Vytváření a zřizování zařízení IoT Edge ve velkém měřítku v Linuxu pomocí certifikátů X.509

Platí pro: IoT Edge 1.4

Důležité

IoT Edge 1.4 je podporovaná verze. Pokud používáte starší verzi, podívejte se na článek Aktualizace IoT Edge.

Tento článek obsahuje kompletní pokyny pro automatické zřízení jednoho nebo více zařízení IoT Edge s Linuxem pomocí certifikátů X.509. Zařízení Azure IoT Edge můžete automaticky zřídit pomocí služby Azure IoT Hub device provisioning (DPS). Pokud neznáte proces automatického zřizování, než budete pokračovat, projděte si přehled zřizování.

Úkoly jsou následující:

1. Vygenerujte certifikáty a klíče.
2. Vytvořte individuální registraci pro jedno zařízení nebo skupinovou registraci pro sadu zařízení.
3. Nainstalujte modul runtime IoT Edge a zaregistrujte zařízení ve službě IoT Hub.

Použití certifikátů X.509 jako mechanismu ověřování představuje skvělý způsob škálování produkčního prostředí a zjednodušení zřizování zařízení. Certifikáty X.509 jsou obvykle uspořádány v řetězu certifikátů důvěryhodnosti. Počínaje certifikátem podepsaným svým držitelem nebo důvěryhodným kořenovým certifikátem podepíše každý certifikát v řetězu další nižší certifikát. Tento model vytvoří delegovaný řetěz důvěryhodnosti z kořenového certifikátu směrem dolů přes každý zprostředkující certifikát až po konečný certifikát podřízeného zařízení nainstalovaný na zařízení.

Tip

Pokud má vaše zařízení modul hardwarového zabezpečení (HSM), například TPM 2.0, doporučujeme bezpečně ukládat klíče X.509 do hsM. Přečtěte si další informace o tom, jak implementovat zřizování bez dotyku ve velkém měřítku popsané v tomto podrobném plánu s ukázkou iotedge-tpm2cloud .

Požadavky

Cloudové prostředky

• Aktivní centrum IoT
• Instance služby IoT Hub device Provisioning v Azure propojená s centrem IoT
  • Pokud nemáte instanci služby zřizování zařízení, můžete postupovat podle pokynů v rychlém startu vytvoření nové služby zřizování zařízení ioT Hubu a propojení centra IoT a oddílů služby zřizování zařízení ve službě IoT Hub.
  • Po spuštění služby device provisioning zkopírujte hodnotu Oboru ID ze stránky přehledu. Tuto hodnotu použijete při konfiguraci modulu runtime IoT Edge.

Požadavky na zařízení

Fyzické nebo virtuální zařízení s Linuxem, které má být zařízením IoT Edge.

Generování certifikátů identit zařízení

Certifikát identity zařízení je podřízený certifikát zařízení, který se připojuje prostřednictvím řetězu certifikátů důvěryhodnosti k nejvyššímu certifikátu certifikační autority X.509 (CA). Certifikát identity zařízení musí mít svůj běžný název (CN) nastavený na ID zařízení, které má mít zařízení ve službě IoT Hub.

Certifikáty identit zařízení se používají jenom ke zřízení zařízení IoT Edge a ověřování zařízení pomocí Azure IoT Hubu. Na rozdíl od certifikátů certifikační autority, které zařízení IoT Edge prezentuje modulům nebo podřízeným zařízením k ověření, nejsou podpisové certifikáty. Další informace najdete v podrobnostech o využití certifikátů Azure IoT Edge.

Po vytvoření certifikátu identity zařízení byste měli mít dva soubory: soubor .cer nebo .pem, který obsahuje veřejnou část certifikátu, a soubor .cer nebo .pem s privátním klíčem certifikátu. Pokud plánujete používat skupinovou registraci ve službě DPS, potřebujete také veřejnou část certifikátu zprostředkující nebo kořenové certifikační autority ve stejném řetězu certifikátů důvěryhodnosti.

K nastavení automatického zřizování pomocí X.509 potřebujete následující soubory:

• Certifikát identity zařízení a jeho certifikát privátního klíče. Certifikát identity zařízení se nahraje do DPS, pokud vytvoříte jednotlivou registraci. Privátní klíč se předává modulu runtime IoT Edge.
• Úplný řetězový certifikát, který by měl mít alespoň identitu zařízení a zprostředkující certifikáty. Úplný řetězový certifikát se předává modulu runtime IoT Edge.
• Zprostředkující nebo kořenový certifikát certifikační autority z řetězu certifikátů důvěryhodnosti. Pokud vytvoříte skupinovou registraci, tento certifikát se nahraje do DPS.

Použití testovacích certifikátů (volitelné)

Pokud nemáte k dispozici certifikační autoritu k vytvoření nových certifikátů identit a chcete si tento scénář vyzkoušet, úložiště Git Azure IoT Edge obsahuje skripty, které můžete použít k vygenerování testovacích certifikátů. Tyto certifikáty jsou určené jenom pro testování vývoje a nesmí se používat v produkčním prostředí.

Pokud chcete vytvořit testovací certifikáty, postupujte podle kroků v části Vytvoření ukázkových certifikátů a otestujte funkce zařízení IoT Edge. Dokončete dvě požadované části pro nastavení skriptů pro generování certifikátů a vytvoření kořenového certifikátu certifikační autority. Pak podle pokynů vytvořte certifikát identity zařízení. Až budete hotovi, měli byste mít následující pár řetězu certifikátů a klíčů:

• <WRKDIR>/certs/iot-edge-device-identity-<name>-full-chain.cert.pem
• <WRKDIR>/private/iot-edge-device-identity-<name>.key.pem

Oba tyto certifikáty potřebujete na zařízení IoT Edge. Pokud budete používat individuální registraci ve službě DPS, nahrajete soubor .cert.pem. Pokud budete používat skupinovou registraci ve službě DPS, budete také potřebovat certifikát zprostředkující nebo kořenové certifikační autority ve stejném řetězu certifikátů důvěryhodnosti k nahrání. Pokud používáte ukázkové certifikáty, použijte <WRKDIR>/certs/azure-iot-test-only.root.ca.cert.pem certifikát pro registraci skupiny.

Vytvoření registrace DPS

Pomocí vygenerovaných certifikátů a klíčů vytvořte registraci v DPS pro jedno nebo více zařízení IoT Edge.

Pokud chcete zřídit jedno zařízení IoT Edge, vytvořte individuální registraci. Pokud potřebujete zřídit více zařízení, postupujte podle pokynů k vytvoření skupinové registrace DPS.

Při vytváření registrace v DPS máte možnost deklarovat počáteční stav dvojčete zařízení. Ve dvojčeti zařízení můžete nastavit značky pro seskupení zařízení podle libovolné metriky, kterou potřebujete v řešení, jako je oblast, prostředí, umístění nebo typ zařízení. Tyto značky slouží k vytváření automatických nasazení.

Další informace o registracích ve službě zřizování zařízení najdete v tématu Správa registrací zařízení.

Jednotlivá registrace

Vytvoření jednotlivé registrace DPS

Jednotlivé registrace přebírají veřejnou část certifikátu identity zařízení a shodují se s certifikátem na zařízení.

Tip

Kroky v tomto článku jsou určené pro Azure Portal, ale pomocí Azure CLI můžete také vytvářet jednotlivé registrace. Další informace najdete v tématu az iot dps enrollment. Jako součást příkazu rozhraní příkazového řádku použijte příznak s povoleným hraničním zařízením a určete, že registrace je pro zařízení IoT Edge.

1. Na webu Azure Portal přejděte do vaší instance služby IoT Hub device provisioning.

2. V části Nastavení vyberte Spravovat registrace.

3. Vyberte Přidat jednotlivé registrace a pak proveďte následující kroky a nakonfigurujte registraci:

   • Mechanismus: Vyberte X.509.

   • Soubor .pem nebo .cer primárního certifikátu: Nahrajte veřejný soubor z certifikátu identity zařízení. Pokud jste k vygenerování testovacího certifikátu použili skripty, zvolte následující soubor:

     <WRKDIR>\certs\iot-edge-device-identity-<name>.cert.pem

   • ID zařízení služby IoT Hub: Pokud chcete, zadejte ID zařízení. ID zařízení můžete použít k cílení na jednotlivá zařízení pro nasazení modulu. Pokud nezadáte ID zařízení, použije se běžný název (CN) v certifikátu X.509.

   • Zařízení IoT Edge: Výběrem možnosti True deklarujte, že registrace je pro zařízení IoT Edge.

   • Vyberte centra IoT, ke kterým se toto zařízení dá přiřadit: Zvolte propojené centrum IoT, ke kterému chcete zařízení připojit. Můžete zvolit více rozbočovačů a zařízení se přiřadí k jednomu z nich podle vybraných zásad přidělování.

   • Počáteční stav dvojčete zařízení: Pokud chcete, přidejte do dvojčete zařízení hodnotu značky. Značky můžete použít k cílení skupin zařízení pro automatické nasazení. Příklad:

     {
         "tags": {
            "environment": "test"
         },
         "properties": {
            "desired": {}
         }
     }
     

4. Zvolte Uložit.

V části Spravovat registrace uvidíte ID registrace pro právě vytvořenou registraci. Poznamenejte si ho, protože ho můžete použít při zřizování zařízení.

Teď, když pro toto zařízení existuje registrace, může modul runtime IoT Edge během instalace zařízení automaticky zřídit.

Skupinová registrace

Vytvoření skupinové registrace DPS

Registrace skupin používají zprostředkující nebo kořenový certifikát certifikační autority z řetězu certifikátů důvěryhodnosti, který se používá k vygenerování certifikátů identity jednotlivých zařízení.

Ověření kořenového certifikátu

Při vytváření skupiny registrací máte možnost použít ověřený certifikát. Certifikát můžete ověřit pomocí DPS tím, že prokážete, že máte vlastnictví kořenového certifikátu. Další informace naleznete v tématu Jak provést důkaz o vlastnictví pro certifikáty CA X.509.

1. Na webu Azure Portal přejděte do vaší instance služby IoT Hub device provisioning.

2. V nabídce vlevo vyberte Certifikáty .

3. Vyberte Přidat a přidejte nový certifikát.

4. Zadejte popisný název certifikátu a přejděte do souboru .cer nebo .pem, který představuje veřejnou část vašeho certifikátu X.509.

   Pokud používáte ukázkové certifikáty, nahrajte <wrkdir>\certs\azure-iot-test-only.root.ca.cert.pem certifikát.

5. Zvolte Uložit.

6. Váš certifikát by teď měl být uvedený na stránce Certifikáty . Výběrem ho otevřete podrobnosti o certifikátu.

7. Vyberte Vygenerovat ověřovací kód a potom zkopírujte vygenerovaný kód.

8. Bez ohledu na to, jestli jste si přinesli vlastní certifikát certifikační autority nebo používáte ukázkové certifikáty, můžete k ověření vlastnictví použít ověřovací nástroj uvedený v úložišti IoT Edge. Ověřovací nástroj používá váš certifikát certifikační autority k podepsání nového certifikátu, který má zadaný ověřovací kód jako název subjektu.

   New-CACertsVerificationCert "<verification code>"
   

9. Na stejné stránce s podrobnostmi o certifikátu na webu Azure Portal nahrajte nově vygenerovaný ověřovací certifikát.

10. Vyberte možnost ověření.

Vytvoření skupiny registrací

Další informace o registracích ve službě zřizování zařízení najdete v tématu Správa registrací zařízení.

Tip

Kroky v tomto článku jsou určené pro Azure Portal, ale můžete také vytvářet skupinové registrace pomocí Azure CLI. Další informace najdete v tématu az iot dps enrollment-group. Jako součást příkazu rozhraní příkazového řádku použijte příznak s povoleným hraničním zařízením a určete, že registrace je pro zařízení IoT Edge. U skupinové registrace musí být všechna zařízení IoT Edge nebo žádná z nich nemůže být.

1. Na webu Azure Portal přejděte do vaší instance služby IoT Hub device provisioning.

2. V části Nastavení vyberte Spravovat registrace.

3. Vyberte Přidat skupinu registrací a pak dokončete následující kroky a nakonfigurujte registraci:

   • Název skupiny: Zadejte zapamatovatelný název pro tuto registraci skupiny.

   • Typ ověření identity: Vyberte certifikát.

   • Zařízení IoT Edge: Vyberte True. U skupinové registrace musí být všechna zařízení IoT Edge nebo žádná z nich nemůže být.

   • Typ certifikátu: Vyberte certifikát certifikační autority.

   • Primární certifikát: Zvolte certifikát z rozevíracího seznamu.

   • Vyberte centra IoT, ke kterým se toto zařízení dá přiřadit: Zvolte propojené centrum IoT, ke kterému chcete zařízení připojit. Můžete zvolit více rozbočovačů a zařízení se přiřadí k jednomu z nich podle vybraných zásad přidělování.

   • Počáteční stav dvojčete zařízení: Pokud chcete, přidejte do dvojčete zařízení hodnotu značky. Značky můžete použít k cílení skupin zařízení pro automatické nasazení. Příklad:

     {
         "tags": {
            "environment": "test"
         },
         "properties": {
            "desired": {}
         }
     }
     

4. Zvolte Uložit.

V části Spravovat registrace uvidíte ID registrace pro právě vytvořenou registraci. Poznamenejte si ho, protože ho můžete použít při zřizování zařízení.

Teď, když pro tato zařízení existuje registrace, může modul runtime IoT Edge zařízení během instalace automaticky zřídit.

Instalace IoT Edge

V této části připravíte virtuální počítač s Linuxem nebo fyzické zařízení pro IoT Edge. Pak nainstalujete IoT Edge.

Spuštěním následujících příkazů přidejte úložiště balíčků a potom přidejte podpisový klíč balíčku Microsoftu do seznamu důvěryhodných klíčů.

Důležité

30. června 2022 Raspberry Pi OS Stretch byl vyřazen ze seznamu podpory operačního systému vrstvy 1. Abyste se vyhnuli potenciálním ohrožením zabezpečení, aktualizujte hostitelský operační systém na Bullseye.

Ubuntu

Instalaci je možné provést několika příkazy. Otevřete terminál a spusťte následující příkazy:

• 22.04:

  wget https://packages.microsoft.com/config/ubuntu/22.04/packages-microsoft-prod.deb -O packages-microsoft-prod.deb
  sudo dpkg -i packages-microsoft-prod.deb
  rm packages-microsoft-prod.deb
  

• 20.04:

  wget https://packages.microsoft.com/config/ubuntu/20.04/packages-microsoft-prod.deb -O packages-microsoft-prod.deb
  sudo dpkg -i packages-microsoft-prod.deb
  rm packages-microsoft-prod.deb
  

Debian

Instalace pomocí APT se dá provést několika příkazy. Otevřete terminál a spusťte následující příkazy:

• 11 - Bullseye (arm32v7):

  curl https://packages.microsoft.com/config/debian/11/packages-microsoft-prod.deb > ./packages-microsoft-prod.deb
  sudo apt install ./packages-microsoft-prod.deb
  

Tip

Pokud jste při instalaci operačního systému zadali heslo ke kořenovému účtu, nebudete potřebovat sudo a výše uvedený příkaz můžete spustit tak, že začnete příkazem apt.

Red Hat Enterprise Linux

Instalaci je možné provést několika příkazy. Otevřete terminál a spusťte následující příkazy:

• 9.x (amd64):

    wget https://packages.microsoft.com/config/rhel/9.0/packages-microsoft-prod.rpm -O packages-microsoft-prod.rpm
    sudo yum localinstall packages-microsoft-prod.rpm
    rm packages-microsoft-prod.rpm
  

• 8.x (amd64):

    wget https://packages.microsoft.com/config/rhel/8/packages-microsoft-prod.rpm -O packages-microsoft-prod.rpm
    sudo yum localinstall packages-microsoft-prod.rpm
    rm packages-microsoft-prod.rpm
  

Přichycení Ubuntu Core

Modul runtime IoT Edge nainstalujete z úložiště snapů v pozdějším kroku. Pokračujte k další části.

Další informace o verzích operačního systému najdete na podporovaných platformách Azure IoT Edge.

Poznámka:

Softwarové balíčky Azure IoT Edge podléhají licenčním podmínkám umístěným v jednotlivých balíčcích (usr/share/doc/{package-name} nebo adresáři LICENSE ). Přečtěte si licenční podmínky před použitím balíčku. Vaše instalace a použití balíčku představuje vaše přijetí těchto podmínek. Pokud s licenčními podmínkami nesouhlasíte, nepoužívejte tento balíček.

Instalace modulu kontejneru

Azure IoT Edge spoléhá na modul runtime kontejneru kompatibilní s OCI. Pro produkční scénáře doporučujeme použít modul Moby. Modul Moby je jediným kontejnerovým modulem oficiálně podporovaným v IoT Edge. Image kontejnerů Dockeru CE/EE jsou kompatibilní s modulem runtime Moby.

Ubuntu

Nainstalujte modul Moby.

sudo apt-get update; \
  sudo apt-get install moby-engine

Debian

Nainstalujte modul Moby.

sudo apt-get update; \
  sudo apt-get install moby-engine

Red Hat Enterprise Linux

Nainstalujte modul Moby a rozhraní příkazového řádku.

sudo yum install moby-engine moby-cli

Tip

Pokud při instalaci modulu kontejneru Moby dojde k chybám, ověřte kompatibilitu jádra Linuxu pro Moby. Někteří výrobci vložených zařízení dodávají image zařízení, která obsahují vlastní linuxová jádra bez funkcí potřebných pro kompatibilitu modulu kontejnerů. Spuštěním následujícího příkazu, který používá skript check-config od Moby, zkontrolujte konfiguraci jádra:

curl -ssl https://raw.githubusercontent.com/moby/moby/master/contrib/check-config.sh -o check-config.sh
chmod +x check-config.sh
./check-config.sh

Ve výstupu skriptu zkontrolujte, jestli jsou všechny položky v části Generally Necessary a Network Drivers jsou povolené. Pokud vám chybí funkce, povolte je opětovným sestavením jádra ze zdroje a výběrem přidružených modulů pro zahrnutí do příslušného jádra .config. Podobně pokud používáte generátor konfigurace jádra, například defconfig nebo menuconfig, vyhledejte a povolte příslušné funkce a odpovídajícím způsobem znovu sestavte jádro. Po nasazení nově upraveného jádra znovu spusťte skript check-config a ověřte, že všechny požadované funkce byly úspěšně povolené.

Přichycení Ubuntu Core

IoT Edge má závislosti na Dockeru a službě ioT Identity Service. Pomocí následujících příkazů nainstalujte závislosti:

sudo snap install docker
sudo snap install azure-iot-identity

Ve výchozím nastavení modul kontejneru nenastavuje limity velikosti protokolu kontejneru. Časem to může vést k zaplnění zařízení protokoly a vyčerpání místa na disku. Protokol ale můžete nakonfigurovat tak, aby se zobrazoval místně, i když je volitelný. Další informace o konfiguraci protokolování najdete v kontrolním seznamu produkčního nasazení.

Následující kroky ukazují, jak nakonfigurovat kontejner tak, aby jako mechanismus protokolování používal local ovladač protokolování.

Ubuntu / Debian / RHEL

1. Vytvoření nebo úprava konfiguračního souboru existujícího procesu démona Dockeru

   sudo nano /etc/docker/daemon.json
   

2. Nastavte výchozí ovladač protokolování na local ovladač protokolování, jak je znázorněno v příkladu.

      {
         "log-driver": "local"
      }
   

3. Restartujte modul kontejneru, aby se změny projevily.

   sudo systemctl restart docker
   

Přichycení Ubuntu Core

V současné době se místní nastavení ovladače protokolování pro modul snap Docker nepodporuje.

Instalace modulu runtime IoT Edge

Služba IoT Edge poskytuje a udržuje standardy zabezpečení na zařízení IoT Edge. Služba se spustí při každém spuštění a spuštění zařízení spuštěním zbytku modulu runtime IoT Edge.

Poznámka:

Počínaje verzí 1.2 služba identit IoT zpracovává zřizování a správu identit pro IoT Edge a pro další komponenty zařízení, které potřebují komunikovat se službou IoT Hub.

Kroky v této části představují typický proces instalace nejnovější verze IoT Edge na zařízení s připojením k internetu. Pokud potřebujete nainstalovat konkrétní verzi, jako je předběžná verze, nebo je potřeba ji nainstalovat offline, postupujte podle pokynů pro offline nebo konkrétní instalaci verze dále v tomto článku.

Tip

Pokud už máte zařízení IoT Edge se starší verzí a chcete upgradovat na nejnovější verzi, postupujte podle pokynů v tématu Aktualizace démona zabezpečení a modulu runtime ioT Edge. Novější verze se dostatečně liší od předchozích verzí IoT Edge, které jsou potřeba k upgradu konkrétní kroky.

Ubuntu

Nainstalujte nejnovější verzi IoT Edge a balíček služby identit IoT (pokud ještě nejste aktuální):

• 22.04:

  sudo apt-get update; \
     sudo apt-get install aziot-edge
  

• 20.04:

  sudo apt-get update; \
     sudo apt-get install aziot-edge defender-iot-micro-agent-edge
  

Volitelný defender-iot-micro-agent-edge balíček zahrnuje mikro-agenta zabezpečení v programu Microsoft Defender for IoT, který poskytuje přehled o správě stavu zabezpečení, ohrožení zabezpečení, detekci hrozeb, správě vozového parku a další prvky, které vám pomůžou zabezpečit vaše zařízení IoT Edge. Doporučujeme nainstalovat mikro agenta s agentem Edge, abyste umožnili monitorování zabezpečení a posílení zabezpečení zařízení Edge. Další informace o programu Microsoft Defender for IoT najdete v tématu Co je Microsoft Defender for IoT pro tvůrce zařízení.

Debian

Nainstalujte nejnovější verzi IoT Edge a balíček služby identit IoT (pokud ještě nejste aktuální):

sudo apt-get update; \
  sudo apt-get install aziot-edge defender-iot-micro-agent-edge

Volitelný balíček Defender-iot-micro-agent-edge zahrnuje mikro-agenta zabezpečení v programu Microsoft Defender for IoT, který poskytuje přehled o správě stavu zabezpečení, ohrožení zabezpečení, detekci hrozeb, správě vozového parku a další služby, které vám pomůžou zabezpečit vaše zařízení IoT Edge. Doporučujeme nainstalovat mikro agenta s agentem Edge, abyste umožnili monitorování zabezpečení a posílení zabezpečení zařízení Edge. Další informace o programu Microsoft Defender for IoT najdete v tématu Co je Microsoft Defender for IoT pro tvůrce zařízení.

Red Hat Enterprise Linux

Nainstalujte nejnovější verzi IoT Edge a balíček služby identit IoT (pokud ještě nejste aktuální):

sudo yum install aziot-edge

Přichycení Ubuntu Core

Nainstalujte IoT Edge z úložiště snapů:

sudo snap install azure-iot-edge

Připojení přichycení

Ve výchozím nastavení jsou snímky bez závislostí, nedůvěryhodné a přísně omezené. Proto musí být po instalaci připojené k dalším přichycením a systémovým prostředkům. Pomocí následujících příkazů připojte službu IoT Identity Service a IoT Edge k sobě navzájem a k systémovým prostředkům. Abyste mohli začít, musí být snímky připojené ručně. U produkčních nasazení je možné je nakonfigurovat tak, aby se automaticky připojily, aby se snížily úlohy zřizování.

#------------------------
#  IoT Identity Service
#------------------------

# Connect the Identity Service snap to the logging system
# and grant permission to query system info

sudo snap connect azure-iot-identity:log-observe
sudo snap connect azure-iot-identity:mount-observe
sudo snap connect azure-iot-identity:system-observe
sudo snap connect azure-iot-identity:hostname-control

# If using a TPM, enable TPM access

sudo snap connect azure-iot-identity:tpm

#------------
#  IoT Edge
#------------

# Connect to your /home directory to enable writing support bundles

sudo snap connect azure-iot-edge:home

# Connect to logging and grant permission to query system info

sudo snap connect azure-iot-edge:log-observe
sudo snap connect azure-iot-edge:mount-observe
sudo snap connect azure-iot-edge:system-observe
sudo snap connect azure-iot-edge:hostname-control
# Allow IoT Edge to connect to the /var/run/iotedge folder and use sockets

sudo snap connect azure-iot-edge:run-iotedge

# Connect IoT Edge to Docker

sudo snap connect azure-iot-edge:docker docker:docker-daemon

Zřízení zařízení s využitím cloudové identity

Jakmile je modul runtime nainstalovaný na vašem zařízení, nakonfigurujte zařízení s informacemi, které používá pro připojení ke službě zřizování zařízení a ioT Hubu.

Připravte si následující informace:

• Hodnota oboru ID DPS. Tuto hodnotu můžete načíst ze stránky přehledu vaší instance DPS na webu Azure Portal.
• Soubor řetězu certifikátů identity zařízení v zařízení.
• Soubor klíče identity zařízení v zařízení.

Vytvořte konfigurační soubor pro vaše zařízení na základě souboru šablony, který je součástí instalace IoT Edge.

Ubuntu / Debian / RHEL

sudo cp /etc/aziot/config.toml.edge.template /etc/aziot/config.toml

Otevřete konfigurační soubor na zařízení IoT Edge.

sudo nano /etc/aziot/config.toml

Přichycení Ubuntu Core

Pokud používáte instalaci přichycení IoT Edge, soubor šablony se nachází na /snap/azure-iot-edge/current/etc/aziot/config.toml.edge.templateadrese . Ve svém domovském adresáři vytvořte kopii souboru šablony a pojmenujte ho config.toml. Příklad:

cp /snap/azure-iot-edge/current/etc/aziot/config.toml.edge.template ~/config.toml

Otevřete konfigurační soubor v domovském adresáři na zařízení IoT Edge.

nano ~/config.toml

1. Najděte část Zřizování souboru. Odkomentujte řádky pro zřizování DPS pomocí certifikátu X.509 a ujistěte se, že jsou zakomentované všechny ostatní řádky zřizování.

   # DPS provisioning with X.509 certificate
   [provisioning]
   source = "dps"
   global_endpoint = "https://global.azure-devices-provisioning.net"
   id_scope = "SCOPE_ID_HERE"
   
   # Uncomment to send a custom payload during DPS registration
   # payload = { uri = "PATH_TO_JSON_FILE" }
   
   [provisioning.attestation]
   method = "x509"
   registration_id = "REGISTRATION_ID_HERE"
   
   identity_cert = "DEVICE_IDENTITY_CERTIFICATE_HERE"
   
   identity_pk = "DEVICE_IDENTITY_PRIVATE_KEY_HERE"
   
   # auto_reprovisioning_mode = Dynamic
   

2. Aktualizujte hodnotu id_scope s ID oboru, které jste zkopírovali z instance SLUŽBY DPS.

3. registration_id Zadejte zařízení, což je ID, které má zařízení ve službě IoT Hub. ID registrace se musí shodovat s běžným názvem certifikátu identity.

4. Aktualizujte hodnoty identity_certidentity_pk certifikátu a klíče a aktualizujte je.

   Hodnotu certifikátu identity je možné zadat jako identifikátor URI souboru nebo ji lze dynamicky vydat pomocí EST nebo místní certifikační autority. Odkomentujte jenom jeden řádek podle formátu, který chcete použít.

   Hodnotu privátního klíče identity je možné zadat jako identifikátor URI souboru nebo identifikátor URI PKCS#11. Odkomentujte jenom jeden řádek podle formátu, který chcete použít.

   Pokud používáte nějaké identifikátory URI PKCS#11, vyhledejte v konfiguračním souboru oddíl PKCS#11 a zadejte informace o konfiguraci PKCS#11.

   Další informace o certifikátech najdete v tématu Správa certifikátů IoT Edge.

   Další informace o zřizování nastavení konfigurace najdete v tématu Konfigurace nastavení zařízení IoT Edge.

5. Volitelně můžete najít část režimu automatického opětovného zřízení souboru. Pomocí parametru auto_reprovisioning_mode nakonfigurujte chování opětovného zřízení zařízení. Dynamické – opětovné zřízení, když zařízení zjistí, že mohlo být přesunuto z jednoho IoT Hubu do jiného. Tato možnost je výchozí. AlwaysOnStartup – Opětovné zřízení při restartování zařízení nebo chybové ukončení způsobí restartování démonů. OnErrorOnly – Automatické opětovné zřízení zařízení nikdy neaktivujte. Každý režim má implicitní opětovné zřízení zařízení, pokud se zařízení během zřizování identit nemůže připojit ke službě IoT Hub kvůli chybám připojení. Další informace najdete v tématu Koncepty opětovného zřízení zařízení ve službě IoT Hub.

6. Volitelně můžete odkomentovat payload parametr a zadat cestu k místnímu souboru JSON. Obsah souboru se odešle do DPS jako další data , když se zařízení zaregistruje. To je užitečné pro vlastní přidělení. Pokud například chcete přidělit zařízení na základě ID modelu technologie Plug and Play IoT bez zásahu člověka.

7. Soubor uložte a zavřete.

Použijte změny konfigurace, které jste provedli v IoT Edge.

Ubuntu / Debian / RHEL

sudo iotedge config apply

Přichycení Ubuntu Core

sudo snap set azure-iot-edge raw-config="$(cat ~/config.toml)"

Ověření úspěšné instalace

Pokud se modul runtime úspěšně spustil, můžete přejít do služby IoT Hub a začít nasazovat moduly IoT Edge do zařízení.

Jednotlivá registrace

Můžete ověřit, že se použila jednotlivá registrace, kterou jste vytvořili ve službě device Provisioning. Na webu Azure Portal přejděte k instanci služby zřizování zařízení. Otevřete podrobnosti o registraci pro jednotlivou registraci, kterou jste vytvořili. Všimněte si, že se přiřadí stav registrace a zobrazí se ID zařízení.

Skupinová registrace

Můžete ověřit, jestli se použila registrace skupiny, kterou jste vytvořili ve službě device Provisioning. Na webu Azure Portal přejděte k instanci služby zřizování zařízení. Otevřete podrobnosti o registraci skupiny, kterou jste vytvořili. Přejděte na kartu Registrační záznamy a zobrazte všechna zařízení zaregistrovaná v této skupině.

Pomocí následujících příkazů na zařízení ověřte, že se IoT Edge nainstaloval a úspěšně spustil.

Zkontrolujte stav služby IoT Edge.

sudo iotedge system status

Prozkoumejte protokoly služby.

sudo iotedge system logs

Výpis spuštěných modulů

sudo iotedge list

Další kroky

Proces registrace služby Device Provisioning umožňuje nastavit ID zařízení a značky dvojčat zařízení současně se zřízením nového zařízení. Tyto hodnoty můžete použít k cílení na jednotlivá zařízení nebo skupiny zařízení pomocí automatické správy zařízení. Zjistěte, jak nasadit a monitorovat moduly IoT Edge ve velkém měřítku pomocí webu Azure Portal nebo pomocí Azure CLI.