Bagikan melalui

Mengonfigurasi perangkat IoT Edge untuk bertindak sebagai gateway transparan

Berlaku untuk:Tanda centang IoT Edge 1.5 IoT Edge 1.5

Penting

IoT Edge 1.5 LTS adalah rilis yang didukung. IoT Edge 1.4 LTS adalah akhir masa pakai per 12 November 2024. Jika Anda menggunakan rilis sebelumnya, lihat Memperbarui IoT Edge.

Artikel ini memberikan instruksi terperinci untuk mengonfigurasi perangkat IoT Edge sebagai gateway transparan sehingga perangkat lain dapat tersambung ke IoT Hub. Dalam artikel ini, gateway IoT Edge berarti perangkat IoT Edge yang dikonfigurasi sebagai gateway transparan. Untuk mengetahui informasi selengkapnya, lihat Bagaimana perangkat IoT Edge dapat digunakan sebagai gateway.

Catatan

Perangkat hilir tidak dapat menggunakan pengunggahan file.

Ada tiga langkah utama untuk menyiapkan koneksi gateway transparan. Artikel ini membahas langkah pertama:

  1. Konfigurasikan perangkat gateway sebagai server sehingga perangkat hilir dapat terhubung dengan aman. Siapkan gateway untuk menerima pesan dari perangkat hilir dan merutekannya ke tujuan yang tepat.
  2. Buat identitas perangkat untuk perangkat hilir sehingga dapat mengautentikasi dengan IoT Hub. Konfigurasikan perangkat hilir untuk mengirim pesan melalui perangkat gateway. Untuk langkah-langkah tersebut, lihat Mengautentikasi perangkat hilir ke Azure IoT Hub.
  3. Sambungkan perangkat hilir ke perangkat gateway dan mulai mengirim pesan. Untuk langkah-langkah ini, lihat Menyambungkan perangkat hilir ke gateway Azure IoT Edge.

Untuk bertindak sebagai gateway, perangkat perlu terhubung dengan aman ke perangkat hilirnya. Azure IoT Edge memungkinkan Anda menggunakan infrastruktur kunci umum (PKI) untuk menyiapkan koneksi aman antar perangkat. Dalam hal ini, perangkat hilir tersambung ke perangkat IoT Edge yang bertindak sebagai gateway transparan. Untuk menjaga keamanan, perangkat hilir memeriksa identitas perangkat gateway. Pemeriksaan ini membantu mencegah perangkat tersambung ke gateway berbahaya.

Perangkat hilir dapat berupa aplikasi atau platform apa pun dengan identitas yang dibuat di Azure IoT Hub. Aplikasi ini sering menggunakan SDK perangkat IoT Azure. Perangkat hilir bahkan dapat menjadi aplikasi yang berjalan di perangkat gateway IoT Edge itu sendiri.

Anda dapat membuat infrastruktur sertifikat apa pun yang memungkinkan kepercayaan yang diperlukan untuk topologi gateway perangkat Anda. Dalam artikel ini, kami menggunakan penyiapan sertifikat yang sama dengan keamanan CA X.509 di IoT Hub. Penyiapan ini menggunakan sertifikat CA X.509 yang terkait dengan hub IoT tertentu (CA akar hub IoT), serangkaian sertifikat yang ditandatangani dengan CA ini, dan CA untuk perangkat IoT Edge.

Catatan

Istilah sertifikat CA akar yang digunakan di seluruh artikel ini mengacu pada sertifikat publik otoritas tertinggi dari rantai sertifikat PKI, dan belum tentu akar sertifikat dari otoritas sertifikat bersindikasi. Dalam banyak kasus, ini sebenarnya adalah sertifikat publik CA perantara.

Ikuti langkah-langkah ini untuk membuat sertifikat dan menginstalnya di tempat yang tepat di gateway. Gunakan komputer apa pun untuk menghasilkan sertifikat, lalu salin ke perangkat IoT Edge Anda.

Prasyarat

Anda memerlukan perangkat Linux atau Windows dengan IoT Edge terinstal.

Jika Anda tidak memiliki perangkat yang siap, buat perangkat di komputer virtual Azure. Ikuti langkah-langkah dalam Menyebarkan modul IoT Edge pertama Anda ke perangkat Linux virtual untuk membuat IoT Hub, membuat komputer virtual, dan mengonfigurasi runtime IoT Edge.

Menyiapkan sertifikat CA Edge

Semua gateway IoT Edge memerlukan sertifikat EDGE CA yang terinstal di dalamnya. Daemon keamanan IoT Edge menggunakan sertifikat CA Edge untuk menandatangani sertifikat OS beban kerja, yang pada gilirannya menandatangani sertifikat server untuk hub IoT Edge. Gateway menyajikan sertifikat servernya ke perangkat hilir selama inisiasi koneksi. Perangkat hilir memeriksa untuk memastikan bahwa sertifikat server adalah bagian dari rantai sertifikat yang di-rollup ke sertifikat OS akar. Proses ini memungkinkan perangkat hilir untuk mengonfirmasi bahwa gateway berasal dari sumber tepercaya. Untuk mengetahui informasi selengkapnya, lihat Memahami cara Azure IoT Edge menggunakan sertifikat.

Cuplikan layar yang memperlihatkan penyiapan sertifikat gateway.

Sertifikat OS akar dan sertifikat CA Edge (dengan kunci privatnya) harus berada di perangkat gateway IoT Edge dan diatur dalam file konfigurasi IoT Edge. Dalam hal ini, sertifikat CA akar berarti otoritas sertifikat teratas untuk skenario IoT Edge ini. Sertifikat Gateway Edge CA dan sertifikat perangkat downstream harus digabung ke sertifikat root CA yang sama.

Petunjuk / Saran

Proses penginstalan sertifikat OS akar dan sertifikat CA Edge pada perangkat IoT Edge juga dijelaskan secara lebih rinci dalam Mengelola sertifikat pada perangkat IoT Edge.

Siapkan file berikut ini:

  • Sertifikat OS Akar
  • Sertifikat OS Tepi
  • Kunci privat OS Perangkat

Untuk skenario produksi, buat file-file ini dengan otoritas sertifikat Anda sendiri. Untuk skenario pengembangan dan pengujian, Anda dapat menggunakan sertifikat demo.

Membuat sertifikat demo

Jika Anda tidak memiliki otoritas sertifikat sendiri dan ingin menggunakan sertifikat demo, ikuti instruksi dalam Membuat sertifikat demo untuk menguji fitur perangkat IoT Edge untuk membuat file Anda. Pada halaman tersebut, ikuti langkah-langkah berikut:

  1. Siapkan skrip untuk membuat sertifikat di perangkat Anda.
  2. Membuat sertifikat OS akar. Pada akhirnya, Anda memiliki file sertifikat CA akar <path>/certs/azure-iot-test-only.root.ca.cert.pem.
  3. Membuat sertifikat CA Edge. Pada akhirnya, Anda memiliki sertifikat <path>/certs/iot-edge-device-ca-<cert name>-full-chain.cert.pem CA Edge dan kunci <path>/private/iot-edge-device-ca-<cert name>.key.pemprivatnya .

Menyalin sertifikat ke perangkat

  1. Periksa sertifikat memenuhi persyaratan format.

  2. Jika Anda membuat sertifikat di komputer lain, salin ke perangkat IoT Edge Anda. Gunakan drive USB, layanan seperti Azure Key Vault, atau perintah seperti Salinan file aman.

  3. Pindahkan file ke direktori pilihan untuk sertifikat dan kunci: /var/aziot/certs untuk sertifikat dan /var/aziot/secrets untuk kunci.

  4. Buat direktori sertifikat dan kunci dan atur izin. Simpan sertifikat dan kunci Anda di direktori pilihan /var/aziot : /var/aziot/certs untuk sertifikat dan /var/aziot/secrets untuk kunci.

    # If the certificate and keys directories don't exist, create, set ownership, and set permissions
sudo mkdir -p /var/aziot/certs
sudo chown aziotcs:aziotcs /var/aziot/certs
sudo chmod 755 /var/aziot/certs

sudo mkdir -p /var/aziot/secrets
sudo chown aziotks:aziotks /var/aziot/secrets
sudo chmod 700 /var/aziot/secrets

  5. Ubah kepemilikan dan izin untuk sertifikat dan kunci.

    # Give aziotcs ownership to certificates
# Read and write for aziotcs, read-only for others
sudo chown -R aziotcs:aziotcs /var/aziot/certs
sudo find /var/aziot/certs -type f -name "*.*" -exec chmod 644 {} \;

# Give aziotks ownership to private keys
# Read and write for aziotks, no permission for others
sudo chown -R aziotks:aziotks /var/aziot/secrets
 sudo find /var/aziot/secrets -type f -name "*.*" -exec chmod 600 {} \;

Mengonfigurasi sertifikat pada perangkat

  1. Di perangkat IoT Edge Anda, buka file konfigurasi: /etc/aziot/config.toml. Jika Anda menggunakan IoT Edge untuk Linux di Windows, sambungkan ke komputer virtual EFLOW menggunakan Connect-EflowVm cmdlet PowerShell.

    Petunjuk / Saran

    Jika file konfigurasi belum ada di perangkat Anda, maka gunakan /etc/aziot/config.toml.edge.template sebagai templat untuk membuatnya.

  2. Temukan parameter trust_bundle_cert. Batalkan komentar baris ini dan berikan URI file ke file sertifikat OS akar pada perangkat Anda.

  3. Temukan bagian [edge_ca] file. Batalkan komentar tiga baris di bagian ini dan berikan URI file ke sertifikat dan file kunci Anda sebagai nilai untuk properti berikut ini:

    • cert: Sertifikat CA Edge
    • pk: kunci privat OS Perangkat

  4. Simpan dan tutup file.

  5. Terapkan perubahan Anda.

    sudo iotedge config apply

Menyebarkan edgeHub dan merutekan pesan

Perangkat hilir mengirim telemetri dan pesan ke perangkat gateway, tempat modul hub IoT Edge merutekan informasi ke modul lain atau ke IoT Hub. Untuk menyiapkan perangkat gateway Anda untuk fungsi ini, pastikan bahwa:

  • Modul hub IoT Edge disebarkan ke perangkat.

    Saat Anda menginstal IoT Edge pada perangkat, hanya satu modul sistem yang dimulai secara otomatis: agen IoT Edge. Saat Anda membuat penyebaran pertama untuk perangkat, modul sistem kedua dan hub IoT Edge juga mulai beroperasi. Jika modul edgeHub tidak berjalan di perangkat Anda, buat penyebaran untuk perangkat Anda.

  • Modul hub IoT Edge memiliki rute yang disiapkan untuk menangani pesan masuk dari perangkat hilir.

    Perangkat gateway memerlukan rute untuk menangani pesan dari perangkat hilir, atau pesan tersebut tidak diproses. Anda dapat mengirim pesan ke modul di perangkat gateway atau langsung ke IoT Hub.

Untuk menyebarkan modul hub IoT Edge dan mengonfigurasi rute untuk menangani pesan masuk dari perangkat hilir, ikuti langkah-langkah berikut:

  1. Di portal Microsoft Azure, buka hub IoT Anda.

  2. Buka Perangkat di bawah menu Manajemen perangkat dan pilih perangkat IoT Edge Anda untuk digunakan sebagai gateway.

  3. Pilih Atur Modul.

  4. Pada halaman Modul , tambahkan modul apa pun yang ingin Anda sebarkan ke perangkat gateway. Dalam artikel ini, Anda berfokus pada konfigurasi dan penyebaran modul edgeHub, yang tidak perlu diatur secara eksplisit di halaman ini.

  5. Pilih Berikutnya: Rute.

  6. Pada halaman Rute , pastikan ada rute untuk menangani pesan dari perangkat hilir. Contohnya:

    • Rute yang mengirim semua pesan, baik dari modul atau dari perangkat hilir, ke IoT Hub:

      • Nama: allMessagesToHub
      • Nilai: FROM /messages/* INTO $upstream

    • Rute yang mengirim semua pesan dari semua perangkat hilir ke IoT Hub:

      • Nama: allDownstreamToHub
      • Nilai: FROM /messages/* WHERE NOT IS_DEFINED ($connectionModuleId) INTO $upstream

      Rute ini berfungsi karena, tidak seperti pesan dari modul IoT Edge, pesan dari perangkat hilir tidak memiliki ID modul yang terkait dengannya. Menggunakan klausul WHERE dari rute memungkinkan Anda memfilter pesan apa pun dengan properti sistem tersebut.

      Untuk mengetahui informasi selengkapnya tentang perutean pesan, lihat Menyebarkan modul dan membuat rute.

  7. Setelah Anda membuat rute atau beberapa rute, pilih Tinjau + buat.

  8. Pada halaman Tinjau + buat, pilih Buat.

Buka port pada perangkat gateway

Perangkat IoT Edge standar tidak memerlukan konektivitas masuk untuk berfungsi, karena semua komunikasi dengan IoT Hub dilakukan melalui koneksi keluar. Perangkat gateway berbeda karena mereka perlu menerima pesan dari perangkat hilir. Jika firewall berada di antara perangkat hilir dan perangkat gateway, maka komunikasi juga harus dimungkinkan melalui firewall.

Agar skenario gateway berfungsi, setidaknya salah satu protokol IoT Edge Hub yang didukung harus terbuka untuk lalu lintas masuk dari perangkat hilir. Protokol yang didukung adalah MQTT, AMQP, HTTPS, MQTT melalui WebSocket, dan AMQP melalui WebSocket.

Pelabuhan Protokol
8883 MQTT
5671 AMQP
443 HTTPS
MQTT+WS
AMQP+WS

Langkah berikutnya

Sekarang setelah Anda menyiapkan perangkat IoT Edge sebagai gateway transparan, siapkan perangkat hilir Anda untuk mempercayai gateway dan mengirim pesan ke dalamnya. Lanjutkan mengautentikasi perangkat hilir ke Azure IoT Hub untuk langkah berikutnya dalam skenario gateway transparan Anda.

  • Last updated on