Gérer et surveiller les applications IoT Central

Article
04/15/2024

Vous pouvez utiliser le portail Azure, Azure CLI ou Azure PowerShell pour créer et gérer des applications IoT Central.

Si vous préférez utiliser un langage tel que JavaScript, Python, C#, Ruby ou Go pour créer, mettre à jour, lister et supprimer des applications Azure IoT Central, consultez le référentiel Exemples de SDK ARM Azure IoT Central.

Pour savoir comment créer une application IoT Central, consultez Créer une application IoT Central.

Afficher les applications

Pour lister toutes les applications IoT Central de votre abonnement, accédez à Applications IoT Central.

Supprimer une application

Pour supprimer une application IoT Central dans le portail Azure, accédez à la page Vue d’ensemble de l’application dans le portail, puis sélectionnez Supprimer.

Gérer la mise en réseau

Vous pouvez utiliser des adresses IP privées à partir d’un espace d’adressage de réseau virtuel quand vous gérez vos appareils dans l’application IoT Central pour supprimer l’exposition sur l’Internet public. Pour en savoir plus, consultez Créer et configurer un point de terminaison privé pour IoT Central.

Configurer une identité managée

Quand vous configurez une exportation de données dans votre application IoT Central, vous pouvez choisir de configurer la connexion à la destination à l’aide d’une chaîne de connexion ou d’une identité gérée. Les identités managées sont plus sécurisées, car :

Vous ne stockez pas les informations d’identification de votre ressource dans une chaîne de connexion de votre application IoT Central.
Les informations d’identification sont automatiquement liées à la durée de vie de votre application IoT Central.
Les identités managées effectuent automatiquement une rotation régulière de leurs clés de sécurité.

IoT Central utilise actuellement des identités managées affectées par le système. Pour créer l’identité managée de votre application, utilisez le Portail Azure ou l’API REST.

Quand vous configurez une identité managée, la configuration comprend une étendue et un rôle :

L’étendue définit l’emplacement où vous pouvez utiliser l’identité managée. Par exemple, vous pouvez utiliser un groupe de ressources Azure comme étendue. Dans ce cas, l’application IoT Central et la destination doivent être dans le même groupe de ressources.
Le rôle définit les autorisations qui sont accordées à l’application IoT Central dans le service de destination. Par exemple, pour qu’une application IoT Central envoie des données à un Event Hub, l’identité managée a besoin de l’attribution de rôle Expéditeur de données Azure Event Hubs.

Pour configurer l’identité managée qui permet à votre application IoT Central d’exporter des données de façon sécurisée vers votre ressource Azure :

Dans le portail Azure, accédez à votre application IoT Central.

Conseil

Par défaut, les applications IoT Central sont créées dans le groupe de ressources IOTC de votre abonnement.
Sélectionnez Identité. Ensuite, sur la page Affectée par le système, définissez l’état sur Activé, puis sélectionnez Enregistrer.
Après quelques secondes, l’identité managée affectée par le système pour votre application IoT Central est activée et vous pouvez sélectionner Attributions de rôle Azure :
Sur la page Attributions de rôle Azure, sélectionnez + Ajouter une attribution de rôle.

Vous pouvez activer l’identité managée quand vous créez une application IoT Central :

# Create an IoT Central application with a managed identity
az iot central app create \
  --resource-group "MyIoTCentralResourceGroup" \
  --name "myiotcentralapp" --subdomain "mysubdomain" \
  --sku ST1 --template "iotc-pnp-preview" \
  --display-name "My Custom Display Name" \
  --mi-system-assigned

Vous pouvez également activer une identité managée sur une application IoT Central existante :

# Enable a system-assigned managed identity
az iot central app identity assign --name "myiotcentralapp" \
  --resource-group "MyIoTCentralResourceGroup" \
  --system-assigned

Après avoir activé l’identité managée, vous pouvez utiliser l’interface CLI pour configurer les attributions de rôle.

Pour créer une attribution de rôle, utilisez la commande az role assignment create. Par exemple, les commandes suivantes récupère d’abord l’ID du principal de l’identité managée. La deuxième commande attribue le rôle Azure Event Hubs Data Sender à l’ID du principal dans l’étendue du groupe de ressources MyIoTCentralResourceGroup :

scope=$(az group show -n "MyIoTCentralResourceGroup" --query "id" --output tsv)
spID=$(az iot central app identity show \
  --name "myiotcentralapp" \
  --resource-group "MyIoTCentralResourceGroup" \
  --query "principalId" --output tsv)
az role assignment create --assignee $spID --role "Azure Event Hubs Data Sender" \
  --scope $scope

Vous pouvez activer l’identité managée quand vous créez une application IoT Central :

# Create an IoT Central application with a managed identity
New-AzIotCentralApp -ResourceGroupName "MyIoTCentralResourceGroup" `
  -Name "myiotcentralapp" -Subdomain "mysubdomain" `
  -Sku "ST1" -Template "iotc-pnp-preview" `
  -DisplayName "My Custom Display Name" -Identity "SystemAssigned"

Vous pouvez également activer une identité managée sur une application IoT Central existante :

# Enable a system-assigned managed identity
Set-AzIotCentralApp -ResourceGroupName "MyIoTCentralResourceGroup" `
  -Name "myiotcentralapp" -Identity "SystemAssigned"

Après avoir activé l’identité managée, vous pouvez utiliser PowerShell pour configurer les attributions de rôle.

Utilisez la cmdlet New-AzRoleAssignment pour créer une attribution de rôle. Par exemple, les commandes suivantes récupère d’abord l’ID du principal de l’identité managée. La deuxième commande attribue le rôle Azure Event Hubs Data Sender à l’ID du principal dans l’étendue du groupe de ressources MyIoTCentralResourceGroup :

$resourceGroup = Get-AzResourceGroup -Name "MyIoTCentralResourceGroup"
$app = Get-AzIotCentralApp -ResourceGroupName $resourceGroup.ResourceGroupName -Name "myiotcentralapp"
$sp = Get-AzADServicePrincipal -ObjectId $app.Identity.PrincipalId
New-AzRoleAssignment -RoleDefinitionName "Azure Event Hubs Data Sender" `
  -ObjectId $sp.Id -Scope $resourceGroup.ResourceId

Pour en savoir plus sur les attributions de rôle, consultez :

Superviser l’intégrité de l’application

Vous pouvez utiliser l’ensemble des métriques fournies par IoT Central pour évaluer l’intégrité des appareils connectés à votre application IoT Central et l’intégrité des exportations de données en cours d’exécution.

Remarque

Les applications IoT Central ont également un journal d’audit interne pour suivre l’activité au sein de l’application.

Les métriques sont activées par défaut pour votre application IoT Central et vous y accédez à partir du portail Azure. La plateforme de données Azure Monitor expose ces métriques et offre plusieurs moyens d’interagir avec elles. Par exemple, vous pouvez utiliser des graphiques dans le portail Azure, une API REST ou des requêtes dans PowerShell ou Azure CLI.

Le contrôle d’accès en fonction du rôle Azure gère l’accès aux métriques du portail Azure. Utilisez le portail Azure pour ajouter des utilisateurs à l’application, au groupe de ressources ou à l’abonnement IoT Central pour leur accorder l’accès. Vous devez ajouter un utilisateur dans le portail, même s’il a déjà été ajouté à l’application IoT Central. Utilisez des rôles intégrés Azure pour un contrôle d’accès plus précis.

Afficher les métriques dans le portail Azure

L’exemple de la page Métriques suivant montre un tracé du nombre d’appareils connectés à votre application IoT Central. Pour obtenir la liste des métriques actuellement disponibles pour IoT Central, consultez Métriques prises en charge avec Azure Monitor.

Pour afficher les métriques IoT Central dans le portail :

Accédez à votre ressource d’application IoT Central dans le portail. Par défaut, les ressources IoT Central se trouvent dans un groupe de ressources appelé IOTC.
Pour créer un graphique à partir des métriques de votre application, sélectionnez Métriques dans la section Surveillance.

Exporter des journaux d’activité et des métriques

Utilisez la page Paramètres de diagnostic pour configurer l’exportation des métriques et des journaux vers différentes destinations. Pour plus d’informations, consultez Paramètres de diagnostic dans Azure Monitor.

Analyser les journaux et les métriques

Utilisez la page Classeurs pour analyser les journaux et créer des rapports visuels. Pour en savoir plus, consultez Classeurs Azure.

Métriques et factures

Les métriques risquent de différer des valeurs figurant sur votre facture Azure IoT Central. Cette situation se produit pour plusieurs raisons comme par exemple :

Les plans de tarification standard d’IoT Central incluent deux appareils et des quotas de message variables gratuitement. Si les éléments gratuits sont exclus de la facturation, ils sont toujours comptabilisés dans les métriques.
IoT Central génère automatiquement une identité d’appareil de test pour chaque modèle d’appareil dans l’application. Cette identité d’appareil est visible sur la page Gérer l’appareil de test pour un modèle d’appareil. Vous pouvez valider vos modèles d’appareil avant de les publier en générant un code qui utilise ces ID d’appareil de test. Si ces appareils sont exclus de la facturation, ils sont toujours comptabilisés dans les métriques.
Alors que les métriques afficheront probablement une partie des communications appareil-à-cloud, toutes les communications entre l’appareil et le cloud comptent comme un message pour la facturation.

Superviser les appareils IoT Edge connectés

Si votre application utilise des appareils IoT Edge, vous pouvez surveiller l’intégrité de vos appareils et modules IoT Edge à l’aide d’Azure Monitor. Pour plus d’informations, consultez Collecter et transporter des métriques Azure IoT Edge.