Bereitstellen von Azure IoT Einsatz (Preview) in einem Arc-fähigen Kubernetes-Cluster

Wichtig

Die von Azure Arc unterstützte Vorschauversion von „Azure IoT Einsatz“ befindet sich derzeit in der Vorschauphase. Sie sollten diese Vorschausoftware nicht in Produktionsumgebungen verwenden.

Sie müssen eine neue Installation von „Azure IoT Einsatz“ bereitstellen, wenn ein allgemein verfügbares Release verfügbar wird. Sie werden kein Upgrade für eine Preview-Installation durchführen können.

Die zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen enthalten rechtliche Bedingungen. Sie gelten für diejenigen Azure-Features, die sich in der Beta- oder Vorschauversion befinden oder aber anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.

Erfahren Sie, wie Sie Azure IoT Einsatz (Vorschau) über die Azure CLI oder das Azure-Portal in einem Kubernetes-Cluster bereitstellen.

In diesem Artikel besprechen wir Azure IoT Einsatz-Bereitstellungen und -Instanzen. Dies sind zwei verschiedene Konzepte:

• Eine Azure IoT Einsatz-Bereitstellung beschreibt alle Komponenten und Ressourcen, die das Azure IoT Einsatz-Szenario ermöglichen. Zu diesen Komponenten und Ressourcen gehören:

  • Eine Azure IoT Einsatz-Instanz
  • Arc-Erweiterungen
  • Benutzerdefinierte Standorte
  • Regeln für die Ressourcensynchronisierung
  • Ressourcen, die Sie in Ihrer Azure IoT Einsatz-Lösung konfigurieren können, z. B. Ressourcen und Ressourcenendpunkten.

• Eine Azure IoT Einsatz-Instanz ist die übergeordnete Ressource, die die Suite von Diensten bündelt, die in Was ist Azure IoT Einsatz Preview? definiert werden, wie MQTT-Broker, Datenflüsse und OPC UA-Connector.

Wenn von der Bereitstellung von Azure IoT Einsatz die Rede ist, sind alle Komponenten gemeint, die eine Bereitstellung ausmachen. Sobald die Bereitstellung vorhanden ist, können Sie die Instanzanzeigen, verwalten und aktualisieren.

Voraussetzungen

Cloudressourcen:

• Ein Azure-Abonnement.

• Ein Azure-Schlüsseltresor. Verwenden Sie den neuen Befehl az keyvault create, um einen Schlüsseltresor zu erstellen:

  az keyvault create --enable-rbac-authorization --name "<NEW_KEYVAULT_NAME>" --resource-group "<RESOURCE_GROUP>"
  

• Zugriffsberechtigungen in Azure. Weitere Informationen finden Sie unter Bereitstellungsdetails > Erforderliche Berechtigungen.

Entwicklungsressourcen:

• Installation der Azure CLI auf Ihrem Entwicklungscomputer. Für dieses Szenario ist mindestens Azure CLI Version 2.64.0 oder höher erforderlich. Verwenden Sie az --version, um Ihre Version zu überprüfen. Bei Bedarf können Sie sie mithilfe von az upgrade aktualisieren. Weitere Informationen finden Sie unter Installieren der Azure CLI.

• Die Azure IoT Einsatz-Erweiterung für die Azure CLI. Verwenden Sie den folgenden Befehl, um die Erweiterung hinzuzufügen oder auf die neueste Version zu aktualisieren:

  az extension add --upgrade --name azure-iot-ops
  

Ein Clusterhost:

• Ein Azure Arc-fähiger Kubernetes-Cluster mit aktivierten benutzerdefinierten Standort- und Workloadidentitätsfeatures. Wenn Sie dies nicht getan haben, führen Sie die Schritte in Vorbereiten Ihres Azure Arc-fähigen Kubernetes-Clusters aus.

  Wenn Sie Azure IoT Einsatz bereits in Ihrem Cluster bereitgestellt haben, deinstallieren Sie diese Ressourcen, bevor Sie fortfahren. Weitere Informationen finden Sie unter Aktualisieren von Azure IoT Einsatz.

• Vergewissern Sie sich, dass Ihr Clusterhost ordnungsgemäß für die Bereitstellung konfiguriert ist, indem Sie den Befehl verify-host auf dem Clusterhost verwenden:

  az iot ops verify-host
  

• (Optional) Bereiten Sie Ihren Cluster auf Einblicke vor, bevor Sie Azure IoT Einsatz bereitstellen: Konfigurieren von Einblicken.

Bereitstellen

Verwenden Sie das Azure-Portal oder die Azure CLI, um Azure IoT Einsatz in Ihrem Arc-fähigen Kubernetes-Cluster bereitzustellen.

Die Bereitstellungsoberfläche des Azure-Portals ist ein Hilfstool, das einen Bereitstellungsbefehl basierend auf Ihren Ressourcen und der Konfiguration generiert. Der letzte Schritt besteht darin, einen Azure CLI-Befehl auszuführen, daher benötigen Sie weiterhin die im vorherigen Abschnitt beschriebenen Azure CLI-Voraussetzungen.

Azure portal

1. Suchen Sie im Azure-Portal nach Azure IoT Einsatz, und wählen Sie diese Option aus.

2. Klicken Sie auf Erstellen.

3. Geben Sie auf der Registerkarte Grundeinstellungen die folgenden Informationen an:

   Parameter	Wert
   Abonnement	Wählen Sie das Abonnement aus, das Ihren Arc-fähigen Cluster enthält.
   Ressourcengruppe	Wählen Sie die Ressourcengruppe aus, die Ihren Arc-fähigen Cluster enthält.
   Clustername	Wählen Sie den Cluster aus, in dem Azure IoT Einsatz bereitgestellt werden soll.
   Name des benutzerdefinierten Standorts	Optionaler: Ersetzen Sie den Standardnamen für den benutzerdefinierten Speicherort.

   

4. Klicken Sie auf Weiter: Konfiguration aus.

5. Geben Sie auf der Registerkarte Konfiguration die folgenden Informationen an:

   Parameter	Wert
   Azure IoT Einsatz-Name	Optionaler: Ersetzen Sie den Standardnamen für die Azure IoT Einsatz-Instanz.
   MQTT-Brokerkonfiguration	Optional: Bearbeiten Sie die Standardeinstellungen für den MQTT-Broker. Weitere Informationen finden Sie unter Konfigurieren der Grundeinstellungen für den MQTT-Broker.
   Konfiguration des Datenflussprofils	Optional: Bearbeiten Sie die Standardeinstellungen für Datenflüsse. Weitere Informationen finden Sie unter Konfigurieren des Datenflussprofils.

   

6. Wählen Sie Weiter: Abhängigkeitsverwaltung aus.

7. Wählen Sie auf der Registerkarte Abhängigkeitsverwaltung eine vorhandene Schemaregistrierung aus, oder führen Sie die folgenden Schritte aus, um eine zu erstellen:

   1. Wählen Sie Neu erstellen.

   2. Geben Sie einen Schemaregistrierungsnamen und einen Schemaregistrierungs-Namespace an.

   3. Wählen Sie Azure-Speichercontainer auswählen aus.

   4. Wählen Sie ein Speicherkonto aus der Liste der hierarchischen namespacefähigen Konten aus, oder wählen Sie Erstellen aus, um ein Konto zu erstellen.

      Für die Schemaregistrierung ist ein Azure Storage-Konto mit hierarchischem Namespace und aktiviertem Zugriff auf öffentliche Netzwerke erforderlich. Wählen Sie beim Erstellen eines neuen Speicherkontos den Speicherkontotyp Allgemeines Speicherkontos v2 aus, und legen Sie Hierarchischer Namespace auf Aktiviert fest.

   5. Wählen Sie einen Container in Ihrem Speicherkonto aus, oder wählen Sie Container aus, um einen zu erstellen.

   6. Wählen Sie Übernehmen aus, um die Schemaregistrierungskonfigurationen zu bestätigen.

8. Wählen Sie auf der Registerkarte Abhängigkeitsverwaltung die Bereitstellungsoption Sichere Einstellungen aus.

   

9. Geben Sie im Abschnitt Bereitstellungsoptionen die folgenden Informationen an:

   Parameter	Wert
   Abonnement	Wählen Sie das Abonnement mit Ihrer Azure Key Vault-Instanz aus.
   Azure Key Vault	Wählen Sie einen Azure Key Vault und anschließend Neu erstellen aus. Stellen Sie sicher, dass Ihr Schlüsseltresor über Vault-Zugriffsrichtlinie als Berechtigungsmodell verfügt. Um diese Einstellung zu überprüfen, wählen Sie Ausgewählten Tresor verwalten>Einstellungen>Zugriffskonfiguration aus.
   Benutzerseitig zugewiesene verwaltete Identität für Geheimnisse	Wählen Sie eine Identität aus, oder wählen Sie Neu erstellen aus.
   Benutzerseitig zugewiesene verwaltete Identität für AIO-Komponenten	Wählen Sie eine Identität aus, oder wählen Sie Neu erstellen aus. Verwenden Sie nicht dieselbe verwaltete Identität wie diejenige, die Sie für Geheimnisse ausgewählt haben.

   

10. Wählen Sie Weiter: Automatisierung aus.

11. Führen Sie die einzelnen Azure CLI-Befehle auf der Registerkarte Automatisierung in einem Terminal aus:

    1. Melden Sie sich interaktiv mit einem Browser bei Azure CLI an, auch wenn Sie sich bereits zuvor angemeldet haben. Wenn Sie sich nicht interaktiv anmelden, wird möglicherweise eine Fehlermeldung angezeigt, die besagt: Ihr Gerät muss für den Zugriff auf Ihre Ressource verwaltet werden, wenn Sie mit dem nächsten Schritt zur Bereitstellung von Azure IoT Operations fortfahren.

       az login
       

    2. Wenn Sie Ihre Azure CLI-Umgebung nicht wie in den Voraussetzungen beschrieben vorbereitet haben, tun Sie das jetzt in einem Terminal Ihrer Wahl:

       az upgrade
       az extension add --upgrade --name azure-iot-ops
       

    3. Wenn Sie sich für die Erstellung einer neuen Schemaregistrierung auf der vorherigen Registerkarte entscheiden, kopieren Sie den Befehl az iot ops schema registry create, und führen Sie ihn aus.

    4. Bereiten Sie Ihren Cluster auf die Bereitstellung von Azure IoT Einsatz vor, indem Sie Abhängigkeiten und grundlegende Dienste bereitstellen, einschließlich der Schemaregistrierung. Kopieren Sie den Befehl az iot ops init, und führen Sie ihn aus.

       Tipp

       Der Befehl init muss nur einmal pro Cluster ausgeführt werden. Wenn Sie einen Cluster wiederverwenden, für den Azure IoT Einsatz Version 0.7.0 bereits bereitgestellt wurde, können Sie diesen Schritt überspringen.

       Die Ausführung dieses Befehls kann mehrere Minuten dauern. Sie können den Fortschritt in der Bereitstellungsstatusanzeige im Terminal überwachen.

    5. Stellen Sie Azure IoT Einsatz in Ihrem Cluster bereit. Kopieren Sie den Befehl az iot ops create, und führen Sie ihn aus.

       Die Ausführung dieses Befehls kann mehrere Minuten dauern. Sie können den Fortschritt in der Bereitstellungsstatusanzeige im Terminal überwachen.

    6. Aktivieren Sie die Geheimnissynchronisierung in Ihrer Azure IoT Einsatz-Instanz. Kopieren Sie den Befehl az iot ops secretsync enable, und führen Sie ihn aus. Dieser Befehl:

       • Erstellt Anmeldeinformationen einer Verbundidentität mithilfe der benutzerseitig zugewiesenen verwalteten Identität.
       • Fügt der benutzerseitig zugewiesenen verwalteten Identität eine Rollenzuweisung für den Zugriff auf den Azure Key Vault hinzu.
       • Fügt eine minimale Geheimnisanbieterklasse hinzu, die der Azure IoT Einsatz-Instanz zugeordnet ist.

    7. Weisen Sie Ihrer Azure IoT Einsatz-Instanz eine benutzerseitig zugewiesene verwaltete Identität zu. Kopieren Sie den Befehl az iot ops identity assign, und führen Sie ihn aus.

       Mit diesem Befehl werden auch Anmeldeinformationen einer Verbundidentität mithilfe des OIDC-Ausstellers des angegebenen verbundenen Clusters und des Azure IoT Einsatz-Dienstkontos erstellt.

12. Sobald alle Azure CLI-Befehle erfolgreich abgeschlossen wurden, können Sie den Assistenten zum Installieren von Azure IoT Einsatz schließen.

Azure-Befehlszeilenschnittstelle

1. Melden Sie sich interaktiv mit einem Browser bei Azure CLI an, auch wenn Sie sich bereits zuvor angemeldet haben.

   az login
   

   Wenn an irgendeinem Punkt ein Fehler angezeigt wird, der besagt, dass Ihr Gerät für den Zugriff auf Ihre Ressource verwaltet werden muss, führen Sie az login erneut aus, und stellen Sie sicher, dass Sie sich interaktiv mit einem Browser anmelden.

Erstellen eines Speicherkontos und einer Schemaregistrierung

Azure IoT Einsatz erfordert eine Schemaregistrierung in Ihrem Cluster. Für die Schemaregistrierung ist ein Azure-Speicherkonto erforderlich, damit Schemainformationen zwischen Cloud und Edge synchronisiert werden können.

1. Erstellen Sie ein Speicherkonto mit aktiviertem hierarchischen Namespace.

   az storage account create --name <NEW_STORAGE_ACCOUNT_NAME> --resource-group <RESOURCE_GROUP> --enable-hierarchical-namespace
   

2. Erstellen Sie eine Schemaregistrierung, die eine Verbindung mit Ihrem Speicherkonto herstellt.

   az iot ops schema registry create --name <NEW_SCHEMA_REGISTRY_NAME> --resource-group <RESOURCE_GROUP> --registry-namespace <NEW_SCHEMA_REGISTRY_NAMESPACE> --sa-resource-id $(az storage account show --name <STORAGE_ACCOUNT_NAME> --resource-group <RESOURCE_GROUP> -o tsv --query id)
   

   Hinweis

   Dieser Befehl erfordert, dass Sie über Schreibberechtigungen für Rollenzuweisungen verfügen, weil ihm eine Rolle zugewiesen wird, um Schemaregistrierungszugriff auf das Speicherkonto zu gewähren. Standardmäßig handelt es sich dabei um die integrierte Rolle Storage Blob Data Contributor. Sie können aber auch eine benutzerdefinierte Rolle mit eingeschränkten Berechtigungen erstellen, die Sie stattdessen zuweisen möchten.

   Verwenden Sie die optionalen Parameter, um die Schemaregistrierung anzupassen, darunter:

   Optionaler Parameter:	Wert	Beschreibung
   --custom-role-id	Rollendefinitions-ID	Stellen Sie eine benutzerdefinierte Rollen-ID bereit, die der Schemaregistrierung anstelle der Standardrolle Storage Blob Data Contributor zugewiesen werden soll. Die Rolle benötigt mindestens Lese- und Schreibberechtigungen für den Blob. Format: /subscriptions/<SUBSCRIPTION_ID>/providers/Microsoft.Authorization/roleDefinitions/<ROLE_ID>.
   --sa-container	Zeichenfolge	Speicherkontocontainer zum Speichern von Schemata. Wenn dieser Container nicht vorhanden ist, wird er von diesem Befehl erstellt. Der Standardcontainername lautet schemas.

3. Kopieren Sie die Ressourcen-ID aus der Ausgabe des Befehls zum Erstellen der Schemaregistrierung, um sie im nächsten Abschnitt zu verwenden.

Bereitstellen von Azure IoT Einsatz

1. Bereiten Sie Ihren Cluster mit den Abhängigkeiten vor, die Azure IoT Einsatz erfordert, indem Sie az iot ops init ausführen.

   Tipp

   Der Befehl init muss nur einmal pro Cluster ausgeführt werden. Wenn Sie einen Cluster wiederverwenden, für den Azure IoT Einsatz Version 0.7.0 bereits bereitgestellt wurde, können Sie diesen Schritt überspringen.

   az iot ops init --cluster <CLUSTER_NAME> --resource-group <RESOURCE_GROUP> --sr-resource-id <SCHEMA_REGISTRY_RESOURCE_ID>
   

   Die Ausführung dieses Befehls kann mehrere Minuten dauern. Sie können den Fortschritt in der Bereitstellungsstatusanzeige im Terminal überwachen.

   Verwenden Sie die optionalen Parameter, um Ihren Cluster anzupassen, einschließlich:

   Optionaler Parameter:	Wert	Beschreibung
   --no-progress		Deaktivieren Sie die Anzeige des Bereitstellungsstatus im Terminal.
   --enable-fault-tolerance	false, true	Aktivieren Sie Fehlertoleranz für Azure Arc Container Storage. Es sind mindestens drei Clusterknoten erforderlich.
   --ops-config	observability.metrics.openTelemetryCollectorAddress=<FULLNAMEOVERRIDE>.azure-iot-operations.svc.cluster.local:<GRPC_ENDPOINT>	Wenn Sie die optionalen Voraussetzungen zur Vorbereitung Ihres Clusters auf Einblicke erfüllt haben, geben Sie die OpenTelemetry (OTel)-Collectoradresse an, die Sie in der Datei „otel-collector-values.yaml“ konfiguriert haben. Die in Konfigurieren des Einblicks verwendeten Beispielwerte sind fullnameOverride=aio-otel-collector und grpc.enpoint=4317.
   --ops-config	observability.metrics.exportInternalSeconds=<CHECK_INTERVAL>	Wenn Sie die optionalen Voraussetzungen zum Vorbereiten des Clusters für Einblick erfüllt haben, stellen Sie den Wert check_interval bereit, den Sie in der Datei „otel-collector-values.yaml“ konfiguriert haben. Der Beispielwert, der in Konfigurieren des Einblicksverwendet wird, lautet check_interval=60.

2. Stellen Sie Azure IoT Einsatz bereit. Die Ausführung dieses Befehls dauert mehrere Minuten:

   az iot ops create --name <NEW_INSTANCE_NAME> --cluster <CLUSTER_NAME> --resource-group <RESOURCE_GROUP>
   

   Die Ausführung dieses Befehls kann mehrere Minuten dauern. Sie können den Fortschritt in der Bereitstellungsstatusanzeige im Terminal überwachen.

   Verwenden Sie die optionalen Parameter, um Ihre Instanz anzupassen, einschließlich:

   Optionaler Parameter:	Wert	Beschreibung
   --no-progress		Deaktivieren Sie die Anzeige des Bereitstellungsstatus im Terminal.
   --enable-rsync		Aktivieren Sie die Regeln zur Ressourcensynchronisierung für die Instanz, um Ressourcen vom Edge in die Cloud zu projizieren.
   --add-insecure-listener		Fügen Sie dem Standardlistener eine unsichere Konfiguration von Port 1883 hinzu. Diese ist nicht zur Verwendung in der Produktion bestimmt.
   --custom-location	String	Geben Sie einen Namen für den benutzerdefinierten Speicherort an, der für Ihren Cluster erstellt wurde. Der Standardwert lautet location-{hash(5)}.
   --broker-config-file	Pfad zur JSON-Datei	Stellen Sie eine Konfigurationsdatei für den MQTT-Broker bereit. Weitere Informationen finden Sie unter Erweiterte MQTT-Brokerkonfiguration und Konfigurieren der Grundeinstellungen für den MQTT-Broker.

Sobald der Befehl create erfolgreich abgeschlossen wird, verfügen Sie über eine funktionierende Azure IoT Einsatz-Instanz, die auf Ihrem Cluster ausgeführt wird. An diesem Punkt ist Ihre Instanz für die meisten Test- und Auswertungsszenarien konfiguriert. Wenn Sie Ihre Instanz auf Produktionsszenarien vorbereiten möchten, fahren Sie mit dem nächsten Abschnitt fort, um sichere Einstellungen zu aktivieren.

Einrichten der Verwaltung von Geheimnissen und der benutzerseitig zugewiesenen verwalteten Identität (optional)

Die Verwaltung von Geheimnissen für Azure IoT Einsatz verwendet Azure Secret Store, um die Geheimnisse aus einem Azure Key Vault zu synchronisieren und sie als Kubernetes-Geheimnisse am Edge zu speichern.

Ein Azure-Geheimnis erfordert eine benutzerseitig zugewiesene verwaltete Identität mit Zugriff auf den Azure Key Vault, in dem geheime Schlüssel gespeichert werden. Datenflüsse erfordern auch eine benutzerseitig zugewiesene verwaltete Identität zur Authentifizierung von Cloudverbindungen.

1. Erstellen Sie bei Bedarf eine Azure Key Vault-Instanz, sofern Sie keine Verfügung haben. Verwenden Sie den Befehl az keyvault create.

   az keyvault create --resource-group "<RESOURCE_GROUP>" --location "<LOCATION>" --name "<KEYVAULT_NAME>" --enable-rbac-authorization 
   

2. Erstellen Sie eine benutzerseitig zugewiesene verwaltete Identität, der Zugriff auf den Azure Key Vault zugewiesen wird.

   az identity create --name "<USER_ASSIGNED_IDENTITY_NAME>" --resource-group "<RESOURCE_GROUP>" --location "<LOCATION>" --subscription "<SUBSCRIPTION>" 
   

3. Konfigurieren Sie die Azure IoT Einsatz-Instanz für die Geheimnissynchronisierung. Dieser Befehl:

   • Erstellt Anmeldeinformationen einer Verbundidentität mithilfe der benutzerseitig zugewiesenen verwalteten Identität.
   • Fügt der benutzerseitig zugewiesenen verwalteten Identität eine Rollenzuweisung für den Zugriff auf den Azure Key Vault hinzu.
   • Fügt eine minimale Geheimnisanbieterklasse hinzu, die der Azure IoT Einsatz-Instanz zugeordnet ist.

   az iot ops secretsync enable --name <INSTANCE_NAME> --resource-group <RESOURCE_GROUP> --mi-user-assigned <USER_ASSIGNED_MI_RESOURCE_ID> --kv-resource-id <KEYVAULT_RESOURCE_ID>
   

4. Erstellen Sie eine benutzerseitig zugewiesene verwaltete Identität, die für Cloudverbindungen verwendet werden kann. Verwenden Sie nicht dieselbe Identität wie die zum Einrichten der Geheimnisverwaltung verwendete.

   az identity create --name "<USER_ASSIGNED_IDENTITY_NAME>" --resource-group "<RESOURCE_GROUP>" --location "<LOCATION>" --subscription "<SUBSCRIPTION>" 
   
   You will need to grant the identity permission to whichever cloud resource this will be used for. 
   
   

5. Führen Sie den folgenden Befehl aus, um die Identität der Azure IoT Einsatz-Instanz zuzuweisen. Mit diesem Befehl werden auch Anmeldeinformationen einer Verbundidentität mithilfe des OIDC-Ausstellers des angegebenen verbundenen Clusters und des Azure IoT Einsatz-Dienstkontos erstellt.

   az iot ops identity assign --name <INSTANCE_NAME> --resource-group <RESOURCE_GROUP> --mi-user-assigned <USER_ASSIGNED_MI_RESOURCE_ID>
   

Während die Bereitstellung läuft, können Sie beobachten, wie die Ressourcen auf Ihren Cluster angewendet werden. Wenn Ihr Terminal dies unterstützt, zeigen die Befehle init und create den Bereitstellungsstatus an.

Andernfalls oder wenn Sie die Fortschrittsanzeige mit --no-progress im Befehl deaktivieren, können Sie kubectl-Befehle verwenden, um die Pods in Ihrem Cluster anzuzeigen:

kubectl get pods -n azure-iot-operations

Es kann einige Minuten dauern, bis die Bereitstellung abgeschlossen ist. Führen Sie den get pods Befehl erneut aus, um die Ansicht zu aktualisieren.

Nach Abschluss der Bereitstellung können Sie az iot ops check verwenden, um die Bereitstellung des IoT Einsatz-Diensts hinsichtlich Integrität, Konfiguration und Nutzbarkeit zu bewerten. Der Befehl Überprüfen kann Ihnen helfen, Probleme in Ihrer Bereitstellung und Konfiguration zu finden.

az iot ops check

Sie können auch die Konfigurationen von Themenzuordnungen, QoS- und Nachrichtenrouten überprüfen, indem Sie den --detail-level 2 Parameter für eine ausführliche Ansicht hinzufügen.

Nächste Schritte

Wenn Ihre Komponenten eine Verbindung mit Azure-Endpunkten wie SQL oder Fabric herstellen müssen, informieren Sie sich über die Verwalten von Geheimnissen für Ihre Bereitstellung von Azure IoT Einsatz (Vorschau).