Créer et provisionner des appareils IoT Edge à grande échelle sur Linux à l’aide de certificats X.509

S’applique à : IoT Edge 1.5 IoT Edge 1.4

Important

IoT Edge 1.5 LTS et IoT Edge 1.4 LTS sont versions prises en charge. IoT Edge 1.4 LTS est fin de vie le 12 novembre 2024. Si vous utilisez une version antérieure, consultez l’article Mettre à jour IoT Edge.

Cet article fournit des instructions complètes pour l’approvisionnement automatique d’un ou plusieurs appareils IoT Edge Linux à l’aide de certificats X.509. Les appareils Azure IoT Edge peuvent être approvisionnés automatiquement à l’aide du Service IoT Hub Device Provisioning (DPS). Si vous ne connaissez pas le processus de provisionnement automatique, consultez la vue d’ensemble du provisionnement avant de poursuivre.

Voici les tâches à effectuer :

1. Génération de certificats et de clés
2. Créez une inscription individuelle pour un seul appareil ou une inscription de groupe pour un ensemble d’appareils.
3. Installation du runtime IoT Edge et inscription de l’appareil auprès d’IoT Hub

Utiliser des certificats X.509 comme mécanisme d’attestation est un excellent moyen de mettre à l’échelle la production et de simplifier le provisionnement des appareils. Les certificats X.509 sont généralement organisés en une chaîne d’approbation de confiance. À partir d’un certificat racine auto-signé ou approuvé, chaque certificat de la chaîne signe le certificat inférieur suivant. Ce modèle crée une chaîne déléguée de confiance depuis le certificat racine jusqu’au certificat en aval final installé sur un appareil, en passant par chaque certificat intermédiaire.

Conseil

Si votre appareil a un module de sécurité matériel (HSM) tel qu’un module TPM 2.0, nous vous recommandons de stocker les clés X.509 en toute sécurité dans le HSM. Découvrez comment implémenter l’approvisionnement sans contact à grande échelle décrit dans ce blueprint avec l’exemple iotedge-tpm2cloud .

Prérequis

Ressources cloud

• Hub IoT actif
• Instance du service de provisionnement des appareils IoT Hub dans Azure, liée à votre hub IoT
  • Si vous ne disposez pas d’une instance de service Device Provisioning, vous pouvez suivre les instructions fournies dans les sections Créer un service IoT Hub Device Provisioning et Lier le hub IoT et votre service Device Provisioning du guide de démarrage rapide du service IoT Hub Device Provisioning.
  • Après avoir démarré le service Device Provisioning, copiez la valeur de Étendue de l’ID à partir de la page de présentation. Vous utilisez cette valeur lorsque vous configurez le runtime IoT Edge.

Exigences relatives aux appareils

Un appareil Linux physique ou virtuel faisant office d’appareil IoT Edge.

Générer des certificats d’identité d’appareil

Le certificat d’identité d’appareil est un certificat d’appareil en aval qui se connecte par le biais d’une chaîne de certificats de confiance au certificat d’autorité de certification X.509 supérieur. Le nom commun (CN) du certificat d’identité d’appareil doit être défini sur l’ID d’appareil que vous souhaitez que l’appareil ait dans votre hub IoT.

Les certificats d’identité d’appareil sont utilisés uniquement pour provisionner l’appareil IoT Edge et l’authentifier auprès d’Azure IoT Hub. Ils ne signent pas de certificats, contrairement aux certificats d’autorité de certification que l’appareil IoT Edge présente aux modules ou aux appareils en aval à des fins de vérification. Pour plus d’informations, consultez les détails sur l’utilisation des certificats par Azure IoT Edge.

Après avoir créé le certificat d’identité d’appareil, vous devez avoir deux fichiers : un fichier .cer ou .pem, qui contient la partie publique du certificat, et un fichier .cer ou .pem, qui comporte la clé privée du certificat. Si vous envisagez d’utiliser l’inscription de groupe dans le service Device Provisioning, vous avez également besoin de la partie publique d’un certificat d’autorité de certification racine ou intermédiaire dans la même chaîne de certificats de confiance.

Les fichiers suivants sont nécessaires pour configurer le provisionnement automatique avec X.509 :

• Le certificat d’identité d’appareil et son certificat de clé privée. Le certificat d’identité d’appareil est chargé dans DPS si vous créez une inscription individuelle. La clé privée est transmise au runtime IoT Edge.
• Un certificat de chaîne complète, qui doit comporter au moins l’identité d’appareil et les certificats intermédiaires qu’elle contient. Le certificat de chaîne complète est transmis au runtime IoT Edge.
• Un certificat d’autorité de certification racine ou intermédiaire issu de la chaîne d’approbation des certificats. Ce certificat est chargé dans DPS si vous créez une inscription de groupe.

Utiliser des certificats de test (facultatif)

Si vous n’avez pas d’autorité de certification disponible pour créer des certificats d’identité et que vous souhaitez tester ce scénario, le dépôt Git Azure IoT Edge contient des scripts que vous pouvez utiliser pour générer des certificats de test. Ces certificats, conçus uniquement pour les tests de développement, ne doivent pas être utilisés en production.

Pour créer des certificats de test, suivez les étapes décrites dans Créer des certificats de démonstration pour tester les fonctionnalités de l’appareil IoT Edge. Effectuez les deux sections nécessaires pour configurer les scripts de génération de certificat et créer un certificat d’autorité de certification racine. Ensuite, suivez les étapes permettant de créer un certificat d’identité d’appareil. Quand vous avez terminé, vous devez disposer de la chaîne de certificats et de la paire de clés suivantes :

• <WRKDIR>/certs/iot-edge-device-identity-<name>-full-chain.cert.pem
• <WRKDIR>/private/iot-edge-device-identity-<name>.key.pem

Vous avez besoin de ces deux certificats sur l’appareil IoT Edge. Si vous envisagez d’utiliser l’inscription individuelle dans DPS, vous devez charger le fichier .cert.pem. Si vous envisagez d’utiliser l’inscription de groupe dans le service Device Provisioning, la même chaîne de certificats de confiance doit également comporter un certificat d’autorité de certification racine ou intermédiaire à charger. Si vous recourez à des certificats de démonstration, utilisez le certificat <WRKDIR>/certs/azure-iot-test-only.root.ca.cert.pem pour l’inscription de groupe.

Créer une inscription au service Device Provisioning

Utilisez vos certificats et clés générés afin de créer une inscription dans le service Device Provisioning pour un ou plusieurs appareils IoT Edge.

Si vous envisagez de provisionner un seul appareil IoT Edge, créez une inscription individuelle. Si vous avez besoin de provisionner plusieurs appareils, suivez les étapes de création d’une inscription de groupe DPS.

Lorsque vous créez une inscription auprès du service Device Provisioning, vous avez la possibilité de déclarer un État initial du jumeau d’appareil. Dans le jumeau d’appareil, vous pouvez définir des balises pour regrouper les appareils en fonction des métriques dont vous avez besoin dans votre solution, comme la région, l’environnement, l’emplacement ou le type d’appareil. Ces balises sont utilisées pour créer des déploiements automatiques.

Pour plus d’informations sur les inscriptions dans le service Device Provisioning, consultez Guide pratique pour gérer les inscriptions d’appareils.

Inscription individuelle

Créer une inscription individuelle dans le service Device Provisioning

Les inscriptions individuelles prennent la partie publique du certificat d’identité d’un appareil et la font correspondre avec le certificat sur l’appareil.

Conseil

Bien que les étapes décrites dans cet article concernent le portail Azure, vous pouvez également créer des inscriptions individuelles à l’aide d’Azure CLI. Pour plus d’informations, consultez la section relative à az iot dps enrollment. Dans la commande CLI, utilisez l’indicateur edge-enabled pour spécifier que l’inscription concerne un appareil IoT Edge.

1. Dans le Portail Azure, accédez à votre instance du service IoT Hub Device Provisioning.

2. Sous Paramètres, sélectionnez Gérer les inscriptions.

3. Sélectionnez Ajouter une inscription individuelle et suivez ces étapes pour configurer l’inscription :

   • Mécanisme : sélectionnez X.509.

   • Fichier de certificat principal .pem ou .cer : chargez le fichier public du certificat d’identité de l’appareil. Si vous avez utilisé les scripts pour générer un certificat de test, choisissez le fichier suivant :

     <WRKDIR>\certs\iot-edge-device-identity-<name>.cert.pem

   • ID d’appareil loT Hub : fournissez un ID pour votre appareil si vous le souhaitez. Vous pouvez utiliser l’ID d’appareil pour cibler un appareil individuel lors du déploiement de module. Si vous ne fournissez pas d’ID d’appareil, le nom commun (CN) dans le certificat X.509 est utilisé.

   • Appareil IoT Edge : sélectionnez True pour déclarer que l’inscription concerne un appareil IoT Edge.

   • Sélectionnez les hubs IoT auxquels cet appareil peut être attribué : choisissez le hub IoT lié auquel vous voulez connecter votre appareil. Vous pouvez choisir plusieurs hubs : l’appareil sera affecté à l’un d’entre eux en fonction de la stratégie d’allocation sélectionnée.

   • État du jumeau d’appareil initial : ajoutez une valeur d’étiquette au jumeau d’appareil si vous le souhaitez. Vous pouvez utiliser des étiquettes pour cibler des groupes d’appareils lors du déploiement automatique. Par exemple :

     {
         "tags": {
            "environment": "test"
         },
         "properties": {
            "desired": {}
         }
     }
     

4. Sélectionnez Enregistrer.

Sous Gérer les inscriptions, vous pouvez voir l’ID d’inscription pour l’inscription que vous venez de créer. Notez-le, car il peut être utilisé quand vous provisionnez votre appareil.

Maintenant qu’une inscription existe pour cet appareil, le runtime IoT Edge peut provisionner automatiquement l’appareil lors de l’installation.

Inscription de groupe

Créer une inscription de groupe dans le service Device Provisioning

Les inscriptions de groupe utilisent un certificat d’autorité de certification intermédiaire ou racine à partir de la chaîne de certificats de confiance utilisée pour générer les certificats d’identité d’appareil individuels.

Vérifier votre certificat racine

Quand vous créez un groupe d’inscriptions, vous avez la possibilité d’utiliser un certificat vérifié. Vous pouvez vérifier un certificat avec le service Device Provisioning en prouvant que vous êtes propriétaire du certificat racine. Pour plus d’informations, consultez Guide pratique pour effectuer la preuve de possession de certificats d’autorité de certification X.509.

1. Dans le Portail Azure, accédez à votre instance du service IoT Hub Device Provisioning.

2. Sélectionnez Certificats dans le menu de gauche.

3. Sélectionnez Ajouter pour ajouter un nouveau certificat.

4. Entrez un nom convivial pour votre certificat, puis accédez au fichier .cer ou .pem représentant la partie publique de votre certificat X.509.

   Si vous utilisez les certificats de démonstration, chargez le certificat <wrkdir>\certs\azure-iot-test-only.root.ca.cert.pem.

5. Sélectionnez Enregistrer.

6. Votre certificat doit maintenant être listé dans la page Certificats. Sélectionnez-le pour ouvrir les détails du certificat.

7. Sélectionnez Générer le code de vérification, puis copiez le code généré.

8. Que vous ayez fourni votre propre certificat d’autorité de certification ou utilisiez les certificats de démonstration, vous pouvez utiliser l’outil de vérification disponible dans le dépôt IoT Edge pour vérifier la preuve de possession. L’outil de vérification utilise votre certificat d’autorité de certification pour signer un nouveau certificat ayant le code de vérification fourni comme nom d’objet.

   New-CACertsVerificationCert "<verification code>"
   

9. Dans le portail Azure, dans la même page des détails du certificat, chargez le certificat de vérification qui vient d’être généré.

10. Sélectionnez Vérifier.

Créer un groupe d’inscriptions

Pour plus d’informations sur les inscriptions dans le service Device Provisioning, consultez Guide pratique pour gérer les inscriptions d’appareils.

Conseil

Bien que les étapes décrites dans cet article concernent le portail Azure, vous pouvez également créer des inscriptions de groupe à l’aide d’Azure CLI. Pour plus d’informations, consultez la section relative à az iot dps enrollment-group. Dans la commande CLI, utilisez l’indicateur edge-enabled pour spécifier que l’inscription concerne des appareils IoT Edge. Pour une inscription de groupe, tous les appareils doivent être de IoT Edge, ou aucun d’entre eux ne peut l’être.

1. Dans le Portail Azure, accédez à votre instance du service IoT Hub Device Provisioning.

2. Sous Paramètres, sélectionnez Gérer les inscriptions.

3. Sélectionnez Ajouter un groupe d’inscriptions et suivez les étapes ci-après pour configurer l’inscription :

   • Nom du groupe : fournissez un nom facile à retenir pour cette inscription de groupe.

   • Type d’attestation : sélectionnez Certificat.

   • Appareil IoT Edge : sélectionnez True. Pour une inscription de groupe, tous les appareils doivent être de IoT Edge, ou aucun d’entre eux ne peut l’être.

   • Type de certificat : sélectionnez Certificat d’autorité de certification.

   • Certificat principal : choisissez votre certificat dans la liste déroulante.

   • Sélectionnez les hubs IoT auxquels cet appareil peut être attribué : choisissez le hub IoT lié auquel vous voulez connecter votre appareil. Vous pouvez choisir plusieurs hubs : l’appareil sera affecté à l’un d’entre eux en fonction de la stratégie d’allocation sélectionnée.

   • État du jumeau d’appareil initial : ajoutez une valeur d’étiquette au jumeau d’appareil si vous le souhaitez. Vous pouvez utiliser des étiquettes pour cibler des groupes d’appareils lors du déploiement automatique. Par exemple :

     {
         "tags": {
            "environment": "test"
         },
         "properties": {
            "desired": {}
         }
     }
     

4. Sélectionnez Enregistrer.

Sous Gérer les inscriptions, vous pouvez voir l’ID d’inscription pour l’inscription que vous venez de créer. Notez-le, car il peut être utilisé quand vous provisionnez vos appareils.

Maintenant qu’il existe une inscription pour ces appareils, le runtime IoT Edge peut les provisionner automatiquement lors de l’installation.

Installer IoT Edge

Dans cette section, vous allez préparer votre machine virtuelle ou votre appareil physique Linux à IoT Edge. Ensuite, vous installez IoT Edge.

Exécutez les commandes suivantes pour ajouter le dépôt de packages, puis ajoutez la clé de signature du package Microsoft à votre liste de clés approuvées.

Important

Le 30 juin 2022, Raspberry Pi OS Stretch a été retiré de la liste de prise en charge des systèmes d’exploitation de niveau 1. Pour éviter des vulnérabilités de sécurité potentielles, mettez à jour votre système d’exploitation hôte vers Bullseye.

Ubuntu

L’installation peut se faire avec quelques commandes. Ouvrez un terminal et exécutez les commandes suivantes :

• 22.04 :

  wget https://packages.microsoft.com/config/ubuntu/22.04/packages-microsoft-prod.deb -O packages-microsoft-prod.deb
  sudo dpkg -i packages-microsoft-prod.deb
  rm packages-microsoft-prod.deb
  

• 20.04 :

  wget https://packages.microsoft.com/config/ubuntu/20.04/packages-microsoft-prod.deb -O packages-microsoft-prod.deb
  sudo dpkg -i packages-microsoft-prod.deb
  rm packages-microsoft-prod.deb
  

Debian

L’installation avec APT peut être effectuée à l’aide de quelques commandes. Ouvrez un terminal et exécutez les commandes suivantes :

• 11 - Bullseye (arm32v7) :

  curl https://packages.microsoft.com/config/debian/11/packages-microsoft-prod.deb > ./packages-microsoft-prod.deb
  sudo apt install ./packages-microsoft-prod.deb
  

Conseil

Si vous avez donné au compte « root » un mot de passe pendant l’installation du système d’exploitation, vous n’avez pas besoin de « sudo » et pouvez exécuter la commande ci-dessus en commençant par « apt ».

Red Hat Enterprise Linux

L’installation peut se faire avec quelques commandes. Ouvrez un terminal et exécutez les commandes suivantes :

• 9.x (amd64) :

    wget https://packages.microsoft.com/config/rhel/9.0/packages-microsoft-prod.rpm -O packages-microsoft-prod.rpm
    sudo yum localinstall packages-microsoft-prod.rpm
    rm packages-microsoft-prod.rpm
  

• 8.x (amd64) :

    wget https://packages.microsoft.com/config/rhel/8/packages-microsoft-prod.rpm -O packages-microsoft-prod.rpm
    sudo yum localinstall packages-microsoft-prod.rpm
    rm packages-microsoft-prod.rpm
  

Snaps Ubuntu Core

Vous installez le runtime IoT Edge à partir du Snap Store dans une étape ultérieure. Passez à la section suivante.

Pour obtenir plus d’informations sur les versions des systèmes d’exploitation, voir Plateformes prises en charge par Azure IoT Edge.

Remarque

Les packages logiciels Azure IoT Edge sont soumis aux termes du contrat de licence situés dans chaque package (usr/share/doc/{package-name} ou dans le répertoire LICENSE). Lisez les termes du contrat de licence avant d’utiliser un package. Le fait d’installer et d’utiliser un package revient à accepter ces termes. Si vous n’acceptez pas les termes du contrat de licence, n’utilisez pas le package en question.

Installer un moteur de conteneur

Azure IoT Edge s’appuie sur un runtime de conteneur compatible avec OCI. Dans les scénarios de production, nous vous recommandons d’utiliser le moteur Moby. Le moteur Moby est le seul moteur de conteneur officiellement pris en charge avec IoT Edge. Les images conteneur Docker CE/EE sont compatibles avec le runtime Moby.

Ubuntu

Installez le moteur Moby.

sudo apt-get update; \
  sudo apt-get install moby-engine

Debian

Installez le moteur Moby.

sudo apt-get update; \
  sudo apt-get install moby-engine

Red Hat Enterprise Linux

Installez le moteur Moby et l’interface CLI.

sudo yum install moby-engine moby-cli

Conseil

Si des erreurs surviennent quand vous installez le moteur de conteneur Moby, vérifiez la compatibilité de votre noyau Linux avec Moby. Certains fabricants d’appareils embarqués livrent des images d’appareils qui contiennent des noyaux Linux personnalisés sans les fonctionnalités nécessaires à la compatibilité du moteur de conteneur. Exécutez la commande suivante, qui utilise le script check-config fourni par Moby pour vérifier la configuration de votre noyau :

curl -ssl https://raw.githubusercontent.com/moby/moby/master/contrib/check-config.sh -o check-config.sh
chmod +x check-config.sh
./check-config.sh

Dans la sortie du script, vérifiez que tous les éléments sous Generally Necessary et Network Drivers sont activés. S’il vous manque des fonctionnalités, activez-les en regénérant votre noyau à partir de la source et en sélectionnant les modules associés à inclure dans le fichier .config du noyau approprié. De la même façon, si vous utilisez un générateur de configuration du noyau comme defconfig ou menuconfig, recherchez et activez les fonctionnalités respectives, et regénérez votre noyau en conséquence. Une fois que vous avez déployé votre nouveau noyau modifié, réexécutez le script check-config pour vérifier que toutes les fonctionnalités requises ont été activées avec succès.

Snaps Ubuntu Core

IoT Edge a des dépendances sur Docker et le service d’identité IoT. Installez les dépendances en utilisant les commandes suivantes :

sudo snap install docker
sudo snap install azure-iot-identity

Par défaut, le moteur de conteneur ne définit pas de limites de taille pour le journal de conteneur. Au fil du temps, cela peut amener l’appareil à se remplir de journaux et à manquer d’espace disque. Toutefois, vous pouvez configurer votre journal pour qu’il s’affiche localement, bien que ce soit facultatif. Pour en savoir plus sur la configuration de la journalisation, consultez Check-list du déploiement de production.

Les étapes suivantes vous indiquent comment configurer votre conteneur pour utiliser le pilote de journalisation local comme mécanisme de journalisation.

Ubuntu / Debian / RHEL

1. Créez ou modifiez le fichier config existant du démon Docker

   sudo nano /etc/docker/daemon.json
   

2. Définissez le pilote de journalisation par défaut sur le pilote de journalisation local, comme indiqué dans l’exemple.

      {
         "log-driver": "local"
      }
   

3. Redémarrez le moteur de conteneur pour appliquer les changements.

   sudo systemctl restart docker
   

Snaps Ubuntu Core

Actuellement, le paramètre de pilote de journalisation local n’est pas pris en charge pour le snap Docker.

Installer le runtime IoT Edge

Le service IoT Edge fournit et gère les standards de sécurité sur l’appareil IoT Edge. Le service se lance à chaque démarrage et amorce l’appareil en démarrant le reste du runtime IoT Edge.

Remarque

À partir de la version 1.2, le service d’identité IoT gère l’approvisionnement et la gestion des identités pour IoT Edge et pour d’autres composants d’appareil qui doivent communiquer avec IoT Hub.

La procédure de cette section représente le processus classique d’installation de la dernière version IoT Edge sur un appareil disposant d’une connexion Internet. Si vous devez installer une version spécifique, comme une préversion, ou si vous devez installer en mode hors connexion, suivez les étapes d’installation d’une version hors connexion ou spécifique plus loin dans cet article.

Conseil

Si vous disposez déjà d’un appareil IoT Edge exécutant une version plus ancienne et que vous souhaitez effectuer une mise à niveau vers la dernière version, suivez les étapes décrites dans Mettre à jour le runtime et le démon de sécurité IoT Edge. Les versions ultérieures sont si différente des versions précédentes d’IoT Edge que des étapes spécifiques sont nécessaires pour la mise à niveau.

Ubuntu

Installez la dernière version d’IoT Edge et le package du service d’identité IoT (si vous n’êtes pas encore à jour) :

• 22.04 :

  sudo apt-get update; \
     sudo apt-get install aziot-edge
  

• 20.04 :

  sudo apt-get update; \
     sudo apt-get install aziot-edge defender-iot-micro-agent-edge
  

Le package defender-iot-micro-agent-edge facultatif inclut le micro-agent de sécurité Microsoft Defender pour IoT qui fournit une visibilité des points de terminaison sur la gestion de la posture de sécurité, les vulnérabilités, la détection des menaces, la gestion de la flotte et bien plus encore pour vous aider à sécuriser vos appareils IoT Edge. Il est recommandé d’installer le micro-agent avec l’agent Edge pour activer la supervision et le renforcement de la sécurité de vos appareils Edge. Pour en savoir plus sur Microsoft Defender pour IoT, consultez Présentation de Microsoft Defender pour IoT pour les générateurs d’appareils.

Debian

Installez la dernière version d’IoT Edge et le package du service d’identité IoT (si vous n’êtes pas encore à jour) :

sudo apt-get update; \
  sudo apt-get install aziot-edge defender-iot-micro-agent-edge

Le package defender-iot-micro-agent-edge facultatif inclut le micro-agent de sécurité Microsoft Defender pour IoT qui fournit une visibilité des points de terminaison sur la gestion de la posture de sécurité, les vulnérabilités, la détection des menaces, la gestion de la flotte et bien plus encore pour vous aider à sécuriser vos appareils IoT Edge. Il est recommandé d’installer le micro-agent avec l’agent Edge pour activer la supervision et le renforcement de la sécurité de vos appareils Edge. Pour en savoir plus sur Microsoft Defender pour IoT, consultez Présentation de Microsoft Defender pour IoT pour les générateurs d’appareils.

Red Hat Enterprise Linux

Installez la dernière version d’IoT Edge et le package du service d’identité IoT (si vous n’êtes pas encore à jour) :

sudo yum install aziot-edge

Snaps Ubuntu Core

Installez IoT Edge à partir du Snap Store :

sudo snap install azure-iot-edge

Connecter des snaps

Par défaut, les snaps n’ont pas de dépendances, ne sont pas approuvés et sont strictement restreints. Par conséquent, les snaps doivent être connectés à d’autres snaps et à des ressources système après l’installation. Utilisez les commandes suivantes pour connecter le service d’identité IoT et les snaps IoT Edge entre eux et aux ressources système. Pour commencer, les snaps doivent être connectés manuellement. Pour les déploiements de production, ils peuvent être configurés pour se connecter automatiquement afin de réduire la charge de travail de provisionnement.

#------------------------
#  IoT Identity Service
#------------------------

# Connect the Identity Service snap to the logging system
# and grant permission to query system info

sudo snap connect azure-iot-identity:log-observe
sudo snap connect azure-iot-identity:mount-observe
sudo snap connect azure-iot-identity:system-observe
sudo snap connect azure-iot-identity:hostname-control

# If using a TPM, enable TPM access

sudo snap connect azure-iot-identity:tpm

#------------
#  IoT Edge
#------------

# Connect to your /home directory to enable writing support bundles

sudo snap connect azure-iot-edge:home

# Connect to logging and grant permission to query system info

sudo snap connect azure-iot-edge:log-observe
sudo snap connect azure-iot-edge:mount-observe
sudo snap connect azure-iot-edge:system-observe
sudo snap connect azure-iot-edge:hostname-control
# Allow IoT Edge to connect to the /var/run/iotedge folder and use sockets

sudo snap connect azure-iot-edge:run-iotedge

# Connect IoT Edge to Docker

sudo snap connect azure-iot-edge:docker docker:docker-daemon

Provisionnement de l’appareil avec son identité cloud

Une fois le runtime installé sur votre appareil, configurez ce dernier avec les informations qu’il utilise pour se connecter au service DPS et à IoT Hub.

Préparez les informations suivantes :

• La valeur Étendue de l’ID du service Device Provisioning. Vous pouvez récupérer cette valeur à partir de la page de présentation de votre instance du service Device Provisioning dans le portail Azure.
• Le fichier de chaîne de certificats d’identité d’appareil sur l’appareil
• Le fichier de clé d’identité d’appareil sur l’appareil

Créez un fichier de configuration pour votre appareil à partir d’un fichier de modèle fourni dans le cadre de l’installation d’IoT Edge.

Ubuntu / Debian / RHEL

sudo cp /etc/aziot/config.toml.edge.template /etc/aziot/config.toml

Ouvrez le fichier de configuration sur l’appareil IoT Edge.

sudo nano /etc/aziot/config.toml

Snaps Ubuntu Core

Si vous utilisez une installation de snap pour IoT Edge, le fichier de modèle se trouve sur /snap/azure-iot-edge/current/etc/aziot/config.toml.edge.template. Créez une copie du fichier de modèle dans votre répertoire de base et appelez-le config.toml. Par exemple :

cp /snap/azure-iot-edge/current/etc/aziot/config.toml.edge.template ~/config.toml

Ouvrez le fichier de configuration dans votre répertoire de base sur l’appareil IoT Edge.

nano ~/config.toml

1. Recherchez la section Provisioning du fichier. Supprimez les marques de commentaire des lignes pour l’approvisionnement de certificat X.509, et assurez-vous que les autres lignes d’approvisionnement sont commentées.

   # DPS provisioning with X.509 certificate
   [provisioning]
   source = "dps"
   global_endpoint = "https://global.azure-devices-provisioning.net"
   id_scope = "SCOPE_ID_HERE"
   
   # Uncomment to send a custom payload during DPS registration
   # payload = { uri = "PATH_TO_JSON_FILE" }
   
   [provisioning.attestation]
   method = "x509"
   registration_id = "REGISTRATION_ID_HERE"
   
   identity_cert = "DEVICE_IDENTITY_CERTIFICATE_HERE"
   
   identity_pk = "DEVICE_IDENTITY_PRIVATE_KEY_HERE"
   
   # auto_reprovisioning_mode = Dynamic
   

2. Mettez à jour la valeur de id_scope avec l'ID d'étendue que vous avez copié à partir de votre instance de DPS.

3. Fournissez un registration_id pour l’appareil, qui est l’ID de l’appareil dans IoT Hub. L'ID d'inscription doit correspondre au nom commun du certificat d'identité.

4. Mettez à jour les valeurs d'identity_cert et identity_pk avec les informations de votre certificat et de votre clé.

   La valeur du certificat d’identité peut être fournie sous la forme d’un URI de fichier ou être émise de manière dynamique à l’aide de l’autorité de certification EST ou locale. Supprimez les marques de commentaire d’une seule ligne, selon le format que vous choisissez d’utiliser.

   La valeur de la clé privée d’identité peut être fournie sous la forme d’un URI de fichier ou d’un URI PKCS#11. Supprimez les marques de commentaire d’une seule ligne, selon le format que vous choisissez d’utiliser.

   Si vous utilisez des URI PKCS#11, recherchez la section PKCS#11 dans le fichier config et fournissez des informations sur votre configuration de PKCS#11.

   Pour plus d’informations sur les certificats, consultez Gérer les certificats IoT Edge.

   Pour plus d’informations sur le provisionnement des paramètres de configuration, consultez Configurer les paramètres d’appareil IoT Edge.

5. Si vous le souhaitez, recherchez la section auto-reprovisioning mode du fichier. Utilisez le paramètre auto_reprovisioning_mode pour configurer le comportement de reprovisionnement de votre appareil. Dynamic : Le reprovisionnement a lieu quand l’appareil détecte qu’il a peut-être été déplacé d’un IoT Hub vers un autre IoT Hub. Il s’agit de la valeur par défaut. AlwaysOnStartup : reprovisionnez quand l’appareil est redémarré ou qu’un incident entraîne le redémarrage des démons. OnErrorOnly : Le reprovisionnement automatique de l’appareil n’est jamais déclenché. Chaque mode dispose d’une source de secours implicite de reprovisionnement d’appareil si l’appareil ne parvient pas à se connecter à IoT Hub lors du provisionnement d’identité en raison d’erreurs de connectivité. Pour plus d’informations, consultez Concepts du reprovisionnement d’appareils IoT Hub.

6. Vous pouvez supprimer les marques de commentaire du paramètre payload afin de spécifier le chemin d’accès d’un fichier JSON local. Le contenu du fichier est envoyé à DPS sous forme de données supplémentaires pendant l’inscription de l’appareil. Cela est utile pour une allocation personnalisée. Par exemple, si vous souhaitez allouer vos appareils en fonction d’un ID de modèle IoT Plug-and-Play sans intervention humaine.

7. Enregistrez le fichier et fermez-le.

Appliquez les modifications de configuration que vous avez apportées à IoT Edge.

Ubuntu / Debian / RHEL

sudo iotedge config apply

Snaps Ubuntu Core

sudo snap set azure-iot-edge raw-config="$(cat ~/config.toml)"

Vérifier la réussite de l’installation

Si le runtime a démarré correctement, vous pouvez accéder à votre IoT Hub et commencer à déployer des modules IoT Edge sur votre appareil.

Inscription individuelle

Vous pouvez vérifier que l’inscription individuelle que vous avez créée dans le service DPS a bien été utilisée. Accédez à l’instance DPS sur le Portail Azure. Ouvrez les détails de l’inscription pour l’inscription individuelle que vous avez créée. Notez que l’état de l’inscription est Affecté et que l’ID de l’appareil figure dans la liste.

Inscription de groupe

Vous pouvez vérifier que l’inscription de groupe que vous avez créée dans le service DPS a bien été utilisée. Accédez à l’instance DPS sur le Portail Azure. Ouvrez les détails de l’inscription de groupe que vous avez créée. Accédez à l’onglet Enregistrements d’inscription pour afficher tous les appareils enregistrés dans ce groupe.

Utilisez les commandes suivantes sur votre appareil pour vérifier que IoT Edge a été installé et démarré correctement.

Vérifiez l’état du service IoT Edge.

sudo iotedge system status

Consultez les journaux d’activité de service.

sudo iotedge system logs

Répertoriez les modules en cours d’exécution.

sudo iotedge list

Étapes suivantes

Le processus d’inscription DPS vous permet de définir l’ID d’appareil et les balises du jumeau d’appareil tandis que vous provisionnez le nouvel appareil. Vous pouvez utiliser ces valeurs pour cibler des appareils individuels ou des groupes d’appareils avec la gestion d’appareils automatique. En savoir plus sur Déployer et surveiller des modules IoT Edge à grande échelle à l’aide du portail Azure ou d’Azure CLI.