Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Zabezpečení a škálovatelnost jsou prioritou pro nasazení operací Azure IoT. Tento článek popisuje pokyny, které byste měli vzít v úvahu při nastavování operací Azure IoT pro produkční prostředí.
Před zvážením vhodné konfigurace rozhodněte, jestli nasazujete operace Azure IoT do clusteru s jedním uzlem nebo clusterem s více uzly. Mnoho pokynů v tomto článku platí bez ohledu na typ clusteru, ale pokud existuje rozdíl, bude výslovně zmíněn.
Platforma
V současné době je K3s v Ubuntu 24.04 jedinou obecně dostupnou platformou pro nasazení operací Azure IoT v produkčním prostředí.
Nastavení clusteru
Ujistěte se, že pro váš scénář stačí nastavení hardwaru a že začnete se zabezpečeným prostředím.
Konfigurace systému
Vytvořte cluster K3s s podporou arc, který splňuje požadavky na systém.
- Pro operace Azure IoT použijte podporované prostředí.
- Nakonfigurujte cluster podle dokumentace.
- Pokud u clusteru očekáváte přerušované připojení, ujistěte se, že při offline režimu clusteru přidělíte dostatek místa na disku pro data a zprávy mezipaměti clusteru. Operace Azure IoT můžou pracovat offline maximálně 72 hodin.
- Pokud je to možné, před nasazením do primárního produkčního clusteru vytvořte druhý cluster jako pracovní oblast pro testování nových změn.
- Vypněte automatické nasazení služby Azure Arc, abyste měli úplnou kontrolu nad tím, kdy se na váš cluster použijí nové aktualizace. Místo toho podle potřeby agenty ručně upgradujte .
- Pro clustery s více uzly: Nakonfigurujte clustery s Edge Volumes aby se připravilo prostředí pro povolení odolnosti proti chybám během nasazení.
Zabezpečení
Před nasazením zvažte následující opatření, abyste měli jistotu, že je vaše nastavení clusteru zabezpečené.
- Ověřte image , abyste měli jistotu, že jsou podepsané Microsoftem.
- Při šifrování TLS použijte vlastní vystavovatele a integrujte se s podnikovou PKI.
- Používejte tajné kódy pro místní ověřování.
- Používejte spravované identity přiřazené uživatelem pro cloudová připojení.
- Udržujte cluster a nasazení azure IoT Operations v aktualizovaném stavu s nejnovějšími opravami a dílčími verzemi, abyste získali všechny dostupné opravy zabezpečení a chyb.
Sítě
Pokud používáte podnikové brány firewall nebo proxy servery, přidejte koncové body operace Azure IoT do svého seznamu povolených.
Pozorovatelnost
V případě produkčních nasazení nasaďte do clusteru prostředky pozorovatelnosti před nasazením operací Azure IoT. Doporučujeme také nastavit upozornění Prometheus ve službě Azure Monitor.
Nasazení
Pro nasazení připravené pro produkční prostředí zahrňte následující konfigurace během nasazování operací Azure IoT.
MQTT broker
V průvodci nasazením na webu Azure Portal je prostředek zprostředkovatele nastavený na kartě Konfigurace .
Nakonfigurujte nastavení kardinality na základě profilu paměti a potřeb pro zpracování připojení a zpráv. Například následující nastavení může podporovat cluster s jedním uzlem nebo více uzly:
Nastavení Jeden uzel Více uzlů frontendReplicas 1 5 frontendoví pracovníci 4 8 backendRedundancyFactor 2 2 back-endWorkers 1 4 back-endPartitions 1 5 Profil paměti Malý zájem Velký zájem Nastavte vyrovnávací paměť zpráv na disku s maximální velikostí, která brání přetečení paměti RAM.
Registr schématu a úložiště
V průvodci nasazením na webu Azure Portal se registr schématu a požadovaný účet úložiště nastaví na kartě Správa závislostí .
- Účet úložiště musí mít povolený hierarchický obor názvů.
- Spravovaná identita registru schématu musí mít oprávnění přispěvatele pro účet úložiště.
- Účet úložiště se podporuje jenom s povoleným přístupem k veřejné síti.
V případě produkčních nasazení vymešte rozsah přístupu k veřejné síti účtu úložiště tak, aby umožňoval provoz jenom z důvěryhodných služeb Azure. Například:
- Na webu Azure Portal přejděte k účtu úložiště, který používá váš registr schématu.
- V navigační nabídce vyberte Zabezpečení a sítě>.
- Pro nastavení přístupu k veřejné síti vyberte Povoleno z vybraných virtuálních sítí a IP adres.
- V části Výjimky na stránce Sítě se ujistěte, že je vybraná možnost Povolit důvěryhodným službám Microsoftu přístup k tomuto prostředku .
- Chcete-li použít změny, vyberte Uložit .
Další informace najdete v tématu Konfigurace bran firewall služby Azure Storage a virtuálních sítí > Udělení přístupu k důvěryhodným službám Azure.
Odolnost proti chybám
Clustery s více uzly: Odolnost proti chybám je možné povolit na kartě Správa závislostí v průvodci nasazením na webu Azure Portal. Podporuje se jenom u clusterů s více uzly a doporučuje se pro produkční nasazení.
Nastavení zabezpečení
Během nasazování máte možnost použít testovací nastavení nebo nastavení zabezpečení. V případě produkčních nasazení zvolte zabezpečená nastavení. Pokud upgradujete stávající nasazení testovacího nastavení pro produkční prostředí, postupujte podle kroků v části nazvané Povolit nastavení zabezpečení.
Po nasazení
Po nasazení operací Azure IoT se pro produkční scénář nasadí následující konfigurace.
MQTT broker
Po nasazení můžete upravit prostředky BrokerListener:
- Nakonfigurujte protokol TLS s automatickou správou certifikátů pro posluchače.
Můžete také upravit prostředky BrokerAuthentication.
- K ověřování použijte certifikáty X.509 nebo tokeny účtu služby Kubernetes.
- Nepoužívejte žádné ověřování.
Při vytváření nového prostředku spravujte jeho autorizaci:
- Vytvořte objekt BrokerAuthorization a zadejte nejnižší oprávnění potřebná pro objekt tématu.
Zprostředkovatel OPC UA
Pro připojení k prostředkům v produkčním prostředí nakonfigurujte ověřování OPC UA:
- Nepoužívejte žádné ověřování. Připojení k serverům OPC UA se bez ověřování nepodporuje.
- Nastavte zabezpečené připojení k serveru OPC UA. Použijte produkční pkI a nakonfigurujte certifikáty aplikací a seznam důvěryhodnosti.
Toky dat
Při použití toků dat v produkčním prostředí:
- Použijte ověřování tokenu účtu služby (SAT) u zprostředkovatele MQTT (výchozí).
- Vždy používané ověřování spravovaných identit. Pokud je to možné, použijte spravovanou identitu přiřazenou uživatelem v koncových bodech toku dat pro flexibilitu a auditovatelnost.
- Škálujte profily toku dat, abyste zlepšili propustnost a měli vysokou dostupnost.
- Seskupte několik toků dat do profilů toku dat a odpovídajícím způsobem přizpůsobte škálování pro každý profil.