Nasazení Azure IoT Operations Preview do clusteru Kubernetes s podporou arc

Důležité

Azure IoT Operations Preview – Služba Azure Arc je aktuálně ve verzi Preview. Tento software ve verzi Preview byste neměli používat v produkčních prostředích.

Až bude dostupná obecně dostupná verze, budete muset nasadit novou instalaci operací Azure IoT. Nebudete moct upgradovat instalaci verze Preview.

Právní podmínky, které platí pro funkce Azure, které jsou ve verzi beta, verzi Preview nebo které zatím nejsou veřejně dostupné, najdete v Dodatečných podmínkách použití pro Microsoft Azure verze Preview.

Zjistěte, jak nasadit Azure IoT Operations Preview do clusteru Kubernetes pomocí Azure CLI nebo webu Azure Portal.

V tomto článku probereme nasazení a instance operací Azure IoT, což jsou dva různé koncepty:

• Nasazení operací Azure IoT popisuje všechny komponenty a prostředky, které umožňují scénář operací Azure IoT. Mezi tyto komponenty a prostředky patří:

  • Instance provozu Azure IoT
  • Rozšíření Arc
  • Vlastní umístění
  • Pravidla synchronizace prostředků
  • Prostředky, které můžete nakonfigurovat v řešení Azure IoT Operations, jako jsou prostředky a koncové body prostředků.

• Instance operace Azure IoT je nadřazený prostředek, který sečte sadu služeb definovaných v části Co je Azure IoT Operations Preview? Jako je zprostředkovatel MQTT, toky dat a konektor OPC UA.

Když mluvíme o nasazení operací Azure IoT, znamenáme úplnou sadu komponent, které tvoří nasazení. Jakmile nasazení existuje, můžete instanci zobrazit, spravovat a aktualizovat.

Požadavky

Cloudové prostředky:

• Předplatné Azure.

• Trezor klíčů Azure. Pokud chcete vytvořit nový trezor klíčů, použijte příkaz az keyvault create :

  az keyvault create --enable-rbac-authorization --name "<NEW_KEYVAULT_NAME>" --resource-group "<RESOURCE_GROUP>"
  

• Přístupová oprávnění Azure. Další informace najdete v tématu Podrobnosti o > nasazení Požadovaná oprávnění.

Prostředky pro vývoj:

• Azure CLI nainstalované na vývojovém počítači. Tento scénář vyžaduje Azure CLI verze 2.64.0 nebo vyšší. Použijte az --version ke kontrole vaší verze a az upgrade k aktualizaci v případě potřeby. Další informace najdete v tématu Postup instalace Azure CLI.

• Rozšíření Azure IoT Operations pro Azure CLI. Pomocí následujícího příkazu přidejte rozšíření nebo ho aktualizujte na nejnovější verzi:

  az extension add --upgrade --name azure-iot-ops
  

Hostitel clusteru:

• Cluster Kubernetes s podporou Azure Arc s povolenými funkcemi vlastního umístění a identity úloh Pokud ho nemáte, postupujte podle pokynů v části Příprava clusteru Kubernetes s podporou Služby Azure Arc.

  Pokud jste dříve nasadili operace Azure IoT do clusteru, před pokračováním tyto prostředky odinstalujte. Další informace najdete v tématu Aktualizace operací Azure IoT.

• Pomocí příkazu verify-host v hostiteli clusteru ověřte, že je hostitel clusteru správně nakonfigurovaný pro nasazení:

  az iot ops verify-host
  

• (Volitelné) Příprava clusteru na pozorovatelnost před nasazením operací Azure IoT: Konfigurace pozorovatelnosti

Nasadit

Pomocí webu Azure Portal nebo Azure CLI nasaďte operace Azure IoT do clusteru Kubernetes s podporou Arc.

Prostředí nasazení na webu Azure Portal je pomocný nástroj, který vygeneruje příkaz nasazení na základě vašich prostředků a konfigurace. Posledním krokem je spuštění příkazu Azure CLI, takže stále potřebujete požadavky Azure CLI popsané v předchozí části.

Azure Portal

1. Na webu Azure Portal vyhledejte a vyberte operace Azure IoT.

2. Vyberte Vytvořit.

3. Na kartě Základy zadejte následující informace:

   Parametr	Hodnota
   Předplatné	Vyberte předplatné, které obsahuje váš cluster s podporou Arc.
   Skupina prostředků	Vyberte skupinu prostředků, která obsahuje cluster s podporou arc.
   Název clusteru	Vyberte cluster, do kterého chcete nasadit operace Azure IoT.
   Název vlastního umístění	Volitelné: Nahraďte výchozí název vlastního umístění.

   

4. Vyberte Další: Konfigurace.

5. Na kartě Konfigurace zadejte následující informace:

   Parametr	Hodnota
   Název operace Azure IoT	Volitelné: Nahraďte výchozí název instance Azure IoT Operations.
   Konfigurace zprostředkovatele MQTT	Volitelné: Upravte výchozí nastavení pro zprostředkovatele MQTT. Další informace najdete v tématu Konfigurace základních nastavení zprostředkovatele MQTT.
   Konfigurace profilu toku dat	Volitelné: Upravte výchozí nastavení pro toky dat. Další informace najdete v tématu Konfigurace profilu toku dat.

   

6. Vyberte Další: Správa závislostí.

7. Na kartě Správa závislostí vyberte existující registr schématu nebo ho vytvořte pomocí následujícího postupu:

   1. Vyberte, že chcete vytvořit novou IP adresu.

   2. Zadejte název registru schématu a obor názvů registru schématu.

   3. Vyberte kontejner Azure Storage.

   4. V seznamu účtů s povoleným hierarchickým oborem názvů zvolte účet úložiště nebo ho vytvořte výběrem možnosti Vytvořit .

      Registr schématu vyžaduje účet služby Azure Storage s povoleným hierarchickým oborem názvů a přístupem k veřejné síti. Při vytváření nového účtu úložiště zvolte typ účtu úložiště pro obecné účely v2 a nastavte hierarchický obor názvů na Povoleno.

   5. Vyberte kontejner v účtu úložiště nebo ho vytvořte výběrem kontejneru .

   6. Výběrem možnosti Použít potvrďte konfigurace registru schématu.

8. Na kartě Správa závislostí vyberte možnost Nasazení nastavení zabezpečení.

   

9. V části Možnosti nasazení zadejte následující informace:

   Parametr	Hodnota
   Předplatné	Vyberte předplatné, které obsahuje váš trezor klíčů Azure.
   Azure Key Vault	Vyberte trezor klíčů Azure a vyberte Vytvořit nový. Ujistěte se, že váš trezor klíčů má jako model oprávnění zásady přístupu k trezoru. Pokud chcete toto nastavení zkontrolovat, vyberte Spravovat vybranou konfiguraci přístupu k nastavení>trezoru.>
   Spravovaná identita přiřazená uživatelem pro tajné kódy	Vyberte identitu nebo vyberte Vytvořit novou.
   Spravovaná identita přiřazená uživatelem pro komponenty AIO	Vyberte identitu nebo vyberte Vytvořit novou. Nepoužívejte stejnou spravovanou identitu jako spravovanou identitu, kterou jste vybrali pro tajné kódy.

   

10. Vyberte Další: Automatizace.

11. Po jednom spusťte každý příkaz Azure CLI na kartě Automation v terminálu:

    1. Přihlaste se k Azure CLI interaktivně pomocí prohlížeče, i když jste se už přihlásili. Pokud se nehlásíte interaktivně, může se zobrazit chyba s informací , že vaše zařízení je potřeba spravovat pro přístup k vašemu prostředku , když budete pokračovat dalším krokem pro nasazení operací Azure IoT.

       az login
       

    2. Pokud jste prostředí Azure CLI nepřipravili, jak je popsáno v požadavcích, udělejte to teď v terminálu podle vašeho výběru:

       az upgrade
       az extension add --upgrade --name azure-iot-ops
       

    3. Pokud jste se rozhodli vytvořit nový registr schématu na předchozí kartě, zkopírujte a spusťte az iot ops schema registry create příkaz.

    4. Připravte cluster na nasazení operací Azure IoT nasazením závislostí a základních služeb, včetně registru schématu. Zkopírujte a spusťte az iot ops init příkaz.

       Tip

       Příkaz init se musí spustit jenom jednou na cluster. Pokud používáte cluster, který už měl nasazený Azure IoT Operations verze 0.7.0, můžete tento krok přeskočit.

       Dokončení tohoto příkazu může trvat několik minut. Průběh nasazení můžete sledovat v terminálu.

    5. Nasazení operací Azure IoT do clusteru Zkopírujte a spusťte az iot ops create příkaz.

       Dokončení tohoto příkazu může trvat několik minut. Průběh nasazení můžete sledovat v terminálu.

    6. Povolte synchronizaci tajných kódů v instanci azure IoT Operations. Zkopírujte a spusťte az iot ops secretsync enable příkaz. Tento příkaz:

       • Vytvoří přihlašovací údaje federované identity pomocí spravované identity přiřazené uživatelem.
       • Přidá přiřazení role ke spravované identitě přiřazené uživatelem pro přístup ke službě Azure Key Vault.
       • Přidá minimální třídu zprostředkovatele tajných kódů přidruženou k instanci Azure IoT Operations.

    7. Přiřaďte spravovanou identitu přiřazenou uživatelem k instanci azure IoT Operations. Zkopírujte a spusťte az iot ops identity assign příkaz.

       Tento příkaz také vytvoří přihlašovací údaje federované identity pomocí vystavitele OIDC označeného připojeného clusteru a účtu služby Azure IoT Operations.

12. Po úspěšném dokončení všech příkazů Azure CLI můžete zavřít průvodce instalací operací Azure IoT.

Azure CLI

1. Přihlaste se k Azure CLI interaktivně pomocí prohlížeče, i když jste se už přihlásili.

   az login
   

   Pokud se v libovolném okamžiku zobrazí chyba s informací , že pro přístup k vašemu prostředku je potřeba spravovat vaše zařízení, spusťte az login to znovu a ujistěte se, že se přihlašujete interaktivně pomocí prohlížeče.

Vytvoření účtu úložiště a registru schématu

Operace Azure IoT vyžadují ve vašem clusteru registr schématu. Registr schématu vyžaduje účet úložiště Azure, aby mohl synchronizovat informace o schématu mezi cloudem a hraničním zařízením.

1. Vytvořte účet úložiště s povoleným hierarchickým oborem názvů.

   az storage account create --name <NEW_STORAGE_ACCOUNT_NAME> --resource-group <RESOURCE_GROUP> --enable-hierarchical-namespace
   

2. Vytvořte registr schématu, který se připojuje k vašemu účtu úložiště.

   az iot ops schema registry create --name <NEW_SCHEMA_REGISTRY_NAME> --resource-group <RESOURCE_GROUP> --registry-namespace <NEW_SCHEMA_REGISTRY_NAMESPACE> --sa-resource-id $(az storage account show --name <STORAGE_ACCOUNT_NAME> --resource-group <RESOURCE_GROUP> -o tsv --query id)
   

   Poznámka:

   Tento příkaz vyžaduje, abyste měli oprávnění k zápisu přiřazení role, protože přiřadí roli k udělení přístupu registru schématu k účtu úložiště. Ve výchozím nastavení je role předdefinovaná role Přispěvatel dat v objektech blob služby Storage nebo můžete vytvořit vlastní roli s omezenými oprávněními, která se mají přiřadit.

   Pomocí volitelných parametrů můžete přizpůsobit registr schématu, včetně následujících:

   Volitelný parametr	Hodnota	Popis
   --custom-role-id	ID definice role	Zadejte vlastní ID role, které se přiřadí registru schématu místo výchozí role Přispěvatel dat objektů blob služby Storage. Role potřebuje alespoň oprávnění ke čtení a zápisu objektu blob. Formát: /subscriptions/<SUBSCRIPTION_ID>/providers/Microsoft.Authorization/roleDefinitions/<ROLE_ID>.
   --sa-container	string	Kontejner účtu úložiště pro ukládání schémat. Pokud tento kontejner neexistuje, tento příkaz ho vytvoří. Výchozí název kontejneru je schémata.

3. Zkopírujte ID prostředku z výstupu příkazu create registru schématu, který se použije v další části.

Nasazení operací Azure IoT

1. Připravte cluster se závislostmi, které operace Azure IoT vyžadují, spuštěním příkazu az iot ops init.

   Tip

   Příkaz init se musí spustit jenom jednou na cluster. Pokud používáte cluster, který už měl nasazený Azure IoT Operations verze 0.7.0, můžete tento krok přeskočit.

   az iot ops init --cluster <CLUSTER_NAME> --resource-group <RESOURCE_GROUP> --sr-resource-id <SCHEMA_REGISTRY_RESOURCE_ID>
   

   Dokončení tohoto příkazu může trvat několik minut. Průběh nasazení můžete sledovat v terminálu.

   Pomocí volitelných parametrů můžete přizpůsobit cluster, včetně následujících:

   Volitelný parametr	Hodnota	Popis
   --no-progress		Zakažte zobrazení průběhu nasazení v terminálu.
   --enable-fault-tolerance	false, true	Povolení odolnosti proti chybám pro službu Azure Arc Container Storage Vyžaduje se aspoň tři uzly clusteru.
   --ops-config	observability.metrics.openTelemetryCollectorAddress=<FULLNAMEOVERRIDE>.azure-iot-operations.svc.cluster.local:<GRPC_ENDPOINT>	Pokud jste postupovali podle volitelných požadavků pro přípravu clusteru na pozorovatelnost, zadejte adresu kolektoru OpenTelemetry (OTel), kterou jste nakonfigurovali v souboru otel-collector-values.yaml. Ukázkové hodnoty použité v konfiguraci pozorovatelnosti jsou fullnameOverride=aio-otel-collector a grpc.enpoint=4317.
   --ops-config	observability.metrics.exportInternalSeconds=<CHECK_INTERVAL>	Pokud jste postupovali podle volitelných požadavků pro přípravu clusteru na pozorovatelnost, zadejte hodnotu check_interval , kterou jste nakonfigurovali v souboru otel-collector-values.yaml. Ukázková hodnota použitá v konfiguraci pozorovatelnosti je check_interval=60.

2. Nasazení operací Azure IoT Dokončení tohoto příkazu trvá několik minut:

   az iot ops create --name <NEW_INSTANCE_NAME> --cluster <CLUSTER_NAME> --resource-group <RESOURCE_GROUP>
   

   Dokončení tohoto příkazu může trvat několik minut. Průběh nasazení můžete sledovat v terminálu.

   Pomocí volitelných parametrů můžete přizpůsobit instanci, včetně následujících:

   Volitelný parametr	Hodnota	Popis
   --no-progress		Zakažte zobrazení průběhu nasazení v terminálu.
   --enable-rsync		Povolte pravidla synchronizace prostředků v instanci k projektovým prostředkům z hraničních zařízení do cloudu.
   --add-insecure-listener		Přidejte do výchozího naslouchacího procesu nezabezpečenou konfiguraci portu 1883. Ne pro produkční použití.
   --custom-location	String	Zadejte název vlastního umístění vytvořeného pro váš cluster. Výchozí hodnota je location-{hash(5)}.
   --broker-config-file	Cesta k souboru JSON	Zadejte konfigurační soubor pro zprostředkovatele MQTT. Další informace najdete v tématu Pokročilá konfigurace zprostředkovatele MQTT a Konfigurace základního nastavení zprostředkovatele MQTT.

create Po úspěšném dokončení příkazu máte funkční instanci provozu Azure IoT spuštěnou v clusteru. V tomto okamžiku je vaše instance nakonfigurovaná pro většinu scénářů testování a vyhodnocení. Pokud chcete připravit instanci pro produkční scénáře, pokračujte k další části a povolte zabezpečená nastavení.

Nastavení správy tajných kódů a spravované identity přiřazené uživatelem (volitelné)

Správa tajných kódů pro operace Azure IoT používá Azure Secret Store k synchronizaci tajných kódů ze služby Azure Key Vault a jejich ukládání na hraničních zařízeních jako tajné kódy Kubernetes.

Tajný klíč Azure vyžaduje spravovanou identitu přiřazenou uživatelem s přístupem ke službě Azure Key Vault, ve které jsou tajné kódy uložené. Toky dat také vyžadují spravovanou identitu přiřazenou uživatelem k ověřování cloudových připojení.

1. Pokud nemáte k dispozici službu Azure Key Vault, vytvořte ji. Použijte příkaz az keyvault create.

   az keyvault create --resource-group "<RESOURCE_GROUP>" --location "<LOCATION>" --name "<KEYVAULT_NAME>" --enable-rbac-authorization 
   

2. Vytvořte spravovanou identitu přiřazenou uživatelem, která bude přiřazena přístup ke službě Azure Key Vault.

   az identity create --name "<USER_ASSIGNED_IDENTITY_NAME>" --resource-group "<RESOURCE_GROUP>" --location "<LOCATION>" --subscription "<SUBSCRIPTION>" 
   

3. Nakonfigurujte instanci operací Azure IoT pro synchronizaci tajných kódů. Tento příkaz:

   • Vytvoří přihlašovací údaje federované identity pomocí spravované identity přiřazené uživatelem.
   • Přidá přiřazení role ke spravované identitě přiřazené uživatelem pro přístup ke službě Azure Key Vault.
   • Přidá minimální třídu zprostředkovatele tajných kódů přidruženou k instanci Azure IoT Operations.

   az iot ops secretsync enable --name <INSTANCE_NAME> --resource-group <RESOURCE_GROUP> --mi-user-assigned <USER_ASSIGNED_MI_RESOURCE_ID> --kv-resource-id <KEYVAULT_RESOURCE_ID>
   

4. Vytvořte spravovanou identitu přiřazenou uživatelem, kterou je možné použít pro cloudová připojení. Nepoužívejte stejnou identitu jako tu, která se používá k nastavení správy tajných kódů.

   az identity create --name "<USER_ASSIGNED_IDENTITY_NAME>" --resource-group "<RESOURCE_GROUP>" --location "<LOCATION>" --subscription "<SUBSCRIPTION>" 
   
   You will need to grant the identity permission to whichever cloud resource this will be used for. 
   
   

5. Spuštěním následujícího příkazu přiřaďte identitu instanci Azure IoT Operations. Tento příkaz také vytvoří přihlašovací údaje federované identity pomocí vystavitele OIDC označeného připojeného clusteru a účtu služby Azure IoT Operations.

   az iot ops identity assign --name <INSTANCE_NAME> --resource-group <RESOURCE_GROUP> --mi-user-assigned <USER_ASSIGNED_MI_RESOURCE_ID>
   

Během nasazování můžete sledovat prostředky použité v clusteru. Pokud ho váš terminál podporuje, zobrazí se init průběh nasazení a create příkazy.

Jinak nebo pokud se rozhodnete zakázat rozhraní průběhu s přidanými --no-progress příkazy, můžete pomocí příkazů kubectl zobrazit pody v clusteru:

kubectl get pods -n azure-iot-operations

Dokončení nasazení může trvat několik minut. Spusťte get pods příkaz znovu a aktualizujte zobrazení.

Po dokončení nasazení pomocí příkazu az iot ops zkontrolujte , jestli chcete vyhodnotit nasazení služby IoT Operations pro stav, konfiguraci a použitelnost. Příkaz pro kontrolu vám může pomoct najít problémy s nasazením a konfigurací.

az iot ops check

Můžete také zkontrolovat konfigurace map témat, QoS a tras zpráv přidáním --detail-level 2 parametru pro podrobné zobrazení.

Další kroky

Pokud se vaše komponenty potřebují připojit ke koncovým bodům Azure, jako je SQL nebo Fabric, zjistěte, jak spravovat tajné kódy pro nasazení Azure IoT Operations Preview.