Sdílet prostřednictvím


Podrobnosti nasazení

Důležité

Azure IoT Operations Preview – Služba Azure Arc je aktuálně ve verzi Preview. Tento software ve verzi Preview byste neměli používat v produkčních prostředích.

Až bude dostupná obecně dostupná verze, budete muset nasadit novou instalaci operací Azure IoT. Nebudete moct upgradovat instalaci verze Preview.

Právní podmínky, které platí pro funkce Azure, které jsou ve verzi beta, verzi Preview nebo které zatím nejsou veřejně dostupné, najdete v Dodatečných podmínkách použití pro Microsoft Azure verze Preview.

Podporovaná prostředí

Operace Azure IoT by měly fungovat na jakémkoli clusteru Kubernetes s podporou arc, který splňuje požadavky na systém Kubernetes s podporou Azure Arc. Operace Azure IoT v současné době nepodporují architektury Arm64.

Microsoft podporuje Azure Kubernetes Service (AKS) Edge Essentials pro nasazení ve Windows a K3s pro nasazení v Ubuntu. Seznam konkrétních kombinací hardwaru a softwaru, které jsou testovány a ověřeny, najdete v tématu Ověřená prostředí.

Volba funkcí

Operace Azure IoT nabízí dva režimy nasazení. Můžete se rozhodnout nasadit pomocí testovacího nastavení, základní podmnožinu funkcí, které jsou jednodušší začít s testovacími scénáři. Nebo se můžete rozhodnout nasadit pomocí zabezpečeného nastavení, úplné sady funkcí.

Nasazení testovacího nastavení

Nasazení s povolenými pouze testovacími nastaveními:

  • Nenakonfiguruje tajné kódy ani možnosti spravované identity přiřazené uživatelem.
  • Účelem je povolit kompletní ukázku rychlého startu pro účely vyhodnocení, takže podporuje simulátor OPC PLC a připojuje se ke cloudovým prostředkům pomocí spravované identity přiřazené systémem.
  • Můžete upgradovat tak, aby používala zabezpečená nastavení.

Pokud chcete nasadit operace Azure IoT s testovacím nastavením, můžete použít postup v rychlém startu: Spuštění Azure IoT Operations Preview v GitHub Codespaces. Nebo pokud chcete nasadit testovací nastavení v AKS Edge Essentials nebo K3s na Ubuntu, postupujte podle článků o nasazení zabezpečeného nastavení a zastavte volitelné kroky nastavení zabezpečení.

Pokud chcete upgradovat instanci Azure IoT Operations tak, aby používala zabezpečená nastavení, postupujte podle kroků v části Povolit nastavení zabezpečení.

Nasazení zabezpečeného nastavení

Nasazení s povoleným zabezpečeným nastavením:

  • Zahrnuje kroky pro povolení tajných kódů a spravované identity přiřazení uživatelů, což jsou důležité funkce pro vývoj scénáře připraveného pro produkční prostředí. Tajné kódy se používají při každém připojení komponent operací Azure IoT k prostředku mimo cluster; Například server OPC UA nebo koncový bod toku dat.

Pokud chcete nasadit operace Azure IoT se zabezpečeným nastavením, postupujte podle těchto článků:

  1. Začněte přípravou clusteru Kubernetes s podporou Azure Arc ke konfiguraci a povolení clusteru Arc.
  2. Pak nasaďte Azure IoT Operations Preview.

Požadována oprávnění

Následující tabulka popisuje úlohy nasazení a správy operací Azure IoT, které vyžadují zvýšená oprávnění. Informace o přiřazování rolí uživatelům najdete v tématu Postup přiřazení role Azure.

Úloha Požadovaná oprávnění Komentáře
Nasazení operací Azure IoT Role přispěvatele na úrovni předplatného
Registrace poskytovatelů prostředků Role přispěvatele na úrovni předplatného Pro každé předplatné se vyžaduje jenom jednou.
Vytvořte registr schématu. Oprávnění Microsoft/Authorization/roleAssignments/write na úrovni skupiny prostředků.
Vytváření tajných kódů ve službě Key Vault Role strážce tajných kódů služby Key Vault na úrovni prostředků Vyžaduje se pouze pro nasazení zabezpečeného nastavení.
Povolení pravidel synchronizace prostředků v instanci azure IoT Operations Oprávnění Microsoft/Authorization/roleAssignments/write na úrovni skupiny prostředků. Pravidla synchronizace prostředků jsou ve výchozím nastavení zakázaná, ale je možné je povolit při vytváření instance.

Pokud k přiřazení rolí použijete Azure CLI, pomocí příkazu az role assignment create udělíte oprávnění. Například az role assignment create --assignee sp_name --role "Role Based Access Control Administrator" --scope subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/MyResourceGroup

Pokud k přiřazení privilegovaných rolí správce uživateli nebo objektu zabezpečení používáte Azure Portal, zobrazí se výzva k omezení přístupu pomocí podmínek. V tomto scénáři vyberte možnost Povolit uživateli přiřadit všechny role podmínku na stránce Přidat přiřazení role.

Snímek obrazovky znázorňující přiřazení přístupu uživatelů k vysoce privilegovaným rolím na webu Azure Portal

Zahrnuté komponenty

Operace Azure IoT je sada datových služeb, které běží na clusterech Kubernetes s podporou Azure Arc. Závisí také na sadě podpůrných služeb, které jsou také nainstalovány jako součást nasazení.

Uspořádání instancí pomocí webů

Operace Azure IoT podporují weby Azure Arc pro uspořádání instancí. Lokalita je prostředek clusteru v Azure, jako je skupina prostředků, ale weby obvykle seskupují instance podle fyzického umístění a usnadňují uživatelům OT vyhledání a správu prostředků. Správce IT vytvoří weby a nastaví jejich rozsah na předplatné nebo skupinu prostředků. Všechny operace Azure IoT nasazené do clusteru s podporou arc se pak automaticky shromažďují v lokalitě přidružené k předplatnému nebo skupině prostředků.

Další informace najdete v tématu Co je Azure Arc Site Manager (Preview)?

Seznam povolených domén pro operace Azure IoT

Pokud ke správě odchozího provozu používáte podnikové brány firewall nebo proxy servery, před nasazením služby Azure IoT Operations Preview přidejte do seznamu povolených domén následující koncové body.

Kromě toho povolte koncové body Kubernetes s podporou Arc v požadavcích na síť Azure Arc.

nw-umwatson.events.data.microsoft.com 
dc.services.visualstudio.com 
github.com 
self.events.data.microsoft.com 
mirror.enzu.com 
ppa.launchpadcontent.net 
msit-onelake.pbidedicated.windows.net 
gcr.io 
adhs.events.data.microsoft.com 
gbl.his.arc.azure.cn 
onegetcdn.azureedge.net 
graph.windows.net 
pas.windows.net 
agentserviceapi.guestconfiguration.azure.com 
aka.ms 
api.segment.io 
download.microsoft.com 
raw.githubusercontent.com 
go.microsoft.com 
global.metrics.azure.eaglex.ic.gov 
gbl.his.arc.azure.us 
packages.microsoft.com 
global.metrics.azure.microsoft.scloud 
www.powershellgallery.com
k8s.io 
guestconfiguration.azure.com 
ods.opinsights.azure.com 
vault.azure.net 
googleapis.com 
quay.io 
handler.control.monitor.azure.com 
pkg.dev 
docker.io 
prod.hot.ingestion.msftcloudes.com 
docker.com 
prod.microsoftmetrics.com 
oms.opinsights.azure.com 
azureedge.net 
monitoring.azure.com
blob.core.windows.net 
azurecr.io

Další kroky

Připravte cluster Kubernetes s podporou Služby Azure Arc ke konfiguraci a povolení clusteru pro operace Azure IoT.