Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Usługa IoT Hub Device Provisioning Service (DPS) to usługa pomocnicza IoT Hub, która umożliwia aprowizowanie bezdotykowe i just-in-time w odpowiednim centrum IoT bez konieczności interwencji człowieka. W rozwiązaniu opartym na chmurze usługa DPS umożliwia aprowizację milionów urządzeń w bezpieczny i skalowalny sposób. Wiele z ręcznych kroków tradycyjnie związanych z udostępnianiem jest zautomatyzowanych za pomocą DPS, aby skrócić czas wdrażania urządzeń IoT i zmniejszyć ryzyko błędów ręcznych.
Jak działa usługa Device Provisioning Service
Na poniższym diagramie opisano, co dzieje się w tle, aby aprowizować urządzenie za pomocą usługi DPS.
Przed rozpoczęciem procesu konfiguracji urządzeń należy wykonać dwa kroki ręczne:
- Po stronie urządzenia producent przygotowuje urządzenie do aprowizacji, wstępnie konfigurując je z poświadczeniami uwierzytelniania oraz przypisanym identyfikatorem usługi aprowizacji urządzeń i punktem końcowym.
- Po stronie chmury ty lub producent urządzenia przygotowujecie instancję usługi Device Provisioning Service z zapisami rejestracyjnymi, które identyfikują prawidłowe urządzenia i definiują sposób ich aprowizacji.
Po skonfigurowaniu urządzenia i chmury na potrzeby aprowizacji następujące kroki rozpoczynają się automatycznie, gdy urządzenie zostanie włączone po raz pierwszy:
- Urządzenie włącza się po raz pierwszy, a następnie łączy się z punktem końcowym usługi DPS i przedstawia poświadczenia uwierzytelniania.
- Wystąpienie usługi DPS sprawdza tożsamość urządzenia na liście rejestracji. Po zweryfikowaniu tożsamości urządzenia usługa DPS przypisuje urządzenie do centrum IoT i rejestruje je w centrum.
- Wystąpienie DPS odbiera identyfikator urządzenia i informacje o rejestracji z przypisanego huba i przekazuje te informacje z powrotem do urządzenia.
- Urządzenie używa swoich informacji rejestracyjnych do nawiązywania bezpośredniego połączenia z przypisanym centrum IoT i uwierzytelniania.
- Urządzenie i centrum IoT zaczynają komunikować się bezpośrednio. Wystąpienie usługi DPS nie pełni żadnej dalszej roli jako pośrednik, chyba że urządzenie musi zostać ponownie aprowizowane.
Kiedy należy używać usługi Device Provisioning Service
Istnieje wiele scenariuszy aprowizacji, w których usługa DPS jest doskonałym wyborem w przypadku nawiązywania połączenia urządzeń z usługą IoT Hub, takich jak:
- Automatyczna konfiguracja dla jednego rozwiązania IoT bez twardego kodowania informacji o połączeniu z IoT Hub w fabryce (początkowa konfiguracja)
- Równoważenie obciążenia urządzeń w wielu hubach
- Łączenie urządzeń z rozwiązaniem IoT właściciela na podstawie danych transakcji sprzedaży (wielodostępności)
- Łączenie urządzeń z konkretnym rozwiązaniem IoT w zależności od przypadku użycia (izolacja rozwiązania)
- Łączenie urządzenia z centrum IoT z najniższym opóźnieniem (fragmentowanie geograficzne)
- Ponowna konfiguracja na podstawie zmiany urządzenia
- Przewijanie kluczy używanych przez urządzenie do połączenia z IoT Hub (gdy nie są używane certyfikaty X.509 do połączenia)
Usługa DPS nie obsługuje aprowizacji zagnieżdżonych urządzeń na platformie IoT Edge (struktury hierarchii rodzic/dziecko).
Proces wdrażania
Przed aprowizowaniem urządzenia za pomocą usługi DPS należy wykonać dwa kroki:
- Etap produkcji, w którym urządzenie jest tworzone i przygotowywane w fabryce, oraz
- Krok konfiguracji chmury, w którym usługa Device Provisioning Service jest skonfigurowana do automatycznej aprowizacji.
Oba te kroki można włączyć do istniejących procesów produkcji i wdrażania. Usługa DPS upraszcza nawet niektóre procesy wdrażania, które wymagają ręcznej pracy w celu uzyskania informacji o połączeniu na urządzeniu.
Krok produkcji
Ten krok dotyczy tego, co dzieje się na linii produkcyjnej. Role związane z tym krokiem obejmują projektanta krzemu, producenta krzemu, integratora i/lub producenta końcowego urządzenia. Ten krok dotyczy tworzenia samego sprzętu.
Usługa DPS nie wprowadza nowego kroku w procesie produkcyjnym; zamiast tego wiąże się z istniejącym krokiem, który instaluje początkowe oprogramowanie i (najlepiej) sprzętowy moduł zabezpieczeń (HSM) na urządzeniu. Zamiast tworzyć identyfikator urządzenia w tym kroku, urządzenie jest zaprogramowane przy użyciu informacji o usłudze aprowizacji, umożliwiając wywołanie usługi aprowizacji w celu uzyskania informacji o połączeniu/przypisania rozwiązania IoT po włączeniu.
Ponadto w tym kroku producent dostarcza dostawcy/operatorowi urządzenia kluczowe informacje identyfikacyjne. Dostarczenie tych informacji może być tak proste, jak potwierdzenie, że wszystkie urządzenia mają certyfikat X.509 wygenerowany na podstawie certyfikatu podpisywania dostarczonego przez dostawcę/operatora urządzenia lub tak skomplikowane, jak wyodrębnianie publicznej części klucza poręczenia modułu TPM z każdego urządzenia TPM. Wielu producentów krzemowych oferuje te usługi.
Krok konfiguracji chmury
Ten krok dotyczy konfigurowania chmury pod kątem prawidłowej automatycznej aprowizacji. Ogólnie rzecz biorąc, istnieją dwa typy użytkowników biorących udział w kroku konfiguracji chmury: ktoś, kto wie, jak urządzenia muszą być początkowo skonfigurowane (operator urządzenia), i ktoś inny, kto wie, jak urządzenia mają być podzielone między centra IoT (operator rozwiązania).
Istnieje jednorazowa konfiguracja usługi aprowizacji, którą zwykle obsługuje operator rozwiązania. Po skonfigurowaniu usługi aprowizacji nie trzeba jej modyfikować, chyba że przypadek użycia ulegnie zmianie.
Po skonfigurowaniu usługi na potrzeby automatycznej aprowizacji należy ją przygotować do rejestrowania urządzeń. Ten krok jest wykonywany przez operatora urządzenia, który zna żądaną konfigurację urządzeń i upewnia się, że usługa aprowizacji może prawidłowo potwierdzić tożsamość urządzenia. Operator urządzenia pobiera informacje o kluczu identyfikacyjnym od producenta i dodaje je do listy rejestracji. Mogą istnieć kolejne aktualizacje listy rejestracji, ponieważ dodawane są nowe wpisy lub istniejące wpisy są aktualizowane przy użyciu najnowszych informacji o urządzeniach.
Rejestracja i konfiguracja
Provisioning oznacza różne rzeczy w zależności od branży, w jakiej jest używany ten termin. W kontekście aprowizacji urządzeń IoT w rozwiązaniu w chmurze aprowizowanie jest procesem dwuczęściowym:
- Pierwsza część polega na ustanowieniu początkowego połączenia między urządzeniem a rozwiązaniem IoT przez zarejestrowanie urządzenia.
- Druga część polega na zastosowaniu właściwej konfiguracji do urządzenia zgodnie z konkretnymi wymaganiami rozwiązania, do którego jest przypisane.
Po zakończeniu obu kroków można uznać urządzenie za w pełni skonfigurowane.
Funkcje usługi Device Provisioning Service
Usługa DPS ma wiele funkcji, dzięki czemu idealnie nadaje się do aprowizowania urządzeń.
- Bezpieczna obsługa zaświadczania zarówno dla tożsamości X.509, jak i tożsamości opartych na module TPM.
- Lista rejestracji zawierająca pełny rekord urządzeń/grup urządzeń, które mogą być rejestrowane w pewnym momencie. Lista rejestracji zawiera informacje o żądanej konfiguracji urządzenia po jego zarejestrowaniu i można go zaktualizować w dowolnym momencie.
- Wiele zasad alokacji do kontrolowania, jak usługa DPS przypisuje urządzenia do centrów IoT, wspierając Twoje scenariusze: minimalne opóźnienie, równomiernie ważona dystrybucja (domyślna) i konfiguracja statyczna. Alokacja niestandardowa umożliwia implementowanie własnych zasad alokacji za pośrednictwem elementów webhook hostowanych w usłudze Azure Functions zamiast używania jednej z wartości domyślnych.
- Rejestrowanie monitorowania i diagnostyki w celu upewnienia się, że wszystko działa prawidłowo.
- Obsługa wielu hubów umożliwia DPS przypisywanie urządzeń do więcej niż jednego hubu IoT. Usługa DPS może komunikować się z koncentratorami w wielu subskrypcjach usługi Azure.
- Obsługa między regionami umożliwia usłudze DPS przypisywanie urządzeń do centrów IoT w innych regionach.
- Szyfrowanie danych spoczywających umożliwia szyfrowanie i odszyfrowywanie danych w usłudze DPS w sposób przezroczysty przy użyciu 256-bitowego szyfrowania AES, jednego z najsilniejszych dostępnych szyfrów blokowych, co jest zgodne ze standardem FIPS 140-2.
Aby dowiedzieć się więcej na temat pojęć i funkcji związanych z udostępnianiem urządzeń, zapoznaj się z artykułem terminologii DPS oraz innymi artykułami koncepcyjnymi w tej samej sekcji.
Obsługa wielu platform
Podobnie jak wszystkie usługi Azure IoT, usługa DPS działa międzyplatformowo z różnymi systemami operacyjnymi. Platforma Azure oferuje zestawy SDK typu open source w różnych językach, aby ułatwić łączenie urządzeń i zarządzanie usługą.
Usługa DPS obsługuje następujące protokoły do łączenia urządzeń:
- HTTPS*
- AMQP (Protokół przesyłania danych asynchronicznych)
- Protokół AMQP za pośrednictwem gniazd internetowych
- protokół komunikacyjny MQTT
- MQTT przez gniazda internetowe
*Usługa DPS obsługuje tylko połączenia HTTPS dla operacji tej usługi.
Regionów
Usługa DPS jest dostępna w wielu regionach. Aby uzyskać listę obsługiwanych regionów dla wszystkich usług, zobacz Regiony świadczenia usługi Azure. Dostępność usługi Device Provisioning Service można sprawdzić na stronie stanu platformy Azure .
W celu zapewnienia odporności i niezawodności zalecamy wdrożenie w jednym z regionów obsługujących strefy dostępności.
Zagadnienia dotyczące rezydencji danych
Usługa Device Provisioning Przechowuje dane klientów. Domyślnie dane klientów są replikowane do regionu pomocniczego w celu obsługi scenariuszy odzyskiwania po awarii. W przypadku wdrożeń w Azji Południowo-Wschodniej i Brazylii Południowej klienci mogą zachować swoje dane tylko w tym regionie, wyłączając odzyskiwanie po awarii. Aby uzyskać więcej informacji, zobacz Replikacja między regionami na platformie Azure.
Usługa DPS korzysta z tego samego punktu końcowego do aprowizacji urządzeń dla wszystkich instancji usługi, wykonując równoważenie obciążenia ruchu do najbliższego dostępnego punktu końcowego serwisowego. W związku z tym tajne klucze uwierzytelniania mogą być tymczasowo przenoszone poza obszar, w którym początkowo utworzono wystąpienie usługi DPS. Jednak po nawiązaniu połączenia dane urządzenia przepływają bezpośrednio do oryginalnego regionu wystąpienia usługi DPS. Aby upewnić się, że dane nie opuszczają oryginalnego lub pomocniczego regionu, użyj prywatnego punktu końcowego. Aby dowiedzieć się, jak skonfigurować prywatne punkty końcowe, zobacz Obsługa usługi DPS dla sieci wirtualnych.
Limity przydziału i ograniczenia
Każda subskrypcja platformy Azure ma domyślne limity przydziału, które mogą mieć wpływ na zakres rozwiązania IoT. Bieżący limit to 10 wystąpień usługi Device Provisioning Service na subskrypcję.
Aby uzyskać więcej informacji na temat limitów przydziału, zobacz Limity usługi subskrypcji platformy Azure.
W poniższej tabeli wymieniono limity dotyczące zasobów usługi Azure IoT Hub Device Provisioning Service.
| Zasób | Ograniczenie |
|---|---|
| Maksymalna liczba usług aprowizacji urządzeń na subskrypcję platformy Azure | 10 |
| Maksymalna liczba rejestracji | 1 000 000 |
| Maksymalna liczba rejestracji indywidualnych | 1 000 000 |
| Maksymalna liczba grup rejestracji (certyfikat X.509) | 100 |
| Maksymalna liczba grup rejestracji (klucz symetryczny) | 100 |
| Maksymalna liczba CA | 25 |
| Maksymalna liczba połączonych centrów IoT | 50 |
| Maksymalny rozmiar wiadomości | 96 KB |
Wskazówka
Jeśli twardy limit na grupy rejestracji kluczy symetrycznych jest problemem blokującym, użyj indywidualnych rejestracji jako obejścia.
Usługa Device Provisioning Service ma następujące limity szybkości.
| Stawka | Wartość na jednostkę |
|---|---|
| Operacji | 1000/min/usługa |
| Rejestracje urządzeń | 1000/min/usługa |
| Operacja sondowania urządzenia | 5/10 s / urządzenie |
Rozliczane operacje i ceny usług
Każde wywołanie interfejsu API do DPS, bez względu na to, czy dotyczy interfejsów API usługi, czy interfejsu API rejestracji urządzeń, jest rozliczane jako jedna operacja.
W poniższych tabelach przedstawiono bieżący status rozliczeniowy dla każdej operacji API DPS. Aby dowiedzieć się więcej na temat cen usługi DPS, wybierz Tabela cen na górze strony cennik Azure IoT Hub. Następnie wybierz kartę IoT Hub Device Provisioning Service oraz walutę i region usługi.
| API (Interfejs Programowania Aplikacji) | Operacja | Czy można obciążyć? |
|---|---|---|
| Interfejs API urządzenia usługi DPS — rejestracja czasu wykonywania | Wyszukiwanie stanu rejestracji urządzenia | Nie. |
| Wyszukiwanie stanu operacji | Nie. | |
| Zarejestruj urządzenie | Tak | |
| Usługa API DPS — stan rejestracji urządzenia | Wszystko | Tak |
| Interfejs API usługi DPS — grupa rejestracji | Wszystko | Tak |
| Interfejs API usługi DPS — rejestracja indywidualna | Wszystko | Tak |
| Interfejs API certyfikatu DPS | Wszystko | Nie. |
| Interfejs API zasobów usługi IoT DPS | Wszystko | Nie. |
Powiązane składniki platformy Azure
Usługa DPS automatyzuje aprowizowanie urządzeń za pomocą usługi Azure IoT Hub. Dowiedz się więcej o usłudze IoT Hub.
Aplikacje IoT Central używają wewnętrznej instancji DPS do zarządzania połączeniami urządzeń. Aby dowiedzieć się więcej, zobacz How devices connect to IoT Central (Jak urządzenia łączą się z usługą IoT Central).
Dalsze kroki
Konfigurowanie usługi aprowizacji urządzeń IoT Hub za pomocą portalu Azure