IoT 资产和设备连接与基础结构

下图显示了 典型基于边缘的 IoT 解决方案中组件的概要视图。 本文重点介绍物理资产与边缘运行时环境之间的连接，如下图所示：

下图显示了 典型基于云的 IoT 解决方案中组件的概要视图。 本文重点介绍了设备与 IoT 云服务之间的连接（包括网关和网桥），如下图所示：

IoT Central 应用程序在内部使用 IoT 中心 和设备预配服务 (DPS) 服务。 因此，无论你使用的是 IoT Central 还是 IoT 中心，基于云的 IoT 解决方案中的概念都适用。

下图总结了基于边缘的 IoT 解决方案的设备连接选项。 此图显示了类别 2 和 3 设备如何连接到 Azure IoT Operations Edge 运行时环境。 已启用 Azure Arc 的 Kubernetes 群集托管运行时环境。

为了与基于边缘的服务交换数据，资产使用了如下所述的行业标准：

• OPC UA 数据点和事件。 OPC UA 数据点 是从 OPC UA 服务器实时传输的值，例如温度。 表示状态更改的 OPC UA 事件。 OPC UA 连接器是一个 Azure IoT 操作服务，它会连接到 OPC UA 服务器以检索其数据，并将其发布到 MQTT 代理中的主题。 OPC 基金会

• MQTT 消息传递。 MQTT 允许单个代理同时为数万个客户端提供服务，提供轻型的发布-订阅消息传递、主题创建和管理功能。 许多 IoT 设备原生支持 MQTT。 MQTT 代理支撑 Azure IoT 操作中的消息传递层，并支持 MQTT v3.1.1 和 MQTT v5。 MQTT。

• ONVIF 媒体规范（预览版）。 Azure IoT 操作中的 ONVIF 连接器发现符合 ONVIF 标准的摄像头，并将其注册到 Azure 设备注册表中。 连接器支持检索和更新相机配置以调整输出图像配置或控制相机平移、倾斜和缩放等功能。 ONVIF

• 媒体流式处理协议，如 RTSP、RTCP、SRT、HLS 和 JPEG over HTTP （预览版）。 媒体连接器使媒体源（例如 IP 摄像头）中的图像和视频可供其他 Azure IoT 操作组件使用。 它还可以从视频流或图像 URL 中捕获快照并将其发布到 MQTT 主题，或者将实时视频流从摄像头中转到操作员可以访问的终结点。

收到资产数据后，Azure IoT 操作将使用数据流来处理数据并将其路由到云终结点或其他边缘组件。

Azure IoT 设备使用以下基元来与云服务交换数据：

• 设备到云消息，以将时序数据发送到云。 例如，从附加到设备的传感器收集的温度数据。
• 设备孪生，可与云共享和同步状态数据。 例如，设备可以使用设备孪生向云报告其控制的阀门的当前状态，并从云接收所需的目标温度。
• 数字孪生体，用于表示数字世界中的设备。 例如，数字孪生体可以表示设备的物理位置、功能及其与其他设备的关系。
• 适用于媒体文件（如捕获的图像和视频）的文件上传。 间歇性连接的设备可以分批发送数据。 设备可以压缩上传以节省带宽。
• 直接方法，可从云接收命令。 直接方法可以包含参数并返回响应。 例如，云可以调用直接方法来请求设备重新启动。
• 云到设备消息，可从云接收单向通知。 例如，更新已就绪，可以下载的通知。

要了解详细信息，请参阅设备到云通信指导和云到设备通信指导。

Azure IoT操作使用连接器来发现、管理和引入基于边缘的解决方案中的物理资产的数据。

• OPC UA 连接器是一个数据传入和协议转换服务，使 Azure IoT 操作能够从资产传入数据。 中转站从资产接收传感器数据和事件，并将数据发布到 MQTT 代理中的主题。 中转站基于广泛使用的 OPC UA 标准。
• 媒体连接器（预览版）是一项服务，使媒体源（如边缘附加摄像头）中的媒体可供其他 Azure IoT 操作组件使用。
• ONVIF 连接器（预览版）是一项可发现和注册 ONVIF 资产（如摄像头）的服务。 使用连接器可以管理和控制 ONVIF 资产，例如连接到群集的摄像头。
• SQL 连接器（预览版）是一项服务，它连接到 SQL 数据库并从中传入数据。
• REST 连接器（预览版）是一项服务，它连接到 REST API 并从中引入数据。

若要了解详细信息，请参阅 Azure IoT 操作中的资产管理是什么。

Azure IoT 中心可公开每个设备终结点的集合，以允许设备与云交换数据。 这些终结点包括：

• 发送设备到云的消息。 设备使用此终结点发送设备到云的消息。
• 检索和更新设备孪生属性。 设备使用此终结点访问其设备孪生属性。
• 接收直接方法请求。 设备使用此终结点来侦听直接方法请求。

每个 IoT 中心都有独一无二的主机名，用于将设备连接到中心。 主机名的格式为 iothubname.azure-devices.net。 如果使用其中一个设备 SDK，则无需知道各个终结点的全名，因为这些 SDK 提供更高级别的抽象。 但设备确实需要知道要连接到的 IoT 中心的主机名。

设备可以建立与 IoT 中心的安全连接：

• 直接方式，在这种情况下，必须向设备提供包含主机名的连接字符串。
• 使用 DPS 的间接方式，在这种情况下，设备将连接到已知的 DPS 终结点，以检索它分配到的 IoT 中心的连接字符串。

使用 DPS 的优点在于无需为所有设备配置特定于 IoT 中心的连接字符串。 相反，可以将设备配置为连接到已知的常见 DPS 终结点，从而可以在其中发现其连接详细信息。 要了解详细信息，请参阅设备预配服务。

若要详细了解实现自动重新连接到终结点的过程，请参阅管理设备重新连接以创建可复原的应用程序。

Azure IoT Operations 中的连接器管理对物理设备和资产的身份验证。 此身份验证可以是匿名的，也可以使用用户名密码，其中的值存储为 Azure Key Vault 机密。 使用用户分配的托管标识来配置对 Azure 密钥保管库的访问。

某些连接器（例如 OPC UA 的连接器）与物理资产建立基于证书的信任关系。 例如，OPC UA 连接器是一个 OPC UA 客户端应用程序，它使用单个 OPC UA 应用程序实例证书来为所有会话收集来自 OPC UA 服务器的数据。 默认情况下，该连接器使用 cert-manager 来管理其应用程序实例证书。

若要详细了解基于边缘的 IoT 解决方案的安全性，请参阅基于边缘的 IoT 解决方案的安全最佳做法。

设备连接字符串为设备提供安全连接到 IoT 中心所需的信息。 连接字符串包括以下信息：

• IoT 中心的主机名。
• 已注册到 IoT 中心的设备 ID。
• 设备与 IoT 中心建立安全连接所需的安全信息。

Azure IoT 设备使用 TLS 来验证它们要连接到的 IoT 中心或 DPS 终结点的真实性。 设备 SDK 依赖于设备的受信任证书存储，以包括当前与 IoT 中心建立安全连接所需的 DigiCert 全局根 G2 TLS 证书。 有关详细信息，请参阅 IoT 中心中的传输层安全性 (TLS) 支持和 Azure IoT 中心 设备预配服务 (DPS) 中的 TLS 支持。

Azure IoT 设备可以使用共享访问签名 (SAS) 令牌或 X.509 证书向 IoT 中心进行身份验证。 在生产环境中，建议使用 X.509 证书。 要详细了解设备身份验证，请参阅：

• 使用 X.509 CA 证书向 IoT 中心验证设备身份
• 使用 SAS 令牌向 IoT 中心验证设备身份
• DPS 对称密钥证明
• DPS X.509 证书证明
• DPS 受信任平台模块证明
• IoT Central 中的设备身份验证概念

设备和 IoT 中心之间交换的所有数据是加密的。

若要详细了解基于云的 IoT 解决方案的安全性，请参阅基于云的 IoT 解决方案的安全最佳做法和 Azure IoT 中心的安全体系结构。

若要在边缘运行时与服务终结点交换数据，资产使用行业标准，例如：

• MQTT v3.1.1 和 MQTT v5.0
• OPC UA
• ONVIF（预览版）
• SQL （预览版）
• REST （预览版）
• 媒体流式处理协议，例如 RTSP、RTCP、SRT、HLS 和 JPEG over HTTP（预览版）。

IoT 设备在连接到 IoT 中心或 DPS 终结点时，可以使用多种网络协议之一：

• MQTT
• 基于 WebSocket 的 MQTT
• 高级消息队列协议 (AMQP)
• 基于 WebSocket 的 AMQP
• HTTPS

要详细了解如何为设备选择协议以连接到云，请参阅：

• Azure IoT 中心中的协议支持
• 使用 MQTT 协议与 DPS 通信
• 使用 HTTPS 协议（对称密钥）与 DPS 通信
• 使用 HTTPS 协议 (X.509) 与 DPS 通信

通过边缘服务器进行连接

Azure IoT 操作在边缘启用多对一连接模式。 单个部署可以从边缘的多个物理资产引入数据，然后处理与云的通信。

OPC UA 标准是基于连接到服务器的客户端应用程序构建的。 OPC UA 的连接器是一个客户端应用程序，在 Azure IoT Operations edge 运行时以服务的形式运行。 OPC UA 的连接器连接到 OPC UA 服务器，允许浏览服务器地址空间，并监视连接物理资产中的数据更改和事件。 运营团队和开发人员使用 OPC UA 连接器来简化将 OPC UA 服务器连接到边缘的工业解决方案的任务。

媒体连接器可以直接处理来自摄像头的视频流 (RTSP)。 它还可以访问多个摄像头将其视频或图像存储到的媒体服务器。 当媒体连接器连接到单个外部媒体服务器时，它可以保存、处理或将快照或视频流路由到边缘或云终结点。

IoT 设备可以使用两种广泛类别的连接模式连接到云：

持久连接

如果解决方案需要命令和控制功能，则需要持久性连接。 在命令和控制方案中，IoT Central 解决方案会将命令发送到设备，以准实时地控制其行为。 持久性连接会保持与云的网络连接，每当发生中断时都会重新连接。 使用 MQTT 或 AMQP 协议可以实现与 IoT 中心的持久性设备连接。 IoT 设备 SDK 同时启用 MQTT 和 AMQP 协议，以创建与 IoT 中心的持久性连接。

临时连接

临时连接是一个短暂的连接，可供设备向 IoT 中心发送传感器数据。 设备发送传感器数据后，会断开该连接。 当设备需要发送更多的传感器数据时，就会重新建立连接。 临时连接不适用于命令和控制方案。 如果设备客户端只需发送传感器数据，可以使用 HTTP API。

Azure IoT Operations 是一个边缘运行时环境，可以使用 MQTT 中介作为网关。 物理设备可以直接连接到边缘运行时环境中的 MQTT 代理。 然后，MQTT 中转站可以使用数据流将数据转发到云服务。

在将消息路由到包括云终结点在内的各个位置前，数据流提供数据转换和数据上下文化功能。

Azure IoT 操作在已启用 Azure Arc 的 Kubernetes 群集上运行。 此环境可在混合模式下实现完全自动化的机器学习作，包括可在云和边缘之间无缝过渡的训练和 AI 模型部署步骤。 有关详细信息，请参阅 Azure 机器学习中的 Kubernetes 计算目标简介。

可以使用 Azure IoT Edge 将边缘网关部署到本地环境。 IoT Edge 提供了一组功能，可让你大规模部署和管理边缘网关。 IoT Edge 还提供了一组可用于实现常见网关方案的模块。 要了解详细信息，请参阅什么是 Azure IoT Edge？

IoT Edge 设备可以维持与 IoT 中心的持久性连接。 网关将设备传感器数据转发到 IoT 中心。 此选项允许对连接到 IoT Edge 设备的下游设备启用命令和控制。

可以使用 Azure IoT Edge 来部署复杂的事件处理、机器学习、图像识别和其他高价值 AI 模型。 Azure 流分析和 Azure 机器学习等 Azure 服务可以通过容器化 Linux 工作负载在本地运行。 有关详细信息，请参阅在边缘使用自定义视觉服务执行图像分类。