IoT 資産とデバイスの接続とインフラストラクチャ

次の図は、一般的な エッジベースの IoT ソリューションのコンポーネントの概要を示しています。 この記事では、図に示されている物理資産とエッジ ランタイム環境の間の接続性に焦点を当てます。

次の図は、一般的な クラウドベースの IoT ソリューションのコンポーネントの概要を示しています。 この記事では、図に示すゲートウェイとブリッジを含む、デバイスと IoT クラウド サービス間の接続について説明します。

IoT Central アプリケーションは、IoT Hub と Device Provisioning Service (DPS) サービスを内部で使用します。 そのため、クラウドベースの IoT ソリューションの概念は、IoT Central と IoT Hub のどちらを使用しているかに関係なく適用されます。

次の図は、エッジベースの IoT ソリューションのデバイス接続オプションをまとめたものです。 この図は、カテゴリ 2 および 3 のデバイスが Azure IoT Operations エッジ ランタイム環境に接続する方法を示しています。 Azure Arc 対応 Kubernetes クラスターは、ランタイム環境をホストします。

エッジ ベースのサービスとデータを交換するために、資産では次のような業界標準が使用されます。

• OPC UA データ ポイントとイベント。 OPC UA データ ポイント は、OPC UA サーバーからストリーミングされる値 (温度など) です。 OPC UA イベントは 状態の変化を表します。 OPC UA のコネクタは、OPC UA サーバーに接続してデータを取得し、MQTT ブローカーのトピックに発行する Azure IoT Operations サービスです。 OPC Foundation

• MQTT メッセージング。 MQTT を使用すると、1 つのブローカーで、軽量のパブリッシュ/サブスクライブ メッセージング、トピックの作成、管理を使用して、数万のクライアントに同時にサービスを提供できます。 多くの IoT デバイスでは、そのままの設定で使用できるように MQTT がネイティブでサポートされています。 MQTT ブローカーは、Azure IoT Operations のメッセージング 層を支え、MQTT v3.1.1 と MQTT v5 の両方をサポートします。 MQTT。

• ONVIF メディア仕様 (プレビュー)。 Azure IoT Operations の ONVIF コネクタは、ONVIF 準拠カメラを検出し、Azure Device Registry に登録します。 コネクタを使用すると、カメラの構成を取得および更新して出力イメージの構成を調整したり、カメラのパン、傾き、ズームを制御したりできます。 ONVIF

• RTSP、RTCP、SRT、HLS、JPEG over HTTP (プレビュー) などのメディア ストリーミング プロトコル 。 メディア コネクタは、IP カメラなどのメディア ソースからの画像とビデオをその他の Azure IoT Operations コンポーネントで使用できるようにします。 また、ビデオ ストリームまたはイメージ URL からスナップショットをキャプチャして MQTT トピックに発行したり、カメラからオペレーターがアクセスできるエンドポイントにライブ ビデオ ストリームをプロキシしたりすることもできます。

資産データを受信すると、Azure IoT Operations は データ フロー を使用してデータを処理し、クラウド エンドポイントまたはその他のエッジ コンポーネントにルーティングします。

Azure IoT デバイスでは、次のプリミティブを使用してクラウド サービスとデータを交換します。

• 時系列データをクラウドに送信するデバイスからクラウドへのメッセージ。 たとえば、デバイスに接続されているセンサーから収集された温度データです。
• "デバイス ツイン"。状態データをクラウドと共有および同期します。 たとえば、デバイスはデバイス ツインを使用して、制御するバルブの現在の状態をクラウドに報告し、クラウドから目的の目標温度を受け取ることができます。
• "デジタル ツイン"。デジタル世界のデバイスを表します。 たとえば、デジタル ツインは、デバイスの物理的な場所、その機能、および他のデバイスとの関係を表すことができます。
• "ファイル アップロード"。キャプチャされた画像やビデオなどのメディア ファイル用です。 断続的に接続されたデバイスは、バッチでデータを送信できます。 デバイスはアップロードを圧縮して帯域幅を節約できます。
• "ダイレクト メソッド"。クラウドからコマンドを受け取ります。 ダイレクト メソッドはパラメーターを使用し、応答を返すことができます。 たとえば、クラウドはダイレクト メソッドを呼び出して、デバイスの再起動を要求できます。
• "クラウドからデバイスへの" メッセージ。クラウドから一方向の通知を受け取ります。 たとえば、更新プログラムをダウンロードする準備ができていることを示す通知です。

詳細については、「device-to-cloud 通信に関するガイダンス」および「cloud-to-device 通信に関するガイダンス」を参照してください。

Azure IoT Operations では、 コネクタを 使用して、エッジベースのソリューション内の物理資産からデータを検出、管理、イングレスします。

• OPC UA のコネクタは、Azure IoT Operations が資産からデータを受信できるようにするデータイングレスおよびプロトコル変換サービスです。 ブローカーは、資産からセンサー データとイベントを受信し、MQTT ブローカーのトピックにデータを発行します。 このブローカーは、広く使用されている OPC UA 標準に基づいています。
• メディア コネクタ (プレビュー) は、エッジ接続カメラなどのメディア ソースのメディアを他の Azure IoT Operations コンポーネントで使用できるようにするサービスです。
• ONVIF (プレビュー) 用コネクタは、カメラなどの ONVIF アセットを検出して登録するサービスです。 コネクタを使用すると、クラスターに接続されているカメラなどの ONVIF 資産を管理および制御できます。
• SQL コネクタ (プレビュー) は、SQL データベースに接続し、そこからデータをイングレスするサービスです。
• REST コネクタ (プレビュー) は、REST API に接続し、そこからデータをイングレスするサービスです。

詳細については、「 Azure IoT Operations の資産管理とは」を参照してください。

Azure IoT ハブは、デバイスがデータをクラウドと交換できるようにするデバイスごとのエンドポイントのコレクションを公開します。 たとえば、次のエンドポイントが該当します。

• D2C メッセージの送信。 デバイスは、このエンドポイントを使用して、デバイスからクラウドへのメッセージを送信します。
• デバイス ツインのプロパティを取得して更新します。 デバイスは、このエンドポイントを使用して、そのデバイス ツインのプロパティにアクセスします。
• ダイレクト メソッド要求の受信。 デバイスは、このエンドポイントを使用して、ダイレクト メソッドの要求をリッスンします。

すべての IoT ハブには、デバイスをハブに接続するために使用される一意のホスト名があります。 ホスト名の形式は iothubname.azure-devices.net です。 いずれかのデバイス SDK を使用する場合、個々のエンドポイントの完全な名前を知る必要はありません。SDK が提供する抽象化のレベルは高いためです。 ただし、デバイスは、接続先の IoT ハブのホスト名を認識する必要があります。

デバイスは、IoT ハブに対してセキュリティで保護された接続を次のように確立できます。

• 直接接続。この場合、ホスト名を含む接続文字列をデバイスに渡す必要があります。
• DPS を使用した間接接続。この場合、デバイスは既知の DPS エンドポイントに接続して、割り当てられている IoT ハブの接続文字列を取得します。

DPS を使用する利点は、IoT ハブに固有の接続文字列をすべてのデバイスには構成しなくても済むことです。 代わりに、既知の一般的な DPS エンドポイントに接続するようにデバイスを構成し、そこで接続の詳細を検出させます。 詳細については、Device Provisioning Serviceに関するページを参照してください。

エンドポイントへの自動再接続の実装の詳細については、「デバイス再接続を管理して回復性のあるアプリケーションを作成する」を参照してください。

Azure IoT Operations のコネクタは、物理デバイスと資産への認証を管理します。 この認証は、匿名にすることも、値が Azure Key Vault シークレットとして格納されているユーザー名パスワードを使用することもできます。 Azure Key Vault へのアクセスは、ユーザー割り当てマネージド ID で構成されます。

OPC UA 用コネクタなど、一部のコネクタは、物理資産との証明書ベースの信頼関係を確立します。 たとえば、OPC UA 用コネクタは OPC UA クライアント アプリケーションであり、OPC UA サーバーからデータを収集するために確立するすべてのセッションに 1 つの OPC UA アプリケーション インスタンス証明書を使用します。 既定では、コネクタは cert-manager を使用してアプリケーション インスタンス証明書を管理します。

エッジベースの IoT ソリューションのセキュリティの詳細については、 エッジベースの IoT ソリューションのセキュリティのベスト プラクティスに関するページを参照してください。

デバイスの接続文字列は、IoT ハブに安全に接続するために必要な情報をデバイスに提供します。 接続文字列には、次の情報が含まれます。

• IoT ハブのホスト名。
• IoT ハブに登録されたデバイス ID。
• デバイスが IoT ハブへのセキュリティで保護された接続を確立するために必要なセキュリティ情報。

Azure IoT デバイスは、TLS を使用して、接続先の IoT ハブまたは DPS エンドポイントの信頼性を検証します。 デバイス SDK では、デバイスの信頼された証明書ストアに依存して、IoT ハブへのセキュリティで保護された接続を確立するために現在必要な DigiCert Global Root G2 TLS 証明書を含めます。 詳細については、「IoT Hub でのトランスポート層セキュリティ (TLS) のサポート」および「Azure IoT Hub Device Provisioning Service (DPS) の TLS サポート」を参照してください。

Azure IoT デバイスは、Shared Access Signature (SAS) トークンと X.509 証明書のいずれかを使用して、IoT ハブに対して自身を認証できます。 運用環境では、X.509 証明書をお勧めします。 認証の詳細については、次を参照してください。

• X.509 CA 証明書を使用して IoT Hub に対してデバイスを認証する
• SAS トークンを使用して IoT Hub に対してデバイスを認証する
• DPS 対称キーの構成証明
• DPS X.509 証明書の構成証明
• DPS トラステッド プラットフォーム モジュールの構成証明
• IoT Central のデバイス認証の概念

デバイスと IoT ハブの間で交換されるすべてのデータが暗号化されます。

クラウドベースの IoT ソリューションのセキュリティの詳細については、クラウドベースの IoT ソリューション のセキュリティのベスト プラクティス と Azure IoT Hub のセキュリティ アーキテクチャに関するページを参照してください。

エッジ 実行時にサービス エンドポイントとデータを交換するために、資産では次のような業界標準が使用されます。

• MQTT v3.1.1 と MQTT v5.0
• OPC UA
• ONVIF (プレビュー)
• SQL (プレビュー)
• REST (プレビュー)
• RTSP、RTCP、SRT、HLS、JPEG over HTTP (プレビュー) などのメディア ストリーミング プロトコル。

IoT デバイスは、IoT Hub または DPS エンドポイントに接続するときに、次のいくつかのネットワーク プロトコルのいずれかを使用できます。

• MQTT
• WebSocket 経由の MQTT
• Advanced Message Queuing Protocol (AMQP)
• AMQP over WebSocket
• HTTPS

デバイスがクラウドに接続するためのプロトコルを選択する方法の詳細については、次を参照してください。

• Azure IoT Hub でのプロトコルのサポート
• MQTT プロトコルを使用した DPS との通信
• HTTPS プロトコルを使用した DPS との通信 (対称キー)
• HTTPS プロトコルを使用した DPS との通信 (X.509)

エッジ サーバー経由の接続

Azure IoT Operations を使用すると、エッジで一対多の接続パターンを実現できます。 1 つのデプロイでは、エッジで複数の物理資産からデータを取り込み、クラウドとの通信を処理できます。

OPC UA 標準は、サーバーに接続するクライアント アプリケーションを中心に構築されています。 OPC UA のコネクタは、Azure IoT Operations Edge ランタイムでサービスとして実行されるクライアント アプリケーションです。 OPC UA 用コネクタは OPC UA サーバーに接続し、サーバーのアドレス空間を参照し、接続された物理資産のデータ変更とイベントを監視できます。 運用チームと開発者は、OPC UA 用コネクタを使用して、OPC UA サーバーをエッジの産業用ソリューションに接続するタスクを効率化します。

メディア コネクタは、カメラから直接ビデオ ストリーム (RTSP) を処理できます。 また、複数のカメラがビデオや画像を保存するメディア サーバーにアクセスすることもできます。 メディア コネクタは、1 つの外部メディア サーバーに接続するときに、スナップショットまたはビデオ ストリームをエッジまたはクラウド エンドポイントに保存、処理、またはルーティングできます。

IoT デバイスがクラウドへの接続に使用する接続パターンには、次の 2 つの大きなカテゴリがあります。

永続的な接続

ソリューションが "コマンドと制御" 機能を必要とするときは、永続的な接続が必要です。 コマンドと制御のシナリオでは、IoT ソリューションがデバイスにコマンドを送信して、ほぼリアルタイムでその動作を制御します。 永続的な接続では、クラウドへのネットワーク接続が維持され、中断が発生するたびに再接続されます。 IoT ハブへの永続的なデバイス接続には、MQTT と AMQP のいずれかのプロトコルを使用してください。 IoT デバイス SDK は、IoT ハブへの永続的な接続を作成するために、MQTT と AMQP の両方のプロトコルを有効にします。

エフェメラル接続

エフェメラル接続は、デバイスがセンサー データを IoT ハブに送信するための簡単な接続です。 デバイスがセンサー データを送信すると、接続が切断されます。 送信するセンサー データが増えると、デバイスは再接続されます。 エフェメラル接続は、コマンドとコントロールのシナリオには適していません。 デバイス クライアントは、センサー データを送信する必要がある場合に HTTP API を使用できます。

Azure IoT Operations は、MQTT ブローカーを使用してゲートウェイとして機能できるエッジ ランタイム環境です。 物理デバイスは、エッジ ランタイム環境で MQTT ブローカーに直接接続できます。 MQTT ブローカーは、データ フローを使用してクラウド サービスにデータを転送できます。

データ フローは、クラウド エンドポイントを含むさまざまな場所にメッセージをルーティングする前に、データ変換とデータ コンテキスト化の機能を提供します。

Azure IoT Operations は、Azure Arc 対応 Kubernetes クラスターで実行されます。 この環境では、クラウドとエッジの間でシームレスに移行するトレーニングと AI モデルのデプロイ手順など、ハイブリッド モードで完全に自動化された機械学習操作が可能になります。 詳細については、 Azure Machine Learning での Kubernetes コンピューティング ターゲットの概要に関するページを参照してください。

Azure IoT Edge を使用して、エッジ ゲートウェイをオンプレミス環境にデプロイできます。 IoT Edge には、エッジ ゲートウェイを大規模にデプロイおよび管理できる一連の機能が用意されています。 IoT Edge には、一般的なゲートウェイ シナリオを実装するために使用できる一連のモジュールも用意されています。 詳細については、「Azure IoT Edge とは」を参照してください

IoT Edge デバイスは、IoT ハブに対して永続的な接続を維持できます。 ゲートウェイは、デバイス センサー データを IoT Hub に転送します。 このオプションは、IoT Edge デバイスに接続されたダウンストリーム デバイスをコマンドで制御できます。

Azure IoT Edge を使用すると、複雑なイベント処理、機械学習、画像認識、およびその他の価値の高い AI モデルをデプロイできます。 Azure Stream Analytics や Azure Machine Learning などの Azure サービスは、コンテナー化された Linux ワークロードを介してオンプレミスで実行できます。 詳細については、「 Custom Vision Service を使用してエッジで画像分類を実行する」を参照してください。