Al implementar las Operaciones de IoT de Azure, se instala un conjunto de servicios en un clúster Kubernetes habilitado para Azure Arc. En este artículo se ofrece información general sobre las distintas opciones de implementación que puede tener en cuenta.
Entornos admitidos
Microsoft admite los siguientes entornos para las implementaciones de Operaciones de IoT de Azure.
Entorno
Versión mínima
Disponibilidad
K3s en Ubuntu 24.04
K3s versión 1.31.1
Disponibilidad general
Azure Kubernetes Service (AKS) Edge Essentials en Windows 11 IoT Enterprise
AksEdge-K3s-1.29.6-1.8.202.0
Versión preliminar pública
Azure Kubernetes Service (AKS) en Azure Local
SO de Azure Stack HCI, versión 23H2, compilación 2411
Versión preliminar pública
Nota
Los registros de uso de facturación se recopilan en cualquier entorno en el que esté instalado en las Operaciones de IoT de Azure, independientemente de los niveles de soporte o disponibilidad.
Para instalar las Operaciones de IoT de Azure, disponga de los siguientes requisitos de hardware para las Operaciones de IoT de Azure. Si utiliza un clúster multi nodo que permite la tolerancia a fallos, escale hasta la capacidad recomendada para obtener un mejor rendimiento.
Especificación
Mínimo
Recomendado
Capacidad de memoria de hardware (RAM)
16-GB
32-GB
Memoria disponible para Operaciones de IoT de Azure (RAM)
10 GB
Depende del uso
CPU
4 vCPU
8 vCPU
Elección de las características
Operaciones de IoT de Azure ofrece dos modos de implementación. Puede optar por implementar con la configuración de prueba, un subconjunto básico de características que son más fáciles de empezar a usar para escenarios de evaluación. O bien, puede optar por implementar con la configuración segura, el conjunto de características completo.
Implementación de la configuración de prueba
Una implementación con solo la configuración de prueba:
No configura secretos ni funcionalidades de identidades administradas asignadas por el usuario.
Está diseñado para habilitar el ejemplo de inicio rápido de un extremo a otro para fines de evaluación, por lo que admite el simulador de OPC PLC y se conecta a los recursos en la nube mediante la identidad administrada asignada por el sistema.
Se puede actualizar para usar la configuración segura.
En cualquier momento, puede actualizar una instancia de Azure IoT Operations para usar la configuración segura siguiendo los pasos descritos en Habilitar la configuración segura.
Implementación de la configuración segura
Una implementación con configuración segura:
Habilita secretos e identidad administrada de asignación de usuarios, ambas son funcionalidades importantes para desarrollar un escenario listo para producción. Los secretos se usan siempre que los componentes de Operaciones de IoT de Azure se conectan a un recurso fuera del clúster; por ejemplo, un servidor OPC UA o un punto de conexión de flujo de datos.
Para implementar Operaciones de IoT de Azure con la configuración segura, siga estos artículos:
En la tabla siguiente se describen las tareas de implementación y administración de Operaciones de IoT de Azure que requieren permisos elevados. Para obtener información sobre cómo asignar roles a los usuarios, consulte Pasos para asignar un rol de Azure.
Tarea
Permiso necesario
Comentarios
Implementación de Operaciones de IoT de Azure
Función de colaborador a nivel de grupo de recursos.
Solo es necesario hacerlo una vez por suscripción.
Cree un registro de esquema.
Permisos Microsoft.Authorization/roleAssignments/write en el nivel de grupo de recursos.
Creación de secretos en Key Vault
Rol Responsable de secretos de Key Vault en el nivel de recurso.
Solo es necesario para la implementación de la configuración segura.
Habilitación de reglas de sincronización de recursos en una instancia de Operaciones de IoT de Azure
Permisos Microsoft.Authorization/roleAssignments/write en el nivel de grupo de recursos.
Las reglas de sincronización de recursos están deshabilitadas de manera predeterminada, pero se pueden habilitar como parte del comando az iot ops create.
Si usa la CLI de Azure para asignar roles, use el comando az role assignment create para conceder permisos. Por ejemplo: az role assignment create --assignee sp_name --role "Role Based Access Control Administrator" --scope subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/MyResourceGroup
Si usa Azure Portal para asignar roles de administrador con privilegios a un usuario o entidad de seguridad, se le pedirá que restrinja el acceso mediante condiciones. En este escenario, seleccione la condición Permitir al usuario asignar todos los roles en la página Agregar asignación de roles.
Organización de las instancias mediante sitios
Operaciones de IoT de Azure admite sitios de Azure Arc para organizar las instancias. Un sitio es un recurso de clúster en Azure, como un grupo de recursos, pero los sitios normalmente agrupan instancias por ubicación física y facilitan a los usuarios de OT localizar y administrar los recursos. Un administrador de TI crea los sitios y limita su ámbito a una suscripción o grupo de recursos. A continuación, Operaciones de IoT de Azure implementado en un clúster habilitado para Arc se recopila automáticamente en el sitio asociado a su suscripción o grupo de recursos.
Si utiliza firewalls de empresa o proxies para administrar el tráfico saliente, configure los siguientes puntos de conexión antes de implementar las Operaciones de IoT de Azure.
Si utiliza la Puerta de enlace de Azure Arc para conectar su clúster a Arc, puede configurar un conjunto más pequeño de puntos de conexión basándose en la guía de la Puerta de enlace de Arc.
Planee y ejecute una estrategia de implementación de puntos de conexión mediante elementos esenciales de la administración moderna, los enfoques de administración conjunta y la integración de Microsoft Intune.