Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Azure Arc x IoT Connect Gatewayを用いたIoTシステム / IoT Systems with Azure Arc x IoT Connect Gateway

Azure Arc x IoT Connect Gatewayを用いたIoTシステム / IoT Systems with Azure Arc x IoT Connect Gateway

2023年10月13日のHCCJP(ハイブリッドクラウド研究会) 第46回勉強会で発表した「Azure Arc x IoT Connect Gatewayを用いたIoTシステム」の講演資料です。
講演詳細についてはこちらを御覧ください。
https://hybridcloud.connpass.com/event/296895/

NTT Communications

October 13, 2023
Tweet

More Decks by NTT Communications

Other Decks in Technology

Transcript

  1. © NTT Communications Corporation All Rights Reserved.
    Azure Arc x IoT Connect Gatewayを⽤いたIoTシステム
    HCCJP(ハイブリッドクラウド研究会) 46回勉強会
    2023/10/13
    NTTコミュニケーションズ株式会社
    野⼭瑛哲
    ⾓⽥佳史
    鈴ヶ嶺聡哲

    View full-size slide

  2. © NTT Communications Corporation All Rights Reserved. 2
    アジェンダ
    1. エッジコンピューティング概要
    2. エッジコンピューティング導⼊の課題
    • 管理の複雑化
    • NW構築
    3. Azure Arcによるハイブリッド管理
    4. IoT Connect Mobile® Type S・IoT Connect GatewayによるNW構築
    5. Azure Arc x IoT Connect Gatewayを⽤いたIoTシステム
    • IoTセンサーデータの圧縮
    • 匿名化処理によるプライバシー保護
    • 動体検知による監視・リアルタイム異常検知カメラシステム
    6. まとめ

    View full-size slide

  3. © NTT Communications Corporation All Rights Reserved. 3
    エッジコンピューティング概要
    クラウドコンピューティングの課題
    ● 中央処理・データ集約による遅延
    ● プライバシー保護の要件が満たせない
    ● 全デバイスの通信による低いエネルギー効率
    クラウドシステムの概要
    エッジコンピューティングによる解決策
    ●近距離・低遅延処理による⾼速化
    ●ローカル処理による安全性
    ●エッジでの⼀時処理によるデータ・通信削減
    エッジシステムの概要

    View full-size slide

  4. © NTT Communications Corporation All Rights Reserved. 4
    エッジコンピューティング導⼊の課題
    • 管理の複雑化
    • クラウド・オンプレミス環境にリソースが混在
    • 複数の異なるエッジデバイスの管理
    • 権限・セキュリティ管理
    • クラウド・オンプレミス横断のDevOps
    → Azure Arcによるハイブリッド管理
    • NW構築
    • インターネット回線の利⽤時の課題
    → IoT Connect Mobile® Type S・IoT Connect GatewayによるNW構築

    View full-size slide

  5. © NTT Communications Corporation All Rights Reserved. 5
    Azure Arcによるハイブリッド管理
    • Azure Arcとは
    • クラウド、オンプレミス環境を⼀元的に管理するプラットフォーム
    • 共通機能
    • Azure Resource Managerで⼀覧化して管理
    • Azure Resource Graph を使⽤した検索
    • Azure ロールベースのアクセス制御 (RBAC) によるアクセスとセキュリティ
    • Azure Monitorによる監視
    • Azure Arc 対応サーバー
    • Windows や Linux の物理サーバーと仮想マシンが管理対象
    • オンプレミス環境のサーバにエージェントをインストールして管理対象に追加
    • 対応アーキテクチャはx86-64のWindowsまたはLinux
    • 機能
    • テンプレートと拡張機能を使⽤した環境と⾃動化
    • 仮想マシン拡張機能
    • FW設定不要なSSH接続
    • Azure Arc 対応 Kubernetes
    • Kubernetes クラスターが管理対象
    • “az connectedk8s connect” でAzure Arc に接続することで管理対象に追加
    • 機能
    • FW設定不要なKubernetes クラスターの apiserver接続
    • GitOps with Flux v2
    • Azure Machine Learning

    View full-size slide

  6. © NTT Communications Corporation All Rights Reserved. 6
    共通機能
    • Azure Resource Managerで⼀覧化して管理
    • Azure Resource Graph を使⽤した検索
    • Azure ロールベースのアクセス制御 (RBAC) によるアクセスとセキュリティ
    • Azure Monitorによる監視

    View full-size slide

  7. © NTT Communications Corporation All Rights Reserved. 7
    Azure Resource Managerで⼀覧化して管理
    • クラウド、エッジのリソースをAzure Resource Managerで⼀覧化して管理
    • あたかもAzure 内で実⾏されているかのように仮想マシン、 Kubernetes クラスター を管理
    https://learn.microsoft.com/ja-jp/azure/azure-arc/overview

    View full-size slide

  8. © NTT Communications Corporation All Rights Reserved. 8
    Azure Resource Graph を使⽤した検索
    • Azure Resource Graph
    • Azure Resource Managerで管理されているリソース情報をクエリを⽤いて検索するサービス
    • Kusto 照会⾔語 (KQL) を使って検索
    • パイプはシーケンシャルにフィルタをかけて処理するイメージ
    • クエリ例
    • エッジ環境、クラウド環境の仮想マシンの合計数(OSの種類別なども可能)
    • 特定のタグを含んだリソース⼀覧
    • Azure Arc 対応サーバーにインストールされているすべての拡張機能を⼀覧表⽰する
    • 最新リリース バージョンのエージェントを実⾏していない Arc 対応サーバーを⼀覧表⽰する
    • Azure Monitor 拡張機能のあるすべての Azure Arc 対応 Kubernetes クラスターを⼀覧表⽰する
    Resources
    | project id, subscriptionId, location, type, properties.agentVersion,
    properties.kubernetesVersion, properties.distribution,
    properties.infrastructure, properties.totalNodeCount,
    properties.totalCoreCount
    | where type =~ 'Microsoft.Kubernetes/connectedClusters'
    Azure Arc 対応 Kubernetes リソースをすべて⼀覧表⽰するクエリ例

    View full-size slide

  9. © NTT Communications Corporation All Rights Reserved. 9
    Azure ロールベースのアクセス制御 (RBAC) によるアクセスとセキュリティ
    • Azure ロールベースのアクセス制御 (RBAC)
    • ユーザに設定されたロールによってリソースのアクセスを制御するサービス
    • アクセス制御例
    • あるユーザーはエッジ環境のAzure Arc対応サーバの管理を許可し、別のユーザーはクラウド環境の仮想マシンの管理を許可
    • あるアプリケーションに、特定のリソースグループのAzure Arcリソースのアクセスを許可
    • あるグループは特定のAzure Arc 対応 Kubernetesへのapiserver接続が可能
    • 特にAzure ArcはFW設定不要なSSH接続、Kubernetes クラスターの apiserver接続によりオンプレミス環境
    に接続できるためロールにより最⼩限のアクセス権限を設定する必要がある
    • オンプレミス環境をMicrosoft Entra ID (旧称 Azure Active Directory)ユーザで⼀元的に管理できる
    • ゼロトラストセキュリティの導⼊
    • セキュリティに問題のある使い回しのID/PASSの排除
    • 多要素認証有効によるセキュリティ強化

    View full-size slide

  10. © NTT Communications Corporation All Rights Reserved. 10
    Azure Monitorによる監視
    • Azure Monitor
    • 監視データを収集、分析、対応するための包括的な監視ソリューション
    • 具体例
    • Azure Policyを利⽤した複数マシンの⼀括インストール
    • Azure Arc 対応の Windows と Linux のサーバーに⾃動的にAzure
    Monitor エージェントがデプロイ
    • Azure portal上でダッシュボードの作成
    • VM insightsを利⽤したパフォーマンス監視(CPU, Memory, Disk)
    • ログ監視によるアラート設定
    https://learn.microsoft.com/ja-jp/azure/azure-monitor/best-practices-analysis
    https://learn.microsoft.com/ja-jp/azure/azure-monitor/overview

    View full-size slide

  11. © NTT Communications Corporation All Rights Reserved. 11
    Azure Arc 対応サーバーの機能
    • 仮想マシン拡張機能
    • FW設定不要なSSH接続

    View full-size slide

  12. © NTT Communications Corporation All Rights Reserved. 12
    仮想マシン拡張機能
    • 仮想マシン拡張機能
    • デプロイ後の構成や⾃動タスクを実⾏する機能
    • 主な拡張機能
    • Azure Monitor エージェント
    • Azure Monitor エージェントを⾃動インストールする
    • カスタムスクリプト拡張機能
    • Azure Blob Storage上のスクリプトを⾃動実⾏する
    • デプロイ後の構成、ソフトウェアのインストール、その他の構成タスクなどのDevOpsに使⽤
    Azure Arc 対応サーバー
    カスタムスクリプト拡張機能
    #!/bin/bash
    update_command
    install_command
    exec_command
    exit_command

    View full-size slide

  13. © NTT Communications Corporation All Rights Reserved. 13
    FW設定不要なSSH接続(az ssh)
    • az ssh
    • FWの⽳あけ設定不要でArc 対応サーバーへの SSH接続可能なサービス
    • ログインユーザはローカル ユーザーまたは Azure ユーザー (Linux のみ) から選択可能
    • 他の OpenSSH ベースのツールをサポート
    az ssh Outbound通信
    FW設定不要
    Azure Arc 対応サーバー

    View full-size slide

  14. © NTT Communications Corporation All Rights Reserved. 14
    Azure Arc 対応 Kubernetes
    • FW設定不要なKubernetes クラスターの apiserver接続
    • GitOps with Flux v2
    • Azure Machine Learning

    View full-size slide

  15. © NTT Communications Corporation All Rights Reserved. 15
    FW設定不要なKubernetes クラスターの apiserver接続
    • az connectedk8s proxy
    • FWの⽳あけ設定不要でAzure Arc 対応 Kubernetes クラスターの apiserverに接続可能なサービス
    • 認証⽅法はAzure AD認証、サービスアカウントから選択可能
    az connectedk8s proxy Outbound通信
    FW設定不要
    Azure Arc 対応 k8s

    View full-size slide

  16. © NTT Communications Corporation All Rights Reserved. 16
    GitOps with Flux v2
    • GitOps
    • Gitによって宣⾔的にインフラ、アプリケーションを管理すること
    • Flux v2
    • Kubernetesにおける継続的デリバリーツール
    • Azure Arc、Repos、Pipelinesを利⽤したCI/CD
    1. デプロイ テンプレートを変更し、pull request
    2. 変更がPipelineにより検証される
    3. 正常に完了した場合CDパイプラインがトリガーされる
    4. 本番環境にデプロイされる
    https://learn.microsoft.com/ja-jp/azure/azure-arc/kubernetes/conceptual-gitops-flux2-ci-cd

    View full-size slide

  17. © NTT Communications Corporation All Rights Reserved. 17
    Azure Machine Learning
    • Azure Machine Learning
    • 機械学習プロジェクトのライフサイクルを加速および管理するためのクラウド サービス
    • Azure Arc 対応Kubernetesに⼀部Azure Machine Learningを動作してエッジAIを利⽤可能
    • クラウドで機械学習モデルを学習し、エッジにデプロイして推論実⾏
    • 利⽤⽅法
    • Yamlで宣⾔的に定義
    • 機械学習imageを指定しk8s上で実⾏される
    • ダウンタイムなしでローリングアップデートが可能
    Yamlで一連のふるまいを定義
    環境のversionを変更し再デプロイをする
    ことで、ダウンタイム無しで
    RollingUpdateが可能となる https://learn.microsoft.com/ja-jp/azure/machine-learning/how-to-attach-kubernetes-anywhere?view=azureml-api-2

    View full-size slide

  18. © NTT Communications Corporation All Rights Reserved. 18
    Azure Arc 対応ServerとKubernetesの⽐較
    Server Kubernetes
    Azure Resource Managerに
    よるリソース⼀元化
    ◯ ◯
    Azure Resource Graph ◯ ◯
    Azure RBAC ◯ ◯
    Azure Monitor ◯ ◯
    FW設定不要なリモート接続

    SSH

    apiserver接続
    対応アーキテクチャ

    x86-64

    K8s on (x86-64, arm)
    導⼊稼働

    インストールスクリプトで簡
    単に導⼊

    k8sの事前構築必須
    デプロイ

    カスタムスクリプト拡張機能

    GitOps with Flux v2
    機械学習ツール ×

    Azure Machine Learning
    選定ステップ
    1. エッジ端末がarm
    → Azure Arc 対応Kubernetes
    2. 導⼊稼働を抑えて⼿軽に利⽤したい
    → Azure Arc 対応 Server
    3. 宣⾔的なデプロイ管理をしたい
    → Azure Arc 対応Kubernetes
    4. AzureでAzure Machine Learning
    を利⽤中、エッジでも使いたい
    → Azure Arc 対応Kubernetes
    ※ 1つのマシンにAzure Arc 対応
    ServerとKubernetesは共存可能

    View full-size slide

  19. © NTT Communications Corporation All Rights Reserved. 19
    Azure Arcを利⽤したエッジコンピューティング
    • 管理の複雑化課題に対する、Azure Arcによるハイブリッド管理
    • エッジ・クラウドリソースをAzure Resource Managerで⼀元管理
    • 複数エッジデバイス(Linux, Windows, Kubernetes)の管理
    • Azure RBACを利⽤したリソースのアクセス制御
    • Azure Monitorによるエッジ・クラウドリソースの⼀元監視
    • エッジリソースへの接続⽅法
    • FW設定不要のSSH、apiserver接続が可能
    • DevOps
    • Azure Arc 対応サーバーの場合
    • カスタム スクリプト拡張機能による⾃動スクリプト実⾏
    • Azure Arc 対応 Kubernetes
    • GitOps with Flux 2によるデプロイ
    • Azure Machine LearningによるエッジAI Windows IoT Enterprise
    Azure Arc-enabled servers
    Raspberry Pi
    Azure Arc-enabled
    Kubernetes
    Embedded Linux
    Azure Arc-enabled servers
    Azure Arc

    View full-size slide

  20. © NTT Communications Corporation All Rights Reserved. 20
    エッジコンピューティング導⼊の課題
    • 管理の複雑化
    • クラウド・オンプレミス環境にリソースが混在
    • 複数の異なるエッジデバイスの管理
    • 権限・セキュリティ管理
    • DevOps
    → Azure Arcによるハイブリッド管理
    • NW構築
    • インターネット回線を利⽤時の課題
    → IoT Connect Mobile® Type S・IoT Connect GatewayによるNW構築

    View full-size slide

  21. © NTT Communications Corporation All Rights Reserved. 21
    インターネット回線利⽤時の課題
    • 拠点ネットワークの設計・構築
    • セキュリティや運⽤・保守を意識したネットワーク設計
    • 外部接続に関する適切なファイヤウォール設計
    • (Wifiなどでは)未登録デバイスの接続可否
    • 障害発⽣時の遠隔保守および接続経路
    • etc…
    • デバイス数増加によるデータ通信量の増⼤
    • ⼤容量データ(画像・動画など)のケースでは通信コストがネックに
    • 加えて、主要なクラウドサービスは暗号化通信(SSL/TLS通信)を前提としているケースが多い
    • ⼀つ⼀つのデータサイズが⼤きくなる要因にも繋がる
    • インターネットに接続されたデバイス接続情報の管理
    • デバイス数の増⼤によりセキュリティリスクも向上
    • 適切なデバイス接続情報の管理も必要

    View full-size slide

  22. © NTT Communications Corporation All Rights Reserved.
    Azure Arc x IoT Connect Gatewayを⽤いたIoTシステム
    Azure Functions
    その他クラウド
    (GCP, AWS, Things Cloud, etc)
    Raspberry Pi
    Azure Arc-enabled
    Kubernetes
    IoT Connect
    Mobile Type® S
    プロトコル変換
    クラウド接続機能
    フォーマット変換
    ミラーリング
    リモートアクセス
    SIMの認証機構
    閉域網でのデータ通信
    ケースに応じたプラン
    IoT Connect
    Gateway
    Azure Arc
    • 顧客拠点に設置されたカスタマーエッジ上で収集したデータの⼀次処理を実施
    • データ圧縮や匿名化を処理を施すことにより、個⼈情報の保護やデータ通信量の抑制
    • Azure Arcによるマルチクラウド・オンプレミスで⼀貫した管理プラットフォームの実現
    • デバイスごとのアプリケーション・基盤を統合的に管理可能
    • モバイル回線 (IoT Connect Mobile Type® S) によるデータ通信のセキュリティ確保など
    • IoTゲートウェイ (IoT Connect Gateway) による保守・運⽤フェーズの課題解決と効率化
    • クラウドサービスに必要な鍵・証明書などの認証情報の⼀括管理、デバイス設置後の接続先クラウドの切り替え、デバイス遠隔接続など
    ⽣センサ
    データ
    データ収集・匿名化・圧縮な
    どの⼀次処理の実施
    センサデータの収集
    匿名化・
    圧縮され
    たセンサ
    データ
    デバイスのセキュリティ担保
    クラウドへの柔軟な接続
    デバイスの運⽤保守効率化
    匿名化・
    圧縮され
    たセンサ
    データ
    マルチクラウドとオンプレミスで
    ⼀貫した管理プラットフォーム
    Device Edge Customer Edge
    Mobile Network
    IoT Gateway
    Cloud Services
    Internet
    Device
    Device Network (Wifi, Bluetooth, Modbus etc..)
    インターネット・暗号化通信
    HTTP, MQTT HTTPS, MQTTS
    閉域網・⾮暗号化通信

    View full-size slide

  23. © NTT Communications Corporation All Rights Reserved. 23
    IoT Connect Mobile® Type S
    IoT Connect Gatewayについて

    View full-size slide

  24. © NTT Communications Corporation All Rights Reserved. 24
    IoT Connect Mobile Type S とは
    NTT Com
    モバイル網
    IoT Connect
    Mobile網
    IoT
    Connect
    Gateway
    IoT向けモバイルネットワーク「IoT Connect Mobile Type S」は1つのサービスで
    インターネット接続/IoTクラウドサービスへのセキュアな接続/閉域網を利⽤したプライベート接続を実現
    Flexible
    Interconnect
    インターネットへの接続
    インターネット
    IoTクラウドサービス
    クラウドサービス
    データセンタなど
    IoTクラウドサービスへ接続
    閉域網でセキュアに接続
    インターネット経由でデータを収集する⽤途に最適。
    IoTを⼿軽に始めたい⽅や安価なモバイルコネクティビティを
    に適切なパターン。
    ●IoT Connect Mobile Type Sのみの利⽤
    IoT Connect Gatewayサービスを活⽤し、
    センサーからの通信を暗号化しお客様のシステムへセキュアに
    転送。また、各種IoTクラウドサービスへの
    認証機能やクライアント機能をセットで提供
    ●IoT Connect Gatewayとのセット利⽤
    弊社閉域網サービスを活⽤し、
    インターネットから分離されたプライベートネットワークを
    提供。固定のプライベートIPを活⽤することで、双⽅向通信も
    実現可能。
    ●Flexible InterConnectとのセット利⽤

    View full-size slide

  25. © NTT Communications Corporation All Rights Reserved. 25
    IoT Connect Gatewayとは︖
    クラウドサービス接続
    IoTデバイスから送られた⾮暗号化データを、
    IoT Connect Gatewayサービスにて暗号化
    また、各クラウドサービスへの接続時に
    必要となる接続情報や鍵交換を代理で実⾏
    ・各種デバイスから送信されたペイロードをIoT
    Connect Gateway内で変換
    ・デバイス内でペイロード形式をクラウドが期待す
    る形に変える必要がなくなり、負担の軽減が可能
    プロトコル変換
    クラウドアダプタ
    ・必要なときにのみお客様拠点からIoTデバイス
    にアクセスを許可する機能を提供
    ・IoT端末の遠隔保守管理やセキュリティ対策が
    簡単に
    Azure/GCP/AWS
    Things Cloud
    オンプレミスサーバ
    IoTデバイス
    IoT Connect
    Mobile Type® S
    閉域網・⾮暗号化通信 インターネット・暗号化通信
    HTTP, MQTT HTTPS, MQTTS
    プロトコル変換
    クラウド接続機能
    フォーマット変換
    ミラーリング
    リモートアクセス
    フォーマット変換 リモートアクセス
    IoT Connect
    Gateway
    暗号化・認証処理にかかる
    負荷や開発コストの削減
    データ通信量の抑制
    セキュア・柔軟にクラウド
    サービスに接続
    仕様変更・機能アップデー
    トにも柔軟に対応可能

    View full-size slide

  26. © NTT Communications Corporation All Rights Reserved. 26
    IoTにおけるクラウドサービス接続時のよくある課題
    IoTデバイス⼀つずつに暗号化の設定やクラウドへ接続するための
    プライベートキーを実装しなければならない
    不具合時に遠隔地に多数設置されたデバイスを現地に確認しに⾏くこ
    とが難しい
    利⽤⽤途によって利⽤しているクラウド環境が異なるため、
    データを複数回送る必要があり設定に⼿間がかかる
    各拠点にあるIoTデバイスに出向いて各デバイスの設定変更作業をす
    るのに多⼤なコストがかかる
    デバイスとクラウドのデータフォーマットが異なるため、
    個別カスタマイズが必要になり、開発コストがかかる
    コンフィグマネージャー機能
    フォーマット変換機能
    クラウドサービス接続機能
    リモートアクセス機能
    ミラーリング機能
    IoT Connect Gateway 提供機能

    View full-size slide

  27. © NTT Communications Corporation All Rights Reserved.
    メニュー サービスカテゴリ 概要 Input
    Protocol
    Output
    Protocol
    転送先クラウドサービス
    クラウドサービス接続 スタンダード
    (Pconv)
    IoTデバイスから通信をプロトコル変換を⾏うための Adaptor HTTP
    MQTT
    HTTPS
    MQTTS
    任意のHTTP Server
    任意のMQTT Server
    IoTデバイスから各種クラウドIoTプラットフォームに
    プロトコル変換を⾏い接続するためのCloud Service Adaptor
    HTTP
    MQTT
    HTTPS
    MQTTS
    AWS IoT Core
    Azure IoT Hub
    NTTCom Things Cloud
    イベント(Event) IoTデバイスから直接クラウドのイベントHUB系のサービスに
    接続する Cloud Adaptor
    HTTP HTTPS GCP Pub/Sub
    Azure IoT Hub
    ファンクション
    (Func)
    IoTデバイスからクラウドサービスの Function を
    直接実⾏するためのCloud Adaptor
    HTTP HTTPS AWS Lambda
    GCP Functions
    Azure Functions
    ストレージ
    (Storage)
    IoTデバイスからクラウドサービスの Storage へ接続する
    Cloud Adaptor
    HTTP HTTPS AWS S3
    S3互換 Wasabi等
    メニュー 機能 提供プロトコル 概要
    コンフィグマネージャー IoTデバイスの設定をICGW基盤から配信、⼀括変更を実現し、
    キッティングコストや設定変更コストを簡略化する機能
    HTTP IoTデバイスが利⽤する設定ファイルの⽣成と
    遠隔からの更新
    リモートアクセス 任意のIoTデバイスに遠隔ログインできる機能をオンデマンドに提
    供する機能
    ポータルから指定の任意の
    TCPポートに対応
    IoTデバイスへのリモートアクセスを提供する
    フォーマット変換 IoTデバイス、クラウド側のシステムを変更することなくデバイス、
    クラウド間のデータフォーマットの相違を吸収する機能
    クラウドアダプタプロトコルに準拠
    (スタンダード、イベント、ファンクション)
    データ・フォーマットを任意の形式に変換する機能
    ミラーリング IoTデバイスから送信したデータをクラウドアダプタの複数の
    送信先にデータを複製して送信する機能
    HTTP IoTデータからのデータを複製し、複数のクラウド
    アダプタに送信する機能
    仮想コネクション ID認証によりIoTデバイスのアクセスラインに関わらずICGW
    の機能を提供することで、IoTデバイスの⼀括管理を実現する機能
    N/A モバイル回線以外のネットワークでICGWの機能を
    提供
    27
    [参考] IoT Connect Gatewayサービスメニュー⼀覧

    View full-size slide

  28. © NTT Communications Corporation All Rights Reserved. 28
    クラウドサービス接続【ファンクション転送機能】
    Azure Functions
    AWS Lambda
    GCP Functions
    IoTデバイス
    IoT Connect
    Mobile Type® S
    HTTP HTTPS
    ファンクション
    転送機能
    IoT Connect
    Gateway
    • プロトコル変換機能を⾏い、主要な Function as a Service に対してデータを転送可能
    • Azure Functions、GCP Cloud Functions、AWS Lambdaに対応
    • クラウドサービスの処理結果をデバイスに返却可能
    • クラウドサービスの処理結果を元にして、デバイス側で能動的なアクションが可能
    ICGWのエンドポイン
    トに対してデータ送信
    クラウドサービスの
    処理結果を返却可
    ICGW上で後から
    転送先クラウドサービ
    スを切り替え可能
    ICGW上で暗号化
    処理を実施
    (TLS通信)

    View full-size slide

  29. © NTT Communications Corporation All Rights Reserved. 29
    クラウドサービス接続【ファンクション転送機能】
    Azure Functions
    AWS Lambda
    IoTデバイス
    HTTP HTTPS
    ファンクション
    転送機能
    IoT Connect
    Gateway
    • プロトコル変換機能を⾏い、主要な Function as a Service に対してデータを転送可能
    • Azure Functions、GCP Cloud Functions、AWS Lambdaに対応
    • クラウドサービスの処理結果をデバイスに返却可能
    • クラウドサービスの処理結果を元にして、デバイス側で能動的なアクションが可能
    POST http://an1.icgw.ntt.com:8080/
    デバイスはICGWが提供するエンドポイントに
    対してデータを送信する
    転送先: Azure Functions
    転送先: AWS Lambda

    View full-size slide

  30. © NTT Communications Corporation All Rights Reserved. 30
    クラウドサービス接続【ファンクション転送機能】
    Azure Functions
    AWS Lambda
    IoTデバイス
    HTTP HTTPS
    ファンクション
    転送機能
    IoT Connect
    Gateway
    • プロトコル変換機能を⾏い、主要な Function as a Service に対してデータを転送可能
    • Azure Functions、GCP Cloud Functions、AWS Lambdaに対応
    • クラウドサービスの処理結果をデバイスに返却可能
    • クラウドサービスの処理結果を元にして、デバイス側で能動的なアクションが可能
    POST http://an1.icgw.ntt.com:8080/
    デバイスはICGWが提供するエンドポイントに
    対してデータを送信する
    転送先: Azure Functions
    転送先: AWS Lambda
    ICGW上で転送先を切り替え
    ICGW上で転送先を切り替え

    View full-size slide

  31. © NTT Communications Corporation All Rights Reserved. 31
    クラウドサービス接続【ファンクション転送機能】
    Azure Functions
    AWS Lambda
    IoTデバイス
    HTTP HTTPS
    ファンクション
    転送機能
    IoT Connect
    Gateway
    • プロトコル変換機能を⾏い、主要な Function as a Service に対してデータを転送可能
    • Azure Functions、GCP Cloud Functions、AWS Lambdaに対応
    • クラウドサービスの処理結果をデバイスに返却可能
    • クラウドサービスの処理結果を元にして、デバイス側で能動的なアクションが可能
    POST http://an1.icgw.ntt.com:8080/
    デバイスはICGWが提供するエンドポイントに
    対してデータを送信する
    転送先: Azure Functions
    転送先: AWS Lambda
    ICGW上で転送先を切り替え
    ICGW上で転送先を切り替え
    この部分は変更無しでも可能
    デバイスへの
    認証情報の配置不要
    クラウド毎の開発不要
    電⼒消費量の削減

    View full-size slide

  32. © NTT Communications Corporation All Rights Reserved. 32
    クラウドサービス接続【ファンクション転送機能】
    Azure Functions 認証情報作成画⾯ Azure Functions 転送情報画⾯
    転送先クラウドに応じて設定
    エンドポイントのパスを設定
    転送先クラウドに応じた
    認証情報を設定

    View full-size slide

  33. © NTT Communications Corporation All Rights Reserved. 33
    リモートアクセス機能
    • ユーザ拠点や外出先などから遠隔地にあるIoTデバイスにリモートアクセスすることで、
    現場に⾏くこと無しにメンテナンス作業が可能に
    • IoTデバイスに固定のグローバルIPを割り振ることなく、セキュアにリモートアクセスを実現
    • 送信元IPアドレス制限、接続可能な時間の制限(最⼤8h)

    View full-size slide

  34. © NTT Communications Corporation All Rights Reserved. 34
    リモートアクセス機能
    エンドポイント払い出し画⾯
    アクセス先(SIM)
    の設定
    接続可能時間
    の設定
    送信元制限や接続先のデバイスポートを設定
    エンドポイント払い出し後画⾯ エンドポイント払い出し後画⾯

    View full-size slide

  35. © NTT Communications Corporation All Rights Reserved. 35
    IoT Connect Mobile Type® S・IoT Connect Gatewayによる効能
    • モバイル回線利⽤により、データ通信時のセキュリティの確保
    • SIMによる認証機構・閉域網を通じたデータ通信
    • SIMによる認証が通過したデバイスのみがデータ通信可能
    • リモートアクセス機能により、セキュアに保守・運⽤を効率化
    • 踏み台サーバやグローバルIPを必要せず、ライトに遠隔保守業務が可能に
    • Azure Arc によるSSH接続時に必要とされるエージェントなども不要
    • リモートアクセスと併⽤することで保守・運⽤における冗⻑ラインの確保にも
    • クラウドアダプタ接続機能により、様々なクラウドサービスに対応可能
    • 認証情報や接続先クラウドサービスを統⼀的に管理可能
    • 接続先クラウドサービスが落ちた場合に、別のクラウドサービスに切り替えるといった使い⽅も
    • アプリケーション開発のリードタイム削減
    • ICGWにおける転送先クラウドの切り替えや暗号化処理のオフロードにより、
    転送先クラウドに依存しない形でアプリケーション開発が可能に

    View full-size slide

  36. © NTT Communications Corporation All Rights Reserved. 36
    Azure Arc x IoT Connect Gatewayを⽤いたIoTシステム
    • ユースケース
    • IoTセンサーデータの圧縮
    • 匿名化処理によるプライバシー保護
    • 動体検知による監視・リアルタイム異常検知カメラシステム

    View full-size slide

  37. © NTT Communications Corporation All Rights Reserved. 37
    IoTセンサーデータの圧縮
    Microsoft Azure
    Raspberry Pi
    Azure Arc-enabled
    Kubernetes
    IoT Connect
    Mobile Type® S
    プロトコル変換
    クラウド接続機能
    フォーマット変換
    ミラーリング
    リモートアクセス
    IoT Connect
    Gateway
    Azure Arc
    Device
    データ収集・匿名化・圧縮
    センサデータの収集 デバイスのセキュリティ担保
    クラウドへの柔軟な接続
    デバイスの運⽤保守効率化
    マルチクラウドとオンプレミスで
    ⼀貫した管理プラットフォーム
    Mobile Network
    IoT Gateway
    Cloud Services
    Internet
    ⽣センサ
    データ
    匿名化・
    圧縮され
    たセンサ
    データ
    匿名化・
    圧縮され
    たセンサ
    データ
    Device Edge Customer Edge
    Device Network (Wifi, Bluetooth, Modbus etc..)
    インターネット・暗号化通信
    HTTP, MQTT HTTPS, MQTTS
    閉域網・⾮暗号化通信
    センサデータの貯蔵
    • メリット
    • エッジにおけるデータ圧縮により通信のエネルギー効率が向上
    • クラウドのストレージインフラコストの削減
    • データ圧縮検証(圧縮ツールにApache Parquet, データセットにUC Irvine Machine Learning Repository https://archive.ics.uci.edu/dataset)
    • Single elder home monitoring: Gas and position 35MB -> 6.9MB (80%削減)
    2019-11-06から2020-02-13までの間、⾃宅で⼀⼈暮らしをしている⾼齢者のモニタリングから得られた、ガス、温度、移動⾚外線センサー
    • MetroPT-3 Dataset 208MB -> 25MB (88%削減)
    運⽤中の地下鉄列⾞のコンプレッサーの空気⽣産ユニット(APU)から、圧⼒、温度、モーター電流、吸気弁の測定値
    最⼤88%削減

    View full-size slide

  38. © NTT Communications Corporation All Rights Reserved. 38
    匿名化処理によるプライバシー保護
    Microsoft Azure
    Raspberry Pi
    Azure Arc-enabled
    Kubernetes
    IoT Connect
    Mobile Type® S
    プロトコル変換
    クラウド接続機能
    フォーマット変換
    ミラーリング
    リモートアクセス
    IoT Connect
    Gateway
    Azure Arc
    Device
    データ収集・匿名化・圧縮
    センサデータの収集 デバイスのセキュリティ担保
    クラウドへの柔軟な接続
    デバイスの運⽤保守効率化
    マルチクラウドとオンプレミスで
    ⼀貫した管理プラットフォーム
    Mobile Network
    IoT Gateway
    Cloud Services
    Internet
    ⽣センサ
    データ
    匿名化・
    圧縮され
    たセンサ
    データ
    匿名化・
    圧縮され
    たセンサ
    データ
    Device Edge Customer Edge
    Device Network (Wifi, Bluetooth, Modbus etc..)
    インターネット・暗号化通信
    HTTP, MQTT HTTPS, MQTTS
    閉域網・⾮暗号化通信
    センサデータの貯蔵
    • メリット
    • エッジに機密情報、クラウドに匿名化されたデータを配置することで安全性を確保
    • 匿名化によるデータ量、ストレージインフラコストの削減
    • k-匿名化
    • 同じ属性を持つデータがk件以上存在するようにデータを変換し、個⼈が特定される確率をk分の1以下に低減
    • 例: 病歴データから個⼈を特定する名前を削除し、年齢を年代に変換するなど
    K-匿名化
    名前 年齢 性別 病気
    佐藤 25 男 ガン
    鈴⽊ 36 ⼥ 結核
    ⾼橋 41 男 ⾻折
    ⽥中 59 ⼥ 捻挫
    名前 年齢 性別 病気
    - 20代 男 ガン
    - 30代 ⼥ 結核
    - 40代 男 ⾻折
    - 50代 ⼥ 捻挫

    View full-size slide

  39. © NTT Communications Corporation All Rights Reserved. 39
    動体検知による監視・リアルタイム異常検知カメラシステム
    Microsoft Azure
    Raspberry Pi
    Azure Arc-enabled
    Kubernetes
    IoT Connect
    Mobile Type® S
    プロトコル変換
    クラウド接続機能
    フォーマット変換
    ミラーリング
    リモートアクセス
    IoT Connect
    Gateway
    Azure Arc
    Device
    データ収集・匿名化・圧縮
    センサデータの収集 デバイスのセキュリティ担保
    クラウドへの柔軟な接続
    デバイスの運⽤保守効率化
    マルチクラウドとオンプレミスで
    ⼀貫した管理プラットフォーム
    Mobile Network
    IoT Gateway
    Cloud Services
    Internet
    ⽣センサ
    データ
    匿名化・
    圧縮され
    たセンサ
    データ
    匿名化・
    圧縮され
    たセンサ
    データ
    Device Edge Customer Edge
    Device Network (Wifi, Bluetooth, Modbus etc..)
    インターネット・暗号化通信
    HTTP, MQTT HTTPS, MQTTS
    閉域網・⾮暗号化通信
    センサデータの貯蔵
    • メリット
    • 動体検知により必要な映像のみクラウドに送信
    • エッジ処理により低遅延異常検知を実現
    • Motion を利⽤した動体検知
    • 監視カメラなど⼈や物が動作した際に検知可能
    • PatchCoreを利⽤した異常検知
    • 製品検査などにおいてひび割れなどの異常を瞬時に検知して対応
    異常検知
    動体検知

    View full-size slide

  40. © NTT Communications Corporation All Rights Reserved. 40
    まとめ
    • エッジコンピューティングのメリット
    • 近距離・低遅延処理による⾼速化
    • ローカル処理による安全性
    • エッジでの⼀時処理によるデータ・通信削減
    • エッジコンピューティング導⼊の課題
    • 管理の複雑化
    → Azure Arcによるハイブリッド管理
    • NW構築
    → IoT Connect Mobile® Type S・IoT Connect GatewayによるNW構築
    • Azure Arc x IoT Connect Gatewayを⽤いたIoTシステム
    • IoTセンサーデータの圧縮
    → Apache Parquetにより、最⼤88%のデータ削減が可能
    • 匿名化処理によるプライバシー保護
    → エッジに機密情報、クラウドに匿名化されたデータを配置することで安全性を確保
    • 動体検知による監視・リアルタイム異常検知カメラシステム
    → 動体検知によるデータ量の削減、低遅延な異常検知

    View full-size slide