Créer et approvisionner un appareil IoT Edge sur Linux avec des certificats X.509

S’applique à : IoT Edge 1.5 IoT Edge 1.4

Important

IoT Edge 1.5 LTS et IoT Edge 1.4 LTS sont des versions prises en charge. IoT Edge 1.4 LTS sera en fin de vie le 12 novembre 2024. Si vous utilisez une version antérieure, consultez l’article Mettre à jour IoT Edge.

Cet article fournit des instructions de bout en bout pour l’inscription et l’approvisionnement d’un appareil IoT Edge Linux, incluant l’installation d’IoT Edge.

Chaque appareil qui se connecte à un hub IoT possède un ID d’appareil qui sert au suivi des communications cloud-à-appareil ou appareil-à-cloud. Vous configurez un appareil avec ses informations de connexion, qui comprennent le nom d’hôte du hub IoT, l’ID d’appareil ainsi que les informations que l’appareil utilise pour s’authentifier auprès d’IoT Hub.

Les étapes de cet article suivent un processus appelé approvisionnement manuel qui consiste à connecter un seul appareil à son hub IoT. Avec le provisionnement manuel, vous avez le choix entre deux méthodes d’authentification des appareils IoT Edge :

• Clés symétriques : quand vous créez une identité d’appareil dans IoT Hub, le service crée deux clés. Vous placez l’une des clés sur l’appareil, lequel présente la clé à IoT Hub au moment de l’authentification.

  Cette méthode d’authentification est plus rapide pour commencer, mais moins sûre que l’autre.

• X.509 autosigné : vous créez deux certificats d’identité X.509 que vous placez sur l’appareil. Quand vous créez une identité d’appareil dans IoT Hub, vous fournissez les empreintes numériques des deux certificats. Quand l’appareil s’authentifie auprès de IoT Hub, il présente un certificat et IoT Hub vérifie que le certificat correspond à son empreinte numérique.

  Cette méthode d’authentification étant plus sécurisée, elle est recommandée dans les scénarios de production.

Cet article traite de l’utilisation de certificats X.509 comme méthode d’authentification. Si vous souhaitez utiliser des clés symétriques, consultez Créer et provisionner un appareil IoT Edge sur Linux à l’aide de clés symétriques.

Remarque

Si vous avez de nombreux appareils à configurer et que vous ne souhaitez pas les provisionner manuellement, consultez l’un des articles suivants pour découvrir comment IoT Edge fonctionne avec le service IoT Hub Device Provisioning :

• Créer et provisionner des appareils IoT Edge à grande échelle à l’aide de certificats X.509
• Créer et approvisionner des appareils IoT Edge à grande échelle avec un module TPM
• Créer et approvisionner des appareils IoT Edge à grande échelle à l’aide de clés symétriques

Prérequis

Cet article traite de l’inscription de votre appareil IoT Edge et de l’installation d’IoT Edge sur l’appareil. Ces tâches ont des conditions préalables et différents utilitaires sont utilisés pour les accomplir. Assurez-vous que toutes les conditions préalables sont remplies avant de continuer.

Outils de gestion des appareils

Vous avez le choix d’utiliser le portail Azure, Visual Studio Code ou Azure CLI pour inscrire votre appareil. Chaque utilitaire a ses propres prérequis ou doit être installé :

Portail

Un hub IoT gratuit ou standard dans votre abonnement Azure.

Visual Studio Code

• Un hub IoT gratuit ou standard dans votre abonnement Azure
• Visual Studio Code
• Extension Azure IoT Edge. L’extension Outils Azure IoT Edge pour Visual Studio Code est en mode maintenance.
• Extension Azure IoT Hub

Azure CLI

• Un hub IoT gratuit ou standard dans votre abonnement Azure

• Azure CLI dans votre environnement

  Vous devez utiliser Azure CLI version 2.0.70 ou ultérieure. Utilisez az --version pour valider. Cette version prend en charge les commandes d’extension az et introduit l’infrastructure de commande Knack.

Exigences relatives aux appareils

Un appareil Linux x64, ARM32 ou ARM64.

Microsoft publie des packages d’installation pour divers systèmes d’exploitation.

Pour les dernières informations sur les systèmes d’exploitation actuellement pris en charge pour les scénarios de production, consultez Systèmes pris en charge par Azure IoT Edge.

Générer des certificats d’identité d’appareil

L’approvisionnement manuel avec des certificats X.509 requiert IoT Edge version 1.0.10 ou ultérieure.

Lorsque vous configurez un appareil IoT Edge avec des certificats X.509, vous utilisez ce que l’on appelle un certificat d’identité d’appareil. Ce certificat est utilisé uniquement pour approvisionner un appareil IoT Edge et l’authentifier avec Azure IoT Hub. Il s’agit d’un certificat feuille qui ne signe pas d’autres certificats. Le certificat d’identité d’appareil est distinct des certificats d’autorité de certification que l’appareil IoT Edge présente aux modules ou aux appareils en aval à des fins de vérification.

Pour l’authentification par certificat X.509, les informations d’authentification de chaque appareil sont fournies sous la forme d’empreintes numériques extraites de vos certificats d’identité d’appareil. Ces empreintes numériques, fournies à IoT Hub au moment de l’inscription de l’appareil, permettent au service de reconnaître l’appareil qui se connecte.

Pour plus d’informations sur l’utilisation des certificats d’autorité de certification dans les appareils IoT Edge, consultez Comprendre comment Azure IoT Edge utilise les certificats.

Les fichiers suivants sont nécessaires pour le provisionnement manuel avec X.509 :

• Deux certificats d’identité d’appareil avec leurs certificats de clé privée correspondants au format .cer ou .pem. Vous avez besoin de deux certificats d’identité d’appareil pour la rotation des certificats. Une bonne pratique consiste à préparer deux certificats d’identité d’appareil différents avec des dates d’expiration différentes. Si un certificat expire, l’autre est toujours valide et vous laisse le temps d’effectuer la rotation du certificat expiré.

  Un ensemble de fichiers de certificat et de clé est fourni au runtime IoT Edge. Quand vous créez des certificats d’identité d’appareil, définissez le nom commun du certificat (CN) avec l’ID d’appareil que l’appareil doit avoir dans votre hub IoT.

• Empreintes numériques tirées des deux certificats d’identité d’appareil. IoT Hub nécessite deux empreintes lors de l’inscription d’un appareil IoT Edge. Vous ne pouvez utiliser qu’un seul certificat pour l’inscription. Pour utiliser un seul certificat, définissez l’empreinte du certificat pour les empreintes primaires et secondaires lors de l’inscription de l’appareil.

  Les valeurs d’empreinte numérique sont constituées de 40 caractères hexadécimaux pour les hachages SHA-1 ou de 64 caractères hexadécimaux pour les hachages SHA-256. Les deux empreintes numériques sont fournies pour IoT Hub lors de l’enregistrement de l’appareil.

  L’une des méthodes permettant de récupérer l’empreinte numérique d’un certificat consiste à utiliser la commande openssl suivante :

  openssl x509 -in <certificate filename>.pem -text -fingerprint
  

  L’empreinte est incluse dans la sortie de cette commande. Par exemple :

  SHA1 Fingerprint=D2:68:D9:04:9F:1A:4D:6A:FD:84:77:68:7B:C6:33:C0:32:37:51:12
  

Si vous n’avez pas de certificats disponibles, vous pouvez créer des certificats de démonstration pour tester les fonctionnalités de l’appareil IoT Edge. Suivez les instructions de cet article pour configurer des scripts de création de certificat, créer un certificat d’autorité de certification racine et créer un certificat d’identité d’appareil IoT Edge. Pour les tests, vous pouvez créer un certificat d’identité d’appareil unique et utiliser la même empreinte pour les valeurs des empreintes primaire et secondaire lors de l’inscription de l’appareil dans IoT Hub.

Inscrire votre appareil

Vous avez le choix d’utiliser le portail Azure, Visual Studio Code ou Azure CLI pour inscrire votre appareil.

Portail

Dans votre hub IoT dans le portail Azure, les appareils IoT Edge sont créés et managés séparément des appareils IoT qui ne sont pas utilisés en périphérie.

1. Connectez-vous au portail Azure et accédez à votre IoT Hub.

2. Dans le volet de gauche, sélectionnez Appareils dans le menu, puis sélectionnez Ajouter un appareil.

3. Dans la page Créer un appareil, fournissez les informations suivantes :

   • Créez un ID d’appareil descriptif. Notez cet ID d’appareil pour pouvoir l’utiliser plus tard.
   • Cochez la case Appareil IoT Edge.
   • Sélectionnez X.509 autosigné comme type d’authentification.
   • Fournissez les empreintes numériques des certificats d’identité principal et secondaire. Les valeurs d’empreinte numérique sont constituées de 40 caractères hexadécimaux pour les hachages SHA-1 ou de 64 caractères hexadécimaux pour les hachages SHA-256. Le portail Azure prend uniquement en charge les valeurs hexadécimales. Supprimez les séparateurs de colonnes et les espaces des valeurs d’empreinte avant de les entrer dans le portail. Par exemple, D2:68:D9:04:9F:1A:4D:6A:FD:84:77:68:7B:C6:33:C0:32:37:51:12 est entré sous la forme D268D9049F1A4D6AFD8477687BC633C032375112.

   Conseil

   Si vous testez et souhaitez utiliser un certificat, vous pouvez utiliser le même certificat pour les empreintes primaires et secondaires.

4. Sélectionnez Enregistrer.

Visual Studio Code

Actuellement, l’extension Azure IoT pour Visual Studio Code ne prend pas en charge l’inscription des appareils avec des certificats X.509.

Azure CLI

Utilisez la commande az iot hub device-identity create pour créer une identité d’appareil dans votre hub IoT. Par exemple :

az iot hub device-identity create --device-id <device_id_here> --hub-name <hub_name_here> --edge-enabled --auth-method x509_thumbprint --primary-thumbprint <primary_SHA_thumbprint_here> --secondary-thumbprint <secondary_SHA_thumbprint_here>

Cette commande comprend plusieurs paramètres :

• --device-id ou -d : fournissez un nom descriptif unique à votre hub IoT. Notez cet ID d’appareil, car vous en aurez besoin dans la prochaine section.
• hub-name ou -n : fournissez le nom de votre hub IoT.
• --edge-enabled ou --ee : déclarez que l’appareil est un appareil IoT Edge.
• --auth-method ou --am : déclarez le type d’autorisation que l’appareil utilisera. Ici, nous utilisons des empreintes numériques de certificat X.509.
• --primary-thumbprint ou --ptp : fournissez une empreinte de certificat X.509 à utiliser comme clé primaire. Seules les valeurs hexadécimales sont prises en charge. Supprimez les séparateurs de colonnes et les espaces de la valeur d’empreinte. Par exemple, D2:68:D9:04:9F:1A:4D:6A:FD:84:77:68:7B:C6:33:C0:32:37:51:12 est entré sous la forme D268D9049F1A4D6AFD8477687BC633C032375112.
• --secondary-thumbprint ou --stp : fournissez une empreinte de certificat X.509 à utiliser comme clé secondaire. Supprimez les séparateurs de colonnes et les espaces de la valeur d’empreinte. Si vous testez et souhaitez utiliser un certificat, vous pouvez utiliser le même certificat pour les empreintes primaires et secondaires.

Maintenant que vous avez un appareil inscrit dans IoT Hub, récupérez les informations à utiliser pour terminer l’installation et le provisionnement du runtime IoT Edge.

Afficher les appareils inscrits et récupérer les informations de provisionnement

Pour les appareils qui utilisent l’authentification par certificat X.509, vous devez récupérer le nom de leur hub IoT, leur nom d’appareil et leurs fichiers de certificat pour terminer l’installation et le provisionnement du runtime IoT Edge.

Portail

Les appareils compatibles avec Edge qui se connectent à votre hub IoT sont répertoriés dans la page Appareils. Vous pouvez filtrer la liste par type d’appareil Appareils IoT Edge.

Visual Studio Code

L’inscription d’appareils avec des certificats X.509 n’est pas prise en charge via Visual Studio Code, mais vous pouvez toujours afficher vos appareils IoT Edge si besoin.

Tous les appareils qui se connectent à votre hub IoT sont listés dans la section Azure IoT Hub de l’Explorateur Visual Studio Code. Les appareils IoT Edge se distinguent des appareils non Edge par leur icône et par le fait que les modules $edgeAgent et $edgeHub sont développés sur chacun d’eux.

Azure CLI

Utilisez la commande az iot hub device-identity list pour voir tous les appareils dans votre hub IoT. Par exemple :

az iot hub device-identity list --hub-name <hub_name_here>

Tout appareil inscrit en tant qu’appareil IoT Edge a la propriété capabilities.iotEdge définie sur true.

Installer IoT Edge

Dans cette section, vous allez préparer votre machine virtuelle ou votre appareil physique Linux à IoT Edge. Ensuite, vous installez IoT Edge.

Exécutez les commandes suivantes pour ajouter le dépôt de packages, puis ajoutez la clé de signature du package Microsoft à votre liste de clés approuvées.

Important

Le 30 juin 2022, Raspberry Pi OS Stretch a été retiré de la liste de prise en charge des systèmes d’exploitation de niveau 1. Pour éviter des vulnérabilités de sécurité potentielles, mettez à jour votre système d’exploitation hôte vers Bullseye.

Ubuntu

L’installation peut se faire avec quelques commandes. Ouvrez un terminal et exécutez les commandes suivantes :

• 22.04 :

  wget https://packages.microsoft.com/config/ubuntu/22.04/packages-microsoft-prod.deb -O packages-microsoft-prod.deb
  sudo dpkg -i packages-microsoft-prod.deb
  rm packages-microsoft-prod.deb
  

• 20.04 :

  wget https://packages.microsoft.com/config/ubuntu/20.04/packages-microsoft-prod.deb -O packages-microsoft-prod.deb
  sudo dpkg -i packages-microsoft-prod.deb
  rm packages-microsoft-prod.deb
  

Debian

L’installation avec APT peut être effectuée à l’aide de quelques commandes. Ouvrez un terminal et exécutez les commandes suivantes :

• 11 - Bullseye (arm32v7) :

  curl https://packages.microsoft.com/config/debian/11/packages-microsoft-prod.deb > ./packages-microsoft-prod.deb
  sudo apt install ./packages-microsoft-prod.deb
  

Conseil

Si vous avez donné au compte « root » un mot de passe pendant l’installation du système d’exploitation, vous n’avez pas besoin de « sudo » et pouvez exécuter la commande ci-dessus en commençant par « apt ».

Red Hat Enterprise Linux

L’installation peut se faire avec quelques commandes. Ouvrez un terminal et exécutez les commandes suivantes :

• 9.x (amd64) :

    wget https://packages.microsoft.com/config/rhel/9.0/packages-microsoft-prod.rpm -O packages-microsoft-prod.rpm
    sudo yum localinstall packages-microsoft-prod.rpm
    rm packages-microsoft-prod.rpm
  

• 8.x (amd64) :

    wget https://packages.microsoft.com/config/rhel/8/packages-microsoft-prod.rpm -O packages-microsoft-prod.rpm
    sudo yum localinstall packages-microsoft-prod.rpm
    rm packages-microsoft-prod.rpm
  

Snaps Ubuntu Core

Vous installez le runtime IoT Edge à partir du Snap Store dans une étape ultérieure. Passez à la section suivante.

Pour obtenir plus d’informations sur les versions des systèmes d’exploitation, voir Plateformes prises en charge par Azure IoT Edge.

Remarque

Les packages logiciels Azure IoT Edge sont soumis aux termes du contrat de licence situés dans chaque package (usr/share/doc/{package-name} ou dans le répertoire LICENSE). Lisez les termes du contrat de licence avant d’utiliser un package. Le fait d’installer et d’utiliser un package revient à accepter ces termes. Si vous n’acceptez pas les termes du contrat de licence, n’utilisez pas le package en question.

Installer un moteur de conteneur

Azure IoT Edge s’appuie sur un runtime de conteneur compatible avec OCI. Dans les scénarios de production, nous vous recommandons d’utiliser le moteur Moby. Le moteur Moby est le seul moteur de conteneur officiellement pris en charge avec IoT Edge. Les images conteneur Docker CE/EE sont compatibles avec le runtime Moby.

Ubuntu

Installez le moteur Moby.

sudo apt-get update; \
  sudo apt-get install moby-engine

Debian

Installez le moteur Moby.

sudo apt-get update; \
  sudo apt-get install moby-engine

Red Hat Enterprise Linux

Installez le moteur Moby et l’interface CLI.

sudo yum install moby-engine moby-cli

Conseil

Si des erreurs surviennent quand vous installez le moteur de conteneur Moby, vérifiez la compatibilité de votre noyau Linux avec Moby. Certains fabricants d’appareils embarqués livrent des images d’appareils qui contiennent des noyaux Linux personnalisés sans les fonctionnalités nécessaires à la compatibilité du moteur de conteneur. Exécutez la commande suivante, qui utilise le script check-config fourni par Moby pour vérifier la configuration de votre noyau :

curl -ssl https://raw.githubusercontent.com/moby/moby/master/contrib/check-config.sh -o check-config.sh
chmod +x check-config.sh
./check-config.sh

Dans la sortie du script, vérifiez que tous les éléments sous Generally Necessary et Network Drivers sont activés. S’il vous manque des fonctionnalités, activez-les en regénérant votre noyau à partir de la source et en sélectionnant les modules associés à inclure dans le fichier .config du noyau approprié. De la même façon, si vous utilisez un générateur de configuration du noyau comme defconfig ou menuconfig, recherchez et activez les fonctionnalités respectives, et regénérez votre noyau en conséquence. Une fois que vous avez déployé votre nouveau noyau modifié, réexécutez le script check-config pour vérifier que toutes les fonctionnalités requises ont été activées avec succès.

Snaps Ubuntu Core

IoT Edge a des dépendances sur Docker et le service d’identité IoT. Installez les dépendances en utilisant les commandes suivantes :

sudo snap install docker
sudo snap install azure-iot-identity

Par défaut, le moteur de conteneur ne définit pas de limites de taille pour le journal de conteneur. Au fil du temps, cela peut amener l’appareil à se remplir de journaux et à manquer d’espace disque. Toutefois, vous pouvez configurer votre journal pour qu’il s’affiche localement, bien que ce soit facultatif. Pour en savoir plus sur la configuration de la journalisation, consultez Check-list du déploiement de production.

Les étapes suivantes vous indiquent comment configurer votre conteneur pour utiliser le pilote de journalisation local comme mécanisme de journalisation.

Ubuntu / Debian / RHEL

1. Créez ou modifiez le fichier config existant du démon Docker

   sudo nano /etc/docker/daemon.json
   

2. Définissez le pilote de journalisation par défaut sur le pilote de journalisation local, comme indiqué dans l’exemple.

      {
         "log-driver": "local"
      }
   

3. Redémarrez le moteur de conteneur pour appliquer les changements.

   sudo systemctl restart docker
   

Snaps Ubuntu Core

Actuellement, le paramètre de pilote de journalisation local n’est pas pris en charge pour le snap Docker.

Installer le runtime IoT Edge

Le service IoT Edge fournit et gère les standards de sécurité sur l’appareil IoT Edge. Le service se lance à chaque démarrage et amorce l’appareil en démarrant le reste du runtime IoT Edge.

Remarque

À partir de la version 1.2, le service d’identité IoT gère l’approvisionnement et la gestion des identités pour IoT Edge et pour d’autres composants d’appareil qui doivent communiquer avec IoT Hub.

La procédure de cette section représente le processus classique d’installation de la dernière version IoT Edge sur un appareil disposant d’une connexion Internet. Si vous devez installer une version spécifique, comme une préversion, ou si vous devez installer en mode hors connexion, suivez les étapes d’installation d’une version hors connexion ou spécifique plus loin dans cet article.

Conseil

Si vous disposez déjà d’un appareil IoT Edge exécutant une version plus ancienne et que vous souhaitez effectuer une mise à niveau vers la dernière version, suivez les étapes décrites dans Mettre à jour le runtime et le démon de sécurité IoT Edge. Les versions ultérieures sont si différente des versions précédentes d’IoT Edge que des étapes spécifiques sont nécessaires pour la mise à niveau.

Ubuntu

Installez la dernière version d’IoT Edge et le package du service d’identité IoT (si vous n’êtes pas encore à jour) :

• 22.04 :

  sudo apt-get update; \
     sudo apt-get install aziot-edge
  

• 20.04 :

  sudo apt-get update; \
     sudo apt-get install aziot-edge defender-iot-micro-agent-edge
  

Le package defender-iot-micro-agent-edge facultatif inclut le micro-agent de sécurité Microsoft Defender pour IoT qui fournit une visibilité des points de terminaison sur la gestion de la posture de sécurité, les vulnérabilités, la détection des menaces, la gestion de la flotte et bien plus encore pour vous aider à sécuriser vos appareils IoT Edge. Il est recommandé d’installer le micro-agent avec l’agent Edge pour activer la supervision et le renforcement de la sécurité de vos appareils Edge. Pour en savoir plus sur Microsoft Defender pour IoT, consultez Présentation de Microsoft Defender pour IoT pour les générateurs d’appareils.

Debian

Installez la dernière version d’IoT Edge et le package du service d’identité IoT (si vous n’êtes pas encore à jour) :

sudo apt-get update; \
  sudo apt-get install aziot-edge defender-iot-micro-agent-edge

Le package defender-iot-micro-agent-edge facultatif inclut le micro-agent de sécurité Microsoft Defender pour IoT qui fournit une visibilité des points de terminaison sur la gestion de la posture de sécurité, les vulnérabilités, la détection des menaces, la gestion de la flotte et bien plus encore pour vous aider à sécuriser vos appareils IoT Edge. Il est recommandé d’installer le micro-agent avec l’agent Edge pour activer la supervision et le renforcement de la sécurité de vos appareils Edge. Pour en savoir plus sur Microsoft Defender pour IoT, consultez Présentation de Microsoft Defender pour IoT pour les générateurs d’appareils.

Red Hat Enterprise Linux

Installez la dernière version d’IoT Edge et le package du service d’identité IoT (si vous n’êtes pas encore à jour) :

sudo yum install aziot-edge

Snaps Ubuntu Core

Installez IoT Edge à partir du Snap Store :

sudo snap install azure-iot-edge

Connecter des snaps

Par défaut, les snaps n’ont pas de dépendances, ne sont pas approuvés et sont strictement restreints. Par conséquent, les snaps doivent être connectés à d’autres snaps et à des ressources système après l’installation. Utilisez les commandes suivantes pour connecter le service d’identité IoT et les snaps IoT Edge entre eux et aux ressources système. Pour commencer, les snaps doivent être connectés manuellement. Pour les déploiements de production, ils peuvent être configurés pour se connecter automatiquement afin de réduire la charge de travail de provisionnement.

#------------------------
#  IoT Identity Service
#------------------------

# Connect the Identity Service snap to the logging system
# and grant permission to query system info

sudo snap connect azure-iot-identity:log-observe
sudo snap connect azure-iot-identity:mount-observe
sudo snap connect azure-iot-identity:system-observe
sudo snap connect azure-iot-identity:hostname-control

# If using a TPM, enable TPM access

sudo snap connect azure-iot-identity:tpm

#------------
#  IoT Edge
#------------

# Connect to your /home directory to enable writing support bundles

sudo snap connect azure-iot-edge:home

# Connect to logging and grant permission to query system info

sudo snap connect azure-iot-edge:log-observe
sudo snap connect azure-iot-edge:mount-observe
sudo snap connect azure-iot-edge:system-observe
sudo snap connect azure-iot-edge:hostname-control
# Allow IoT Edge to connect to the /var/run/iotedge folder and use sockets

sudo snap connect azure-iot-edge:run-iotedge

# Connect IoT Edge to Docker

sudo snap connect azure-iot-edge:docker docker:docker-daemon

Provisionnement de l’appareil avec son identité cloud

Maintenant que le moteur de conteneur et le runtime IoT Edge sont installés sur votre appareil, vous êtes prêt à configurer l’appareil avec ses informations d’authentification et d’identité cloud.

Ubuntu / Debian / RHEL

1. Créez le fichier de configuration pour votre appareil à partir d’un fichier de modèle fourni dans le cadre de l’installation d’IoT Edge.

   sudo cp /etc/aziot/config.toml.edge.template /etc/aziot/config.toml
   

2. Sur l’appareil IoT Edge, ouvrez le fichier de configuration.

   sudo nano /etc/aziot/config.toml
   

3. Recherchez la section Provisioning du fichier, et supprimez les marques de commentaire des lignes sur l’approvisionnement manuel avec un certificat d’identité X.509. Veillez à ajouter des marques de commentaire sur les autres sections de provisionnement.

   # Manual provisioning with x.509 certificates
   [provisioning]
   source = "manual"
   iothub_hostname = "REQUIRED_IOTHUB_HOSTNAME"
   device_id = "REQUIRED_DEVICE_ID_PROVISIONED_IN_IOTHUB"
   
   [provisioning.authentication]
   method = "x509"
   
   identity_cert = "REQUIRED_URI_OR_POINTER_TO_DEVICE_IDENTITY_CERTIFICATE"
   
   identity_pk = "REQUIRED_URI_TO_DEVICE_IDENTITY_PRIVATE_KEY"
   

Mettez à jour les champs suivants :

• iothub_hostname : nom d’hôte de l’hub IoT auquel l’appareil doit se connecter. Par exemple : {IoT hub name}.azure-devices.net.
• device_id : ID que vous avez indiqué lors de l’inscription de l’appareil.
• identity_cert : URI d’un certificat d’identité sur l’appareil, par exemple : file:///path/identity_certificate.pem. Ou émettez le certificat de manière dynamique en utilisant EST ou une autorité de certification locale.
• identity_pk : URI du fichier de clé privée pour le certificat d’identité fourni. par exemple : file:///path/identity_key.pem. Ou fournissez un URI PKCS#11, puis fournissez vos informations de configuration dans la section

PKCS#11 plus loin dans le fichier de configuration.

Pour plus d’informations sur les certificats, consultez Gérer les certificats IoT Edge.

Enregistrez le fichier et fermez-le.

CTRL + X, Y, Enter

Après avoir entré les informations d’approvisionnement dans le fichier de configuration, appliquez vos modifications :

sudo iotedge config apply

Snaps Ubuntu Core

1. Copiez votre fichier de clés d’identité et votre certificat dans le répertoire /var/snap/azure-iot-identity/common/provisioning . Le cas échéant, créez le répertoire.

2. Créez un fichier config.toml dans votre répertoire de base et configurez votre appareil IoT Edge pour l’approvisionnement manuel à l’aide d’un certificat d’identité X.509.

   sudo nano ~/config.toml
   

3. Vous pouvez effectuer l’approvisionnement manuellement à l’aide d’un certificat X.509 en ajoutant les paramètres d’approvisionnement suivants au fichier :

   [provisioning]
   source = "manual"
   iothub_hostname = "IOT_HUB_HOSTNAME"
   device_id = "REQUIRED_DEVICE_ID_PROVISIONED_IN_IOTHUB"
   
   [provisioning.authentication]
   
   method = "x509"
   identity_cert = "file:///var/snap/azure-iot-identity/common/provisioning/IDENTITY_CERT_FILENAME"
   identity_pk = "file:///var/snap/azure-iot-identity/common/provisioning/IDENTITY_PK_FILENAME"
   

   Mettez à jour les champs suivants :

   • iothub_hostname : nom d’hôte de l’hub IoT auquel l’appareil doit se connecter. Par exemple : example.azure-devices.net.
   • device_id : ID que vous avez indiqué lors de l’inscription de l’appareil.
   • identity_cert : URI d’un certificat d’identité sur l’appareil, par exemple : file:///var/snap/azure-iot-identity/common/provisioning/identity_certificate.pem.
   • identity_pk : URI du fichier de clé privée pour le certificat d’identité fourni. par exemple : file:///var/snap/azure-iot-identity/common/provisioning/identity_key.pem.

   Pour plus d’informations sur l’approvisionnement des paramètres de configuration, consultez Configurer les paramètres d’appareil IoT Edge.

4. Enregistrez le fichier et fermez-le.

   CTRL + X, Y, Enter

5. Définissez la configuration pour IoT Edge et le service d’identité à l’aide de la commande suivante :

   sudo snap set azure-iot-edge raw-config="$(cat ~/config.toml)"
   

Déployer des modules

Pour déployer vos modules IoT Edge, accédez à votre hub IoT dans le Portail Azure, puis :

1. Sélectionnez Appareils dans le menu IoT Hub.

2. Sélectionnez votre appareil pour ouvrir sa page.

3. Sélectionnez l’onglet Définir des modules.

4. Du fait que nous souhaitons déployer les modules IoT Edge par défaut (edgeAgent et edgeHub), nous n’avons pas besoin d’ajouter d’autres modules à ce volet. Sélectionnez donc Vérifier + créer en bas de la page.

5. Vous voyez la confirmation JSON de vos modules. Sélectionnez Créer pour déployer les modules.<

Si vous souhaitez obtenir plus d’informations, consultez Déployer un module.

Vérification de la réussite de la configuration

Vérifiez que le runtime a été correctement installé et configuré sur votre appareil IoT Edge.

Conseil

Vous avez besoin de privilèges élevés pour exécuter les commandes iotedge. Une fois que vous vous déconnectez de votre machine et que vous vous reconnectez pour la première fois après avoir installé le runtime IoT Edge, vos autorisations sont automatiquement mises à jour. Dans l’intervalle, ajoutez sudo devant les commandes.

Vérifiez que le service système IoT Edge est en cours d’exécution.

sudo iotedge system status

Une réponse d’état réussie est Ok.

Si vous avez besoin de résoudre les problèmes du service, récupérez les journaux d’activité de ce dernier.

sudo iotedge system logs

Utilisez l’outil check pour vérifier l’état de la configuration et de la connexion de l’appareil.

sudo iotedge check

Vous pouvez prévoir une plage de réponses qui peut inclure OK (vert), Avertissement (jaune) ou Erreur (rouge). Pour résoudre les erreurs courantes, consultez Solutions aux problèmes courants liés à Azure IoT Edge.

Conseil

Utilisez toujours sudo pour exécuter l’outil de vérification, même après la mise à jour de vos autorisations. L’outil a besoin de privilèges élevés pour accéder au fichier config pour vérifier l’état de la configuration.

Remarque

Sur un appareil nouvellement approvisionné, vous pourriez voir une erreur liée à IoT Edge Hub :

Vérification de disponibilité de la production × : le répertoire de stockage Edge Hub est conservé sur le système de fichiers hôte - Erreur

Impossible de vérifier l’état actuel du conteneur edgeHub

Cette erreur est attendue sur un appareil nouvellement provisionné, car le module IoT Edge Hub n’est pas en cours d’exécution. Pour résoudre l’erreur, dans IoT Hub, définissez les modules de l’appareil et créez un déploiement. La création d’un déploiement pour l’appareil démarre les modules sur l’appareil, y compris le module IoT Edge Hub.

Affichez tous les modules s’exécutant sur votre appareil IoT Edge. Lors du premier démarrage du service, seul le module edgeAgent apparaît dans cette liste. Le module edgeAgent s’exécute par défaut et vous aide à installer et démarrer tous les modules supplémentaires que vous déployez sur votre appareil.

sudo iotedge list

Lorsque vous créez un appareil IoT Edge, le code d’état 417 -- The device's deployment configuration is not set s’affiche dans le portail Azure. Cet état est normal et signifie que l’appareil est prêt à recevoir un déploiement de module.

Installation d’une version spécifique ou hors connexion (facultatif)

Les étapes de cette section concernent les scénarios non couverts par les étapes d’installation standard. Cela peut inclure :

• Installer IoT Edge en mode hors connexion
• Installer une version Release candidate

Utilisez les étapes de cette section si vous souhaitez installer une version spécifique du runtime Azure IoT Edge, qui n’est pas disponible via votre gestionnaire de package. La liste des packages Microsoft contient uniquement un ensemble limité de versions récentes et leurs sous-versions. Par conséquent, ces étapes sont destinées à toute personne souhaitant installer une version antérieure ou une version Release Candidate.

Si vous utilisez des snaps Ubuntu, vous pouvez télécharger un snap et l’installer hors connexion. Pour plus d’informations, consultez Télécharger les snaps et les installer hors connexion.

À l’aide de commandes curl, vous pouvez cibler les fichiers de composants directement à partir du référentiel GitHub IoT Edge.

1. Accédez aux versions d’Azure IoT Edgeet recherchez celle que vous souhaitez cibler.

2. Développez la section Ressources pour cette version.

3. Chaque mise en production devrait avoir de nouveaux fichiers pour IoT Edge et le service d’identité. Si vous envisagez d’installer IoT Edge sur un appareil hors connexion, téléchargez ces fichiers à l’avance. Autrement, utilisez les commandes suivantes pour mettre à jour ces composants.

   1. Recherchez le fichier aziot-identity-service correspondant à l’architecture de votre appareil IoT Edge. Cliquez avec le bouton droit de la souris sur le lien de fichier et copiez l’adresse du lien.

   2. Utilisez le lien copié dans la commande suivante pour installer cette version du service d’identité :

      Ubuntu/Debian

      curl -L <identity service link> -o aziot-identity-service.deb && sudo apt-get install ./aziot-identity-service.deb
      

      Red Hat Enterprise Linux

      curl -L <identity service link> -o aziot-identity-service.rpm && sudo yum localinstall ./aziot-identity-service.rpm
      

      Snaps Ubuntu Core

      Si vous utilisez des snaps Ubuntu, vous pouvez télécharger un snap et l’installer hors connexion. Pour plus d’informations, consultez Télécharger les snaps et les installer hors connexion.

   ---

   3. Recherchez le fichier aziot-edge correspondant à l’architecture de votre appareil IoT Edge. Cliquez avec le bouton droit de la souris sur le lien de fichier et copiez l’adresse du lien.

   4. Utilisez le lien copié dans la commande suivante pour installer cette version d’IoT Edge.

      Ubuntu/Debian

      curl -L <iotedge link> -o aziot-edge.deb && sudo apt-get install ./aziot-edge.deb
      

      Red Hat Enterprise Linux

      curl -L <iotedge link> -o aziot-edge.rpm && sudo yum localinstall ./aziot-edge.rpm
      

      Snaps Ubuntu Core

      Si vous utilisez des snaps Ubuntu, vous pouvez télécharger un snap et l’installer hors connexion. Pour plus d’informations, consultez Télécharger les snaps et les installer hors connexion.

   ---

Désinstaller IoT Edge

Si vous souhaitez supprimer l’installation d’IoT Edge de votre appareil, utilisez les commandes suivantes.

Supprimez le runtime IoT Edge.

Ubuntu/Debian

sudo apt-get autoremove --purge aziot-edge

Omettez l’indicateur --purge si vous prévoyez de réinstaller IoT Edge et d’utiliser les mêmes informations de configuration à l’avenir. Les indicateurs --purge suppriment tous les fichiers associés à IoT Edge, y compris vos fichiers de configuration.

Red Hat Enterprise Linux

sudo yum remove aziot-edge

Snaps Ubuntu Core

Supprimer le runtime IoT Edge :

sudo snap remove azure-iot-edge

Supprimer le service d’identité Azure :

sudo snap remove azure-iot-identity

Lors de la suppression du runtime IoT Edge, tous les conteneurs qu’il a créés sont arrêtés, mais continuent d’exister sur votre appareil. Affichez tous les conteneurs pour voir ceux qui restent.

sudo docker ps -a

Supprimez les conteneurs de votre appareil, dont les deux conteneurs de runtime.

sudo docker rm -f <container name>

Enfin, supprimez le runtime du conteneur de votre appareil.

Ubuntu/Debian

sudo apt-get autoremove --purge moby-engine

Red Hat Enterprise Linux

sudo yum remove moby-cli
sudo yum remove moby-engine

Snaps Ubuntu Core

sudo snap remove docker

Étapes suivantes

Passez à Déployer des modules IoT Edge pour savoir comment déployer des modules sur votre appareil.