IoT Edge-eszköz konfigurálása transzparens átjáróként való működéshez

A következőkre vonatkozik: IoT Edge 1.5

Fontos

Az IoT Edge 1.5 LTS a támogatott kiadás. Az IoT Edge 1.4 LTS 2024. november 12-én megszűnik. Ha egy korábbi kiadáson dolgozik, olvassa el az IoT Edge frissítése című témakört.

Ez a cikk részletes útmutatást nyújt az IoT Edge-eszközök transzparens átjáróként való konfigurálásához, hogy más eszközök is csatlakozzanak az IoT Hubhoz. Ebben a cikkben az IoT Edge-átjáró transzparens átjáróként konfigurált IoT Edge-eszközt jelent. További információ: IoT Edge-eszköz használata átjáróként.

Feljegyzés

Az alsóbb rétegbeli eszközök nem használhatnak fájlfeltöltést.

A transzparens átjárókapcsolat beállításának három fő lépése van. Ez a cikk az első lépést ismerteti:

1. Konfigurálja az átjáróeszközt kiszolgálóként, hogy az alsóbb rétegbeli eszközök biztonságosan csatlakozzanak. Állítsa be az átjárót az alsóbb rétegbeli eszközöktől érkező üzenetek fogadásához és a megfelelő célhoz való átirányításához.
2. Hozzon létre egy eszközidentitást az alsóbb rétegbeli eszközhöz, hogy hitelesíthesse magát az IoT Hubbal. Konfigurálja az alsóbb rétegbeli eszközt, hogy üzeneteket küldjön az átjáróeszközön keresztül. Ezekért a lépésekért lásd : Alsóbb rétegbeli eszköz hitelesítése az Azure IoT Hubon.
3. Csatlakoztassa az alsóbb rétegbeli eszközt az átjáróeszközhöz, és kezdjen el üzeneteket küldeni. Ezekről a lépésekről lásd : Alsóbb rétegbeli eszköz csatlakoztatása egy Azure IoT Edge-átjáróhoz.

Átjáróként való működéshez az eszköznek biztonságosan kell csatlakoznia az alsóbb rétegbeli eszközeihez. Az Azure IoT Edge lehetővé teszi nyilvános kulcsú infrastruktúra (PKI) használatát az eszközök közötti biztonságos kapcsolatok beállításához. Ebben az esetben egy alsóbb rétegbeli eszköz egy transzparens átjáróként működő IoT Edge-eszközhöz csatlakozik. A biztonság érdekében az alsóbb rétegbeli eszköz ellenőrzi az átjáróeszköz identitását. Ez az ellenőrzés segít megakadályozni, hogy az eszközök rosszindulatú átjárókhoz csatlakozzanak.

Az alsóbb rétegbeli eszközök lehetnek az Azure IoT Hubban létrehozott identitással rendelkező alkalmazások vagy platformok. Ezek az alkalmazások gyakran használják az Azure IoT-eszköz SDK-t. Egy alsóbb rétegbeli eszköz akár maga az IoT Edge-átjáróeszközön futó alkalmazás is lehet.

Létrehozhat minden olyan tanúsítványinfrastruktúrát, amely lehetővé teszi az eszközátjáró topológiájához szükséges megbízhatóságot. Ebben a cikkben ugyanazt a tanúsítványbeállítást használjuk, mint az X.509 hitelesítésszolgáltatói biztonságot az IoT Hubban. Ez a beállítás egy adott IoT Hubhoz (az IoT Hub legfelső szintű hitelesítésszolgáltatójához) társított X.509 hitelesítésszolgáltatói tanúsítványt, az ezzel a hitelesítésszolgáltatóval aláírt tanúsítványok sorozatát és az IoT Edge-eszköz hitelesítésszolgáltatóját használja.

Feljegyzés

Az ezekben a cikkekben használt legfelső szintű hitelesítésszolgáltatói tanúsítvány kifejezés a PKI-tanúsítványlánc legfelső szintű nyilvános tanúsítványára utal, és nem feltétlenül egy szindikált hitelesítésszolgáltató tanúsítványgyökerére. Sok esetben ez valójában egy köztes hitelesítésszolgáltató nyilvános tanúsítványa.

Ezeket a lépéseket követve hozza létre a tanúsítványokat, és telepítse őket a megfelelő helyeken az átjárón. A tanúsítványokat bármely géppel létrehozhatja, majd átmásolhatja azokat az IoT Edge-eszközére.

Előfeltételek

IoT Edge

Linux vagy Windows rendszerű eszközre van szükség, amelyen telepítve van az IoT Edge.

Ha nem áll készen az eszköz, hozzon létre egyet egy Azure-beli virtuális gépen. Kövesse az első IoT Edge-modul üzembe helyezésének lépéseit egy virtuális Linux-eszközön IoT Hub létrehozásához, virtuális gép létrehozásához és az IoT Edge-futtatókörnyezet konfigurálásához.

Linuxhoz készült IoT Edge Windows rendszeren

Figyelmeztetés

Mivel a Linuxhoz készült IoT Edge windowsos (EFLOW) virtuális gépnek külső eszközökről kell elérhetőnek lennie, mindenképpen telepítse az EFLOW-t egy külső virtuális kapcsolóval. Az EFLOW hálózati konfigurációkkal kapcsolatos további információkért tekintse meg az Azure IoT Edge windowsos Linuxhoz készült hálózatkezelési konfigurációját.

Szüksége van egy Windows-eszközre, amelyre telepítve van az IoT Edge for Linux on Windows.

Ha még nem áll készen az eszköz, hozzon létre egyet, mielőtt folytatja ezt az útmutatót. Kövesse a Linuxhoz készült IoT Edge létrehozása és kiépítése Windows-eszközön, szimmetrikus kulcsokkal IoT Hub létrehozásához, EFLOW virtuális gép létrehozásához és az IoT Edge-futtatókörnyezet konfigurálásához.

Az Edge CA-tanúsítvány beállítása

Minden IoT Edge-átjáróhoz telepítve kell lennie egy Edge CA-tanúsítványnak. Az IoT Edge biztonsági démon az Edge CA-tanúsítvány használatával ír alá egy számítási feladat hitelesítésszolgáltatói tanúsítványát, amely viszont aláír egy kiszolgálótanúsítványt az IoT Edge Hubhoz. Az átjáró a kapcsolat kezdeményezése során bemutatja a kiszolgálótanúsítványát az alsóbb rétegbeli eszköznek. Az alsóbb rétegbeli eszköz ellenőrzi, hogy a kiszolgálótanúsítvány egy tanúsítványlánc része-e, amely a legfelső szintű hitelesítésszolgáltatói tanúsítványra kerül. Ez a folyamat lehetővé teszi az alsóbb rétegbeli eszköz számára annak megerősítését, hogy az átjáró megbízható forrásból származik. További információ: Az Azure IoT Edge tanúsítványhasználatának ismertetése.

A legfelső szintű hitelesítésszolgáltatói tanúsítványnak és az Edge hitelesítésszolgáltatói tanúsítványnak (a titkos kulcsával) az IoT Edge-átjáró eszközén kell lennie, és be kell állítania az IoT Edge konfigurációs fájljában. Ebben az esetben a gyökér hitelesítésszolgáltató tanúsítvány az IoT Edge-forgatókönyv legfelső hitelesítésszolgáltatóját jelenti. Az átjáró edge hitelesítésszolgáltatói tanúsítványának és az alsóbb rétegbeli eszköztanúsítványoknak ugyanarra a fő hitelesítésszolgáltatói tanúsítványra kell összesíteni.

Tipp.

A legfelső szintű hitelesítésszolgáltatói tanúsítvány és az Edge CA-tanúsítvány IoT Edge-eszközön való telepítésének folyamatát az IoT Edge-eszközön található tanúsítványok kezelése című témakör is részletesen ismerteti.

Készítse fel a következő fájlokat:

• Legfelső szintű hitelesítésszolgáltatói tanúsítvány
• Edge CA-tanúsítvány
• Az eszköz hitelesítésszolgáltatói titkos kulcsa

Éles helyzetekben saját hitelesítésszolgáltatóval hozza létre ezeket a fájlokat. Fejlesztési és tesztelési forgatókönyvekhez demótanúsítványokat használhat.

Demótanúsítványok létrehozása

Ha nem rendelkezik saját hitelesítésszolgáltatóval, és demótanúsítványokat szeretne használni, a fájlok létrehozásához kövesse a demótanúsítványok létrehozása című témakör utasításait az IoT Edge eszközfunkcióinak teszteléséhez. Ezen a lapon kövesse az alábbi lépéseket:

1. Állítsa be a tanúsítványokat létrehozó szkripteket az eszközön.
2. Hozzon létre egy legfelső szintű hitelesítésszolgáltatói tanúsítványt. A végén egy legfelső szintű hitelesítésszolgáltatói tanúsítványfájl <path>/certs/azure-iot-test-only.root.ca.cert.pemtalálható.
3. Edge CA-tanúsítványok létrehozása. A végén egy Edge CA-tanúsítvány <path>/certs/iot-edge-device-ca-<cert name>-full-chain.cert.pem és annak titkos kulcsa <path>/private/iot-edge-device-ca-<cert name>.key.pemtalálható.

Tanúsítványok másolása eszközre

IoT Edge

1. Ellenőrizze, hogy a tanúsítvány megfelel-e a formátumkövetelményeknek.

2. Ha a tanúsítványokat egy másik gépen hozta létre, másolja őket az IoT Edge-eszközére. Használjon USB-meghajtót, olyan szolgáltatást, mint az Azure Key Vault, vagy egy olyan parancsot, mint a Biztonságos fájlmásolás.

3. Helyezze át a fájlokat a tanúsítványok és kulcsok előnyben részesített könyvtárába: /var/aziot/certs a tanúsítványokhoz és /var/aziot/secrets a kulcsokhoz.

4. Hozza létre a tanúsítvány- és kulcskönyvtárakat, és állítsa be az engedélyeket. A tanúsítványok és kulcsok tárolása az előnyben részesített /var/aziot könyvtárban: /var/aziot/certs tanúsítványok és /var/aziot/secrets kulcsok esetén.

   # If the certificate and keys directories don't exist, create, set ownership, and set permissions
   sudo mkdir -p /var/aziot/certs
   sudo chown aziotcs:aziotcs /var/aziot/certs
   sudo chmod 755 /var/aziot/certs
   
   sudo mkdir -p /var/aziot/secrets
   sudo chown aziotks:aziotks /var/aziot/secrets
   sudo chmod 700 /var/aziot/secrets
   

5. Módosítsa a tanúsítványok és kulcsok tulajdonjogát és engedélyeit.

   # Give aziotcs ownership to certificates
   # Read and write for aziotcs, read-only for others
   sudo chown -R aziotcs:aziotcs /var/aziot/certs
   sudo find /var/aziot/certs -type f -name "*.*" -exec chmod 644 {} \;
   
   # Give aziotks ownership to private keys
   # Read and write for aziotks, no permission for others
   sudo chown -R aziotks:aziotks /var/aziot/secrets
    sudo find /var/aziot/secrets -type f -name "*.*" -exec chmod 600 {} \;
   

Linuxhoz készült IoT Edge Windows rendszeren

Most másolja a tanúsítványokat a Linuxhoz készült Azure IoT Edge-be Windows rendszerű virtuális gépen.

További információ ezekről a parancsokról: PowerShell-függvények az IoT Edge-hez.

1. Ellenőrizze, hogy a tanúsítvány megfelel-e a formátumkövetelményeknek.

2. Másolja a tanúsítványokat az EFLOW virtuális gépre egy olyan könyvtárban, ahol írási hozzáféréssel rendelkezik, például a /home/iotedge-user kezdőkönyvtárba.

   # Copy the Edge CA certificate and key
   Copy-EflowVMFile -fromFile <path>\certs\iot-edge-device-ca-<cert name>-full-chain.cert.pem -toFile ~/iot-edge-device-ca-<cert name>-full-chain.cert.pem -pushFile
   Copy-EflowVMFile -fromFile <path>\private\iot-edge-device-ca-<cert name>.key.pem -toFile ~/iot-edge-device-ca-<cert name>.key.pem -pushFile
   
   # Copy the root CA certificate
   Copy-EflowVMFile -fromFile <path>\certs\azure-iot-test-only.root.ca.cert.pem -toFile ~/azure-iot-test-only.root.ca.cert.pem -pushFile
   

3. Nyisson meg egy emelt szintű PowerShell-munkamenetet a Futtatás rendszergazdaként lehetőséggel.

   Csatlakozzon az EFLOW virtuális géphez.

   Connect-EflowVm
   

4. Hozza létre a tanúsítvány- és kulcskönyvtárakat, és állítsa be az engedélyeket. A tanúsítványokat és a kulcsokat az előnyben részesített /var/aziot könyvtárban kell tárolnia. Tanúsítványokhoz és /var/aziot/certs kulcsokhoz használható/var/aziot/secrets.

   # If the certificate and keys directories don't exist, create, set ownership, and set permissions
   sudo mkdir -p /var/aziot/certs
   sudo chown aziotcs:aziotcs /var/aziot/certs
   sudo chmod 755 /var/aziot/certs
   
   sudo mkdir -p /var/aziot/secrets
   sudo chown aziotks:aziotks /var/aziot/secrets
   sudo chmod 700 /var/aziot/secrets
   

5. Helyezze át a tanúsítványokat és a kulcsokat az előnyben részesített /var/aziot könyvtárba.

   # Move the Edge CA certificate and key to preferred location
   sudo mv ~/azure-iot-test-only.root.ca.cert.pem /var/aziot/certs
   sudo mv ~/iot-edge-device-ca-<cert name>-full-chain.cert.pem /var/aziot/certs
   sudo mv ~/iot-edge-device-ca-<cert name>.key.pem /var/aziot/secrets
   

6. Módosítsa a tanúsítványok és kulcsok tulajdonjogát és engedélyeit.

   # Give aziotcs ownership to certificate
   # Read and write for aziotcs, read-only for others
   sudo chown aziotcs:aziotcs /var/aziot/certs/azure-iot-test-only.root.ca.cert.pem
   sudo chown aziotcs:aziotcs /var/aziot/certs/iot-edge-device-ca-<cert name>-full-chain.cert.pem
   sudo chmod 644 /var/aziot/certs/azure-iot-test-only.root.ca.cert.pem
   sudo chmod 644 /var/aziot/certs/iot-edge-device-ca-<cert name>-full-chain.cert.pem
   
   # Give aziotks ownership to private key
   # Read and write for aziotks, no permission for others
   sudo chown aziotks:aziotks /var/aziot/secrets/iot-edge-device-ca-<cert name>.key.pem
   sudo chmod 600 /var/aziot/secrets/iot-edge-device-ca-<cert name>.key.pem
   

7. Lépjen ki az EFLOW virtuálisgép-kapcsolatból.

   exit
   

Tanúsítványok konfigurálása az eszközön

1. Az IoT Edge-eszközön nyissa meg a következő konfigurációs fájlt: /etc/aziot/config.toml. Ha Az IoT Edge for Linuxot Windows rendszeren használja, csatlakozzon az EFLOW virtuális géphez a Connect-EflowVm PowerShell-parancsmag használatával.

   Tipp.

   Ha a konfigurációs fájl még nem létezik az eszközön, akkor sablonként használva /etc/aziot/config.toml.edge.template hozzon létre egyet.

2. Keresse meg a paramétert trust_bundle_cert . Bontsa ki ezt a sort, és adja meg a fájl URI-ját az eszköz legfelső szintű hitelesítésszolgáltatói tanúsítványfájljának.

3. Keresse meg a [edge_ca] fájl szakaszát. Bontsa ki a szakasz három sorát, és adja meg a fájl URI-jait a tanúsítványnak és a kulcsfájloknak az alábbi tulajdonságok értékeiként:

   • tanúsítvány: Edge CA-tanúsítvány
   • pk: eszköz ca titkos kulcsa

4. Mentse és zárja be a fájlt.

5. Alkalmazza a módosításokat.

   sudo iotedge config apply
   

EdgeHub üzembe helyezése és üzenetek átirányítása

Az alsóbb rétegbeli eszközök telemetriát és üzeneteket küldenek az átjáróeszköznek, ahol az IoT Edge hub modul más modulokhoz vagy az IoT Hubhoz irányítja az információkat. Az átjáróeszköznek a függvényhez való előkészítéséhez győződjön meg arról, hogy:

• Az IoT Edge hub modul üzembe van helyezve az eszközön.

  Amikor az IoT Edge-et egy eszközre telepíti, csak egy rendszermodul indul el automatikusan: az IoT Edge-ügynök. Amikor létrehozza az első üzembe helyezést egy eszközhöz, a második rendszermodul és az IoT Edge Hub is elindul. Ha az edgeHub-modul nem fut az eszközön, hozzon létre egy üzembe helyezést az eszközhöz.

• Az IoT Edge hub modul útvonalai vannak beállítva az alsóbb rétegbeli eszközökről érkező bejövő üzenetek kezelésére.

  Az átjáróeszköznek szüksége van egy útvonalra az alsóbb rétegbeli eszközökről érkező üzenetek kezeléséhez, vagy ezek az üzenetek nem lesznek feldolgozva. Az üzeneteket elküldheti az átjáróeszköz moduljainak vagy közvetlenül az IoT Hubnak.

Az IoT Edge Hub modult üzembe helyezéséhez és az útvonalak beállításához a bejövő üzenetek kezelése az alacsonyabb szintű eszközökről kövesse az alábbi lépéseket:

1. Az Azure Portalon nyissa meg az IoT Hubot.

2. Lépjen az Eszközök elemre az Eszközfelügyelet menüben, és válassza ki az átjáróként használni kívánt IoT Edge-eszközt.

3. Válassza a Modulok beállítása lehetőséget.

4. A Modulok lapon adja hozzá az átjáróeszközre telepíteni kívánt modulokat. Ebben a cikkben az edgeHub-modul konfigurálására és üzembe helyezésére összpontosít, amelyet nem kell explicit módon beállítani ezen a lapon.

5. Válassza a Tovább: Útvonalak lehetőséget.

6. Az Útvonalak lapon győződjön meg arról, hogy van egy útvonal az alsóbb rétegbeli eszközökről érkező üzenetek kezelésére. Példa:

   • Egy útvonal, amely az összes üzenetet elküldi, akár modulból, akár egy alsóbb rétegbeli eszközről az IoT Hubra:

     • Név: allMessagesToHub
     • Érték: FROM /messages/* INTO $upstream

   • Az összes üzenetet az összes alsóbb rétegbeli eszközről az IoT Hubra küldő útvonal:

     • Név: allDownstreamToHub
     • Érték: FROM /messages/* WHERE NOT IS_DEFINED ($connectionModuleId) INTO $upstream

     Ez az útvonal azért működik, mert az IoT Edge-moduloktól származó üzenetektől eltérően az alsóbb rétegbeli eszközökről érkező üzenetekhez nincs hozzárendelve modulazonosító. Az útvonal WHERE záradékával kiszűrheti az adott rendszertulajdonságú üzeneteket.

     Az üzenet-útválasztással kapcsolatos további információkért lásd a modulok üzembe helyezését és az útvonalak létrehozását ismertető témakört.

7. Az útvonal vagy útvonalak létrehozása után válassza a Véleményezés + létrehozás lehetőséget.

8. A Véleményezés + létrehozás lapon válassza a Létrehozás lehetőséget.

Portok megnyitása átjáróeszközön

A normál IoT Edge-eszközöknek nincs szükségük bejövő kapcsolatra a működéshez, mivel az IoT Hubbal való kommunikáció kimenő kapcsolatokon keresztül történik. Az átjáróeszközök eltérőek, mert üzeneteket kell fogadniuk az alsóbb rétegbeli eszközeikről. Ha a tűzfal az alsóbb rétegbeli eszközök és az átjáróeszköz között van, akkor a tűzfalon keresztül is lehetővé kell tenni a kommunikációt.

IoT Edge

Ahhoz, hogy egy átjáróforgatókönyv működjön, az IoT Edge Hub által támogatott protokollok legalább egyikének nyitva kell lennie az alsóbb rétegbeli eszközökről érkező bejövő forgalom számára. A támogatott protokollok a következők: MQTT, AMQP, HTTPS, MQTT websocketeken keresztül, és AMQP websocketeken keresztül.

Kikötő	Protokoll
8883	MQTT
5671	AMQP (Advanced Message Queuing Protocol)
443	HTTPS MQTT+WS AMQP+WS

Linuxhoz készült IoT Edge Windows rendszeren

Ahhoz, hogy egy átjáróforgatókönyv működjön, az IoT Edge Hub által támogatott protokollok legalább egyikének nyitva kell lennie az alsóbb rétegbeli eszközökről érkező bejövő forgalom számára. A támogatott protokollok a következők: MQTT, AMQP, HTTPS, MQTT websocketeken keresztül, és AMQP websocketeken keresztül.

Kikötő	Protokoll
8883	MQTT
5671	AMQP (Advanced Message Queuing Protocol)
443	HTTPS MQTT+WS AMQP+WS

Ezután nyissa meg az EFLOW virtuálisgép-portokat. A korábban említett három port megnyitásához használja az alábbi PowerShell-parancsmagokat.

# Open MQTT port
Invoke-EflowVmCommand "sudo iptables -A INPUT -p tcp --dport 8883 -j ACCEPT"

# Open AMQP port
Invoke-EflowVmCommand "sudo iptables -A INPUT -p tcp --dport 5671 -j ACCEPT"

# Open HTTPS/MQTT+WS/AMQP+WS port
Invoke-EflowVmCommand "sudo iptables -A INPUT -p tcp --dport 443 -j ACCEPT"

# Save the iptables rules
Invoke-EflowVmCommand "sudo iptables-save | sudo tee /etc/systemd/scripts/ip4save"

Következő lépések

Most, hogy egy IoT Edge-eszközt transzparens átjáróként állított be, állítsa be az alsóbb rétegbeli eszközöket, hogy megbízzanak az átjáróban, és üzeneteket küldjenek neki. Folytassa egy alsóbb rétegbeli eszköz hitelesítését az Azure IoT Hubon a transzparens átjáró forgatókönyvének következő lépéseihez.