什么是 IoT Edge？

什么是 IoT Edge？

Azure IoT Edge 是一项物联网 (IoT) 服务，它构建在 IoT Hub 之上，使用户能够进行边缘计算。边缘计算是指在网络边缘的设备上分析数据，而不是在云端本身进行分析。通过边缘计算，您可以避免传输原始数据，在设备本身进行数据清理、聚合和分析，然后将获得的洞察发送到云端。这将降低带宽成本，缩短响应时间并减少流量。

边缘的人工智能

Azure 还提供了 Azure Functions、Azure Stream Analytics 和 Azure Machine Learning 等服务，这些服务都可以通过 Azure IoT Edge 运行。这意味着您可以部署人工智能，包括图像识别、机器学习和复杂事件处理，而无需编写内部代码。

Azure IoT Edge 的组件

Azure IoT Edge 包含三个组件：IoT Edge 模块、IoT Edge 运行时和基于云的界面。

IoT Edge 模块

这些是运行 Azure 服务、第三方服务或您自己代码的容器。IoT Edge 模块在 IoT Edge 设备上本地部署和执行。可以配置多个模块以相互通信。您还可以将 Azure 服务打包到模块中，或开发自定义模块。如果您想将自己的代码部署到设备上，Azure IoT Edge 支持 Linux 和 Windows 以及 Java、.NET Core 2.0、Node.js、C 和 Python。

IoT Edge 运行时

它运行在每个 IoT Edge 设备上，并管理部署在那里的模块。它执行许多功能，包括监控和管理设备，并促进模块、设备、其他设备与云之间的通信。运行时支持 Linux 和 Windows 操作系统。

基于云的界面

此界面允许您远程监控和管理 IoT Edge 设备。云服务使用户能够创建和配置要在特定类型设备上运行的工作负载，将工作负载发送到一组设备，并监控现场设备上运行的工作负载。

将 IoT Edge 设备用作网关

有三种将 IoT Edge 设备用作网关的模式

• 透明
• 协议转换
• 身份转换

透明

设备连接到网关设备而不是 IoT Hub。网关在设备和 IoT Hub 之间传递通信。设备本身以及与设备交互的用户都不知道他们正在通过网关与云通信。

协议转换

如果设备不支持 MQTT、AMQP 或 HTTP，则它使用网关设备向 IoT Hub 发送数据。所有信息看起来都来自一个设备，即网关设备。如果云应用程序想逐个设备地分析数据，则必须在消息中嵌入额外的标识信息。

身份转换

如果设备无法连接到 IoT Hub，则它改为连接到网关设备。网关能够理解下游设备使用的协议并为其提供身份。

用例

所有三种网关模式都提供以下优势

• 边缘分析 – 来自下游设备的数据使用 AI 服务在本地处理，只有一部分数据发送到 IoT Hub。
• 下游设备隔离 – 使用此网关设备，所有下游设备都受到保护，免受互联网暴露。此外，它可以放置在提供互联网访问的 IT 网络和未连接互联网的 OT 网络之间。
• 流量平滑 – 如果 IoT Hub 出现节流，IoT Edge 设备将自动实现指数退避。因此，您可以更好地应对流量峰值。
• 有限的离线支持 – 如果消息无法传递到 IoT Hub，网关设备会将消息本地存储。

边缘设备会产生数据；然而，其中一些设备可能在设计时并未考虑到云连接，但透明网关使得可以访问和使用它们生成的数据。进行身份转换的网关还允许从云端更好地管理下游设备。但是，无论使用何种协议，您的所有设备都会显示在 IoT Hub 中。

操作系统

Azure IoT Edge 可以在大多数可以运行容器的操作系统上运行；但是，并非所有操作系统的支持程度都相同。操作系统根据可用支持级别分为不同级别。

第一级

对于第一级系统，Microsoft

• 将这些操作系统置于自动化测试中
• 为它们提供安装包

第二级

第二级系统通常与 Azure IoT Edge 兼容，并且可以使用相对容易。

安全

边缘计算意味着数据和价值集中在边缘，而不仅仅在云端。边缘的设备也可以被物理访问，因此容易受到多种威胁。因此，边缘的设备需要与云端一样安全。

身份验证

Azure IoT Edge 使用基于证书的身份验证。该机制基于互联网工程任务组 (IETF) 的公钥基础设施 (PKiX) 标准。

Azure IoT Edge 安全框架要求所有与 Azure IoT Edge 设备进行物理或网络连接的设备、模块和参与者都具有唯一的证书标识。

Authorization

控制对资源和数据的访问是安全的基本组成部分。设备、模块和参与者只能在其权限范围内访问资源和数据，并且只有在架构上允许的情况下才能访问。其他授权方案包括证书签名权限和基于角色的访问控制 (RBAC)。根据您的需求，还可以使用其他授权方案。

证明

软件位的完整性通过证明来确保，在 Azure IoT Edge 中，它分为三个主要类别。

• 静态证明
• 运行时证明
• 软件证明

静态证明也称为安全启动。它涉及在设备通电时验证所有软件、操作系统、运行时和配置信息的完整性。Azure IoT Edge 的安全框架包括内置硬件功能以确保静态证明。

运行时证明

这是系统检测启动过程后发生的恶意软件或未经授权的配置更改，并采取措施对其进行应对。其中一些攻击可以被设备的硬件抵御；但是，还需要扩展来对抗运行时威胁。

软件证明

所有系统都需要补丁和升级。然而，更新过程需要安全，否则它们可能成为恶意软件进入系统的途径。Azure IoT Edge 的更新通过测量和签名的包进行，以检查补丁和升级的完整性并验证其来源，从而防止它们成为威胁途径。

硬件信任根

智能边缘设备通常部署在恶意行为者可能接触到的地方。因此，设备硬件提供的安全性很重要。Azure IoT Edge 与芯片硬件供应商合作，为各种部署场景开发防篡改硬件。

可扩展性

Azure IoT Edge 安全性允许扩展到不同领域，包括

• 第一方安全服务，例如 Azure IoT Hub 的设备预配服务
• 第三方服务，例如托管安全服务
• 需要通过替代安全安排进行改造的遗留系统
• 安全硬件

最终，在保护智能边缘方面取得最高成功取决于开放社区的协作贡献，该社区由保护物联网的共同利益驱动。这些贡献可能以安全技术或服务的形式出现。Azure IoT Edge 安全框架提供了一个坚实的安全基础，该基础可扩展以实现最大覆盖范围，从而为智能边缘提供与 Azure 云相同的信任和完整性级别。