Aktivieren sicherer Einstellungen in „Azure IoT Einsatz“

Die sicheren Einstellungen für Azure IoT Einsatz umfassen das Einrichten der Geheimnisverwaltung und einer benutzerseitig zugewiesenen verwalteten Identität für Cloudverbindungen, z. B. einen OPC UA-Server, oder Datenflussendpunkte.

Dieser Artikel enthält Anweisungen zum Aktivieren sicherer Einstellungen, wenn dies nicht bereits während der Erstbereitstellung erfolgt ist.

Voraussetzungen

• Eine Azure IoT Operations-Instanz , die mit Testeinstellungen bereitgestellt wird.

• Installation der Azure CLI auf Ihrem Entwicklungscomputer. Für diesen Fall ist mindestens die Version 2.53.0 der Azure CLI erforderlich. Verwenden Sie az --version, um Ihre Version zu überprüfen. Bei Bedarf können Sie sie mithilfe von az upgrade aktualisieren. Weitere Informationen finden Sie unter Installieren der Azure CLI.

• Die aktuelle Version der connectedk8s-Erweiterung für die Azure CLI. Verwenden Sie den folgenden Befehl, um die Erweiterung hinzuzufügen oder auf die neueste Version zu aktualisieren:

  az extension add --upgrade --name connectedk8s
  

• Die Azure IoT Einsatz-Erweiterung für die Azure CLI. Verwenden Sie den folgenden Befehl, um die Erweiterung hinzuzufügen oder auf die neueste Version zu aktualisieren:

  az extension add --upgrade --name azure-iot-ops
  

Aktivieren des Clusters für sichere Einstellungen

Um die Synchronisierung geheimer Schlüssel für Ihre Azure IoT Operations-Instanz zu aktivieren, müssen die OIDC-Aussteller - und Workloadidentitätsverbundfunktionen auf Ihrem Cluster aktiviert sein. Diese Konfiguration ist für die Azure Key Vault Secret Store-Erweiterung erforderlich, um die geheimen Schlüssel aus einem Azure Key Vault zu synchronisieren und sie als Kubernetes-Geheimnisse am Edge zu speichern.

Für Azure Kubernetes Service-Cluster (AKS) können der OIDC-Aussteller und die Workloadidentitätsfeatures nur zum Zeitpunkt der Clustererstellung aktiviert werden. Für Cluster in AKS Edge Essentials aktiviert das automatisierte Skript diese Features standardmäßig. Führen Sie für AKS-Cluster in Azure Local die Schritte zum Bereitstellen und Konfigurieren der Workloadidentität auf einem Cluster mit AKS-Aktivierung durch Azure Arc aus, um einen neuen Cluster zu erstellen, wenn Sie über keinen mit den erforderlichen Features verfügen.

Bei k3s-Clustern in Kubernetes können Sie einen vorhandenen Cluster aktualisieren. Führen Sie die folgenden Schritte aus, um diese Features zu aktivieren und zu konfigurieren:

1. Aktualisieren Sie den Cluster, um OIDC-Aussteller und Workloadidentität zu aktivieren.

   az connectedk8s update -n <CLUSTER_NAME> -g <RESOURCE_GROUP> --enable-oidc-issuer --enable-workload-identity
   

   Wenn Sie die Features für OIDC-Aussteller und Workloadidentität bei der Clustererstellung aktiviert haben, müssen Sie den vorherigen Befehl nicht erneut ausführen. Verwenden Sie den folgenden Befehl, um den Status der OIDC-Aussteller- und Workloadidentitätsfeatures für Ihren Cluster zu überprüfen:

   az connectedk8s show -g <RESOURCE_GROUP> -n <CLUSTER_NAME> --query "{ClusterName:name, OIDCIssuerEnabled:oidcIssuerProfile.enabled, WorkloadIdentityEnabled:securityProfile.workloadIdentity.enabled}"
   

2. Rufen Sie die Aussteller-URL des Clusters ab.

   az connectedk8s show -g <RESOURCE_GROUP> -n <CLUSTER_NAME> --query oidcIssuerProfile.issuerUrl --output tsv
   

   Notieren Sie sich die Ausgabe dieses Befehls, um sie in den nächsten Schritten zu verwenden.

3. Erstellen Sie die k3s-Konfigurationsdatei auf dem Computer, auf dem Sie Ihren Kubernetes-Cluster bereitgestellt haben:

   sudo nano /etc/rancher/k3s/config.yaml
   

4. Fügen Sie der Datei config.yaml den folgenden Inhalt hinzu, und ersetzen Sie den Platzhalter <SERVICE_ACCOUNT_ISSUER>durch die Aussteller-URL Ihres Clusters, die Sie zuvor notiert haben:

   kube-apiserver-arg:
   - service-account-issuer=<SERVICE_ACCOUNT_ISSUER>
   - service-account-max-token-expiration=24h
   

   Speichern Sie die Datei, und beenden Sie den Nano-Editor.

5. Starten Sie den k3s-Dienst neu:

   sudo systemctl restart k3s
   

Einrichten der Geheimnisverwaltung

Die Geheimnisseverwaltung für Azure IoT Operations verwendet die Secret Store-Erweiterung, um die Geheimnisse aus einem Azure Key Vault zu synchronisieren und sie als Kubernetes-Geheimnisse am Edge zu speichern. Die Secret Store-Erweiterung erfordert eine vom Benutzer zugewiesene verwaltete Identität mit Zugriff auf den Azure Key Vault, in dem geheime Schlüssel gespeichert werden. Weitere Informationen finden Sie unter Was sind verwaltete Identitäten für Azure-Ressourcen?.

So richten Sie die Geheimnisverwaltung ein:

1. Erstellen Sie einen Azure Key Vault , der zum Speichern von geheimen Schlüsseln verwendet wird, und erteilen Sie Ihrem Benutzerkonto Berechtigungen zum Verwalten von geheimen Schlüsseln mit der Key Vault Secrets Officer Rolle.

2. Erstellen Sie eine vom Benutzer zugewiesene verwaltete Identität für die Secret Store-Erweiterung , die für den Zugriff auf den Schlüsseltresor verwendet werden soll.

3. Verwenden Sie den Befehl az iot ops secretsync enable, um die Azure IoT Einsatz-Instanz für die Geheimnissynchronisierung einzurichten. Dieser Befehl:

   • Erstellt Anmeldeinformationen einer Verbundidentität mithilfe der benutzerseitig zugewiesenen verwalteten Identität.
   • Fügt der benutzerseitig zugewiesenen verwalteten Identität eine Rollenzuweisung für den Zugriff auf Azure Key Vault hinzu.
   • Fügt eine minimale Geheimnisanbieterklasse hinzu, die der Azure IoT Einsatz-Instanz zugeordnet ist.
   Schlagen

   # Variable block
   AIO_INSTANCE_NAME="<AIO_INSTANCE_NAME>"
   RESOURCE_GROUP="<RESOURCE_GROUP>"
   USER_ASSIGNED_MI_NAME="<USER_ASSIGNED_MI_NAME>"
   KEYVAULT_NAME="<KEYVAULT_NAME>"
   
   #Get the resource ID of the user-assigned managed identity
   USER_ASSIGNED_MI_RESOURCE_ID=$(az identity show --name $USER_ASSIGNED_MI_NAME --resource-group $RESOURCE_GROUP --query id --output tsv)
   
   #Get the resource ID of the key vault
   KEYVAULT_RESOURCE_ID=$(az keyvault show --name $KEYVAULT_NAME --resource-group $RESOURCE_GROUP --query id --output tsv)
   
   #Enable secret synchronization
   az iot ops secretsync enable --instance $AIO_INSTANCE_NAME \
                                --resource-group $RESOURCE_GROUP \
                                --mi-user-assigned $USER_ASSIGNED_MI_RESOURCE_ID \
                                --kv-resource-id $KEYVAULT_RESOURCE_ID
   

   PowerShell

   # Variable block
   $AIO_INSTANCE_NAME="<AIO_INSTANCE_NAME>"
   $RESOURCE_GROUP="<RESOURCE_GROUP>"
   $USER_ASSIGNED_MI_NAME="<USER_ASSIGNED_MI_NAME>"
   $KEYVAULT_NAME="<KEYVAULT_NAME>"
   
   # Get the resource ID of the user-assigned managed identity
   $USER_ASSIGNED_MI_RESOURCE_ID=$(az identity show --name $USER_ASSIGNED_MI_NAME --resource-group $RESOURCE_GROUP --query id --output tsv)
   
   # Get the resource ID of the key vault
   $KEYVAULT_RESOURCE_ID=$(az keyvault show --name $KEYVAULT_NAME --resource-group $RESOURCE_GROUP --query id --output tsv)
   
   # Enable secret synchronization
   az iot ops secretsync enable --instance $AIO_INSTANCE_NAME `
                                --resource-group $RESOURCE_GROUP `
                                --mi-user-assigned $USER_ASSIGNED_MI_RESOURCE_ID `
                                --kv-resource-id $KEYVAULT_RESOURCE_ID
   

Nachdem die Einrichtung der Geheimnissynchronisierung abgeschlossen ist, können Sie unterVerwalten von Geheimnissen für Ihre Bereitstellung von „Azure IoT Einsatz“ nachlesen, wie Geheimnisse mit „Azure IoT Einsatz“ verwendet werden.

Einrichten einer benutzerseitig zugewiesenen verwalteten Identität für Cloudverbindungen

Einige Azure IoT Einsatz-Komponenten, wie z. B. Datenflussendpunkte, verwenden eine benutzerseitig zugewiesene verwaltete Identität für Cloudverbindungen. Wir empfehlen, dass Sie eine andere Identität verwenden als die, die Sie zum Einrichten der Geheimnisverwaltung verwendet haben.

1. Erstellen Sie eine benutzerseitig zugewiesene verwaltete Identität, die für Cloudverbindungen verwendet wird.

   Hinweis

   Sie müssen die Identitätsberechtigung für die Cloudressource erteilen, für die Sie die verwaltete Identität verwenden möchten.

2. Verwenden Sie den Befehl az iot ops identity assign, um die Identität der Azure IoT Einsatz-Instanz zuzuweisen. Mit diesem Befehl werden außerdem Anmeldeinformationen einer Verbundidentität mithilfe des OIDC-Ausstellers des angegebenen verbundenen Clusters und des Azure IoT Einsatz-Dienstkontos erstellt.

   Schlagen

   # Variable block
   AIO_INSTANCE_NAME="<AIO_INSTANCE_NAME>"
   RESOURCE_GROUP="<RESOURCE_GROUP>"
   USER_ASSIGNED_MI_NAME="<USER_ASSIGNED_MI_NAME FOR CLOUD CONNECTIONS>"
   
   #Get the resource ID of the user-assigned managed identity
   USER_ASSIGNED_MI_RESOURCE_ID=$(az identity show --name $USER_ASSIGNED_MI_NAME --resource-group $RESOURCE_GROUP --query id --output tsv)
   
   #Assign the identity to the Azure IoT Operations instance
   az iot ops identity assign --name $AIO_INSTANCE_NAME \
                              --resource-group $RESOURCE_GROUP \
                              --mi-user-assigned $USER_ASSIGNED_MI_RESOURCE_ID
   

   PowerShell

   # Variable block
   $AIO_INSTANCE_NAME="<AIO_INSTANCE_NAME>"
   $RESOURCE_GROUP="<RESOURCE_GROUP>"
   $USER_ASSIGNED_MI_NAME="<USER_ASSIGNED_MI_NAME FOR CLOUD CONNECTIONS>"
   
   # Get the resource ID of the user-assigned managed identity
   $USER_ASSIGNED_MI_RESOURCE_ID=$(az identity show --name $USER_ASSIGNED_MI_NAME --resource-group $RESOURCE_GROUP --query id --output tsv)
   
   
   # Assign the identity to the Azure IoT Operations instance
   az iot ops identity assign --name $AIO_INSTANCE_NAME `
                              --resource-group $RESOURCE_GROUP `
                              --mi-user-assigned $USER_ASSIGNED_MI_RESOURCE_ID
   

3. Starten Sie die Schemaregistrierungs-Pods neu, um die neue Identität anzuwenden.

   kubectl delete pods adr-schema-registry-0 adr-schema-registry-1 -n azure-iot-operations
   

Sie können nun diese verwaltete Identität in Datenflussendpunkten für Cloudverbindungen verwenden.