Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Sicherheit und Skalierbarkeit sind eine Priorität für die Bereitstellung von Azure IoT Einsatz. In diesem Artikel werden Richtlinien beschrieben, die Sie beim Einrichten von Azure IoT Einsatz für die Produktion berücksichtigen sollten.
Entscheiden Sie, ob Sie Azure IoT Einsatz in einem Einzelknoten- oder Multiknotencluster bereitstellen, bevor Sie die entsprechende Konfiguration in Betracht ziehen. Viele der Richtlinien in diesem Artikel gelten unabhängig vom Clustertyp, aber wenn es einen Unterschied gibt, wird es speziell bezeichnet.
Plattform
Derzeit ist K3s auf Ubuntu 24.04 die einzige allgemein verfügbare Plattform für die Bereitstellung von Azure IoT Einsatz in der Produktion.
Clustereinrichtung
Stellen Sie sicher, dass Ihre Hardwareeinrichtung für Ihr Szenario ausreichend ist und sie mit einer sicheren Umgebung beginnen.
Systemkonfiguration
Erstellen Sie einen Arc-fähigen K3s-Cluster, der die Systemanforderungen erfüllt.
- Verwenden Sie eine unterstützte Umgebung für Azure IoT Operations.
- Konfigurieren Sie den Cluster entsprechend der Dokumentation.
- Wenn Sie intermittierende Konnektivität für Ihren Cluster erwarten, stellen Sie sicher, dass Sie genügend Speicherplatz für die Clustercachedaten und -nachrichten zuweisen, während der Cluster offline ist.
- Wenn möglich, verfügen Sie über einen zweiten Cluster als Stagingbereich zum Testen neuer Änderungen, bevor Sie sie im primären Produktionscluster bereitstellen.
- Deaktivieren Sie autoupgrade für Azure Arc , um die vollständige Kontrolle darüber zu haben, wann neue Updates auf Ihren Cluster angewendet werden. Aktualisieren Sie stattdessen Agents nach Bedarf manuell.
- Für Cluster mit mehreren Knoten: Konfigurieren Sie Cluster mit Edge-Volumes. Dies dient der Vorbereitung auf die Aktivierung der Fehlertoleranz während der Bereitstellung.
Sicherheit
Beachten Sie die folgenden Maßnahmen, um sicherzustellen, dass das Clustersetup vor der Bereitstellung sicher ist.
- Überprüfen Sie Bilder , um sicherzustellen, dass sie von Microsoft signiert sind.
- Wenn Sie TLS-Verschlüsselung durchführen, verwenden Sie Ihren eigenen Aussteller, und integrieren Sie ihn in eine Unternehmens-PKI.
- Verwenden Sie geheime Schlüssel für die lokale Authentifizierung.
- Verwenden Sie vom Benutzer zugewiesene verwaltete Identitäten für Cloudverbindungen.
- Halten Sie die Bereitstellung Ihrer Cluster und des Azure IoT Einsatzes mit den neuesten Patches und Nebenversionen auf dem neuesten Stand, um alle verfügbaren Sicherheits- und Fehlerbehebungen zu erhalten.
Netzwerk
Wenn Sie Unternehmensfirewalls oder Proxys verwenden, fügen Sie Ihrer Zulassungsliste die Azure IoT Operations-Endpunkte hinzu.
Einblick
Stellen Sie für Produktionsbereitstellungen Observability-Ressourcen auf Ihrem Cluster bereit, bevor Sie Azure IoT Operations bereitstellen. Wir empfehlen auch das Einrichten von Prometheus-Warnungen in Azure Monitor.
Bereitstellung
Fügen Sie für eine produktionsbereite Bereitstellung die folgenden Konfigurationen während der Azure IoT Einsatz-Bereitstellung ein.
MQTT-Broker
Im Bereitstellungsassistent im Azure-Portal wird die Broker-Ressource auf der Registerkarte Konfiguration eingerichtet.
Konfigurieren Sie Kardinalitätseinstellungen basierend auf dem Speicherprofil und den Anforderungen für die Verarbeitung von Verbindungen und Nachrichten. Die folgenden Einstellungen können z. B. einen Einzelknoten- oder Multiknotencluster unterstützen:
Einstellung Einzelner Knoten Mehrere Knoten frontendReplicas 1 5 Frontend-Mitarbeiter 4 8 backendRedundancyFactor 2 2 Backend-Mitarbeiter 1 4 backpartitions 1 5 Speicherprofil Niedrig Hoch Legen Sie den Datenträger-gesicherten Nachrichtenpuffer mit einer maximalen Größe fest, die den RAM-Überlauf verhindert.
Schemaregistrierung und Speicher
Im Bereitstellungsassistenten des Azure-Portals werden die Schemaregistrierung und das erforderliche Speicherkonto auf der Registerkarte Abhängigkeitsverwaltung eingerichtet.
- Für die Speicherkonten muss der hierarchische Namespace aktiviert sein.
- Die verwaltete Identität der Schemaregistrierung muss über Mitwirkendeberechtigungen für das Speicherkonto verfügen.
- Das Speicherkonto wird nur unterstützt, wenn der Zugriff auf das öffentliche Netzwerk aktiviert ist.
Beschränken Sie für Produktionsbereitstellungen den Zugriff auf das öffentliche Netzwerk des Speicherkontos, um datenverkehr nur von vertrauenswürdigen Azure-Diensten zuzulassen. Beispiel:
- Navigieren Sie im Azure-Portal zu dem Speicherkonto, das Ihre Schemaregistrierung verwendet.
- Wählen Sie im Navigationsmenü "Sicherheit + Netzwerknetzwerke>" aus.
- Wählen Sie für die Einstellung für den Zugriff auf öffentliche Netzwerke die Option "Aus ausgewählten virtuellen Netzwerken und IP-Adressen aktiviert" aus.
- Stellen Sie im Abschnitt "Ausnahmen " der Netzwerkseite sicher, dass die Option " Vertrauenswürdige Microsoft-Dienste für den Zugriff auf diese Ressourcenoption zulassen " ausgewählt ist.
- Wählen Sie "Speichern" aus, um die Änderungen anzuwenden.
Weitere Informationen finden Sie unter Konfigurieren von Azure Storage-Firewalls und virtuellen Netzwerken > , die Zugriff auf vertrauenswürdige Azure-Dienste gewähren.
Fehlertoleranz
Cluster mit mehreren Knoten: Fehlertoleranz kann auf der Registerkarte "Abhängigkeitsverwaltung" des Azure-Portalbereitstellungs-Assistenten aktiviert werden. Sie wird nur für Cluster mit mehreren Knoten unterstützt und wird für die Produktionsbereitstellung empfohlen.
Sichere Einstellungen
Während der Bereitstellung haben Sie die Möglichkeit, Testeinstellungen oder sichere Einstellungen zu verwenden. Wählen Sie für Produktionsbereitstellungen sichere Einstellungen aus. Wenn Sie eine vorhandene Bereitstellung von Testeinstellungen für die Produktion aktualisieren, führen Sie die Schritte unter "Sichere Einstellungen aktivieren" aus.
Nach der Bereitstellung
Nach der Bereitstellung vom Azure IoT Einsatz verfügen Sie über die folgenden Konfigurationen für ein Produktionsszenario.
MQTT-Broker
Nach der Bereitstellung können Sie BrokerListener-Ressourcen bearbeiten:
Sie können auch BrokerAuthentication-Ressourcen bearbeiten.
- Verwenden Sie X.509-Zertifikate oder Kubernetes-Dienstkontotoken für die Authentifizierung.
- Es wird nicht empfohlen, „no-auth.“, d h keine Authentifizierung, zu verwenden.
Wenn Sie eine neue Ressource erstellen, verwalten Sie ihre Autorisierung:
- Erstellen Sie eine BrokerAuthorization-Ressource , und stellen Sie die geringsten Berechtigungen bereit, die für die Themenressource erforderlich sind.
OPC UA Broker
Konfigurieren Sie die OPC UA-Authentifizierung, um eine Verbindung mit Ressourcen in der Produktion herzustellen:
- Es wird nicht empfohlen, „no-auth.“, d h keine Authentifizierung, zu verwenden. Die Konnektivität mit OPC UA-Servern wird ohne Authentifizierung nicht unterstützt.
- Richten Sie eine sichere Verbindung mit dem OPC UA-Server ein. Verwenden Sie eine Produktions-PKI, und konfigurieren Sie Anwendungszertifikate und Vertrauenslisten.
Datenflüsse
Bei Verwendung von Datenflüssen in der Produktion:
- Verwenden Sie die SAT-Authentifizierung (Service Account Token) mit dem MQTT-Broker (Standard).
- Verwenden Sie immer die Authentifizierung mit verwalteten Identitäten. Verwenden Sie nach Möglichkeit die vom Benutzer zugewiesene verwaltete Identität in Datenflussendpunkten, um Flexibilität und Auditierbarkeit zu gewährleisten.
- Skalieren Sie Datenflussprofile , um den Durchsatz zu verbessern und hohe Verfügbarkeit zu haben.
- Gruppieren Sie mehrere Datenflüsse in Datenflussprofile, und passen Sie die Skalierung für jedes Profil entsprechend an.