IoT 資産とデバイスの管理と制御

次の図は、一般的な エッジベースの IoT ソリューションのコンポーネントの概要を示しています。 この記事では、エッジベースの IoT ソリューションの資産管理と制御コンポーネントについて説明します。

エッジベースの IoT ソリューションでは、運用技術者 (OT) は 、統合レジストリを利用することで、クラウドから資産を管理および制御できます。 OT ユーザーは 操作エクスペリエンス Web UI を使用できますが、IT 管理者は CLI と Azure portal を使用できます。 OT ユーザーは、資産を見つけて管理するために、IT 管理者によって作成され、通常は物理的な場所によって Azure IoT Operations インスタンスをグループ化する サイトを使用できます。

資産管理とは、資産の登録や資産エンドポイントの定義などのプロセスを指します。 資産管理には、次のタスクが含まれます。

• 資産エンドポイントの作成
• 資産、タグ、およびイベントの作成
• 資産エンドポイントのシークレット管理
• 資産の有効化と無効化

エッジベースの IoT ソリューションでは、 コマンドと制御 は、資産にコマンドを送信し、必要に応じてそれらの資産から応答を受信できるプロセスを指します。 たとえば、次のことができます。

• カメラのパン、傾き、ズームを制御します。
• エネルギーを節約するには、建物のライトを消します。
• MQTT トピックを使用して、資産がブローカーを介して相互に通信できるようにします。

コンポーネント

エッジベースの IoT ソリューションでは、資産の管理と制御に次のコンポーネントを使用できます。

• 1 つ以上の資産の Southbound エッジ接続情報が記述されている "資産エンドポイント"。
• 資産 から収集できるデータ ポイントを記述する資産タグ。
• 資産 の状態変更について通知する資産イベント。
• さまざまなデータ ソースを接続し、データ操作を実行するデータ フローにより、データを移動、変換、エンリッチするためのデータ パスの設定が簡略化されます。
• 運用エクスペリエンス Web UI を使用すると、ソリューションで資産を作成および構成できます。 Web UI を使用すると、資産を管理するタスクが簡略化されます。
• 資産のクラウドとエッジ管理を可能にする統合レジストリ。 Azure Device Registry は、エッジ環境で定義されている資産をクラウドの Azure リソースとしてプロジェクトします。 それによって単一の統合レジストリが提供されるため、資産を操作するすべてのアプリとサービスが 1 つのソースに接続できます。 クラウド上の資産と、エッジ上の Kubernetes のカスタム リソースとしての資産との間の同期も、デバイス レジストリで管理されます。
• 資産のスキーマを定義および管理できるスキーマ レジストリ。 データ フローは、スキーマを使用してメッセージの逆シリアル化およびシリアル化を行います。
• OPC UA や ONVIF などの接続プロトコルをエッジにデプロイして構成できる Akri サービス。 ONVIF 用コネクタは、カメラなどの ONVIF 資産を検出して登録するサービスです。 OPC UA 用コネクタは、OPC UA サーバーに接続し、ロボット アームなどの資産を登録するサービスです。
• シークレット をクラウドから同期し、それらを Kubernetes シークレットとしてエッジに格納するためのシークレット ストア拡張機能。 Azure IoT Operations では、クラウド上のマネージド コンテナー ソリューションとして Azure Key Vault を使用し、 Kubernetes 用の Azure Key Vault シークレット ストア拡張機能 を使用してシークレットを同期します。
• Azure IoT Operations インスタンスを物理的な場所別にグループ化し、OT ユーザーが資産を簡単に見つけて管理できるようにするサイト。 IT 管理者はサイトを作成し、それらに Azure IoT Operations インスタンスを割り当てます。 詳細については、「Azure Arc サイト マネージャー (プレビュー) とは」を参照してください。

詳細については、「 Azure IoT Operations の資産管理とは」を参照してください。

次の図は、一般的な クラウドベースの IoT ソリューションのコンポーネントの概要を示しています。 この記事では、クラウドベースの IoT ソリューションのデバイス管理と制御コンポーネントについて説明します。

IoT Central アプリケーションは、IoT Hub と Device Provisioning Service (DPS) サービスを内部で使用します。 そのため、クラウドベースの IoT ソリューションの概念は、IoT Central と IoT Hub のどちらを使用しているかに関係なく適用されます。

クラウドベースの IoT ソリューションでは、デバイス管理とは、デバイスのプロビジョニングや更新などのプロセスを指します。 デバイス管理には、次のタスクが含まれます。

• デバイスの登録。
• デバイスのプロビジョニング。
• デバイスの展開。
• デバイスの更新。
• デバイス キーの管理とローテーション。
• デバイスの監視。
• デバイスの有効化と無効化。

クラウドベースの IoT ソリューションでは、 コマンドと制御 とは、デバイスにコマンドを送信し、デバイスから応答を受け取るプロセスを指します。 たとえば、次のコマンドをデバイスに送信できます。

• 目標温度を設定します。
• 過去 2 時間の最大温度と最小値を要求します。
• センサーのデータ間隔を 10 秒に設定します。

プリミティブ

クラウドベースの IoT ソリューションでは、デバイスの管理とコマンドと制御の両方に次のプリミティブを使用できます。

• "デバイス ツイン"。状態データをクラウドと共有および同期します。 たとえば、デバイスはデバイス ツインを使用して、制御するバルブの現在の状態をクラウドに報告し、クラウドから目的の目標温度を受け取ることができます。
• "デジタル ツイン"。デジタル世界のデバイスを表します。 たとえば、デジタル ツインは、デバイスの物理的な場所、その機能、および他のデバイスとの関係を表すことができます。 デジタル ツインは、 IoT プラグ アンド プレイ と Azure Digital Twins で使用されます。 デバイス ツインとデジタル ツインの違いの詳細については、「 IoT プラグ アンド プレイ デジタル ツインについて」を参照してください。
• "ダイレクト メソッド"。クラウドからコマンドを受け取ります。 ダイレクト メソッドはパラメーターを使用し、応答を返すことができます。 たとえば、クラウドはダイレクト メソッドを呼び出して、30 秒以内に再起動することをデバイスに要求できます。
• デバイスへのクラウドメッセージは、クラウドからの一方向通知を受け取るためのものです。 たとえば、更新プログラムをダウンロードする準備ができていることを示す通知です。

詳細については、 クラウドからデバイスへの通信のガイダンスを参照してください。

資産エンドポイントの作成

Azure IoT Operations では、資産および資産エンドポイントと呼ばれる Azure リソースを使用して、産業用エッジ環境のコンポーネントを接続して管理します。 資産を作成する前に、資産エンドポイント プロファイルを定義する必要があります。 "資産エンドポイント" は、1 つ以上の資産の Southbound エッジ接続情報を記述するプロファイルです。

現在、Azure IoT Operations で使用できる南向きコネクタは、OPC UA 用コネクタ、メディア コネクタ (プレビュー)、および ONVIF 用コネクタ (プレビュー) です。 資産エンドポイントは、資産への接続を可能にするコネクタの構成です。 例えば次が挙げられます。

• OPC UA 用の資産エンドポイントには、OPC UA サーバーに接続するために必要な情報が格納されています。
• メディア コネクタ用の資産エンドポイントには、メディア ソースに接続するために必要な情報が格納されています。

詳細については、「 OPC UA のコネクタとは」を参照してください。

資産、タグ、およびイベントの作成

"資産" は、クラウド内のデバイスまたはコンポーネントを Azure Resource Manager リソースとして表し、エッジにあるデバイスまたはコンポーネントを Kubernetes カスタム リソースとして表す論理エンティティです。 資産を作成する際、そのメタデータと、資産によって生成されるデータポイント (タグとも呼ばれます) とイベントを定義できます。

現時点では、Azure IoT Operations の資産は次のことができます。

• ロボット アームなど、OPC UA サーバーに接続されている何か。
• カメラなどのメディア ソース。

運用エクスペリエンス Web UI または Azure IoT Operations CLI を使用して資産を定義する場合は、各資産の タグ と イベント を構成できます。

• "タグ" は、資産から収集できるデータ ポイントの説明です。 OPC UA タグは、資産に関するリアルタイム データまたは履歴データを提供します。
• "イベント" は、資産の状態変更を知らせる OPC UA サーバーからの通知です。

詳細については、「 資産と資産エンドポイントの定義」を参照してください。

資産エンドポイントのシークレット管理

セキュリティで保護された設定でデプロイされた Azure IoT Operations インスタンスでは、Azure Key Vault にシークレットを追加し、操作エクスペリエンス Web UI を使用して、資産エンドポイントで使用されるエッジに同期できます。 シークレットは、認証のために資産エンドポイントで使用されます。

詳細については、「 Azure IoT Operations デプロイのシークレットを管理する」を参照してください。

デバイス登録

デバイスは、IoT ハブに接続する前に登録する必要があります。 デバイス登録は、クラウドでデバイス ID を作成するプロセスです。 各 IoT ハブには、独自の内部デバイス レジストリがあります。 デバイス ID は、IoT Hub に接続するときにデバイスを認証するために使用されます。 デバイス登録エントリには、次のプロパティが含まれます。

• 一意のデバイス ID。
• 対称キーや X.509 証明書などの認証情報。
• デバイスの種類。 IoT Edge デバイスかどうか。

デバイスが侵害されているか、正しく機能していないと思われる場合は、デバイス レジストリで無効にして、クラウドに接続できないようにすることができます。 問題が解決した後にデバイスがクラウドに接続できるように、デバイス レジストリで再度有効にすることができます。 デバイス レジストリからデバイスを完全に削除して、クラウドへの接続を完全に防止することもできます。

詳細については、「 IoT ハブの ID レジストリについて」を参照してください。

IoT Central には、基になる IoT ハブでデバイス レジストリを管理するための UI が用意されています。 詳細については、「 デバイスの追加 (IoT Central)」を参照してください。

デバイス プロビジョニング

接続する必要がある IoT ハブの詳細を、ソリューション内の各デバイスに構成する必要があります。 ソリューション内の各デバイスを手動で構成できますが、この方法は多数のデバイスでは実用的でない場合があります。 この問題を回避するには、Device Provisioning Service (DPS) を使用して、各デバイスを IoT ハブに自動的に登録し、必要な接続情報を各デバイスにプロビジョニングします。 IoT ソリューションで複数の IoT ハブを使用する場合は、DPS を使用して、デバイスに最も近いハブなどの条件に基づいてデバイスをハブにプロビジョニングできます。 フィールドにデバイスを物理的に展開する前に、デバイスを登録およびプロビジョニングするための規則を使用して DPS を構成できます。

IoT ソリューションで IoT Hub を使用する場合、DPS の使用は省略可能です。 IoT Central を使用している場合、ソリューションでは、IoT Central が管理する DPS インスタンスが自動的に使用されます。

詳細については、「 デバイス プロビジョニング サービスの概要」を参照してください。

デバイスの展開

クラウドベースの IoT ソリューションでは、通常、デバイスのデプロイとは、IoT Edge デバイスにソフトウェアをインストールするプロセスを指します。 IoT Edge デバイスは、IoT ハブに接続すると、デバイスで実行するモジュールの詳細を含む 配置マニフェスト を受け取ります。 配置マニフェストには、モジュールの構成情報も含まれています。 IoT Edge デバイスで使用できる標準モジュールは多数あります。 独自のカスタム モジュールを作成することもできます。

詳細については、「Azure IoT Edge とは」を参照してください

IoT Central を使用している場合は、IoT Central UI を使用して 配置マニフェストを管理 できます。

デバイスの更新

通常、IoT ソリューションには、デバイス ソフトウェアを更新する方法が含まれている必要があります。 IoT Edge デバイスの場合は、配置マニフェストを更新することで、デバイスで実行されるモジュールを更新できます。

IoT Edge 以外のデバイスの場合は、デバイスファームウェアを更新する方法が必要です。 この更新プロセスでは、クラウドからデバイスへのメッセージを使用して、ファームウェアの更新プログラムが利用可能であることをデバイスに通知できます。 その後、デバイスはカスタム コードを実行して、更新プログラムをダウンロードしてインストールします。

Device Update for IoT Hub サービスは、デバイスを更新するためのマネージド ソリューションを提供します。 これにより、ファームウェアの更新プログラムをクラウドにアップロードし、デバイスに配布できます。 また、更新プロセスを監視し、更新が失敗した場合は以前のバージョンにロールバックすることもできます。

デバイス キーの管理とローテーション

IoT ソリューションのライフサイクル中に、デバイスの認証に使用されるキーのロールオーバーが必要になる場合があります。 たとえば、キーが侵害された疑いがある場合や、証明書の有効期限が切れた場合は、キーのロールオーバーが必要になる場合があります。

• IoT Hub と DPS でデバイスを認証するために使用されるキーをロールオーバーする
• IoT Central でデバイスを認証するために使用されるキーをロールオーバーする

デバイスの監視

ソリューション全体の監視の一環として、デバイスの正常性を監視することが必要な場合があります。 たとえば、デバイスの正常性を監視したり、デバイスがクラウドに接続されなくなった場合を検出したりできます。 デバイスを監視するためのオプションは次のとおりです。

• デバイスはデバイス ツインを使用して、現在の状態をクラウドに報告します。 たとえば、デバイスは、現在の内部温度または現在のバッテリ レベルを報告できます。
• デバイスは、クラウドにテレメトリ メッセージを送信することでアラートを生成できます。
• IoT Hub は、デバイスがクラウドに接続または切断されたときに イベントを発生させることができます 。
• IoT Central では、 ルールを使用 して、指定された条件が満たされたときにアクションを実行できます。
• 機械学習ツールを使用してデバイス テレメトリ ストリームを分析し、デバイスの問題を示す異常を特定します。

詳細については、 デバイス接続状態の監視 (IoT Hub) に関するページを参照してください。

デバイスの移行

IoT Central から IoT Hub にデバイスを移行する必要がある場合は、Device Migration ツールを使用できます。 詳細については、「 IoT Central から IoT Hub にデバイスを移行する」を参照してください。

Azure IoT Operations には、エンタープライズ グレードの標準に準拠した MQTT ブローカーが含まれています。 ブローカーは、エッジとクラウドの間の双方向通信を可能にし、 エッジでイベントドリブン アプリケーション に電力を供給します。

MQTT ブローカーを使用して、クラウドまたは他のエッジベースのコンポーネントから資産にコマンドを送信できるようにするコマンドおよび制御ソリューションを実装します。 ONVIF コネクタなどのコネクタでは、MQTT トピックを使用してコマンドをリッスンして応答できます。 たとえば、MQTT ブローカー内のトピックにメッセージを発行し、カメラに 20 度左にパンするように指示できます。 カメラは別のトピックを使用して、操作が完了したことを確認するメッセージを発行できます。 Azure IoT Operations SDK (プレビュー) には、これらの種類のコマンドと制御のシナリオを実装する方法を示すサンプルが含まれています。

詳細については、「 Azure IoT Operations 組み込みのローカル MQTT ブローカー」を参照してください。

デバイスにコマンドを送信して動作を制御するには、次のコマンドを使用します。

• 結果の即時確認を必要とする通信のダイレクト メソッド。 ダイレクト メソッドは、対話型のデバイス制御によく使用されます (ファンの電源を投入するなど)。

• デバイスを特定の目的の状態にすることを意図した実行時間が長いコマンド用に、デバイス ツインで必要なプロパティ。 たとえば、テレメトリの送信間隔を 30 分に設定します。

• クラウドからデバイスへのメッセージは、デバイスへの一方向通知のためのものです。

詳細については、 クラウドからデバイスへの通信のガイダンスを参照してください。

一部のシナリオでは、フィードバック ループに基づいてデバイス制御を自動化できます。 たとえば、デバイスの温度が高すぎる場合、クラウドで実行されているロジックは、ファンをオンにするコマンドを送信できます。 その後、クラウド プロセスは、温度が正常に戻ったときにファンをオフにするコマンドを送信できます。

この種の自動化をローカルで実行することもできます。 たとえば、IoT Edge を使用してゲートウェイ デバイスを実装している場合は、IoT Edge モジュールでデバイスを制御するロジックを実行できます。 エッジでこの種のロジックを実行すると、待ち時間が短縮され、ネットワークが停止した場合の回復性が提供されます。

仕事

ダイレクト メソッド、必要なプロパティ、およびクラウドからデバイスへのメッセージを使用して、個々のデバイスにコマンドを送信できます。 複数のデバイスにコマンドを送信する必要がある場合は、ジョブを使用できます。 ジョブを使用すると、コマンドと必要なプロパティの更新を複数のデバイスに同時にスケジュールして送信できます。 また、ジョブを使用して、コマンドの進行状況を監視したり、コマンドが失敗した場合に前の状態にロールバックしたりすることもできます。

詳細については、以下をご覧ください。

• 複数のデバイスでジョブをスケジュールする (IoT Hub)
• Azure IoT Central アプリケーションでデバイスを一括管理する