Detalles de implementación
Importante
Versión preliminar de operaciones de Azure IoT: habilitada por Azure Arc está actualmente en versión preliminar. No se debería usar este software en versión preliminar en entornos de producción.
Deberá implementar una nueva instalación de Azure IoT Operations cuando esté disponible una versión general. No podrá actualizar una instalación de versión preliminar.
Consulte Términos de uso complementarios para las versiones preliminares de Microsoft Azure para conocer los términos legales que se aplican a las características de Azure que se encuentran en la versión beta, en versión preliminar o que todavía no se han publicado para que estén disponibles con carácter general.
Entornos admitidos
Operaciones de IoT de Azure debe funcionar en cualquier clúster de Kubernetes habilitado para Arc que cumpla los requisitos del sistema de Kubernetes habilitado para Azure Arc. Actualmente, Operaciones de IoT de Azure no admite arquitecturas Arm64.
Microsoft admite Azure Kubernetes Service (AKS) Edge Essentials para implementaciones en Windows y K3s para implementaciones en Ubuntu. Para obtener una lista de combinaciones de hardware y software específicas que se han probado y validado, consulte Entornos validados.
Elección de las características
Operaciones de IoT de Azure ofrece dos modos de implementación. Puede optar por implementar con la configuración de prueba, un subconjunto básico de características que son más fáciles de empezar a usar para escenarios de evaluación. O bien, puede optar por implementar con la configuración segura, el conjunto de características completo.
Implementación de la configuración de prueba
Una implementación solo con la configuración de prueba habilitada:
- No configura secretos ni funcionalidades de identidades administradas asignadas por el usuario.
- Está diseñada para habilitar el ejemplo de inicio rápido de un extremo a otro con fines de evaluación, por lo que admite el simulador de OPC PLC y se conecta a los recursos en la nube mediante la identidad administrada asignada por el sistema.
- Se puede actualizar para usar la configuración segura.
Para implementar Operaciones de IoT de Azure con la configuración de prueba, puede usar los pasos que se describen en Inicio rápido: Ejecución de la versión preliminar de Operaciones de IoT de Azure en GitHub Codespaces. O bien, para implementar con la configuración de prueba en AKS Edge Essentials o K3s en Ubuntu, siga los artículos de implementación de la configuración segura y deténgase en los pasos opcionales de la configuración segura.
Si quiere actualizar la instancia de Operaciones de IoT de Azure para usar la configuración segura, siga los pasos que se describen en Habilitación de la configuración segura.
Implementación de la configuración segura
Una implementación con la configuración segura habilitada:
- Incluye los pasos para habilitar los secretos y la identidad administrada asignada por el usuario, que son funcionalidades importantes para desarrollar un escenario listo para producción. Los secretos se usan siempre que los componentes de Operaciones de IoT de Azure se conectan a un recurso fuera del clúster; por ejemplo, un servidor OPC UA o un punto de conexión de flujo de datos.
Para implementar Operaciones de IoT de Azure con la configuración segura, siga estos artículos:
- Comience con Preparación del clúster de Kubernetes habilitado para Azure Arc para configurar y habilitar el clúster para Arc.
- A continuación, consulte Implementación de la versión preliminar de Operaciones de IoT de Azure.
Permisos necesarios
En la tabla siguiente, se describen las tareas de implementación y administración de Operaciones de IoT de Azure que requieren permisos elevados. Para obtener información sobre cómo asignar roles a los usuarios, consulte Pasos para asignar un rol de Azure.
| Tarea | Permiso necesario | Comentarios |
|---|---|---|
| Implementación de Operaciones de IoT de Azure | Rol Colaborador en el nivel de suscripción. | |
| Registro de proveedores de recursos | Rol Colaborador en el nivel de suscripción. | Solo es necesario hacerlo una vez por suscripción. |
| Cree un registro de esquema. | Permisos Microsoft/Authorization/roleAssignments/write en el nivel de grupo de recursos. | |
| Creación de secretos en Key Vault | Rol Responsable de secretos de Key Vault en el nivel de recurso. | Solo es necesario para la implementación de la configuración segura. |
| Habilitación de reglas de sincronización de recursos en una instancia de Operaciones de IoT de Azure | Permisos Microsoft/Authorization/roleAssignments/write en el nivel de grupo de recursos. | Las reglas de sincronización de recursos están deshabilitadas de manera predeterminada, pero se pueden habilitar durante la creación de la instancia. |
Si usa la CLI de Azure para asignar roles, use el comando az role assignment create para conceder permisos. Por ejemplo: az role assignment create --assignee sp_name --role "Role Based Access Control Administrator" --scope subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/MyResourceGroup
Si usa Azure Portal para asignar roles de administrador con privilegios a un usuario o entidad de seguridad, se le pedirá que restrinja el acceso mediante condiciones. En este escenario, seleccione la condición Permitir al usuario asignar todos los roles en la página Agregar asignación de roles.
Componentes incluidos
Operaciones de IoT de Azure es un conjunto de servicios de datos que se ejecutan en clústeres de Kubernetes perimetral habilitado para Azure Arc. También depende de un conjunto de servicios auxiliares que también se instalan como parte de una implementación.
Servicios principales de Operaciones de IoT de Azure
- Flujos de datos
- Corredor MQTT
- Conector para OPC UA
- Akri
Dependencias instaladas
- Registro de dispositivos de Azure
- Almacenamiento de contenedores de Azure habilitado por Azure Arc
- Controlador de sincronización de secretos
Organización de las instancias mediante sitios
Operaciones de IoT de Azure admite sitios de Azure Arc para organizar las instancias. Un sitio es un recurso de clúster en Azure, como un grupo de recursos, pero los sitios normalmente agrupan instancias por ubicación física y facilitan a los usuarios de OT localizar y administrar los recursos. Un administrador de TI crea los sitios y limita su ámbito a una suscripción o grupo de recursos. A continuación, Operaciones de IoT de Azure implementado en un clúster habilitado para Arc se recopila automáticamente en el sitio asociado a su suscripción o grupo de recursos.
Para obtener más información, consulte ¿Qué es el administrador de sitios de Azure Arc (versión preliminar)?
Lista de permitidos del dominio para Operaciones de IoT de Azure
Si usa firewalls de empresa o servidores proxy para administrar el tráfico saliente, agregue los siguientes puntos de conexión a la lista de permitidos del dominio antes de implementar la versión preliminar de Operaciones de IoT de Azure.
Además, permita los puntos de conexión de Kubernetes habilitado para Arc en Requisitos de red de Azure Arc.
nw-umwatson.events.data.microsoft.com
dc.services.visualstudio.com
github.com
self.events.data.microsoft.com
mirror.enzu.com
ppa.launchpadcontent.net
msit-onelake.pbidedicated.windows.net
gcr.io
adhs.events.data.microsoft.com
gbl.his.arc.azure.cn
onegetcdn.azureedge.net
graph.windows.net
pas.windows.net
agentserviceapi.guestconfiguration.azure.com
aka.ms
api.segment.io
download.microsoft.com
raw.githubusercontent.com
go.microsoft.com
global.metrics.azure.eaglex.ic.gov
gbl.his.arc.azure.us
packages.microsoft.com
global.metrics.azure.microsoft.scloud
www.powershellgallery.com
k8s.io
guestconfiguration.azure.com
ods.opinsights.azure.com
vault.azure.net
googleapis.com
quay.io
handler.control.monitor.azure.com
pkg.dev
docker.io
prod.hot.ingestion.msftcloudes.com
docker.com
prod.microsoftmetrics.com
oms.opinsights.azure.com
azureedge.net
monitoring.azure.com
blob.core.windows.net
azurecr.io
Pasos siguientes
Preparación del clúster de Kubernetes habilitado para Azure Arc para configurar y habilitar un clúster para Arc para Operaciones de IoT de Azure.