzytelniania zarówno w oprogramowaniu, jak i sprzęcie. Każdy mikroukład modułu TPM używa unikatowego klucza poręczenia, aby zweryfikować jego autentyczność.
Zaświadczanie modułu TPM jest dostępne tylko do aprowizacji na dużą skalę w usłudze DPS i obsługuje tylko rejestracje indywidualne, a nie rejestracje grupowe. Rejestracje grup nie są dostępne ze względu na specyficzny dla urządzenia charakter modułu TPM.
Moduł TPM 2.0 jest wymagany w przypadku korzystania z zaświadczania modułu TPM z usługą aprowizacji urządzeń.
Ta metoda uwierzytelniania jest bezpieczniejsza niż klucze symetryczne i jest zalecana w scenariuszach produkcyjnych.
Zaświadczenie kluczy symetrycznych
Zaświadczanie klucza symetrycznego to proste podejście do uwierzytelniania urządzenia. Ta metoda zaświadczania reprezentuje środowisko "Hello world" dla deweloperów, którzy są nowi w aprowizacji urządzeń lub nie mają rygorystycznych wymagań dotyczących zabezpieczeń.
Podczas tworzenia nowej tożsamości urządzenia w usłudze IoT Hub usługa tworzy dwa klucze. Umieszczasz jeden z kluczy na urządzeniu i przedstawia klucz do usługi IoT Hub podczas uwierzytelniania.
Ta metoda uwierzytelniania jest szybsza, ale nie jest bezpieczna. Aprowizowanie urządzeń przy użyciu certyfikatów TPM lub X.509 jest bezpieczniejsze i powinno być używane w przypadku rozwiązań z bardziej rygorystycznymi wymaganiami dotyczącymi zabezpieczeń.
Następne kroki
Spis treści umożliwia przejście do odpowiedniego kompleksowego przewodnika dotyczącego tworzenia urządzenia usługi IoT Edge dla platformy rozwiązania usługi IoT Edge, aprowizacji i wymagań dotyczących uwierzytelniania.
Możesz również użyć poniższych linków, aby przejść do odpowiedniego artykułu.
Kontenery systemu Linux na hostach z systemem Linux
Ręczne aprowizowania pojedynczego urządzenia:
- Aprowizowanie pojedynczego urządzenia z systemem Linux przy użyciu certyfikatów X.509
- Aprowizowanie pojedynczego urządzenia z systemem Linux przy użyciu kluczy symetrycznych
Aprowizuj wiele urządzeń na dużą skalę:
- Aprowizowanie urządzeń z systemem Linux na dużą skalę przy użyciu certyfikatów X.509
- Aprowizowanie urządzeń z systemem Linux na dużą skalę przy użyciu zaświadczania modułu TPM
- Aprowizowanie urządzeń z systemem Linux na dużą skalę przy użyciu kluczy symetrycznych
Kontenery systemu Linux na hostach systemu Windows
Ręczne aprowizowania pojedynczego urządzenia:
- Aprowizowanie pojedynczego urządzenia z systemem Linux na urządzeniu z systemem Windows przy użyciu certyfikatów X.509
- Aprowizowanie pojedynczego urządzenia z systemem Linux na urządzeniu z systemem Windows przy użyciu kluczy symetrycznych
Aprowizuj wiele urządzeń na dużą skalę:
- Aprowizowanie systemu Linux na urządzeniach z systemem Windows na dużą skalę przy użyciu certyfikatów X.509
- Aprowizowanie systemu Linux na urządzeniach z systemem Windows na dużą skalę przy użyciu zaświadczania modułu TPM
- Aprowizowanie systemu Linux na urządzeniach z systemem Windows na dużą skalę przy użyciu kluczy symetrycznych