Erstellen und Bereitstellen eines IoT Edge-Geräts unter Linux mithilfe von X.509-Zertifikaten

Gilt für: IoT Edge 1.4

Wichtig

IoT Edge Version 1.4 wird unterstützt. Wenn Sie ein früheres Release verwenden, finden Sie weitere Informationen unter Aktualisieren von IoT Edge.

Dieser Artikel enthält End-to-End-Anweisungen zum Registrieren und Bereitstellen eines IoT Edge-Geräts unter Linux, einschließlich Anweisungen zur Installation von IoT Edge.

Jedes Gerät, das eine Verbindung mit einem IoT-Hub herstellt, verfügt über eine Geräte-ID, die zum Nachverfolgen der Cloud-zu-Gerät- oder Gerät-zu-Cloud-Kommunikation verwendet wird. Sie konfigurieren ein Gerät mit den Verbindungsinformationen, einschließlich des IoT Hub-Hostnamens, der Geräte-ID und der Informationen, die das Gerät zum Authentifizieren bei IoT Hub verwendet.

Die Schritte in diesem Artikel führen Sie durch die sogenannte manuelle Bereitstellung, bei der Sie ein einzelnes Gerät mit dem entsprechenden IoT-Hub verbinden. Bei der manuellen Bereitstellung haben Sie zwei Optionen zum Authentifizieren von IoT Edge-Geräten:

• Symmetrische Schlüssel: Wenn Sie in IoT Hub eine neue Geräteidentität erstellen, erstellt der Dienst zwei Schlüssel. Ein Schlüssel befindet sich auf dem Gerät, den es bei der Authentifizierung in IoT Hub vorzeigt.

  Diese Authentifizierungsmethode kann schneller eingerichtet werden, ist dafür aber weniger sicher.

• selbstsignierte X.509: Sie erstellen zwei X.509-Identitätszertifikate und bewahren diese auf dem Gerät auf. Wenn Sie in IoT Hub eine neue Geräteidentität erstellen, geben Sie Fingerabdrücke aus beiden Zertifikaten an. Wenn sich das Gerät bei IoT Hub authentifiziert, übergibt es ein Zertifikat, und IoT Hub überprüft, ob das Zertifikat mit dem Fingerabdruck übereinstimmt.

  Diese Authentifizierungsmethode ist sicherer und wird für Produktionsszenarios empfohlen.

In diesem Artikel wird die Verwendung von X.509-Zertifikaten als Authentifizierungsmethode behandelt. Wenn Sie symmetrische Schlüssel verwenden möchten, finden Sie weitere Informationen unter Erstellen und Bereitstellen eines IoT Edge-Geräts unter Linux mithilfe von symmetrischen Schlüsseln.

Hinweis

Wenn Sie viele Geräte einrichten müssen und sie nicht einzeln manuell bereitstellen möchten, informieren Sie sich in einem der folgenden Artikel, wie IoT Edge beim IoT Hub Device Provisioning Service (Gerätebereitstellungsdienst) funktioniert:

• Bedarfsgerechtes Erstellen und Bereitstellen von IoT Edge-Geräten mithilfe von X.509-Zertifikaten
• Bedarfsgerechtes Erstellen und Bereitstellen von IoT Edge-Geräten mit einem TPM
• Bedarfsgerechtes Erstellen und Bereitstellen von IoT Edge-Geräten mithilfe von symmetrischen Schlüsseln

Voraussetzungen

In diesem Artikel wird beschrieben, wie Sie Ihr IoT Edge-Gerät registrieren und darauf IoT Edge installieren. Bei diesen Aufgaben gibt es unterschiedliche Voraussetzungen und Hilfsprogramme zu deren Erledigung. Stellen Sie sicher, dass alle Voraussetzungen erfüllt sind, bevor Sie fortfahren.

Geräteverwaltungstools

Sie können die Schritte zum Registrieren Ihres Geräts über das Azure-Portal, mithilfe von Visual Studio Code oder über die Azure CLI ausführen. Jedes Dienstprogramm hat seine eigenen Voraussetzungen oder muss möglicherweise installiert werden:

Portal

Ein IoT-Hub in Ihrem Azure-Abonnement im Tarif „Free“ oder „Standard“.

Visual Studio Code

• Ein IoT-Hub in Ihrem Azure-Abonnement im Tarif „Free“ oder „Standard“
• Visual Studio Code
• Azure IoT Edge-Erweiterung. Die Erweiterung Azure IoT Edge-Tools für Visual Studio Code befindet sich im Wartungsmodus.
• Azure IoT Hub-Erweiterung

Azure-Befehlszeilenschnittstelle

• Ein IoT-Hub in Ihrem Azure-Abonnement im Tarif „Free“ oder „Standard“

• Azure CLI in Ihrer Umgebung

  Ihre Azure CLI-Version muss mindestens 2.0.70 oder höher lauten. Verwenden Sie az --version, um dies zu überprüfen. Diese Version unterstützt az-Erweiterungsbefehle und führt das Knack-Befehlsframework ein.

Geräteanforderungen

Ein X64-, ARM32- oder ARM64-Linux-Gerät.

Microsoft veröffentlicht Installationspakete für viele verschiedene Betriebssysteme.

Neueste Informationen dazu, welche Betriebssysteme zurzeit für Produktionsszenarien unterstützt werden, finden Sie unter Von Azure IoT Edge unterstützte Systeme.

Generieren von Geräteidentitätszertifikaten

Die manuelle Bereitstellung mit X.509-Zertifikaten erfordert die IoT Edge-Version 1.0.10 oder höher.

Wenn Sie ein IoT Edge-Gerät mit X.509-Zertifikaten ausstatten, verwenden Sie ein so genanntes Geräteidentitätszertifikat. Dieses Zertifikat wird nur für die Bereitstellung eines IoT Edge-Geräts und die Authentifizierung des Geräts bei Azure IoT Hub verwendet. Es handelt sich um ein Blattzertifikat, das keine anderen Zertifikate signiert. Das Geräteidentitätszertifikat hängt nicht mit den Zertifikaten der Zertifizierungsstelle zusammen, die das IoT Edge-Gerät Modulen oder Downstreamgeräten zur Überprüfung präsentiert.

Bei der Authentifizierung mit einem X.509-Zertifikat werden die Informationen zur Authentifizierung der einzelnen Geräte in Form eines Fingerabdrucks bereitgestellt, der den Geräteidentitätszertifikaten entnommen wurde. Diese Fingerabdrücke werden IoT Hub zum Zeitpunkt der Geräteregistrierung bereitgestellt, damit der Dienst das Gerät erkennen kann, wenn es eine Verbindung herstellt.

Weitere Informationen zur Aufgabe der verschiedenen Zertifikate der Zertifizierungsstelle auf IoT Edge-Geräten finden Sie unter Grundlegendes zur Verwendung von Zertifikaten durch Azure IoT Edge.

Für die manuelle Bereitstellung mit X.509 ist Folgendes erforderlich:

• Zwei Geräteidentitätszertifikate mit den dazugehörigen privaten Schlüsselzertifikaten in den Formaten .cer oder .pem. Sie benötigen zwei Geräteidentitätszertifikate für die Zertifikatsrotation. Eine bewährte Methode ist es, zwei verschiedene Geräteidentitätszertifikate mit unterschiedlichen Ablaufdaten zu erstellen. Wenn ein Zertifikat abläuft, ist das andere noch gültig und Sie haben Zeit, das abgelaufene Zertifikat zu ersetzen.

  Es wird ein Satz von Zertifikats- und Schlüsseldateien für die IoT Edge-Runtime bereitgestellt. Wenn Sie Geräteidentitätszertifikate erstellen, legen Sie den allgemeinen Namen (Common Name, CN) des Zertifikats auf die Geräte-ID fest, die das Gerät in Ihrem IoT-Hub haben soll.

• Fingerabdrücke von beiden Geräteidentitätszertifikaten. IoT Hub erfordert bei der Registrierung eines IoT Edge-Geräts zwei Fingerabdrücke. Sie können für die Registrierung nur ein Zertifikat verwenden. Wenn Sie ein einziges Zertifikat verwenden möchten, legen Sie bei der Registrierung des Geräts denselben Zertifikatfingerabdruck für den primären und sekundären Fingerabdruck fest.

  Die Fingerabdruckwerte bestehen aus 40 Hexadezimalzeichen für SHA-1-Hashes oder 64 Hexadezimalzeichen für SHA-256-Hashes. Beide Fingerabdrücke werden zum Zeitpunkt der Geräteregistrierung für IoT Hub bereitgestellt.

  Der Fingerabdruck kann beispielsweise mithilfe des folgenden OpenSSL-Befehls aus einem Zertifikat abgerufen werden:

  openssl x509 -in <certificate filename>.pem -text -fingerprint
  

  Der Fingerabdruck ist in der Ausgabe dieses Befehls enthalten. Beispiel:

  SHA1 Fingerprint=D2:68:D9:04:9F:1A:4D:6A:FD:84:77:68:7B:C6:33:C0:32:37:51:12
  

Sollten Sie über keine Zertifikate verfügen, können Sie Demozertifikate zum Testen von IoT Edge-Gerätefeatures erstellen. Folgen Sie den Anweisungen in diesem Artikel, um Skripte zur Zertifikatserstellung einzurichten, ein Stamm-CA-Zertifikat zu erstellen und ein IoT Edge-Geräteidentitätszertifikat zu erstellen. Zu Testzwecken können Sie ein einzelnes Geräteidentitätszertifikat erstellen und bei der Registrierung des Geräts in IoT Hub denselben Fingerabdruck für den primären und sekundären Fingerabdruck verwenden.

Registrieren Ihres Geräts

Je nach Präferenz können Sie Ihr Gerät über das Azure-Portal, mithilfe von Visual Studio Code oder über die Azure CLI registrieren.

Portal

In Ihrem IoT-Hub im Azure-Portal werden IoT Edge-Geräte getrennt von IoT-Geräten, die nicht Edge-fähig sind, erstellt und verwaltet.

1. Melden Sie sich beim Azure-Portal an, und navigieren Sie zu Ihrem IoT Hub.

2. Klicken Sie im linken Bereich auf Geräte, und klicken Sie dann auf Gerät hinzufügen.

3. Geben Sie auf der Seite Gerät erstellen die folgenden Informationen ein:

   • Erstellen Sie eine eindeutige Geräte-ID. Notieren Sie sich diese Geräte-ID, da Sie sie später verwenden werden.
   • Aktivieren Sie das Kontrollkästchen IoT Edge-Gerät.
   • Wählen Sie als Authentifizierungstyp X.509, selbstsigniert aus.
   • Geben Sie die primären und sekundären Identitätszertifikatfingerabdrücke an. Die Fingerabdruckwerte bestehen aus 40 Hexadezimalzeichen für SHA-1-Hashes oder 64 Hexadezimalzeichen für SHA-256-Hashes. Das Azure-Portal unterstützt nur Hexadezimalwerte. Entfernen Sie Spaltentrennzeichen und Leerzeichen aus den Werten des Fingerabdrucks, bevor Sie sie in das Portal eingeben. Beispielsweise wird D2:68:D9:04:9F:1A:4D:6A:FD:84:77:68:7B:C6:33:C0:32:37:51:12 als D268D9049F1A4D6AFD8477687BC633C032375112 eingegeben.

   Tipp

   Wenn Sie zu Testzwecken ein Zertifikat verwenden möchten, können Sie dasselbe Zertifikat für den primären und sekundären Fingerabdruck verwenden.

4. Wählen Sie Speichern.

Visual Studio Code

Derzeit unterstützt die Azure IoT-Erweiterung für Visual Studio Code die Geräteregistrierung mit X.509-Zertifikaten nicht.

Azure-Befehlszeilenschnittstelle

Verwenden Sie den Befehl az iot hub device-identity create, um eine neue Geräteidentität in Ihrem IoT-Hub zu erstellen. Beispiel:

az iot hub device-identity create --device-id <device_id_here> --hub-name <hub_name_here> --edge-enabled --auth-method x509_thumbprint --primary-thumbprint <primary_SHA_thumbprint_here> --secondary-thumbprint <secondary_SHA_thumbprint_here>

Dieser Befehl umfasse mehrere Parameter:

• --device-id oder -d: Geben Sie einen beschreibenden Namen an, der einzigartig für Ihren IoT-Hub ist. Notieren Sie sich die Geräte-ID, da Sie diese im nächsten Abschnitt verwenden.
• hub-name oder -n: Geben Sie den Namen Ihres IoT-Hubs an.
• --edge-enabled oder --ee: Deklarieren Sie, dass das Gerät ein IoT Edge-Gerät ist.
• --auth-method oder --am: Geben Sie den Autorisierungstyp an, den das Gerät verwenden soll. In diesem Fall verwenden Sie X.509-Zertifikatfingerabdrücke.
• --primary-thumbprint oder --ptp: Geben Sie einen X.509-Zertifikatsfingerabdruck an, der als Primärschlüssel verwendet werden soll. Es werden nur Hexadezimalwerte unterstützt. Entfernen Sie Spaltentrennzeichen und Leerzeichen aus dem Wert des Fingerabdrucks. Beispielsweise wird D2:68:D9:04:9F:1A:4D:6A:FD:84:77:68:7B:C6:33:C0:32:37:51:12 als D268D9049F1A4D6AFD8477687BC633C032375112 eingegeben.
• --secondary-thumbprint oder --stp: Geben Sie einen X.509-Zertifikatsfingerabdruck an, der als Sekundärschlüssel verwendet werden soll. Entfernen Sie Spaltentrennzeichen und Leerzeichen aus dem Wert des Fingerabdrucks. Wenn Sie zu Testzwecken ein Zertifikat verwenden möchten, können Sie dasselbe Zertifikat für den primären und den sekundären Fingerabdruck verwenden.

Nachdem Sie ein Gerät in IoT Hub registriert haben, rufen Sie die Informationen ab, mit der Sie die Installation und Bereitstellung der IoT Edge-Runtime abschließen.

Anzeigen registrierter Geräte und Abrufen von Bereitstellungsinformationen

Geräte, die die X.509-Zertifikatauthentifizierung verwenden, benötigen ihren IoT-Hub-Namen, ihren Gerätenamen und ihre Zertifikatdateien, um die Installation und Bereitstellung der Iot Edge-Runtime abzuschließen.

Portal

Die für die Verwendung mit Edge vorgesehenen Geräte, die eine Verbindung mit Ihrem IoT-Hub herstellen, sind auf der Seite Geräte aufgeführt. Sie können die Liste nach dem Gerätetyp IoT Edge-Geräte filtern.

Visual Studio Code

Es gibt zwar keine Unterstützung für die Geräteregistrierung mit X.509-Zertifikaten über Visual Studio Code, aber Sie können Ihre IoT Edge-Geräte bei Bedarf trotzdem anzeigen.

Alle Geräte, die Verbindungen mit Ihrem IoT Hub herstellen, werden im Abschnitt Azure IoT Hub des Visual Studio Code-Explorers aufgeführt. IoT Edge-Geräte können von Nicht-Edge-Geräten unterschieden werden, da sie ein anderes Symbol aufweisen, und aufgrund der Tatsache, dass die Module $edgeAgent und $edgeHub auf jedem IoT Edge-Gerät bereitgestellt sind.

Azure-Befehlszeilenschnittstelle

Verwenden Sie den Befehl az iot hub device-identity list, um alle Geräte in Ihrem IoT-Hub anzuzeigen. Beispiel:

az iot hub device-identity list --hub-name <hub_name_here>

Für jedes Gerät, das als IoT Edge-Gerät registriert ist, ist die Eigenschaft capabilities.iotEdge auf true gesetzt.

Installieren von IoT Edge

In diesem Abschnitt bereiten Sie Ihren virtuellen Linux Computer oder Ihr physisches Gerät für loT Edge vor. Anschließend installieren Sie IoT Edge.

Führen Sie die folgenden Befehle aus, um das Paketrepository hinzuzufügen, und fügen Sie dann Ihrer Liste von vertrauenswürdigen Schlüsseln den Microsoft-Paketsignaturschlüssel hinzu.

Wichtig

Am 30. Juni 2022 wurde Raspberry Pi OS Stretch aus der Betriebssystem-Supportliste der Stufe 1 zurückgezogen. Wenn Sie potenzielle Sicherheitsrisiken vermeiden möchten, aktualisieren Sie Ihr Hostbetriebssystem auf Bullseye.

Ubuntu

Die Installation kann mit einigen wenigen Befehlen erledigt werden. Öffnen Sie ein Terminal, und führen Sie die folgenden Befehle aus:

• 22.04:

  wget https://packages.microsoft.com/config/ubuntu/22.04/packages-microsoft-prod.deb -O packages-microsoft-prod.deb
  sudo dpkg -i packages-microsoft-prod.deb
  rm packages-microsoft-prod.deb
  

• 20.04:

  wget https://packages.microsoft.com/config/ubuntu/20.04/packages-microsoft-prod.deb -O packages-microsoft-prod.deb
  sudo dpkg -i packages-microsoft-prod.deb
  rm packages-microsoft-prod.deb
  

Debian

Die Installation mit APT kann mit einigen wenigen Befehlen erfolgen. Öffnen Sie ein Terminal, und führen Sie die folgenden Befehle aus:

• 11: Bullseye (arm32v7):

  curl https://packages.microsoft.com/config/debian/11/packages-microsoft-prod.deb > ./packages-microsoft-prod.deb
  sudo apt install ./packages-microsoft-prod.deb
  

Tipp

Wenn Sie dem „Root“-Konto während der Betriebssysteminstallation ein Kennwort zugewiesen haben, benötigen Sie „sudo“ nicht und können den vorstehenden Befehl ausführen, indem Sie mit „apt“ beginnen.

Red Hat Enterprise Linux

Die Installation kann mit einigen wenigen Befehlen erledigt werden. Öffnen Sie ein Terminal, und führen Sie die folgenden Befehle aus:

• 9.x (amd64):

    wget https://packages.microsoft.com/config/rhel/9.0/packages-microsoft-prod.rpm -O packages-microsoft-prod.rpm
    sudo yum localinstall packages-microsoft-prod.rpm
    rm packages-microsoft-prod.rpm
  

• 8.x (amd64):

    wget https://packages.microsoft.com/config/rhel/8/packages-microsoft-prod.rpm -O packages-microsoft-prod.rpm
    sudo yum localinstall packages-microsoft-prod.rpm
    rm packages-microsoft-prod.rpm
  

Ubuntu Core Snaps

Sie installieren die IoT Edge-Runtime aus dem Snap Store in einem späteren Schritt. Sie können nun mit folgendem Artikel fortfahren:

Weitere Informationen zu den Betriebssystemversionen finden Sie unter Unterstützte Plattformen für Azure IoT Edge.

Hinweis

Für Azure IoT Edge-Softwarepakete gelten die in jedem Paket (im Verzeichnis usr/share/doc/{package-name} oder LICENSE) enthaltenen Lizenzbedingungen. Lesen Sie die Lizenzbedingungen, bevor Sie ein Paket verwenden. Durch Ihre Installation und Verwendung eines Pakets erklären Sie Ihre Zustimmung zu diesen Bedingungen. Wenn Sie den Lizenzbedingungen nicht zustimmen, verwenden Sie das Paket nicht.

Installieren einer Containerengine

Azure IoT Edge basiert auf einer OCI-kompatiblen Containerruntime. Für Produktionsszenarien empfehlen wir die Verwendung der Moby-Engine. Die Moby-Engine ist die einzige Container-Engine, die offiziell von IoT Edge unterstützt wird. Docker CE/EE-Containerimages sind mit der Moby-Runtime kompatibel.

Ubuntu

Installieren Sie die Moby-Engine.

sudo apt-get update; \
  sudo apt-get install moby-engine

Debian

Installieren Sie die Moby-Engine.

sudo apt-get update; \
  sudo apt-get install moby-engine

Red Hat Enterprise Linux

Installieren Sie die Moby-Engine und -CLI.

sudo yum install moby-engine moby-cli

Tipp

Wenn beim Installieren der Moby-Container-Engine Fehler angezeigt werden, überprüfen Sie Ihren Linux-Kernel auf Moby-Kompatibilität. Einige Hersteller von eingebetteten Geräten stellen Geräteimages mit benutzerdefinierten Linux-Kernels bereit, denen die Funktionen für die Containerengine-Kompatibilität fehlen. Führen Sie den folgenden Befehl aus, der das von Moby bereitgestellte check-config-Skript verwendet, um die Kernelkonfiguration zu überprüfen:

curl -ssl https://raw.githubusercontent.com/moby/moby/master/contrib/check-config.sh -o check-config.sh
chmod +x check-config.sh
./check-config.sh

Überprüfen Sie in der Ausgabe des Skripts, ob alle Elemente unter Generally Necessary und Network Drivers aktiviert sind. Wenn Funktionen fehlen, aktivieren Sie diese, indem Sie Ihren Kernel aus der Quelle neu erstellen und die zugehörigen Module auswählen, die in die entsprechende Konfigurationsdatei für den Kernel eingebunden werden sollen. Gleiches gilt, wenn Sie einen Kernelkonfigurationsgenerator wie defconfig oder menuconfig verwenden: Suchen und aktivieren Sie die entsprechenden Funktionen, und erstellen Sie dann den Kernel dementsprechend neu. Sobald Sie Ihren neu bearbeiteten Kernel bereitgestellt haben, führen Sie das check-config-Skript erneut aus, um zu überprüfen, ob alle erforderlichen Funktionen erfolgreich aktiviert wurden.

Ubuntu Core Snaps

IoT Edge verfügt über Abhängigkeiten von Docker und IoT Identity Service. Installieren Sie die Abhängigkeiten mithilfe der folgenden Befehle:

sudo snap install docker
sudo snap install azure-iot-identity

Standardmäßig legt das Containermodul keine Grenzwerte für die Größe des Containerprotokolls fest. Im Laufe der Zeit kann dies dazu führen, dass das Gerät mit Protokollen überfüllt wird und auf dem Datenträger nicht genügend Speicherplatz zur Verfügung steht. Sie können Ihr Protokoll jedoch so konfigurieren, dass es lokal angezeigt wird, allerdings ist dies optional. Weitere Informationen zur Protokollierungskonfiguration finden Sie in der Prüfliste zur Produktionsbereitstellung.

Die folgenden Schritte zeigen Ihnen, wie Sie Ihren Container so konfigurieren, dass der Protokollierungstreiber local als Protokollierungsmechanismus verwendet wird.

Ubuntu / Debian / RHEL

1. Erstellen oder Bearbeiten der Konfigurationsdatei des vorhandenen Docker-Daemons

   sudo nano /etc/docker/daemon.json
   

2. Legen Sie den Standardprotokollierungstreiber auf den Protokollierungstreiber local fest, wie im folgenden Beispiel gezeigt.

      {
         "log-driver": "local"
      }
   

3. Starten Sie die Container-Engine neu, damit die Änderungen wirksam werden.

   sudo systemctl restart docker
   

Ubuntu Core Snaps

Derzeit wird die Einstellung des lokalen Protokollierungstreibers für das Docker-Snap nicht unterstützt.

Installieren der IoT Edge-Runtime

Der IoT Edge-Dienst stellt Sicherheitsstandards auf dem IoT Edge-Gerät bereit und sorgt für deren Einhaltung. Der Dienst wird bei jedem Start gestartet und führt durch Starten der restlichen IoT Edge-Runtime einen Bootstrap für das Gerät aus.

Hinweis

Ab Version 1.2 übernimmt der IoT-Identitätsdienst die Identitätsbereitstellung und -verwaltung für IoT Edge und für andere Gerätekomponenten, die mit IoT Hub kommunizieren müssen.

Die Schritte in diesem Abschnitt stellen den typischen Prozess zur Installation der neuesten IoT Edge-Version auf einem Gerät mit Internetverbindung dar. Wenn Sie eine bestimmte Version, z. B eine Vorabversion, installieren oder eine Offlineinstallation durchführen müssen, führen Sie die Schritte unter Offlineinstallation oder Installation einer bestimmten Version weiter unten in diesem Artikel aus.

Tipp

Wenn Sie bereits ein IoT Edge-Gerät haben, auf dem eine ältere Version ausgeführt wird, und ein Upgrade auf die neueste Version durchführen möchten, führen Sie die Schritte unter Aktualisieren des IoT Edge-Sicherheitsdaemons und der Runtime aus. Neuere Versionen unterscheiden sich ausreichend von früheren IoT Edge-Versionen, sodass bestimmte Schritte für das Upgrade erforderlich sind.

Ubuntu

Installieren Sie die neueste Version von IoT Edge und das IoT-Identitätsdienstpaket (falls Sie nicht bereits auf dem neuesten Stand sind):

• 22.04:

  sudo apt-get update; \
     sudo apt-get install aziot-edge
  

• 20.04:

  sudo apt-get update; \
     sudo apt-get install aziot-edge defender-iot-micro-agent-edge
  

Das optionale Paket defender-iot-micro-agent-edge enthält den Microsoft Defender for IoT-Sicherheitsmikroagenten, der an den Endpunkten Einblicke in das Sicherheitsmanagement, Sicherheitslücken, die Erkennung von Bedrohungen, das Flottenmanagement und vieles mehr bietet, damit Sie Ihre IoT Edge-Geräte schützen können. Es wird empfohlen, den Micro-Agent zusammen mit dem Edge-Agent zu installieren, um die Sicherheitsüberwachung und -härtung Ihrer Edgegeräte zu ermöglichen. Weitere Informationen zu Microsoft Defender für Cloud finden Sie unter Was ist Microsoft Defender für IoT für Geräteentwickler?.

Debian

Installieren Sie die neueste Version von IoT Edge und das IoT-Identitätsdienstpaket (falls Sie nicht bereits auf dem neuesten Stand sind):

sudo apt-get update; \
  sudo apt-get install aziot-edge defender-iot-micro-agent-edge

Das optionale Paket „defender-iot-micro-agent-edge“ enthält den Microsoft Defender for IoT-Sicherheitsmikroagenten, der an den Endpunkten Einblicke in das Sicherheitsmanagement, Sicherheitslücken, die Erkennung von Bedrohungen, das Flottenmanagement und vieles mehr bietet, damit Sie Ihre IoT Edge-Geräte schützen können. Es wird empfohlen, den Micro-Agent zusammen mit dem Edge-Agent zu installieren, um die Sicherheitsüberwachung und -härtung Ihrer Edgegeräte zu ermöglichen. Weitere Informationen zu Microsoft Defender für Cloud finden Sie unter Was ist Microsoft Defender für IoT für Geräteentwickler?.

Red Hat Enterprise Linux

Installieren Sie die neueste Version von IoT Edge und das IoT-Identitätsdienstpaket (falls Sie nicht bereits auf dem neuesten Stand sind):

sudo yum install aziot-edge

Ubuntu Core Snaps

Installieren Sie IoT Edge aus dem Snap Store:

sudo snap install azure-iot-edge

Verbinden von Snaps

Standardmäßig sind Snaps abhängigkeitsfrei, nicht vertrauenswürdig und streng beschränkt. Daher müssen Snaps nach der Installation mit anderen Snaps und Systemressourcen verbunden werden. Verwenden Sie die folgenden Befehle, um den IoT Identity Service und die IoT Edge Snaps miteinander und mit den Systemressourcen zu verbinden. Beginnen Sie damit, Snaps manuell zu verbinden. Für die Produktionsbereitstellung können sie so konfiguriert werden, dass sie sich automatisch verbinden, um den Arbeitsaufwand für die Bereitstellung zu verringern.

#------------------------
#  IoT Identity Service
#------------------------

# Connect the Identity Service snap to the logging system
# and grant permission to query system info

sudo snap connect azure-iot-identity:log-observe
sudo snap connect azure-iot-identity:mount-observe
sudo snap connect azure-iot-identity:system-observe
sudo snap connect azure-iot-identity:hostname-control

# If using a TPM, enable TPM access

sudo snap connect azure-iot-identity:tpm

#------------
#  IoT Edge
#------------

# Connect to your /home directory to enable writing support bundles

sudo snap connect azure-iot-edge:home

# Connect to logging and grant permission to query system info

sudo snap connect azure-iot-edge:log-observe
sudo snap connect azure-iot-edge:mount-observe
sudo snap connect azure-iot-edge:system-observe
sudo snap connect azure-iot-edge:hostname-control
# Allow IoT Edge to connect to the /var/run/iotedge folder and use sockets

sudo snap connect azure-iot-edge:run-iotedge

# Connect IoT Edge to Docker

sudo snap connect azure-iot-edge:docker docker:docker-daemon

Bereitstellen des Geräts mit seiner Cloud-Identität

Nachdem die Container-Engine und die IoT Edge-Laufzeitumgebung auf Ihrem Gerät installiert sind, können Sie das Gerät mit seiner Cloudidentität und den Authentifizierungsinformationen einrichten.

Ubuntu / Debian / RHEL

1. Erstellen Sie die Konfigurationsdatei für Ihr Gerät basierend auf einer Vorlagendatei, die im Rahmen der IoT Edge-Installation bereitgestellt wird.

   sudo cp /etc/aziot/config.toml.edge.template /etc/aziot/config.toml
   

2. Öffnen Sie die Konfigurationsdatei auf dem IoT Edge-Gerät.

   sudo nano /etc/aziot/config.toml
   

3. Suchen Sie den Abschnitt Bereitstellung der Datei, und heben Sie die Auskommentierung der Zeilen für manuelle Bereitstellung mit dem X.509-Identitätszertifikat auf. Stellen Sie sicher, dass alle anderen Bereitstellungsabschnitte auskommentiert sind.

   # Manual provisioning with x.509 certificates
   [provisioning]
   source = "manual"
   iothub_hostname = "REQUIRED_IOTHUB_HOSTNAME"
   device_id = "REQUIRED_DEVICE_ID_PROVISIONED_IN_IOTHUB"
   
   [provisioning.authentication]
   method = "x509"
   
   identity_cert = "REQUIRED_URI_OR_POINTER_TO_DEVICE_IDENTITY_CERTIFICATE"
   
   identity_pk = "REQUIRED_URI_TO_DEVICE_IDENTITY_PRIVATE_KEY"
   

Aktualisieren Sie die folgenden Felder:

• iothub_hostname: Hostname des IoT-Hubs, mit dem das Gerät eine Verbindung herstellt. Beispiel: {IoT hub name}.azure-devices.net.
• device_id: die ID, die Sie bei der Registrierung des Geräts angegeben haben.
• identity_cert: Dies ist der URI für ein Identitätszertifikat auf dem Gerät, z. B.: file:///path/identity_certificate.pem. Alternativ können Sie das Zertifikat mithilfe von EST oder einer lokalen Zertifizierungsstelle dynamisch ausstellen.
• identity_pk: Dies ist der URI für die Datei mit dem privaten Schlüssel für das bereitgestellte Identitätszertifikat, z. B.: file:///path/identity_key.pem. Oder geben Sie einen PKCS#11-URI an und stellen Sie dann Ihre Konfigurationsinformationen im

Abschnitt PKCS#11 weiter unten in der Konfigurationsdatei bereit.

Weitere Informationen zu Zertifikaten finden Sie unter Verwalten von IoT Edge-Zertifikaten.

Speichern und schließen Sie die Datei.

CTRL + X, Y, Enter

Nachdem Sie die Bereitstellungsinformationen in der Konfigurationsdatei eingegeben haben, übernehmen Sie Ihre Änderungen:

sudo iotedge config apply

Ubuntu Core Snaps

1. Kopieren Sie die Identitätsschlüsseldatei und das Zertifikat im /var/snap/azure-iot-identity/common/provisioning-Verzeichnis. Erstellen Sie das Verzeichnis, falls es nicht vorhanden ist.

2. Erstellen Sie eine Datei config.toml in Ihrem Startverzeichnis und konfigurieren Sie Ihr IoT Edge-Gerät für die manuelle Bereitstellung mithilfe eines X.509-Identitätszertifikats.

   sudo nano ~/config.toml
   

3. Sie können manuell ein X.509-Zertifikat bereitstellen, indem Sie der Datei die folgenden Bereitstellungseinstellungen hinzufügen:

   [provisioning]
   source = "manual"
   iothub_hostname = "IOT_HUB_HOSTNAME"
   device_id = "REQUIRED_DEVICE_ID_PROVISIONED_IN_IOTHUB"
   
   [provisioning.authentication]
   
   method = "x509"
   identity_cert = "file:///var/snap/azure-iot-identity/common/provisioning/IDENTITY_CERT_FILENAME"
   identity_pk = "file:///var/snap/azure-iot-identity/common/provisioning/IDENTITY_PK_FILENAME"
   

   Aktualisieren Sie die folgenden Felder:

   • iothub_hostname: Hostname des IoT Hub, bei dem das Gerät eine Verbindung herstellt. Beispiel: example.azure-devices.net.
   • device_id: die ID, die Sie bei der Registrierung des Geräts angegeben haben.
   • identity_cert: Dies ist der URI für ein Identitätszertifikat auf dem Gerät, z. B.: file:///var/snap/azure-iot-identity/common/provisioning/identity_certificate.pem.
   • identity_pk: Dies ist der URI für die Datei mit dem privaten Schlüssel für das bereitgestellte Identitätszertifikat, z. B.: file:///var/snap/azure-iot-identity/common/provisioning/identity_key.pem.

   Weitere Informationen zur Bereitstellung von Konfigurationseinstellungen finden Sie unter Konfigurieren von IoT Edge-Geräteeinstellungen.

4. Speichern und schließen Sie die Datei.

   CTRL + X, Y, Enter

5. Legen Sie die Konfiguration für IoT Edge und den Identitätsdienst mithilfe des folgenden Befehls fest:

   sudo snap set azure-iot-edge raw-config="$(cat ~/config.toml)"
   

Bereitstellen von Modulen

Um Ihre IoT Edge-Module bereitzustellen, gehen Sie im Azure-Portal zu Ihrem IoT-Hub und führen Sie dann Folgendes aus:

1. Wählen Sie im IoT Hub-Menü Geräte aus.

2. Wählen Sie Ihr Gerät aus, um seine Seite zu öffnen.

3. Wählen Sie die Schaltfläche Module festlegen aus.

4. Da wir die IoT Edge-Standardmodule (edgeAgent und edgeHub) bereitstellen möchten, brauchen wir diesem Bereich keine Module hinzuzufügen, wählen Sie also unten Überprüfen und Erstellen aus.

5. Die JSON-Bestätigung Ihrer Module wird angezeigt. Wählen Sie Erstellen aus, um die Module bereitzustellen.<

Weitere Informationen finden Sie unter Bereitstellen eines Moduls.

Überprüfen der erfolgreichen Konfiguration

Vergewissern Sie sich, dass die Runtime erfolgreich auf Ihrem IoT Edge-Gerät installiert und konfiguriert wurde.

Tipp

Sie benötigen erhöhte Rechte zum Ausführen von iotedge-Befehlen. Nachdem Sie sich bei Ihrem Computer abgemeldet und sich nach der Installation der IoT Edge-Runtime zum ersten Mal erneut angemeldet haben, werden Ihre Berechtigungen automatisch aktualisiert. Verwenden Sie bis dahin sudo vor den Befehlen.

Überprüfen Sie, ob der IoT Edge-Systemdienst ausgeführt wird.

sudo iotedge system status

Eine erfolgreiche Statusantwort ist Ok.

Sollte eine Problembehandlung für den Dienst erforderlich sein, rufen Sie die Dienstprotokolle ab.

sudo iotedge system logs

Verwenden Sie das Tool check, um die Konfiguration und den Verbindungsstatus des Geräts zu überprüfen.

sudo iotedge check

Sie können eine Reihe von Antworten erwarten, die OK (grün), Warnung (gelb) oder Fehler (rot) umfassen können. Informationen zur Problembehandlung häufig auftretender Fehler finden Sie unter Lösungen für häufige Probleme für Azure IoT Edge.

Tipp

Verwenden Sie zur Ausführung des Tools „check“ immer sudo, auch nachdem Ihre Berechtigungen aktualisiert wurden. Das Tool benötigt erhöhte Rechte für den Zugriff auf die Konfigurationsdatei, um den Konfigurationsstatus überprüfen zu können.

Hinweis

Auf einem neu bereitgestellten Gerät wird möglicherweise ein Fehler im Zusammenhang mit dem IoT Edge-Hub angezeigt:

× Produktionsbereitschaft: Das Speicherverzeichnis des Edge-Hubs wird im Hostdateisystem beibehalten – Fehler.

Der aktuelle Zustand des edgeHub-Containers konnte nicht überprüft werden.

Dieser Fehler wird auf einem neu bereitgestellten Gerät erwartet, da das IoT Edge-Hubmodul nicht ausgeführt wird. Um den Fehler zu beheben, legen Sie in IoT Hub die Module für das Gerät fest, und erstellen Sie eine Bereitstellung. Durch das Erstellen einer Bereitstellung für das Gerät werden die Module auf dem Gerät gestartet, einschließlich des IoT Edge-Hubmoduls.

Zeigen Sie alle Module an, die auf Ihrem IoT Edge-Gerät ausgeführt werden. Wenn der Dienst zum ersten Mal gestartet wird, sollte nur das Modul edgeAgent ausgeführt werden. Das Modul edgeAgent wird standardmäßig ausgeführt und unterstützt Sie beim Installieren und Starten von zusätzlichen Modulen, die Sie auf Ihrem Gerät bereitstellen.

sudo iotedge list

Wenn Sie ein neues IoT Edge-Gerät erstellen, wird der Statuscode 417 -- The device's deployment configuration is not set im Azure-Portal angezeigt. Dieser Status ist normal und bedeutet, dass das Gerät bereit ist, eine Modulbereitstellung zu empfangen.

Offlineinstallation oder Installation einer bestimmten Version (optional)

Die in diesem Abschnitt aufgeführten Schritte sind für Szenarien vorgesehen, die von den Schritten der Standardinstallation nicht abgedeckt werden. Dies kann enthalten:

• Die Offlineinstallation von IoT Edge
• Die Installation einer Release Candidate-Version

Mithilfe der in diesem Abschnitt beschriebenen Schritte können Sie eine bestimmte Version der Azure IoT Edge-Runtime installieren, die über Ihren Paket-Manager nicht zur Verfügung steht. Die Microsoft-Paketliste enthält nur eine begrenzte Reihe aktueller Versionen und deren Unterversionen. Diese Schritte sind also für diejenigen gedacht, die eine ältere Version oder eine Release Candidate-Version installieren möchten.

Wenn Sie Ubuntu Snaps verwenden, können Sie einen Snap herunterladen und offline installieren. Weitere Informationen finden Sie unter Snaps herunterladen und offline installieren.

Mithilfe von curl-Befehlen können Sie die Komponentendateien direkt aus dem IoT Edge-GitHub-Repository als Ziel verwenden.

Hinweis

Wenn auf Ihrem Gerät zurzeit IoT Edge, Version 1.1 oder älter, ausgeführt wird, deinstallieren Sie die Pakete iotedge und libiothsm-std, bevor Sie die Schritte in diesem Abschnitt ausführen. Weitere Informationen finden Sie unter Update von 1.0 oder 1.1 auf die neueste Version.

1. Navigieren Sie zu den Veröffentlichungen von Azure IoT Edge, und suchen Sie die Version, die Sie verwenden möchten.

2. Erweitern Sie den Abschnitt Assets für diese Version.

3. Jedes Release sollte neue Dateien für IoT Edge und den Identitätsdienst enthalten. Wenn Sie IoT Edge auf einem Offlinegerät installieren möchten, laden Sie diese Dateien im Voraus herunter. Alternativ können Sie diese Komponenten mit den folgenden Befehlen aktualisieren.

   1. Suchen Sie die Datei aziot-identity-service, die der Architektur Ihres IoT Edge-Geräts entspricht. Klicken Sie mit der rechten Maustaste auf den Dateilink, und kopieren Sie die Linkadresse.

   2. Verwenden Sie den kopierten Link im folgenden Befehl, um diese Version des Identitätsdiensts zu installieren:

      Ubuntu/Debian

      curl -L <identity service link> -o aziot-identity-service.deb && sudo apt-get install ./aziot-identity-service.deb
      

      Red Hat Enterprise Linux

      curl -L <identity service link> -o aziot-identity-service.rpm && sudo yum localinstall ./aziot-identity-service.rpm
      

      Ubuntu Core Snaps

      Wenn Sie Ubuntu Snaps verwenden, können Sie einen Snap herunterladen und offline installieren. Weitere Informationen finden Sie unter Snaps herunterladen und offline installieren.

   ---

   3. Suchen Sie die Datei aziot-edge, die der Architektur Ihres IoT Edge-Geräts entspricht. Klicken Sie mit der rechten Maustaste auf den Dateilink, und kopieren Sie die Linkadresse.

   4. Verwenden Sie den kopierten Link im folgenden Befehl, um diese Version von IoT Edge zu installieren.

      Ubuntu/Debian

      curl -L <iotedge link> -o aziot-edge.deb && sudo apt-get install ./aziot-edge.deb
      

      Red Hat Enterprise Linux

      curl -L <iotedge link> -o aziot-edge.rpm && sudo yum localinstall ./aziot-edge.rpm
      

      Ubuntu Core Snaps

      Wenn Sie Ubuntu Snaps verwenden, können Sie einen Snap herunterladen und offline installieren. Weitere Informationen finden Sie unter Snaps herunterladen und offline installieren.

   ---

Deinstallieren von IoT Edge

Verwenden Sie die folgenden Befehle, wenn Sie die IoT Edge-Installationen von Ihrem Gerät entfernen möchten.

Entfernen Sie die IoT Edge-Runtime.

Ubuntu/Debian

sudo apt-get autoremove --purge aziot-edge

Lassen Sie das Flag --purge weg, wenn Sie IoT Edge erneut installieren und künftig dieselben Konfigurationsinformationen verwenden möchten. Das --purge-Flag löscht alle zugeordneten IoT Edge Dateien, einschließlich Ihrer Konfigurationsdateien.

Red Hat Enterprise Linux

sudo yum remove aziot-edge

Ubuntu Core Snaps

Entfernen der IoT Edge-Runtime:

sudo snap remove azure-iot-edge

Entfernen des Azure Identity Service:

sudo snap remove azure-iot-identity

Wenn die IoT Edge-Runtime entfernt wird, werden alle von ihr erstellten Container angehalten. Auf Ihrem Gerät sind sie jedoch weiterhin vorhanden. Zeigen Sie alle Container an, um die verbliebenen zu sehen.

sudo docker ps -a

Löschen Sie die Container von Ihrem Gerät, einschließlich der zwei Laufzeitcontainer.

sudo docker rm -f <container name>

Entfernen Sie schließlich die Containerruntime von Ihrem Gerät.

Ubuntu/Debian

sudo apt-get autoremove --purge moby-engine

Red Hat Enterprise Linux

sudo yum remove moby-cli
sudo yum remove moby-engine

Ubuntu Core Snaps

sudo snap remove docker

Nächste Schritte

Sie können nun mit dem Artikel zum Bereitstellen von IoT Edge-Modulen fortfahren, um zu erfahren, wie Sie Module auf Ihrem Gerät bereitstellen.