使用 Azure IoT 中心設備預配服務預配設備

Microsoft Azure提供一套豐富的集成公有云服務，滿足所有IoT解決方案需求。IoT中心設備預配服務(DPS)是IoT中心的幫助器服務，支持零接觸、實時預配到適當?shù)腎oT中心，不需要人為干預。使用DPS能夠以安全且可縮放的方式預配數(shù)百萬臺設備。

何時使用設備預配服務

在很多預配方案中，DPS都是將設備連接并配置到IoT中心的絕佳選擇，例如：

零接觸預配到單一IoT解決方案，無需在出廠（初始設置）時對IoT中心連接信息進行硬編碼

跨多個中心對設備進行負載均衡

根據(jù)銷售交易數(shù)據(jù)將設備連接到其所有者的IoT解決方案（多租戶）

根據(jù)用例將設備連接到特定的IoT解決方案（解決方案隔離）

將設備連接到具有最低延遲的IoT中心（異地分片）

根據(jù)設備中的更改重新進行預配

滾動設備使用的密鑰以連接到IoT中心（當不使用X.509證書進行連接時）

幕后

上一部分中列出的所有方案都可通過相同流程采用零接觸預配的DPS來完成。預配向來所涉及的許多手動步驟通過DPS自動完成，以減少部署IoT設備的時間并降低手動錯誤的風險。下面的部分介紹了在預配設備時在幕后發(fā)生的情況。第一個步驟是手動的，后續(xù)的所有步驟都是自動的。

設備制造商將設備注冊信息添加到Azure門戶中的注冊列表。

設備聯(lián)系工廠中設置的DPS終結點。設備將標識信息傳遞給DPS來證明其身份。

DPS通過使用nonce質(zhì)詢（受信任的平臺模塊）或標準X.509驗證(X.509)根據(jù)注冊列表項來驗證注冊ID和密鑰，從而驗證設備的標識。

DPS將設備注冊到IoT中心，并填充設備的所需孿生狀態(tài)。

IoT中心將設備ID信息返回給DPS。

DPS將IoT中心連接信息返回給設備。設備現(xiàn)在可以開始將數(shù)據(jù)直接發(fā)送到IoT中心。

設備連接到IoT中心。

設備從其在IoT中心中的設備孿生獲取所需的狀態(tài)。

預配過程

在設備的部署過程中有兩個不同的步驟，其中DPS部分可以獨立完成：

制造步驟，其中設備在出廠時創(chuàng)建和準備，以及

云設置步驟，其中將設備預配服務配置為自動預配。

這兩個步驟都與現(xiàn)有的制造和部署過程無縫銜接。DPS甚至簡化了一些部署過程，這些過程需要手動操作來獲取設備上的連接信息。

制造步驟

此步驟有關制造線上發(fā)生的情況。此步驟中涉及的角色包括硅設計者、硅制造商、集成商和/或設備的最終制造商。此步驟關于創(chuàng)建硬件本身。

DPS不會在制造過程中引入新的步驟；而是與在設備上安裝初始軟件和（理想情況下）HSM的現(xiàn)有步驟相關。此步驟中不創(chuàng)建設備ID，而是使用預配服務信息對設備進行編程，設備開啟時，將能夠調(diào)用預配服務來獲取其連接信息/IoT解決方案分配。

同樣在此步驟中，制造商向設備部署人員/操作員提供識別性密鑰信息?？梢酝ㄟ^簡單方法提供該信息，例如，確認所有設備都有基于設備部署人員/操作員提供的簽名證書生成的X.509證書；也可以通過復雜方法提供該信息，例如，從每個TPM設備提取TPM認可密鑰的公共部分。這些服務如今由眾多硅制造商提供。

云設置步驟

此步驟有關配置云實現(xiàn)正確的自動預配。云設置步驟中通常涉及兩種類型的用戶：知道設備需要如何初始設置的用戶（設備操作員），以及知道如何在IoT中心之間拆分設備的人員（解決方案操作員）。

必須對預配進行一次性初始設置，這通常由解決方案操作員來執(zhí)行。配置預配服務后，不需要修改，除非用例發(fā)生更改。

將服務配置為自動預配后，必須使其準備好注冊設備。此步驟由設備操作員完成，設備操作員知道設備的所需配置，并且負責確保預配服務在尋找其IoT中心時可以正確地證明設備的標識。設備操作員從制造商處獲取識別性密鑰信息，并將其添加到注冊列表。添加新條目或現(xiàn)有條目更新為關于設備的最新信息后，隨之會更新注冊列表。

注冊和預配

預配意味著各種含義，具體取決于使用術語的行業(yè)。在將IoT設備預配至其云解決方案的情況中，預配由兩部分構成：

第一部分是通過注冊設備來建立設備和IoT解決方案之間的初始連接。

第二部分是根據(jù)其注冊到的解決方案的具體要求將適當?shù)呐渲脩糜谠O備。

只有這兩個步驟都完成后，才能說該設備已完全預配。某些云服務僅提供預配過程的第一步，即將設備注冊到IoT解決方案終結點，但不提供初始配置。DPS自動執(zhí)行這兩個步驟，為設備提供無縫的預配體驗。

設備預配服務的功能

DPS具有許多功能，非常適合用于預配設備。

對基于X.509和TPM的標識的安全證明支持。

注冊列表，其中包含可能在某一時刻注冊的設備/設備組的完整記錄。注冊列表包含有關設備注冊后所需的設備配置信息，并可隨時更新。

多個分配策略，用于根據(jù)自己的需要控制DPS向IoT中心分配設備的方式：通過注冊列表控制最小延遲、平均加權分布（默認值）和靜態(tài)配置。延遲是使用與流量管理器相同的方法確定的。

監(jiān)視和診斷日志記錄，用于確保一切都正常工作。

多中心支持，允許DPS將設備分配給多個IoT中心。DPS可以跨多個Azure訂閱來與中心通信。

跨區(qū)域支持使DPS能夠?qū)⒃O備分配到其他區(qū)域的IoT中心。

靜態(tài)數(shù)據(jù)加密允許使用256位AES加密（可用的最強大的分組加密法之一，并且符合FIPS 140-2）透明地加密和解密DPS中的數(shù)據(jù)。

可以通過查看DPS術語主題以及同一部分的其他概念性主題來詳細了解設備預配中涉及的概念和功能。

跨平臺支持

與所有Azure IoT服務一樣，DPS可以在各種操作系統(tǒng)上跨平臺運行。Azure采用各種語言提供了開放源SDK，以便于連接設備并管理服務。DPS支持使用以下協(xié)議來連接設備：

HTTPS

AMQP

基于Web套接字的AMQP

MQTT

基于Web套接字的MQTT

DPS僅支持使用HTTPS連接來執(zhí)行服務操作。

區(qū)域

DPS已在許多區(qū)域中推出。Azure區(qū)域頁面中提供了所有服務的現(xiàn)有區(qū)域和新宣布推出區(qū)域的更新列表。可以在Azure狀態(tài)頁面上檢查設備預配服務的可用性。

備注

DPS是全局性的，而不局限于某個位置。但是，必須指定與DPS配置文件關聯(lián)的元數(shù)據(jù)將駐留在其中一個區(qū)域。

可用性

DPS的服務級別協(xié)議為99.9%。具體請閱讀SLA。完整Azure SLA說明了Azure作為整體的保證可用性。

配額

每個Azure訂閱附帶默認的配額限制，這些限制可能影響IoT解決方案的范圍。每個訂閱的當前限制是每訂閱10個設備預配服務。

下表列出了適用于Azure IoT中心設備預配服務資源的限制。

備注

若要增加預配服務上的登記和注冊數(shù)量，請聯(lián)系Microsoft支持部門。

備注

增加CA的最大數(shù)目不受支持。

超過以下配額時，設備預配服務將限制請求。

有關配額限制的更多詳細信息，請參閱：

Azure訂閱服務限制

相關Azure組件

DPS通過Azure IoT中心將設備預配自動化。了解有關IoT中心的詳細信息。