Condividi tramite

Distribuire le operazioni di Azure IoT in un cluster di produzione

Informazioni su come distribuire le operazioni di Azure IoT in un cluster Kubernetes con impostazioni sicure per la produzione usando il portale di Azure.

Se è stata distribuita un'istanza di test di Operazioni IoT di Azure in un cluster e si vuole usare lo stesso cluster per gli scenari di produzione, seguire la procedura descritta in Abilitare le impostazioni sicure in un'istanza esistente di Operazioni IoT di Azure.

Prima di iniziare

Questo articolo illustra le distribuzioni e le istanze di Operazioni IoT di Azure, che sono due concetti diversi:

  • Una distribuzione di Azure IoT Operations descrive tutti i componenti e le risorse che abilitano lo scenario operazioni di Azure IoT. Questi componenti e risorse includono:

    • Istanza di Operazioni di Azure IoT
    • Estensioni Arc
    • Località personalizzate
    • Risorse che è possibile configurare nella soluzione Operazioni IoT di Azure, ad esempio asset e dispositivi.

  • Un'istanza di Azure IoT Operations è la risorsa padre che aggrega la suite di servizi definiti in Informazioni sulle operazioni di Azure IoT, ad esempio broker MQTT, flussi di dati e connettore per OPC UA.

Quando si parla della distribuzione delle operazioni IoT di Azure, si intende il set completo di componenti che costituiscono una distribuzione. Dopo aver creato la distribuzione, è possibile visualizzare, gestire e aggiornare l'istanza.

Prerequisiti

Risorse cloud:

Risorse per lo sviluppo:

  • Interfaccia della riga di comando di Azure installata nel computer di sviluppo. Questo scenario richiede l'interfaccia della riga di comando di Azure, versione 2.53.0 o superiore. Usare az --version per controllare la versione e az upgrade per aggiornarla, se necessario. Per ulteriori informazioni, vedere Come installare l'interfaccia della riga di comando di Azure.

Un host del cluster:

  • Disporre di un cluster Kubernetes abilitato per Azure Arc con le funzionalità abilitate di identità del carico di lavoro e della posizione personalizzata. Se non è disponibile, seguire la procedura descritta in Preparare il cluster Kubernetes abilitato per Azure Arc.

    Se la distribuzione di Operazioni di Azure IoT è stata eseguita nel cluster in precedenza, disinstallare tali risorse prima di continuare. Per altre informazioni, vedere Aggiornare le operazioni di Azure IoT.

  • (Scelta consigliata) Configura un'autorità di certificazione personalizzata prima di distribuire le operazioni di Azure IoT: Porta il tuo emittente.

Distribuire nel portale di Azure

L'esperienza di distribuzione del portale di Azure è uno strumento helper che genera un comando di distribuzione basato sulle risorse e sulla configurazione. Il passaggio finale consiste nell'eseguire un comando dell'interfaccia della riga di comando di Azure, quindi sono ancora necessari i prerequisiti dell'interfaccia della riga di comando di Azure descritti nella sezione precedente.

  1. Accedere al portale di Azure.

  2. Nella casella di ricerca cercare e selezionare Operazioni IoT di Azure.

  3. Selezionare Crea.

  4. Nella scheda Informazioni di base specificare le informazioni seguenti:

    Parametro Valore
    Abbonamento Selezionare la sottoscrizione che contiene il cluster abilitato per Arc.
    Gruppo di risorse Selezionare il gruppo di risorse che contiene il cluster abilitato per Arc.
    Nome del cluster Selezionare il cluster in cui si vuole distribuire Operazioni di Azure IoT.
    Nome luogo personalizzato Facoltativo: sostituire il nome predefinito per il percorso personalizzato.
    Versione della distribuzione Selezionare 1.2 (versione più recente). Per altre informazioni, vedere Versioni delle operazioni IoT.

  5. Selezionare Avanti: Configurazione.

  6. Nella scheda Configurazione specificare le informazioni seguenti:

    Parametro Valore
    Nome operazioni IoT di Azure Facoltativo: sostituire il nome predefinito per l'istanza di Operazioni IoT di Azure.
    Configurazione del broker MQTT Facoltativo: modificare le impostazioni predefinite per il broker MQTT. Nel portale di Azure è possibile configurare le impostazioni del profilo di cardinalità e memoria. Per configurare altre impostazioni, tra cui il buffer dei messaggi basato su disco e le opzioni avanzate del client MQTT, vedere Supporto dell'interfaccia della riga di comando di Azure per la configurazione avanzata del broker MQTT.
    Configurazione del profilo del flusso di dati Facoltativo: modificare le impostazioni predefinite per i flussi di dati. Per altre informazioni, vedere Configurare il profilo del flusso di dati.

    Screenshot che mostra la seconda scheda per la distribuzione di Operazioni IoT di Azure dal portale.

  7. Selezionare Avanti: Gestione delle dipendenze.

  8. Nella scheda Gestione dipendenze selezionare un registro schemi esistente o seguire questa procedura per crearne uno:

    1. Selezionare Crea nuovo.

    2. Specificare un nome del registro dello schema e uno spazio dei nomi del registro dello schema.

    3. Selezionare Seleziona contenitore di Archiviazione di Azure.

    4. Scegliere un account di archiviazione dall'elenco di account abilitati per gli spazi dei nomi gerarchici oppure selezionare Crea per crearne uno.

      Il Registro di sistema dello schema richiede un account Archiviazione di Azure con spazio dei nomi gerarchico e accesso alla rete pubblica abilitato. Quando si crea un nuovo account di archiviazione, scegliere un tipo di account di archiviazione per utilizzo generico v2 e impostare Spazio dei nomi gerarchico su Abilitato.

      Per ulteriori informazioni sulla configurazione dell'account di archiviazione, consultare Linee guida per la distribuzione in ambienti di produzione.

    5. Selezionare un contenitore nell'account di archiviazione o selezionare Contenitore per crearne uno.

    6. Selezionare Applica per confermare le configurazioni del Registro di sistema dello schema.

  9. Le operazioni di Azure IoT usano spazi dei nomi per organizzare asset e dispositivi. Ogni istanza di Azure IoT Operations usa un singolo spazio dei nomi per gli asset e i dispositivi. Nella scheda Gestione dipendenze selezionare uno spazio dei nomi di Registro dispositivi di Azure esistente o seguire questa procedura per crearne uno:

    1. Selezionare Crea nuovo.

    2. Nella scheda Informazioni di base specificare le informazioni seguenti:

      Parametro Valore
      Abbonamento Selezionare la sottoscrizione.
      Gruppo di risorse Selezionare il gruppo di risorse che contiene l'istanza di Operazioni IoT di Azure.
      Nome Specificare un nome univoco per lo spazio dei nomi.
      Regione Seleziona l'area di Azure in cui conservare lo spazio dei nomi.

      Seleziona Avanti per continuare.

    3. Nella scheda Tag è possibile aggiungere facoltativamente tag allo spazio dei nomi. Seleziona Avanti per continuare.

    4. Nella scheda Review + create, rivedi le tue configurazioni e seleziona Crea per creare lo spazio dei nomi.

    5. Tornare alla scheda Gestione dipendenze, quindi selezionare lo spazio dei nomi appena creato dall'elenco.

  10. Nella scheda Gestione dipendenze, selezionare l'opzione di distribuzione Impostazioni sicure.

    Screenshot che mostra la selezione delle impostazioni sicure nella terza scheda per la distribuzione di Operazioni IoT di Azure dal portale.

  11. Nella sezione Opzioni di distribuzione specificare le informazioni seguenti:

    Parametro Valore
    Abbonamento Selezionare la sottoscrizione che contiene Azure Key Vault.
    Azure Key Vault Selezionare un Key Vault di Azure o selezionare Crea nuovo.

    Assicurarsi che l'insieme di credenziali delle chiavi disponga del controllo degli accessi in base al ruolo di Azure come modello di autorizzazione. Per controllare questa impostazione, selezionare Gestisci l'insieme di credenziali selezionato>Impostazioni>Configurazione di accesso.

    Assicurarsi di concedere all'account utente le autorizzazioni per gestire i segreti con il ruolo Key Vault Secrets Officer.
    Identità gestita assegnata all'utente per i segreti Selezionare un'identità o selezionare Crea nuovo.
    Identità gestita assegnata dall'utente per i componenti AIO Selezionare un'identità o selezionare Crea nuovo. Non usare la stessa identità gestita selezionata per i segreti.

    Screenshot che mostra la configurazione delle impostazioni sicure nella terza scheda per la distribuzione di Operazioni IoT di Azure dal portale.

  12. Selezionare Avanti: Automazione.

Eseguire i comandi dell'interfaccia della riga di comando di Azure

Il passaggio finale dell'esperienza di distribuzione del portale di Azure consiste nell'eseguire un set di comandi dell'interfaccia della riga di comando di Azure per distribuire le operazioni IoT di Azure nel cluster. I comandi vengono generati in base alle informazioni fornite nei passaggi precedenti.

Uno alla volta, eseguire ogni comando CLI di Azure nella scheda Automazione in un terminale:

  1. Accedere all'interfaccia della riga di comando di Azure in modo interattivo con un browser, anche se è già stato eseguito l'accesso in precedenza. Se non si esegue l'accesso in modo interattivo, potrebbe essere visualizzato un errore che indica che il dispositivo deve essere gestito per accedere alla risorsa quando si continua con il passaggio successivo per distribuire le operazioni di Azure IoT.

    az login

  2. Installare l'estensione più recente dell'interfaccia della riga di comando Operazioni di Azure IoT.

    az upgrade
az extension add --upgrade --name azure-iot-ops

  3. Copiare ed eseguire il comando az iot ops schema registry create per creare un registro schemi usato dai componenti di Azure IoT Operations. Se si sceglie di usare un registro schemi esistente, questo comando non viene visualizzato nella scheda Automazione .

    Nota

    Questo comando richiede che siano disponibili autorizzazioni di scrittura per l'assegnazione di ruolo, dal momento che assegna un ruolo per concedere al Registro di sistema dello schema l'accesso all'account di archiviazione. Per impostazione predefinita, viene utilizzato il ruolo integrato Collaboratore dati BLOB di archiviazione, oppure è possibile creare un ruolo personalizzato con autorizzazioni limitate da assegnare. Per altre informazioni, vedere az iot ops schema registry create.

  4. Per preparare il cluster per la distribuzione di Operazioni IoT di Azure, copiare ed eseguire il comando az iot ops init fornito.

    Suggerimento

    Il comando init deve essere eseguito una sola volta per ogni cluster. Se si riutilizza un cluster che aveva già distribuito Operazioni di Azure IoT versione 0.8.0, è possibile ignorare questo passaggio.

    Il completamento di questo comando potrebbe richiedere alcuni minuti. È possibile controllare lo stato di avanzamento della distribuzione visualizzato nel terminale.

  5. Distribuire le Operazioni di Azure IoT. Copiare ed eseguire il comando az iot ops create fornito. Il completamento di questo comando potrebbe richiedere alcuni minuti. È possibile controllare lo stato di avanzamento della distribuzione visualizzato nel terminale.

    Se sono stati seguiti i prerequisiti facoltativi per configurare l'autorità di certificazione emittente dell'autorità di certificazione, aggiungere i parametri --trust-settings al comando create:

    --trust-settings configMapName=<CONFIGMAP_NAME> configMapKey=<CONFIGMAP_KEY_WITH_PUBLICKEY_VALUE> issuerKind=<CLUSTERISSUER_OR_ISSUER> issuerName=<ISSUER_NAME>

  6. Abilitare la sincronizzazione dei segreti per l'istanza distribuita di Operazioni di Azure IoT. Copiare ed eseguire il comando az iot ops secretsync enable fornito. Questo comando:

    • Crea una credenziale di identità federata usando l'identità gestita assegnata dall'utente.
    • Aggiunge un'assegnazione di ruolo all'identità gestita assegnata dall'utente per l'accesso ad Azure Key Vault.
    • Aggiunge una classe di provider di segreti minima associata all'istanza di Operazioni di Azure IoT.

  7. Assegnare un'identità gestita assegnata dall'utente all'istanza distribuita di Operazioni di Azure IoT. Copiare ed eseguire il comando az iot ops identity assign fornito. Questo comando crea una credenziale di identità federata usando l'emittente OIDC del cluster connesso indicato e l'account del servizio Operazioni di Azure IoT.

  8. Riavviare i pod del registro schemi per applicare la nuova identità.

    kubectl delete pods adr-schema-registry-0 adr-schema-registry-1 -n azure-iot-operations

  9. Al termine di tutti i comandi dell'interfaccia della riga di comando di Azure completati correttamente, è possibile chiudere la finestra della procedura guidata Installa operazioni di Azure IoT.

Completato il comando create, è disponibile un'istanza operativa di Operazioni di Azure IoT in esecuzione nel cluster. A questo punto, l'istanza è configurata per gli scenari di produzione.

Verificare la distribuzione

Al termine della distribuzione, usare az iot ops check per valutare la distribuzione del servizio operazioni IoT per l'integrità, la configurazione e l'usabilità. Il check comando consente di trovare problemi nella distribuzione e nella configurazione.

az iot ops check

Il comando check visualizza un avviso relativo ai flussi di dati mancanti, che è normale e previsto fino a quando non si crea un flusso di dati. Per altre informazioni, vedere Elaborare e instradare i dati con i flussi di dati.

È possibile controllare le configurazioni delle mappe degli argomenti, QoS e route dei messaggi aggiungendo il parametro --detail-level 2 al comando check per una visualizzazione dettagliata.

È possibile visualizzare tutte le versioni dell'estensione dell'interfaccia della riga di comando di Azure IoT Operations disponibili eseguendo il comando seguente:

az iot ops get-versions

Passaggi successivi

  • Last updated on