تكوين جهاز IoT Edge ليكون بمثابة بوابة شفافة

ينطبق على: IoT Edge 1.5

هام

IoT Edge 1.5 LTS هو الإصدار المدعوم. IoT Edge 1.4 LTS هو نهاية العمر الافتراضي اعتبارا من 12 نوفمبر 2024. إذا كنت تستخدم إصدارا سابقا، فشاهد تحديث IoT Edge.

تقدم هذه المقالة إرشادات مفصلة لتكوين جهاز IoT Edge كبوابة شفافة حتى تتمكن الأجهزة الأخرى من الاتصال ب IoT Hub. في هذه المقالة، تعني بوابة IoT Edge جهاز IoT Edge تم تكوينه كبوابة شفافة. لمزيد من المعلومات راجع كيف يمكن استخدام جهاز IoT Edge كبوابة.

إشعار

لا يمكن لأجهزة انتقال البيانات من الخادم استخدام تحميل الملفات.

هناك ثلاث خطوات رئيسية لإعداد اتصال بوابة شفاف. تتناول هذه المقالة الخطوة الأولى:

1. قم بتكوين جهاز البوابة كخادم حتى تتمكن أجهزة انتقال البيانات من الخادم من الاتصال بأمان. قم بإعداد البوابة لتلقي الرسائل من أجهزة انتقال البيانات من الخادم وتوجيهها إلى الوجهة الصحيحة.
2. إنشاء هوية جهاز لجهاز انتقال البيانات من الخادم حتى يتمكن من المصادقة باستخدام IoT Hub. تكوين جهاز انتقال البيانات من الخادم لإرسال رسائل عبر جهاز البوابة. للحصول على هذه الخطوات، راجع مصادقة جهاز انتقال البيانات من الخادم إلى Azure IoT Hub.
3. قم بتوصيل جهاز انتقال البيانات من الخادم بجهاز البوابة وابدأ في إرسال الرسائل. للحصول على هذه الخطوات، راجع توصيل جهاز انتقال البيانات من الخادم إلى بوابة Azure IoT Edge.

للعمل كبوابة، يحتاج الجهاز إلى الاتصال بأمان بأجهزة انتقال البيانات من الخادم الخاصة به. يتيح لك Azure IoT Edge استخدام البنية الأساسية للمفتاح العام (PKI) لإعداد اتصالات آمنة بين الأجهزة. في هذه الحالة، يتصل جهاز انتقال البيانات من الخادم بجهاز IoT Edge يعمل كبوابة شفافة. للحفاظ على أمان الأشياء، يتحقق جهاز انتقال البيانات من الخادم من هوية جهاز البوابة. يساعد هذا الفحص على منع الأجهزة من الاتصال بالبوابات الضارة.

يمكن أن يكون جهاز انتقال البيانات من الخادم أي تطبيق أو نظام أساسي بهوية تم إنشاؤها في Azure IoT Hub. غالبا ما تستخدم هذه التطبيقات SDK لجهاز Azure IoT. يمكن أن يكون جهاز انتقال البيانات من الخادم تطبيقا يعمل على جهاز بوابة IoT Edge نفسه.

يمكنك إنشاء أي بنية أساسية للشهادة تمكن الثقة المطلوبة لطوبولوجيا بوابة الجهاز. في هذه المقالة، نستخدم نفس إعداد الشهادة مثل أمان المرجع المصدق X.509 في IoT Hub. يستخدم هذا الإعداد شهادة المرجع المصدق X.509 المقترنة بمركز IoT محدد (المرجع المصدق الجذري لمركز IoT)، وسلسلة من الشهادات الموقعة مع المرجع المصدق هذا، و CA لجهاز IoT Edge.

إشعار

يشير مصطلح شهادة المرجع المصدق الجذر المستخدم في جميع هذه المقالات إلى الشهادة العامة أعلى سلطة لسلسلة شهادات PKI، وليس بالضرورة جذر الشهادة لمرجع مصدق مشترك. في كثير من الحالات، إنها في الواقع شهادة عامة متوسطة للمرجع المصدق.

اتبع هذه الخطوات لإنشاء الشهادات وتثبيتها في الأماكن المناسبة على البوابة. استخدم أي جهاز لإنشاء الشهادات، ثم انسخها إلى جهاز IoT Edge.

المتطلبات الأساسية

IoT Edge

تحتاج إلى جهاز Linux أو Windows مع تثبيت IoT Edge.

إذا لم يكن لديك جهاز جاهز، فبادر بإنشاء جهاز في جهاز Azure الظاهري. اتبع الخطوات الواردة في نشر أول وحدة IoT Edge إلى جهاز Linux ظاهري لإنشاء IoT Hub وإنشاء جهاز ظاهري وتكوين وقت تشغيل IoT Edge.

IoT Edge ل Linux على Windows

تحذير

نظرا لأن الجهاز الظاهري IoT Edge ل Linux على Windows (EFLOW) يجب أن يكون متاحا من الأجهزة الخارجية، تأكد من نشر EFLOW مع مفتاح ظاهري خارجي . لمزيد من المعلومات حول تكوينات شبكة EFLOW، راجع تكوين الشبكات ل Azure IoT Edge ل Linux على Windows.

تحتاج إلى جهاز Windows مع تثبيت IoT Edge ل Linux على Windows.

إذا لم يكن لديك جهاز جاهز، فبادر بإنشاء جهاز قبل متابعة هذا الدليل. اتبع الخطوات الواردة في إنشاء وتوفير IoT Edge ل Linux على جهاز Windows باستخدام مفاتيح متماثلة لإنشاء IoT Hub، وإنشاء جهاز EFLOW ظاهري، وتكوين وقت تشغيل IoT Edge.

إعداد شهادة المرجع المصدق Edge

تحتاج جميع بوابات IoT Edge إلى شهادة المرجع المصدق ل Edge مثبتة عليها. يستخدم برنامج أمان IoT Edge شهادة المرجع المصدق Edge لتوقيع شهادة CA لحمل العمل، والتي بدورها توقع شهادة خادم لمركز IoT Edge. تقدم البوابة شهادة الخادم الخاصة بها إلى جهاز انتقال البيانات من الخادم أثناء بدء الاتصال. يتحقق جهاز انتقال البيانات من الخادم للتأكد من أن شهادة الخادم هي جزء من سلسلة شهادات تظهر إلى شهادة المرجع المصدق الجذر. تسمح هذه العملية لجهاز انتقال البيانات من الخادم بالتأكد من أن البوابة تأتي من مصدر موثوق به. لمزيد من المعلومات، راجع فهم كيفية استخدام Azure IoT Edge للشهادات.

يجب أن تكون شهادة المرجع المصدق الجذر وشهادة المرجع المصدق Edge (مع مفتاحها الخاص) على جهاز بوابة IoT Edge وتعيينها في ملف تكوين IoT Edge. في هذه الحالة، تعني شهادة المرجع المصدق الجذر المرجع المصدق الأعلى لسيناريو IoT Edge هذا. يجب أن تظهر شهادة المرجع المصدق ل Edge للبوابة وشهادات جهاز انتقال البيانات من الخادم إلى نفس شهادة المرجع المصدق الجذر.

تلميح

يتم أيضا شرح عملية تثبيت شهادة المرجع المصدق الجذر وشهادة المرجع المصدق Edge على جهاز IoT Edge بمزيد من التفصيل في إدارة الشهادات على جهاز IoT Edge.

جهز الملفات التالية:

• الشهادة الخاصة بالمرجع المصدق الجذر
• شهادة Edge CA
• مفتاح خاص ل CA للجهاز

بالنسبة لسيناريوهات الإنتاج، قم بإنشاء هذه الملفات مع المرجع المصدق الخاص بك. بالنسبة لسيناريوهات التطوير والاختبار، يمكنك استخدام الشهادات التجريبية.

إنشاء شهادات تجريبية

إذا لم يكن لديك المرجع المصدق الخاص بك وتريد استخدام شهادات العرض التوضيحي، فاتبع الإرشادات الواردة في إنشاء شهادات تجريبية لاختبار ميزات جهاز IoT Edge لإنشاء ملفاتك. في هذه الصفحة، اتبع الخطوات التالية:

1. قم بإعداد البرامج النصية لإنشاء الشهادات على جهازك.
2. إنشاء شهادة المرجع المصدق الجذر. في النهاية، لديك ملف <path>/certs/azure-iot-test-only.root.ca.cert.pemشهادة المرجع المصدق الجذر .
3. إنشاء شهادات المرجع المصدق ل Edge. في النهاية، لديك شهادة <path>/certs/iot-edge-device-ca-<cert name>-full-chain.cert.pem المرجع المصدق Edge ومفتاحها <path>/private/iot-edge-device-ca-<cert name>.key.pemالخاص .

نسخ الشهادات إلى الجهاز

IoT Edge

1. تحقق من أن الشهادة تفي بمتطلبات التنسيق.

2. إذا قمت بإنشاء الشهادات على جهاز مختلف، فانسخها إلى جهاز IoT Edge. استخدم محرك أقراص USB أو خدمة مثل Azure Key Vault أو أمر مثل نسخة ملف آمنة.

3. انقل الملفات إلى الدليل المفضل للشهادات والمفاتيح: /var/aziot/certs للشهادات والمفاتيح /var/aziot/secrets .

4. إنشاء الشهادات ودلائل المفاتيح وتعيين الأذونات. قم بتخزين الشهادات والمفاتيح في الدليل المفضل /var/aziot : /var/aziot/certs للشهادات والمفاتيح /var/aziot/secrets .

   # If the certificate and keys directories don't exist, create, set ownership, and set permissions
   sudo mkdir -p /var/aziot/certs
   sudo chown aziotcs:aziotcs /var/aziot/certs
   sudo chmod 755 /var/aziot/certs
   
   sudo mkdir -p /var/aziot/secrets
   sudo chown aziotks:aziotks /var/aziot/secrets
   sudo chmod 700 /var/aziot/secrets
   

5. تغيير ملكية الشهادات والمفاتيح وأذوناتها.

   # Give aziotcs ownership to certificates
   # Read and write for aziotcs, read-only for others
   sudo chown -R aziotcs:aziotcs /var/aziot/certs
   sudo find /var/aziot/certs -type f -name "*.*" -exec chmod 644 {} \;
   
   # Give aziotks ownership to private keys
   # Read and write for aziotks, no permission for others
   sudo chown -R aziotks:aziotks /var/aziot/secrets
    sudo find /var/aziot/secrets -type f -name "*.*" -exec chmod 600 {} \;
   

IoT Edge ل Linux على Windows

الآن، انسخ الشهادات إلى Azure IoT Edge ل Linux على جهاز Windows الظاهري.

لمزيد من المعلومات حول هذه الأوامر، راجع وظائف PowerShell ل IoT Edge.

1. تحقق من أن الشهادة تفي بمتطلبات التنسيق.

2. انسخ الشهادات إلى الجهاز الظاهري EFLOW في دليل حيث لديك حق الوصول للكتابة /home/iotedge-user ، مثل الدليل الرئيسي.

   # Copy the Edge CA certificate and key
   Copy-EflowVMFile -fromFile <path>\certs\iot-edge-device-ca-<cert name>-full-chain.cert.pem -toFile ~/iot-edge-device-ca-<cert name>-full-chain.cert.pem -pushFile
   Copy-EflowVMFile -fromFile <path>\private\iot-edge-device-ca-<cert name>.key.pem -toFile ~/iot-edge-device-ca-<cert name>.key.pem -pushFile
   
   # Copy the root CA certificate
   Copy-EflowVMFile -fromFile <path>\certs\azure-iot-test-only.root.ca.cert.pem -toFile ~/azure-iot-test-only.root.ca.cert.pem -pushFile
   

3. افتح جلسة PowerShell غير مقيدة عن طريق البدء بتشغيل كمسؤول.

   الاتصال بجهاز EFLOW الظاهري.

   Connect-EflowVm
   

4. إنشاء الشهادات ودلائل المفاتيح وتعيين الأذونات. يجب تخزين الشهادات والمفاتيح في الدليل المفضل /var/aziot . يستخدم /var/aziot/certs للشهادات والمفاتيح /var/aziot/secrets .

   # If the certificate and keys directories don't exist, create, set ownership, and set permissions
   sudo mkdir -p /var/aziot/certs
   sudo chown aziotcs:aziotcs /var/aziot/certs
   sudo chmod 755 /var/aziot/certs
   
   sudo mkdir -p /var/aziot/secrets
   sudo chown aziotks:aziotks /var/aziot/secrets
   sudo chmod 700 /var/aziot/secrets
   

5. نقل الشهادات والمفاتيح إلى الدليل المفضل /var/aziot .

   # Move the Edge CA certificate and key to preferred location
   sudo mv ~/azure-iot-test-only.root.ca.cert.pem /var/aziot/certs
   sudo mv ~/iot-edge-device-ca-<cert name>-full-chain.cert.pem /var/aziot/certs
   sudo mv ~/iot-edge-device-ca-<cert name>.key.pem /var/aziot/secrets
   

6. تغيير ملكية الشهادات والمفاتيح وأذوناتها.

   # Give aziotcs ownership to certificate
   # Read and write for aziotcs, read-only for others
   sudo chown aziotcs:aziotcs /var/aziot/certs/azure-iot-test-only.root.ca.cert.pem
   sudo chown aziotcs:aziotcs /var/aziot/certs/iot-edge-device-ca-<cert name>-full-chain.cert.pem
   sudo chmod 644 /var/aziot/certs/azure-iot-test-only.root.ca.cert.pem
   sudo chmod 644 /var/aziot/certs/iot-edge-device-ca-<cert name>-full-chain.cert.pem
   
   # Give aziotks ownership to private key
   # Read and write for aziotks, no permission for others
   sudo chown aziotks:aziotks /var/aziot/secrets/iot-edge-device-ca-<cert name>.key.pem
   sudo chmod 600 /var/aziot/secrets/iot-edge-device-ca-<cert name>.key.pem
   

7. قم بإنهاء اتصال EFLOW VM.

   exit
   

تكوين الشهادات على الجهاز

1. على جهاز IoT Edge، افتح ملف التكوين: /etc/aziot/config.toml. إذا كنت تستخدم IoT Edge ل Linux على Windows، فاتصل بجهاز EFLOW الظاهري باستخدام Connect-EflowVm PowerShell cmdlet.

   تلميح

   إذا لم يكن ملف التكوين موجودا على جهازك حتى الآن، فاستخدم /etc/aziot/config.toml.edge.template كقالب لإنشاء واحد.

2. ابحث عن المعلمة trust_bundle_cert . قم بإلغاء التعليق على هذا السطر وتوفير URI للملف إلى ملف شهادة المرجع المصدق الجذر على جهازك.

3. ابحث عن [edge_ca] قسم من الملف. قم بإلغاء التعليق على الأسطر الثلاثة في هذا القسم وقم بتوفير معرفات URI للملف إلى الشهادة والملفات الرئيسية كقيم للخصائص التالية:

   • الشهادة: شهادة المرجع المصدق ل Edge
   • pk: مفتاح خاص ل CA للجهاز

4. احفظ الملف وأغلقه.

5. تطبيق التغييرات.

   sudo iotedge config apply
   

نشر edgeHub وتوجيه الرسائل

ترسل أجهزة انتقال البيانات من الخادم بيانات تتبع الاستخدام والرسائل إلى جهاز البوابة، حيث توجه وحدة مركز IoT Edge المعلومات إلى وحدات نمطية أخرى أو إلى IoT Hub. لإعداد جهاز البوابة لهذه الدالة، تأكد مما يلي:

• يتم نشر وحدة مركز IoT Edge على الجهاز.

  عند تثبيت IoT Edge على جهاز، تبدأ وحدة نظام واحدة فقط تلقائيا: عامل IoT Edge. عند إنشاء النشر الأول لجهاز، تبدأ وحدة النظام الثانية ومركز IoT Edge أيضا. إذا لم تكن الوحدة النمطية edgeHub قيد التشغيل على جهازك، فبادر بإنشاء نشر لجهازك.

• تحتوي وحدة مركز IoT Edge على مسارات تم إعدادها للتعامل مع الرسائل الواردة من أجهزة انتقال البيانات من الخادم.

  يحتاج جهاز البوابة إلى مسار لمعالجة الرسائل من أجهزة انتقال البيانات من الخادم، أو لا تتم معالجة هذه الرسائل. يمكنك إرسال الرسائل إلى الوحدات النمطية على جهاز البوابة أو مباشرة إلى IoT Hub.

لنشر وحدة مركز IoT Edge وتكوين المسارات للتعامل مع الرسائل الواردة من أجهزة انتقال البيانات من الخادم، اتبع الخطوات التالية:

1. في مدخل Microsoft Azure، انتقل إلى مركز IoT.

2. انتقل إلى الأجهزة ضمن قائمة إدارة الأجهزة وحدد جهاز IoT Edge لاستخدامه كبوابة.

3. حدد Set modules.

4. في صفحة الوحدات النمطية ، أضف أي وحدات نمطية تريد نشرها إلى جهاز البوابة. في هذه المقالة، تركز على تكوين ونشر الوحدة النمطية edgeHub، والتي لا تحتاج إلى تعيينها بشكل صريح في هذه الصفحة.

5. حدد Next: Routes.

6. في صفحة المسارات ، تأكد من وجود مسار للتعامل مع الرسائل من أجهزة انتقال البيانات من الخادم. على سبيل المثال:

   • مسار يرسل جميع الرسائل، سواء من وحدة نمطية أو من جهاز انتقال البيانات من الخادم، إلى IoT Hub:

     • الاسم:allMessagesToHub
     • القيمة: FROM /messages/* INTO $upstream

   • مسار يرسل جميع الرسائل من جميع أجهزة انتقال البيانات من الخادم إلى IoT Hub:

     • الاسم:allDownstreamToHub
     • القيمة: FROM /messages/* WHERE NOT IS_DEFINED ($connectionModuleId) INTO $upstream

     يعمل هذا المسار لأنه، على عكس الرسائل الواردة من وحدات IoT Edge النمطية، لا تحتوي الرسائل الواردة من أجهزة انتقال البيانات من الخادم على معرف وحدة نمطية مقترن بها. يتيح لك استخدام عبارة WHERE للمسار تصفية أي رسائل باستخدام خاصية النظام هذه.

     لمزيد من المعلومات حول توجيه الرسائل، راجع نشر الوحدات النمطية وإنشاء المسارات.

7. بعد إنشاء المسار أو المسارات، حدد Review + create.

8. في صفحة مراجعة+ إنشاء حدد إنشاء.

فتح المنافذ على جهاز البوابة

لا تحتاج أجهزة IoT Edge القياسية إلى أي اتصال وارد للعمل، لأن جميع الاتصالات مع IoT Hub تتم من خلال الاتصالات الصادرة. تختلف أجهزة البوابة لأنها تحتاج إلى تلقي رسائل من أجهزة انتقال البيانات من الخادم. إذا كان جدار الحماية بين أجهزة انتقال البيانات من الخادم وجهاز البوابة، فيجب أن يكون الاتصال ممكنا من خلال جدار الحماية أيضا.

IoT Edge

لكي يعمل سيناريو البوابة، يجب أن يكون واحد على الأقل من بروتوكولات IoT Edge Hub المدعومة مفتوحا لنسبة استخدام الشبكة الواردة من أجهزة انتقال البيانات من الخادم. البروتوكولات المدعومة هي MQTT وAMQP وHTTPS وMQTT عبر WebSockets وAMQP عبر WebSockets.

المنفذ	البروتوكول
8883	MQTT
5671	AMQP
443	HTTPS MQTT+WS AMQP+WS

IoT Edge ل Linux على Windows

لكي يعمل سيناريو البوابة، يجب أن يكون واحد على الأقل من بروتوكولات IoT Edge Hub المدعومة مفتوحا لنسبة استخدام الشبكة الواردة من أجهزة انتقال البيانات من الخادم. البروتوكولات المدعومة هي MQTT وAMQP وHTTPS وMQTT عبر WebSockets وAMQP عبر WebSockets.

المنفذ	البروتوكول
8883	MQTT
5671	AMQP
443	HTTPS MQTT+WS AMQP+WS

بعد ذلك، افتح منافذ الجهاز الظاهري EFLOW. استخدم أوامر PowerShell cmdlets التالية لفتح المنافذ الثلاثة المذكورة سابقا.

# Open MQTT port
Invoke-EflowVmCommand "sudo iptables -A INPUT -p tcp --dport 8883 -j ACCEPT"

# Open AMQP port
Invoke-EflowVmCommand "sudo iptables -A INPUT -p tcp --dport 5671 -j ACCEPT"

# Open HTTPS/MQTT+WS/AMQP+WS port
Invoke-EflowVmCommand "sudo iptables -A INPUT -p tcp --dport 443 -j ACCEPT"

# Save the iptables rules
Invoke-EflowVmCommand "sudo iptables-save | sudo tee /etc/systemd/scripts/ip4save"

الخطوات التالية

الآن بعد أن قمت بإعداد جهاز IoT Edge كبوابة شفافة، قم بإعداد أجهزة انتقال البيانات من الخادم للوثوق بالبوابة وإرسال الرسائل إليها. تابع مصادقة جهاز انتقال البيانات من الخادم إلى Azure IoT Hub للخطوات التالية في سيناريو البوابة الشفافة.