$30 off During Our Annual Pro Sale. View Details »

Azure Arc x IoT Connect Gatewayを用いたIoTシステム / Io...

Azure Arc x IoT Connect Gatewayを用いたIoTシステム / IoT Systems with Azure Arc x IoT Connect Gateway

2023年10月13日のHCCJP(ハイブリッドクラウド研究会) 第46回勉強会で発表した「Azure Arc x IoT Connect Gatewayを用いたIoTシステム」の講演資料です。
講演詳細についてはこちらを御覧ください。
https://hybridcloud.connpass.com/event/296895/

NTT Communications

October 13, 2023
Tweet

More Decks by NTT Communications

Other Decks in Technology

Transcript

  1. © NTT Communications Corporation All Rights Reserved. Azure Arc x

    IoT Connect Gatewayを⽤いたIoTシステム HCCJP(ハイブリッドクラウド研究会) 46回勉強会 2023/10/13 NTTコミュニケーションズ株式会社 野⼭瑛哲 ⾓⽥佳史 鈴ヶ嶺聡哲
  2. © NTT Communications Corporation All Rights Reserved. 2 アジェンダ 1.

    エッジコンピューティング概要 2. エッジコンピューティング導⼊の課題 • 管理の複雑化 • NW構築 3. Azure Arcによるハイブリッド管理 4. IoT Connect Mobile® Type S・IoT Connect GatewayによるNW構築 5. Azure Arc x IoT Connect Gatewayを⽤いたIoTシステム • IoTセンサーデータの圧縮 • 匿名化処理によるプライバシー保護 • 動体検知による監視・リアルタイム異常検知カメラシステム 6. まとめ
  3. © NTT Communications Corporation All Rights Reserved. 3 エッジコンピューティング概要 クラウドコンピューティングの課題

    • 中央処理・データ集約による遅延 • プライバシー保護の要件が満たせない • 全デバイスの通信による低いエネルギー効率 クラウドシステムの概要 エッジコンピューティングによる解決策 •近距離・低遅延処理による⾼速化 •ローカル処理による安全性 •エッジでの⼀時処理によるデータ・通信削減 エッジシステムの概要
  4. © NTT Communications Corporation All Rights Reserved. 4 エッジコンピューティング導⼊の課題 •

    管理の複雑化 • クラウド・オンプレミス環境にリソースが混在 • 複数の異なるエッジデバイスの管理 • 権限・セキュリティ管理 • クラウド・オンプレミス横断のDevOps → Azure Arcによるハイブリッド管理 • NW構築 • インターネット回線の利⽤時の課題 → IoT Connect Mobile® Type S・IoT Connect GatewayによるNW構築
  5. © NTT Communications Corporation All Rights Reserved. 5 Azure Arcによるハイブリッド管理

    • Azure Arcとは • クラウド、オンプレミス環境を⼀元的に管理するプラットフォーム • 共通機能 • Azure Resource Managerで⼀覧化して管理 • Azure Resource Graph を使⽤した検索 • Azure ロールベースのアクセス制御 (RBAC) によるアクセスとセキュリティ • Azure Monitorによる監視 • Azure Arc 対応サーバー • Windows や Linux の物理サーバーと仮想マシンが管理対象 • オンプレミス環境のサーバにエージェントをインストールして管理対象に追加 • 対応アーキテクチャはx86-64のWindowsまたはLinux • 機能 • テンプレートと拡張機能を使⽤した環境と⾃動化 • 仮想マシン拡張機能 • FW設定不要なSSH接続 • Azure Arc 対応 Kubernetes • Kubernetes クラスターが管理対象 • “az connectedk8s connect” でAzure Arc に接続することで管理対象に追加 • 機能 • FW設定不要なKubernetes クラスターの apiserver接続 • GitOps with Flux v2 • Azure Machine Learning
  6. © NTT Communications Corporation All Rights Reserved. 6 共通機能 •

    Azure Resource Managerで⼀覧化して管理 • Azure Resource Graph を使⽤した検索 • Azure ロールベースのアクセス制御 (RBAC) によるアクセスとセキュリティ • Azure Monitorによる監視
  7. © NTT Communications Corporation All Rights Reserved. 7 Azure Resource

    Managerで⼀覧化して管理 • クラウド、エッジのリソースをAzure Resource Managerで⼀覧化して管理 • あたかもAzure 内で実⾏されているかのように仮想マシン、 Kubernetes クラスター を管理 https://learn.microsoft.com/ja-jp/azure/azure-arc/overview
  8. © NTT Communications Corporation All Rights Reserved. 8 Azure Resource

    Graph を使⽤した検索 • Azure Resource Graph • Azure Resource Managerで管理されているリソース情報をクエリを⽤いて検索するサービス • Kusto 照会⾔語 (KQL) を使って検索 • パイプはシーケンシャルにフィルタをかけて処理するイメージ • クエリ例 • エッジ環境、クラウド環境の仮想マシンの合計数(OSの種類別なども可能) • 特定のタグを含んだリソース⼀覧 • Azure Arc 対応サーバーにインストールされているすべての拡張機能を⼀覧表⽰する • 最新リリース バージョンのエージェントを実⾏していない Arc 対応サーバーを⼀覧表⽰する • Azure Monitor 拡張機能のあるすべての Azure Arc 対応 Kubernetes クラスターを⼀覧表⽰する Resources | project id, subscriptionId, location, type, properties.agentVersion, properties.kubernetesVersion, properties.distribution, properties.infrastructure, properties.totalNodeCount, properties.totalCoreCount | where type =~ 'Microsoft.Kubernetes/connectedClusters' Azure Arc 対応 Kubernetes リソースをすべて⼀覧表⽰するクエリ例
  9. © NTT Communications Corporation All Rights Reserved. 9 Azure ロールベースのアクセス制御

    (RBAC) によるアクセスとセキュリティ • Azure ロールベースのアクセス制御 (RBAC) • ユーザに設定されたロールによってリソースのアクセスを制御するサービス • アクセス制御例 • あるユーザーはエッジ環境のAzure Arc対応サーバの管理を許可し、別のユーザーはクラウド環境の仮想マシンの管理を許可 • あるアプリケーションに、特定のリソースグループのAzure Arcリソースのアクセスを許可 • あるグループは特定のAzure Arc 対応 Kubernetesへのapiserver接続が可能 • 特にAzure ArcはFW設定不要なSSH接続、Kubernetes クラスターの apiserver接続によりオンプレミス環境 に接続できるためロールにより最⼩限のアクセス権限を設定する必要がある • オンプレミス環境をMicrosoft Entra ID (旧称 Azure Active Directory)ユーザで⼀元的に管理できる • ゼロトラストセキュリティの導⼊ • セキュリティに問題のある使い回しのID/PASSの排除 • 多要素認証有効によるセキュリティ強化
  10. © NTT Communications Corporation All Rights Reserved. 10 Azure Monitorによる監視

    • Azure Monitor • 監視データを収集、分析、対応するための包括的な監視ソリューション • 具体例 • Azure Policyを利⽤した複数マシンの⼀括インストール • Azure Arc 対応の Windows と Linux のサーバーに⾃動的にAzure Monitor エージェントがデプロイ • Azure portal上でダッシュボードの作成 • VM insightsを利⽤したパフォーマンス監視(CPU, Memory, Disk) • ログ監視によるアラート設定 https://learn.microsoft.com/ja-jp/azure/azure-monitor/best-practices-analysis https://learn.microsoft.com/ja-jp/azure/azure-monitor/overview
  11. © NTT Communications Corporation All Rights Reserved. 11 Azure Arc

    対応サーバーの機能 • 仮想マシン拡張機能 • FW設定不要なSSH接続
  12. © NTT Communications Corporation All Rights Reserved. 12 仮想マシン拡張機能 •

    仮想マシン拡張機能 • デプロイ後の構成や⾃動タスクを実⾏する機能 • 主な拡張機能 • Azure Monitor エージェント • Azure Monitor エージェントを⾃動インストールする • カスタムスクリプト拡張機能 • Azure Blob Storage上のスクリプトを⾃動実⾏する • デプロイ後の構成、ソフトウェアのインストール、その他の構成タスクなどのDevOpsに使⽤ Azure Arc 対応サーバー カスタムスクリプト拡張機能 #!/bin/bash update_command install_command exec_command exit_command
  13. © NTT Communications Corporation All Rights Reserved. 13 FW設定不要なSSH接続(az ssh)

    • az ssh • FWの⽳あけ設定不要でArc 対応サーバーへの SSH接続可能なサービス • ログインユーザはローカル ユーザーまたは Azure ユーザー (Linux のみ) から選択可能 • 他の OpenSSH ベースのツールをサポート az ssh Outbound通信 FW設定不要 Azure Arc 対応サーバー
  14. © NTT Communications Corporation All Rights Reserved. 14 Azure Arc

    対応 Kubernetes • FW設定不要なKubernetes クラスターの apiserver接続 • GitOps with Flux v2 • Azure Machine Learning
  15. © NTT Communications Corporation All Rights Reserved. 15 FW設定不要なKubernetes クラスターの

    apiserver接続 • az connectedk8s proxy • FWの⽳あけ設定不要でAzure Arc 対応 Kubernetes クラスターの apiserverに接続可能なサービス • 認証⽅法はAzure AD認証、サービスアカウントから選択可能 az connectedk8s proxy Outbound通信 FW設定不要 Azure Arc 対応 k8s
  16. © NTT Communications Corporation All Rights Reserved. 16 GitOps with

    Flux v2 • GitOps • Gitによって宣⾔的にインフラ、アプリケーションを管理すること • Flux v2 • Kubernetesにおける継続的デリバリーツール • Azure Arc、Repos、Pipelinesを利⽤したCI/CD 1. デプロイ テンプレートを変更し、pull request 2. 変更がPipelineにより検証される 3. 正常に完了した場合CDパイプラインがトリガーされる 4. 本番環境にデプロイされる https://learn.microsoft.com/ja-jp/azure/azure-arc/kubernetes/conceptual-gitops-flux2-ci-cd
  17. © NTT Communications Corporation All Rights Reserved. 17 Azure Machine

    Learning • Azure Machine Learning • 機械学習プロジェクトのライフサイクルを加速および管理するためのクラウド サービス • Azure Arc 対応Kubernetesに⼀部Azure Machine Learningを動作してエッジAIを利⽤可能 • クラウドで機械学習モデルを学習し、エッジにデプロイして推論実⾏ • 利⽤⽅法 • Yamlで宣⾔的に定義 • 機械学習imageを指定しk8s上で実⾏される • ダウンタイムなしでローリングアップデートが可能 Yamlで一連のふるまいを定義 環境のversionを変更し再デプロイをする ことで、ダウンタイム無しで RollingUpdateが可能となる https://learn.microsoft.com/ja-jp/azure/machine-learning/how-to-attach-kubernetes-anywhere?view=azureml-api-2
  18. © NTT Communications Corporation All Rights Reserved. 18 Azure Arc

    対応ServerとKubernetesの⽐較 Server Kubernetes Azure Resource Managerに よるリソース⼀元化 ◯ ◯ Azure Resource Graph ◯ ◯ Azure RBAC ◯ ◯ Azure Monitor ◯ ◯ FW設定不要なリモート接続 ◯ SSH ◯ apiserver接続 対応アーキテクチャ △ x86-64 ◯ K8s on (x86-64, arm) 導⼊稼働 ◯ インストールスクリプトで簡 単に導⼊ △ k8sの事前構築必須 デプロイ △ カスタムスクリプト拡張機能 ◯ GitOps with Flux v2 機械学習ツール × ◯ Azure Machine Learning 選定ステップ 1. エッジ端末がarm → Azure Arc 対応Kubernetes 2. 導⼊稼働を抑えて⼿軽に利⽤したい → Azure Arc 対応 Server 3. 宣⾔的なデプロイ管理をしたい → Azure Arc 対応Kubernetes 4. AzureでAzure Machine Learning を利⽤中、エッジでも使いたい → Azure Arc 対応Kubernetes ※ 1つのマシンにAzure Arc 対応 ServerとKubernetesは共存可能
  19. © NTT Communications Corporation All Rights Reserved. 19 Azure Arcを利⽤したエッジコンピューティング

    • 管理の複雑化課題に対する、Azure Arcによるハイブリッド管理 • エッジ・クラウドリソースをAzure Resource Managerで⼀元管理 • 複数エッジデバイス(Linux, Windows, Kubernetes)の管理 • Azure RBACを利⽤したリソースのアクセス制御 • Azure Monitorによるエッジ・クラウドリソースの⼀元監視 • エッジリソースへの接続⽅法 • FW設定不要のSSH、apiserver接続が可能 • DevOps • Azure Arc 対応サーバーの場合 • カスタム スクリプト拡張機能による⾃動スクリプト実⾏ • Azure Arc 対応 Kubernetes • GitOps with Flux 2によるデプロイ • Azure Machine LearningによるエッジAI Windows IoT Enterprise Azure Arc-enabled servers Raspberry Pi Azure Arc-enabled Kubernetes Embedded Linux Azure Arc-enabled servers Azure Arc
  20. © NTT Communications Corporation All Rights Reserved. 20 エッジコンピューティング導⼊の課題 •

    管理の複雑化 • クラウド・オンプレミス環境にリソースが混在 • 複数の異なるエッジデバイスの管理 • 権限・セキュリティ管理 • DevOps → Azure Arcによるハイブリッド管理 • NW構築 • インターネット回線を利⽤時の課題 → IoT Connect Mobile® Type S・IoT Connect GatewayによるNW構築
  21. © NTT Communications Corporation All Rights Reserved. 21 インターネット回線利⽤時の課題 •

    拠点ネットワークの設計・構築 • セキュリティや運⽤・保守を意識したネットワーク設計 • 外部接続に関する適切なファイヤウォール設計 • (Wifiなどでは)未登録デバイスの接続可否 • 障害発⽣時の遠隔保守および接続経路 • etc… • デバイス数増加によるデータ通信量の増⼤ • ⼤容量データ(画像・動画など)のケースでは通信コストがネックに • 加えて、主要なクラウドサービスは暗号化通信(SSL/TLS通信)を前提としているケースが多い • ⼀つ⼀つのデータサイズが⼤きくなる要因にも繋がる • インターネットに接続されたデバイス接続情報の管理 • デバイス数の増⼤によりセキュリティリスクも向上 • 適切なデバイス接続情報の管理も必要
  22. © NTT Communications Corporation All Rights Reserved. Azure Arc x

    IoT Connect Gatewayを⽤いたIoTシステム Azure Functions その他クラウド (GCP, AWS, Things Cloud, etc) Raspberry Pi Azure Arc-enabled Kubernetes IoT Connect Mobile Type® S プロトコル変換 クラウド接続機能 フォーマット変換 ミラーリング リモートアクセス SIMの認証機構 閉域網でのデータ通信 ケースに応じたプラン IoT Connect Gateway Azure Arc • 顧客拠点に設置されたカスタマーエッジ上で収集したデータの⼀次処理を実施 • データ圧縮や匿名化を処理を施すことにより、個⼈情報の保護やデータ通信量の抑制 • Azure Arcによるマルチクラウド・オンプレミスで⼀貫した管理プラットフォームの実現 • デバイスごとのアプリケーション・基盤を統合的に管理可能 • モバイル回線 (IoT Connect Mobile Type® S) によるデータ通信のセキュリティ確保など • IoTゲートウェイ (IoT Connect Gateway) による保守・運⽤フェーズの課題解決と効率化 • クラウドサービスに必要な鍵・証明書などの認証情報の⼀括管理、デバイス設置後の接続先クラウドの切り替え、デバイス遠隔接続など ⽣センサ データ データ収集・匿名化・圧縮な どの⼀次処理の実施 センサデータの収集 匿名化・ 圧縮され たセンサ データ デバイスのセキュリティ担保 クラウドへの柔軟な接続 デバイスの運⽤保守効率化 匿名化・ 圧縮され たセンサ データ マルチクラウドとオンプレミスで ⼀貫した管理プラットフォーム Device Edge Customer Edge Mobile Network IoT Gateway Cloud Services Internet Device Device Network (Wifi, Bluetooth, Modbus etc..) インターネット・暗号化通信 HTTP, MQTT HTTPS, MQTTS 閉域網・⾮暗号化通信
  23. © NTT Communications Corporation All Rights Reserved. 23 IoT Connect

    Mobile® Type S IoT Connect Gatewayについて
  24. © NTT Communications Corporation All Rights Reserved. 24 IoT Connect

    Mobile Type S とは NTT Com モバイル網 IoT Connect Mobile網 IoT Connect Gateway IoT向けモバイルネットワーク「IoT Connect Mobile Type S」は1つのサービスで インターネット接続/IoTクラウドサービスへのセキュアな接続/閉域網を利⽤したプライベート接続を実現 Flexible Interconnect インターネットへの接続 インターネット IoTクラウドサービス クラウドサービス データセンタなど IoTクラウドサービスへ接続 閉域網でセキュアに接続 インターネット経由でデータを収集する⽤途に最適。 IoTを⼿軽に始めたい⽅や安価なモバイルコネクティビティを に適切なパターン。 •IoT Connect Mobile Type Sのみの利⽤ IoT Connect Gatewayサービスを活⽤し、 センサーからの通信を暗号化しお客様のシステムへセキュアに 転送。また、各種IoTクラウドサービスへの 認証機能やクライアント機能をセットで提供 •IoT Connect Gatewayとのセット利⽤ 弊社閉域網サービスを活⽤し、 インターネットから分離されたプライベートネットワークを 提供。固定のプライベートIPを活⽤することで、双⽅向通信も 実現可能。 •Flexible InterConnectとのセット利⽤
  25. © NTT Communications Corporation All Rights Reserved. 25 IoT Connect

    Gatewayとは︖ クラウドサービス接続 IoTデバイスから送られた⾮暗号化データを、 IoT Connect Gatewayサービスにて暗号化 また、各クラウドサービスへの接続時に 必要となる接続情報や鍵交換を代理で実⾏ ・各種デバイスから送信されたペイロードをIoT Connect Gateway内で変換 ・デバイス内でペイロード形式をクラウドが期待す る形に変える必要がなくなり、負担の軽減が可能 プロトコル変換 クラウドアダプタ ・必要なときにのみお客様拠点からIoTデバイス にアクセスを許可する機能を提供 ・IoT端末の遠隔保守管理やセキュリティ対策が 簡単に Azure/GCP/AWS Things Cloud オンプレミスサーバ IoTデバイス IoT Connect Mobile Type® S 閉域網・⾮暗号化通信 インターネット・暗号化通信 HTTP, MQTT HTTPS, MQTTS プロトコル変換 クラウド接続機能 フォーマット変換 ミラーリング リモートアクセス フォーマット変換 リモートアクセス IoT Connect Gateway 暗号化・認証処理にかかる 負荷や開発コストの削減 データ通信量の抑制 セキュア・柔軟にクラウド サービスに接続 仕様変更・機能アップデー トにも柔軟に対応可能
  26. © NTT Communications Corporation All Rights Reserved. 26 IoTにおけるクラウドサービス接続時のよくある課題 IoTデバイス⼀つずつに暗号化の設定やクラウドへ接続するための

    プライベートキーを実装しなければならない 不具合時に遠隔地に多数設置されたデバイスを現地に確認しに⾏くこ とが難しい 利⽤⽤途によって利⽤しているクラウド環境が異なるため、 データを複数回送る必要があり設定に⼿間がかかる 各拠点にあるIoTデバイスに出向いて各デバイスの設定変更作業をす るのに多⼤なコストがかかる デバイスとクラウドのデータフォーマットが異なるため、 個別カスタマイズが必要になり、開発コストがかかる コンフィグマネージャー機能 フォーマット変換機能 クラウドサービス接続機能 リモートアクセス機能 ミラーリング機能 IoT Connect Gateway 提供機能
  27. © NTT Communications Corporation All Rights Reserved. メニュー サービスカテゴリ 概要

    Input Protocol Output Protocol 転送先クラウドサービス クラウドサービス接続 スタンダード (Pconv) IoTデバイスから通信をプロトコル変換を⾏うための Adaptor HTTP MQTT HTTPS MQTTS 任意のHTTP Server 任意のMQTT Server IoTデバイスから各種クラウドIoTプラットフォームに プロトコル変換を⾏い接続するためのCloud Service Adaptor HTTP MQTT HTTPS MQTTS AWS IoT Core Azure IoT Hub NTTCom Things Cloud イベント(Event) IoTデバイスから直接クラウドのイベントHUB系のサービスに 接続する Cloud Adaptor HTTP HTTPS GCP Pub/Sub Azure IoT Hub ファンクション (Func) IoTデバイスからクラウドサービスの Function を 直接実⾏するためのCloud Adaptor HTTP HTTPS AWS Lambda GCP Functions Azure Functions ストレージ (Storage) IoTデバイスからクラウドサービスの Storage へ接続する Cloud Adaptor HTTP HTTPS AWS S3 S3互換 Wasabi等 メニュー 機能 提供プロトコル 概要 コンフィグマネージャー IoTデバイスの設定をICGW基盤から配信、⼀括変更を実現し、 キッティングコストや設定変更コストを簡略化する機能 HTTP IoTデバイスが利⽤する設定ファイルの⽣成と 遠隔からの更新 リモートアクセス 任意のIoTデバイスに遠隔ログインできる機能をオンデマンドに提 供する機能 ポータルから指定の任意の TCPポートに対応 IoTデバイスへのリモートアクセスを提供する フォーマット変換 IoTデバイス、クラウド側のシステムを変更することなくデバイス、 クラウド間のデータフォーマットの相違を吸収する機能 クラウドアダプタプロトコルに準拠 (スタンダード、イベント、ファンクション) データ・フォーマットを任意の形式に変換する機能 ミラーリング IoTデバイスから送信したデータをクラウドアダプタの複数の 送信先にデータを複製して送信する機能 HTTP IoTデータからのデータを複製し、複数のクラウド アダプタに送信する機能 仮想コネクション ID認証によりIoTデバイスのアクセスラインに関わらずICGW の機能を提供することで、IoTデバイスの⼀括管理を実現する機能 N/A モバイル回線以外のネットワークでICGWの機能を 提供 27 [参考] IoT Connect Gatewayサービスメニュー⼀覧
  28. © NTT Communications Corporation All Rights Reserved. 28 クラウドサービス接続【ファンクション転送機能】 Azure

    Functions AWS Lambda GCP Functions IoTデバイス IoT Connect Mobile Type® S HTTP HTTPS ファンクション 転送機能 IoT Connect Gateway • プロトコル変換機能を⾏い、主要な Function as a Service に対してデータを転送可能 • Azure Functions、GCP Cloud Functions、AWS Lambdaに対応 • クラウドサービスの処理結果をデバイスに返却可能 • クラウドサービスの処理結果を元にして、デバイス側で能動的なアクションが可能 ICGWのエンドポイン トに対してデータ送信 クラウドサービスの 処理結果を返却可 ICGW上で後から 転送先クラウドサービ スを切り替え可能 ICGW上で暗号化 処理を実施 (TLS通信)
  29. © NTT Communications Corporation All Rights Reserved. 29 クラウドサービス接続【ファンクション転送機能】 Azure

    Functions AWS Lambda IoTデバイス HTTP HTTPS ファンクション 転送機能 IoT Connect Gateway • プロトコル変換機能を⾏い、主要な Function as a Service に対してデータを転送可能 • Azure Functions、GCP Cloud Functions、AWS Lambdaに対応 • クラウドサービスの処理結果をデバイスに返却可能 • クラウドサービスの処理結果を元にして、デバイス側で能動的なアクションが可能 POST http://an1.icgw.ntt.com:8080/<PATH> デバイスはICGWが提供するエンドポイントに 対してデータを送信する 転送先: Azure Functions 転送先: AWS Lambda
  30. © NTT Communications Corporation All Rights Reserved. 30 クラウドサービス接続【ファンクション転送機能】 Azure

    Functions AWS Lambda IoTデバイス HTTP HTTPS ファンクション 転送機能 IoT Connect Gateway • プロトコル変換機能を⾏い、主要な Function as a Service に対してデータを転送可能 • Azure Functions、GCP Cloud Functions、AWS Lambdaに対応 • クラウドサービスの処理結果をデバイスに返却可能 • クラウドサービスの処理結果を元にして、デバイス側で能動的なアクションが可能 POST http://an1.icgw.ntt.com:8080/<PATH> デバイスはICGWが提供するエンドポイントに 対してデータを送信する 転送先: Azure Functions 転送先: AWS Lambda ICGW上で転送先を切り替え ICGW上で転送先を切り替え
  31. © NTT Communications Corporation All Rights Reserved. 31 クラウドサービス接続【ファンクション転送機能】 Azure

    Functions AWS Lambda IoTデバイス HTTP HTTPS ファンクション 転送機能 IoT Connect Gateway • プロトコル変換機能を⾏い、主要な Function as a Service に対してデータを転送可能 • Azure Functions、GCP Cloud Functions、AWS Lambdaに対応 • クラウドサービスの処理結果をデバイスに返却可能 • クラウドサービスの処理結果を元にして、デバイス側で能動的なアクションが可能 POST http://an1.icgw.ntt.com:8080/<PATH> デバイスはICGWが提供するエンドポイントに 対してデータを送信する 転送先: Azure Functions 転送先: AWS Lambda ICGW上で転送先を切り替え ICGW上で転送先を切り替え この部分は変更無しでも可能 デバイスへの 認証情報の配置不要 クラウド毎の開発不要 電⼒消費量の削減
  32. © NTT Communications Corporation All Rights Reserved. 32 クラウドサービス接続【ファンクション転送機能】 Azure

    Functions 認証情報作成画⾯ Azure Functions 転送情報画⾯ 転送先クラウドに応じて設定 エンドポイントのパスを設定 転送先クラウドに応じた 認証情報を設定
  33. © NTT Communications Corporation All Rights Reserved. 33 リモートアクセス機能 •

    ユーザ拠点や外出先などから遠隔地にあるIoTデバイスにリモートアクセスすることで、 現場に⾏くこと無しにメンテナンス作業が可能に • IoTデバイスに固定のグローバルIPを割り振ることなく、セキュアにリモートアクセスを実現 • 送信元IPアドレス制限、接続可能な時間の制限(最⼤8h)
  34. © NTT Communications Corporation All Rights Reserved. 34 リモートアクセス機能 エンドポイント払い出し画⾯

    アクセス先(SIM) の設定 接続可能時間 の設定 送信元制限や接続先のデバイスポートを設定 エンドポイント払い出し後画⾯ エンドポイント払い出し後画⾯
  35. © NTT Communications Corporation All Rights Reserved. 35 IoT Connect

    Mobile Type® S・IoT Connect Gatewayによる効能 • モバイル回線利⽤により、データ通信時のセキュリティの確保 • SIMによる認証機構・閉域網を通じたデータ通信 • SIMによる認証が通過したデバイスのみがデータ通信可能 • リモートアクセス機能により、セキュアに保守・運⽤を効率化 • 踏み台サーバやグローバルIPを必要せず、ライトに遠隔保守業務が可能に • Azure Arc によるSSH接続時に必要とされるエージェントなども不要 • リモートアクセスと併⽤することで保守・運⽤における冗⻑ラインの確保にも • クラウドアダプタ接続機能により、様々なクラウドサービスに対応可能 • 認証情報や接続先クラウドサービスを統⼀的に管理可能 • 接続先クラウドサービスが落ちた場合に、別のクラウドサービスに切り替えるといった使い⽅も • アプリケーション開発のリードタイム削減 • ICGWにおける転送先クラウドの切り替えや暗号化処理のオフロードにより、 転送先クラウドに依存しない形でアプリケーション開発が可能に
  36. © NTT Communications Corporation All Rights Reserved. 36 Azure Arc

    x IoT Connect Gatewayを⽤いたIoTシステム • ユースケース • IoTセンサーデータの圧縮 • 匿名化処理によるプライバシー保護 • 動体検知による監視・リアルタイム異常検知カメラシステム
  37. © NTT Communications Corporation All Rights Reserved. 37 IoTセンサーデータの圧縮 Microsoft

    Azure Raspberry Pi Azure Arc-enabled Kubernetes IoT Connect Mobile Type® S プロトコル変換 クラウド接続機能 フォーマット変換 ミラーリング リモートアクセス IoT Connect Gateway Azure Arc Device データ収集・匿名化・圧縮 センサデータの収集 デバイスのセキュリティ担保 クラウドへの柔軟な接続 デバイスの運⽤保守効率化 マルチクラウドとオンプレミスで ⼀貫した管理プラットフォーム Mobile Network IoT Gateway Cloud Services Internet ⽣センサ データ 匿名化・ 圧縮され たセンサ データ 匿名化・ 圧縮され たセンサ データ Device Edge Customer Edge Device Network (Wifi, Bluetooth, Modbus etc..) インターネット・暗号化通信 HTTP, MQTT HTTPS, MQTTS 閉域網・⾮暗号化通信 センサデータの貯蔵 • メリット • エッジにおけるデータ圧縮により通信のエネルギー効率が向上 • クラウドのストレージインフラコストの削減 • データ圧縮検証(圧縮ツールにApache Parquet, データセットにUC Irvine Machine Learning Repository https://archive.ics.uci.edu/dataset) • Single elder home monitoring: Gas and position 35MB -> 6.9MB (80%削減) 2019-11-06から2020-02-13までの間、⾃宅で⼀⼈暮らしをしている⾼齢者のモニタリングから得られた、ガス、温度、移動⾚外線センサー • MetroPT-3 Dataset 208MB -> 25MB (88%削減) 運⽤中の地下鉄列⾞のコンプレッサーの空気⽣産ユニット(APU)から、圧⼒、温度、モーター電流、吸気弁の測定値 最⼤88%削減
  38. © NTT Communications Corporation All Rights Reserved. 38 匿名化処理によるプライバシー保護 Microsoft

    Azure Raspberry Pi Azure Arc-enabled Kubernetes IoT Connect Mobile Type® S プロトコル変換 クラウド接続機能 フォーマット変換 ミラーリング リモートアクセス IoT Connect Gateway Azure Arc Device データ収集・匿名化・圧縮 センサデータの収集 デバイスのセキュリティ担保 クラウドへの柔軟な接続 デバイスの運⽤保守効率化 マルチクラウドとオンプレミスで ⼀貫した管理プラットフォーム Mobile Network IoT Gateway Cloud Services Internet ⽣センサ データ 匿名化・ 圧縮され たセンサ データ 匿名化・ 圧縮され たセンサ データ Device Edge Customer Edge Device Network (Wifi, Bluetooth, Modbus etc..) インターネット・暗号化通信 HTTP, MQTT HTTPS, MQTTS 閉域網・⾮暗号化通信 センサデータの貯蔵 • メリット • エッジに機密情報、クラウドに匿名化されたデータを配置することで安全性を確保 • 匿名化によるデータ量、ストレージインフラコストの削減 • k-匿名化 • 同じ属性を持つデータがk件以上存在するようにデータを変換し、個⼈が特定される確率をk分の1以下に低減 • 例: 病歴データから個⼈を特定する名前を削除し、年齢を年代に変換するなど K-匿名化 名前 年齢 性別 病気 佐藤 25 男 ガン 鈴⽊ 36 ⼥ 結核 ⾼橋 41 男 ⾻折 ⽥中 59 ⼥ 捻挫 名前 年齢 性別 病気 - 20代 男 ガン - 30代 ⼥ 結核 - 40代 男 ⾻折 - 50代 ⼥ 捻挫
  39. © NTT Communications Corporation All Rights Reserved. 39 動体検知による監視・リアルタイム異常検知カメラシステム Microsoft

    Azure Raspberry Pi Azure Arc-enabled Kubernetes IoT Connect Mobile Type® S プロトコル変換 クラウド接続機能 フォーマット変換 ミラーリング リモートアクセス IoT Connect Gateway Azure Arc Device データ収集・匿名化・圧縮 センサデータの収集 デバイスのセキュリティ担保 クラウドへの柔軟な接続 デバイスの運⽤保守効率化 マルチクラウドとオンプレミスで ⼀貫した管理プラットフォーム Mobile Network IoT Gateway Cloud Services Internet ⽣センサ データ 匿名化・ 圧縮され たセンサ データ 匿名化・ 圧縮され たセンサ データ Device Edge Customer Edge Device Network (Wifi, Bluetooth, Modbus etc..) インターネット・暗号化通信 HTTP, MQTT HTTPS, MQTTS 閉域網・⾮暗号化通信 センサデータの貯蔵 • メリット • 動体検知により必要な映像のみクラウドに送信 • エッジ処理により低遅延異常検知を実現 • Motion を利⽤した動体検知 • 監視カメラなど⼈や物が動作した際に検知可能 • PatchCoreを利⽤した異常検知 • 製品検査などにおいてひび割れなどの異常を瞬時に検知して対応 異常検知 動体検知
  40. © NTT Communications Corporation All Rights Reserved. 40 まとめ •

    エッジコンピューティングのメリット • 近距離・低遅延処理による⾼速化 • ローカル処理による安全性 • エッジでの⼀時処理によるデータ・通信削減 • エッジコンピューティング導⼊の課題 • 管理の複雑化 → Azure Arcによるハイブリッド管理 • NW構築 → IoT Connect Mobile® Type S・IoT Connect GatewayによるNW構築 • Azure Arc x IoT Connect Gatewayを⽤いたIoTシステム • IoTセンサーデータの圧縮 → Apache Parquetにより、最⼤88%のデータ削減が可能 • 匿名化処理によるプライバシー保護 → エッジに機密情報、クラウドに匿名化されたデータを配置することで安全性を確保 • 動体検知による監視・リアルタイム異常検知カメラシステム → 動体検知によるデータ量の削減、低遅延な異常検知