Freigeben über


Anleitungen für die Produktionsbereitstellung

Sicherheit und Skalierbarkeit sind eine Priorität für die Bereitstellung von Azure IoT Einsatz. In diesem Artikel werden Richtlinien beschrieben, die Sie beim Einrichten von Azure IoT Einsatz für die Produktion berücksichtigen sollten.

Entscheiden Sie, ob Sie Azure IoT Einsatz in einem Einzelknoten- oder Multiknotencluster bereitstellen, bevor Sie die entsprechende Konfiguration in Betracht ziehen. Viele der Richtlinien in diesem Artikel gelten unabhängig vom Clustertyp, aber wenn es einen Unterschied gibt, wird es speziell bezeichnet.

Plattform

Derzeit ist K3s auf Ubuntu 24.04 die einzige allgemein verfügbare Plattform für die Bereitstellung von Azure IoT Einsatz in der Produktion.

Clustereinrichtung

Stellen Sie sicher, dass Ihre Hardwareeinrichtung für Ihr Szenario ausreichend ist und sie mit einer sicheren Umgebung beginnen.

Systemkonfiguration

Erstellen Sie einen Arc-fähigen K3s-Cluster, der die Systemanforderungen erfüllt.

Sicherheit

Beachten Sie die folgenden Maßnahmen, um sicherzustellen, dass das Clustersetup vor der Bereitstellung sicher ist.

Netzwerk

Wenn Sie Unternehmensfirewalls oder Proxys verwenden, fügen Sie Ihrer Zulassungsliste die Azure IoT Operations-Endpunkte hinzu.

Einblick

Stellen Sie für Produktionsbereitstellungen Observability-Ressourcen auf Ihrem Cluster bereit, bevor Sie Azure IoT Operations bereitstellen. Wir empfehlen auch das Einrichten von Prometheus-Warnungen in Azure Monitor.

Bereitstellung

Fügen Sie für eine produktionsbereite Bereitstellung die folgenden Konfigurationen während der Azure IoT Einsatz-Bereitstellung ein.

MQTT-Broker

Im Bereitstellungsassistent im Azure-Portal wird die Broker-Ressource auf der Registerkarte Konfiguration eingerichtet.

Schemaregistrierung und Speicher

Im Bereitstellungsassistenten des Azure-Portals werden die Schemaregistrierung und das erforderliche Speicherkonto auf der Registerkarte Abhängigkeitsverwaltung eingerichtet.

  • Für die Speicherkonten muss der hierarchische Namespace aktiviert sein.
  • Die verwaltete Identität der Schemaregistrierung muss über Mitwirkendeberechtigungen für das Speicherkonto verfügen.
  • Das Speicherkonto wird nur unterstützt, wenn der Zugriff auf das öffentliche Netzwerk aktiviert ist.

Beschränken Sie für Produktionsbereitstellungen den Zugriff auf das öffentliche Netzwerk des Speicherkontos, um datenverkehr nur von vertrauenswürdigen Azure-Diensten zuzulassen. Beispiel:

  1. Navigieren Sie im Azure-Portal zu dem Speicherkonto, das Ihre Schemaregistrierung verwendet.
  2. Wählen Sie im Navigationsmenü "Sicherheit + Netzwerknetzwerke>" aus.
  3. Wählen Sie für die Einstellung für den Zugriff auf öffentliche Netzwerke die Option "Aus ausgewählten virtuellen Netzwerken und IP-Adressen aktiviert" aus.
  4. Stellen Sie im Abschnitt "Ausnahmen " der Netzwerkseite sicher, dass die Option " Vertrauenswürdige Microsoft-Dienste für den Zugriff auf diese Ressourcenoption zulassen " ausgewählt ist.
  5. Wählen Sie "Speichern" aus, um die Änderungen anzuwenden.

Weitere Informationen finden Sie unter Konfigurieren von Azure Storage-Firewalls und virtuellen Netzwerken > , die Zugriff auf vertrauenswürdige Azure-Dienste gewähren.

Fehlertoleranz

Cluster mit mehreren Knoten: Fehlertoleranz kann auf der Registerkarte "Abhängigkeitsverwaltung" des Azure-Portalbereitstellungs-Assistenten aktiviert werden. Sie wird nur für Cluster mit mehreren Knoten unterstützt und wird für die Produktionsbereitstellung empfohlen.

Sichere Einstellungen

Während der Bereitstellung haben Sie die Möglichkeit, Testeinstellungen oder sichere Einstellungen zu verwenden. Wählen Sie für Produktionsbereitstellungen sichere Einstellungen aus. Wenn Sie eine vorhandene Bereitstellung von Testeinstellungen für die Produktion aktualisieren, führen Sie die Schritte unter "Sichere Einstellungen aktivieren" aus.

Nach der Bereitstellung

Nach der Bereitstellung vom Azure IoT Einsatz verfügen Sie über die folgenden Konfigurationen für ein Produktionsszenario.

MQTT-Broker

Nach der Bereitstellung können Sie BrokerListener-Ressourcen bearbeiten:

Sie können auch BrokerAuthentication-Ressourcen bearbeiten.

Wenn Sie eine neue Ressource erstellen, verwalten Sie ihre Autorisierung:

OPC UA Broker

Konfigurieren Sie die OPC UA-Authentifizierung, um eine Verbindung mit Ressourcen in der Produktion herzustellen:

  • Es wird nicht empfohlen, „no-auth.“, d h keine Authentifizierung, zu verwenden. Die Konnektivität mit OPC UA-Servern wird ohne Authentifizierung nicht unterstützt.
  • Richten Sie eine sichere Verbindung mit dem OPC UA-Server ein. Verwenden Sie eine Produktions-PKI, und konfigurieren Sie Anwendungszertifikate und Vertrauenslisten.

Datenflüsse

Bei Verwendung von Datenflüssen in der Produktion: