Condividi tramite


Creare ed effettuare il provisioning di un dispositivo IoT Edge in Linux usando chiavi simmetriche

Si applica a: Segno di spunta IoT Edge 1.5 IoT Edge 1.5 Segno di spunta IoT Edge 1.4 IoT Edge 1.4

Importante

IoT Edge 1.5 LTS e IoT Edge 1.4 LTS sono versioni supportate. IoT Edge 1.4 LTS raggiungerà il fine vita il 12 novembre 2024. Se si usa una versione precedente, vedere Aggiornare IoT Edge.

Questo articolo fornisce istruzioni end-to-end per la registrazione e il provisioning di un dispositivo IoT Edge in Linux che include l’installazione di IoT Edge.

Ogni dispositivo che si connette a un hub IoT ha un ID dispositivo che è usato per tracciare comunicazioni da cloud a servizio o da dispositivo a cloud. Configurare un dispositivo con le relative informazioni di connessione:

  • Nome host dell'hub IoT
  • ID dispositivo
  • Dettagli di autenticazione per la connessione all'hub IoT

I passaggi in questo articolo illustrano un processo denominato provisioning manuale in cui si connette un singolo dispositivo al relativo hub IoT. Per il provisioning manuale sono disponibili due opzioni per l'autenticazione dei dispositivi IoT Edge:

  • Chiavi simmetriche: quando si crea una nuova identità del dispositivo nell'hub IoT, il servizio crea due chiavi. Si inserisce una delle chiavi nel dispositivo e questa viene presentata all'hub IoT in fase di autenticazione.

    Questo metodo di autenticazione risulta più rapido per iniziare, ma non è il più sicuro.

  • X.509 autofirmato: creare due certificati di identità X.509 e inserirli nel dispositivo. Quando si crea una nuova identità del dispositivo nell'hub IoT, si forniscono le identificazioni personali di entrambi i certificati. Quando il dispositivo esegue l'autenticazione nell'hub IoT, presenta un certificato e l'hub IoT verifica che tale certificato corrisponda all'identificazione personale.

    Questo metodo di autenticazione è più sicuro ed è consigliato per gli scenari di produzione.

Questo articolo illustra l'uso di chiavi simmetriche come metodo di autenticazione. Se si desidera utilizzare certificati X.509, vedere Creare ed effettuare il provisioning di un dispositivo IoT Edge in Linux usando certificati X.509.

Nota

Se i dispositivi da configurare sono numerosi e non si desidera eseguire manualmente il provisioning di ognuno, consultare uno degli articoli seguenti riguardanti il funzionamento di IoT Edge con il servizio Device Provisioning in hub IoT:

Prerequisiti

Questo articolo illustra come registrare il dispositivo IoT Edge e installare IoT Edge (detto anche runtime di IoT Edge) nel dispositivo. Accertarsi di disporre dello strumento di gestione dispositivi preferito, ad esempio l'interfaccia della riga di comando di Azure, e i requisiti del dispositivo prima di registrare e installare il dispositivo.

Strumenti di gestione dei dispositivi

È possibile usare il portale di Azure, Visual Studio Code o l'interfaccia della riga di comando di Azure per la procedura di registrazione del dispositivo. Ogni utilità ha prerequisiti specifici o può essere necessario installarla:

Un hub IoT gratuito o standard nella sottoscrizione di Azure.

Requisiti dei dispositivi

Un dispositivo Linux X64, ARM32 o ARM64.

Microsoft pubblica pacchetti di installazione per un'ampia gamma di sistemi operativi.

Per informazioni aggiornate sui sistemi operativi disponibili attualmente supportati per scenari di produzione, vedere Sistemi supportati da Azure IoT Edge.

Estensioni di Visual Studio Code

Se si usa Visual Studio Code, sono disponibili estensioni Azure IoT utili che semplificano il processo di creazione e gestione dei dispositivi.

Installare entrambe le estensioni Azure IoT Edge e Hub IoT di Azure:

Registrare il dispositivo

È possibile usare il portale di Azure, Visual Studio Code o l'l'interfaccia della riga di comando di Azure per la registrazione del dispositivo, a seconda delle preferenze.

Nell'hub IoT sul portale di Azure, i dispositivi IoT Edge vengono creati e gestiti separatamente dai dispositivi IoT non abilitati per Edge.

  1. Accedere al portale di Azure e passare all'hub IoT.

  2. Nel riquadro sinistro selezionare Dispositivi dal menu e quindi scegliere Aggiungi dispositivo.

  3. Nella pagina Crea un dispositivo, specificare le informazioni seguenti:

    • Creare un ID dispositivo descrittivo, ad esempio my-edge-device-1 (tutto minuscolo). Copiare questo ID dispositivo, perché verrà usato in un secondo momento.
    • Selezionare la casella di controllo Dispositivo IoT Edge.
    • Selezionare Chiave simmetrica come tipo di autenticazione.
    • Usare le impostazioni predefinite per la generazione automatica delle chiavi di autenticazione, che connettono il nuovo dispositivo all'hub.
  4. Seleziona Salva.

Il nuovo dispositivo dovrebbe essere elencato nell'hub IoT.

Dopo aver registrato un dispositivo nell'hub IoT, è possibile recuperare le informazioni di provisioning utilizzate per completare l'installazione ed effettuare il provisioning del runtime IoT Edge nel passaggio successivo.

Visualizzare i dispositivi registrati e recuperare le informazioni di provisioning

I dispositivi che utilizzano l'autenticazione con chiave simmetrica necessitano delle stringhe di connessione per completare l'installazione e per effettuare il provisioning del runtime IoT Edge. La stringa di connessione viene generata per il dispositivo IoT Edge in fase di creazione del dispositivo. Per Visual Studio Code e l'interfaccia della riga di comando di Azure, la stringa di connessione si trova nell'output JSON. Se si utilizza il portale di Azure per creare il dispositivo, è possibile recuperare la stringa di connessione dal dispositivo stesso. Quando si seleziona il dispositivo nell'hub IoT, questo viene elencato come Primary connection string nella pagina del dispositivo.

I dispositivi abilitati per Edge che si connettono all'hub IoT sono elencati nella pagina Dispositivi dell'hub IoT. Se sono presenti più dispositivi, è possibile filtrare l'elenco selezionando il tipo Dispositivi IoT Edge, quindi fare clic su Applica.

Quando si è pronti per configurare il dispositivo, è necessaria la stringa di connessione che collega il dispositivo fisico alla relativa identità nell'hub IoT. I dispositivi che eseguono l'autenticazione con chiavi simmetriche hanno le stringhe di connessione disponibili per la copia nel portale. Per individuare la stringa di connessione nel portale:

  1. Nella pagina Dispositivi, selezionare l'ID dispositivo IoT Edge dall'elenco.
  2. Copiare il valore Stringa di connessione primaria o Stringa di connessione secondaria. Si può utilizzare una delle due chiavi.

Installare IoT Edge

In questa sezione si prepara la macchina virtuale Linux o il dispositivo fisico per IoT Edge. Quindi si installa IoT Edge.

Eseguire i comandi seguenti per aggiungere il repository di pacchetti, quindi aggiungere la chiave di firma del pacchetto Microsoft all'elenco di chiavi attendibili.

Importante

Il 30 giugno 2022, il sistema operativo Raspberry Pi OS Stretch è stato ritirato dall'elenco dei sistemi operativi supportati di livello 1. Per evitare potenziali vulnerabilità di sicurezza, aggiornare il sistema operativo host a Bullseye.

Per i sistemi operativi della piattaforma supportati di livello 2, i pacchetti di installazione sono resi disponibili nelle versioni di Azure IoT Edge. Vedere i passaggi di installazione in Installazione offline o di una versione specifica.

L'installazione può essere eseguita con pochi comandi. Aprire un terminale ed eseguire i comandi seguenti:

  • 24.04:

    wget https://packages.microsoft.com/config/ubuntu/24.04/packages-microsoft-prod.deb -O packages-microsoft-prod.deb
    sudo dpkg -i packages-microsoft-prod.deb
    rm packages-microsoft-prod.deb
    
  • 22.04:

    wget https://packages.microsoft.com/config/ubuntu/22.04/packages-microsoft-prod.deb -O packages-microsoft-prod.deb
    sudo dpkg -i packages-microsoft-prod.deb
    rm packages-microsoft-prod.deb
    
  • 20.04:

    wget https://packages.microsoft.com/config/ubuntu/20.04/packages-microsoft-prod.deb -O packages-microsoft-prod.deb
    sudo dpkg -i packages-microsoft-prod.deb
    rm packages-microsoft-prod.deb
    

Per altre informazioni sulle versioni del sistema operativo, vedere Piattaforme supportate da Azure IoT Edge.

Nota

I pacchetti software di Azure IoT Edge sono soggetti alle condizioni di licenza disponibili in ogni pacchetto (in usr/share/doc/{package-name} o nella directory LICENSE). Prima di usare un pacchetto, leggere le condizioni di licenza. L'installazione e l'uso di un pacchetto implicano l'accettazione di tali condizioni. Se non si accettano le condizioni di licenza, non usare il pacchetto.

Installare un motore di contenitore

Azure IoT Edge si basa su un runtime del contenitore compatibile con OCI. Per gli scenari di produzione è consigliabile usare il motore Moby. Il motore Moby è il motore di contenitore ufficialmente supportato con IoT Edge. Le immagini del contenitore Docker CE/EE sono compatibili con il runtime di Moby. Se si usano pacchetti snap di Ubuntu Core, lo snap di Docker è gestito da Canonical ed è supportato per gli scenari di produzione.

Installare il motore Moby.

sudo apt-get update; \
  sudo apt-get install moby-engine

Per impostazione predefinita, il motore di contenitore non imposta limiti di dimensioni per i log dei contenitori. Nel corso del tempo questo può causare il riempimento del dispositivo con i log e l'esaurimento dello spazio su disco. È possibile, tuttavia, configurare il log per la visualizzazione locale, anche se è facoltativo. Per altre informazioni sulla configurazione della registrazione, vedere Elenco di controllo della distribuzione di produzione.

I passaggi seguenti illustrano come configurare il contenitore per l'uso del driver di registrazione local come meccanismo di registrazione.

  1. Creare o modificare il file di configurazione del daemon Docker esistente

    sudo nano /etc/docker/daemon.json
    
  2. Impostare il driver di registrazione predefinito sul driver di registrazione local, come illustrato nell'esempio.

       {
          "log-driver": "local"
       }
    
  3. Riavviare il motore di contenitore per applicare le modifiche.

    sudo systemctl restart docker
    

Installare il runtime IoT Edge.

Il servizio IoT Edge fornisce e gestisce gli standard di sicurezza nel dispositivo IoT Edge. Il servizio viene avviato a ogni avvio del dispositivo e ne esegue il bootstrap avviando la parte restante del runtime IoT Edge.

Nota

A partire dalla versione 1.2, il servizio di identità IoT controlla il provisioning e la gestione delle identità per IoT Edge e per altri componenti del dispositivo che devono comunicare con l'hub IoT.

I passaggi in questa sezione rappresentano il processo tipico per l'installazione dell'ultima versione di IoT Edge in un dispositivo dotato di connessione Internet. Se è necessario installare una versione specifica, ad esempio una versione non definitiva, o se è necessario eseguire l'installazione offline, seguire i passaggi di Installazione offline o di una versione specifica riportati più avanti in questo articolo.

Suggerimento

Se già si dispone di un dispositivo IoT Edge che esegue una versione precedente e si desidera eseguire l'aggiornamento all'ultima versione, seguire la procedura descritta in Aggiornare il daemon di sicurezza e il runtime IoT Edge. Le versioni successive sono tanto diverse dalle versioni precedenti di IoT Edge che occorrono passaggi specifici per l'aggiornamento.

Installare l'ultima versione di IoT Edge e il pacchetto del servizio di identità IoT, se non è già aggiornato:

  • 22.04:

    sudo apt-get update; \
       sudo apt-get install aziot-edge
    
  • 20.04:

    sudo apt-get update; \
       sudo apt-get install aziot-edge defender-iot-micro-agent-edge
    

Il pacchetto defender-iot-micro-agent-edge facoltativo include il micro-agente di sicurezza di Microsoft Defender per IoT, che fornisce visibilità dell'endpoint nella gestione della postura di sicurezza, nelle vulnerabilità, nel rilevamento delle minacce, nella gestione della flotta e altro, facilitando la protezione dei dispositivi IoT Edge. È consigliabile installare il micro agente con l'agente Edge per abilitare il monitoraggio della sicurezza e la protezione avanzata dei dispositivi Edge. Per altre informazioni su Microsoft Defender per IoT, vedere Che cos'è Microsoft Defender per IoT per i generatori di dispositivi.

Effettuare il provisioning del dispositivo con la relativa identità cloud

Una volta installati il motore di contenitore e il runtime di IoT Edge nel dispositivo, è possibile configurare il dispositivo con le relative informazioni di autenticazione e identità cloud.

È possibile configurare il dispositivo IoT Edge con l'autenticazione con chiave simmetrica usando il comando seguente:

sudo iotedge config mp --connection-string 'PASTE_DEVICE_CONNECTION_STRING_HERE'

Questo comando iotedge config mp crea un file di configurazione nel dispositivo e immette la stringa di connessione nel file di configurazione.

  1. Applicare le modifiche alla configurazione.

    sudo iotedge config apply
    
  2. Per visualizzare il file di configurazione, è possibile aprirlo:

    sudo nano /etc/aziot/config.toml
    

Distribuire i moduli

Per distribuire i moduli IoT Edge, passare all'hub IoT nel portale di Azure, quindi:

  1. Selezionare Dispositivi dal menu dell'hub IoT.

  2. Selezionare il dispositivo per aprire la relativa pagina.

  3. Selezionare la scheda Imposta moduli.

  4. Poiché lo scopo è distribuire i moduli predefiniti di IoT Edge (edgeAgent ed edgeHub), non è necessario aggiungere moduli a questo riquadro, quindi selezionare Rivedi e crea nella parte inferiore.

  5. Viene visualizzata la conferma JSON dei moduli. Selezionare Crea per distribuire i moduli.

Per altre informazioni, vedere Distribuire un modulo.

Verificare la corretta configurazione

Verificare che il runtime sia stato installato e configurato correttamente nel dispositivo IoT Edge.

Suggerimento

Per eseguire comandi iotedge sono necessari privilegi elevati. Quando ci si disconnette dal computer e si accede di nuovo per la prima volta dopo l'installazione del runtime IoT Edge, le autorizzazioni vengono aggiornate automaticamente. Fino ad allora, usare sudo davanti ai comandi.

  1. Verificare che il servizio di sistema IoT Edge sia in esecuzione.

    sudo iotedge system status
    

    Una risposta di stato con esito positivo mostra i servizi di aziot in esecuzione o pronti.

  2. Se è necessario risolvere problemi del servizio, recuperare i log di servizio.

    sudo iotedge system logs
    
  3. Usare lo strumento check per verificare lo stato di configurazione e connessione del dispositivo.

    sudo iotedge check
    

    Sono possibili svariate risposte, tra cui OK (verde), Avviso (giallo) o Errore (rosso). Per la risoluzione di errori comuni, vedere Soluzioni ai problemi comuni per Azure IoT Edge.

    Screenshot delle risposte di esempio dal comando check.

    Suggerimento

    Usare sempre sudo per eseguire lo strumento di controllo, anche dopo l'aggiornamento delle autorizzazioni. Lo strumento richiede privilegi elevati per accedere al file di configurazione per la verifica dello stato di configurazione.

    Nota

    In un dispositivo di cui è stato appena effettuato il provisioning, potrebbe essere visualizzato un errore correlato all'hub IoT Edge:

    × idoneità alla produzione: la directory di archiviazione dell'hub Edge è persistente nel file system host - ErroreNon è stato possibile controllare lo stato corrente del contenitore edgeHub

    Questo errore è previsto in un dispositivo di cui è stato appena effettuato il provisioning, perché il modulo Hub di IoT Edge non è in esecuzione. Accertarsi che i moduli IoT Edge siano stati distribuiti nei passaggi precedenti. La distribuzione risolve questo errore.

    In alternativa, è possibile visualizzare un codice di stato come 417 -- The device's deployment configuration is not set. Una volta distribuiti i moduli, questo stato cambierà.

  4. Poiché il servizio è stato avviato per la prima volta, verrà visualizzato solo il modulo edgeAgent in esecuzione. Il modulo edgeAgent viene eseguito per impostazione predefinita e permette di installare e avviare tutti i moduli aggiuntivi distribuiti nel dispositivo.

    Accertarsi che il dispositivo e i moduli siano distribuiti e in esecuzione visualizzando la pagina del dispositivo nel portale di Azure.

    Screenshot della conferma dei moduli IoT Edge distribuiti e in esecuzione nel portale di Azure.

    Quando i moduli sono stati distribuiti e sono in esecuzione, elencarli nel dispositivo o nella macchina virtuale con il comando seguente:

    sudo iotedge list
    

Installazione offline o specifica della versione (facoltativo)

I passaggi in questa sezione riguardano scenari non coperti dalla procedura di installazione standard. Possono includere:

  • Installazione di IoT Edge durante la modalità offline
  • Installazione di una versione finale candidata

Usare la procedura in questa sezione se si desidera installare una versione specifica del runtime di Azure IoT Edge non disponibile tramite la gestione pacchetti. L'elenco dei pacchetti Microsoft contiene solo un set limitato di versioni recenti e le relative versioni secondarie, quindi questi passaggi sono destinati a chi desidera installare una versione precedente o una versione finale candidata.

Se si usano snap di Ubuntu, è possibile scaricare uno snap e installarlo offline. Per altre informazioni, vedere Scaricare snap e installare offline.

Tramite comandi curl è possibile specificare come destinazione i file dei componenti direttamente dal repository GitHub di IoT Edge.

  1. Passare alle versioni di Azure IoT Edgee trovare la versione di rilascio desiderata come destinazione.

  2. Espandere la sezione Asset per tale versione.

  3. Ogni versione deve avere nuovi file per IoT Edge e il servizio di identità. Se si intende installare IoT Edge in un dispositivo offline, scaricare questi file in anticipo. In alternativa, usare i comandi seguenti per aggiornare tali componenti.

    1. Trovare il file aziot-identity-service corrispondente all'architettura del dispositivo IoT Edge. Fare doppio clic sul collegamento del file e copiare l'indirizzo del collegamento.

    2. Usare il collegamento copiato nel comando seguente per installare quella versione del servizio di identità:

      curl -L <identity service link> -o aziot-identity-service.deb && sudo apt-get install ./aziot-identity-service.deb
      

    1. Trovare il file aziot-edge corrispondente all'architettura del dispositivo IoT Edge. Fare doppio clic sul collegamento del file e copiare l'indirizzo del collegamento.

    2. Usare il collegamento copiato nel comando seguente per installare quella versione di IoT Edge.

      curl -L <iotedge link> -o aziot-edge.deb && sudo apt-get install ./aziot-edge.deb
      

Disinstallare IoT Edge

Se si vuole rimuovere l'installazione di IoT Edge dal dispositivo, usare i comandi seguenti.

Rimuovere il runtime IoT Edge.

sudo apt-get autoremove --purge aziot-edge

Lasciare il flag --purge se si prevede di reinstallare IoT Edge e usare le stesse informazioni di configurazione in futuro. Il flag --purge elimina tutti i file associati a IoT Edge, inclusi i file di configurazione.

Quando il runtime IoT Edge viene rimosso, i contenitori creati vengono arrestati, ma rimangono sul dispositivo. Verificare tutti i contenitori per vedere quali vengono conservati.

sudo docker ps -a

Eliminare i contenitori dal dispositivo, inclusi i due contenitori di runtime.

sudo docker rm -f <container ID>

Infine, rimuovere il runtime del contenitore dal dispositivo.

sudo apt-get autoremove --purge moby-engine

Passaggi successivi

Passare a distribuire moduli IoT Edge per informazioni su come distribuire moduli nel dispositivo.