Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
La sicurezza e la scalabilità sono una priorità per la distribuzione delle operazioni IoT di Azure. Questo articolo illustra le linee guida da prendere in considerazione durante la configurazione delle operazioni IoT di Azure per la produzione.
Decidere se si distribuiscono le operazioni IoT di Azure in un cluster a nodo singolo o multinodo prima di prendere in considerazione la configurazione appropriata. Molte delle linee guida contenute in questo articolo si applicano indipendentemente dal tipo di cluster, ma quando esiste una differenza viene chiamata specificamente.
Attualmente, K3s in Ubuntu 24.04 è l'unica piattaforma disponibile a livello generale per la distribuzione delle operazioni IoT di Azure nell'ambiente di produzione.
Assicurarsi che la configurazione hardware sia sufficiente per lo scenario e che si inizi con un ambiente sicuro.
Creare un cluster K3s abilitato per Arc che soddisfi i requisiti di sistema.
- Usare un ambiente supportato per le operazioni IoT di Azure.
- Configurare il cluster in base alla documentazione.
- Se si prevede una connettività intermittente per il cluster, assicurarsi di avere allocato spazio su disco sufficiente ai dati e ai messaggi della cache del cluster mentre il cluster è offline.
- Se possibile, disporre di un secondo cluster come area di gestione temporanea per testare le nuove modifiche prima della distribuzione nel cluster di produzione primario.
- Disattivare l'aggiornamento automatico per Azure Arc per avere il controllo completo su quando vengono applicati nuovi aggiornamenti al cluster. Aggiornare invece manualmente gli agenti in base alle esigenze.
- Per i cluster multinodo: configurare i cluster con volumi Perimetrali per prepararsi per abilitare la tolleranza di errore durante la distribuzione.
Prendere in considerazione le misure seguenti per assicurarsi che la configurazione del cluster sia sicura prima della distribuzione.
- Convalidare le immagini per assicurarsi che siano firmate da Microsoft.
- Quando si esegue la crittografia TLS, è possibile usare un'autorità emittente personalizzata e integrarsi con un'infrastruttura a chiave pubblica aziendale.
- Usare i segreti per l'autenticazione locale.
- Usare le identità gestite assegnate dall'utente per le connessioni cloud.
- Mantenere aggiornata la distribuzione del cluster e delle operazioni IoT di Azure con le patch e le versioni secondarie più recenti per ottenere tutte le correzioni di bug e sicurezza disponibili.
Se si usano firewall aziendali o proxy, aggiungere gli endpoint di Operazioni IoT di Azure all'elenco elementi consentiti .
Per le distribuzioni di produzione, distribuire le risorse di osservabilità nel cluster prima di distribuire le operazioni di Azure IoT. È anche consigliabile configurare gli avvisi di Prometheus in Monitoraggio di Azure.
Per una distribuzione pronta per la produzione, includere le configurazioni seguenti durante la distribuzione di Operazioni IoT di Azure.
Nella distribuzione guidata portale di Azure la risorsa broker viene configurata nella scheda Configurazione.
Configurare le impostazioni di cardinalità in base al profilo di memoria e alle esigenze per la gestione di connessioni e messaggi. Ad esempio, le impostazioni seguenti possono supportare un cluster a nodo singolo o multinodo:
Impostazione Nodo singolo Multinodo frontendReplicas 1 5 front-endWorkers 4 8 backendRedundancyFactor 2 2 backendWorkers 1 4 backendPartitions 1 5 Profilo di memoria Ridotto Elevato Crittografare il traffico interno.
Impostare il buffer di messaggi basato su disco con dimensioni massime che impediscono l'overflow della RAM.
Nella distribuzione guidata portale di Azure il Registro di sistema dello schema e il relativo account di archiviazione necessari vengono configurati nella scheda Gestione dipendenze.
- L'account di archiviazione è supportato solo con l'accesso alla rete pubblica abilitato.
- L'account di archiviazione deve avere lo spazio dei nomi gerarchico abilitato.
- L'identità gestita del Registro di sistema dello schema deve disporre delle autorizzazioni di collaboratore per l'account di archiviazione.
Cluster a più nodi: la tolleranza di errore può essere abilitata nella scheda Gestione dipendenze della distribuzione guidata portale di Azure. È supportato solo nei cluster multinodo ed è consigliato per la distribuzione di produzione.
Durante la distribuzione, è possibile usare le impostazioni di test o le impostazioni sicure. Per le distribuzioni di produzione, scegliere impostazioni sicure. Se si sta aggiornando una distribuzione di impostazioni di test esistente per la produzione, seguire la procedura descritta in Abilitare le impostazioni sicure.
Dopo la distribuzione delle operazioni di Azure IoT, sono disponibili le configurazioni seguenti per uno scenario di produzione.
Dopo la distribuzione, è possibile modificare le risorse brokerListener:
- Configurare TLS con la gestione automatica dei certificati per i listener.
È anche possibile modificare le risorse BrokerAuthentication.
- Usare i certificati X.509 o i token dell'account del servizio Kubernetes per l'autenticazione.
- Non usare nessuna autenticazione.
Quando si crea una nuova risorsa, gestire l'autorizzazione:
- Creare una risorsa BrokerAuthorization e fornire il privilegio minimo necessario per l'asset dell'argomento.
Per la connessione agli asset in fase di produzione, configurare l'autenticazione OPC UA:
- Non usare nessuna autenticazione. La connettività ai server OPC UA non è supportata senza autenticazione.
- Configurare una connessione sicura al server OPC UA. Usare un'infrastruttura a chiave pubblica di produzione e configurare i certificati dell'applicazione e l'elenco di attendibilità.
Quando si usano flussi di dati nell'ambiente di produzione:
- Usare l'autenticazione SAT (Service Account Token) con il broker MQTT (impostazione predefinita).
- Autenticazione dell'identità gestita sempre usata. Quando possibile, usare l'identità gestita assegnata dall'utente negli endpoint del flusso di dati per la flessibilità e il controllo.
- Ridimensionare i profili del flusso di dati per migliorare la velocità effettiva e avere disponibilità elevata.
- Raggruppare più flussi di dati nei profili del flusso di dati e personalizzare il ridimensionamento per ogni profilo di conseguenza.