Créer un appareil IoT Edge
S’applique à : 
IoT Edge 1.5 IoT Edge 1.4
Important
IoT Edge 1.5 LTS et IoT Edge 1.4 LTS sont des versions prises en charge. IoT Edge 1.4 LTS sera en fin de vie le 12 novembre 2024. Si vous utilisez une version antérieure, consultez l’article Mettre à jour IoT Edge.
Cet article donne une vue d’ensemble des options disponibles pour l’installation et l’approvisionnement d’IoT Edge sur vos appareils.
Il présente toutes les options de votre solution IoT Edge pour vous aider dans vos choix :
- Choisir une plateforme
- Choisir comment approvisionner les appareils
- Choisir une méthode d’authentification
À la fin de cet article, vous aurez une idée claire de la plateforme, de l’approvisionnement et des options d’authentification que vous souhaitez pour votre solution IoT Edge.
Bien démarrer
Si vous connaissez le type de plateforme, l’approvisionnement et les options d’authentification que vous souhaitez utiliser pour créer un appareil IoT Edge, suivez les liens qui figurent dans le tableau ci-dessous pour commencer.
Si vous souhaitez savoir plus en détail comment choisir l’option la plus adaptée, poursuivez la lecture de cet article.
| Conteneurs Linux sur des hôtes Linux | Conteneurs Linux sur des hôtes Windows | |
|---|---|---|
| Approvisionnement manuel (un seul appareil) | Certificats X.509 Clés symétriques |
Certificats X.509 Clés symétriques |
| Approvisionnement automatique (appareils à grande échelle) | Certificats X.509 Module de plateforme sécurisée (TPM) Clés symétriques |
Certificats X.509 Module de plateforme sécurisée (TPM) Clés symétriques |
Termes et concepts
Si vous ne connaissez pas déjà la terminologie IoT Edge, passez en revue quelques concepts clés :
Runtime IoT Edge : le runtime IoT Edge est une collection de programmes qui transforment un appareil en appareil IoT Edge. Pris collectivement, ses composants permettent à des appareils IoT Edge d’exécuter vos modules IoT Edge.
Approvisionnement : chaque appareil IoT Edge doit être approvisionné. Le processus d’approvisionnement comprend deux étapes. La première consiste à inscrire l’appareil dans un hub IoT, ce qui crée une identité cloud permettant à l’appareil d’établir la connexion à son hub. La deuxième correspond à la configuration de l’appareil avec son identité cloud. L’approvisionnement peut être effectué manuellement appareil par appareil, ou à grande échelle avec le Service IoT Hub Device Provisioning.
Authentification : l’appareil IoT Edge doit vérifier son identité lorsqu’il se connecte à IoT Hub. Vous pouvez choisir la méthode d’authentification à utiliser, par exemple les mots de passe de clé symétrique, les empreintes de certificat ou les Modules de plateforme sécurisée (TPM, Trusted Platform Module).
Choisir une plateforme
Les options de plateforme sont désignées par les termes « système d’exploitation du conteneur » et « système d’exploitation hôte ». Le système d’exploitation du conteneur correspond au système d’exploitation utilisé à l’intérieur des conteneurs du runtime IoT Edge et des modules. Le système d’exploitation hôte, lui, est le système d’exploitation de l’appareil sur lequel s’exécutent les conteneurs et les modules du runtime IoT Edge.
Il existe trois options de plateforme pour les appareils IoT Edge.
Conteneurs Linux sur des hôtes Linux : exécutez des conteneurs IoT Edge Linux directement sur un hôte Linux. Dans les documents IoT Edge, cette option est également appelée Linux et Conteneurs Linux pour des raisons de simplicité.
Conteneurs Linux sur des hôtes Windows : exécutez des conteneurs IoT Edge Linux dans une machine virtuelle Linux sur un hôte Windows. Dans les documents IoT Edge, cette option est également appelée Linux sur Windows, IoT Edge pour Linux sur Windows et EFLOW.
Conteneurs Windows sur des hôtes Windows : exécuter des conteneurs IoT Edge Windows directement sur un hôte Windows. Dans les documents IoT Edge, cette option est également appelée Windows et Conteneurs Windows pour des raisons de simplicité.
Pour les dernières informations sur les systèmes d’exploitation actuellement pris en charge pour les scénarios de production, consultez Systèmes pris en charge par Azure IoT Edge.
Conteneurs Linux sur Linux
Pour les appareils Linux, le runtime IoT Edge est installé directement sur l’appareil hôte.
IoT Edge prend en charge les appareils Linux x64, ARM32 et ARM64. Microsoft fournit des packages d’installation officiels pour divers systèmes d’exploitation.
Conteneurs Linux sur Windows
IoT Edge pour Linux sur Windows héberge une machine virtuelle Linux sur un appareil Windows. La machine virtuelle est fournie avec le runtime IoT Edge, et les mises à jour sont gérées avec Microsoft Update.
IoT Edge pour Linux sous Windows est la méthode recommandée pour exécuter IoT Edge sur les appareils Windows. Pour plus d’informations, consultez Présentation d’Azure IoT Edge pour Linux sur Windows.
Conteneurs Windows sur Windows
La version 1.2 ou ultérieure d’IoT Edge ne prend pas en charge les conteneurs Windows. qui ne sont pas pris en charge au-delà de la version 1.1.
Choix du mode d’approvisionnement des appareils
Vous pouvez approvisionner un seul appareil ou plusieurs à la fois, en fonction des besoins de votre solution IoT Edge.
Les options disponibles pour authentifier les communications entre les appareils IoT Edge et vos hubs IoT dépendent de la méthode d’approvisionnement choisie. Pour plus d’informations sur ces options, consultez la section Choix d’une méthode d’authentification.
Un seul appareil
L’approvisionnement d’un seul appareil fait référence à l’approvisionnement d’un appareil IoT Edge sans l’aide du Service IoT Hub Device Provisioning (DPS, Device Provisioning Service). Comme vous pourrez le constater, il est également appelé approvisionnement manuel.
En utilisant le provisionnement d’un seul appareil, vous devez entrer manuellement les informations de provisionnement, par exemple, une chaîne de connexion, sur vos appareils. L’approvisionnement manuel est rapide et facile à configurer pour quelques appareils seulement, mais la charge de travail augmente avec le nombre d’appareils. Le provisionnement vous permet de prendre en compte la scalabilité de votre solution.
La clé symétrique et les méthodes d’authentification X.509 auto-signées sont disponibles pour l’approvisionnement manuel. Pour plus d’informations sur ces options, consultez la section Choix d’une méthode d’authentification.
Appareils à grande échelle
L’approvisionnement d’appareils à grande échelle fait référence à l’approvisionnement d’un ou plusieurs appareils IoT Edge avec l’aide du Service IoT Hub Device Provisioning. Comme vous pourrez le constater, il est également appelé approvisionnement automatique.
Si votre solution IoT Edge a besoin de plusieurs appareils, le provisionnement automatique avec DPS vous évite d’entrer manuellement les informations de provisionnement dans les fichiers de configuration de chacun des appareils. Ce modèle automatisé peut être appliqué à des millions d’appareils IoT Edge.
Vous pouvez sécuriser votre solution IoT Edge avec la méthode d’authentification de votre choix. Les méthodes d’authentification par clé symétrique, certificats X.509 et attestation de Module de plateforme sécurisée (TPM, Trusted Platform Module) sont disponibles pour approvisionner les appareils à grande échelle. Pour plus d’informations sur ces options, consultez la section Choix d’une méthode d’authentification.
Pour plus d’informations sur les fonctionnalités du service DPS, consultez la section Fonctionnalités de la page de présentation.
Choisir une méthode d’authentification
Attestation de certificat X.509
L’utilisation de certificats X.509 comme mécanisme d’attestation est le moyen recommandé d’adapter la production et de simplifier le provisionnement des appareils. Les certificats X.509 sont généralement organisés en une chaîne d’approbation de confiance. À partir d’un certificat racine auto-signé ou approuvé, chaque certificat de la chaîne signe le certificat inférieur suivant. Ce modèle crée une chaîne déléguée de confiance depuis le certificat racine jusqu’au certificat en aval final installé sur un appareil, en passant par chaque certificat intermédiaire.
vous créez deux certificats d’identité X.509, que vous placez sur l’appareil. Quand vous créez une identité d’appareil dans IoT Hub, vous fournissez les empreintes numériques des deux certificats. Quand l’appareil s’authentifie auprès de IoT Hub, il présente un certificat et IoT Hub vérifie que le certificat correspond à son empreinte numérique. Les clés X.509 sur l’appareil doivent être stockées dans un module de sécurité matériel (HSM). Par exemple, les modules PKCS#11, ATECC, dTPM, etc.
Cette méthode d’authentification est plus sécurisée que les clés symétriques et prend en charge les inscriptions de groupe, ce qui simplifie la gestion d’un grand nombre d’appareils. Cette méthode d’authentification est recommandée pour les scénarios de production.
Attestation de module de plateforme sécurisée
L’attestation TPM est une méthode de provisionnement d’appareils qui utilise des fonctionnalités d’authentification au niveau logiciel et matériel. Chaque puce TPM utilise une clé de type EK (Endorsement Key) unique pour vérifier son authenticité.
L’attestation TPM est uniquement disponible pour l’approvisionnement à grande échelle avec le service DPS. Elle ne prend en charge que les inscriptions individuelles, et non les inscriptions de groupe Les inscriptions de groupe ne sont pas disponibles en raison de la nature de l’appareil du module TPM.
TPM 2.0 est requis lorsque vous utilisez l’attestation TPM avec le service de provisionnement des appareils.
Cette méthode d’authentification étant plus sécurisée que les clés symétriques, elle est recommandée dans les scénarios de production.
Attestation de clé symétrique
L’attestation de clé symétrique constitue une approche simple pour authentifier un appareil. Cette méthode d’attestation représente une expérience « Hello world » pour les développeurs qui découvrent le provisionnement d’appareils ou qui n’ont pas d’exigences de sécurité strictes.
quand vous créez une identité d’appareil dans IoT Hub, le service crée deux clés. Vous placez l’une des clés sur l’appareil, lequel présente la clé à IoT Hub au moment de l’authentification.
Cette méthode d’authentification est plus rapide pour commencer, mais moins sécurisée que l’approvisionnement des appareils avec un module TPM ou des certificats X.509, qui doit être utilisé pour les solutions présentant des exigences de sécurité sont plus strictes.
Étapes suivantes
Vous pouvez utiliser la table des matières pour accéder au guide de création d’un appareil IoT Edge de bout en bout adapté aux exigences de plateforme, d’approvisionnement et d’authentification de votre solution IoT Edge.
Vous pouvez également utiliser les liens suivants pour accéder à l’article correspondant.
Conteneurs Linux sur des hôtes Linux
Approvisionnement manuel d’un seul appareil :
- Approvisionnement d’un seul appareil Linux avec des certificats X.509
- Approvisionnement d’un seul appareil Linux avec des clés symétriques
Approvisionnement de plusieurs appareils à grande échelle :
- Approvisionnement d’appareils Linux à grande échelle avec des certificats X.509
- Approvisionnement d’appareils Linux à grande échelle avec l’attestation TPM
- Approvisionnement d’appareils Linux à grande échelle avec des clés symétriques
Conteneurs Linux sur des hôtes Windows
Approvisionnement manuel d’un seul appareil :
- Approvisionnement d’un seul appareil Linux sur Windows avec des certificats X.509
- Approvisionnement d’un seul appareil Linux sur Windows avec des clés symétriques
Approvisionnement de plusieurs appareils à grande échelle :