Podrobnosti nasazení
Důležité
Azure IoT Operations Preview – Služba Azure Arc je aktuálně ve verzi Preview. Tento software ve verzi Preview byste neměli používat v produkčních prostředích.
Až bude dostupná obecně dostupná verze, budete muset nasadit novou instalaci operací Azure IoT. Nebudete moct upgradovat instalaci verze Preview.
Právní podmínky, které platí pro funkce Azure, které jsou ve verzi beta, verzi Preview nebo které zatím nejsou veřejně dostupné, najdete v Dodatečných podmínkách použití pro Microsoft Azure verze Preview.
Podporovaná prostředí
Operace Azure IoT by měly fungovat na jakémkoli clusteru Kubernetes s podporou arc, který splňuje požadavky na systém Kubernetes s podporou Azure Arc. Operace Azure IoT v současné době nepodporují architektury Arm64.
Microsoft podporuje Azure Kubernetes Service (AKS) Edge Essentials pro nasazení ve Windows a K3s pro nasazení v Ubuntu. Seznam konkrétních kombinací hardwaru a softwaru, které jsou testovány a ověřeny, najdete v tématu Ověřená prostředí.
Volba funkcí
Operace Azure IoT nabízí dva režimy nasazení. Můžete se rozhodnout nasadit pomocí testovacího nastavení, základní podmnožinu funkcí, které jsou jednodušší začít s testovacími scénáři. Nebo se můžete rozhodnout nasadit pomocí zabezpečeného nastavení, úplné sady funkcí.
Nasazení testovacího nastavení
Nasazení s povolenými pouze testovacími nastaveními:
- Nenakonfiguruje tajné kódy ani možnosti spravované identity přiřazené uživatelem.
- Účelem je povolit kompletní ukázku rychlého startu pro účely vyhodnocení, takže podporuje simulátor OPC PLC a připojuje se ke cloudovým prostředkům pomocí spravované identity přiřazené systémem.
- Můžete upgradovat tak, aby používala zabezpečená nastavení.
Pokud chcete nasadit operace Azure IoT s testovacím nastavením, můžete použít postup v rychlém startu: Spuštění Azure IoT Operations Preview v GitHub Codespaces. Nebo pokud chcete nasadit testovací nastavení v AKS Edge Essentials nebo K3s na Ubuntu, postupujte podle článků o nasazení zabezpečeného nastavení a zastavte volitelné kroky nastavení zabezpečení.
Pokud chcete upgradovat instanci Azure IoT Operations tak, aby používala zabezpečená nastavení, postupujte podle kroků v části Povolit nastavení zabezpečení.
Nasazení zabezpečeného nastavení
Nasazení s povoleným zabezpečeným nastavením:
- Zahrnuje kroky pro povolení tajných kódů a spravované identity přiřazení uživatelů, což jsou důležité funkce pro vývoj scénáře připraveného pro produkční prostředí. Tajné kódy se používají při každém připojení komponent operací Azure IoT k prostředku mimo cluster; Například server OPC UA nebo koncový bod toku dat.
Pokud chcete nasadit operace Azure IoT se zabezpečeným nastavením, postupujte podle těchto článků:
- Začněte přípravou clusteru Kubernetes s podporou Azure Arc ke konfiguraci a povolení clusteru Arc.
- Pak nasaďte Azure IoT Operations Preview.
Požadována oprávnění
Následující tabulka popisuje úlohy nasazení a správy operací Azure IoT, které vyžadují zvýšená oprávnění. Informace o přiřazování rolí uživatelům najdete v tématu Postup přiřazení role Azure.
Úloha | Požadovaná oprávnění | Komentáře |
---|---|---|
Nasazení operací Azure IoT | Role přispěvatele na úrovni předplatného | |
Registrace poskytovatelů prostředků | Role přispěvatele na úrovni předplatného | Pro každé předplatné se vyžaduje jenom jednou. |
Vytvořte registr schématu. | Oprávnění Microsoft/Authorization/roleAssignments/write na úrovni skupiny prostředků. | |
Vytváření tajných kódů ve službě Key Vault | Role strážce tajných kódů služby Key Vault na úrovni prostředků | Vyžaduje se pouze pro nasazení zabezpečeného nastavení. |
Povolení pravidel synchronizace prostředků v instanci azure IoT Operations | Oprávnění Microsoft/Authorization/roleAssignments/write na úrovni skupiny prostředků. | Pravidla synchronizace prostředků jsou ve výchozím nastavení zakázaná, ale je možné je povolit při vytváření instance. |
Pokud k přiřazení rolí použijete Azure CLI, pomocí příkazu az role assignment create udělíte oprávnění. Například az role assignment create --assignee sp_name --role "Role Based Access Control Administrator" --scope subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/MyResourceGroup
Pokud k přiřazení privilegovaných rolí správce uživateli nebo objektu zabezpečení používáte Azure Portal, zobrazí se výzva k omezení přístupu pomocí podmínek. V tomto scénáři vyberte možnost Povolit uživateli přiřadit všechny role podmínku na stránce Přidat přiřazení role.
Zahrnuté komponenty
Operace Azure IoT je sada datových služeb, které běží na clusterech Kubernetes s podporou Azure Arc. Závisí také na sadě podpůrných služeb, které jsou také nainstalovány jako součást nasazení.
Základní služby Azure IoT Operations
- Datové toky
- MQTT Broker
- Konektor pro OPC UA
- Akri
Nainstalované závislosti
- Azure Device Registry
- Služba Azure Container Storage povolená službou Azure Arc
- Kontroler synchronizace tajných kódů
Uspořádání instancí pomocí webů
Operace Azure IoT podporují weby Azure Arc pro uspořádání instancí. Lokalita je prostředek clusteru v Azure, jako je skupina prostředků, ale weby obvykle seskupují instance podle fyzického umístění a usnadňují uživatelům OT vyhledání a správu prostředků. Správce IT vytvoří weby a nastaví jejich rozsah na předplatné nebo skupinu prostředků. Všechny operace Azure IoT nasazené do clusteru s podporou arc se pak automaticky shromažďují v lokalitě přidružené k předplatnému nebo skupině prostředků.
Další informace najdete v tématu Co je Azure Arc Site Manager (Preview)?
Seznam povolených domén pro operace Azure IoT
Pokud ke správě odchozího provozu používáte podnikové brány firewall nebo proxy servery, před nasazením služby Azure IoT Operations Preview přidejte do seznamu povolených domén následující koncové body.
Kromě toho povolte koncové body Kubernetes s podporou Arc v požadavcích na síť Azure Arc.
nw-umwatson.events.data.microsoft.com
dc.services.visualstudio.com
github.com
self.events.data.microsoft.com
mirror.enzu.com
ppa.launchpadcontent.net
msit-onelake.pbidedicated.windows.net
gcr.io
adhs.events.data.microsoft.com
gbl.his.arc.azure.cn
onegetcdn.azureedge.net
graph.windows.net
pas.windows.net
agentserviceapi.guestconfiguration.azure.com
aka.ms
api.segment.io
download.microsoft.com
raw.githubusercontent.com
go.microsoft.com
global.metrics.azure.eaglex.ic.gov
gbl.his.arc.azure.us
packages.microsoft.com
global.metrics.azure.microsoft.scloud
www.powershellgallery.com
k8s.io
guestconfiguration.azure.com
ods.opinsights.azure.com
vault.azure.net
googleapis.com
quay.io
handler.control.monitor.azure.com
pkg.dev
docker.io
prod.hot.ingestion.msftcloudes.com
docker.com
prod.microsoftmetrics.com
oms.opinsights.azure.com
azureedge.net
monitoring.azure.com
blob.core.windows.net
azurecr.io
Další kroky
Připravte cluster Kubernetes s podporou Služby Azure Arc ke konfiguraci a povolení clusteru pro operace Azure IoT.