IoT 资产和设备管理与控制

下图显示了 典型基于边缘的 IoT 解决方案中组件的概要视图。 本文重点介绍了基于边缘的 IoT 解决方案的资产管理和控制组件：

在基于边缘的 IoT 解决方案中，运营技术专家 (OT) 可以使用 Azure 设备注册表从云中管理和控制资产。 OT 用户可以使用操作体验 Web UI，而 IT 管理员可以使用 CLI 和 Azure 门户。 若要查找和管理资产，OT 用户可以使用 IT 管理员创建的站点。 站点通常按物理位置对 Azure IoT 操作实例进行分组。

设备和资产管理是指注册资产和定义设备等过程。 设备和资产管理包括以下任务：

• 设备创建
• 资产、数据点和事件创建
• 设备机密管理
• 启用和禁用设备

在基于边缘的 IoT 解决方案中，命令和控制是指允许你向资产发送命令并选择性地从资产接收响应的过程。 例如，你能够：

• 控制相机的平移、倾斜和变焦。
• 为了节省能源，请关闭建筑物的灯光。
• 使用 MQTT 主题让资产通过代理相互通信。

组件

基于边缘的 IoT 解决方案可以使用以下组件进行资产管理和控制：

• 用于描述 一个或多个资产的南向边缘连接信息的设备。
• 用于描述可从资产中收集的值的资产数据点。
• 通知你对资产的状态更改的资产事件。
• 用于连接各种数据源并执行数据操作的数据流，简化了数据路径的设置，以便移动、转换和扩充数据。
• 操作体验 Web UI，可用于在解决方案中创建和配置资产。 Web UI 简化了管理资产的任务。
• 支持对资产进行云和边缘管理的 Azure 设备注册表。 设备注册表可将在边缘环境中定义的资产投影为云中的 Azure 资源。 它提供单个统一的注册表，以便与资产交互的所有应用和服务都可以连接到单个源。 设备注册表还可管理云中的资产以及作为边缘上 Kubernetes 中自定义资源的资产之间的同步。
• 可用于定义和管理资产架构的架构注册表。 数据流使用架构对消息进行反序列化和序列化处理。
• 可用于在边缘部署和配置连接协议（例如 OPC UA 和 ONVIF）的 Akri 服务。 ONVIF 连接器是一项可发现和注册 ONVIF 资产（如摄像头）的服务。 OPC UA 连接器是一个连接到 OPC UA 服务器并注册机械臂等资产的服务。
• 用于从云中同步机密并将其作为 Kubernetes 机密存储在边缘的机密存储扩展。 Azure IoT 操作使用 Azure Key Vault 作为云端的托管保管库解决方案，同时使用 Kubernetes 的 Azure Key Vault 机密存储扩展来同步机密。
• 按物理位置对 Azure IoT 操作实例进行分组，并使 OT 用户能够更容易找到和管理资产的站点。 你的 IT 管理员会创建站点并为其分配 Azure IoT 操作实例。 若要了解详细信息，请参阅什么是 Azure Arc 站点管理器（预览版）？。

有关详细信息，请参阅 Azure IoT 操作中的资产管理是什么。

下图显示了 典型基于云的 IoT 解决方案中组件的概要视图。 本文重点介绍了基于云的 IoT 解决方案的设备管理和控制组件：

IoT Central 应用程序在内部使用 IoT 中心 和设备预配服务 (DPS) 服务。 因此，无论你使用的是 IoT Central 还是 IoT 中心，基于云的 IoT 解决方案中的概念都适用。

在基于云的 IoT 解决方案中，设备管理指预配和更新设备等过程。 设备管理包括以下任务：

• 设备注册。
• 设备预配。
• 设备部署。
• 设备更新。
• 设备密钥管理和轮换。
• 设备监视。
• 启用和禁用设备。

在基于云的 IoT 解决方案中，命令和控制是指允许向设备发送命令并接收来自设备的响应的过程。 例如，可以将命令发送到设备，以：

• 设置目标温度。
• 请求过去两个小时的最高和最低温度值。
• 将传感器数据间隔设置为 10 秒。

基元

基于云的 IoT 解决方案可使用以下基元进行设备管理以及命令和控制：

• 用于与云共享和同步状态数据的设备孪生。 例如，设备可以使用设备孪生来将它控制的阀门的当前状态报告给云，并从云中接收所需的目标温度。
• 用于表示数字世界中设备的数字孪生体。 例如，数字孪生体可以表示设备的物理位置、功能以及与其他设备的关系。 数字孪生用于 IoT 即插即用和 Azure 数字孪生。 要详细了解设备孪生和数字孪生体之间的差异，请参阅了解 IoT 即插即用数字孪生体。
• 用于从云接收命令的直接方法。 直接方法可以具有参数并返回响应。 例如，云可以调用直接方法来请求设备在 30 秒内重启。
• 用于从云接收单向通知的云到设备消息。 例如，更新已就绪，可以下载的通知。

要了解详细信息，请参阅云到设备通信指导。

设备创建

Azure IoT 操作使用称为资产和设备的 Azure 资源来连接和管理工业边缘环境的组件。 在创建资产之前，需要定义设备。 设备是描述一个或多个资产的南向边缘连接信息的配置文件。

目前，Azure IoT 操作中可用的南向连接器有 OPC UA 连接器、媒体连接器（预览版）、ONVIF 连接器（预览版）、SQL 连接器（预览版）和 REST 连接器（预览版）。 设备是连接器的配置，使它能够连接到一个或多个物理资产。 例如：

• 设备存储连接到 OPC UA 服务器所需的信息。
• 设备存储连接到媒体源和 ONVIF 兼容源所需的信息。

有关详细信息，请参阅“什么是 OPC UA 连接器?”。

资产、数据点和事件创建

“资产”是一个逻辑实体，该实体将云中的设备或组件表示为 Azure 资源管理器资源和边缘的 Kubernetes 自定义资源。 创建资产时，可以定义其元数据和数据点（也称为标记）及其发出的事件。

目前，Azure IoT 操作中的资产可以是：

• 连接到 OPC UA 服务器的设备，例如机械臂。
• 媒体源，例如相机。

使用操作体验 Web UI 或 Azure IoT 操作 CLI 定义资产时，可以为每个资产配置“标记”和“事件”：

• 标记是可从资产中收集的数据点的说明。 OPC UA 标记提供有关资产的实时或历史数据。
• “事件”是 OPC UA 服务器的通知，可以通知你有关资产状态更改的信息。

有关详细信息，请参阅“定义资产和资产终结点”。

资产终结点机密管理

在使用安全设置部署的 Azure IoT 操作实例上，可以将机密添加到 Azure 密钥保管库，并使用操作体验 Web UI 将其同步到边缘，以便在资产终结点中使用。 在资产终结点中使用机密进行身份验证。

有关详细信息，请参阅“管理 Azure IoT 操作部署的机密”。

设备注册

必须先注册设备才能连接到 IoT 中心。 设备注册是在云中创建设备标识的过程。 每个 IoT 中心都有自己的内部设备注册表。 设备标识用于在设备连接到 IoT 中心时对设备进行身份验证。 设备注册条目包括以下属性：

• 唯一的设备 ID。
• 身份验证信息，例如对称密钥或 X.509 证书。
• 设备类型。 是否是 IoT Edge 设备？

如果认为某个设备被盗用或无法正常工作，则可以在设备注册表中禁用它，以防止它连接到云。 要允许设备在问题解决后重新连接到云，可以在设备注册表中重新启用它。 还可以从设备注册表中永久移除设备，以完全阻止设备连接到云。

有关详细信息，请参阅了解 IoT 中心中的标识注册表。

IoT Central 提供了一个 UI，可用于管理基础 IoT 中心内的设备注册表。 有关详细信息，请参阅添加设备 (IoT Central)。

设备配置

必须为解决方案中的每个设备配置它应连接到的 IoT 中心的详细信息。 可以在解决方案中手动配置每台设备，但此方法可能不适用于存在大量设备的情况。 要解决此问题，可以使用设备预配服务 (DPS) 自动向 IoT 中心注册每台设备，然后使用所需的连接信息预配每台设备。 如果 IoT 解决方案使用多个 IoT 中心，则可以使用 DPS 根据哪个中心距离设备最近的条件将设备预配到中心。 可以在以物理方式在现场部署设备之前，使用注册和预配设备的规则来配置 DPS。

如果 IoT 解决方案使用 IoT 中心，则使用 DPS 是可选的。 如果使用的是 IoT Central，则解决方案会自动使用 IoT Central 管理的 DPS 实例。

要了解详细信息，请参阅设备预配服务概述。

设备部署

在基于云的 IoT 解决方案中，设备部署通常是指在 IoT Edg 设备上安装软件的过程。 当 IoT Edge 设备连接到 IoT 中心时，它会收到一份部署清单，其中包含要在该设备上运行的模块的详细信息。 部署清单还包含模块的配置信息。 IoT Edge 设备可以使用许多标准模块。 用户还可以创建自己的自定义模块。

要了解详细信息，请参阅什么是 Azure IoT Edge？

如果使用的是 IoT Central，则可以使用 IoT Central UI 管理部署清单。

设备更新

通常，IoT 解决方案必须包含更新设备软件的方法。 对于 IoT Edge 设备，可以通过更新部署清单来更新在设备上运行的模块。

对于非 IoT Edge 设备，则需要具有更新设备固件的方法。 此更新过程可以使用云到设备消息来通知设备固件更新可用。 然后，设备会运行自定义代码来下载并安装更新。

Device Update for IoT Hub 服务提供了用于更新设备的托管解决方案。 它支持将固件更新上传到云，然后将其分发到设备。 它还允许监视更新过程，并在更新失败时回滚到以前的版本。

设备密钥管理和轮换

在 IoT 解决方案的生命周期内，可能需要滚动更新用于对设备进行身份验证的密钥。 例如，如果怀疑密钥被盗用或证书过期，则可能需要滚动更新密钥：

• 滚动更新用于在 IoT 中心和 DPS 中对设备进行身份验证的密钥
• 滚动更新用于在 IoT Central 中对设备进行身份验证的密钥

设备监视

可能需要监视设备的健康状况，这是整体解决方案监视的一部分。 例如，可能需要监视设备的健康状况，或者检测设备何时不再连接到云。 监视设备的选项包括：

• 设备使用设备孪生向云报告其当前状态。 例如，设备可以报告其当前内部温度或当前电池电量。
• 设备可以通过将消息发送到云来引发警报。
• 当设备连接到云或与云断开连接时，IoT 中心可以引发事件。
• 在满足指定条件时，IoT Central 可以使用规则来运行操作。
• 使用机器学习工具分析设备数据流，以识别指示设备出现问题的异常。

要了解详细信息，请参阅监视设备连接状态（IoT 中心）。

设备迁移

如果需要将设备从 IoT Central 迁移到 IoT 中心，可以使用设备迁移工具。 要了解详细信息，请参阅将设备从 IoT Central 迁移到 IoT 中心。

Azure IoT 操作包括符合标准的企业级 MQTT 代理。 代理支持边缘与云之间的双向通信，并为边缘的事件驱动应用程序提供支持。

使用 MQTT 代理实现命令和控制解决方案，使你能够从云或其他基于边缘的组件将命令发送到资产。 连接器（如 ONVIF 连接器）可以使用 MQTT 主题来侦听和响应命令。 例如，可以将消息发布到 MQTT 代理中的某个主题，该消息是对相机向左平移 20 度的指令。 相机可以使用另一个主题发布确认操作已完成的消息。 Azure IoT 操作 SDK（预览版）包括显示如何实现这些类型的命令和控制场景的示例。

有关详细信息，请参阅 Azure IoT 操作内置本地 MQTT 代理。

要向设备发送命令以控制其行为，请使用：

• 需要立即确认结果的通信的直接方法。 直接方法通常用于以交互方式控制设备，例如打开风扇。

• 设备孪生所需属性，适用于旨在将设备置于某个所需状态的长期运行命令。 例如，将消息发送间隔设置为 30 分钟。

• 云到设备消息，用于向设备提供单向通知。

要了解详细信息，请参阅云到设备通信指导。

在一些方案中，可以根据反馈循环自动执行设备控制。 例如，如果设备温度过高，则在云中运行的逻辑可以发送打开风扇的命令。 然后，云进程可以发送命令，以在温度恢复正常时关闭风扇。

还可以在本地运行这种自动化。 例如，如果使用 IoT Edge 来实现网关设备，则可以在 IoT Edge 模块中运行控制设备的逻辑。 在边缘运行这种逻辑可以降低延迟，并在发生网络中断时提供复原能力。

职位

可以使用直接方法、所需属性和云到设备消息将命令发送到单个设备。 如果需要将命令发送到多个设备，则可以使用作业。 使用作业可以计划并同时向多台设备发送命令和所需属性更新。 还可以使用作业来监视命令的进度，并在命令失败时回滚到以前的状态。

若要了解详细信息，请参阅：

• 在多台设备上计划作业（IoT 中心）
• 在 Azure IoT Central 应用程序中批量管理设备