Vytváření a zřizování IoT Edge zařízení ve velkém ve Windows pomocí symetrických klíčů

Platí pro: IoT Edge 1.1

Důležité

IoT Edge 1.1 datum ukončení podpory bylo 13. prosince 2022. Informace o způsobu podpory tohoto produktu, služby, technologie nebo rozhraní API najdete v tématu věnovaném životnímu cyklu produktů Microsoftu. Další informace o aktualizaci na nejnovější verzi IoT Edge najdete v tématu Aktualizace IoT Edge.

Tento článek obsahuje kompletní pokyny pro automatické zřizování jednoho nebo více zařízení s Windows IoT Edge pomocí symetrických klíčů. Zařízení Azure IoT Edge můžete automaticky zřizovat pomocí služby Azure IoT Hub device provisioning Service (DPS). Pokud nejste obeznámeni s procesem automatického zřizování, než budete pokračovat, projděte si přehled zřizování .

Poznámka

Azure IoT Edge s kontejnery Windows nebudou podporovány od verze 1.2 azure IoT Edge.

Zvažte použití nové metody pro spuštění IoT Edge na zařízeních s Windows, Azure IoT Edge pro Linux ve Windows.

Pokud chcete používat Azure IoT Edge pro Linux ve Windows, můžete postupovat podle pokynů v ekvivalentním návodu.

Úkoly jsou následující:

1. Vytvořte buď individuální registraci pro jedno zařízení, nebo skupinovou registraci pro sadu zařízení.
2. Nainstalujte modul runtime IoT Edge a připojte se k IoT Hub.

Ověření symetrického klíče je jednoduchý přístup k ověřování zařízení pomocí instance služby device provisioning. Tato metoda ověření identity představuje prostředí Hello world pro vývojáře, kteří se zřizováním zařízení noví nebo nemají striktní požadavky na zabezpečení. Ověření identity zařízení pomocí certifikátů TPM nebo X.509 je bezpečnější a mělo by se používat pro přísnější požadavky na zabezpečení.

Požadavky

Cloudové prostředky

• Aktivní centrum IoT
• Instance služby IoT Hub device provisioning v Azure propojená se službou IoT Hub
  • Pokud nemáte instanci služby zřizování zařízení, můžete postupovat podle pokynů v částech Vytvoření nové služby IoT Hub zřizování zařízení a Propojení centra IoT a služby zřizování zařízení v rychlém startu IoT Hub služby zřizování zařízení.
  • Po spuštění služby zřizování zařízení zkopírujte hodnotu Rozsah ID ze stránky přehledu. Tuto hodnotu použijete při konfiguraci modulu runtime IoT Edge.

Požadavky na zařízení

Fyzické nebo virtuální zařízení s Windows, které bude IoT Edge zařízením.

K identifikaci jednotlivých zařízení budete muset definovat jedinečnéID registrace . Můžete použít adresu MAC, sériové číslo nebo jakékoli jedinečné informace ze zařízení. Můžete například použít kombinaci adresy MAC a sériového čísla, které tvoří následující řetězec pro ID registrace: sn-007-888-abc-mac-a1-b2-c3-d4-e5-f6. Platné znaky jsou malá alfanumerická písmena a pomlčka (-).

Vytvoření registrace DPS

Vytvořte registraci pro zřízení jednoho nebo více zařízení prostřednictvím DPS.

Pokud chcete zřídit jedno IoT Edge zařízení, vytvořte individuální registraci. Pokud potřebujete zřídit více zařízení, postupujte podle pokynů pro vytvoření registrace skupiny DPS.

Při vytváření registrace v DPS máte možnost deklarovat počáteční stav dvojčete zařízení. Ve dvojčeti zařízení můžete nastavit značky tak, aby se zařízení seskupily podle libovolné metriky, kterou ve svém řešení potřebujete, jako je oblast, prostředí, umístění nebo typ zařízení. Tyto značky slouží k vytváření automatických nasazení.

Další informace o registracích ve službě zřizování zařízení najdete v tématu Správa registrací zařízení.

Individuální registrace

Vytvoření jednotlivé registrace DPS

Tip

Postup v tomto článku je určený pro Azure Portal, ale můžete také vytvořit jednotlivé registrace pomocí Azure CLI. Další informace najdete v tématu az iot dps enrollment. Jako součást příkazu rozhraní příkazového řádku pomocí příznaku s povoleným hraničním zařízením určete, že registrace je pro IoT Edge zařízení.

1. V Azure Portal přejděte do své instance služby IoT Hub zřizování zařízení.

2. V části Nastavení vyberte Spravovat registrace.

3. Vyberte Přidat jednotlivou registraci a pak proveďte následující kroky a nakonfigurujte registraci:

   1. V části Mechanismus vyberte Symetrický klíč.

   2. Zadejte jedinečné ID registrace pro vaše zařízení.

   3. Volitelně můžete zadat id zařízení IoT Hub. Id zařízení můžete použít k cílení na jednotlivá zařízení pro nasazení modulu. Pokud nezadáte ID zařízení, použije se ID registrace.

   4. Vyberte True a deklarujte, že registrace je pro IoT Edge zařízení.

   5. Volitelně můžete do počátečního stavu dvojčete zařízení přidat hodnotu značky. Značky můžete použít k cílení na skupiny zařízení pro nasazení modulu. Příklad:

      {
         "tags": {
            "environment": "test"
         },
         "properties": {
            "desired": {}
         }
      }
      

   6. Vyberte Uložit.

4. Zkopírujte hodnotu primárního klíče jednotlivé registrace, kterou chcete použít při instalaci modulu runtime IoT Edge.

Teď, když pro toto zařízení existuje registrace, může modul runtime IoT Edge zařízení automaticky zřídit během instalace.

Skupinová registrace

Vytvoření registrace skupiny DPS

Tip

Postup v tomto článku je určený pro Azure Portal, ale můžete také vytvořit skupinové registrace pomocí Azure CLI. Další informace najdete v tématu az iot dps enrollment-group. V rámci příkazu rozhraní příkazového řádku pomocí příznaku s podporou hraničních zařízení určete, že registrace je určená pro IoT Edge zařízení. Pro registraci skupiny musí být všechna zařízení IoT Edge zařízení, jinak žádná z nich nemůže být.

1. V Azure Portal přejděte do své instance služby IoT Hub zřizování zařízení.

2. V části Nastavení vyberte Spravovat registrace.

3. Vyberte Přidat jednotlivou registraci a pak proveďte následující kroky a nakonfigurujte registraci:

   1. Zadejte název skupiny.

   2. Jako typ ověření vyberte Symetrický klíč .

   3. Vyberte True a deklarujte, že registrace je pro IoT Edge zařízení. Pro registraci skupiny musí být všechna zařízení IoT Edge zařízení, jinak žádná z nich nemůže být.

   4. Volitelně můžete do počátečního stavu dvojčete zařízení přidat hodnotu značky. Značky můžete použít k cílení na skupiny zařízení pro nasazení modulu. Příklad:

      {
         "tags": {
            "environment": "test"
         },
         "properties": {
            "desired": {}
         }
      }
      

   5. Vyberte Uložit.

4. Zkopírujte hodnotu Primární klíč skupiny registrací, kterou chcete použít při vytváření klíčů zařízení pro použití s registrací skupiny.

Teď, když skupina registrací existuje, může modul runtime IoT Edge automaticky zřizovat zařízení během instalace.

Odvození klíče zařízení

Každé zařízení, které je zřízené jako součást skupinové registrace, potřebuje odvozený klíč zařízení, aby bylo během zřizování u registrace potřeba ověření symetrického klíče.

Pokud chcete vygenerovat klíč zařízení, použijte klíč, který jste zkopírovali ze skupiny registrace DPS, k výpočtu HMAC-SHA256 jedinečného ID registrace zařízení a převeďte výsledek do formátu Base64.

Důležité

Do kódu zařízení nezahrnujte primární ani sekundární klíč vaší registrace.

Ve Windows můžete pomocí PowerShellu vygenerovat odvozený klíč zařízení, jak je znázorněno v následujícím příkladu.

Hodnotu KEY nahraďte primárním klíčem , který jste si poznamenali dříve.

Hodnotu REG_ID nahraďte ID registrace zařízení.

$KEY='PASTE_YOUR_ENROLLMENT_KEY_HERE'
$REG_ID='PASTE_YOUR_REGISTRATION_ID_HERE'

$hmacsha256 = New-Object System.Security.Cryptography.HMACSHA256
$hmacsha256.key = [Convert]::FromBase64String($KEY)
$sig = $hmacsha256.ComputeHash([Text.Encoding]::ASCII.GetBytes($REG_ID))
$derivedkey = [Convert]::ToBase64String($sig)
echo "`n$derivedkey`n"

Níže je ukázkový výstup odvozeného klíče zařízení:

Jsm0lyGpjaVYVP2g3FnmnmG9dI/9qU24wNoykUmermc=

Instalace IoT Edge

V této části připravíte virtuální počítač nebo fyzické zařízení s Windows na IoT Edge. Pak nainstalujete IoT Edge.

Azure IoT Edge spoléhá na modul runtime kontejneru kompatibilní s OCI. Moby, modul založený na Moby, je součástí instalačního skriptu, což znamená, že k instalaci modulu nejsou žádné další kroky.

Instalace modulu runtime IoT Edge:

1. Spusťte PowerShell jako správce.

   Použijte relaci AMD64 PowerShellu, ne PowerShellu(x86). Pokud si nejste jistí, jaký typ relace používáte, spusťte následující příkaz:

   (Get-Process -Id $PID).StartInfo.EnvironmentVariables["PROCESSOR_ARCHITECTURE"]
   

2. Spusťte příkaz Deploy-IoTEdge , který provede následující úlohy:

   • Zkontroluje, jestli je váš počítač s Windows v podporované verzi.
   • Zapne funkci kontejnerů.
   • Stáhne modul moby a modul runtime IoT Edge.

   . {Invoke-WebRequest -useb https://aka.ms/iotedge-win} | Invoke-Expression; `
   Deploy-IoTEdge
   

3. Pokud se zobrazí výzva, restartujte zařízení.

Při instalaci IoT Edge na zařízení můžete použít další parametry k úpravě procesu, včetně:

• Směrování provozu přes proxy server
• Nasměrujte instalační program na místní adresář pro offline instalaci.

Další informace o těchto dalších parametrech najdete v tématu Skripty PowerShellu pro IoT Edge s kontejnery Windows.

Zřízení zařízení s jeho cloudovou identitou

Jakmile je modul runtime nainstalovaný na vašem zařízení, nakonfigurujte zařízení s informacemi, které používá pro připojení ke službě zřizování zařízení a IoT Hub.

Připravte si následující informace:

• Hodnota oboru ID SLUŽBY DPS
• Id registrace zařízení, které jste vytvořili
• Buď primární klíč z jednotlivé registrace, nebo odvozený klíč pro zařízení používající skupinovou registraci.

1. Otevřete okno PowerShellu v režimu správce. Při instalaci IoT Edge, ne PowerShellu (x86) nezapomeňte použít relaci PowerShellu AMD64.

2. Příkaz Initialize-IoTEdge nakonfiguruje modul runtime IoT Edge na vašem počítači. Příkaz ve výchozím nastavení používá ruční zřizování s kontejnery Windows, takže pomocí příznaku -DpsSymmetricKey použijte automatické zřizování se symetrickým ověřováním pomocí klíče.

   Zástupné hodnoty pro paste_scope_id_here, paste_registration_id_herea paste_symmetric_key_here nahraďte daty, která jste shromáždili dříve.

   . {Invoke-WebRequest -useb https://aka.ms/iotedge-win} | Invoke-Expression; `
   Initialize-IoTEdge -DpsSymmetricKey -ScopeId paste_scope_id_here -RegistrationId paste_registration_id_here -SymmetricKey paste_symmetric key_here
   

Ověření úspěšné instalace

Pokud se modul runtime úspěšně spustil, můžete přejít do IoT Hub a začít do zařízení nasazovat IoT Edge moduly.

Individuální registrace

Můžete ověřit, že se použila jednotlivá registrace, kterou jste vytvořili ve službě zřizování zařízení. V Azure Portal přejděte k instanci služby zřizování zařízení. Otevřete podrobnosti o registraci pro jednotlivou registraci, kterou jste vytvořili. Všimněte si, že je přiřazen stav registrace a id zařízení.

Skupinová registrace

Můžete ověřit, že se použila skupinová registrace, kterou jste vytvořili ve službě zřizování zařízení. V Azure Portal přejděte k instanci služby zřizování zařízení. Otevřete podrobnosti o registraci skupiny, kterou jste vytvořili. Přejděte na kartu Registrační záznamy a zobrazte všechna zařízení zaregistrovaná v této skupině.

Pomocí následujících příkazů na zařízení ověřte, že se IoT Edge úspěšně nainstaloval a spustil.

Zkontrolujte stav služby IoT Edge.

Get-Service iotedge

Prozkoumejte protokoly služby.

. {Invoke-WebRequest -useb aka.ms/iotedge-win} | Invoke-Expression; Get-IoTEdgeLog

Vypíše spuštěné moduly.

iotedge list

Další kroky

Proces registrace služby zřizování zařízení umožňuje nastavit ID zařízení a značky dvojčat zařízení současně se zřízením nového zařízení. Tyto hodnoty můžete použít k cílení na jednotlivá zařízení nebo skupiny zařízení pomocí automatické správy zařízení. Naučte se nasazovat a monitorovat moduly IoT Edge ve velkém měřítku pomocí Azure Portal nebo Azure CLI.