Sdílet prostřednictvím

Vytváření a zřizování zařízení IoT Edge ve velkém měřítku v Linuxu pomocí symetrického klíče

platí pro:ikona Ano IoT Edge 1.1

Důležité

IoT Edge 1.1 datum ukončení podpory bylo 13. prosince 2022. Informace o způsobu podpory tohoto produktu, služby, technologie nebo rozhraní API najdete v tématu věnovaném životnímu cyklu produktů Microsoftu. Další informace o aktualizaci na nejnovější verzi IoT Edge najdete v tématu AktualizaceIoT Edge .

Tento článek obsahuje kompletní pokyny pro automatické zřízení jednoho nebo více zařízení IoT Edge s Linuxem pomocí symetrických klíčů. Zařízení Azure IoT Edge můžete automaticky zřídit pomocí služby pro zřizování zařízení Azure IoT Hub (DPS). Pokud neznáte proces automatického zřizování, podívejte se na přehled zřizování před pokračováním.

Úkoly jsou následující:

  1. Vytvořte individuální registraci pro jedno zařízení nebo skupinovou registraci pro sadu zařízení.
  2. Nainstalujte modul runtime IoT Edge a připojte se ke službě IoT Hub.

Ověření symetrického klíče je jednoduchý přístup k ověřování zařízení pomocí instance služby device provisioning. Tato metoda ověření identity představuje prostředí Hello World pro vývojáře, kteří s zřizováním zařízení začíná nebo nemají přísné požadavky na zabezpečení. Ověření identity zařízení pomocí certifikátů TPM nebo X.509 je bezpečnější a mělo by se použít pro přísnější požadavky na zabezpečení.

Požadavky

Cloudové prostředky

Požadavky na zařízení

Fyzické nebo virtuální zařízení s Linuxem, které má být zařízením IoT Edge.

K identifikaci jednotlivých zařízení budete muset definovat jedinečnéID registrace. Můžete použít adresu MAC, sériové číslo nebo jakékoli jedinečné informace ze zařízení. Můžete například použít kombinaci adresy MAC a sériového čísla, které tvoří následující řetězec pro ID registrace: sn-007-888-abc-mac-a1-b2-c3-d4-e5-f6. Platné znaky jsou malá písmena alfanumerické a pomlčky (-).

Vytvoření registrace DPS

Vytvořte registraci pro zřízení jednoho nebo více zařízení prostřednictvím DPS.

Pokud chcete zřídit jedno zařízení IoT Edge, vytvořte individuální registraci. Pokud potřebujete zřídit více zařízení, postupujte podle pokynů k vytvoření skupinové registrace DPS.

Při vytváření registrace v DPS máte možnost deklarovat počáteční stav zařízení typu dvojče. Ve dvojčeti zařízení můžete nastavit značky pro seskupení zařízení podle libovolné metriky, kterou potřebujete v řešení, jako je oblast, prostředí, umístění nebo typ zařízení. Tyto značky slouží k vytváření automatických nasazení.

Další informace o registracích ve službě zřizování zařízení najdete v tématu Správa registrací zařízení.

Vytvořit jednotlivou registraci DPS

Návod

Kroky v tomto článku jsou určené pro Azure Portal, ale pomocí Azure CLI můžete také vytvářet jednotlivé registrace. Další informace najdete v az iot dps enrollment. Jako součást příkazu rozhraní příkazového řádku použijte příznak Edge povolen k určení, že registrace je pro zařízení IoT Edge.

  1. Na portálu Azure přejděte do vaší instance služby zřizování zařízení IoT Hub.

  2. V části Nastavení vyberte Spravovat registrace.

  3. Vyberte Přidat jednotlivé registrace a pak proveďte následující kroky a nakonfigurujte registraci:

    1. V případě mechanismu vyberte symetrický klíč.

    2. Zadejte jedinečné ID registrace pro vaše zařízení.

    3. Volitelně můžete zadat ID zařízení IoT Hubu pro vaše zařízení. ID zařízení můžete použít k cílení na jednotlivá zařízení pro nasazení modulu. Pokud nezadáte ID zařízení, použije se ID registrace.

    4. Výběrem možnosti True deklarujte, že registrace je pro zařízení IoT Edge.

    5. Volitelně můžete do počátečního stavu dvojčete zařízení přidat hodnotu značky. Značky můžete použít k cílovým skupinám zařízení pro nasazení modulu. Například:

      {
   "tags": {
      "environment": "test"
   },
   "properties": {
      "desired": {}
   }
}

    6. Vyberte Uložit.

  4. Zkopírujte primární klíč hodnotu jednotlivé registrace, kterou chcete použít při instalaci IoT Edge runtime.

Nyní, když je pro toto zařízení k dispozici registrace, může IoT Edge runtime automaticky zprovoznit zařízení během instalace.

Nainstalujte IoT Edge

V této části připravíte virtuální počítač s Linuxem nebo fyzické zařízení pro IoT Edge. Pak nainstalujete IoT Edge.

Spuštěním následujících příkazů přidejte úložiště balíčků a potom přidejte podpisový klíč balíčku Microsoftu do seznamu důvěryhodných klíčů.

Důležité

30. června 2022 Raspberry Pi OS Stretch byl vyřazen ze seznamu podpory operačního systému vrstvy 1. Abyste se vyhnuli potenciálním ohrožením zabezpečení, aktualizujte hostitelský operační systém na Bullseye.

Instalaci je možné provést několika příkazy. Otevřete terminál a spusťte následující příkazy:

  • 20.04:

    wget https://packages.microsoft.com/config/ubuntu/20.04/packages-microsoft-prod.deb -O packages-microsoft-prod.deb
sudo dpkg -i packages-microsoft-prod.deb
rm packages-microsoft-prod.deb

  • 18.04:

    wget https://packages.microsoft.com/config/ubuntu/18.04/multiarch/packages-microsoft-prod.deb -O packages-microsoft-prod.deb
sudo dpkg -i packages-microsoft-prod.deb
rm packages-microsoft-prod.deb

Poznámka:

Softwarové balíčky Azure IoT Edge podléhají licenčním podmínkám umístěným v jednotlivých balíčcích (usr/share/doc/{package-name} nebo adresáři LICENSE ). Přečtěte si licenční podmínky před použitím balíčku. Vaše instalace a použití balíčku představuje vaše přijetí těchto podmínek. Pokud s licenčními podmínkami nesouhlasíte, nepoužívejte tento balíček.

Instalace kontejnerového enginu

Azure IoT Edge spoléhá na běhové prostředí kontejnerů kompatibilní s OCI. Pro produkční scénáře doporučujeme použít modul Moby. Modul Moby je jediným kontejnerovým modulem oficiálně podporovaným v IoT Edge. Obrazy kontejnerů Docker CE/EE jsou kompatibilní s běhovým prostředím Moby.

Nainstalujte modul Moby.

sudo apt-get update; \
  sudo apt-get install moby-engine

Po úspěšné instalaci modulu Moby ho nakonfigurujte tak, aby jako mechanismus protokolování používal ovladač protokolování local. Další informace o konfiguraci protokolování najdete v Kontrolním seznamu produkčního nasazení.

  • Vytvořte nebo otevřete konfigurační soubor démona Dockeru v /etc/docker/daemon.json.

  • Nastavte výchozí ovladač protokolování na ovladač protokolování local, jak je znázorněno v následujícím příkladu.

       {
      "log-driver": "local"
   }

  • Restartujte modul kontejneru, aby se změny projevily.

    sudo systemctl restart docker

    Návod

    Pokud při instalaci modulu kontejneru Moby dojde k chybám, ověřte kompatibilitu jádra Linuxu pro Moby. Někteří výrobci vložených zařízení dodávají obrazy zařízení, která obsahují vlastní linuxová jádra bez funkcí potřebných pro kompatibilitu s kontejnery. Spusťte následující příkaz, který používá skript check-config, který poskytuje Moby, a zkontrolujte konfiguraci jádra:

    curl -ssl https://raw.githubusercontent.com/moby/moby/master/contrib/check-config.sh -o check-config.sh
chmod +x check-config.sh
./check-config.sh

    Ve výstupu skriptu zkontrolujte, jestli jsou povolené všechny položky v Generally Necessary a Network Drivers. Pokud vám chybí funkce, povolte je opětovným sestavením jádra ze zdroje a výběrem přidružených modulů pro zahrnutí do příslušného jádra .config. Podobně pokud používáte generátor konfigurace jádra, například defconfig nebo menuconfig, vyhledejte a povolte příslušné funkce a odpovídajícím způsobem znovu sestavte jádro. Po nasazení nově upraveného jádra znovu spusťte skript check-config a ověřte, že všechny požadované funkce byly úspěšně povolené.

Instalace modulu runtime IoT Edge

Démon zabezpečení IoT Edge zajišťuje a udržuje standardy zabezpečení na zařízení IoT Edge. Démon se spustí při každém spuštění a inicializuje zařízení spuštěním zbytku IoT Edge runtime.

Kroky v této části představují typický proces instalace nejnovější verze na zařízení s připojením k internetu. Pokud potřebujete nainstalovat konkrétní verzi, jako je předběžná verze, nebo je potřeba ji nainstalovat offline, postupujte podle pokynů pro offline nebo konkrétní instalaci verze dále v tomto článku.

Nainstalujte IoT Edge verze 1.1.* společně s balíčkem libiothsm-std:

sudo apt-get update; \
  sudo apt-get install iotedge

Poznámka:

IoT Edge verze 1.1 je dlouhodobě podporovaná větev IoT Edge. Pokud používáte starší verzi, doporučujeme nainstalovat nebo aktualizovat nejnovější opravu, protože starší verze už nejsou podporované.

Poskytněte zařízení jeho cloudovou identitu

Poté, co je runtime nainstalován na vašem zařízení, nakonfigurujte zařízení s informacemi potřebnými pro připojení ke službě zřizování zařízení a IoT Hubu.

Připravte si následující informace:

  • Hodnota ID oboru DPS
  • ID zařízení registrace, které jste vytvořili
  • Primární klíč z jednotlivé registrace nebo odvozený klíč pro zařízení, která používají skupinovou registraci.

  1. Otevřete konfigurační soubor na zařízení IoT Edge.

    sudo nano /etc/iotedge/config.yaml

  2. Vyhledejte část konfigurace nastavení zřizování v souboru. Uvolněte řádky pro nastavení symetrického klíče DPS a ujistěte se, že jsou všechny ostatní řádky nastavení zakomentovány.

    Řádek provisioning: by neměl mít žádnou počáteční mezeru a vnořené položky by měly být odsazeny dvěma mezerami.

    # DPS TPM provisioning configuration
provisioning:
  source: "dps"
  global_endpoint: "https://global.azure-devices-provisioning.net"
  scope_id: "PASTE_YOUR_SCOPE_ID_HERE"
  attestation:
    method: "symmetric_key"
    registration_id: "PASTE_YOUR_REGISTRATION_ID_HERE"
    symmetric_key: "PASTE_YOUR_PRIMARY_KEY_OR_DERIVED_KEY_HERE"

# always_reprovision_on_startup: true
# dynamic_reprovisioning: true

  3. Aktualizujte hodnoty scope_id, registration_id a symmetric_key informacemi o vašem DPS a zařízení.

  4. Volitelně můžete použít řádky always_reprovision_on_startup nebo dynamic_reprovisioning ke konfiguraci chování opětovného nastavení zařízení. Pokud je zařízení nastaveno na přeprovedení při spuštění, vždy se nejprve pokusí zprovozňovat pomocí služby DPS a pokud to selže, přejde na záložní postup zřizování. Pokud je zařízení nastavené na dynamické opětovné přidělení, IoT Edge (a všechny moduly) se restartuje a znovu přidělí, pokud se zjistí událost opětovného přidělení, například pokud se zařízení přesune z jednoho IoT Hubu do jiného. Konkrétně IoT Edge kontroluje bad_credential nebo device_disabled chyby ze sady SDK za účelem zjištění události opětovného zřízení. Pokud chcete tuto událost aktivovat ručně, zakažte zařízení v IoT Hubu. Další informace najdete v tématu Koncepty opětovného zřízení zařízení ve službě IoT Hub.

  5. Restartujte modul runtime IoT Edge, aby se zachytály všechny změny konfigurace, které jste provedli na zařízení.

    sudo systemctl restart iotedge

Ověření úspěšné instalace

Pokud se modul runtime úspěšně spustil, můžete přejít do služby IoT Hub a začít nasazovat moduly IoT Edge do zařízení.

Můžete ověřit, že byla použita jednotlivá registrace, kterou jste vytvořili ve službě zřizování zařízení. V Azure portálu přejděte k instanci služby pro zřizování zařízení. Otevřete podrobnosti o registraci pro jednotlivou registraci, kterou jste vytvořili. Všimněte si, že stav registrace je přiřazen a je uvedeno ID zařízení.

Pomocí následujících příkazů na zařízení ověřte, že se IoT Edge nainstaloval a úspěšně spustil.

Zkontrolujte stav služby IoT Edge.

systemctl status iotedge

Prozkoumejte protokoly služby.

journalctl -u iotedge --no-pager --no-full

Výpis spuštěných modulů

iotedge list

Další kroky

Proces registrace ve službě pro zřizování zařízení umožňuje nastavit ID zařízení a značky dvojníka zařízení současně se zřizováním nového zařízení. Tyto hodnoty můžete použít k cílení na jednotlivá zařízení nebo skupiny zařízení pomocí automatické správy zařízení. Zjistěte, jak nasadit a monitorovat moduly IoT Edge ve velkém měřítku pomocí webu Azure Portal nebo pomocí Azure CLI.

  • Last updated on