Azure IoT 操作在分层网络中如何发挥作用？

可以使用 Azure IoT 分层网络管理（预览版）服务在分层网络环境中部署 Azure IoT 操作。 这项服务使得 Azure IoT 操作能够在具有多个隔离网络层的工业网络环境中运行。

Azure IoT 操作的工业方案

在 Azure IoT 操作体系结构概述中所述的基础体系结构中，所有 Azure IoT 操作组件都部署到一个连接了 Internet 的群集中。 此类型的环境中默认启用组件到组件连接和组件到 Azure 连接。

但在许多工业方案中，不同用途的计算单元分别位于单独网络中。 例如：

• 工厂车间资产和服务器
• 数据中心数据收集和处理解决方案
• 包含信息工作线程的业务逻辑应用程序

在某些情况下，网络设计包括位于防火墙后或在物理上未与 Internet 连接的单个独立网络。 在其他情况下，会配置更复杂的分层网络拓扑，例如 ISA-95/Purdue 网络体系结构。

Azure IoT 分层网络管理旨在促进 Azure 与不同隔离网络环境中的群集之间的连接。 使 Azure IoT 操作能够根据需要在顶级隔离层和嵌套隔离层中实施。

分层网络管理（预览版）的工作原理是什么？

下图描述了将流量从隔离网络重定向到 Azure Arc 的机制。其中说明了基础逻辑。 有关此机制的具体实现步骤，请参阅配置 Azure IoT 分层网络管理。

1. 当 Arc 代理或扩展尝试连接到其相应的云端服务时，会使用 DNS 解析目标服务终结点的域名。

2. 自定义 DNS 在上层返回分层网络管理实例的 IP 地址，而不是服务终结点的实际 IP 地址。

3. Arc 扩展使用分层网络管理实例的 IP 地址启动与该实例的连接。

4. 如果分层网络管理实例位于面向 Internet 的层级，则会将流量转发到目标 Arc 服务终结点。 如果分层网络管理实例不在顶层，则会将流量转发到下一个分层网络管理实例，依此类推。

分层网络中 Azure IoT 操作的示例

下图是将 Azure IoT 操作部署到多个网络层中的多个群集的示例。 根据 Purdue 网络范例，4 级是企业网络，3 级是操作和控制层，2 级是控制器系统层。 此外，在我们的原型网络中，只有 4 级可直接访问 Internet。

图中的示例将 Azure IoT 操作部署到 2 到 4 级。 在 3 级和 4 级中，分层网络管理服务配置为从低一级的层接收和转发网络流量。 使用此转发机制，此部署中展示的所有群集都可以连接到 Azure 并启用 Arc。 与 Arc 连接使用户能够从云中管理任何启用 Arc 的终结点，例如服务器、群集和启用 Arc 的服务工作负载。

通过额外配置，分层网络管理服务还可以定向东西向流量。 此路由使 Azure IoT 操作组件能够将数据发送到上层的其他组件，并形成从底层到云的数据管道。 在多层网络中，可以根据体系结构和数据流需求跨层部署 Azure IoT 操作组件。 本示例提供了一些放置各组件的常规思路。

• OPC UA 连接器可能位于离资产和 OPC UA 服务器更近的下层。
• 数据应通过每个层中的 MQ 组件传向云端。
• 数据流组件通常放置在顶层，因为这是最可能具有大计算容量的层，也是数据在发送到云之前作准备的最后一站。

后续步骤

• 若要了解如何在隔离环境中为 Azure IoT 操作方案设置群集，请参阅配置分层网络管理服务以在隔离网络中启用 Azure IoT 操作。