Vytváření a zřizování IoT Edge zařízení ve velkém s čipem TPM ve Windows

Platí pro: IoT Edge 1.1

Důležité

IoT Edge 1.1 datum ukončení podpory bylo 13. prosince 2022. Informace o způsobu podpory tohoto produktu, služby, technologie nebo rozhraní API najdete v tématu věnovaném životnímu cyklu produktů Microsoftu. Další informace o aktualizaci na nejnovější verzi IoT Edge najdete v tématu Aktualizace IoT Edge.

Tento článek obsahuje pokyny k automatickému zřízení zařízení Azure IoT Edge pro Windows pomocí čipu TPM (Trusted Platform Module). Zařízení můžete automaticky zřizovat IoT Edge pomocí služby Azure IoT Hub device provisioning. Pokud nejste obeznámeni s procesem automatického zřizování, než budete pokračovat, projděte si přehled zřizování .

Poznámka

Azure IoT Edge s kontejnery Windows nebudou podporovány od verze 1.2 azure IoT Edge.

Zvažte použití nové metody pro spuštění IoT Edge na zařízeních s Windows, Azure IoT Edge pro Linux ve Windows.

Pokud chcete používat Azure IoT Edge pro Linux ve Windows, můžete postupovat podle pokynů v ekvivalentním návodu.

Tento článek popisuje dvě metodologie. Vyberte své preference na základě architektury vašeho řešení:

• Automatické zřízení zařízení s Windows pomocí fyzického hardwaru TPM
• Automatické zřízení zařízení s Windows se simulovaným čipem TPM Tuto metodologii doporučujeme pouze jako testovací scénář. Simulovaný čip TPM nenabízí stejné zabezpečení jako fyzický čip TPM.

Pokyny se liší v závislosti na vaší metodologii, proto se ujistěte, že jste na správné kartě.

Úkoly jsou následující:

Fyzický čip TPM

• Načtěte informace o zřizování zařízení.
• Vytvořte pro zařízení individuální registraci.
• Nainstalujte modul runtime IoT Edge a připojte zařízení k IoT Hub.

Simulovaný čip TPM

• Nastavte simulovaný čip TPM a načtěte informace o jeho zřizování.
• Vytvořte pro zařízení individuální registraci.
• Nainstalujte modul runtime IoT Edge a připojte zařízení k IoT Hub.

Požadavky

Požadavky jsou stejné pro fyzická a virtuální řešení TPM.

Cloudové prostředky

• Aktivní centrum IoT
• Instance služby IoT Hub device provisioning v Azure propojená se službou IoT Hub
  • Pokud nemáte instanci služby zřizování zařízení, můžete postupovat podle pokynů v částech Vytvoření nové služby IoT Hub zřizování zařízení a Propojení centra IoT a služby zřizování zařízení v rychlém startu IoT Hub služby zřizování zařízení.
  • Po spuštění služby zřizování zařízení zkopírujte hodnotu Rozsah ID ze stránky přehledu. Tuto hodnotu použijete při konfiguraci modulu runtime IoT Edge.

Požadavky na zařízení

Vývojový počítač s Windows. Tento článek používá Windows 10.

Poznámka

Čip TPM 2.0 se vyžaduje, pokud používáte ověření identity čipem TPM se službou zřizování zařízení.

Při použití čipu TPM můžete vytvářet jenom jednotlivé registrace služby zřizování zařízení, ne skupiny.

Nastavení čipu TPM

Fyzický čip TPM

V této části vytvoříte nástroj, který můžete použít k načtení ID registrace a ověřovacího klíče pro čip TPM.

1. Postupujte podle kroků v tématu Nastavení vývojového prostředí Pro Windows a nainstalujte a sestavte sadu SDK pro zařízení Azure IoT pro C.

2. Spuštěním následujících příkazů v relaci PowerShellu se zvýšenými oprávněními sestavte nástroj SDK, který načte informace o zřizování zařízení pro váš čip TPM.

   cd azure-iot-sdk-c\cmake
   cmake -Duse_prov_client:BOOL=ON ..
   cd provisioning_client\tools\tpm_device_provision
   make
   .\tpm_device_provision
   

3. V okně výstupu se zobrazí ID registrace zařízení a ověřovací klíč. Zkopírujte tyto hodnoty pro pozdější použití při vytváření individuální registrace pro vaše zařízení ve službě zřizování zařízení.

Tip

Pokud k načtení informací nechcete použít nástroj SDK, musíte najít jiný způsob, jak získat informace o zřizování. Ověřovací klíč, který je jedinečný pro každý čip TPM, je získán od výrobce čipu TPM, který je k němu přidružený. Můžete odvodit jedinečné ID registrace pro vaše zařízení TPM. Můžete například vytvořit hodnotu hash SHA-256 ověřovacího klíče.

Jakmile budete mít ID registrace a ověřovací klíč, můžete pokračovat.

Simulovaný čip TPM

Pokud nemáte k dispozici fyzický čip TPM a chcete tuto metodu zřizování otestovat, můžete na svém zařízení simulovat čip TPM.

Služba IoT Hub device provisioning poskytuje ukázky, které simulují čip TPM a vrací ověřovací klíč a ID registrace.

1. Vyberte jednu z ukázek z následujícího seznamu na základě preferovaného jazyka.
2. Až budete mít simulovaný čip TPM spuštěný a shromáždíte ověřovací klíč a ID registrace, přestaňte postupovat podle ukázkových kroků služby zřizování zařízení. Pokud chcete spustit registraci v ukázkové aplikaci, nevybírejte Enter .
3. Nechte okno hostující simulovaný čip TPM spuštěné, dokud nedokončíte testování tohoto scénáře.
4. Vraťte se k tomuto článku a vytvořte registraci služby zřizování zařízení a nakonfigurujte své zařízení.

Ukázky simulovaného čipu TPM:

• C
• Java
• C#
• Node.js
• Python

Vytvoření registrace služby zřizování zařízení

Informace o zřizování čipu TPM použijte k vytvoření individuální registrace ve službě zřizování zařízení.

Když vytvoříte registraci ve službě zřizování zařízení, máte možnost deklarovat počáteční stav dvojčete zařízení. Ve dvojčeti zařízení můžete nastavit značky tak, aby seskupily zařízení podle libovolné metriky použité ve vašem řešení, jako je oblast, prostředí, umístění nebo typ zařízení. Tyto značky slouží k vytváření automatických nasazení.

Tip

Postup v tomto článku je určený pro Azure Portal, ale můžete také vytvořit jednotlivé registrace pomocí Azure CLI. Další informace najdete v tématu az iot dps enrollment. Jako součást příkazu rozhraní příkazového řádku pomocí příznaku s povoleným hraničním zařízením určete, že registrace je pro IoT Edge zařízení.

1. V Azure Portal přejděte ke své instanci služby IoT Hub zřizování zařízení.

2. V části Nastavení vyberte Spravovat registrace.

3. Vyberte Přidat jednotlivou registraci a pak proveďte následující kroky pro konfiguraci registrace:

   1. V části Mechanismus vyberte TPM.

   2. Zadejte ověřovací klíč a ID registrace , které jste zkopírovali z virtuálního počítače nebo fyzického zařízení.

   3. Pokud chcete, zadejte ID svého zařízení. Pokud nezadáte ID zařízení, použije se ID registrace.

   4. Výběrem možnosti True deklarujte, že váš virtuální počítač nebo fyzické zařízení je IoT Edge zařízení.

   5. Zvolte propojené centrum IoT, ke kterému chcete připojit své zařízení, nebo vyberte Propojit s novým IoT Hub. Můžete zvolit více rozbočovačů a zařízení se přiřadí k jednomu z nich podle vybraných zásad přiřazení.

   6. Pokud chcete, přidejte hodnotu značky do počátečního stavu dvojčete zařízení . Značky můžete použít k cílení na skupiny zařízení pro nasazení modulu. Další informace najdete v tématu Nasazení modulů IoT Edge ve velkém měřítku.

   7. Vyberte Uložit.

Teď, když pro toto zařízení existuje registrace, může modul runtime IoT Edge zařízení automaticky zřídit během instalace.

Instalace IoT Edge

V této části připravíte virtuální počítač nebo fyzické zařízení s Windows na IoT Edge. Pak nainstalujete IoT Edge.

Azure IoT Edge spoléhá na modul runtime kontejneru kompatibilní s OCI. Moby, modul založený na Moby, je součástí instalačního skriptu, což znamená, že k instalaci modulu neexistují žádné další kroky.

Instalace modulu IoT Edge Runtime:

1. Spusťte PowerShell jako správce.

   Použijte relaci AMD64 PowerShellu, ne PowerShellu (x86). Pokud si nejste jistí, jaký typ relace používáte, spusťte následující příkaz:

   (Get-Process -Id $PID).StartInfo.EnvironmentVariables["PROCESSOR_ARCHITECTURE"]
   

2. Spusťte příkaz Deploy-IoTEdge , který provede následující úlohy:

   • Zkontroluje, že váš počítač s Windows používá podporovanou verzi.
   • Zapne funkci kontejnerů.
   • Stáhne modul moby a modul runtime IoT Edge.

   . {Invoke-WebRequest -useb https://aka.ms/iotedge-win} | Invoke-Expression; `
   Deploy-IoTEdge
   

3. Pokud se zobrazí výzva, restartujte zařízení.

Při instalaci IoT Edge na zařízení můžete použít další parametry k úpravě procesu, mezi které patří:

• Směrování provozu přes proxy server
• Nasměrujte instalační program na místní adresář pro offline instalaci.

Další informace o těchto dalších parametrech najdete v tématu Skripty PowerShellu pro IoT Edge s kontejnery Windows.

Zřízení cloudové identity zařízení

Po instalaci modulu runtime na vašem zařízení nakonfigurujte na zařízení informace, které používá k připojení ke službě zřizování zařízení a IoT Hub.

1. Seznamte se s rozsahem ID služby zřizování zařízení a ID registrace zařízení, které jste shromáždili v předchozích částech.

2. Otevřete okno PowerShellu v režimu správce. Při instalaci IoT Edge, nikoli PowerShellu (x86), nezapomeňte použít relaci PowerShellu AMD64.

3. Příkaz Initialize-IoTEdge nakonfiguruje modul runtime IoT Edge na vašem počítači. Výchozí nastavení příkazu je ruční zřizování kontejnerů Windows. Pokud chcete místo ručního -Dps zřizování použít službu zřizování zařízení, použijte příznak .

   Zástupné hodnoty a paste_scope_id_herepaste_registration_id_here nahraďte dříve shromážděnými daty.

   . {Invoke-WebRequest -useb https://aka.ms/iotedge-win} | Invoke-Expression; `
   Initialize-IoTEdge -Dps -ScopeId paste_scope_id_here -RegistrationId paste_registration_id_here
   

Ověření úspěšné instalace

Pokud se modul runtime úspěšně spustil, přejděte do centra IoT a začněte do zařízení nasazovat moduly IoT Edge. Pomocí následujících příkazů v zařízení ověřte, že se modul runtime úspěšně nainstaloval a spustil.

1. Zkontrolujte stav služby IoT Edge.

   Get-Service iotedge
   

2. Prozkoumejte protokoly služby za posledních 5 minut.

   . {Invoke-WebRequest -useb aka.ms/iotedge-win} | Invoke-Expression; Get-IoTEdgeLog
   

3. Vypíše spuštěné moduly.

   iotedge list
   

Další kroky

Proces registrace služby zřizování zařízení umožňuje nastavit ID zařízení a značky dvojčat zařízení současně se zřízením nového zařízení. Tyto hodnoty můžete použít k cílení na jednotlivá zařízení nebo skupiny zařízení pomocí automatické správy zařízení.

Naučte se nasazovat a monitorovat moduly IoT Edge ve velkém měřítku pomocí Azure Portal nebo Azure CLI.