Роли и операции

  • Статья

Этапы разработки решения для Интернета вещей могут длиться много недель или даже месяцев из-за таких факторов, как время производства, доставка, таможенные процедуры и т. п. Кроме того, необходимые действия могут затронуть многие организации и потребовать участия специалистов с разными ролями. В этом разделе более подробно рассматриваются роли и операции, связанные с каждым этапом, а общий поток операций демонстрируется в виде блок-схемы.

Подготовка также накладывает на изготовителей устройств требования, необходимые для поддержки механизма аттестации. Производственные операции также могут происходить независимо от этапов автоматической подготовки, особенно в случаях, когда необходимо приобрести новые устройства после развертывания автоматической подготовки.

В оглавлении слева указан ряд кратких руководств, которые помогут понять действие автоматической подготовки на практике. Чтобы облегчить и упростить процесс обучения, используется программное обеспечение для имитации физического устройства, предназначенного для регистрации. В некоторых кратких руководствах требуется выполнять операции для нескольких ролей, включая операции для несуществующих ролей. Это связано с тем, что в этих руководствах используется имитация.

Роль Операция Description
Производитель Кодирование идентификатора и URL-адреса регистрации В зависимости от используемого механизма аттестации изготовитель отвечает за кодирование сведений об удостоверении устройства и URL-адреса службы подготовки устройств.

Краткое руководство. Так как устройство имитируется, роль изготовителя отсутствует. Ознакомьтесь с ролью разработчика, чтобы узнать, как получить эти сведения, которые используются в программировании примера приложения регистрации.
Предоставление удостоверения устройства Являясь источником сведений об удостоверении устройства, изготовитель отвечает за их передачу оператору (или назначенному агенту) или их непосредственную регистрацию в службе подготовки устройств посредством интерфейсов API.

Краткое руководство. Так как устройство имитируется, роль изготовителя отсутствует. Ознакомьтесь с ролью оператора, чтобы узнать, как получить удостоверение устройства, которое используется для регистрации имитированного устройства в вашем экземпляре службы подготовки устройств.
Оператор Настройка автоматической подготовки Эта операция соответствует первому этапу автоматической подготовки.

Краткое руководство. Вы выполняете роль оператора, настраивая экземпляры службы подготовки устройств и Центра Интернета вещей в своей подписке Azure.
Регистрация удостоверения устройства Эта операция соответствует второму этапу автоматической подготовки.

Краткое руководство. Вы выполняете роль оператора, регистрируя имитированное устройство в своем экземпляре службы подготовки устройств. Удостоверение устройства определяется с помощью метода аттестации, имитируемого в кратком руководстве (доверенный платформенный модуль или X.509). Чтобы узнать больше об аттестации, ознакомьтесь с ролью разработчика.
Служба подготовки устройств,
Центр IoT		 <Все операции> И для производственной реализации на физических устройствах, и для кратких руководств с использованием имитированных устройств эти роли выполняются посредством служб Интернета вещей, настраиваемых в вашей подписке Azure. Роли и операции выполняются одинаково, так как для подготовки физических и имитированных устройств используются одни и те же службы Интернета вещей.
Разработчик Создание и развертывание программного обеспечения регистрации Эта операция соответствует третьему этапу автоматической подготовки. Разработчик отвечает за создание и развертывание программного обеспечения регистрации на устройстве с помощью соответствующего пакета SDK.

Краткое руководство. Создаваемый пример приложения регистрации имитирует реальное устройство для выбранной платформы или языка, которое выполняется на вашей рабочей станции (а не развертывается на физическом устройстве). Приложение регистрации выполняет те же операции, что и приложение, развернутое на физическом устройстве. Вы задаете метод аттестации (доверенный платформенный модуль или сертификат X.509), а также URL-адрес регистрации и область идентификаторов для своего экземпляра службы подготовки устройств. Удостоверение устройства определяется логикой аттестации пакета SDK во время выполнения на основе указанного метода:
  • Аттестация доверенного платформенного модуля: на рабочей станции разработки выполняется симулятор доверенного платформенного модуля. После его запуска используется отдельное приложение для извлечения ключа подтверждения и идентификатора регистрации доверенного платформенного модуля для регистрации удостоверения устройства. Логика аттестации пакета SDK также использует симулятор во время регистрации для предоставления маркера подписанного URL-адреса, используемого для аутентификации и проверки регистрации.
  • Аттестация X509: для создания сертификата используется инструмент. После этого вы создаете файл сертификата, необходимый для регистрации. Логика аттестации пакета SDK также использует этот сертификат во время регистрации для аутентификации и проверки регистрации.
Устройство Загрузка и регистрация Эта операция соответствует третьему этапу автоматической подготовки. Ее выполняет программное обеспечение регистрации устройств, созданное разработчиком. Чтобы узнать больше, ознакомьтесь с ролью разработчика. При первой загрузке:
  1. Приложение подключается к экземпляру службы подготовки устройств в соответствии с глобальным URL-адресом и областью идентификаторов службы, указанных во время разработки.
  2. После подключения устройство проходит аутентификацию с помощью метода аттестации и удостоверения, указанного во время регистрации.
  3. После аутентификации устройство регистрируется в экземпляре Центра Интернета вещей, указанном экземпляром службы подготовки устройств.
  4. После успешной регистрации в приложение регистрации передается уникальный идентификатор устройства и конечная точка Центра Интернета вещей для взаимодействия с Центром Интернета вещей.
  5. После этого устройство может извлечь свое начальное состояние двойника устройства для настройки и начать передачу данных телеметрии.
Краткое руководство. Так как устройство имитируется, программное обеспечение регистрации выполняется на вашей рабочей станции разработки.

На следующей схеме перечислены роли и последовательность операций во время автоматической подготовки устройства:

Auto-provisioning sequence for a device

Примечание.

При необходимости изготовитель может также выполнить операцию "регистрации удостоверения устройства" с помощью интерфейсов API службы подготовки устройств (а не с помощью оператора). Подробное описание этой процедуры и многое другое можно найти в видео Zero touch device registration with Azure IoT (Автоматическая регистрация устройств в Azure IoT) (начиная с 41-й минуты).

Роли и учетные записи Azure

Сопоставление всех ролей с учетной записью Azure зависит от сценария (при этом может быть задействовано много сценариев). Изучите распространенные шаблоны, приведенные ниже, чтобы получить общее представление о том, как роли обычно сопоставляются с учетной записью Azure.

Производитель микросхемы предоставляет службы безопасности

В этом сценарии производитель управляет безопасностью для клиентов первого уровня. Клиенты первого уровня предпочитают этот сценарий, так как при его использовании не нужно прилагать усилия к управлению безопасностью.

Производитель представляет службу безопасности в аппаратных модулях безопасности (HSM). Обеспечение безопасности может предусматривать получение производителем ключей, сертификатов и т. д. от потенциальных клиентов, которые уже настроили экземпляры Службы подготовки устройств и группы регистрации. Производитель может также предоставлять эти сведения о безопасности клиентам.

В этом случае могут использоваться две учетные записи Azure:

  • Учетная запись № 1 — скорее всего, в определенной степени общая для ролей оператора и разработчика. Эта сторона может приобрести микросхемы HSM у производителя. Эти микросхемы настроены для экземпляров DPS, связанных с учетной записью № 1. Путем регистрации в DPS эта сторона может сдавать в аренду устройства нескольким клиентам второго уровня, повторно настроив параметры регистрации устройства в DPS. Эта сторона может также выделять центры Интернета вещей для взаимодействия с внутренними системами пользователей, например для доступа к телеметрии устройств. В этом случае вторая учетная запись не потребуется.

  • Учетная запись № 2 — у пользователей и клиентов второго уровня могут быть собственные центры Интернета вещей. Сторона, связанная с учетной записью № 1, только направляет арендованные устройства в правильный Центр этой учетной записи. Для этой конфигурации требуется установить все возможные связи между DPS и Центрами Интернета вещей во всех учетных записях Azure с помощью шаблонов Azure Resource Manager.

Универсальный поставщик вычислительной техники

Производитель может быть "универсальным поставщиком вычислительной техники". В этом случае требуется только одна учетная запись производителя. Производитель обрабатывает безопасность и подготовку от начала и до конца.

Производитель может предоставить облачное приложение покупателям устройства. Это приложение будет взаимодействовать с Центром Интернета вещей, выделенным производителем.

Системы торговых автоматов и автоматизированных кофеварок являются примером этого сценария.

Следующие шаги

Может быть удобно добавить эту статью в закладки, чтобы использовать при работе с соответствующими краткими руководствами по автоматической подготовке.

Начните с краткого руководства "Настройка автоматической подготовки", которое лучше всего подходит для вашего инструмента управления. В этом руководстве описывается этап "Настройка службы":

Затем перейдите к краткому руководству по подготовке устройства, которое соответствует механизму аттестации устройств, пакетам SDK и языкам для службы подготовки устройств, которые вы предпочитаете. В этом кратком руководстве описываются этапы "Регистрация устройства" и "Регистрация и настройка устройства":

Механизм аттестации устройств Краткое руководство
Симметричный ключ Подготовка имитированного устройства симметричного ключа
Сертификат X.509 Подготовка имитированного устройства X.509
Симулятор доверенного платформенного модуля Подготовка имитированного устройства доверенного платформенного модуля