Creare ed effettuare il provisioning di dispositivi IoT Edge su larga scala in Linux usando certificati X.509

Si applica a: IoT Edge 1.5 IoT Edge 1.4

Importante

IoT Edge 1.5 LTS e IoT Edge 1.4 LTS sono versioni supportate. IoT Edge 1.4 LTS raggiungerà la data di fine del servizio il 12 novembre 2024. Se si usa una versione precedente, vedere Aggiornare IoT Edge.

Questo articolo fornisce istruzioni end-to-end per il provisioning automatico di uno o più dispositivi IoT Edge Linux usando certificati X.509. È possibile effettuare automaticamente il provisioning di dispositivi Azure IoT Edge con servizio Device Provisioning in hub IoT di Azure (DPS). Se non si ha familiarità con il processo di provisioning automatico, vedere la panoramica sul provisioning prima di continuare.

Le attività sono le seguenti:

1. Generare certificati e chiavi.
2. Creare una registrazione singola per un singolo dispositivo o una registrazione di gruppo per un set di dispositivi.
3. Installare il runtime IoT Edge e registrare il dispositivo con l'hub IoT.

L'uso di certificati X.509 come meccanismo di attestazione è un ottimo modo per aumentare la produzione e semplificare il provisioning dei dispositivi. I certificati X.509 vengono in genere organizzati in una catena di certificati attendibili. A partire da un certificato radice trusted o autofirmato, ogni certificato nella catena firma il certificato di livello immediatamente inferiore. Questo modello crea un percorso di certificazione delegato dal certificato radice via via attraverso ogni certificato intermedio e fino al certificato finale del dispositivo downstream installato in un dispositivo.

Suggerimento

Se il dispositivo ha un modulo di protezione hardware (Hardware Security Module, HSM), ad esempio TPM 2.0, è consigliabile archiviare le chiavi X.509 in modo sicuro al suo interno. Ottenere altre informazioni su come implementare il provisioning zero-touch su larga scala descritto in questo progetto con l'esempio iotedge-tpm2cloud.

Prerequisiti

Risorse cloud

• Un hub IoT attivo
• Un'istanza del servizio Device Provisioning in Hub IoT in Azure, collegata all'hub IoT
  • Se non si dispone di un'istanza del servizio Device Provisioning, è possibile seguire le istruzioni riportate nelle sezioni Creare una nuova istanza del servizio Device Provisioning in hub IoT e Collegare l'hub IoT e il servizio Device Provisioning dell'argomento di avvio rapido sul servizio Device Provisioning in hub IoT.
  • Con il servizio Device Provisioning in esecuzione, copiare il valore di Ambito ID dalla pagina di panoramica. Questo valore viene usato quando si configura il runtime IoT Edge.

Requisiti dei dispositivi

Un dispositivo Linux fisico o virtuale che fungerà da dispositivo IoT Edge.

Generare certificati di identità del dispositivo

Il certificato di identità del dispositivo è un certificato di dispositivo downstream che si connette tramite un percorso di certificazione al certificato dell'autorità di certificazione (CA) X.509 primario. Il nome comune (CN) del certificato di identità del dispositivo deve impostato sull'ID dispositivo che si vuole che il dispositivo abbia nell'hub IoT.

I certificati di identità del dispositivo vengono usati solo per il provisioning del dispositivo IoT Edge e per l'autenticazione del dispositivo con l'hub IoT di Azure. Non si tratta di certificati di firma, a differenza dei certificati della CA che il dispositivo IoT Edge presenta ai moduli o ai dispositivi downstream per la verifica. Per altre informazioni, vedere Dettagli di utilizzo dei certificati di Azure IoT Edge.

Dopo aver creato il certificato di identità del dispositivo saranno presenti due file: un file .cer o pem che contiene la parte pubblica del certificato e un file .cer o pem con la chiave privata del certificato. Se si prevede di usare la registrazione di gruppo nel servizio Device Provisioning, è necessaria anche la parte pubblica di un certificato CA intermedio o radice nello stesso percorso di certificazione.

Per configurare il provisioning automatico con X.509 sono necessari i file seguenti:

• Il certificato di identità del dispositivo con il suo certificato a chiave privata. Il certificato di identità del dispositivo viene caricato nel servizio Device Provisioning se si crea una registrazione singola. La chiave privata viene passata al runtime IoT Edge.
• Un certificato con catena completa, che deve contenere almeno il certificato di identità del dispositivo e i certificati intermedi. Il certificato con catena completa viene passato al runtime IoT Edge.
• Un certificato CA intermedio o radice dal percorso di certificazione. Questo certificato viene caricato nel servizio Device Provisioning se si crea una registrazione di gruppo.

Usare certificati di test (facoltativo)

Se non si dispone di un'autorità di certificazione per creare nuovi certificati di identità e si vuole provare questo scenario, il repository Git di Azure IoT Edge contiene script che è possibile usare per generare certificati di test. Questi certificati sono progettati solo per i test di sviluppo e non devono essere usati nell'ambiente di produzione.

Per creare certificati di test, seguire la procedura descritta in Creare certificati demo per testare le funzionalità del dispositivo IoT Edge. Completare le due sezioni necessarie per configurare gli script di generazione del certificato e per creare un certificato CA radice. Seguire quindi la procedura per creare un certificato di identità del dispositivo. Al termine saranno presenti il percorso di certificazione e la coppia di chiavi seguenti:

• <WRKDIR>/certs/iot-edge-device-identity-<name>-full-chain.cert.pem
• <WRKDIR>/private/iot-edge-device-identity-<name>.key.pem

Entrambi i certificati sono necessari nel dispositivo IoT Edge. Se si intende usare la registrazione singola nel servizio Device Provisioning, caricare il file cert.pem. Se si intende usare la registrazione di gruppo nel servizio Device Provisioning, è necessario anche un certificato CA intermedio o radice nello stesso percorso di certificazione da caricare. Se si usano certificati demo, usare il certificato <WRKDIR>/certs/azure-iot-test-only.root.ca.cert.pem per la registrazione di gruppo.

Creare una registrazione nel servizio Device Provisioning

Usare i certificati e le chiavi generati per creare una registrazione nel servizio Device Provisioning per uno o più dispositivi IoT Edge.

Se si vuole effettuare il provisioning di un singolo dispositivo IoT Edge, creare una registrazione singola. Se è necessario effettuare il provisioning di più dispositivi, seguire la procedura per creare una registrazione di gruppo nel servizio Device Provisioning.

Quando si crea una registrazione nel servizio Device Provisioning, si ha la possibilità di dichiarare un valore di Stato dispositivo gemello iniziale. Nel dispositivo gemello è possibile impostare tag per raggruppare i dispositivi in base a una qualsiasi metrica necessaria nella propria soluzione, come l'area, l'ambiente, la località o il tipo di dispositivo. Questi tag vengono usati per creare distribuzioni automatiche.

Per altre informazioni sulle registrazioni nel servizio Device Provisioning, vedere Come gestire le registrazioni dei dispositivi.

Registrazione singola

Creare una registrazione singola nel servizio Device Provisioning

Le registrazioni singole prendono la parte pubblica del certificato di identità di un dispositivo e la associano al certificato nel dispositivo.

Suggerimento

I passaggi descritti in questo articolo sono relativi al portale di Azure, ma è anche possibile creare registrazioni singole usando l'interfaccia della riga di comando di Azure. Per altre informazioni, vedere az iot dps enrollment. Come parte del comando dell'interfaccia della riga di comando, usare il flag edge-enabled per specificare che la registrazione è per un dispositivo IoT Edge.

1. Nel portale di Azure passare all'istanza del servizio Device Provisioning in hub IoT.

2. In le impostazioni selezionare Gestisci registrazioni.

3. Selezionare Aggiungi registrazione singola, quindi completare la procedura seguente per configurare la registrazione:

   • Meccanismo: selezionare X.509.

   • File di certificato primario con estensione pem o cer: caricare il file pubblico dal certificato di identità del dispositivo. Se sono stati usati gli script per generare un certificato di test, scegliere il file seguente:

     <WRKDIR>\certs\iot-edge-device-identity-<name>.cert.pem

   • ID dispositivo hub IoT: specificare un ID per il dispositivo se si vuole. È possibile usare gli ID dispositivo per identificare come destinazione un singolo dispositivo per la distribuzione di moduli. Se non si specifica un ID dispositivo viene usato il nome comune (CN) presente nel certificato X.509.

   • Dispositivo IoT Edge: selezionare Vero per dichiarare che la registrazione è per un dispositivo IoT Edge.

   • Selezionare gli hub IoT a cui può essere assegnato questo dispositivo: scegliere l'hub IoT collegato a cui si vuole connettere il dispositivo. È possibile scegliere più hub e il dispositivo verrà assegnato a uno di essi in base al criterio di allocazione selezionato.

   • Stato iniziale dispositivo gemello: aggiungere un valore di tag da aggiungere al dispositivo gemello se si vuole. È possibile usare tag per identificare come destinazione gruppi di dispositivi per la distribuzione automatica. Ad esempio:

     {
         "tags": {
            "environment": "test"
         },
         "properties": {
            "desired": {}
         }
     }
     

4. Seleziona Salva.

In Gestisci registrazioni è visibile l'ID registrazione per la registrazione appena creata. Prenderne nota, perché è possibile usarlo al momento del provisioning del dispositivo.

Ora che esiste una registrazione per questo dispositivo, il runtime IoT Edge può effettuare automaticamente il provisioning del dispositivo durante l'installazione.

Registrazione di gruppo

Creare una registrazione di gruppo nel servizio Device Provisioning

Le registrazioni di gruppo usano un certificato CA intermedio o radice del percorso di certificazione usato per generare i singoli certificati di identità del dispositivo.

Verificare il certificato radice

Quando si crea un gruppo di registrazione, è possibile usare un certificato verificato. Si può 0verificare un certificato con il servizio Device Provisioning dimostrando di avere la proprietà del certificato radice. Per altre informazioni, vedere Come eseguire una verifica del possesso per certificati della CA X.509.

1. Nel portale di Azure passare all'istanza del servizio Device Provisioning in hub IoT.

2. Selezionare Certificati dal menu a sinistra.

3. Selezionare Aggiungi per aggiungere un nuovo certificato.

4. Immettere un nome descrittivo per il certificato, quindi individuare il file con estensione cer o pem che rappresenta la parte pubblica del certificato X.509.

   Se si usano i certificati demo, caricare il certificato <wrkdir>\certs\azure-iot-test-only.root.ca.cert.pem.

5. Seleziona Salva.

6. Il certificato dovrebbe ora essere elencato nella pagina Certificati. Selezionarlo per aprire i dettagli del certificato.

7. Selezionare Genera codice di verifica e copiare il codice generato.

8. Indipendentemente dal fatto che si usi un proprio certificato della CA o si usino certificati demo, è possibile usare lo strumento di verifica fornito nel repository IoT Edge per la dimostrazione del possesso. Lo strumento di verifica usa il certificato della CA per firmare un nuovo certificato con il codice di verifica fornito come nome soggetto.

   New-CACertsVerificationCert "<verification code>"
   

9. Nella stessa pagina dei dettagli del certificato nel portale di Azure caricare il certificato di verifica appena generato.

10. Selezionare Verifica.

Creare un gruppo di registrazioni

Per altre informazioni sulle registrazioni nel servizio Device Provisioning, vedere Come gestire le registrazioni dei dispositivi.

Suggerimento

I passaggi descritti in questo articolo sono relativi al portale di Azure, ma è anche possibile creare registrazioni di gruppo usando l'interfaccia della riga di comando di Azure. Per altre informazioni, vedere az iot dps enrollment-group. Come parte del comando dell'interfaccia della riga di comando, usare il flag edge-enabled per specificare che la registrazione è per dispositivi IoT Edge. Per una registrazione di gruppo, tutti i dispositivi devono essere dispositivi IoT Edge o nessuno di essi può esserlo.

1. Nel portale di Azure passare all'istanza del servizio Device Provisioning in hub IoT.

2. In le impostazioni selezionare Gestisci registrazioni.

3. Selezionare Aggiungi gruppo di registrazioni, quindi completare la procedura seguente per configurare la registrazione:

   • Nome del gruppo: specificare un nome facile da ricordare per la registrazione di gruppo.

   • Tipo di attestazione: selezionare Certificato.

   • Dispositivo IoT Edge: selezionare Vero. Per una registrazione di gruppo, tutti i dispositivi devono essere dispositivi IoT Edge o nessuno di essi può esserlo.

   • Tipo di certificato: selezionare Certificato CA.

   • Certificato primario: scegliere il certificato dall'elenco a discesa.

   • Selezionare gli hub IoT a cui può essere assegnato questo dispositivo: scegliere l'hub IoT collegato a cui si vuole connettere il dispositivo. È possibile scegliere più hub e il dispositivo verrà assegnato a uno di essi in base al criterio di allocazione selezionato.

   • Stato iniziale dispositivo gemello: aggiungere un valore di tag da aggiungere al dispositivo gemello se si vuole. È possibile usare tag per identificare come destinazione gruppi di dispositivi per la distribuzione automatica. Ad esempio:

     {
         "tags": {
            "environment": "test"
         },
         "properties": {
            "desired": {}
         }
     }
     

4. Seleziona Salva.

In Gestisci registrazioni è visibile l'ID registrazione per la registrazione appena creata. Prenderne nota, perché è possibile usarlo al momento del provisioning dei dispositivi.

Ora che esiste una registrazione per questi dispositivi, il runtime IoT Edge può effettuare automaticamente il provisioning dei dispositivi durante l'installazione.

Installare IoT Edge

In questa sezione si prepara la macchina virtuale Linux o il dispositivo fisico per IoT Edge. Quindi viene installato IoT Edge.

Eseguire i comandi seguenti per aggiungere il repository di pacchetti, quindi aggiungere la chiave di firma del pacchetto Microsoft all'elenco di chiavi attendibili.

Importante

Il 30 giugno 2022, il sistema operativo Raspberry Pi OS Stretch è stato ritirato dall'elenco dei sistemi operativi supportati di livello 1. Per evitare potenziali vulnerabilità di sicurezza, aggiornare il sistema operativo host a Bullseye.

Ubuntu

L'installazione può essere eseguita con pochi comandi. Aprire un terminale ed eseguire i comandi seguenti:

• 22.04:

  wget https://packages.microsoft.com/config/ubuntu/22.04/packages-microsoft-prod.deb -O packages-microsoft-prod.deb
  sudo dpkg -i packages-microsoft-prod.deb
  rm packages-microsoft-prod.deb
  

• 20.04:

  wget https://packages.microsoft.com/config/ubuntu/20.04/packages-microsoft-prod.deb -O packages-microsoft-prod.deb
  sudo dpkg -i packages-microsoft-prod.deb
  rm packages-microsoft-prod.deb
  

Debian

L'installazione con APT può essere eseguita con pochi comandi. Aprire un terminale ed eseguire i comandi seguenti:

• 11 - Bullseye (arm32v7):

  curl https://packages.microsoft.com/config/debian/11/packages-microsoft-prod.deb > ./packages-microsoft-prod.deb
  sudo apt install ./packages-microsoft-prod.deb
  

Suggerimento

Se all'account "root" è stata assegnata una password durante l'installazione del sistema operativo, "sudo" non è necessario ed è possibile eseguire il comando precedente iniziando con "apt".

Red Hat Enterprise Linux

L'installazione può essere eseguita con pochi comandi. Aprire un terminale ed eseguire i comandi seguenti:

• 9.x (amd64):

    wget https://packages.microsoft.com/config/rhel/9.0/packages-microsoft-prod.rpm -O packages-microsoft-prod.rpm
    sudo yum localinstall packages-microsoft-prod.rpm
    rm packages-microsoft-prod.rpm
  

• 8.x (amd64):

    wget https://packages.microsoft.com/config/rhel/8/packages-microsoft-prod.rpm -O packages-microsoft-prod.rpm
    sudo yum localinstall packages-microsoft-prod.rpm
    rm packages-microsoft-prod.rpm
  

Snap di Ubuntu Core

Il runtime IoT Edge verrà installato da Snap Store in un passaggio successivo. Passare alla sezione successiva.

Per altre informazioni sulle versioni del sistema operativo, vedere Piattaforme supportate da Azure IoT Edge.

Nota

I pacchetti software di Azure IoT Edge sono soggetti alle condizioni di licenza disponibili in ogni pacchetto (in usr/share/doc/{package-name} o nella directory LICENSE). Prima di usare un pacchetto, leggere le condizioni di licenza. L'installazione e l'uso di un pacchetto implicano l'accettazione di tali condizioni. Se non si accettano le condizioni di licenza, non usare il pacchetto.

Installare un motore di contenitore

Azure IoT Edge si basa su un runtime del contenitore compatibile con OCI. Per gli scenari di produzione è consigliabile usare il motore Moby. Il motore Moby è il motore di contenitore ufficialmente supportato con IoT Edge. Le immagini del contenitore Docker CE/EE sono compatibili con il runtime di Moby. Se si usano pacchetti snap di Ubuntu Core, lo snap di Docker è gestito da Canonical ed è supportato per gli scenari di produzione.

Ubuntu

Installare il motore Moby.

sudo apt-get update; \
  sudo apt-get install moby-engine

Debian

Installare il motore Moby.

sudo apt-get update; \
  sudo apt-get install moby-engine

Red Hat Enterprise Linux

Installare il motore Moby e l'interfaccia della riga di comando.

sudo yum install moby-engine moby-cli

Suggerimento

Se si verificano errori durante l'installazione del motore di contenitore Moby, verificare la compatibilità del kernel Linux con Moby. Alcuni produttori di dispositivi incorporati commercializzano immagini di dispositivo che contengono kernel Linux personalizzati senza le funzionalità necessarie per la compatibilità con il motore di contenitore. Eseguire il comando seguente, che usa lo script check-config fornito da Moby, per controllare la configurazione del kernel:

curl -ssl https://raw.githubusercontent.com/moby/moby/master/contrib/check-config.sh -o check-config.sh
chmod +x check-config.sh
./check-config.sh

Nell'output dello script controllare che tutti gli elementi in Generally Necessary e Network Drivers siano abilitati. Se mancano funzionalità, abilitarle ricompilando il kernel dall'origine e selezionando i moduli associati per l'inclusione nel file .config del kernel appropriato. Analogamente, se si usa un generatore di configurazione del kernel come defconfig o menuconfig, trovare e abilitare le rispettive funzionalità e ricompilare il kernel. Dopo aver distribuito il kernel appena modificato, eseguire nuovamente lo script check-config per verificare che tutte le funzionalità necessarie siano state abilitate correttamente.

Snap di Ubuntu Core

IoT Edge ha dipendenze da Docker e dal servizio di identità IoT. Installare le dipendenze usando i comandi seguenti:

sudo snap install docker
sudo snap install azure-iot-identity

Lo snap di Docker è gestito da Canonical ed è supportato per gli scenari di produzione.

Per impostazione predefinita, il motore di contenitore non imposta limiti di dimensioni per i log dei contenitori. Nel corso del tempo questo può causare il riempimento del dispositivo con i log e l'esaurimento dello spazio su disco. È possibile, tuttavia, configurare il log per la visualizzazione locale, anche se è facoltativo. Per altre informazioni sulla configurazione della registrazione, vedere Elenco di controllo della distribuzione di produzione.

I passaggi seguenti illustrano come configurare il contenitore per l'uso del driver di registrazione local come meccanismo di registrazione.

Ubuntu / Debian / RHEL

1. Creare o modificare il file di configurazione del daemon Docker esistente

   sudo nano /etc/docker/daemon.json
   

2. Impostare il driver di registrazione predefinito sul driver di registrazione local, come illustrato nell'esempio.

      {
         "log-driver": "local"
      }
   

3. Riavviare il motore di contenitore per applicare le modifiche.

   sudo systemctl restart docker
   

Snap di Ubuntu Core

Attualmente, l'impostazione del driver di registrazione locale non è supportata per lo snap di Docker.

Installare il runtime IoT Edge.

Il servizio IoT Edge fornisce e gestisce gli standard di sicurezza nel dispositivo IoT Edge. Il servizio viene avviato a ogni avvio del dispositivo e ne esegue il bootstrap avviando la parte restante del runtime IoT Edge.

Nota

A partire dalla versione 1.2, il servizio di identità IoT controlla il provisioning e la gestione delle identità per IoT Edge e per altri componenti del dispositivo che devono comunicare con l'hub IoT.

I passaggi in questa sezione rappresentano il processo tipico per l'installazione dell'ultima versione di IoT Edge in un dispositivo dotato di connessione Internet. Se è necessario installare una versione specifica, ad esempio una versione non definitiva, o se è necessario eseguire l'installazione offline, seguire i passaggi di Installazione offline o di una versione specifica riportati più avanti in questo articolo.

Suggerimento

Se già si dispone di un dispositivo IoT Edge che esegue una versione precedente e si desidera eseguire l'aggiornamento all'ultima versione, seguire la procedura descritta in Aggiornare il daemon di sicurezza e il runtime IoT Edge. Le versioni successive sono tanto diverse dalle versioni precedenti di IoT Edge che occorrono passaggi specifici per l'aggiornamento.

Ubuntu

Installare l'ultima versione di IoT Edge e il pacchetto del servizio di identità IoT, se non è già aggiornato:

• 22.04:

  sudo apt-get update; \
     sudo apt-get install aziot-edge
  

• 20.04:

  sudo apt-get update; \
     sudo apt-get install aziot-edge defender-iot-micro-agent-edge
  

Il pacchetto defender-iot-micro-agent-edge facoltativo include il micro-agente di sicurezza di Microsoft Defender per IoT, che fornisce visibilità dell'endpoint nella gestione della postura di sicurezza, nelle vulnerabilità, nel rilevamento delle minacce, nella gestione della flotta e altro, facilitando la protezione dei dispositivi IoT Edge. È consigliabile installare il micro agente con l'agente Edge per abilitare il monitoraggio della sicurezza e la protezione avanzata dei dispositivi Edge. Per altre informazioni su Microsoft Defender per IoT, vedere Che cos'è Microsoft Defender per IoT per i generatori di dispositivi.

Debian

Installare l'ultima versione di IoT Edge e il pacchetto del servizio di identità IoT, se non è già aggiornato:

sudo apt-get update; \
  sudo apt-get install aziot-edge defender-iot-micro-agent-edge

Il pacchetto facoltativo defender-iot-micro-agent-edge include il micro-agente di sicurezza di Microsoft Defender per IoT, che fornisce visibilità dell'endpoint nella gestione della postura di sicurezza, nelle vulnerabilità, nel rilevamento delle minacce, nella gestione della flotta e altro, facilitando la protezione dei dispositivi IoT Edge. È consigliabile installare il micro agente con l'agente Edge per abilitare il monitoraggio della sicurezza e la protezione avanzata dei dispositivi Edge. Per altre informazioni su Microsoft Defender per IoT, vedere Che cos'è Microsoft Defender per IoT per i generatori di dispositivi.

Red Hat Enterprise Linux

Installare l'ultima versione di IoT Edge e il pacchetto del servizio di identità IoT, se non è già aggiornato:

sudo yum install aziot-edge

Snap di Ubuntu Core

Installare IoT Edge da Snap Store:

sudo snap install azure-iot-edge

Connettere gli snap

Per impostazione predefinita, gli snap sono privi di dipendenze, non attendibili e strettamente confinati. Di conseguenza, gli snap devono essere connessi ad altri snap e risorse di sistema dopo l'installazione. Usare i comandi seguenti per connettere il servizio di identità IoT e gli snap di IoT Edge tra loro e alle risorse di sistema. Per iniziare, gli snap devono essere connessi manualmente. Per le distribuzioni di produzione, possono essere configurati per la connessione automatica in modo da ridurre il carico di lavoro di provisioning.

#------------------------
#  IoT Identity Service
#------------------------

# Connect the Identity Service snap to the logging system
# and grant permission to query system info

sudo snap connect azure-iot-identity:log-observe
sudo snap connect azure-iot-identity:mount-observe
sudo snap connect azure-iot-identity:system-observe
sudo snap connect azure-iot-identity:hostname-control

# If using a TPM, enable TPM access

sudo snap connect azure-iot-identity:tpm

#------------
#  IoT Edge
#------------

# Connect to your /home directory to enable writing support bundles

sudo snap connect azure-iot-edge:home

# Connect to logging and grant permission to query system info

sudo snap connect azure-iot-edge:log-observe
sudo snap connect azure-iot-edge:mount-observe
sudo snap connect azure-iot-edge:system-observe
sudo snap connect azure-iot-edge:hostname-control
# Allow IoT Edge to connect to the /var/run/iotedge folder and use sockets

sudo snap connect azure-iot-edge:run-iotedge

# Connect IoT Edge to Docker

sudo snap connect azure-iot-edge:docker docker:docker-daemon

Effettuare il provisioning del dispositivo con la relativa identità cloud

Dopo aver installato il runtime nel dispositivo, configurarlo con le informazioni da usare per connettersi al servizio Device Provisioning e all'hub IoT.

Preparare le informazioni seguenti:

• Valore Ambito ID del servizio Device Provisioning. È possibile recuperare questo valore dalla pagina di panoramica dell'istanza del servizio Device Provisioning nel portale di Azure.
• File del percorso di certificazione dell'identità del dispositivo nel dispositivo.
• File della chiave di identità del dispositivo nel dispositivo.

Creare un file di configurazione per il dispositivo in base a un file modello fornito come parte dell'installazione di IoT Edge.

Ubuntu / Debian / RHEL

sudo cp /etc/aziot/config.toml.edge.template /etc/aziot/config.toml

Aprire il file di configurazione nel dispositivo IoT Edge.

sudo nano /etc/aziot/config.toml

Trovare la sezione Provisioning del file. Rimuovere il commento dalle righe per il provisioning DPS con certificato X.509 e assicurarsi che tutte le altre righe di provisioning siano impostate come commento.

# DPS provisioning with X.509 certificate
[provisioning]
source = "dps"
global_endpoint = "https://global.azure-devices-provisioning.net"
id_scope = "SCOPE_ID_HERE"

# Uncomment to send a custom payload during DPS registration
# payload = { uri = "PATH_TO_JSON_FILE" }

[provisioning.attestation]
method = "x509"
registration_id = "REGISTRATION_ID_HERE"

identity_cert = "DEVICE_IDENTITY_CERTIFICATE_HERE" # For example, "file:///var/aziot/device-id.pem"
identity_pk = "DEVICE_IDENTITY_PRIVATE_KEY_HERE"   # For example, "file:///var/aziot/device-id.key"

# auto_reprovisioning_mode = Dynamic

Snap di Ubuntu Core

Se si usa un'installazione snap di IoT Edge, il file modello si trova in /snap/azure-iot-edge/current/etc/aziot/config.toml.edge.template. Creare una copia del file modello nella home directory e denominarla config.toml. Ad esempio:

cp /snap/azure-iot-edge/current/etc/aziot/config.toml.edge.template ~/config.toml

Aprire il file di configurazione nella home directory nel dispositivo IoT Edge.

nano ~/config.toml

Trovare la sezione Provisioning del file. Rimuovere il commento dalle righe per il provisioning DPS con certificato X.509 e assicurarsi che tutte le altre righe di provisioning siano impostate come commento. Il percorso usato per i file di certificato deve essere il percorso della directory condivisa accessibile a entrambi gli snap azure-iot-edge e azure-iot-identity. Ad esempio: /var/snap/azure-iot-identity/current/shared/.

# DPS provisioning with X.509 certificate
[provisioning]
source = "dps"
global_endpoint = "https://global.azure-devices-provisioning.net"
id_scope = "SCOPE_ID_HERE"

# Uncomment to send a custom payload during DPS registration
# payload = { uri = "PATH_TO_JSON_FILE" }

[provisioning.attestation]
method = "x509"
registration_id = "REGISTRATION_ID_HERE"

identity_cert = "DEVICE_IDENTITY_CERTIFICATE_HERE" # For example, "file:///var/snap/azure-iot-identity/current/shared/device-id.pem"
identity_pk = "DEVICE_IDENTITY_PRIVATE_KEY_HERE"   # For example, "file:///var/snap/azure-iot-identity/current/shared/device-id.key"


# auto_reprovisioning_mode = Dynamic

1. Aggiornare il valore di id_scope con l'ID ambito copiato dall'istanza del servizio Device Provisioning.

2. Specificare un valore registration_id per il dispositivo, ovvero l'ID del dispositivo nell'hub IoT. L'ID registrazione deve corrispondere al nome comune (CN) del certificato di identità.

3. Aggiornare i valori di identity_cert e identity_pk con le informazioni sul certificato e sulla chiave.

   Il valore del certificato di identità può essere fornito come URI di file oppure può essere emesso dinamicamente tramite EST o un'autorità di certificazione locale. Rimuovere il commento da una sola riga, in base al formato che si sceglie di usare.

   Il valore della chiave privata di identità può essere fornito come URI di file o URI PKCS#11. Rimuovere il commento da una sola riga, in base al formato che si sceglie di usare.

   Se si usano URI PKCS#11, trovare la sezione PKCS#11 nel file di configurazione e fornire informazioni sulla configurazione PKCS#11.

   Per altre informazioni sui certificati, vedere Gestire i certificati IoT Edge.

   Per altre informazioni sulle impostazioni di configurazione del provisioning, vedere Configurare le impostazioni del dispositivo IoT Edge.

4. Facoltativamente, trovare la sezione della modalità di reprovisioning automatico del file. Usare il parametro auto_reprovisioning_mode per configurare il comportamento di reprovisioning del dispositivo. Dinamico: effettuare il reprovisioning quando il dispositivo rileva che potrebbe essere stato spostato da un hub IoT a un altro. Si tratta dell'impostazione predefinita. AlwaysOnStartup: effettuare il reprovisioning quando il dispositivo viene riavviato o un arresto anomalo causa il riavvio dei daemon. OnErrorOnly: non attivare mai il provisioning automatico del dispositivo. Ogni modalità ha un fallback implicito di reprovisioning del dispositivo se il dispositivo non è in grado di connettersi all'hub IoT durante il provisioning delle identità a causa di errori di connessione. Per altre informazioni, vedere Concetti di reprovisioning di un dispositivo hub IoT.

5. Facoltativamente, rimuovere il commento dal parametro payload per specificare il percorso di un file JSON locale. Il contenuto del file viene inviato al servizio Device Provisioning come dati aggiuntivi al momento della registrazione del dispositivo. Questo è utile per l'allocazione personalizzata. Ad esempio, se si vogliono allocare i dispositivi in base a un ID di modello IoT Plug and Play senza intervento umano.

6. Salva e chiude il file .

Applicare le modifiche di configurazione apportate a IoT Edge.

Ubuntu / Debian / RHEL

sudo iotedge config apply

Snap di Ubuntu Core

sudo snap set azure-iot-edge raw-config="$(cat ~/config.toml)"

Verificare l'esito positivo dell'installazione

Se il runtime è stato avviato correttamente, è possibile passare all'hub IoT e iniziare la distribuzione di moduli IoT Edge nel dispositivo.

Registrazione singola

È possibile verificare che sia stata usata la registrazione singola creata nel servizio Device Provisioning. Passare all'istanza del servizio Device Provisioning nel portale di Azure. Aprire i dettagli della registrazione per la registrazione singola creata. Si noti che lo stato della registrazione è assegnata e che l'ID dispositivo è elencato.

Registrazione di gruppo

È possibile verificare che sia stata usata la registrazione di gruppo creata nel servizio Device Provisioning. Passare all'istanza del servizio Device Provisioning nel portale di Azure. Aprire i dettagli di registrazione per la registrazione di gruppo creata. Passare alla scheda Record di registrazione per visualizzare tutti i dispositivi registrati in quel gruppo.

Usare i comandi seguenti sul dispositivo per verificare che il runtime IoT Edge sia stato installato e avviato correttamente.

Verificare lo stato del servizio IoT Edge.

sudo iotedge system status

Esaminare i log del servizio.

sudo iotedge system logs

Elencare i moduli in esecuzione.

sudo iotedge list

Passaggi successivi

Il processo di registrazione del servizio Device Provisioning consente di impostare l'ID dispositivo e i tag del dispositivo gemello mentre si effettua il provisioning del nuovo dispositivo. È possibile usare questi valori per identificare come destinazione singoli dispositivi o gruppi di dispositivi usando la gestione automatica dei dispositivi. Informazioni su come Distribuire e monitorare i moduli IoT Edge su larga scala tramite il portale di Azure o usando l'interfaccia della riga di comando di Azure.