O que é o Serviço Aprovisionamento de Dispositivos no Hub IoT do Azure?

O Microsoft Azure fornece um conjunto avançado de serviços de cloud pública integrada para todas as suas necessidades de solução IoT. O Serviço de Provisionamento de Dispositivos Hub IoT (DPS) é um serviço de ajuda para Hub IoT que permite o fornecimento de zero toques, just-in-time, para o centro IoT certo sem necessitar de intervenção humana. O DPS permite o fornecimento de milhões de dispositivos de forma segura e escalável.

Quando utilizar o Serviço de Aprovisionamento de Dispositivos

Existem muitos cenários de provisionamento em que o DPS é uma excelente escolha para obter dispositivos conectados e configurados para Hub IoT, tais como:

  • Aprovisionamento sem toques numa solução de IoT única sem codificar informações de ligação do Hub IoT na fábrica de (configuração inicial)
  • Dispositivos de equilíbrio de carga em vários centros
  • Ligar dispositivos à solução IoT do seu proprietário com base em dados de transações de vendas (multitenancy)
  • Ligação de dispositivos a uma solução de IoT específica, consoante o caso de utilização (isolamento da solução)
  • Ligação de um dispositivo ao hub IoT com a latência mais baixa (fragmentação geográfica)
  • Reaprovisionamento com base numa alteração no dispositivo
  • Implementar as chaves utilizadas pelo dispositivo para estabelecer ligação ao Hub IoT (quando não utilizar certificados x.509 para ligar)

O fornecimento de dispositivos de borda aninhada (hierarquias parentais/infantis) não é atualmente suportado por DPS.

Nos bastidores

Todos os cenários listados na secção anterior podem ser feitos utilizando DPS para provisão de toque zero com o mesmo fluxo. Muitas das etapas manuais tradicionalmente envolvidas no provisionamento são automatizadas com DPS para reduzir o tempo de implantação de dispositivos IoT e reduzir o risco de erro manual. A secção seguinte descreve o que acontece nos bastidores para que um dispositivo seja aprovisionado. O primeiro passo é manual e todos os passos seguintes são automatizados.

Basic provisioning flow

  1. O fabricante do dispositivo adiciona as informações de registo do dispositivo à lista de inscrição no portal do Azure.
  2. O dispositivo contacta o ponto final DPS definido na fábrica. O dispositivo transmite a informação de identificação ao DPS para provar a sua identidade.
  3. O DPS valida a identidade do dispositivo validando o ID de registo e a chave contra a entrada da lista de inscrição utilizando um desafio nonce (Módulo plataforma fidedigna) ou a verificação padrão X.509 (X.509).
  4. O DPS regista o dispositivo com um hub IoT e povoa o estado gémeo desejado pelo dispositivo.
  5. O hub IoT devolve informações de identificação do dispositivo ao DPS.
  6. O DPS devolve ao dispositivo as informações de ligação do hub IoT. O dispositivo pode agora começar a enviar dados diretamente para o hub IoT.
  7. O dispositivo estabelece ligação ao hub IoT.
  8. O dispositivo obtém o estado pretendido do respetivo dispositivo duplo no hub IoT.

Processo de aprovisionamento

Existem dois passos distintos no processo de implantação de um dispositivo em que o DPS participa de uma parte que pode ser feita de forma independente:

  • O passo de fabrico no qual o dispositivo é criado e preparado na fábrica, e
  • O passo de configuração da cloud no qual o Serviço de Aprovisionamento de Dispositivos é configurado para o aprovisionamento automatizado.

Ambos os passos enquadram-se de forma totalmente integrada com os processos de implementação e fabrico existentes. O DPS até simplifica alguns processos de implantação que envolvem trabalho manual para obter informações de ligação no dispositivo.

Passo de fabrico

Este passo envolve o que acontece na linha de fabrico. As funções envolvidas neste passo incluem o designer de silício, o fabricante de silício, o integrador e/ou o fabricante final do dispositivo. Este passo está relacionado com a criação do próprio hardware.

A DPS não introduz um novo passo no processo de fabrico; pelo contrário, liga-se ao passo existente que instala o software inicial e (idealmente) o HSM no dispositivo. Em vez de criar um ID de dispositivo neste passo, o dispositivo é programado com as informações do serviço de aprovisionamento, permitindo-lhe chamar o serviço de aprovisionamento para obter a respetiva informação de ligação/ atribuição de solução IoT quando é ligado.

Também neste passo, o fabricante fornece informações sobre a chave de identificação ao implementador/operador do dispositivo. O fornecimento dessas informações pode ser tão simples como confirmar que todos os dispositivos têm um certificado X.509 gerado a partir de um certificado de assinatura fornecido pelo implementador/operador do dispositivo ou tão complicado como extrair a parte pública de uma chave de endossamento TPM de cada dispositivo TPM. Estes serviços são oferecidos atualmente por muitos fabricantes de silício.

Passo de configuração da cloud

Este passo diz respeito à configuração da cloud para o aprovisionamento automático adequado. Geralmente, existem dois tipos de utilizadores envolvidos no passo de configuração da cloud: alguém que saiba como os dispositivos têm de ser inicialmente configurados (um operador do dispositivo) e alguém que saiba como os dispositivos devem ser divididos entre os hubs IoT (um operador da solução).

Há uma configuração inicial única do aprovisionamento que tem de ocorrer, que normalmente é processada pelo operador da solução. Depois de o serviço de aprovisionamento ser configurado, não tem de ser modificado, a não ser que o caso de utilização mude.

Depois de o serviço ser configurado para o aprovisionamento automático, tem de ser preparado para inscrever dispositivos. Este passo é executado pelo operador do dispositivo, que conhece a configuração desejada dos dispositivos e é responsável por certificar-se de que o serviço de aprovisionamento pode atestar corretamente a identidade do dispositivo quando vai à procura do respetivo hub IoT. O operador do dispositivo utiliza as informações da chave de identificação do fabricante e adiciona-as à lista de inscrição. Podem existir atualizações subsequentes à lista de inscrição à medida que são adicionadas novas entradas ou que as entradas existentes são atualizadas com as informações mais recentes sobre os dispositivos.

Registo e aprovisionamento

Aprovisionamento tem significados diferentes consoante a indústria em que o termo é utilizado. No contexto do aprovisionamento de dispositivos IoT na respetiva solução de cloud, o aprovisionamento é um processo composto por duas partes:

  1. A primeira parte consiste em estabelecer a ligação inicial entre o dispositivo e a solução de IoT ao registar o dispositivo.
  2. A segunda parte consiste em aplicar a configuração adequada ao dispositivo com base nos requisitos específicos da solução na qual foi registado.

Após a conclusão desses dois passos, podemos afirmar que o dispositivo foi totalmente aprovisionado. Alguns serviços cloud fornecem apenas o primeiro passo do processo de aprovisionamento, ou seja, registam os dispositivos no ponto final da solução de IoT, mas não fornecem a configuração inicial. O DPS automatiza ambas as etapas para proporcionar uma experiência de provisão perfeita para o dispositivo.

Funcionalidades do Serviço de Aprovisionamento de Dispositivos

O DPS tem muitas funcionalidades, tornando-o ideal para dispositivos de provisionamento.

  • Suporte de atestado seguro para identidades baseadas em X.509 e TPM.
  • Lista de inscrição que contém o registo completo de dispositivos/grupos de dispositivos que podem ser registados em qualquer momento. A lista de inscrição contém informações sobre a configuração pretendida do dispositivo, depois de ser registado, e pode ser atualizada em qualquer altura.
  • Políticas de atribuição múltipla para controlar a forma como o DPS atribui dispositivos a centros IoT em apoio aos seus cenários: Latência mais baixa, distribuição uniformemente ponderada (padrão) e configuração estática através da lista de inscrições. A latência é determinada usando o mesmo método que Gestor de Tráfego.
  • Monitorização e registo de diagnóstico para garantir que tudo está a funcionar corretamente.
  • O suporte multi-hub permite que o DPS atribua dispositivos a mais de um hub IoT. O DPS pode falar com os hubs através de várias subscrições do Azure.
  • O suporte inter-região permite que o DPS atribua dispositivos aos centros IoT noutras regiões.
  • A encriptação para dados em repouso permite que os dados em DPS sejam encriptados e desencriptados de forma transparente utilizando encriptação AES de 256 bits, uma das cifras de blocos mais fortes disponíveis, e é compatível com FIPS 140-2.

Você pode aprender mais sobre os conceitos e funcionalidades envolvidos no fornecimento de dispositivos, revendo o tópico da terminologia DPS juntamente com outros tópicos conceptuais na mesma secção.

Suporte de várias plataformas

Tal como todos os serviços Azure IoT, o DPS trabalha em plataformas cruzadas com uma variedade de sistemas operativos. O Azure disponibiliza SDKs open source em várias linguagens para facilitar a ligação dos dispositivos e a gestão do serviço. O DPS suporta os seguintes protocolos para a ligação de dispositivos:

  • HTTPS
  • AMQP
  • AMQP através de sockets web
  • MQTT
  • MQTT através de sockets web

O DPS só suporta ligações HTTPS para operações de serviço.

Regiões

O DPS está disponível em muitas regiões. A lista apoiada por regiões para todos os serviços está disponível nas Regiões de Azure. Pode verificar a disponibilidade do Serviço de Aprovisionamento de Dispositivos na página Estado do Azure.

Para resiliência e fiabilidade, recomendamos a implantação numa das regiões que suportam Zonas de Disponibilidade.

Consideração de residência de dados

O Serviço de Provisionamento de Dispositivos não armazena ou processa dados de clientes fora da geografia onde implementa a instância de serviço. Para mais informações, consulte a replicação cross-region em Azure.

No entanto, por padrão, o DPS utiliza o mesmo dispositivo que fornece o ponto final de fornecimento para todas as instâncias de serviço de fornecimento, e executa o equilíbrio da carga de tráfego para o ponto final de serviço mais próximo disponível. Como resultado, os segredos de autenticação podem ser temporariamente transferidos para fora da região onde a instância DPS foi inicialmente criada. No entanto, uma vez ligado o dispositivo, os dados do dispositivo fluirão diretamente para a região original da instância DPS.

Para garantir que os seus dados não saem da região em que a sua instância DPS foi criada, utilize um ponto final privado. Para aprender a configurar pontos finais privados, consulte o suporte do Serviço de Provisionamento de Dispositivos IoT (DPS) para redes virtuais.

Quotas e Limites

Cada subscrição do Azure possui limites de quota predefinidos que podem afetar o âmbito da sua solução de IoT. O limite atual por subscrição é de 10 Serviços de Aprovisionamento de Dispositivos por subscrição.

Para obter mais detalhes sobre os limites de quota, consulte os Limites do Serviço de Subscrição Azure.

Nota

Algumas áreas deste serviço têm limites ajustáveis. Isto está representado nas tabelas abaixo com a coluna Ajustável? Quando o limite pode ser ajustado, o valor ajustável é Sim.

O valor real ao qual um limite pode ser ajustado pode variar em função da implantação de cada cliente. Podem ser necessários vários casos de DPS para implementações muito grandes.

Se o seu negócio exigir o aumento de um limite ou quota ajustável acima do limite de incumprimento, pode submeter um pedido de recursos adicionais através da abertura de um bilhete de apoio. Pedir um aumento não garante a sua concessão, uma vez que tem de ser revisto caso a caso. Por favor contacte o suporte da Microsoft o mais cedo possível durante a sua implementação, para poder determinar se o seu pedido pode ser aprovado e planear em conformidade.

O quadro que se segue enumera os limites aplicáveis aos recursos do Serviço de Fornecimento de Dispositivos Hub IoT do Azure.

Recurso Limite Ajustável?
Serviços máximos de fornecimento de dispositivos por subscrição da Azure 10 Yes
Número máximo de inscrições 1 000 000 Yes
Número máximo de matrículas individuais 1 000 000 Yes
Número máximo de grupos de matrícula (certificado X.509) 100 Yes
Número máximo de grupos de matrícula (chave simétrica) 100 No
Número máximo de CAs 25 No
Número máximo de hubs IoT ligados 50 No
Tamanho máximo da mensagem 96 KB No

Dica

Se o limite rígido para os principais grupos de inscrição simétricos é uma questão de bloqueio, recomenda-se a utilização de matrículas individuais como solução alternativa.

O Serviço de Provisionamento de Dispositivos tem os seguintes limites de tarifas.

Tarifa Valor por unidade Ajustável?
Operações 200/min/serviço Yes
Registos de dispositivos 200/min/serviço Yes
Operação de sondagem de dispositivo 5/10 seg/dispositivo No

Operações de serviço faturada e preços

Cada chamada da API no DPS é faturada como uma operação. Isto inclui todas as APIs de serviço e a API de registo do dispositivo.

As tabelas abaixo mostram o estado corrente de faturação para cada operação de API de serviço DPS. Para saber mais sobre os preços para dPS, selecione tabela de preços no topo da página de preços Hub IoT do Azure. Em seguida, selecione o separador serviço de fornecimento de dispositivos Hub IoT e a moeda e região para o seu serviço.

API Operação O Billable?
API do dispositivo Procura do estado do registo do dispositivo No
API do dispositivo Procura de Estado de Operação No
API do dispositivo Dispositivo de registo Yes
Serviço DPS API (estado de registo) Eliminar Yes
Serviço DPS API (estado de registo) Get Yes
Serviço DPS API (estado de registo) Query Yes
DPS Serviço API (grupo de inscrição) Criar ou Atualizar Yes
DPS Serviço API (grupo de inscrição) Eliminar Yes
DPS Serviço API (grupo de inscrição) Get Yes
DPS Serviço API (grupo de inscrição) Obtenha mecanismo de atestação Yes
DPS Serviço API (grupo de inscrição) Query Yes
DPS Serviço API (grupo de inscrição) Executar operação a granel Yes
DPS Serviço API (inscrição individual) Criar ou Atualizar Yes
DPS Serviço API (inscrição individual) Eliminar Yes
DPS Serviço API (inscrição individual) Get Yes
DPS Serviço API (inscrição individual) Obtenha mecanismo de atestação Yes
DPS Serviço API (inscrição individual) Query Yes
DPS Serviço API (inscrição individual) Executar operação a granel Yes
Certificado DPS API Criar ou Atualizar No
Certificado DPS API Eliminar No
Certificado DPS API Gerar o Código de Verificação No
Certificado DPS API Get No
Certificado DPS API Lista No
Certificado DPS API Verificar Certificado No
IoT DPS Recursos API Verificar disponibilidade de nome de serviço de prestação de serviços No
IoT DPS Recursos API Criar ou Atualizar No
IoT DPS Recursos API Eliminar No
IoT DPS Recursos API Get No
IoT DPS Recursos API Obtenha resultados de operação No
IoT DPS Recursos API Lista por Grupo de Recursos No
IoT DPS Recursos API Lista por subscrição No
IoT DPS Recursos API Lista por chaves No
IoT DPS Recursos API Chaves de lista para nome de chave No
IoT DPS Recursos API Lista SKUs Válidos No
IoT DPS Recursos API Atualizar No

A DPS automatiza o fornecimento de dispositivos com Hub IoT do Azure. Saiba mais sobre Hub IoT.

Nota

O fornecimento de dispositivos de borda aninhada (hierarquias parentais/infantis) não é atualmente suportado por DPS.

As aplicações IoT Central utilizam uma instância interna de DPS para gerir as ligações do dispositivo. Para saber mais, veja:

Passos seguintes

Agora já tem uma descrição geral do aprovisionamento de dispositivos IoT no Azure. O passo seguinte é experimentar um cenário de IoT ponto a ponto.

Criar Hub IoT Serviço de Provisionamento de Dispositivos com o portal do Azure

Criar e providenciar um dispositivo simulado