Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
La sicurezza e la scalabilità sono una priorità per la distribuzione di Operazioni di Azure IoT. Questo articolo illustra le linee guida da prendere in considerazione durante la configurazione di Operazioni di Azure IoT per la produzione.
Decidere se si distribuiscono Operazioni di Azure IoT in un cluster a nodo singolo o multinodo prima di prendere in considerazione la configurazione appropriata. Molte delle linee guida contenute in questo articolo si applicano indipendentemente dal tipo di cluster, ma quando c'è una differenza viene chiamata specificamente.
Piattaforma
Attualmente, K3s in Ubuntu 24.04 è l'unica piattaforma disponibile a livello generale per la distribuzione di Operazioni di Azure IoT nell'ambiente di produzione.
Configurazione del cluster
Assicurarsi che la configurazione hardware sia sufficiente per lo scenario e che si inizi con un ambiente sicuro.
Configurazione del sistema
Creare un cluster K3s abilitato per Arc che soddisfi i requisiti di sistema.
- Usare un ambiente supportato per Operazioni di Azure IoT.
- Configurare il cluster in base alla documentazione.
- Se si prevede una connettività intermittente per il cluster, assicurarsi di allocare spazio su disco sufficiente ai dati e ai messaggi della cache del cluster mentre il cluster è offline. Le operazioni di Azure IoT possono funzionare offline per un massimo di 72 ore.
- Se possibile, disporre di un secondo cluster come area di gestione temporanea per testare le nuove modifiche prima della distribuzione nel cluster di produzione primario.
- Disattivare il downgrade automatico per Azure Arc per avere il controllo completo su quando vengono applicati nuovi aggiornamenti al cluster. Invece, Aggiornare manualmente gli agenti in base alle esigenze.
- Per i cluster multinodo: configurare i cluster con volumi Perimetrali per prepararsi per abilitare la tolleranza di errore durante la distribuzione.
Sicurezza
Prendere in considerazione le misure seguenti per assicurarsi che la configurazione del cluster sia sicura prima della distribuzione.
- Convalidare le immagini per assicurarsi che siano firmate da Microsoft.
- Quando si esegue la crittografia TLS, è possibile usare un'autorità di certificazione personalizzata e integrarsi con un'infrastruttura a chiave pubblica aziendale.
- Usare i segreti per l'autenticazione locale.
- Usare le identità gestite assegnate dall'utente per le connessioni cloud.
- Mantenere aggiornata la distribuzione del cluster e di Operazioni di Azure IoT con le patch e le versioni secondarie più recenti per ottenere tutte le correzioni di bug e sicurezza disponibili.
Rete
Se si usano firewall aziendali o proxy, aggiungere gli endpoint di Operazioni di Azure IoT all'elenco elementi consentiti.
Osservabilità
Per le distribuzioni di produzione, distribuire le risorse di osservabilità nel cluster prima di distribuire Operazioni di Azure IoT. È anche consigliabile configurare gli avvisi di Prometheus in Monitoraggio di Azure.
Distribuzione
Per una distribuzione pronta per la produzione, includere le configurazioni seguenti durante la distribuzione di Operazioni di Azure IoT.
Broker MQTT
Nella procedura guidata della distribuzione del portale di Azure la risorsa broker viene configurata nella scheda Configurazione.
Configurare le impostazioni di cardinalità in base al profilo di memoria e alle esigenze per la gestione di connessioni e messaggi. Ad esempio, le impostazioni seguenti possono supportare un cluster a nodo singolo o multinodo:
Impostazione Nodo singolo Multinodo frontendReplicas 1 5 frontendWorkers 4 8 backendRedundancyFactor 2 2 lavoratori del backend 1 4 backendPartitions 1 5 Profilo di memoria Basso Alto Impostare il buffer di messaggi basato su disco con dimensioni massime che impediscono l'overflow della RAM.
Registro schemi e archiviazione
Nella procedura guidata della distribuzione del portale di Azure il registro schemi e il relativo account di archiviazione necessari vengono configurati nella scheda Gestione dipendenze.
- L'account di archiviazione deve avere lo spazio dei nomi gerarchico abilitato.
- L'identità gestita del registro di sistema dello schema deve disporre delle autorizzazioni di collaboratore per l'account di archiviazione.
- L'account di archiviazione è supportato solo con l'accesso alla rete pubblica abilitato.
Per le distribuzioni di produzione, limitare l'accesso alla rete pubblica dell'account di archiviazione per permettere solo traffico dai servizi attendibili di Azure. Per esempio:
- Nel portale di Azure, vai all'account di archiviazione usato dal registro dello schema.
- Selezionare Sicurezza e rete > dal menu di spostamento.
- Per l'impostazione di accesso alla rete pubblica, selezionare Abilitato nelle reti virtuali e negli indirizzi IP selezionati.
- Nella sezione Eccezioni della pagina rete verificare che l'opzione Consenti ai servizi Microsoft attendibili di accedere a questa risorsa sia selezionata.
- Selezionare Salva per applicare le modifiche.
Per altre informazioni, vedere Configurare firewall di Archiviazione di Azure e reti > virtuali Concedere l'accesso ai servizi di Azure attendibili.
Tolleranza di errore
Cluster multinodo: la tolleranza di errore può essere abilitata nella scheda Gestione dipendenze della procedura guidata della distribuzione del portale di Azure. È supportato solo nei cluster multinodo ed è consigliato per la distribuzione di produzione.
Impostazioni sicure
Durante la distribuzione, è possibile usare le impostazioni di test o le impostazioni sicure. Per le distribuzioni di produzione, scegliere impostazioni sicure. Se si sta aggiornando una distribuzione di impostazioni di test esistente per la produzione, seguire la procedura descritta in Abilitare le impostazioni sicure.
Post-distribuzione
Dopo la distribuzione di Operazioni di Azure IoT, sono disponibili le configurazioni seguenti per uno scenario di produzione.
Broker MQTT
Dopo la distribuzione, è possibile modificare le risorse BrokerListener:
- Configurare TLS con la gestione automatica dei certificati per i listener.
È anche possibile modificare le risorse BrokerAuthentication.
- Usare i certificati X.509 o i token dell'account del servizio Kubernetes per l'autenticazione.
- Non usare nessuna autenticazione.
Quando si crea una nuova risorsa, gestire l'autorizzazione:
- Creare una risorsa BrokerAuthorization e fornire il privilegio minimo necessario per l'asset dell'argomento.
Broker OPC UA
Per la connessione agli asset in fase di produzione, configurare l'autenticazione OPC UA:
- Non usare nessuna autenticazione. La connettività ai server OPC UA non è supportata senza autenticazione.
- Configurare una connessione sicura al server OPC UA. Usare un'infrastruttura a chiave pubblica di produzione e configurare i certificati dell'applicazione e l'elenco scopi consentiti.
Flussi di dati
Quando si usano flussi di dati nell'ambiente di produzione:
- Usare l'autenticazione SAT (Service Account Token) con il broker MQTT (impostazione predefinita).
- Autenticazione dell'identità gestita sempre usata. Quando possibile, usare l'identità gestita assegnata dall'utente negli endpoint del flusso di dati per la flessibilità e il controllo.
- Ridimensionare i profili del flusso di dati per migliorare la velocità effettiva e avere disponibilità elevata.
- Raggruppare più flussi di dati nei profili del flusso di dati e personalizzare il ridimensionamento per ogni profilo di conseguenza.