Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Quando si distribuisce Operazioni di Azure IoT, si installa una suite di servizi in un cluster Kubernetes abilitato per Azure Arc. Questo articolo offre una panoramica delle diverse opzioni di distribuzione da considerare per lo scenario.
Ambienti supportati
Ambienti Windows supportati
Microsoft supporta le distribuzioni Kubernetes seguenti per le distribuzioni di Azure IoT Operations in Windows. La tabella seguente illustra in dettaglio i livelli di supporto e le versioni usate da Microsoft per convalidare le distribuzioni:
| Distribuzione di Kubernetes | Architecture | Livello di supporto | Versione convalidata minima |
|---|---|---|---|
| AKS Edge Essentials | x86_64 | Anteprima pubblica | AksEdge-K3s-1.29.6-1.8.202.0 |
| Servizio Azure Kubernetes in locale di Azure | x86_64 | Anteprima pubblica | Sistema operativo Azure Stack HCI, versione 23H2, build 2411 |
- La versione minima convalidata è la versione più bassa della distribuzione kubernetes usata da Microsoft per convalidare le distribuzioni di Operazioni IoT di Azure.
Ambienti Linux supportati
Microsoft supporta le distribuzioni Kubernetes seguenti per le distribuzioni di Operazioni IoT di Azure in ambienti Linux. La tabella seguente elenca i livelli di supporto e le versioni usate da Microsoft per convalidare le distribuzioni:
| Distribuzione di Kubernetes | Architecture | Livello di supporto | Versione convalidata minima | Sistema operativo convalidato minimo |
|---|---|---|---|---|
| K3s | x86_64 | Disponibilità generale | 1.31.1 | Ubuntu 24.04 |
| Rilascio di Tanzu Kubernetes (TKr) | x86_64 | Disponibilità generale | 1.28.11 | Tanzu Kubernetes Grid 2.5.2 |
- La versione minima convalidata è la versione più bassa della distribuzione kubernetes usata da Microsoft per convalidare le distribuzioni di Operazioni IoT di Azure.
- Il sistema operativo minimo convalidato è la versione minima del sistema operativo usata da Microsoft per convalidare le distribuzioni.
Importante
Il supporto per le distribuzioni di Operazioni IoT di Azure è disponibile solo nella versione 1.28.11 di TKr.
Nota
I record di utilizzo della fatturazione vengono raccolti in qualsiasi ambiente in cui è installato Operazioni di di Azure IoT, indipendentemente dai livelli di supporto o disponibilità.
Per installare Operazioni di Azure IoT, assicurarsi che siano soddisfatti i requisiti hardware seguenti per Operazioni di Azure IoT. Se si utilizza un cluster multinodo che supporta la tolleranza di errore, aumentare la capacità consigliata per ottenere prestazioni migliori.
| Specifica | Minima | Consigliata |
|---|---|---|
| Capacità di memoria hardware (RAM) | 16 GB | 32 GB |
| Memoria disponibile per Operazioni di Azure IoT (RAM) | 10 GB | A seconda dell'utilizzo |
| CPU (unità centrale di elaborazione) | 4 vCPU | 8 vCPU |
Nota
La configurazione minima è appropriata quando si eseguono solo operazioni IoT di Azure.
Scegliere le funzionalità
Operazioni di Azure IoT offre due modalità di distribuzione. È possibile scegliere di eseguire la distribuzione con le impostazioni di test, un subset di base di funzionalità più semplici da iniziare a utilizzare per gli scenari di valutazione. In alternativa, è possibile scegliere di eseguire la distribuzione con le impostazioni di sicurezza, ovvero il set di funzionalità completo.
Distribuzione con le impostazioni di test
Una distribuzione con solo le impostazioni di test presenta le caratteristiche seguenti:
- Non configura segreti o funzionalità di identità gestite assegnate dall'utente.
- È progettato per abilitare l'esempio di avvio rapido end-to-end a scopo di valutazione, quindi supporta il simulatore OPC PLC e si connette alle risorse cloud usando l'identità gestita assegnata dal sistema.
- È possibile aggiornarlo per usare le impostazioni sicure.
Per un'esperienza di avvio rapido, è possibile usare la Guida introduttiva: Eseguire Operazioni di Azure IoT in GitHub Codespaces con lo scenario K3s. Questo scenario usa una distribuzione Kubernetes leggera (K3s) e viene eseguita in GitHub Codespaces, quindi non è necessario configurare un cluster o installare strumenti in locale.
Per distribuire Operazioni di Azure IoT con le impostazioni di test, seguire questi articoli:
- Iniziare con Preparare il cluster Kubernetes abilitato per Azure Arc per configurare il cluster e abilitarlo per Arc.
- Seguire quindi i passaggi descritti in Distribuire Operazioni di Azure IoT in un cluster di test.
Suggerimento
In qualsiasi momento, è possibile aggiornare un'istanza di Operazioni di Azure IoT per utilizzare le impostazioni di sicurezza seguendo la procedura descritta in Abilitare le impostazioni di sicurezza.
Distribuzione con le impostazioni di sicurezza
Una distribuzione con impostazioni sicure presenta le caratteristiche seguenti:
- È progettato per scenari pronti per la produzione.
- Abilita i segreti e l'identità gestita assegnata dall'utente, entrambe funzionalità importanti per lo sviluppo di uno scenario pronto per la produzione. I segreti vengono usati ogni volta che i componenti di Operazioni IoT di Azure si connettono a una risorsa esterna al cluster, ad esempio un server OPC UA o un endpoint del flusso di dati.
Per distribuire Operazioni di Azure IoT con le impostazioni di sicurezza, vedere questi articoli:
- Iniziare con Preparare il cluster Kubernetes abilitato per Azure Arc per configurare il cluster e abilitarlo per Arc.
- Seguire quindi i passaggi descritti in Distribuire Operazioni di Azure IoT in un cluster di produzione.
Autorizzazioni necessarie
La tabella seguente descrive le attività di distribuzione e gestione di Operazioni di Azure IoT che richiedono autorizzazioni con privilegi elevati. Per informazioni sull'assegnazione dei ruoli agli utenti, vedere Procedura per l'assegnazione di un ruolo di Azure.
| Attività | Autorizzazione necessaria | Commenti |
|---|---|---|
| Distribuire Operazioni di Azure IoT | Ruolo di onboarding di Operazioni di Azure IoT | Questo ruolo dispone di tutte le autorizzazioni necessarie per leggere e scrivere operazioni di Azure IoT e le risorse di Registro dispositivi di Azure. Questo ruolo dispone delle autorizzazioni Microsoft.Authorization/roleAssignments/write. |
| Registrare i provider di risorse | Ruolo Collaboratore a livello di sottoscrizione | È necessario eseguire questa operazione una sola volta per ogni sottoscrizione. È necessario registrare i provider di risorse seguenti: Microsoft.ExtendedLocation, Microsoft.SecretSyncController, Microsoft.Kubernetes, Microsoft.KubernetesConfiguration, Microsoft.IoTOperations e Microsoft.DeviceRegistry. |
| Creare segreti in Key Vault | Ruolo Agente segreti di Key Vault a livello di risorsa | Obbligatorio solo per la distribuzione di impostazioni sicure per sincronizzare i segreti da Azure Key Vault. |
| Creare e gestire account di archiviazione | Ruolo Collaboratore account di archiviazione | Obbligatorio per la distribuzione di Operazioni di Azure IoT. |
| Creare un gruppo di risorse | Ruolo Collaboratore gruppo di risorse | Necessario per creare un gruppo di risorse per l'archiviazione delle risorse di Operazioni di Azure IoT. |
| Eseguire l'onboarding di un cluster a Azure Arc | Cluster Kubernetes - Ruolo di onboarding di Azure Arc | I cluster abilitati per Arc sono necessari per distribuire Operazioni di Azure IoT. |
| Gestire la distribuzione del bridge di risorse di Azure | Ruolo di distribuzione di Azure Resource Bridge | Obbligatorio per distribuire Operazioni di Azure IoT. |
| Fornire le autorizzazioni per la distribuzione | Ruolo utente del cluster di Kubernetes con abilitazione di Azure Arc | Obbligatorio per concedere l'autorizzazione di distribuzione al cluster Kubernetes abilitato per Azure Arc. |
Suggerimento
È necessario abilitare la sincronizzazione delle risorse nell'istanza di Operazioni IoT di Azure per usare le funzionalità di individuazione automatica degli asset dei servizi Akri. Per altre informazioni, vedere Che cos'è l'individuazione degli asset OPC UA?.
Se si utilizza l'interfaccia della riga di comando di Azure per assegnare i ruoli, utilizzare il comando az role assignment create per concedere le autorizzazioni. Ad esempio, utilizzare az role assignment create --assignee sp_name --role "Role Based Access Control Administrator" --scope subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/MyResourceGroup
Se si utilizza il portale di Azure per assegnare ruoli di amministratore con privilegi a un utente o a un'entità di sicurezza, viene richiesto di limitare l'accesso utilizzando le condizioni. Per questo scenario, selezionare la condizione Consenti all'utente di assegnare tutti i ruoli nella pagina Aggiungi assegnazione di ruolo.
Organizzare le istanze tramite i siti
Operazioni di Azure IoT supporta i siti di Azure Arc per l'organizzazione di istanze. Un sito è una risorsa cluster in Azure come un gruppo di risorse. Tuttavia, i siti in genere raggruppano le istanze in base alla posizione fisica e semplificano l'individuazione e la gestione degli asset da parte degli utenti OT. Un amministratore IT crea siti e li definisce come ambito per una sottoscrizione o un gruppo di risorse. Quindi, qualsiasi istanza di Operazioni di di Azure IoT distribuita in un cluster abilitato per Arc viene raccolta automaticamente nel sito associato alla sottoscrizione o al gruppo di risorse
Per altre informazioni, vedere Che cos'è Gestione siti di Azure Arc (anteprima)?
Endpoint di Operazioni di Azure IoT
Se si utilizzano firewall aziendali o proxy per gestire il traffico in uscita, configurare gli endpoint seguenti prima di distribuire Operazioni di Azure IoT.
Endpoint negli endpoint Kubernetes abilitati per Azure Arc.
Nota
Se si utilizza Gateway di Azure Arc per connettere il cluster ad Arc, è possibile configurare un set più piccolo di endpoint in base alle indicazioni di Arc Gateway.
Endpoint negli endpoint dell'interfaccia della riga di comando di Azure.
È necessario
graph.windows.net,*.azurecr.io,*.blob.core.windows.nete*.vault.azure.netda questo elenco di endpoint.Gli endpoint seguenti sono specificamente necessari per Operazioni di Azure IoT:
Endpoint (DNS) Descrizione <customer-specific>.blob.core.windows.netArchiviazione per il Registro schemi. Fare riferimento agli endpoint dell'account di archiviazione per identificare il sottodominio specifico del cliente dell'endpoint. Per eseguire il push dei dati nel cloud, abilitare gli endpoint seguenti in base alla piattaforma dati scelta.
- Microsoft Fabric OneLake: aggiungere URL di Fabric all'elenco elementi consentiti.
- Hub eventi: Risolvere i problemi di connettività - Hub eventi di Azure.
- Griglia di eventi: Risolvere i problemi di connettività - Griglia di eventi di Azure.
- Azure Data Lake Storage Gen 2: Endpoint standard dell'account di archiviazione.
Residenza dei dati
Azure Resource Manager consente di gestire e controllare l'istanza di Operazioni IoT di Azure nel cluster Kubernetes dal cloud usando il portale di Azure o l'interfaccia della riga di comando di Azure. Anche se è necessario distribuire le risorse di Azure Resource Manager per le operazioni IoT di Azure in un'area attualmente supportata, è possibile scegliere dove risiedono fisicamente i carichi di lavoro operativi e i dati. Il runtime e il calcolo delle operazioni IoT di Azure rimangono in locale e sotto il controllo.
Questa architettura garantisce le caratteristiche seguenti della distribuzione:
- Tutti i processi operativi e i carichi di lavoro vengono eseguiti nell'infrastruttura locale.
- Per rispettare i requisiti di residenza dei dati, scegliere l'area di Azure per qualsiasi risorsa di archiviazione dati o di elaborazione dati usata dalla soluzione.
- Il trasferimento di dati avviene direttamente tra la tua infrastruttura locale e le risorse di archiviazione ed elaborazione di Azure. I dati non passano attraverso le risorse di Operazioni IoT di Azure nel cloud.
- La posizione di Azure Resource Manager per l'istanza di Azure IoT Operations è un riferimento logico per la gestione e l'orchestrazione.
- Non vengono rilocati i dati di produzione dei clienti. Alcuni dati di telemetria di sistema, ad esempio metriche e log, usati per il miglioramento del servizio e l'identificazione proattiva dei problemi di infrastruttura possono passare all'area di Azure in cui si trovano le risorse di Operazioni IoT di Azure.
Il diagramma seguente illustra una distribuzione di esempio che illustra come mantenere la sovranità dei dati nell'infrastruttura locale, usando facoltativamente un'area di Azure diversa per l'archiviazione e l'elaborazione dei dati. In questo esempio:
- Le risorse di gestione delle operazioni IoT di Azure vengono distribuite nell'area Stati Uniti occidentali . Questa area è una delle aree supportate per le operazioni IoT di Azure.
- I carichi di lavoro operativi e i dati rimangono in sede e nel perimetro sotto il controllo completo per garantire la localizzazione dei dati e la sovranità dei dati.
- Le risorse di archiviazione ed elaborazione dei dati vengono distribuite nell'area canada centrale per soddisfare specifici requisiti di residenza dei dati a livello di area.
Passaggi successivi
Preparare il cluster Kubernetes abilitato per Azure Arc per configurare un cluster e abilitarlo per Arc per Operazioni di Azure IoT.