Tworzenie urządzenia usługi IoT Edge

Dotyczy:  ikona tak IoT Edge 1,1 innych wersji: IoT Edge 1,2

Dotyczy:  ikona tak IoT Edge 1,2 innych wersji: IoT Edge 1,1

Ten artykuł zawiera omówienie dostępnych opcji instalowania i aprowizowania IoT Edge na urządzeniach.

Ten artykuł zawiera informacje na temat wszystkich opcji rozwiązania IoT Edge i ułatwia:

Po zakończeniu pracy z tym artykułem będziesz mieć jasny obraz platformy, aprowizowania i opcji uwierzytelniania, które mają być IoT Edge rozwiązania.

Rozpoczęcie pracy

Jeśli wiesz, jakiego typu platformy, aprowizowania i opcji uwierzytelniania chcesz użyć do utworzenia urządzenia IoT Edge, skorzystaj z linków w poniższej tabeli, aby rozpocząć pracę.

Jeśli chcesz uzyskać więcej informacji o tym, jak wybrać odpowiednią opcję, przejdź do tego artykułu, aby dowiedzieć się więcej.

Kontenery systemu Linux na hostach z systemem Linux Kontenery systemu Linux na Windows hostach Windows kontenerów na Windows hostach
Aprowizowanie ręczne (jedno urządzenie) Certyfikaty X.509

Klucze symetryczne
Certyfikaty X.509

Klucze symetryczne
Certyfikaty X.509

Klucze symetryczne
Automatyczne aprowizowanie (urządzenia na dużą skalę) Certyfikaty X.509

TPM

Klucze symetryczne
Certyfikaty X.509

TPM

Klucze symetryczne
Certyfikaty X.509

TPM

Klucze symetryczne

Uwaga

W poniższej tabeli przedstawiono obsługiwane scenariusze dla IoT Edge wersji 1.2. Aby wyświetlić zawartość Windows urządzeń, przejdź do wersji IoT Edge 1.1 tego artykułu.

Kontenery systemu Linux na hostach z systemem Linux
Aprowizowanie ręczne (jedno urządzenie) Certyfikaty X.509

Klucze symetryczne
Automatyczne aprowizowanie (urządzenia na dużą skalę) Certyfikaty X.509

TPM

Klucze symetryczne

Terminy i pojęcia

Jeśli nie znasz jeszcze terminologii IoT Edge, zapoznaj się z kluczowymi pojęciami:

IoT Edge uruchomieniowe: IoT Edge uruchomieniowe to kolekcja programów, które przekształciły urządzenie w IoT Edge urządzenia. Zbiorczo składniki środowiska IoT Edge uruchomieniowego umożliwiają IoT Edge na urządzeniach IoT Edge modułów.

Aprowizowanie: każde IoT Edge musi być aprowowane. Aprowizowanie jest procesem dwuetapowym. Pierwszym krokiem jest zarejestrowanie urządzenia w centrum IoT, które tworzy tożsamość w chmurze używaną przez urządzenie do nawiązania połączenia z centrum. Drugim krokiem jest skonfigurowanie urządzenia przy użyciu jego tożsamości w chmurze. Aprowizowanie można wykonać ręcznie dla każdego urządzenia lub na dużą skalę przy użyciu IoT Hub Device Provisioning Service.

Uwierzytelnianie: urządzenia IoT Edge muszą zweryfikować swoją tożsamość podczas połączenia z IoT Hub. Możesz wybrać metodę uwierzytelniania, która ma być stosowana, na przykład hasła kluczy symetrycznych, odciski palca certyfikatu lub moduły TPM (Trusted Platform Modules).

Wybierz platformę

Opcje platformy są określane przez system operacyjny kontenera i system operacyjny hosta. System operacyjny kontenera to system operacyjny używany wewnątrz kontenera IoT Edge środowiska uruchomieniowego i modułu. System operacyjny hosta to system operacyjny urządzenia, na IoT Edge środowiska uruchomieniowego i moduły są uruchomione.

Dostępne są trzy opcje platformy dla IoT Edge urządzeń.

  • Kontenery systemu Linux na hostach z systemem Linux: uruchamianie kontenerów IoT Edge opartych na systemie Linux bezpośrednio na hoście z systemem Linux. W IoT Edge dokumentów zobaczysz również dla uproszczenia tę opcję, nazywaną kontenerami systemów Linux i Linux.

  • Kontenery systemu Linux Windows hostach: uruchamianie kontenerów IoT Edge opartych na systemie Linux na maszynie wirtualnej z systemem Linux Windows hosta. W IoT Edge dokumentów zobaczysz również tę opcję nazywaną linux w systemie Windows, IoT Edge dla systemu Linux w systemie Windows i EFLOW.

  • Windows na hostach Windows: uruchamianie Windows opartych na IoT Edge bezpośrednio na Windows hostie. W IoT Edge dokumentów zobaczysz również tę opcję, określaną jako Windows i kontenery Windows dla uproszczenia.

Aby uzyskać najnowsze informacje o tym, które systemy operacyjne są obecnie obsługiwane w scenariuszach produkcyjnych, zobacz Azure IoT Edge obsługiwanych systemów.

Kontenery systemu Linux w systemie Linux

W przypadku urządzeń z systemem Linux IoT Edge środowisko uruchomieniowe jest instalowane bezpośrednio na urządzeniu hosta.

IoT Edge obsługuje urządzenia Z systemem Linux x64, ARM32 i ARM64. Firma Microsoft udostępnia pakiety instalacyjne dla systemów operacyjnych Ubuntu Server 18.04 i Raspberry Pi OS Stretch.

Obsługa urządzeń ARM64 jest w publicznej wersji zapoznawczej.

Kontenery systemu Linux w systemie Windows

IoT Edge dla systemu Linux Windows hostuje maszynę wirtualną z systemem Linux na Windows urządzeniu. Maszyna wirtualna jest wstępnie sprezytowany ze środowiskiem uruchomieniowym IoT Edge, a aktualizacje są zarządzane za pośrednictwem Microsoft Update.

IoT Edge dla systemu Linux Windows jest zalecanym sposobem uruchamiania IoT Edge na Windows urządzeniach. Aby dowiedzieć się więcej, zobacz What is Azure IoT Edge for Linux on Windows (Co to jest Azure IoT Edge dla systemu Linux w systemie Windows).

Obecnie IoT Edge dla systemu Linux Windows nie obsługuje wersji 1.2 Azure IoT Edge.

Obecnie wersja IoT Edge 1.2 nie obsługuje IoT Edge dla systemu Linux w Windows. Aby dowiedzieć się więcej o IoT Edge dla systemu Linux Windows, zobacz IoT Edge 1.1 tego artykułu.

Windows kontenerów na Windows

W Windows urządzeniach środowisko IoT Edge jest instalowane bezpośrednio na urządzeniu hosta. Ta platforma umożliwia tworzenie, wdrażanie i uruchamianie modułów IoT Edge jako Windows kontenerów.

Uwaga

Windows nie są zalecanym sposobem uruchamiania programu IoT Edge na urządzeniach Windows, ponieważ nie są obsługiwane poza wersją 1.1 Azure IoT Edge.

Rozważ użycie IoT Edge dla systemu Linux Windows, co będzie obsługiwane w przyszłych wersjach.

IoT Edge wersji 1.2 nie obsługuje Windows kontenerów. Windows kontenery nie będą obsługiwane poza wersją 1.1. Aby dowiedzieć się więcej IoT Edge o Windows kontenerów, zobacz IoT Edge 1.1 tego artykułu.

Wybieranie sposobu aprowizować urządzenia

Można aprowizować jedno lub wiele urządzeń na dużą skalę, w zależności od potrzeb IoT Edge rozwiązania.

Opcje dostępne do uwierzytelniania komunikacji między urządzeniami IoT Edge i centrami IoT zależą od tego, jaką metodę aprowizowania wybierzesz. Więcej informacji na temat tych opcji można znaleźć w sekcji Wybieranie metody uwierzytelniania.

Jedno urządzenie

Aprowizowanie pojedynczego urządzenia oznacza aprowizowanie IoT Edge urządzenia bez pomocy IoT Hub Device Provisioning Service (DPS). Zobaczysz, że aprowizowanie pojedynczego urządzenia jest również określane jako aprowizowanie ręczne.

Korzystając z aprowizowania pojedynczego urządzenia, należy ręcznie wprowadzić informacje o aprowiwizowania, takie jak ciąg połączenia, na urządzeniach. Ręczną aprowizowanie można szybko i łatwo skonfigurować tylko dla kilku urządzeń, ale obciążenie zwiększy się wraz z liczbą urządzeń. Należy o tym pamiętać podczas rozważania skalowalności rozwiązania.

Klucz symetryczny i metody uwierzytelniania z podpisem własnym X.509 są dostępne do aprowowania ręcznego. Więcej informacji na temat tych opcji można znaleźć w sekcji Wybieranie metody uwierzytelniania.

Urządzenia na dużą skalę

Aprowizowanie urządzeń na dużą skalę odnosi się do aprowizowania co najmniej jednego IoT Edge urządzeń przy użyciu IoT Hub Device Provisioning Service . Zobaczysz, że aprowizowanie na dużą skalę jest również określane jako automatyczne aprowizowanie.

Jeśli twoje IoT Edge wymaga więcej niż jednego urządzenia, automatyczne aprowizowanie przy użyciu usługi DPS pozwala zaoszczędzić czas na ręcznym wprowadzeniu informacji aprowizacyjnych do plików konfiguracji każdego urządzenia, którego chcesz użyć. Ten zautomatyzowany model można skalować do milionów IoT Edge urządzeń. Przepływ automatycznego aprowizowania jest dostępny w sekcji Za kulisami na stronie przeglądu IoT Hub DPS.

Rozwiązanie do IoT Edge można zabezpieczyć przy użyciu wybranej metody uwierzytelniania. Klucz symetryczny, certyfikaty X.509 i metody uwierzytelniania zaświadczeń modułu TPM (Trusted Platform Module) są dostępne do aprowizowania urządzeń na dużą skalę. Więcej informacji na temat tych opcji można znaleźć w sekcji Wybieranie metody uwierzytelniania.

Aby wyświetlić więcej funkcji programu DPS, zobacz sekcję Funkcje na stronie przeglądu.

Wybieranie metody uwierzytelniania

Zaświadczenia kluczy symetrycznych

Symetryczne zaświadczenia klucza to proste podejście do uwierzytelniania urządzenia. Ta metoda zaświadczenia reprezentuje środowisko "Hello world" dla deweloperów, którzy są nowi w aprowiacji urządzeń lub nie mają rygorystycznych wymagań dotyczących zabezpieczeń.

Podczas tworzenia nowej tożsamości urządzenia w usłudze IoT Hub usługa tworzy dwa klucze. Umieszczasz jeden z kluczy na urządzeniu i prezentujesz klucz do IoT Hub podczas uwierzytelniania.

Ta metoda uwierzytelniania jest szybsza, aby rozpocząć pracę, ale nie jest tak bezpieczna. Aprowizowanie urządzeń przy użyciu certyfikatów TPM lub X.509 jest bezpieczniejsze i powinno być używane w przypadku rozwiązań z bardziej rygorystycznymi wymaganiami dotyczącymi zabezpieczeń.

Zaświadczanie certyfikatu X.509

Używanie certyfikatów X.509 jako mechanizmu zaświadczenia to doskonały sposób skalowania produkcji i upraszczania aprowacji urządzeń. Zazwyczaj certyfikaty X.509 są uporządkowane w łańcuchu zaufania certyfikatów. Począwszy od certyfikatu z podpisem własnym lub zaufanego certyfikatu głównego, każdy certyfikat w łańcuchu podpisuje następny niższy certyfikat. Ten wzorzec tworzy delegowany łańcuch zaufania z certyfikatu głównego za pośrednictwem każdego certyfikatu pośredniego do końcowego certyfikatu "liścia" zainstalowanego na urządzeniu.

Tworzysz dwa certyfikaty tożsamości X.509 i umieszczasz je na urządzeniu. Podczas tworzenia nowej tożsamości urządzenia w programie IoT Hub odciski palca z obu certyfikatów. Gdy urządzenie uwierzytelnia się w IoT Hub, przedstawia jeden certyfikat i IoT Hub sprawdza, czy certyfikat pasuje do jego odcisku palca.

Ta metoda uwierzytelniania jest bezpieczniejsza niż klucze symetryczne i jest zalecana w scenariuszach produkcyjnych.

Zaświadczenia modułu TPM (Trusted Platform Module)

Korzystanie z zaświadczenia modułu TPM jest najbezpiecznszą metodą aprowizowania urządzeń, ponieważ zapewnia funkcje uwierzytelniania zarówno w oprogramowaniu, jak i sprzęcie. Każdy mikroukład modułu TPM używa unikatowego klucza poręczenia, aby zweryfikować jego autentyczność.

Zaswiadczenie modułu TPM jest dostępne tylko do aprowizowania na dużą skalę za pomocą usługi DPS i obsługuje tylko rejestracje indywidualne, a nie rejestracje grupowe. Rejestracje grup nie są dostępne ze względu na charakter urządzenia modułu TPM.

Moduł TPM 2.0 jest wymagany w przypadku korzystania z zaświadczenia modułu TPM w usłudze device provisioning.

Ta metoda uwierzytelniania jest bezpieczniejsza niż klucze symetryczne i jest zalecana w scenariuszach produkcyjnych.

Następne kroki

Spis treści umożliwia przejście do odpowiedniego przewodnika end-to-end służącego do tworzenia urządzenia usługi IoT Edge dla wymagań dotyczących platformy, aprowizowania i uwierzytelniania rozwiązania IoT Edge.

Możesz również użyć poniższych linków, aby przejść do odpowiedniego artykułu.

Kontenery systemu Linux na hostach z systemem Linux

Ręcznie aprowizuj jedno urządzenie:

Aprowizowanie wielu urządzeń na dużą skalę:

Kontenery systemu Linux na Windows hostach

Ręcznie aprowizuj jedno urządzenie:

Aprowizowanie wielu urządzeń na dużą skalę:

Windows kontenerów na Windows hostach

Ręcznie aprowizuj jedno urządzenie:

Aprowizowanie wielu urządzeń na dużą skalę: