Migrieren von Azure Sphere (Legacy) zu Azure Sphere (integriert)
Am 27. September 2027 wird Azure Sphere seine Legacy-Dienstschnittstellen, azure Sphere (Legacy)-API (auch als PAPI bezeichnet) und Azure Sphere CLI (auch azsphere genannt) eingestellt. Alle Azure Sphere (Legacy)-Benutzer müssen vor diesem Datum zu Azure Sphere (Integriert) migrieren. Azure Sphere (Integrated) ist nativ auf der Azure-Plattform und bietet eine like-for-like Ersatz der Azure Sphere (Legacy)-Schnittstelle. Azure Sphere (Integrated) bietet außerdem erhebliche Verbesserungen an Sicherheit (Azure RBAC-Integration), Benutzerfreundlichkeit (Azure Portal-Integration) und Observability/Alerting (Azure Monitor-Integration). Weitere Informationen finden Sie auf diesem Blog.
Dieser Artikel soll Azure Sphere-Administratoren und Entwicklungsteams dabei unterstützen, die Migration zu verstehen und zu planen. Wir haben den Migrationsprozess so konzipiert, dass Sie Ihre Azure Sphere-Geräte sowohl in Azure Sphere (integriert) als auch in Azure Sphere (Legacy) nach Bedarf im gesamten Migrationsprojekt verwalten können. Darüber hinaus können Ihre Legacy-basierten Skripts, Automatisierung und Schnittstellen unterbrechungsfrei funktionieren, während Ihr Entwicklungsteam aktualisierte Versionen basierend auf Azure Sphere (Integriert) erstellt und testet.
Der Migrationsprozess kann in die folgenden Arbeitsbereiche unterteilt werden:
- Integrieren des Legacymandanten in einen Azure Sphere-Katalog in Azure-Portal
- Migrieren interaktiver Benutzerworkflows
- Migrieren automatisierter Prozesse und Schnittstellen
Integrieren Ihres Azure Sphere (Legacy)-Mandanten in einen Azure Sphere-Katalog
Dieser erste Schritt im Migrationsprozess muss abgeschlossen werden, bevor andere Arbeiten beginnen können. Die Integrationsfunktion in Azure-Portal bereitet Ihren Azure Sphere (Legacy)-Mandanten auf die Verwaltung in der Azure-Umgebung vor, in der es zu einem Azure Sphere-Katalog wird. Der Mandant und seine Ressourcen bleiben mit der Ausnahme identisch, auf die Sie jetzt auch über die Benutzeroberflächen von Azure zugreifen und diese verwalten können, einschließlich der Azure-Portal, der Azure Sphere-Erweiterung für Azure CLI und Azure Sphere für PowerShell.
Der Integrationsprozess führt zwei Schritte aus:
- Er weist jeder Ressource im Mandanten eine Azure-Ressourcen-ID zu, sodass die Ressource vom Azure Resource Manager verwaltet werden kann.
- Er ordnet die Rollen für den Benutzerzugriff des Legacymandanten den Benutzerzugriffsrollen zu, die von azure Roles Based Access Control (RBAC) verwaltet werden. Wenn die vorgeschlagenen Zugriffsrollenzuordnungen während des Integrationsprozesses angezeigt werden, können Sie sie annehmen, ändern oder ablehnen. Nach Abschluss des Integrationsschritts können Sie den Benutzerzugriff jederzeit ändern.
In der Regel dauert der Integrationsschritt nur ein paar Minuten, und nach Abschluss kann jeder Benutzer, dem während der Integration Zugriff gewährt wurde, sofort mit der Verwaltung des neuen Azure Sphere-Katalogs in den Benutzeroberflächen von Azure beginnen. Es wird kein vorhandener Workflow durch den Integrationsprozess blockiert, und es wird empfohlen, dass Sie es in Kürze tun, damit Sie mit der Erkundung der neuen Azure Sphere (Integrated)-Schnittstellen und -Vorteile beginnen können. Sobald der Vorgang abgeschlossen ist, können Sie mit der restlichen Migration beginnen.
Migrieren interaktiver Benutzerworkflows
Interaktive Workflows sind solche, bei denen eine Person die "azsphere" CLI verwendet (oder ein Skript verwendet, das wiederum "azsphere" CLI verwendet), um eine Aufgabe auszuführen. Solche interaktiven Workflows können im Rahmen der Herstellung (z. B. anfordern neuer Geräte in Ihrem Mandanten), Vorgänge (z. B. Verwalten von Zertifikaten im Zusammenhang mit Ihrem Mandanten) oder Entwickleranwendungsfälle (z. B. Einrichten eines Entwicklergeräts, um keine Überluftupdates zu erhalten) auftreten.
Bei der Planung der Migration Ihrer Workflows müssen Sie Schulungsbenutzer in Betracht ziehen, interne Dokumentation aktualisieren und in Fällen, in denen Skripts interaktiv verwendet werden, diese Skripts aktualisieren. Sie können auch die Vorteile von zwei wichtigen Verbesserungen in Azure Sphere (integriert) nutzen: Die optimierte Benutzeroberfläche von Azure Sphere in Azure-Portal und die robuste Verwaltung des Benutzerzugriffs in Azure Role Based Access Control (RBAC).
Es ist wichtig zu berücksichtigen, ob ein bestimmter Benutzerworkflow in einer Weboberfläche und nicht in einer CLI besser erreicht wird. Azure Sphere (Integriert) ermöglicht es Ihnen, den Katalog im Azure-Portal zu verwalten, und für viele interaktive Benutzerworkflows bietet Portal eine umfangreichere und einfachere Benutzererfahrung. In Azure-Portal können Sie z. B. Bilder in einem einzigen Schritt gleichzeitig hochladen und bereitstellen, wie unten dargestellt.
Überlegen Sie zweitens, wie Sie den Benutzerzugriff effektiver einschränken können. Azure Sphere (Integrated) unterstützt die Azure Role Based Access Control (RBAC), die einen wesentlich robusteren und differenzierten Benutzerzugriff als Azure Sphere (Legacy) ermöglicht.
Es handelt sich um ein Modell mit den geringsten Berechtigungen, das einem einzelnen Benutzer nur zugriff auf die Ressourcen gewährt, die für seinen Auftrag erforderlich sind, sowie die Berechtigung, nur die für seinen Auftrag erforderlichen Benutzeraktionen auszuführen. Beispielsweise können Sie in einem Azure Sphere-Katalog einem Benutzer erlauben, die Produktionsgerätegruppe anzuzeigen und neue Bereitstellungen in dieser Gerätegruppe zu erstellen, sie jedoch ausdrücklich daran hindern, Geräte in und aus der Gerätegruppe zu verschieben oder andere Gerätegruppen im Katalog anzuzeigen.
Wenn Sie Azure RBAC noch nicht verwendet haben, empfehlen wir, mehr über grundlegende Azure RBAC-Konzepte wie Bereichs- und Ressourcenhierarchie zu erfahren, da sie wichtig sind, um die Auswirkungen des Anwendens einer bestimmten RBAC-Rollenberechtigung auf einen Katalog im Vergleich zur untergeordneten Ressource eines Katalogs wie einer Gerätegruppe zu verstehen.
Zur Unterstützung haben wir eine Beispiel-RBAC-Konfiguration für mehrere Geschäftsbenutzer bereitgestellt, die einige bewährte Methoden für RBAC für Azure Sphere veranschaulichen. Im Beispiel werden Berechtigungen hervorgehoben, die auf allgemeine Geschäftliche Benutzeranforderungen zugeschnitten sind, einschließlich Softwaretechnikern, die Anwendungen für Azure Sphere-Geräte erstellen, OT-Techniker, die die Produktion von Azure Sphere-Geräteflotten verwalten, und Hersteller, die Azure Sphere-Geräte erstellen.
Entfernen des Benutzerzugriffs auf den Azure Sphere (Legacy)-Mandanten
Sobald ein Workflow migriert wurde und Ihre Benutzer Azure Sphere (Integriert) vollzeit verwenden, empfehlen wir dringend, die Berechtigungen der einzelnen Benutzer aus dem Legacymandanten zu entfernen, um unbeabsichtigten Zugriff zu vermeiden. Andernfalls kann ein Benutzer die feinkörnigen Zugriffssteuerungen, die Sie in Azure RBAC konfiguriert haben, durch fortgesetzte Verwendung von Legacy-Steuerelementen querschritten. Durch das Entfernen des Legacy-Benutzerzugriffs können Sie außerdem sicherstellen, dass diese Benutzer alle erforderlichen Aufgaben in Azure Sphere (integriert) erfolgreich ausführen können und nicht von der Legacy-Einstellung betroffen sind.
Benutzer, die an der Konvertierung oder dem Testen automatisierter Prozesse arbeiten, müssen möglicherweise ihre Berechtigungen für den Legacymandantenzugriff für einen längeren Zeitraum beibehalten.
Migrieren automatisierter Prozesse und Schnittstellen
Zusätzlich zur Migration interaktiver Workflows müssen Sie, wenn Ihre Organisation automatisierte Prozesse erstellt hat, die Azure Sphere (Legacy)-Skripts verwenden, oder Benutzeroberflächen basierend auf der Azure Sphere (Legacy)-API, die auf der Azure Sphere (Legacy)-API basieren, neu überarbeiten, um Azure Sphere (integriert) zu verwenden. Um den Migrationsprozess so einfach wie möglich zu gestalten, können Sie die aktualisierte Automatisierung aktiv entwickeln und testen, während Ihre Legacy-basierte Produktionsautomatisierung unterbrechungsfrei ausgeführt wird. Dies ist beim Testen von Befehlen erforderlich, die nicht rückgängig gemacht werden können, z. B. das Anfordern eines Geräts in einem Katalog, in dem sie nicht langfristig gespeichert werden soll.
Für jede Schnittstelle, die Sie auf der Azure Sphere (Integrated)-API erstellen, müssen Sie ein Microsoft Entra-Zugriffstoken erstellen, das es der Schnittstelle ermöglicht, auf den API-Endpunkt zuzugreifen. Informationen zu Zugriffstoken und zum Aufrufen der Azure REST-APIs finden Sie in der Referenzdokumentation zur Azure REST-API.
Nachdem Sie die aktualisierten automatisierten Prozesse und Schnittstellen für die Produktion bereitgestellt haben, sollten Sie den Azure Sphere (Legacy)-Zugriff für die Dienstprinzipale entfernen, die zum Authentifizieren Ihrer alten legacybasierten Automatisierung und Schnittstellen verwendet werden. Durch das Entfernen des gesamten Dienstprinzipalzugriffs wird sichergestellt, dass alle automatisierten Prozesse vollständig migriert werden und nicht von der Legacy-Einstellung betroffen sind.
Herunterfahren des verbleibenden Zugriffs auf den Legacymandanten
Der letzte Schritt im Migrationsprozess besteht darin, alle verbleibenden Azure Sphere (Legacy)-Zugriffe zu entfernen. Heute benötigen Azure Sphere (Legacy)-Mandanten mindestens ein aktives Legacyadministratorkonto, auch wenn der Mandant in Azure-Portal integriert wurde. Wir arbeiten an einem Feature, mit dem Sie dieses letzte Legacymandantenadministratorkonto löschen können, es ist zurzeit jedoch nicht verfügbar. Wenn wir dieses Feature veröffentlichen, werden wir die Verfügbarkeit von Azure Update ankündigen.
Nutzen von Features, die in Azure Sphere (integriert) verfügbar sind
Es ist zwar nicht erforderlich, Azure Sphere (integriert) zu verwenden, es wird dringend empfohlen, dass Sie im Rahmen Ihres Migrationsplans die anderen leistungsstarken Azure-Dienste nutzen, die jetzt für Azure Sphere verfügbar sind.
Einer der leistungsstärksten ist Azure Monitor. Azure Monitor bietet eine Vielzahl von Flottenüberwachungsfeatures wie die Sammlung von Leistungsmetriken und Diagnosedaten sowie das Abfragen von Ereignissen in Aktivitätsprotokollen sowohl von Azure Sphere-Geräten als auch vom Azure Sphere-Sicherheitsdienst.
Mithilfe von Azure Monitor-Daten können Sie den Geräteflottenstatus mit Ereignissen korrelieren, die im Azure Sphere-Sicherheitsdienst geschehen, z. B. die Veröffentlichung eines neuen App-Updates. Sie können warnungen auch für kritische Ereignisse konfigurieren, z. B. den bevorstehenden Ablauf Ihres Azure Sphere-Mandantenzertifikats. Ausführliche Informationen finden Sie unter Überwachen der Azure Sphere-Flotte und des Gerätezustands.
Erste Schritte und Hilfe suchen
Es ist einfach, einfach zu beginnen, indem Sie Ihre Azure Sphere (Legacy) in einen Azure Sphere (integrierten) Katalog integrieren und mit der Arbeit mit Azure Sphere in Azure CLI oder Azure Portal beginnen. Azure Sphere (Legacy) wird bis zum 27. September 2027-Deaktivierungsdatum vollständig unterstützt. Alle Migrationsaktivitäten müssen bis zu diesem Datum abgeschlossen werden. Wenn Sie Fragen zur Migration haben oder technische Unterstützung benötigen, finden Sie Antworten von Communityexperten zu Microsoft Q&A, oder Sie können sich an wenden AZSPPGSUP@microsoft.com.