Эталонная архитектура Интернета вещей Azure

Хранилище BLOB-объектов
Функции
Центр Интернета вещей
Служба подготовки устройств к добавлению в Центр Интернета вещей
Logic Apps
Stream Analytics

В этой статье рассматривается рекомендуемая архитектура для приложений Интернета вещей с помощью компонентов Azure PaaS (платформа как услуга). На следующей схеме представлены различные компоненты Azure, которые можно использовать для проектирования решения IoT. На схеме показано, и в статье приводятся основные сведения о наиболее часто используемых службах, но не все решения требуются. Если вы только начинаете работу с Azure IoT или хотите создать свое первое решение для подтверждения концепции, начните с этого руководства:

Схема архитектуры

Эта эталонная архитектура использует компоненты Azure PaaS (платформа как услуга). Корпорация Майкрософт рекомендует приступить к работе с Azure IOT Central, которая представляет собой платформу решения IOT aPaaS (платформа приложения как услуга). Она предназначена для упрощения и ускорения сборки и эксплуатации решений IoT путем сборки, масштабирования и управления многими из тех же служб PaaS, которые описаны в этой эталонной архитектуре. Результат является готовым и готов к использованию интерфейса UX и контактной зоны API с возможностями, необходимыми для подключения, управления и работы с пределами устройств в масштабе. Узнайте больше о том, как сравнить IOT Central (aPaaS) с решением PaaS в зависимости от потребностей вашего решения.

Решения Интернета вещей Azure (обычно это устройства), которые формируют данные , представляют сведения о данных и действиях , выполняемых на основе аналитических сведений. Рассмотрим двигатель, отправляющий данные температуры. Эти данные используются для определения того, работает ли мотор так, как ожидалось. Понимание производительности используется для определения приоритета расписания обслуживания мотора.

Устройства

Azure IoT поддерживает широкий спектр устройств, от микроконтроллеров, использующих Azure RTO, и Azure Sphere на такие платы разработчика, как микросхем MX и Raspberry Pi. Azure IoT также поддерживает шлюзы Smart Server, способные выполнять пользовательский код. Устройства могут выполнять некоторую локальную обработку через службу, например Azure IOT Edge, или просто подключиться напрямую к Azure, чтобы они могли отправлять данные в решение IOT и получать данные из него.

Когда устройства подключены к облаку, существует несколько служб, которые помогают принимать данные. Центр Интернета вещей Azure — это служба облачного шлюза, которая может безопасно подключаться к устройствам и управлять ими. Служба подготовки устройств для центра Интернета вещей (DPS) обеспечивает автоматическую JIT-подготовку, которая помогает зарегистрировать большое количество устройств в безопасном и масштабируемом режиме. Azure Digital двойников позволяет использовать виртуальные модели реальных систем.

Аналитика

После подключения устройств в облаке их данные можно обработать и исследовать, чтобы получить дополнительные сведения о своей среде. На высоком уровне существует три способа обработки — критического пути к данным, теплого пути и холодного пути. Разница между ними заключается в требованиях к задержке и доступу к данным.

  • Горячий путь анализирует данные практически в реальном времени по мере поступления. При применении этого способа данные телеметрии должны обрабатываться с очень низкой задержкой. "Горячий" путь обычно реализуется с помощью подсистемы потоковой обработки. Рассмотрите возможность использования таких служб, как Azure Stream Analytics или HDInsight. Выходные данные могут инициировать оповещение или записываться в структурированный формат, который можно запросить с помощью средств аналитики.
  • Горячий путь анализирует данные, которые могут поддерживать более длительные задержки для более подробной обработки. рассмотрите возможность использования azure обозреватель данных или временных рядов azure Аналитика для хранения и анализа больших объемов данных.
  • "Холодный" путь позволяет выполнить пакетную обработку в течение более длительных интервалов (ежечасно или ежедневно). Холодный путь обычно работает с большими объемами данных, которые могут храниться в Azure Data Lake, а результаты не должны быть своевременно заключаться в качестве горячий или теплого пути. рассмотрите возможность использования Машинное обучение Azure или Azure Databricks для анализа холодного данных.

Действия

Вы можете использовать аналитические сведения, собранные о данных, для управления средой и управления ею. Действия по интеграции бизнес-процессов могут включать хранение информационных сообщений, оповещений, отправку сообщений электронной почты или SMS, а также интеграцию с бизнес-приложениями, такими как CRM и ERP. Для управления и интеграции с бизнесом доступны следующие службы:

  • Power BI подключается к, моделирует и визуализирует данные. Power BI позволяет совместно работать с данными и использовать искусственный интеллект для принятия решений, основанных на данных.
  • Azure Maps позволяет создавать мобильные и веб-приложения с учетом расположения, используя геопространственные службы (поиск, карты, маршрутизацию, отслеживание и трафик), api и пакеты sdk.
  • Azure когнитивный Поиск предоставляет службу поиска по различным типам содержимого. Это включает индексирование, обогащение искусственного интеллекта и возможность запросов.
  • Служба управления API Azure предоставляет единое место для управления всеми API-интерфейсами.
  • Веб-приложения Azure позволяют развертывать веб-приложения, масштабируемые вместе с вашей организацией.
  • мобильные приложения позволяют создавать кросс-платформенные и собственные приложения для iOs, Android, Windows или Mac.
  • Dynamics 365 объединяет CRM (Управление отношениями с клиентами) и ERP (планирование ресурсов предприятия) в облаке.
  • Microsoft Flow является предложением SaaS для автоматизации рабочих процессов в приложениях и других служб SaaS.
  • Azure Logic Apps — это облачное предложение PaaS, используемое для создания и автоматизации рабочих процессов, которые интегрируют ваши приложения, данные, службы и системы.

Azure также предоставляет несколько служб, которые позволяют отслеживать все решение IoT и обеспечивать его безопасность. Службы диагностики включают Azure Monitor. службы безопасности, такие как Azure Active Directory и защитник Azure для IoT , помогают управлять параметрами безопасности, обнаруживать угрозы и отвечать на них, а также управлять ими.

Digital Twins

Клиенты изменяют Цифровые двойников в качестве механизма управления и отслеживания подключенных сред. Цифровой двойника — это виртуальная модель реальной среды, которая управляется данными из бизнес-систем и устройств IoT. Он используется для получения аналитических сведений и действий для бизнеса или организации. Разработчики и архитекторы ищут цифровую двойников в качестве решения, которое обеспечивает интеллектуальные и подключенные среды, например следующие:

  • Прогнозное обслуживание в производстве
  • Видимость цепочки поставок
  • Интеллектуальные полки для инвентаризации в режиме реального времени
  • Подключенные дома и Интеллектуальные здания

Развертывание в масштабе

Создайте решение для развертывания в глобальном масштабе. Чтобы обеспечить оптимальную масштабируемость, создайте приложение IoT как дискретные службы, которые можно масштабировать независимо. В этом разделе содержатся рекомендации по масштабируемости для различных служб Azure.

Функции. При чтении из конечной точки Центров событий существует максимальное количество экземпляров для каждого раздела Центра событий. Максимальная скорость обработки определяется тем, как быстро один экземпляр функции может обрабатывать события из одного раздела. Функция должна обрабатывать сообщения в пакетах.

Центр Интернета вещей. Для Центра Интернета вещей необходимо учитывать следующие факторы масштабирования:

  • максимальная дневная квота сообщений в Центре Интернета вещей;
  • квота на число подключенных устройств в экземпляре Центра Интернета вещей;
  • пропускная способность приема данных — насколько быстро Центр Интернета вещей может принимать сообщения;
  • пропускная способность обработки — скорость обработки входящих сообщений.

Каждый центр Интернета вещей подготавливается с определенным количеством единиц в определенной цене и на уровне масштабирования. Уровень и число единиц определяют максимальную дневную квоту сообщений, которые вы можете отправить в центр. Дополнительные сведения см. в статье квоты и регулирование для центра Интернета вещей. Вы можете увеличить масштаб, не прерывая имеющиеся операции.

Stream Analytics. Задания Stream Analytics лучше всего масштабируются, если они параллельны во всех точках конвейера Stream Analytics, от ввода данных до запроса и вывода данных. Полностью параллельные задания позволяют Stream Analytics разделить работу между несколькими вычислительными узлами. Дополнительные сведения см. в статье Использование параллелизации запросов в Azure Stream Analytics.

Центр Интернета вещей автоматически разбивает сообщения устройств на основе идентификатора устройства. Все сообщения с определенного устройства будут всегда доставляться в тот же раздел, однако в одном разделе всегда будут сообщения с нескольких устройств. Таким образом, единицей измерения параллелизации является идентификатор раздела.

Безопасность

В этом разделе содержатся рекомендации по созданию безопасных решений.

Модель безопасности с нулевым доверием

Отсутствие доверия — это модель безопасности, которая предполагает нарушение целостности и обрабатывает все попытки доступа так, как если бы она была получена из открытой сети. Отсутствие отношения доверия предполагает, что вы реализовали такие основы, как защита удостоверений и ограничение доступа. Сюда входит явная проверка пользователей, отображение их устройств и возможность выполнения решений динамического доступа с помощью обнаружения рисков в режиме реального времени. После того как основные принципы будут выполнены, вы можете перейти к следующим требованиям для решений IoT:

  • Используйте надежный идентификатор для проверки подлинности устройств.
  • Используйте минимальный привилегированный доступ для снижения уровня защиты RADIUS.
  • Мониторинг работоспособности устройства для доступа к шлюзу или пометка устройств для исправления.
  • Выполните обновления для поддержания работоспособности устройств.
  • Мониторинг для обнаружения новых угроз и реагирования на них.

Дополнительные сведения см. в кибербезопасности с нулевым доверием Интернет вещей в техническом документе.

Надежный и безопасный обмен данными

Все данные, поступающие с устройства и отправляющиеся на него, должны быть надежными. Если устройство не может поддерживать следующие возможности шифрования, оно должно быть ограничено локальными сетями и вся межсетевая связь должна проходить через полевой шлюз:

  • Шифрование данных и Цифровые подписи с помощью неплохие безопасного, общедоступного анализа и широкого внедрения алгоритма шифрования с симметричным ключом.
  • Поддержка TLS 1.2 для TCP или других путей обмена данными на основе потоковой передачи или DTLS 1.2 для путей обмена данными на основе датаграммы. Поддержка обработки сертификата X.509 является необязательной. Ее можно заменить более эффективным с точки зрения вычислений и сети режимом ключа с предварительным общим доступом для TLS, который можно реализовать с поддержкой алгоритмов AES и SHA-2.
  • Обновляемое хранилище ключей и ключи для каждого устройства. Каждое устройство должно иметь уникальный ключевой материал или токены, которые обозначают его систему. Устройствам следует безопасно хранить ключи (например, с помощью безопасного хранилища ключей). Устройство должно иметь возможность периодически обновлять ключи или маркеры или мгновенно в аварийных ситуациях, например при нарушении системы безопасности.
  • Встроенное ПО и программное обеспечение приложения на устройстве должны позволять применение обновлений для исправления обнаруженных уязвимостей безопасности.

Многие устройства слишком ограничены для поддержки этих требований. В этом случае следует использовать полевой шлюз. Безопасное подключение устройств к полевому шлюзу через локальную сеть и шлюз обеспечивает безопасный обмен данными с облаком.

Физическая проверка наличия незаконных изменений

Чтобы обеспечить целостность системы безопасности и надежность системы, архитектура устройства должна включать функции, защищающие от попыток физической манипуляции.

Пример:

  • Выберите микроконтроллеры/микропроцессоры или вспомогательное оборудование, которое обеспечивает безопасное хранение и использование материала криптографического ключа, например интеграцию доверенного платформенного модуля (TPM).
  • Безопасный загрузчик и безопасная загрузка программного обеспечения, привязанные в доверенном платформенном модуле.
  • Используйте датчики для обнаружения попыток вторжения и попыток управления средой устройства с помощью предупреждений и потенциального цифрового самоуничтожения устройства.

Дополнительные сведения о безопасности см. в статье Архитектура безопасности Интернета вещей.

Надежность и производительность

Ключевыми аспектами отказоустойчивых решений Интернета вещей являются непрерывность бизнес-процессов и аварийное восстановление. Разработка для обеспечения высокой доступности (HA) и аварийного восстановления (DR) может помочь в определении и достижении требуемых целевых показателей времени для решения.

Различные службы Azure предлагают различные варианты избыточности и отработки отказа, которые помогут достичь целей, которые лучше подходят для бизнес-целей. Включение любой из этих альтернатив обеспечения высокого уровня доступности и аварийного восстановления в решение для Интернета вещей требует тщательной оценки компромиссов между:

  • требуемым уровнем отказоустойчивости;
  • сложностью реализации и обслуживания;
  • Влияние стоимости проданных товаров (COGS)

В статье техническое руководство по обеспечению непрерывности бизнес-процессов Azure   описывается общая инфраструктура, которая поможет вам подумать о непрерывности бизнес-процессов и аварийном восстановлении. В статье Аварийное восстановление и высокий уровень доступности для приложений Azure   приводятся рекомендации по проектированию архитектуры для приложений Azure с целью достижения высокого уровня доступности и аварийного восстановления (Dr).

В документации по каждой службе Azure IoT можно также найти сведения о производительности, относящиеся к конкретной службе.

Рекомендации по затратам

Как правило, для оценки затрат используйте Калькулятор цен Azure . другие рекомендации описаны в разделе "затраты" в Microsoft Azure Well-Architected Framework.

Дальнейшие действия

Дополнительные сведения об отдельных частях архитектуры решения см. в следующих разделах: