Bereitstellen von Azure IoT Einsatz in einem Produktionscluster

Hier erfahren Sie, wie Sie mithilfe des Azure-Portals Azure IoT Einsatz in einem Kubernetes-Cluster mit sicheren Einstellungen für die Produktion bereitstellen.

Wenn Sie eine Testinstanz von Azure IoT Einsatz in einem Cluster bereitgestellt haben und denselben Cluster für Produktionsszenarien verwenden möchten, führen Sie die Schritte unter Aktivieren sicherer Einstellungen in einer vorhandenen Azure IoT Einsatz-Instanz aus.

Bevor Sie anfangen

In diesem Artikel werden Azure IoT Einsatz--Bereitstellungen und -Instanzen erläutert, bei denen es sich um zwei verschiedene Konzepte handelt:

• Eine Azure IoT Einsatz-Bereitstellung beschreibt alle Komponenten und Ressourcen, die das Azure IoT Einsatz-Szenario ermöglichen. Zu diesen Komponenten und Ressourcen gehören:

  • Eine Azure IoT Einsatz-Instanz
  • Arc-Erweiterungen
  • Benutzerdefinierte Standorte
  • Ressourcen, die Sie in Ihrer Azure IoT Einsatz-Lösung konfigurieren können, z. B. Ressourcen und Geräte.

• Eine Azure IoT Einsatz-Instanz ist die übergeordnete Ressource, die die Suite von Diensten bündelt, die in Was ist Azure IoT Einsatz? definiert werden, wie MQTT-Broker, Datenflüsse und Connector für OPC UA.

Wenn von der Bereitstellung von Azure IoT Einsatz die Rede ist, sind alle Komponenten gemeint, die eine Bereitstellung ausmachen. Sobald die Bereitstellung vorhanden ist, können Sie die Instanz anzeigen, verwalten und aktualisieren.

Voraussetzungen

Cloudressourcen:

• Ein Azure-Abonnement.

• Zugriffsberechtigungen in Azure. Weitere Informationen finden Sie unter Bereitstellungsdetails > Erforderliche Berechtigungen.

Entwicklungsressourcen:

• Auf Ihrem Entwicklungscomputer installierte Azure-Befehlszeilenschnittstelle. Für dieses Szenario ist mindestens Version 2.53.0 der Azure CLI erforderlich. Verwenden Sie az --version, um Ihre Version zu überprüfen. Bei Bedarf können Sie sie mithilfe von az upgrade aktualisieren. Weitere Informationen finden Sie unter Installieren der Azure CLI.

Ein Clusterhost:

• Ein Azure Arc-fähiger Kubernetes-Cluster mit aktivierten benutzerdefinierten Standort- und Workloadidentitätsfeatures. Wenn Sie noch nicht über einen verfügen, führen Sie die Schritte in Vorbereiten Ihres Azure Arc-fähigen Kubernetes-Clusters aus.

  Wenn Sie Azure IoT Einsatz bereits in Ihrem Cluster bereitgestellt haben, deinstallieren Sie diese Ressourcen, bevor Sie fortfahren. Weitere Informationen finden Sie unter Aktualisieren von Azure IoT Einsatz.

• (Empfohlen:) Konfigurieren Sie Ihren eigenen Zertifizierungsstellenherausgeber vor der Bereitstellung von Azure IoT Einsatz: Nutzen Ihres eigenen Zertifikatausstellers.

Bereitstellen im Azure-Portal

Die Bereitstellungsoberfläche des Azure-Portals ist ein Hilfstool, das einen Bereitstellungsbefehl basierend auf Ihren Ressourcen und der Konfiguration generiert. Der letzte Schritt besteht darin, einen Azure CLI-Befehl auszuführen, daher benötigen Sie weiterhin die im vorherigen Abschnitt beschriebenen Azure CLI-Voraussetzungen.

1. Melden Sie sich beim Azure-Portal an.

2. Suchen Sie im Azure-Portal nach Azure IoT Einsatz, und wählen Sie diese Option aus.

3. Klicken Sie auf Erstellen.

4. Geben Sie auf der Registerkarte Grundeinstellungen die folgenden Informationen an:

   Parameter	Wert
   Abonnement	Wählen Sie das Abonnement aus, das Ihren Arc-fähigen Cluster enthält.
   Ressourcengruppe	Wählen Sie die Ressourcengruppe aus, die Ihren Arc-fähigen Cluster enthält.
   Clustername	Wählen Sie den Cluster aus, in dem Azure IoT Einsatz bereitgestellt werden soll.
   Name des benutzerdefinierten Standorts	Optional: Ersetzen Sie den Standardnamen für den benutzerdefinierten Speicherort.
   Bereitstellungsversion	Wählen Sie 1.2 (neueste) Version aus. Weitere Informationen finden Sie unter IoT Einsatz-Versionen.

5. Klicken Sie auf Weiter: Konfiguration.

6. Geben Sie auf der Registerkarte Konfiguration die folgenden Informationen an:

   Parameter	Wert
   Azure IoT Einsatz-Name	Optional: Ersetzen Sie den Standardnamen für die Azure IoT Einsatz-Instanz.
   MQTT-Brokerkonfiguration	Optional: Bearbeiten Sie die Standardeinstellungen für den MQTT-Broker. Im Azure-Portal ist es möglich, Kardinalitäts- und Speicherprofileinstellungen zu konfigurieren. Informationen zum Konfigurieren anderer Einstellungen, einschließlich datenträgergestützter Nachrichtenpuffer und erweiterter MQTT-Clientoptionen, finden Sie unter Azure CLI-Unterstützung für die erweiterte MQTT-Brokerkonfiguration.
   Konfiguration des Datenflussprofils	Optional: Bearbeiten Sie die Standardeinstellungen für Datenflüsse. Weitere Informationen finden Sie unter Konfigurieren des Datenflussprofils.

   

7. Wählen Sie Weiter: Abhängigkeitsverwaltung aus.

8. Wählen Sie auf der Registerkarte Abhängigkeitsverwaltung eine vorhandene Schemaregistrierung aus, oder führen Sie die folgenden Schritte aus, um eine zu erstellen:

   1. Wählen Sie Neu erstellen aus.

   2. Geben Sie einen Schemaregistrierungsnamen und einen Schemaregistrierungs-Namespace an.

   3. Wählen Sie Azure-Speichercontainer auswählen aus.

   4. Wählen Sie ein Speicherkonto aus der Liste der hierarchischen namespacefähigen Konten aus, oder wählen Sie Erstellen aus, um ein Konto zu erstellen.

      Für die Schemaregistrierung ist ein Azure Storage-Konto mit hierarchischem Namespace und aktiviertem Zugriff auf öffentliche Netzwerke erforderlich. Wählen Sie beim Erstellen eines neuen Speicherkontos den Speicherkontotyp Allgemeines Speicherkontos v2 aus, und legen Sie Hierarchischer Namespace auf Aktiviert fest.

      Weitere Informationen zum Konfigurieren Ihres Speicherkontos finden Sie in den Richtlinien zur Produktionsbereitstellung.

   5. Wählen Sie einen Container in Ihrem Speicherkonto aus, oder wählen Sie Container aus, um einen zu erstellen.

   6. Wählen Sie Übernehmen aus, um die Schemaregistrierungskonfigurationen zu bestätigen.

9. Azure IoT Einsatz verwendet Namespaces zum Organisieren von Ressourcen und Geräten. Jede Azure IoT Einsatz-Instanz verwendet einen einzelnen Namespace für ihre Ressourcen und Geräte. Wählen Sie auf der Registerkarte " Abhängigkeitsverwaltung " einen vorhandenen Azure Device Registry-Namespace aus, oder führen Sie die folgenden Schritte aus, um einen zu erstellen:

   1. Wählen Sie Neu erstellen aus.

   2. Geben Sie auf der Registerkarte Grundeinstellungen die folgenden Informationen an:

      Parameter	Wert
      Abonnement	Wählen Sie Ihr Abonnement aus.
      Ressourcengruppe	Wählen Sie die Ressourcengruppe aus, die Ihre Azure IoT Operations-Instanz enthält.
      Name	Geben Sie einen eindeutigen Namen für Ihren Namespace an.
      Region	Wählen Sie die Azure-Region aus, um Ihren Namespace zu speichern.

      Klicken Sie auf Weiter, um fortzufahren.

   3. Auf der Registerkarte "Kategorien " können Sie Ihrem Namespace optional Tags hinzufügen. Klicken Sie auf Weiter, um fortzufahren.

   4. Überprüfen Sie auf der Registerkarte " Überprüfen + Erstellen " Ihre Konfigurationen, und wählen Sie "Erstellen" aus, um den Namespace zu erstellen.

   5. Wählen Sie wieder auf der Registerkarte " Abhängigkeitsverwaltung " den neu erstellten Namespace aus der Liste aus.

10. Wählen Sie auf der Registerkarte Abhängigkeitsverwaltung die Bereitstellungsoption Sichere Einstellungen aus.

    

11. Geben Sie im Abschnitt Bereitstellungsoptionen die folgenden Informationen an:

    Parameter	Wert
    Abonnement	Wählen Sie das Abonnement mit Ihrer Azure Key Vault-Instanz aus.
    Azure Key Vault	Wählen Sie eine Azure Key Vault-Instanz oder Neu erstellen aus. Stellen Sie sicher, dass Ihr Schlüsseltresor über rollenbasierte Zugriffssteuerung von Azure als Berechtigungsmodell verfügt. Um diese Einstellung zu überprüfen, wählen Sie Ausgewählten Tresor verwalten>Einstellungen>Zugriffskonfiguration aus. Stellen Sie sicher, dass Sie Ihrem Benutzendenkonto Berechtigungen zum Verwalten von geheimen Schlüsseln erteilen, indem Sie die Rolle „Key Vault Secrets Officer“ verwenden.
    Benutzendenseitig zugewiesene verwaltete Identität für Geheimnisse	Wählen Sie eine Identität aus, oder wählen Sie Neu erstellen aus.
    Benutzerseitig zugewiesene verwaltete Identität für AIO-Komponenten	Wählen Sie eine Identität aus, oder wählen Sie Neu erstellen aus. Verwenden Sie nicht dieselbe verwaltete Identität wie diejenige, die Sie für Geheimnisse ausgewählt haben.

    

12. Wählen Sie Weiter: Automatisierung aus.

Ausführen von Azure-CLI-Befehlen

Der letzte Schritt bei der Azure-Portalbereitstellung besteht darin, eine Reihe von Azure CLI-Befehlen auszuführen, um Azure IoT Einsatz in Ihrem Cluster bereitzustellen. Die Befehle werden basierend auf den Informationen generiert, die Sie in den vorherigen Schritten angegeben haben.

Führen Sie die einzelnen Azure CLI-Befehle auf der Registerkarte Automatisierung in einem Terminal aus:

1. Melden Sie sich interaktiv mit einem Browser bei der Azure CLI an, auch wenn Sie sich bereits zuvor angemeldet haben. Wenn Sie sich nicht interaktiv anmelden, wird möglicherweise eine Fehlermeldung angezeigt, die besagt: Ihr Gerät muss für den Zugriff auf Ihre Ressource verwaltet werden, wenn Sie mit dem nächsten Schritt zur Bereitstellung von Azure IoT Einsatz fortfahren.

   az login
   

2. Installieren Sie die aktuelle CLI-Erweiterung von Azure IoT Einsatz.

   az upgrade
   az extension add --upgrade --name azure-iot-ops
   

3. Kopieren Sie den angegebenen Befehl az iot ops schema registry create, und führen Sie ihn aus, um eine Schemaregistrierung zu erstellen, die von Azure IoT Einsatz-Komponenten verwendet werden. Wenn Sie sich für die Verwendung einer vorhandenen Schemaregistrierung entschieden haben, wird dieser Befehl auf der Registerkarte Automatisierung nicht angezeigt.

   Hinweis

   Dieser Befehl erfordert, dass Sie über Schreibberechtigungen für Rollenzuweisungen verfügen, da ihm eine Rolle zugewiesen wird, um Schemaregistrierungszugriff auf das Speicherkonto zu gewähren. Standardmäßig handelt es sich dabei um die integrierte Rolle Storage Blob Data Contributor. Sie können aber auch eine benutzerdefinierte Rolle mit eingeschränkten Berechtigungen erstellen, die Sie stattdessen zuweisen möchten. Weitere Informationen finden Sie unter az iot ops schema registry create.

4. Um den Cluster für die Bereitstellung von Azure IoT Einsatz vorzubereiten, kopieren Sie den bereitgestellten Befehl az iot ops init, und führen Sie ihn aus.

   Tipp

   Der Befehl init muss nur einmal pro Cluster ausgeführt werden. Wenn Sie einen Cluster wiederverwenden, für den Azure IoT Einsatz Version 0.8.0 bereits bereitgestellt wurde, können Sie diesen Schritt überspringen.

   Die Ausführung dieses Befehls kann mehrere Minuten dauern. Sie können den Fortschritt in der Bereitstellungsstatusanzeige im Terminal überwachen.

5. Stellen Sie Azure IoT Einsatz bereit. Kopieren Sie den bereitgestellten Befehl az iot ops create, und führen Sie ihn aus. Die Ausführung dieses Befehls kann mehrere Minuten dauern. Sie können den Fortschritt in der Bereitstellungsstatusanzeige im Terminal überwachen.

   Wenn Sie die optionalen Vorbereitungsschritte zum Einrichten Ihres eigenen ZS-Ausstellers durchgeführt haben, fügen Sie im Befehl --trust-settings die Parameter create hinzu:

   --trust-settings configMapName=<CONFIGMAP_NAME> configMapKey=<CONFIGMAP_KEY_WITH_PUBLICKEY_VALUE> issuerKind=<CLUSTERISSUER_OR_ISSUER> issuerName=<ISSUER_NAME>
   

6. Aktivieren Sie die Geheimnissynchronisierung für die bereitgestellte Azure IoT Einsatz-Instanz. Kopieren Sie den bereitgestellten Befehl az iot ops secretsync enable, und führen Sie ihn aus. Dieser Befehl:

   • Erstellt Anmeldeinformationen einer Verbundidentität mithilfe der benutzendenseitig zugewiesenen verwalteten Identität.
   • Fügt der benutzerseitig zugewiesenen verwalteten Identität eine Rollenzuweisung für den Zugriff auf Azure Key Vault hinzu.
   • Fügt eine minimale Geheimnisanbieterklasse hinzu, die der Azure IoT Einsatz-Instanz zugeordnet ist.

7. Weisen Sie der bereitgestellten Azure IoT Einsatz-Instanz eine benutzendenseitig zugewiesene verwaltete Identität zu. Kopieren Sie den bereitgestellten Befehl az iot ops identity assign, und führen Sie ihn aus. Mit diesem Befehl werden Anmeldeinformationen einer Verbundidentität mithilfe des OIDC-Ausstellers des angegebenen verbundenen Clusters und des Azure IoT Einsatz-Dienstkontos erstellt.

8. Starten Sie die Schemaregistrierungspods neu, um die neue Identität anzuwenden.

   kubectl delete pods adr-schema-registry-0 adr-schema-registry-1 -n azure-iot-operations
   

9. Sobald alle Azure CLI-Befehle erfolgreich abgeschlossen wurden, können Sie den Assistenten zum Installieren von Azure IoT Einsatz schließen.

Sobald der Befehl create erfolgreich abgeschlossen wird, verfügen Sie über eine funktionierende Azure IoT Einsatz-Instanz, die auf Ihrem Cluster ausgeführt wird. An diesem Punkt ist Ihre Instanz für Produktionsszenarien konfiguriert.

Überprüfen der Bereitstellung

Nach Abschluss der Bereitstellung können Sie az iot ops check verwenden, um die Bereitstellung des IoT Einsatz-Diensts hinsichtlich Integrität, Konfiguration und Nutzbarkeit zu bewerten. Der check Befehl kann Ihnen helfen, Probleme in Ihrer Bereitstellung und Konfiguration zu finden.

az iot ops check

Der Befehl check zeigt eine Warnung zu fehlenden Datenflüssen an. Diese ist normal und erwartbar, bis Sie einen Datenfluss erstellen. Weitere Informationen finden Sie unter Verarbeiten und Weiterleiten von Daten mit Datenflüssen.

Sie können die Konfigurationen von Themenzuordnungen, QoS und Nachrichtenrouten überprüfen, indem Sie im Befehl --detail-level 2 den Parameter check für eine ausführliche Ansicht hinzufügen.

Sie können alle Versionen der CLI-Erweiterung für Azure IoT Einsatz anzeigen, die verfügbar sind, indem Sie den folgenden Befehl ausführen:

az iot ops get-versions

Nächste Schritte

• Wenn Ihre Komponenten eine Verbindung zu Azure-Endpunkten wie SQL oder Fabric herstellen müssen, erfahren Sie mehr unter Verwaltung von Geheimnissen für Ihren Azure IoT-Einsatz.
• Informationen zum Upgrade Ihrer Azure IoT Einsatz-Bereitstellung auf eine neuere Version finden Sie unter Upgrade von Azure IoT Einsatz.