开发者学习笔记【阿里云物联网助理工程师认证(ACA):网络管理组件功能介绍】
课程地址:https://edu.aliyun.com/course/3112060/lesson/18983
网络管理组件功能介绍
课程目标
学习完本节课程,将了解到以下内容
1. 物联网平台介绍
2. 阿里云物联网平台组件
一、网络管理组件功能介绍
物联网络管理平台
物联网网络管理平台简称它为Link WAN,他是阿里云面向物联网企业所推出的网管平台,旨在帮助开发者搭建企业物联网络,实现企业级大容量,高并发的网络账户。
作为物联网络管理平台可与阿里云物联网平台搭配使用,确保参与物联网开发的每一个环节的开发者都能轻松的实现各自的功能,并且拥有可自主管理的物联网无线覆盖区。那么下图就是物联网络管理平台与整个物联网产品的关系图
Link WAN目前支持协议的网关与设备的接入,主要功能如下:
第一: 网络管理用户可将网关关于自己的账号内实现网络的覆盖服务。
第二: 网络分享,通过入网凭证的分发,用户可分享自己搭建的网络给其他的阿里云用,实际设备实际上的接入网络并连接连接上了云端。
第三: 数据出口,可实现对凭证数据的出口统一配置,并支持阿里云物联网平台配置的。
那么我们来看一下这个物联网络管理平台,也就是Link WAN的优势。
物联网络管理平台优势
在标准方面遵循Link WAN国际标准协议,在技术领先度方面,阿里云自主迭代跟随联盟定义标准,目前支持Link WAN 1.0 /1.0.2/1.1 Class/A/B/C。
在性能方面具有亿级设备的连接能力,百万级并发的能力以及架构支撑水平性扩展。
在安全方面 Link WAN 基于 LoRaWAN AES 与阿里云物联网安全通道实现了双重链路的保障。
在稳定性方面,服务可用性高达99.9%,单点故障自动迁移。
在使用难易度方面,Link WAN采用了一站式网络管理,实时管理覆盖区,无缝连接阿里云产品与物联网平台,保证了用户搭建的灵活简便性。
下图是物联网络管理平台优势图
能力 |
其他LoRa平台 |
Link WAN(LoRaWAN) |
LoRaWAN 国际标准 |
标准纷乱,彼此互不相通,系统维护成本高 |
道循LoRaWAN国际标准协议 |
技术领先性 |
普偏采用开源Demo版本NS自行迭代,对于新协议 |
阿里云自主迭代,跟随联盟定义标准,目前支持 |
LoRaWAN 1.0/1.0.2/1.1,ClassA/B/C |
||
性能 |
自行实现扩展性架构,极难做到从设备粒度调度服 |
具有亿级设备的长连接能力、百万级并发的能力 |
安全 |
需要额外开发、部署各种安全措施,保障设备数据 |
基于LoRaWANAES与阿里云物联网安全通道, |
联网络管理平台的产品架构
当前阿里云物联网络管理平台的入网软件有网关或者节点SDK的组成。帮助设备连接阿里云,是由云端和节点SDK组成,帮助设备连接阿里云,是设备端的安全与云端安全通信的数据通道。节点SDK统一了节点的协议栈,网关SDK统一了各种网关接入平台的方式。
下图是物联网络管理平台的产品架构图
节点SDK的特性
第一个:Link WAN协议栈,它支持最新的Link WAN协议栈1.0.2/1.1版本。
第二个:组播功能,支持分组广播的下行传输,大幅度的提升网络的下行信道效率。
第三个:AT指令扩展中信模板操作界面,符合ICA标准指令集。
网关SDK特性
第一个:网关监测,支持实时监控网关的健康状况,支持CPU,内存传输等状态的实时监控。
第二个:网关支持OTA签名校验,断电恢复状态.。
第三个:安全存储,支持保护网关中已下载的密钥的安全,防止密钥被异常的窃取。
Link WAN功能介绍
网关与节点管理
Link WAN为用户提供了功能丰富的网源管理服务。包括:节点,网关和上下行数据的查询。
凭证服务
用户可自行采购网关来组建网络,形成物联网覆盖服务区。凭证则是用户是否能使用此网络的通行证。
物联网络平台可使用户将创建的凭证授权给自己,或者他的客户,分享网络覆盖给其他阿里云用户使用。
当设备采集数据传至云端时,用户可以将平台收集的数据进行按凭证分权归属,然后配置转发规则,将数据转发到目的应用所对应的消息队列,或阿里云IoT服务上。
认证实验室
认证实验室功能,Link WAN为用户提供了强大的设备在线调试功能,同时提供了灵活的协议互联互通认证服务。
安全产线功能
安全永远是阿里云IoT的重要功能。阿里云Link WAN提供了多重防护来保证设备端和云端的安全。
平台为每一个节点设备颁布了唯一证书,节点通过双向加密来连接到云端。并且Link WAN支持工厂端的安全产线烧录功能,保证对于设备或者模组的大规模烧录时的通道安全。
D2D通信技术
D2D通信技术是阿里云Link WAN团队开发的新型LoRa通讯技术,通过实现长前导码唤醒和本地数据控制存储,能很好的满足功耗较低,响应时间较快和本地控制场景需求。
下图是D2D通信技术图
功能 |
Class A |
Class B |
Class C |
D2D |
实时性 |
差 |
较好 |
很好 |
好 |
功耗 |
低 |
中 |
高 |
中 |
本地通信 |
不支持 |
不支持 |
不支持 |
支持 |
部署 |
简单 |
复杂(需部署支持 |
简单 |
简单 |
节点密钥 |
标准版 |
标准版 |
标准版 |
专业版 |
泛在网络
广泛存在的网络,它以无所不在,无所不包,无所不能为特征,实现在任何时间,任何地点,任何人,任何物都能顺畅的通信为目标。
阿里云物联网泛在网络是一项接入能力分享计划。旨在通过分享部署的网络节点提供泛在记录的能力,加速生态用户联网过程。目前已经接入了。
Link WAN的基础版与专业版的区别:
基础版
适合小组网的用户,可接入符合Link WAN协议的网关节点,产品开通后即是基础版的网管服务。
专业版
适合运营级用户使用,可接入运营级的高速网关,单网关服务10,000以上。同时可使用专业的网管服务接口,用于对接自建的运营平台。
Hybrid网关
Hybrid网关为LoRaWAN边缘方案,搭载了阿里云LoT独家固件,可同时接入公共云LoRaWAN与本地数据输出至边缘服务器使用。
Hybrid网关与整个物联网产品的关系,如下图所示
Hybrid的网关能力
第一个支持LoRaWAN Class A/C。
第二个支持边缘工作模式。
第三个节点OTAA入网直连LoRaWAN云平台。
第四个节点ABP入网数据本地使用,可对接Alibaba Cloud Link Edge边缘服务器。
第五个支持WSS+TLS协议实现与边缘服务间长连接及加密通讯。
第六个支持LpRa_Edge_SDK二次开发接入边缘计算服务器。
阿里云主账号登录控制台
使用阿里云账号登录阿里云账号。具有该账号下所有资源的完全操作权限,并且可以修改账号信息。
因为主账号具有账号的完全权限,主账号泄露会带来极其安全隐患。因此,若需要授权其他人访问您的阿里云资源,请勿将您的账号密码直接泄露出去。应该通过RAM访问控制创建子账号,并给子账号授权需要的服务权限。非账号所有者或管理员通过子账号来访问资源。
RAM授权管理
RAM授权管理和STS都是阿里云提供权限管理系统的。
RAM主要作用是控制账号系统,通过使用RAM创建管理子账号,并通过给子账号授予不同的权限,控制子账号对资源的操作权限。
STS是一个安全凭证的管理系统,为阿里云子账号提供短期访问管理权限,通过STS来完成对临时用户的访问授权,RAM和STS解决的一个核心问题就是如何在不暴露主账号的 AccessKey 的情况下,安全的授权他人访问。
因为一旦主账号的 AccessKey 被泄露,会带来期待的安全风险。既获得该账号的 AccessKey 的人可任意操作该账号下的所有资源,盗取重要信息。
RAM提供是一种长期有效的权限控制转化。通过创建子账号,并授予子账号相应的权限,将不同的权限分给不同的用户,子账号的 AccessKey 也不能泄露。
即使子账号泄露也不会造成全局信息泄露。一般情况下,子账号长期有效。
相对于RAM提供了长效控制机制提供的,STS则是一种临时访问授权。通过调用 STS 获得临时的 AccessKey 和 Token 。可以将临时的 AccessKey 和 Token 发给临时用户,用来访问相应的资源。从STS获取权限会受到更加严格的限制,并且具有时间限制。因此即使出现信息泄露情况影响则会相对较小。
在使用和RAM和STS涉及以下概念
在使用和 RAM 和 STS 时,我们需要了解一些基本概念。
子账号:在 RAM控制台中创建的用户,每个用户即一个子账号。
创建时或创建成功后,均可为子账号生成独立的 AccessKey 。创建后,需为子账号配置密码和权限。
使用子账号,可以进行已获授权的操作。子账号可以理解为具有某种权限的用户,认为是一个具有某些权限的操作发起者。
角色(Role):角色表示某种操作权限的虚拟概念,但是没有独立的登录密码和 AccessKey 。子账号可以扮演角色时,子账号拥有的权限是该角色权限。
授权策略:用来定义权限的规则。例如允许子账号的用户来读取或写入某些资源。
资源:代表子账号用户可访问的云资源,例如表格存储所有的instance ,某个 instance 或者某个 instance 下面的某个 Table 等。
子账号和角色可以类比为个人和其身份的关系。例如某人在公司的角色是员工,在家里的角色是父亲。
同一个人在不同的场景中扮演不同的角色,在扮演不同的角色的时候,拥有对应角色的权限。角色本身并不是一个操作的实体,只有用户扮演了该角色之后才是一个完整的操作实体。并且,一个角色可以被多个不同的用户同时扮演。
网络管理
网络管理服务涵盖了三种类型,网关管理,中继管理,入网开通,用于查看,编辑和销毁网关配置。
网关管理:可以添加网关,查看网关的详情,例如地理信息,上下行数据等,删除网关。
中继管理:可管理网络中的中继设备,与网关设备同样属网元单元,在某些信号不佳的场景,可选择添加搭载电池的中继设备来补充我们的覆盖范围。
入网开通:添加凭证,凭证是用来分配网络的使用权限,用户可以从入网开通创建专用凭证,并且授权给自己或其他用户,凭证关联到设备后即可接入组建的网络。
系统通知功能
平台支持将系统通知和网关告警及时的告知用户。
系统通知当前主要有凭证授权通知,当其他用户授权凭证给当前用户时,用户可以接到通知并是否决定授权。
网络分享功能
用户可将入网凭证分享给阿里云的其他用户,允许他人使用该入网凭证接入设备。
下面的三张图,左上图为网络分享的流程,右边的两张图为网络分享给别人的过程和接收网络分享的过程。
数据出口
Link WAN支持通过阿里云物联网平台流传数据,也支持用户自己
自建云服务流转数据。
数据出口物流平台控制台,使用内部接口,物联网平台可关联操作Link WAN的节点配置。
数据出口至自建云,使用的是消息队列MQ,透过MQTT订阅与数据消费。
数据出口操作方法
对入门组开发的用户,推荐直接从阿里云物联网平台控制台来完成Link WAN设备接入。
节点分组为1对1同步,此方式支持Link WAN的节点分组同步到阿里云物联网平台的产品设备列表。
下图为数据出口的过程
每个节点的数据通过数据流入到阿里云物联网平台,物流网平台的数据可以自动同步到其他的所有节点当中去。
对于有数据汇据要求的客户,可以 Link WAN 配置节点分组,将分组所有数据汇聚到同一个产品。
下图为数据绘制的过程
很明显是所有数据怎么样同步汇聚到物联网平台或者MQ消息队列中,而不是汇聚到一个节点,在下一个节点进行数据流入。
