Как операции Интернета вещей Azure работают в многоуровневой сети?

Операции Интернета вещей Azure можно развернуть в многоуровневой сетевой среде с помощью службы управления сетями (предварительная версия) Azure IoT. Эта служба позволяет операциям Интернета вещей Azure функционировать в промышленных сетевых средах с несколькими изолированными сетевыми уровнями.

Промышленный сценарий для операций Интернета вещей Azure

В базовой архитектуре, описанной в обзоре архитектуры операций Интернета вещей Azure, все компоненты Операций Интернета вещей Azure развертываются в одном подключенном к Интернету кластере. В этой среде подключения между компонентами и компонентами в Azure включены по умолчанию.

Однако во многих промышленных сценариях вычислительные единицы для разных целей находятся в отдельных сетях. Например:

• Ресурсы и серверы на заводской площадке
• Сбор и обработка решений в центре обработки данных
• Бизнес-приложения логики с информационными работниками

В некоторых случаях проектирование сети включает в себя одну изолированную сеть, расположенную за брандмауэром или физически отключенную от Интернета. В других случаях настраивается более сложная топология сети, например архитектура сети ISA-95/Purdue.

Управление сетью уровня Интернета вещей Azure предназначено для упрощения подключений между Azure и кластерами в разных типах изолированных сетевых сред. Включение операций Интернета вещей Azure для работы в изолированных слоях верхнего уровня и вложенных изолированных слоях по мере необходимости.

Как работает многоуровневая система управления сетями (предварительная версия)?

На следующей схеме описывается механизм перенаправления трафика из изолированной сети в Azure Arc. Он объясняет базовую логику. Сведения о конкретных шагах по достижению этого механизма см. в статье "Настройка управления многоуровневой сетью Azure IoT".

1. Когда агент Arc или расширение пытается подключиться к соответствующей облачной службе, он использует DNS для разрешения доменного имени конечной точки целевой службы.

2. Пользовательский DNS возвращает IP-адрес экземпляра управления многоуровневой сетью на верхнем уровне вместо реального IP-адреса конечной точки службы.

3. Расширение Arc инициирует подключение к экземпляру управления многоуровневой сетью с IP-адресом.

4. Если экземпляр управления многоуровневой сетью находится на уровне интернета, он перенаправит трафик в целевую конечную точку службы Arc. Если экземпляр управления многоуровневой сетью не на верхнем уровне, он перенаправит трафик в следующий экземпляр управления многоуровневой сетью и т. д.

Примечание.

Управление многоуровневой сетью перенаправит интернет-трафик только в том случае, если назначение находится в списке разрешений.

Пример операций Интернета вещей Azure в многоуровневой сети

На следующей схеме представлен пример развертывания операций Интернета вещей Azure в нескольких кластерах в нескольких сетевых слоях. На основе парадигмы сети Purdue уровень 4 — корпоративная сеть, уровень 3 — это уровень операций и управления, а уровень 2 — системный уровень контроллера. Кроме того, в нашей прототипной сети только уровень 4 имеет прямой доступ к Интернету.

В изображенном примере операции Интернета вещей Azure развертываются на уровне 2–4. На уровне 3 и уровне 4 службы управления многоуровневой сетью настроены для получения и пересылки сетевого трафика из уровня, который ниже. С помощью этого механизма пересылки все кластеры, показанные в этом развертывании, могут подключаться к Azure и стать включенными Arc. Подключение к Arc позволяет пользователям управлять любой конечной точкой с поддержкой Arc, такими как серверы, кластер и рабочие нагрузки службы с поддержкой Arc из облака.

При использовании дополнительных конфигураций служба управления многоуровневой сетью также может направлять трафик на восток-запад. Этот маршрут позволяет компонентам Операций Интернета вещей Azure отправлять данные другим компонентам на верхнем уровне и конвейерам данных формы из нижнего слоя в облако. В многоуровневой сети компоненты Операций Интернета вещей Azure можно развертывать на разных уровнях на основе архитектуры и потоков данных. В этом примере приведены некоторые общие идеи о том, где будут размещаться отдельные компоненты.

• Соединитель для OPC UA может находиться на нижнем уровне, который ближе к вашим ресурсам и серверам OPC UA.
• Данные должны передаваться в облачную сторону через компоненты MQ в каждом слое.
• Как правило, компонент потоков данных помещается на верхний слой, так как наиболее вероятный слой имеет значительную емкость вычислительных ресурсов и в качестве окончательной остановки для подготовки данных перед отправкой в облако.

Следующие шаги

• Сведения о настройке кластера в изолированной среде для сценариев операций Интернета вещей Azure см. в статье Настройка службы управления многоуровневой сетью для включения операций Интернета вещей Azure в изолированной сети.