Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Dotyczy:
IoT Edge 1.5
Ważne
Obsługiwana wersja usługi IoT Edge 1.5 LTS. Usługa IoT Edge 1.4 LTS kończy się od 12 listopada 2024 r. Jeśli korzystasz z wcześniejszej wersji, zobacz aktualizację Azure IoT Edge.
Ten artykuł zawiera omówienie dostępnych opcji instalowania i aprowizacji usługi IoT Edge na urządzeniach.
Ten artykuł zawiera omówienie wszystkich opcji rozwiązania usługi IoT Edge i ułatwia:
Po zakończeniu tego artykułu masz jasny obraz platformy, aprowizacji i opcji uwierzytelniania, których chcesz użyć dla rozwiązania usługi IoT Edge.
Rozpocznij
Jeśli wiesz, jakiego typu platformy, aprowizacji i opcji uwierzytelniania chcesz użyć do utworzenia urządzenia usługi IoT Edge, skorzystaj z linków w poniższej tabeli, aby rozpocząć pracę.
Jeśli chcesz uzyskać więcej informacji na temat wybierania odpowiedniej opcji, przejdź do tego artykułu, aby dowiedzieć się więcej.
| Kontenery systemu Linux na hostach z systemem Linux | Kontenery systemu Linux na hostach systemu Windows | |
|---|---|---|
| Ręczna aprowizacja (pojedyncze urządzenie) |
Certyfikaty X.509 Klucze symetryczne |
Certyfikaty X.509 Klucze symetryczne |
| Automatyczne aprowizowanie (urządzenia na dużą skalę) |
Certyfikaty X.509 Moduł TPM Klucze symetryczne |
Certyfikaty X.509 Moduł TPM Klucze symetryczne |
Terminy i pojęcia
Jeśli nie znasz jeszcze terminologii usługi IoT Edge, zapoznaj się z niektórymi kluczowymi pojęciami:
Środowisko uruchomieniowe usługi IoT Edge: środowisko uruchomieniowe usługi IoT Edge to kolekcja programów, które przekształcają urządzenie w urządzenie usługi IoT Edge. Zbiorczo składniki środowiska uruchomieniowego usługi IoT Edge umożliwiają urządzeniom usługi IoT Edge uruchamianie modułów usługi IoT Edge.
Aprowizowanie: każde urządzenie usługi IoT Edge musi być aprowizowane. Aprowizowanie jest procesem dwuetapowym. Pierwszym krokiem jest zarejestrowanie urządzenia w centrum IoT Hub, co powoduje utworzenie tożsamości w chmurze używanej przez urządzenie do nawiązania połączenia z centrum. Drugi krok polega na skonfigurowaniu urządzenia przy użyciu tożsamości w chmurze. Aprowizowanie można wykonać ręcznie dla poszczególnych urządzeń lub można to zrobić na dużą skalę przy użyciu usługi IoT Hub Device Provisioning.
Uwierzytelnianie: Urządzenia usługi IoT Edge muszą zweryfikować swoją tożsamość podczas nawiązywania połączenia z usługą IoT Hub. Możesz wybrać metodę uwierzytelniania, na przykład symetryczne hasła klucza, odciski palca certyfikatu lub moduły zaufanej platformy (TPM).
Wybierz platformę
Opcje platformy są określane przez system operacyjny kontenera i system operacyjny hosta. System operacyjny kontenera jest systemem operacyjnym używanym w środowisku uruchomieniowym usługi IoT Edge i kontenerach modułów. System operacyjny hosta to system operacyjny urządzenia, na którym działają kontenery i moduły środowiska uruchomieniowego usługi IoT Edge.
Istnieją trzy opcje platformy dla urządzeń usługi IoT Edge.
Kontenery systemu Linux na hostach systemu Linux: uruchamianie kontenerów usługi IoT Edge opartych na systemie Linux bezpośrednio na hoście systemu Linux. W dokumentacji usługi IoT Edge jest również widoczna ta opcja nazywana Linux i kontenerami Linux dla uproszczenia.
Kontenery systemu Linux na hostach systemu Windows: uruchamianie kontenerów usługi IoT Edge opartych na systemie Linux na maszynie wirtualnej z systemem Linux na hoście systemu Windows. W dokumentacji IoT Edge można znaleźć także opcję, która jest określana jako Linux w Windows, IoT Edge dla systemu Linux w Windows oraz EFLOW.
Kontenery systemu Windows na hostach systemu Windows: uruchamianie kontenerów usługi IoT Edge opartych na systemie Windows bezpośrednio na hoście systemu Windows. W dokumentacji IoT Edge, można również zobaczyć tę opcję określaną jako system Windows oraz kontenery Windows dla uproszczenia.
Aby uzyskać najnowsze informacje o tym, które systemy operacyjne są obecnie obsługiwane w scenariuszach produkcyjnych, zobacz sekcję Systemy operacyjneplatform obsługiwanych przez usługę Azure IoT Edge.
Kontenery systemu Linux w systemie Linux
W przypadku urządzeń z systemem Linux środowisko uruchomieniowe usługi IoT Edge jest instalowane bezpośrednio na urządzeniu hosta.
Usługa IoT Edge obsługuje urządzenia Z systemem Linux X64, ARM32 i ARM64. Firma Microsoft udostępnia oficjalne pakiety instalacyjne dla różnych systemów operacyjnych.
Kontenery systemu Linux w systemie Windows
Usługa IoT Edge dla systemu Linux w systemie Windows hostuje maszynę wirtualną z systemem Linux na urządzeniu z systemem Windows. Maszyna wirtualna jest wstępnie utworzona przy użyciu środowiska uruchomieniowego usługi IoT Edge i aktualizacje są zarządzane za pośrednictwem usługi Microsoft Update.
Usługa IoT Edge dla systemu Linux w systemie Windows jest zalecanym sposobem uruchamiania usługi IoT Edge na urządzeniach z systemem Windows. Aby dowiedzieć się więcej, zobacz Co to jest usługa Azure IoT Edge dla systemu Linux w systemie Windows.
Kontenery systemu Windows w systemie Windows
Usługa IoT Edge w wersji 1.2 lub nowszej nie obsługuje kontenerów systemu Windows. Kontenery systemu Windows nie są obsługiwane poza wersją 1.1.
Wybieranie sposobu aprowizacji urządzeń
W zależności od potrzeb rozwiązania usługi IoT Edge można aprowizować jedno urządzenie lub wiele urządzeń na dużą skalę.
Dostępne opcje uwierzytelniania komunikacji między urządzeniami usługi IoT Edge a centrum IoT zależą od wybranej metody aprowizacji. Więcej informacji na temat tych opcji można uzyskać w sekcji Wybieranie metody uwierzytelniania .
Jedno urządzenie
Aprowizowanie pojedynczego urządzenia dotyczy aprowizowania urządzenia usługi IoT Edge bez pomocy usługi IoT Hub Device Provisioning Service (DPS). Widzisz aprowizowanie pojedynczego urządzenia, nazywane również aprowizowaniem ręcznym.
Korzystając z konfigurowania pojedynczego urządzenia, musisz samodzielnie wprowadzić informacje konfiguracyjne, takie jak łańcuch połączenia, na swoich urządzeniach. Ręczna konfiguracja jest szybka i łatwa do skonfigurowania w przypadku tylko kilku urządzeń, ale obciążenie pracy wzrasta wraz ze wzrostem liczby urządzeń. Aprowizowanie pomaga w rozważaniu skalowalności rozwiązania.
Metody uwierzytelniania z podpisem własnym i klucz symetryczny X.509 są dostępne do ręcznej aprowizacji. Więcej informacji na temat tych opcji można uzyskać w sekcji Wybieranie metody uwierzytelniania .
Urządzenia na dużą skalę
Aprowizowanie urządzeń na dużą skalę odnosi się do aprowizowania co najmniej jednego urządzenia usługi IoT Edge z pomocą usługi IoT Hub Device Provisioning. Zobaczysz aprowizowanie na dużą skalę nazywane również automatycznym aprowizowaniem.
Jeśli rozwiązanie usługi IoT Edge wymaga więcej niż jednego urządzenia, automatyczne aprowizowanie przy użyciu usługi DPS pozwala zaoszczędzić nakład pracy ręcznego wprowadzania informacji o aprowizacji w plikach konfiguracji każdego urządzenia. Ten zautomatyzowany model można skalować do milionów urządzeń usługi IoT Edge.
Rozwiązanie usługi IoT Edge można zabezpieczyć przy użyciu wybranej metody uwierzytelniania. Metody uwierzytelniania, takie jak Symmetric Key, certyfikaty X.509 i poświadczenie modułu zaufanej platformy (TPM), są dostępne do aprowizacji urządzeń na dużą skalę. Więcej informacji na temat tych opcji można uzyskać w sekcji Wybieranie metody uwierzytelniania .
Aby dowiedzieć się więcej o funkcjach usługi DPS, zobacz sekcję Funkcje usługi Device Provisioning Service w temacie Co to jest usługa Azure IoT Hub Device Provisioning Service?.
Wybieranie metody uwierzytelniania
Zaświadczanie certyfikatu X.509
Używanie certyfikatów X.509 jako mechanizmu zaświadczania jest zalecanym sposobem skalowania produkcji i upraszczania aprowizacji urządzeń. Zazwyczaj certyfikaty X.509 są rozmieszczane w łańcuchu zaufania certyfikatów. Począwszy od certyfikatu z podpisem własnym lub zaufanego certyfikatu głównego, każdy certyfikat w łańcuchu podpisuje następny niższy certyfikat. Ten wzorzec tworzy delegowany łańcuch zaufania z certyfikatu głównego w dół za pośrednictwem każdego certyfikatu pośredniego do końcowego certyfikatu urządzenia podrzędnego zainstalowanego na urządzeniu.
Tworzysz dwa certyfikaty tożsamości X.509 i umieszczasz je na urządzeniu. Podczas tworzenia nowej tożsamości urządzenia w usłudze IoT Hub podajesz odciski palca z obu certyfikatów. Gdy urządzenie uwierzytelnia się w usłudze IoT Hub, przedstawia jeden certyfikat, a usługa IoT Hub sprawdza, czy certyfikat jest zgodny z jego odciskiem palca. Klucze X.509 na urządzeniu powinny być przechowywane w sprzętowym module zabezpieczeń (HSM). Na przykład moduły PKCS#11, ATECC, dTPM itp.
Ta metoda uwierzytelniania jest bezpieczniejsza niż klucze symetryczne i obsługuje rejestracje grup, które zapewniają uproszczone środowisko zarządzania dla dużej liczby urządzeń. Ta metoda uwierzytelniania jest zalecana w scenariuszach produkcyjnych.
Zaświadczenie modułu TPM (Trusted Platform Module)
Zaświadczanie modułu TPM to metoda aprowizacji urządzeń, która korzysta z funkcji uwierzytelniania zarówno w oprogramowaniu, jak i sprzęcie. Każdy mikroukład modułu TPM używa unikatowego klucza poręczenia, aby zweryfikować jego autentyczność.
Zaświadczanie TPM jest dostępne tylko do aprowizacji na dużą skalę za pomocą usługi DPS i obsługuje jedynie rejestracje indywidualne, nie grupowe. Rejestracje grup nie są dostępne ze względu na specyficzny dla urządzenia charakter modułu TPM.
Moduł TPM 2.0 jest wymagany w przypadku korzystania z zaświadczania modułu TPM z usługą aprowizacji urządzeń.
Ta metoda uwierzytelniania jest bezpieczniejsza niż klucze symetryczne i jest zalecana w scenariuszach produkcyjnych.
Zaświadczenie kluczy symetrycznych
Zaświadczanie klucza symetrycznego to proste podejście do uwierzytelniania urządzenia. Ta metoda zaświadczania reprezentuje środowisko "Hello world" dla deweloperów, którzy są nowi w aprowizacji urządzeń lub nie mają rygorystycznych wymagań dotyczących zabezpieczeń.
Podczas tworzenia nowej tożsamości urządzenia w usłudze IoT Hub usługa tworzy dwa klucze. Umieszczasz jeden z kluczy na urządzeniu i przedstawia klucz do usługi IoT Hub podczas uwierzytelniania.
Ta metoda uwierzytelniania jest szybsza, ale nie jest bezpieczna. Aprowizowanie urządzeń przy użyciu certyfikatów TPM lub X.509 jest bezpieczniejsze i powinno być używane w przypadku rozwiązań z bardziej rygorystycznymi wymaganiami dotyczącymi zabezpieczeń.
Następne kroki
Spis treści umożliwia przejście do odpowiedniego kompleksowego przewodnika dotyczącego tworzenia urządzenia usługi IoT Edge dla platformy rozwiązania usługi IoT Edge, aprowizacji i wymagań dotyczących uwierzytelniania.
Możesz również użyć poniższych linków, aby przejść do odpowiedniego artykułu.
Kontenery systemu Linux na hostach z systemem Linux
Ręczne aprowizowania pojedynczego urządzenia:
- Tworzenie i aprowizowanie urządzenia usługi IoT Edge w systemie Linux przy użyciu certyfikatów X.509
- Tworzenie i aprowizowanie urządzenia usługi IoT Edge w systemie Linux przy użyciu kluczy symetrycznych
Konfiguruj wiele urządzeń na dużą skalę:
- Tworzenie i aprowizowanie urządzeń usługi IoT Edge na dużą skalę w systemie Linux przy użyciu certyfikatów X.509
- Tworzenie i aprowizowanie urządzeń usługi IoT Edge na dużą skalę za pomocą modułu TPM w systemie Linux
- Tworzenie i aprowizowanie urządzeń usługi IoT Edge na dużą skalę w systemie Linux przy użyciu klucza symetrycznego
Kontenery systemu Linux na hostach systemu Windows
Ręczne aprowizowania pojedynczego urządzenia:
- Tworzenie i aprowizowanie usługi IoT Edge dla systemu Linux na urządzeniu z systemem Windows przy użyciu certyfikatów X.509
- Tworzenie i aprowizowanie usługi IoT Edge dla systemu Linux na urządzeniu z systemem Windows przy użyciu kluczy symetrycznych
Konfiguruj wiele urządzeń na dużą skalę:
- Tworzenie i aprowizowanie usługi IoT Edge dla systemu Linux na urządzeniach z systemem Windows na dużą skalę przy użyciu certyfikatów X.509
- Tworzenie i aprowizowanie usługi IoT Edge dla systemu Linux na urządzeniu z systemem Windows na dużą skalę przy użyciu modułu TPM
- Tworzenie i aprowizowanie usługi IoT Edge dla systemu Linux na urządzeniach z systemem Windows na dużą skalę przy użyciu kluczy symetrycznych