Qu’est-ce que OSConfig pour les appareils Linux ?

Article
04/04/2023

Les générateurs et opérateurs de solutions IoT/Edge doivent souvent configurer et observer les paramètres de l’appareil. Les exemples courants incluent les paramètres réseau, les noms d’hôte, les fuseaux horaires, les benchmarks de sécurité, les règles de pare-feu, les utilisateurs ssh, etc.

OSConfig pour Linux est un composant compact (≈5 Mo) côté appareil qui intègre ces fonctionnalités de gestion de la configuration directement dans vos workflows Azure IoT. Par rapport aux autres pratiques dans l’espace IoT/Edge, l’utilisation d’OSConfig avec Azure IoT ou GitOps peut :

Réduire le nombre d’images d’appareil à gérer en autorisant la configuration dynamique à grande échelle au moment du déploiement
Réduire la fréquence des mises à jour complètes de l’image, en autorisant la reconfiguration dans le champ pour un ou plusieurs appareils spécifiques à grande échelle
Éliminer les outils de gestion des serveurs de centre de données lourds de votre solution IoT/Edge, en autorisant la gestion de la configuration directement à partir d’Azure IoT

REMARQUE : OSConfig fait partie de la suite de fonctionnalités de sécurité et de gestion de Microsoft pour les solutions edge+cloud. La suite couvre la gestion des menaces, la gestion descharges de travail, la gestion dela configuration et la gestion desmises à jour. Pour plus d’informations, consultez : Suite de gestion et de sécurité Microsoft pour les appareils Linux.

Fonctionnement d’Azure IoT

L’agent OSConfig compact et efficace pour Linux s’exécute sur chaque appareil. Il projette les propriétés configurables et observables de l’appareil dans votre Azure IoT Hub. Cela permet aux workflows basés sur des jumeaux (par exemple, IoT Explorer, Azure IoT Gestion des appareils Configurations et Requêtes Azure IoT Gestion des appareils) d’observer et de configurer les appareils.

Diagramme de vue d’ensemble montrant les appareils liés à IoT Hub Gestion des appareils fonctionnalités via le client ET les jumeaux OSConfig

Que puis-je provisionner et gérer ?

OSConfig inclut une bibliothèque standard de fonctionnalités intégrées. Il dispose également d’un modèle de plug-in qui vous permet d’ajouter ou de modifier des fonctionnalités pour vos appareils uniques.

Voici des exemples de scénarios que vous pouvez réaliser à l’aide des fonctionnalités intégrées.

Carte réseau et informations IP

Pour obtenir des informations de référence et des exemples pratiques, consultez : Utilisation de cartes réseau status, d’adresses IP, etc., à l’aide d’OSConfig et d’Azure IoT.

Adresses IP d’inventaire pour tous les appareils
Obtenir l’adresse IP d’un appareil pour la résolution des problèmes, la connexion et la caméra IP, etc.
Obtenir les serveurs DNS utilisés par un appareil pour examiner un problème de résolution de noms
Vérifier que tous les appareils utilisent une infrastructure réseau approuvée, pour intercepter les appareils accidentellement laissés connectés à des réseaux de test ou se connecter à partir d’un café inattendu
Transition des appareils d’une adresse IP statique vers DHCP dans le cadre d’un processus de déploiement
S’adapter aux changements d’infrastructure réseau

Configuration du gestionnaire de package

Pour obtenir des informations de référence et des exemples pratiques, consultez Gérer le gestionnaire de package de système d’exploitation à l’aide d’Azure IoT et d’OSConfig.

Vérifiez que les appareils utilisent vos dépôts de package privés pour les versions approuvées des bibliothèques, etc.
Pointez dynamiquement des appareils vers des dépôts de package fournisseur/partenaire pour des packages spécifiques
Vérifiez que certains packages sont installés
Comparer l’état des packages installés sur une flotte d’appareils et détecter la dérive

Nom de l'hôte

Pour obtenir des informations de référence et des exemples pratiques, consultez Utilisation de noms d’hôtes à l’aide d’Azure IoT et d’OSConfig.

Définir les noms d’hôtes au niveau du système d’exploitation pour qu’ils soient conformes aux normes ou pour garantir que les données et les journaux provenant des appareils peuvent être évalués en contexte
Obtenir des noms d’hôtes au niveau du système d’exploitation pour l’inventaire et l’audit

Fichier hosts

Pour obtenir des informations de référence et des exemples pratiques, consultez : Utilisation du fichier /etc/hosts à l’aide d’Azure IoT et d’OSConfig.

Ajouter des entrées de fichier hosts pour activer la communication avec l’infrastructure locale
Approvisionner dynamiquement des entrées spécifiques en fonction du rôle ou de l’emplacement de l’appareil
Vérifier que les appareils ont les entrées souhaitées présentes

Pare-feu

Pour obtenir des informations de référence et des exemples pratiques, consultez Gérer le pare-feu hôte avec Azure IoT et OSConfig.

Vérifier que le pare-feu basé sur l’hôte est activé sur les appareils
Vérifiez que l’ensemble de règles cumulatives sur les appareils correspond à une empreinte digitale dont le contrôle a été vérifié
Assurez-vous que des règles spécifiques à l’environnement telles que « refuser tout ssh entrant, à l’exception de mon sous-réseau de gestion » sont en place
Apporter des modifications temporaires pour autoriser l’accès aux développeurs et aux diagnostics
S’adapter aux changements dans le paysage de la sécurité, comme le blocage de certains trafics en fonction d’une vulnérabilité récemment signalée
S’adapter aux modifications apportées aux exigences des applications/charges de travail et à l’infrastructure réseau, telles que l’activation de l’accès à un nouveau point de terminaison HTTP

Informations sur l’appareil, notamment le processeur, le système d’exploitation, le module TPM, le fournisseur de l’appareil, etc.

Pour obtenir des informations de référence et des exemples pratiques, consultez Signaler des informations sur le matériel et le système d’exploitation avec Azure IoT et OSConfig.

Rapport sur les distributions et versions du système d’exploitation au sein de votre flotte
Cible IoT Hub configurations par propriétés signalées pour l’architecture du processeur, le système d’exploitation, etc.
Pour les flottes hétérogènes, découvrez quels appareils ont des fonctionnalités TPM
Pour les appareils avec TPM, vérifiez que le module de plateforme sécurisée est actif et qu’il interfaçage avec le système d’exploitation comme prévu

Redémarrage et arrêt

Pour obtenir des informations de référence et des exemples pratiques, consultez : Redémarrer ou arrêter des appareils avec Azure IoT et OSConfig.

Redémarrer ou arrêter un appareil qui se comporte mal
Coordonner les redémarrages de maintenance sur de nombreux appareils

Gouvernance d’Azure Device Health Service (ADHS)

Définir et auditer le niveau d’adhésion pour le service de données de diagnostic ADHS

Gouvernance de l’optimisation de la distribution

Définir et auditer les paramètres d’optimisation de la distribution, tels que les URL du cache connecté Microsoft, la limitation, et ainsi de suite

Configuration personnalisée à grande échelle

Pour obtenir des informations de référence et des exemples pratiques, consultez Configuration et création de rapports personnalisés avec Azure IoT et OSConfig et Comment interagir avec la fonctionnalité CommandRunner d’OSConfig et d’Azure IoT.

Exécutez un script personnalisé pour configurer des charges de travail, des composants de système d’exploitation, des fichiers, etc.
Configurer les fuseaux horaires du système d’exploitation sur tous les appareils, par exemple pour s’assurer que les données et les journaux provenant de l’appareil sont marqués avec organization horodatages standard
Configurez la source de temps réseau sur tous les appareils pour vous assurer que les appareils restent synchronisés avec organization délai standard et n’utilisent pas de sources de temps non autorisées
Configurer les paramètres du gestionnaire de package, tels que l’ajout de référentiels de packages approuvés en tant que sources
Votre imagination est la limite; les configurations personnalisées sont basées sur des commandes de l’interpréteur de commandes

Création de rapports personnalisés à grande échelle et diagnostics à distance