Bagikan melalui


Mengonfigurasi perangkat IoT Edge untuk berkomunikasi melalui server proksi

Berlaku untuk: Tanda centang IoT Edge 1.5 IoT Edge 1.5 Tanda centang IoT Edge 1.4 IoT Edge 1.4

Penting

IoT Edge 1.5 LTS dan IoT Edge 1.4 LTS adalah rilis yang didukung. IoT Edge 1.4 LTS adalah akhir masa pakai pada 12 November 2024. Jika Anda menggunakan rilis sebelumnya, lihat Memperbarui IoT Edge.

Perangkat IoT Edge mengirim permintaan HTTPS untuk berkomunikasi dengan IoT Hub. Jika Anda menyambungkan perangkat ke jaringan yang menggunakan server proksi, Anda perlu mengonfigurasi runtime IoT Edge untuk berkomunikasi melalui server. Server proksi juga dapat memengaruhi modul IoT Edge individual jika mereka membuat permintaan HTTP atau HTTPS yang belum Anda rutekan melalui hub IoT Edge.

Artikel ini membahas empat langkah berikut untuk dikonfigurasi, lalu mengelola perangkat IoT Edge di belakang server proksi:

  1. Menginstal runtime IoT Edge di perangkat Anda

    Skrip instalasi IoT Edge menarik paket dan file dari internet, sehingga perangkat Anda perlu berkomunikasi melalui server proksi untuk membuat permintaan tersebut. Untuk perangkat Windows, skrip instalasi juga menyediakan opsi instalasi offline.

    Langkah ini adalah proses sekali untuk mengonfigurasi perangkat IoT Edge saat pertama kali mengaturnya. Anda juga memerlukan koneksi yang sama ini saat memperbarui runtime IoT Edge.

  2. Mengonfigurasi IoT Edge dan runtime kontainer di perangkat Anda

    IoT Edge bertanggung jawab atas komunikasi dengan IoT Hub. Runtime kontainer bertanggung jawab atas manajemen kontainer, sehingga berkomunikasi dengan registri kontainer. Kedua komponen ini perlu membuat permintaan web melalui server proksi.

    Langkah ini adalah proses sekali untuk mengonfigurasi perangkat IoT Edge saat pertama kali mengaturnya.

  3. Mengonfigurasi properti agen IoT Edge dalam file konfigurasi di perangkat Anda

    Daemon IoT Edge pada awalnya memulai modul edgeAgent. Kemudian, modul edgeAgent mengambil manifes penyebaran dari IoT Hub dan memulai semua modul lainnya. Konfigurasikan variabel lingkungan modul edgeAgent secara manual pada perangkat itu sendiri, sehingga agen IoT Edge dapat membuat koneksi awal ke IoT Hub. Setelah koneksi awal, Anda dapat mengonfigurasi modul edgeAgent dari jarak jauh.

    Langkah ini adalah proses sekali untuk mengonfigurasi perangkat IoT Edge saat pertama kali mengaturnya.

  4. Untuk semua penyebaran modul di masa mendatang, tetapkan variabel lingkungan untuk modul apa pun yang berkomunikasi melalui proksi

    Setelah Menyiapkan dan menyambungkan perangkat IoT Edge ke IoT Hub melalui server proksi, Anda perlu mempertahankan koneksi di semua penyebaran modul di masa mendatang.

    Langkah ini adalah proses berjalan yang dilakukan dari jarak jauh sehingga setiap modul atau pembaruan penyebaran baru akan mempertahankan kemampuan perangkat untuk berkomunikasi melalui server proksi.

Mengetahui URL proksi Anda

Sebelum memulai salah satu langkah dalam artikel ini, Anda perlu mengetahui URL proksi Anda.

URL proksi mengambil format berikut: protokol://proxy_host:proxy_port.

  • Protokol ini adalah HTTP atau HTTPS. Daemon Docker dapat menggunakan salah satu protokol, bergantung pada pengaturan registri kontainer Anda, tetapi daemon IoT Edge dan kontainer runtime harus selalu menggunakan HTTP agar tersambung ke proksi.

  • Aplikasi proxy_host adalah alamat untuk server proksi. Jika server proksi Anda memerlukan autentikasi, Anda dapat menyediakan kredensial Anda sebagai bagian dari host proksi dengan format berikut: pengguna:kata sandi@proxy_host.

  • Sistem proxy_port adalah port jaringan tempat proksi merespons lalu lintas jaringan.

Menginstal IoT Edge melalui proksi

Baik perangkat IoT Edge Anda berjalan di Windows maupun Linux, Anda perlu mengakses paket instalasi melalui server proksi. Bergantung pada sistem operasi Anda, ikuti langkah-langkah untuk menginstal runtime IoT Edge melalui server proksi.

Perangkat Linux

Jika Anda menginstal runtime IoT Edge di perangkat Linux, konfigurasikan pengelola paket agar berjalan melalui server proksi untuk mengakses paket instalasi. Misalnya Siapkan apt-get untuk menggunakan http-proxy. Setelah Anda mengonfigurasi manajer paket, ikuti instruksi di Menginstal runtime Azure IoT Edge seperti biasa.

Perangkat Windows yang menggunakan IoT Edge untuk Linux di Windows

Jika Anda menginstal runtime IoT Edge menggunakan IoT Edge untuk Linux di Windows, IoT Edge akan diinstal secara default pada komputer virtual Linux Anda. Anda tidak diharuskan menginstal atau memperbarui langkah-langkah lain.

Perangkat Windows yang menggunakan kontainer Windows

Jika menginstal runtime IoT Edge pada perangkat Windows, Anda harus melalui server proksi dua kali. Koneksi pertama adalah mengunduh file skrip penginstal, dan koneksi kedua adalah selama instalasi untuk mengunduh komponen yang diperlukan. Anda dapat mengonfigurasi informasi proksi di pengaturan Windows, atau menyertakan informasi proksi Anda secara langsung di perintah PowerShell.

Langkah-langkah berikut menunjukkan contoh penginstalan windows menggunakan argumen -proxy:

  1. Perintah Cabut-WebRequest memerlukan informasi proksi untuk mengakses skrip penginstal. Kemudian, perintah Sebarkan-IoTEdge membutuhkan informasi proksi untuk mengunduh file instalasi.

    . {Invoke-WebRequest -proxy <proxy URL> -useb aka.ms/iotedge-win} | Invoke-Expression; Deploy-IoTEdge -proxy <proxy URL>
    
  2. Perintah Inisialisasi-IoTEdge tidak perlu melalui server proksi, sehingga langkah kedua hanya memerlukan informasi proksi untuk Cabut-WebRequest.

    . {Invoke-WebRequest -proxy <proxy URL> -useb aka.ms/iotedge-win} | Invoke-Expression; Initialize-IoTEdge
    

Jika Anda memiliki kredensial yang rumit untuk server proksi yang tidak dapat Anda sertakan dalam URL, gunakan -ProxyCredential parameter dalam -InvokeWebRequestParameters. Contohnya,

$proxyCredential = (Get-Credential).GetNetworkCredential()
. {Invoke-WebRequest -proxy <proxy URL> -ProxyCredential $proxyCredential -useb aka.ms/iotedge-win} | Invoke-Expression; `
Deploy-IoTEdge -InvokeWebRequestParameters @{ '-Proxy' = '<proxy URL>'; '-ProxyCredential' = $proxyCredential }

Untuk informasi selengkapnya tentang parameter proksi, lihat Cabut-WebRequest.

Mengonfigurasi IoT Edge dan Moby

IoT Edge mengandalkan dua daemon yang berjalan pada perangkat IoT Edge. Daemon Moby membuat permintaan web untuk menarik gambar kontainer dari registri kontainer. Daemon IoT Edge membuat permintaan web untuk berkomunikasi dengan IoT Hub.

Anda harus mengonfigurasi daemon Moby dan IoT Edge untuk menggunakan server proksi untuk fungsionalitas perangkat yang sedang berlangsung. Langkah ini terjadi pada perangkat IoT Edge selama pengaturan perangkat awal.

Daemon Moby

Karena Moby dibangun di Docker, lihat dokumentasi Docker untuk mengonfigurasi daemon Moby dengan variabel lingkungan. Sebagian besar registri kontainer (termasuk Registri Kontainer DockerHub dan Azure) mendukung permintaan HTTPS, sehingga parameter yang harus Anda tetapkan adalah HTTPS_PROXY. Jika Anda menarik gambar dari registri yang tidak mendukung keamanan lapisan transport (TLS), Anda harus mengatur parameter HTTP_PROXY.

Pilih artikel yang berlaku untuk sistem operasi perangkat IoT Edge Anda:

Daemon IoT Edge

Daemon IoT Edge mirip dengan daemon Moby. Gunakan langkah-langkah berikut untuk mengatur variabel lingkungan untuk layanan, berdasarkan sistem operasi Anda.

Daemon IoT Edge selalu menggunakan HTTPS untuk mengirim permintaan ke IoT Hub.

Linux

Buka editor di terminal untuk mengonfigurasi daemon IoT Edge.

sudo systemctl edit aziot-edged

Masukkan teks berikut, ganti <URL> proksi dengan alamat dan port server proksi Anda. Kemudian, simpan dan keluar.

[Service]
Environment="https_proxy=<proxy URL>"

Mulai versi 1.2, IoT Edge menggunakan layanan identitas IoT untuk menangani provisi perangkat dengan IoT Hub atau IoT Hub Device Provisioning Service. Buka editor di terminal untuk mengonfigurasi daemon layanan identitas IoT.

sudo systemctl edit aziot-identityd

Masukkan teks berikut, ganti <URL> proksi dengan alamat dan port server proksi Anda. Kemudian, simpan dan keluar.

[Service]
Environment="https_proxy=<proxy URL>"

Refresh pengelola layanan untuk mengambil konfigurasi baru.

sudo systemctl daemon-reload

Mulai ulang layanan sistem IoT Edge agar perubahan pada kedua daemon diterapkan.

sudo iotedge system restart

Verifikasi bahwa variabel lingkungan Anda dan konfigurasi baru ada.

systemctl show --property=Environment aziot-edged
systemctl show --property=Environment aziot-identityd

Windows menggunakan IoT Edge untuk Linux di Windows

Masuk ke IoT Edge anda untuk Linux di komputer virtual Windows:

Connect-EflowVm

Ikuti langkah yang sama dengan bagian Linux di artikel ini untuk mengonfigurasi daemon IoT Edge.

Windows yang menggunakan kontainer Windows

Buka jendela PowerShell sebagai administrator dan jalankan perintah berikut untuk mengedit registri dengan variabel lingkungan baru. Ganti <url> proksi dengan alamat server proksi dan port Anda.

reg add HKLM\SYSTEM\CurrentControlSet\Services\iotedge /v Environment /t REG_MULTI_SZ /d https_proxy=<proxy URL>

Mulai ulang IoT Edge agar perubahan diterapkan.

Restart-Service iotedge

Mengonfigurasi agen IoT Edge

Agen IoT Edge adalah modul pertama yang dimulai pada perangkat IoT Edge mana pun. Modul ini dimulai untuk pertama kalinya berdasarkan informasi dalam file konfigurasi IoT Edge. Agen IoT Edge kemudian terhubung ke IoT Hub untuk mengambil manifes penyebaran. Manifes menyatakan modul lain mana yang harus disebarkan perangkat.

Langkah ini terjadi sekali pada perangkat IoT Edge selama pengaturan perangkat awal.

  1. Buka file konfigurasi di perangkat IoT Edge Anda: /etc/aziot/config.toml. Anda memerlukan hak administratif untuk mengakses file konfigurasi. Pada sistem Linux, gunakan perintah sudo sebelum membuka file di editor teks pilihan Anda.

  2. Dalam file konfigurasi, temukan bagian [agent], yang berisi semua informasi konfigurasi untuk modul edgeAgent untuk digunakan pada saat penyalaan. Periksa untuk memastikan bagian [agent] tersebut tanpa komentar. Jika bagian [agent] hilang, tambahkan ke config.toml. Definisi agen IoT Edge mencakup subbagian [agent.env] tempat Anda dapat menambahkan variabel lingkungan.

  3. Tambahkan parameter https_proxy ke bagian variabel lingkungan dan tetapkan URL proksi Anda sebagai nilainya.

    [agent]
    name = "edgeAgent"
    type = "docker"
    
    [agent.config]
    image = "mcr.microsoft.com/azureiotedge-agent:1.5"
    
    [agent.env]
    # "RuntimeLogLevel" = "debug"
    # "UpstreamProtocol" = "AmqpWs"
    "https_proxy" = "<proxy URL>"
    
  4. Runtime IoT Edge menggunakan AMQP secara default untuk berkomunikasi dengan IoT Hub. Beberapa server proksi memblokir port AMQP. Jika itu masalahnya, Anda juga perlu mengonfigurasi edgeAgent untuk menggunakan AMQP melalui WebSocket. Batalkan komentar pada parameter UpstreamProtocol.

    [agent.config]
    image = "mcr.microsoft.com/azureiotedge-agent:1.5"
    
    [agent.env]
    # "RuntimeLogLevel" = "debug"
    "UpstreamProtocol" = "AmqpWs"
    "https_proxy" = "<proxy URL>"
    
  5. Tambahkan parameter https_proxy ke bagian variabel lingkungan dan tetapkan URL proksi Anda sebagai nilainya.

    [agent]
    name = "edgeAgent"
    type = "docker"
    
    [agent.config]
    image = "mcr.microsoft.com/azureiotedge-agent:1.5"
    
    [agent.env]
    # "RuntimeLogLevel" = "debug"
    # "UpstreamProtocol" = "AmqpWs"
    "https_proxy" = "<proxy URL>"
    
  6. Runtime IoT Edge menggunakan AMQP secara default untuk berkomunikasi dengan IoT Hub. Beberapa server proksi memblokir port AMQP. Jika itu masalahnya, Anda juga perlu mengonfigurasi edgeAgent untuk menggunakan AMQP melalui WebSocket. Batalkan komentar pada parameter UpstreamProtocol.

    [agent.config]
    image = "mcr.microsoft.com/azureiotedge-agent:1.5"
    
    [agent.env]
    # "RuntimeLogLevel" = "debug"
    "UpstreamProtocol" = "AmqpWs"
    "https_proxy" = "<proxy URL>"
    
  7. Simpan perubahan dan tutup editor. Terapkan perubahan terbaru Anda.

    sudo iotedge config apply
    
  8. Verifikasi bahwa pengaturan proksi Anda disebarluaskan menggunakan docker inspect edgeAgent di bagian .Env Jika tidak, Anda harus membuat ulang kontainer.

    sudo docker rm -f edgeAgent
    
  9. Runtime IoT Edge harus dibuat edgeAgent ulang dalam satu menit. edgeAgent Setelah kontainer berjalan lagi, gunakan docker inspect edgeAgent perintah untuk memverifikasi bahwa pengaturan proksi cocok dengan file konfigurasi.

Mengonfigurasi manifes penyebaran

Setelah Anda mengonfigurasi perangkat IoT Edge untuk bekerja dengan server proksi Anda, deklarasikan variabel lingkungan HTTPS_PROXY dalam manifes penyebaran di masa mendatang. Anda dapat mengedit manifes penyebaran baik menggunakan panduan portal Azure maupun dengan mengedit file JSON manifes penyebaran.

Selalu konfigurasikan dua modul runtime, edgeAgent dan edgeHub, untuk berkomunikasi melalui server proksi sehingga keduanya dapat mempertahankan koneksi dengan IoT Hub. Jika Anda menghapus informasi proksi dari modul edgeAgent, satu-satunya cara untuk membangun kembali koneksi adalah dengan mengedit file konfigurasi pada perangkat, seperti yang dijelaskan di bagian sebelumnya.

Selain modul edgeAgent dan edgeHub, modul lain mungkin memerlukan konfigurasi proksi. Modul yang perlu mengakses sumber daya Azure selain IoT Hub, seperti penyimpanan blob, harus memiliki variabel HTTPS_PROXY yang ditentukan dalam file manifes penyebaran.

Prosedur berikut ini berlaku selama masa berlaku perangkat IoT Edge.

Portal Azure

Saat Anda menggunakan wizard Atur modul untuk membuat penyebaran untuk perangkat IoT Edge, setiap modul memiliki bagian Variabel Lingkungan tempat Anda dapat mengonfigurasi koneksi server proksi.

Untuk mengonfigurasi modul agen IoT Edge dan hub IoT Edge, pilih Pengaturan Runtime pada langkah pertama di wizard.

Cuplikan layar cara mengonfigurasi pengaturan Edge Runtime tingkat lanjut.

Tambahkan variabel lingkungan https_proxy ke agen IoT Edge dan definisi pengaturan runtime modul hub IoT Edge. Jika Anda menyertakan variabel lingkungan UpstreamProtocol dalam file konfigurasi pada perangkat IoT Edge, tambahkan juga variabel tersebut ke definisi modul agen IoT Edge.

Semua modul lain yang Anda tambahkan ke manifes penyebaran akan mengikuti pola yang sama. Pilih Terapkan untuk menyimpan perubahan.

File manifes penyebaran JSON

Jika Anda membuat penyebaran untuk perangkat IoT Edge menggunakan templat di Visual Studio Code atau dengan membuat file JSON secara manual, Anda dapat menambahkan variabel lingkungan secara langsung ke setiap definisi modul. Jika Anda tidak menambahkannya di portal Azure, tambahkan di sini ke file manifes JSON Anda. Ganti <proxy URL> dengan nilai Anda sendiri.

Gunakan format JSON berikut:

"env": {
    "https_proxy": {
        "value": "<proxy URL>"
    }
}

Dengan variabel lingkungan yang disertakan, definisi modul Anda akan terlihat seperti contoh edgeHub berikut:

"edgeHub": {
    "type": "docker",
    "settings": {
        "image": "mcr.microsoft.com/azureiotedge-hub:1.5",
        "createOptions": "{}"
    },
    "env": {
        "https_proxy": {
            "value": "http://proxy.example.com:3128"
        }
    },
    "status": "running",
    "restartPolicy": "always"
}

Jika Anda menyertakan variabel lingkungan UpstreamProtocol dalam file confige.yaml pada perangkat IoT Edge, tambahkan juga variabel tersebut ke definisi modul agen IoT Edge.

"env": {
    "https_proxy": {
        "value": "<proxy URL>"
    },
    "UpstreamProtocol": {
        "value": "AmqpWs"
    }
}

Bekerja dengan proksi inspeksi lalu lintas

Beberapa proksi seperti Zscaler dapat memeriksa lalu lintas terenkripsi TLS. Selama inspeksi lalu lintas TLS, sertifikat yang dikembalikan oleh proksi bukan sertifikat dari server target, tetapi sebaliknya adalah sertifikat yang ditandatangani oleh sertifikat akar proksi sendiri. Secara default, modul IoT Edge (termasuk edgeAgent dan edgeHub) tidak mempercayai sertifikat proksi ini dan jabat tangan TLS gagal.

Untuk mengatasi jabat tangan yang gagal, konfigurasikan modul sistem operasi dan IoT Edge untuk mempercayai sertifikat akar proksi dengan langkah-langkah berikut.

  1. Konfigurasikan sertifikat proksi di penyimpanan sertifikat akar tepercaya dari sistem operasi host Anda. Untuk informasi selengkapnya tentang cara menginstal sertifikat akar, lihat Menginstal OS akar ke penyimpanan sertifikat OS.

  2. Konfigurasikan perangkat IoT Edge Anda untuk berkomunikasi melalui server proksi dengan merujuk sertifikat dalam bundel kepercayaan. Untuk informasi selengkapnya tentang cara mengonfigurasi bundel kepercayaan, lihat Mengelola CA akar tepercaya (bundel kepercayaan).

Untuk mengonfigurasi dukungan proksi inspeksi lalu lintas untuk kontainer yang tidak dikelola oleh IoT Edge, hubungi penyedia proksi Anda.

Nama domain yang sepenuhnya memenuhi syarat (FQDN) tujuan yang berkomunikasi dengan IoT Edge

Jika firewall proksi mengharuskan Anda menambahkan semua FQDN ke daftar yang diizinkan untuk konektivitas internet, tinjau daftar dari Izinkan koneksi dari perangkat IoT Edge untuk menentukan FQDN mana yang akan ditambahkan.

Langkah berikutnya

Pelajari selengkapnya tentang peran runtime IoT Edge.

Memecahkan masalah instalasi dan konfigurasi dengan Masalah umum dan resolusi untuk Azure IoT Edge