Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Keamanan dan skalabilitas adalah prioritas untuk menyebarkan Operasi Azure IoT. Artikel ini menguraikan panduan yang harus Anda pertimbangkan saat menyiapkan Operasi Azure IoT untuk produksi.
Tentukan apakah Anda menyebarkan Operasi Azure IoT ke kluster simpul tunggal atau multi-simpul sebelum mempertimbangkan konfigurasi yang sesuai. Banyak pedoman dalam artikel ini berlaku tidak peduli jenis kluster, tetapi ketika ada perbedaan, dibahas secara khusus.
Plattform
Saat ini, K3s di Ubuntu 24.04 adalah satu-satunya platform yang tersedia secara umum untuk menyebarkan Operasi Azure IoT dalam produksi.
Menyiapkan kluster
Pastikan penyiapan perangkat keras Anda cukup untuk skenario Anda dan Anda mulai dengan lingkungan yang aman.
Konfigurasi sistem
Buat kluster K3s dengan dukungan Arc yang memenuhi persyaratan sistem.
- Gunakan lingkungan yang didukung untuk Operasi Azure IoT.
- Konfigurasikan kluster sesuai dengan dokumentasi.
- Jika Anda mengharapkan konektivitas terputus-terputus untuk kluster Anda, pastikan Anda mengalokasikan ruang disk yang cukup ke data cache kluster dan pesan saat kluster offline. Operasi Azure IoT dapat beroperasi secara offline selama maksimal 72 jam.
- Jika memungkinkan, miliki kluster kedua sebagai area penahapan untuk menguji perubahan baru sebelum menyebarkan ke kluster produksi utama.
- Nonaktifkan autoupgrade untuk Azure Arc agar memiliki kontrol penuh saat pembaruan baru diterapkan ke kluster Anda. Sebagai gantinya, tingkatkan agen secara manual sesuai kebutuhan.
- Untuk kluster multi-simpul: Konfigurasikan kluster dengan Volume Edge untuk mempersiapkan pengaktifan toleransi kesalahan selama penyebaran.
Keamanan
Pertimbangkan langkah-langkah berikut untuk memastikan penyiapan kluster Anda aman sebelum penyebaran.
- Validasi gambar untuk memastikan gambar ditandatangani oleh Microsoft.
- Saat melakukan enkripsi TLS, gunakan penerbit Anda sendiri dan integrasikan dengan PKI perusahaan.
- Gunakan rahasia untuk autentikasi lokal.
- Gunakan identitas terkelola yang ditetapkan pengguna untuk koneksi cloud.
- Selalu perbarui penyebaran Kluster dan Operasi Azure IoT Anda dengan patch terbaru dan rilis kecil untuk mendapatkan semua perbaikan keamanan dan bug yang tersedia.
Jaringan
Jika Anda menggunakan firewall atau proksi perusahaan, tambahkan titik akhir Operasi Azure IoT ke daftar izin Anda.
Observabilitas
Untuk penyebaran produksi, sebarkan sumber daya pengamatan pada kluster Anda sebelum menyebarkan Operasi Azure IoT. Sebaiknya siapkan pemberitahuan Prometheus di Azure Monitor.
Penyebaran
Untuk penyebaran siap produksi, sertakan konfigurasi berikut selama penyebaran Operasi Azure IoT.
broker MQTT
Pada wizard penyebaran portal Azure, resurs broker disiapkan di tab Konfigurasi.
Konfigurasikan pengaturan kardinalitas berdasarkan profil memori dan kebutuhan untuk menangani koneksi dan pesan. Misalnya, pengaturan berikut dapat mendukung kluster node tunggal atau multi-simpul:
Pengaturan Simpul tunggal Multi nodus frontendReplicas 1 5 Pekerja Frontend 4 8 backendRedundancyFactor 2 2 backendWorkers 1 4 backendPartitions 1 5 Profil memori Rendah Tinggi Atur buffer pesan yang didukung disk dengan ukuran maks yang mencegah luapan RAM.
Registri dan penyimpanan skema
Di wizard penyebaran portal Azure, registri skema dan akun penyimpanan yang diperlukan disiapkan di tab Manajemen dependensi.
- Akun penyimpanan harus mengaktifkan namespace hierarkis.
- Identitas terkelola registri skema harus memiliki izin kontributor untuk akun penyimpanan.
- Akun penyimpanan hanya didukung dengan akses jaringan publik diaktifkan.
Untuk penyebaran produksi, batasi akses jaringan publik dari akun penyimpanan untuk mengizinkan lalu lintas hanya dari layanan Azure yang tepercaya. Contohnya:
- Di portal Microsoft Azure, navigasikan ke akun penyimpanan yang digunakan registri skema Anda.
- Pilih Keamanan + Jaringan jaringan > dari menu navigasi.
- Untuk pengaturan akses jaringan publik, pilih Diaktifkan dari jaringan virtual dan alamat IP yang dipilih.
- Di bagian Pengecualian halaman jaringan, pastikan bahwa opsi Izinkan layanan Microsoft tepercaya untuk mengakses sumber daya ini dipilih.
- Pilih Simpan untuk menerapkan perubahan.
Untuk informasi selengkapnya, lihat Mengonfigurasi firewall Azure Storage dan jaringan > virtual Memberikan akses ke layanan Azure tepercaya.
Toleransi kegagalan
Kluster multi-simpul: Toleransi kesalahan dapat diaktifkan di tab Manajemen dependensi wizard penyebaran portal Microsoft Azure. Ini hanya didukung pada kluster multi-simpul, dan direkomendasikan untuk penyebaran produksi.
Pengaturan aman
Selama penyebaran, Anda memiliki opsi untuk menggunakan pengaturan pengujian atau pengaturan aman. Untuk penyebaran produksi, pilih pengaturan aman. Jika Anda memutakhirkan penyebaran pengaturan pengujian yang ada untuk produksi, ikuti langkah-langkah di Mengaktifkan pengaturan aman.
Pascapenyebaran
Setelah menyebarkan Operasi Azure IoT, siapkan konfigurasi berikut untuk skenario produksi.
broker MQTT
Setelah penyebaran, Anda dapat mengedit sumber daya BrokerListener:
- Konfigurasikan TLS dengan manajemen sertifikat otomatis untuk pendengar.
Anda juga dapat mengedit sumber daya BrokerAuthentication.
- Gunakan sertifikat X.509 atau token akun layanan Kubernetes untuk autentikasi.
- Jangan gunakan autentikasi.
Saat Anda membuat sumber daya baru, kelola otorisasinya:
- Buat entitas BrokerAuthorization dan berikan hak akses minimum yang diperlukan untuk aset topik tersebut.
Broker OPC UA
Untuk menyambungkan ke aset di produksi, konfigurasikan autentikasi OPC UA:
- Jangan gunakan autentikasi. Konektivitas ke server AGEN PENGGUNA OPC tidak didukung tanpa autentikasi.
- Siapkan koneksi aman ke server OPC UA. Gunakan PKI produksi dan konfigurasikan sertifikat aplikasi dan daftar kepercayaan.
Aliran data
Saat menggunakan aliran data dalam produksi:
- Gunakan autentikasi token akun layanan (SAT) dengan broker MQTT (default).
- Selalu gunakan autentikasi identitas terkelola. Jika memungkinkan, gunakan identitas terkelola yang ditetapkan pengguna di titik akhir aliran data untuk fleksibilitas dan auditabilitas.
- Menskalakan profil aliran data untuk meningkatkan throughput dan memiliki ketersediaan tinggi.
- Kelompokkan beberapa data mengalir ke profil aliran data dan menyesuaikan penskalaan untuk setiap profil yang sesuai.