Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Al implementar Operaciones de IoT de Azure, se instala un conjunto de servicios en un clúster de Kubernetes habilitado para Azure Arc. En este artículo se proporciona información general sobre las distintas opciones de implementación que se deben tener en cuenta para su escenario.
Entornos admitidos
Entornos de Windows admitidos
Microsoft admite las siguientes distribuciones de Kubernetes para las implementaciones de Operaciones de IoT de Azure en Windows. En la tabla siguiente se detallan sus niveles de compatibilidad y las versiones que Microsoft usa para validar las implementaciones:
| Distribución de Kubernetes | Architecture | Nivel de soporte | Versión mínima validada |
|---|---|---|---|
| AKS Edge Essentials | x86_64 | Versión preliminar pública | AksEdge-K3s-1.30.6-1.11.247.0 |
| AKS en Azure Local | x86_64 | Versión preliminar pública | Azure Stack sistema operativo HCI, versión 23H2, compilación 2411 |
- La versión validada minimum es la versión más baja de la distribución de Kubernetes que Microsoft usa para validar las implementaciones de Operaciones de IoT de Azure.
Entornos de Linux admitidos
Microsoft admite las siguientes distribuciones de Kubernetes para las implementaciones de Operaciones de IoT de Azure en entornos linux. En la tabla siguiente se enumeran sus niveles de compatibilidad y las versiones que Microsoft usa para validar las implementaciones:
| Distribución de Kubernetes | Architecture | Nivel de soporte | Versión mínima validada | Sistema operativo validado mínimo |
|---|---|---|---|---|
| K3s | x86_64 | Disponibilidad general | 1.33.6 |
Ubuntu 24.04, Red Hat Enterprise Linux (RHEL) 9.x |
| Versión de Tanzu Kubernetes (TKr) | x86_64 | Disponibilidad general | 1.28.11 | Tanzu Kubernetes Grid 2.5.2 |
| RKE2 | x86_64 | Disponibilidad general | v1.35.0+rke2r1 | Sistemas operativos |
- La versión validada minimum es la versión más baja de la distribución de Kubernetes que Microsoft usa para validar las implementaciones de Operaciones de IoT de Azure.
- La versión mínima del sistema operativo validado es la versión más baja que Microsoft utiliza para validar las implementaciones.
Nota
Los registros de uso de facturación se recopilan en cualquier entorno en el que instale Operaciones de IoT de Azure, independientemente del soporte técnico o los niveles de disponibilidad.
Para instalar Operaciones de IoT de Azure, debe tener disponibles los siguientes requisitos de hardware. Si usa un clúster de varios nodos que habilita la tolerancia a errores, escale verticalmente a la capacidad recomendada para mejorar el rendimiento.
| Especificación | Mínimo | Recomendado |
|---|---|---|
| Capacidad de memoria de hardware (RAM) | 16-GB | 32-GB |
| Memoria disponible para Operaciones de IoT de Azure (RAM) | 10-GB | Depende del uso |
| Unidad Central de Procesamiento (CPU) | 4 vCPU | 8 vCPU |
Nota
La configuración mínima es adecuada al ejecutar solo Operaciones de IoT de Azure.
Elección de las características
Operaciones de IoT de Azure ofrece dos modos de implementación. Puede optar por implementar con la configuración de prueba, un subconjunto básico de características que son más fáciles de empezar a usar para escenarios de evaluación. O bien, puede optar por implementar con la configuración segura, el conjunto de características completo.
Implementación de la configuración de prueba
Una implementación con solo la configuración de prueba tiene las siguientes características:
- No configura secretos ni funcionalidades de identidad administrada asignadas por el usuario.
- Está diseñado para habilitar el ejemplo de inicio rápido de un extremo a otro con fines de evaluación, por lo que admite el simulador de OPC PLC y se conecta a los recursos en la nube mediante la identidad administrada asignada por el sistema.
- Puede actualizarlo para usar la configuración segura.
Para obtener una experiencia de inicio rápido, use el escenario Quickstart: Ejecutar Operaciones de IoT de Azure en GitHub Codespaces con K3s. En este escenario se usa una distribución ligera de Kubernetes (K3s) y se ejecuta en GitHub Codespaces, por lo que no es necesario configurar un clúster ni instalar ninguna herramienta localmente.
Para implementar Operaciones de IoT de Azure con la configuración de prueba, siga estos artículos:
- Comience con Prepare el clúster de Kubernetes habilitado para Azure Arc para configurar y habilitar su clúster para Azure Arc.
- A continuación, siga los pasos descritos en Deploy Operaciones de IoT de Azure en un clúster de prueba.
Sugerencia
En cualquier momento, puede actualizar una instancia de Operaciones de IoT de Azure para usar la configuración segura siguiendo los pasos descritos en Configuración segura.
Implementación de la configuración segura
Una implementación con configuración segura tiene las siguientes características:
- Está diseñado para escenarios listos para producción.
- Permite secretos e identidad administrada asignada por el usuario, que son funcionalidades importantes para desarrollar un escenario listo para producción. Los secretos se usan siempre que los componentes de Operaciones de IoT de Azure se conectan a un recurso fuera del cluster, como un servidor OPC UA o un punto de conexión de flujo de datos.
Para implementar Operaciones de IoT de Azure con la configuración segura, siga estos artículos:
- Comience con Prepare el clúster de Kubernetes con Azure Arc habilitado para configurar y habilitar Azure Arc en su clúster.
- A continuación, siga los pasos descritos en Deploy Operaciones de IoT de Azure en un clúster de producción.
Al implementar Operaciones de IoT de Azure con configuraciones de seguridad en AKS, Microsoft recomienda bloquear el acceso de los pods al punto de conexión de Azure Instance Metadata Service. Para obtener información sobre cómo habilitar esta característica, consulte Bloquear el acceso del pod al punto final del Servicio de Metadatos de Instancia de Azure (IMDS).
Permisos necesarios
En la tabla siguiente se describen Operaciones de IoT de Azure tareas de implementación y administración que requieren permisos elevados. Para obtener información sobre cómo asignar roles a los usuarios, consulte Steps para asignar un rol de Azure.
| Tarea | Permiso necesario | Comentarios |
|---|---|---|
| Implementación de Operaciones de IoT de Azure | Rol de incorporación de operaciones de Azure IoT | Este rol tiene todos los permisos necesarios para leer y escribir operaciones de Azure IoT y Azure recursos del Registro de dispositivos. Este rol tiene permisos Microsoft.Authorization/roleAssignments/write. |
| Registro de proveedores de recursos | Rol Colaborador en el nivel de suscripción | Solo es necesario hacer una vez por suscripción. Debe registrar los siguientes proveedores de recursos: Microsoft.ExtendedLocation, Microsoft.SecretSyncController, Microsoft.Kubernetes, Microsoft.KubernetesConfiguration, Microsoft.IoTOperations y Microsoft.DeviceRegistry. |
| Creación de secretos en Key Vault | Rol de responsable de secretos de Key Vault en el nivel de recurso | Solo es necesario para la implementación de la configuración segura para sincronizar secretos de Azure Key Vault. |
| Crear y administrar cuentas de almacenamiento | El rol Colaborador de una cuenta de almacenamiento | Necesario para la implementación de Operaciones de IoT de Azure. |
| Creación de un grupo de recursos | Rol Colaborador del grupo de recursos | Es necesario crear un grupo de recursos donde se almacenan los recursos de Operaciones de IoT de Azure. |
| Incorporación de un clúster a Azure Arc | Clúster de Kubernetes - Rol de incorporación de Azure Arc | Los clústeres habilitados para Arc son necesarios para implementar Operaciones de IoT de Azure. |
| Administración de la implementación del puente de recursos de Azure | Rol de implementación de Azure Resource Bridge | Necesario para implementar Operaciones de IoT de Azure. |
| Proporcionar permisos para la implementación | Rol de usuario para clúster de Kubernetes habilitado por Azure Arc | Se requiere para conceder permiso de implementación al clúster de Kubernetes habilitado para Azure Arc. |
Sugerencia
Debe habilitar la sincronización de recursos en la instancia de Operaciones de IoT de Azure para usar las funcionalidades de detección automática de recursos de los servicios de Akri. Para más información, consulte ¿Qué es el descubrimiento de activos de OPC UA?
Si usa el CLI de Azure para asignar roles, use el comando az role assignment create para conceder permisos. Por ejemplo, az role assignment create --assignee sp_name --role "Role Based Access Control Administrator" --scope subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/MyResourceGroup
Si usa Azure Portal para asignar roles de administrador con privilegios a un usuario o entidad de seguridad, se le pedirá que restrinja el acceso mediante condiciones. En este escenario, seleccione la condición Permitir al usuario asignar todos los roles en la página Agregar asignación de roles .
Organización de instancias mediante sitios
Operaciones de IoT de Azure admite sitios de Azure Arc para organizar instancias. Un site es un recurso de clúster en Azure como un grupo de recursos, pero los sitios normalmente agrupan instancias por ubicación física y facilitan a los usuarios de OT localizar y administrar recursos. Un administrador de TI crea los sitios y limita su ámbito a una suscripción o grupo de recursos. A continuación, las instancias de Operaciones de IoT de Azure implementadas en un clúster habilitado para Arc se recopilan automáticamente en el sitio asociado a su suscripción o grupo de recursos.
Para obtener más información, consulte ¿Qué es Azure Arc administrador de sitios (versión preliminar)?
puntos de conexión para operaciones de Azure IoT
Si usa firewalls de empresa o servidores proxy para administrar el tráfico saliente, configure los siguientes puntos de conexión antes de implementar Operaciones de IoT de Azure.
Puntos de conexión en los Puntos de conexión de Kubernetes habilitados para Azure Arc.
Nota
Si usa Azure Arc Gateway para conectar el clúster a Arc, puede configurar un conjunto más pequeño de puntos de conexión basados en la guía de puerta de enlace de Arc.
Puntos de conexión en CLI de Azure.
graph.windows.net,*.azurecr.io,*.blob.core.windows.nety*.vault.azure.netson necesarios de esta lista de puntos de conexión.Para enviar datos a la nube, habilite los siguientes puntos de conexión en función de la plataforma de datos que elija.
- Microsoft Fabric OneLake: Agrega direcciones URL de Fabric a la lista de permitidos.
- Event Hubs: Solucionar problemas de conectividad - Azure Event Hubs.
- Event Grid: Solucionar problemas de conectividad con Azure Event Grid.
- Azure Data Lake Storage Gen 2: puntos de conexión estándar de cuenta de almacenamiento.
Operaciones de IoT de Azure usa un registro de esquema basado en la nube que requiere acceso a un contenedor de Azure Blob Storage proporcionado por el cliente. Para que el registro de esquema acceda al contenedor, el contenedor debe exponer un punto de conexión público o designar el registro de esquemas del Registro de Dispositivos de Azure (
Microsoft.DeviceRegistry/schemaRegistries) como un servicio de confianza de Azure (). Esto no afecta a ninguna configuración de firewall o proxy de cliente en el borde. Para más información, consulte Registro y almacenamiento de esquemas.Puntos de conexión (DNS) Descripción <customer-specific>.blob.core.windows.netAlmacenamiento para el registro de esquemas. Consulte los puntos de conexión de la cuenta de almacenamiento para identificar el subdominio específico del cliente de su punto de conexión.
Residencia de datos
Azure Resource Manager permite administrar y controlar la instancia de Operaciones de IoT de Azure en el clúster de Kubernetes desde la nube mediante el portal de Azure o CLI de Azure. Aunque debe implementar los recursos de Azure Resource Manager para Operaciones de IoT de Azure en una región admitida actualmente, puede elegir dónde residen físicamente las cargas de trabajo operativas y los datos. El tiempo de ejecución y la computación de Operaciones de IoT de Azure permanecen en su propio entorno local y bajo su control.
Esta arquitectura garantiza las siguientes características de la implementación:
- Todos los procesos operativos y las cargas de trabajo se ejecutan en su propia infraestructura local.
- Para cumplir los requisitos de residencia de datos, elija la región de Azure para cualquier recurso de procesamiento de datos o almacenamiento de datos que use la solución.
- Transferencias de datos directamente realizadas entre su infraestructura local y sus recursos de almacenamiento y procesamiento de Azure. Los datos no pasan a través de los recursos de Operaciones de IoT de Azure en la nube.
- La ubicación del Azure Resource Manager de la instancia de Operaciones de IoT de Azure es una referencia lógica para la administración y la orquestación.
- No se reubica ningún dato de producción del cliente. Algunos datos de telemetría del sistema, como las métricas y los registros, que se usan para la mejora del servicio y la identificación proactiva de problemas de infraestructura pueden fluir a la región de Azure donde se encuentran los recursos de Operaciones de IoT de Azure.
En el diagrama siguiente se muestra una implementación de ejemplo que muestra cómo mantener la soberanía de datos en la infraestructura local, mientras que, opcionalmente, usa una región de Azure diferente para el almacenamiento y el procesamiento de datos. En este ejemplo:
- Los recursos de administración de Operaciones de IoT de Azure se implementan en la región US West. Esta región es una de las regiones admitidas para Operaciones de IoT de Azure.
- Las cargas de trabajo y los datos operativos permanecen en el entorno local y perimetral bajo su control completo para garantizar la residencia de los datos y la soberanía de los datos.
- Los recursos de procesamiento y almacenamiento de datos se implementan en la región Centro de Canadá para cumplir requisitos específicos de residencia de datos regionales.
Pasos siguientes
Prepare el clúster de Kubernetes habilitado para Azure Arc para configurar y habilitar para Arc un clúster para Operaciones de IoT de Azure.