Creare ed effettuare il provisioning di un dispositivo IoT Edge in Linux usando chiavi simmetriche

Si applica IoT Edge 1.1

Importante

IoT Edge 1.1 data di fine del supporto è stata il 13 dicembre 2022. Controlla il ciclo di vita dei prodotti Microsoft per ottenere informazioni sul modo in cui viene supportato questo prodotto, servizio, tecnologia o API. Per altre informazioni sull'aggiornamento alla versione più recente di IoT Edge, vedere Aggiornare IoT Edge.

Questo articolo fornisce istruzioni end-to-end per la registrazione e il provisioning di un dispositivo Linux IoT Edge, inclusa l'installazione di IoT Edge.

Ogni dispositivo che si connette a un hub IoT ha un ID dispositivo usato per tenere traccia delle comunicazioni da cloud a dispositivo o da dispositivo a cloud. Configurare un dispositivo con le informazioni di connessione, che include il nome host dell'hub IoT, l'ID dispositivo e le informazioni usate dal dispositivo per l'autenticazione per hub IoT.

I passaggi descritti in questo articolo illustrano un processo denominato provisioning manuale, in cui si connette un singolo dispositivo all'hub IoT. Per il provisioning manuale, sono disponibili due opzioni per l'autenticazione dei dispositivi IoT Edge:

• Chiavi simmetriche: quando si crea una nuova identità del dispositivo in hub IoT, il servizio crea due chiavi. Posizionare una delle chiavi nel dispositivo e presenta la chiave per hub IoT durante l'autenticazione.

  Questo metodo di autenticazione è più rapido per iniziare, ma non come sicuro.

• X.509 autofirmato: si creano due certificati di identità X.509 e li si inserisce nel dispositivo. Quando si crea una nuova identità del dispositivo in hub IoT, si forniscono identificazioni personali da entrambi i certificati. Quando il dispositivo esegue l'autenticazione per hub IoT, presenta un certificato e hub IoT verifica che il certificato corrisponda all'identificazione personale.

  Questo metodo di autenticazione è più sicuro e consigliato per gli scenari di produzione.

Questo articolo illustra l'uso di chiavi simmetriche come metodo di autenticazione. Per usare certificati X.509, vedere Creare ed effettuare il provisioning di un dispositivo IoT Edge in Linux usando certificati X.509.

Nota

Se sono presenti molti dispositivi da configurare e non si vuole effettuarne manualmente il provisioning, usare uno degli articoli seguenti per informazioni sul funzionamento di IoT Edge con il servizio di provisioning di dispositivi hub IoT:

• Creare ed effettuare il provisioning di dispositivi IoT Edge su larga scala usando certificati X.509
• Creare ed effettuare il provisioning di dispositivi IoT Edge su larga scala con un TPM
• Creare ed effettuare il provisioning di dispositivi IoT Edge su larga scala usando chiavi simmetriche

Prerequisiti

Questo articolo illustra la registrazione del dispositivo IoT Edge e l'installazione di IoT Edge su di esso. Queste attività hanno prerequisiti e utilità diversi usati per eseguirle. Assicurarsi di disporre di tutti i prerequisiti coperti prima di procedere.

Strumenti di gestione dei dispositivi

È possibile usare il portale di Azure, Visual Studio Code o l'interfaccia della riga di comando di Azure per la procedura per registrare il dispositivo. Ogni utilità ha i propri prerequisiti:

Portale

Un hub IoT gratuito o standard nella sottoscrizione di Azure.

Visual Studio Code

• Un hub IoT gratuito o standard nella sottoscrizione di Azure
• Visual Studio Code
• estensione hub IoT di Azure
• Azure IoT Edge per Visual Studio Code

Interfaccia della riga di comando di Azure

• Un hub IoT gratuito o standard nella sottoscrizione di Azure

• Interfaccia della riga di comando di Azure nell'ambiente

  Almeno la versione dell'interfaccia della riga di comando di Azure deve essere 2.0.70 o successiva. Usare il comando az --version per verificare. Questa versione supporta i comandi dell'estensione az e introduce il framework dei comandi Knack.

Requisiti dei dispositivi

Un dispositivo Linux X64, ARM32 o ARM64.

Microsoft pubblica pacchetti di installazione per un'ampia gamma di sistemi operativi.

Per le informazioni più recenti sui sistemi operativi attualmente supportati per gli scenari di produzione, vedere Azure IoT Edge sistemi supportati.

Registrazione del dispositivo

È possibile usare il portale di Azure, Visual Studio Code o l'interfaccia della riga di comando di Azure per registrare il dispositivo, a seconda delle preferenze.

Portale

Nell'hub IoT nell'portale di Azure, i dispositivi IoT Edge vengono creati e gestiti separatamente dai dispositivi IoT non abilitati per dispositivi perimetrali.

1. Accedere al portale di Azure e passare all'hub IoT.

2. Nel riquadro sinistro selezionare Dispositivi dal menu, quindi selezionare Aggiungi dispositivo.

3. Nella pagina Crea un dispositivo specificare le informazioni seguenti:

   • Creare un ID dispositivo descrittivo. Prendere nota di questo ID dispositivo, perché verrà usato in un secondo momento.
   • Selezionare la casella di controllo IoT Edge Dispositivo.
   • Selezionare Chiave simmetrica come tipo di autenticazione.
   • Usare le impostazioni predefinite per la generazione automatica delle chiavi di autenticazione e la connessione del nuovo dispositivo all'hub.

4. Selezionare Salva.

Visual Studio Code

Eseguire l'accesso all'hub IoT

Per eseguire operazioni con l'hub IoT, è possibile usare le estensioni Azure IoT per Visual Studio Code. Per consentire il funzionamento di queste operazioni, è necessario accedere all'account Azure e selezionare l'hub.

1. In Visual Studio Code aprire la finestra di esplorazione.

2. Nella parte inferiore di Explorer, espandere la sezione Hub IoT di Azure.

   

3. Fare clic sui puntini di sospensione ( ... ) nell'intestazione della sezione Hub IoT di Azure. Se i puntini di sospensione non sono visibili, passare il puntatore sull'intestazione o fare clic su di essa.

4. Scegliere Select IoT Hub (Seleziona l'hub IoT).

5. Se ancora non lo si è fatto, eseguire l'accesso all'account di Azure seguendo le istruzioni.

6. Selezionare la sottoscrizione di Azure.

7. Selezionare l'hub IoT.

Registrare un nuovo dispositivo con Visual Studio Code

1. In Esplora risorse di Visual Studio Code espandere la sezione hub IoT di Azure.
2. Fare clic sui puntini di sospensione ( ... ) nell'intestazione della sezione Hub IoT di Azure. Se i puntini di sospensione non sono visibili, passare il puntatore sull'intestazione o fare clic su di essa.
3. Selezionare Create IoT Edge Device (Crea dispositivo IoT Edge).
4. Nella casella di testo che si apre specificare un ID per il dispositivo.

Nella schermata di output viene visualizzato il risultato del comando. Vengono stampate le informazioni relative al dispositivo, che includono il valore di deviceId fornito dall'utente e il valore di connectionString utilizzabile per connettere il dispositivo fisico all'hub IoT.

Interfaccia della riga di comando di Azure

Usare il comando az iot hub device-identity create per creare una nuova identità del dispositivo nell'hub IoT. Ad esempio:

az iot hub device-identity create --device-id device_id_here --hub-name hub_name_here --edge-enabled

Questo comando include tre parametri:

• --device-id o -d: specificare un nome descrittivo univoco all'interno dell'hub IoT.

• --hub-name o -n: specificare il nome dell'hub IoT.

• --edge-enabledo --ee: dichiarare che il dispositivo è un dispositivo IoT Edge.

  

Dopo aver registrato un dispositivo in hub IoT, recuperare le informazioni usate per completare l'installazione e il provisioning del runtime di IoT Edge.

Visualizzare i dispositivi registrati e recuperare le informazioni di provisioning

I dispositivi che usano l'autenticazione con chiave simmetrica necessitano delle stringhe di connessione per completare l'installazione e il provisioning del runtime di IoT Edge.

Portale

I dispositivi abilitati per dispositivi perimetrali che si connettono all'hub IoT sono elencati nella pagina Dispositivi . È possibile filtrare l'elenco in base al tipo Dispositivo Iot Edge.

Quando si è pronti per configurare il dispositivo, è necessaria la stringa di connessione che collega il dispositivo fisico alla relativa identità nell'hub IoT.

I dispositivi che eseguono l'autenticazione con chiavi simmetriche hanno le stringhe di connessione disponibili per la copia nel portale.

1. Nella pagina Dispositivi del portale selezionare l'ID dispositivo IoT Edge nell'elenco.
2. Copiare il valore Stringa di connessione primaria o Stringa di connessione secondaria.

Visual Studio Code

Tutti i dispositivi connessi all'hub IoT sono elencati nella sezione Hub IoT di Azure della finestra Explorer di Visual Studio Code. I dispositivi IoT Edge si distinguono dai dispositivi non Edge per la presenza di un'icona di tipo diverso e per la distribuzione dei moduli $edgeAgent e $edgeHub in ogni dispositivo IoT Edge.

Quando si è pronti per configurare il dispositivo, è necessaria la stringa di connessione che collega il dispositivo fisico alla relativa identità nell'hub IoT.

1. Fare clic con il pulsante destro del mouse sull'ID del dispositivo nella sezione Hub IoT di Azure.

2. Selezionare Copy Device Connection String (Copia stringa di connessione dispositivo).

   La stringa di connessione verrà copiata negli Appunti.

È anche possibile selezionare Get Device Info (Ottieni info dispositivo) dal menu di scelta rapida per visualizzare nella finestra di output tutte le informazioni relative al dispositivo, inclusa la stringa di connessione.

Interfaccia della riga di comando di Azure

Usare il comando az iot hub device-identity list per visualizzare tutti i dispositivi nell'hub IoT. Ad esempio:

az iot hub device-identity list --hub-name hub_name_here

Per qualsiasi dispositivo registrato come dispositivo IoT Edge, la proprietà capabilities.iotEdge sarà impostata su true.

Quando si è pronti per configurare il dispositivo, è necessaria la stringa di connessione che collega il dispositivo fisico alla relativa identità nell'hub IoT. Usare il comando az iot hub device-identity connection-string show per restituire la stringa di connessione per un singolo dispositivo:

az iot hub device-identity connection-string show --device-id [device_id] --hub-name [hub_name]

Suggerimento

Il connection-string show comando è stato introdotto nella versione 0.9.8 dell'estensione Azure IoT, sostituendo il comando deprecato show-connection-string . Se viene visualizzato un errore durante l'esecuzione di questo comando, assicurarsi che la versione dell'estensione sia aggiornata alla versione 0.9.8 o successiva. Per altre informazioni e gli aggiornamenti più recenti, vedere Estensione Microsoft Azure IoT per l'interfaccia della riga di comando di Azure.

Per il parametro device-id viene fatta distinzione tra maiuscole e minuscole.

Quando si copia la stringa di connessione da usare in un dispositivo, non includere le virgolette intorno alla stringa di connessione.

Installare IoT Edge

In questa sezione si prepara la macchina virtuale Linux o il dispositivo fisico per IoT Edge. Installare quindi IoT Edge.

Eseguire i comandi seguenti per aggiungere il repository dei pacchetti e quindi aggiungere la chiave di firma del pacchetto Microsoft all'elenco di chiavi attendibili.

Importante

Il 30 giugno 2022 Raspberry Pi OS Stretch è stato ritirato dall'elenco di supporto del sistema operativo di livello 1. Per evitare potenziali vulnerabilità di sicurezza, aggiornare il sistema operativo host a Bullseye.

Ubuntu

L'installazione può essere eseguita con alcuni comandi. Aprire un terminale ed eseguire i comandi seguenti:

• 20.04:

  wget https://packages.microsoft.com/config/ubuntu/20.04/packages-microsoft-prod.deb -O packages-microsoft-prod.deb
  sudo dpkg -i packages-microsoft-prod.deb
  rm packages-microsoft-prod.deb
  

• 18.04:

  wget https://packages.microsoft.com/config/ubuntu/18.04/multiarch/packages-microsoft-prod.deb -O packages-microsoft-prod.deb
  sudo dpkg -i packages-microsoft-prod.deb
  rm packages-microsoft-prod.deb
  

Debian

L'installazione con APT può essere eseguita con alcuni comandi. Aprire un terminale ed eseguire i comandi seguenti:

• 11 - Bullseye (arm32v7):

  curl https://packages.microsoft.com/config/debian/11/packages-microsoft-prod.deb > ./packages-microsoft-prod.deb
  sudo apt install ./packages-microsoft-prod.deb
  

Suggerimento

Se l'account "root" ha assegnato una password durante l'installazione del sistema operativo, non sarà necessario "sudo" ed eseguire il comando precedente iniziando con "apt".

Red Hat Enterprise Linux

L'installazione può essere eseguita con alcuni comandi. Aprire un terminale ed eseguire i comandi seguenti:

• 8.x (amd64):

    wget https://packages.microsoft.com/config/rhel/8/packages-microsoft-prod.rpm -O packages-microsoft-prod.rpm
    sudo yum localinstall packages-microsoft-prod.rpm
    rm packages-microsoft-prod.rpm
  

Nota

I pacchetti software di Azure IoT Edge sono soggetti alle condizioni di licenza disponibili in ogni pacchetto (usr/share/doc/{package-name} o nella LICENSE directory). Leggere le condizioni di licenza prima di usare un pacchetto. L'installazione e l'uso di un pacchetto costituiscono l'accettazione di queste condizioni. Se non si accettano le condizioni di licenza, non usare il pacchetto.

Installare un motore di contenitore

Azure IoT Edge si basa su un runtime per contenitori compatibile con OCI. Per gli scenari di produzione, è consigliabile usare il motore Moby. Il motore Moby è l'unico motore di contenitori ufficialmente supportato con IoT Edge. Le immagini del contenitore Docker CE/EE sono compatibili con il runtime di Moby.

Ubuntu

Installare il motore Moby.

sudo apt-get update; \
  sudo apt-get install moby-engine

Debian

Installare il motore Moby.

sudo apt-get update; \
  sudo apt-get install moby-engine

Red Hat Enterprise Linux

Installare il motore Moby e l'interfaccia della riga di comando.

sudo yum install moby-engine moby-cli

Dopo aver installato correttamente il motore Moby, configurarlo per l'uso local del driver di registrazione come meccanismo di registrazione. Per altre informazioni sulla configurazione della registrazione, vedere Elenco di controllo per la distribuzione di produzione.

• Creare o aprire il file di configurazione del daemon Docker in /etc/docker/daemon.json.

• Impostare il driver di registrazione predefinito sul local driver di registrazione, come illustrato nell'esempio seguente.

     {
        "log-driver": "local"
     }
  

• Riavviare il motore del contenitore per rendere effettive le modifiche.

  sudo systemctl restart docker
  

  Suggerimento

  Se si verificano errori durante l'installazione del motore del contenitore Moby, verificare la compatibilità del kernel Linux per moby. Alcuni produttori di dispositivi incorporati commercializzano immagini di dispositivo che contengono kernel Linux personalizzati senza le funzionalità necessarie per la compatibilità con il motore di contenitore. Eseguire il comando seguente, che usa lo script check-config fornito da Moby, per controllare la configurazione del kernel:

  curl -ssl https://raw.githubusercontent.com/moby/moby/master/contrib/check-config.sh -o check-config.sh
  chmod +x check-config.sh
  ./check-config.sh
  

  Nell'output dello script controllare che tutti gli elementi in Generally Necessary e Network Drivers siano abilitati. Se mancano funzionalità, abilitarle ricompilando il kernel dall'origine e selezionando i moduli associati per l'inclusione nel kernel appropriato .config. Analogamente, se si usa un generatore di configurazione del kernel come defconfig o menuconfig, trovare e abilitare le rispettive funzionalità e ricompilare il kernel di conseguenza. Dopo aver distribuito il kernel appena modificato, eseguire di nuovo lo script check-config per verificare che tutte le funzionalità necessarie siano state abilitate correttamente.

Installare il runtime IoT Edge.

Il daemon di sicurezza di IoT Edge fornisce e gestisce gli standard di sicurezza nel dispositivo IoT Edge. Il daemon viene avviato a ogni avvio del dispositivo e ne esegue il bootstrap avviando la parte restante del runtime IoT Edge.

I passaggi descritti in questa sezione rappresentano il processo tipico per installare la versione più recente in un dispositivo con connessione Internet. Se è necessario installare una versione specifica, ad esempio una versione non definitiva o è necessario installarla offline, seguire la procedura di installazione offline o specifica della versione più avanti in questo articolo.

Installare IoT Edge versione 1.1.* insieme al pacchetto libiothsm-std:

Ubuntu

sudo apt-get update; \
  sudo apt-get install iotedge

Debian

sudo apt-get update; \
  sudo apt-get install iotedge

Red Hat Enterprise Linux

IoT Edge versione 1.1 non è supportata in Red Hat Enterprise Linux 8.

Nota

IoT Edge versione 1.1 è il ramo di supporto a lungo termine di IoT Edge. Se si esegue una versione precedente, è consigliabile installare o eseguire l'aggiornamento alla patch più recente perché le versioni precedenti non sono più supportate.

Effettuare il provisioning del dispositivo con la relativa identità cloud

Ora che il motore del contenitore e il runtime di IoT Edge sono installati nel dispositivo, si è pronti per il passaggio successivo, che consiste nel configurare il dispositivo con le relative informazioni di autenticazione e identità cloud.

Nel dispositivo IoT Edge aprire il file di configurazione.

sudo nano /etc/iotedge/config.yaml

Individuare le configurazioni di provisioning del file e rimuovere il commento dalla sezione Manual provisioning configuration using a connection string, se non è già stato fatto.

# Manual provisioning configuration using a connection string
provisioning:
source: "manual"
device_connection_string: "ADD_DEVICE_CONNECTION_STRING_HERE"

Aggiornare il valore di device_connection_string con la stringa di connessione del dispositivo IoT Edge. Assicurarsi che tutte le altre sezioni di provisioning siano impostate come commento. Assicurarsi che il provisioning: la riga non contenga spazi vuoti precedenti e che gli elementi annidati siano rientrati in due spazi.

Per incollare il contenuto degli Appunti in Nano, premere Shift+Right Click o Shift+Insert.

Salvare e chiudere il file.

CTRL + X, Y, Enter

Dopo aver immesso le informazioni di provisioning nel file di configurazione, riavviare il daemon:

sudo systemctl restart iotedge

Verificare la corretta configurazione

Verificare che il runtime sia stato installato e configurato correttamente nel dispositivo IoT Edge.

Suggerimento

Per eseguire comandi iotedge sono necessari privilegi elevati. Quando ci si disconnette dal computer e si accede di nuovo per la prima volta dopo l'installazione del runtime IoT Edge, le autorizzazioni vengono aggiornate automaticamente. Fino ad allora, usare sudo davanti ai comandi.

Verificare che il servizio di sistema IoT Edge sia in esecuzione.

sudo systemctl status iotedge

Se è necessario risolvere problemi del servizio, recuperare i log di servizio.

journalctl -u iotedge

Usare lo check strumento per verificare lo stato di configurazione e connessione del dispositivo.

sudo iotedge check

Suggerimento

Usare sudo sempre per eseguire lo strumento di controllo, anche dopo l'aggiornamento delle autorizzazioni. Lo strumento richiede privilegi elevati per accedere al file di configurazione per verificare lo stato di configurazione.

Nota

In un dispositivo appena effettuato il provisioning, potrebbe essere visualizzato un errore correlato all'hub di IoT Edge:

× preparazione della produzione: la directory di archiviazione dell'hub Edge viene mantenuta nel file system host - Errore

Impossibile controllare lo stato corrente del contenitore edgeHub

Questo errore è previsto in un dispositivo appena sottoposto a provisioning perché il modulo hub di IoT Edge non è in esecuzione. Per risolvere l'errore, in hub IoT, impostare i moduli per il dispositivo e creare una distribuzione. La creazione di una distribuzione per il dispositivo avvia i moduli nel dispositivo, incluso il modulo hub di IoT Edge.

Visualizzare tutti i moduli in esecuzione nel dispositivo IoT Edge. Quando il servizio viene avviato per la prima volta, verrà visualizzato solo il modulo edgeAgent in esecuzione. Il modulo edgeAgent viene eseguito per impostazione predefinita e permette di installare e avviare tutti i moduli aggiuntivi distribuiti nel dispositivo.

sudo iotedge list

Quando si crea un nuovo dispositivo IoT Edge, verrà visualizzato il codice 417 -- The device's deployment configuration is not set di stato nella portale di Azure. Questo stato è normale e significa che il dispositivo è pronto per ricevere una distribuzione del modulo.

Installazione della versione offline o specifica (facoltativa)

I passaggi descritti in questa sezione sono per scenari non coperti dai passaggi di installazione standard. Questo può includere:

• Installare IoT Edge durante la modalità offline
• Installare una versione candidata di versione

Usare la procedura descritta in questa sezione se si vuole installare una versione specifica del runtime di Azure IoT Edge non disponibile tramite gestione pacchetti. L'elenco di pacchetti Microsoft contiene solo un set limitato di versioni recenti e le relative versioni secondarie, quindi questi passaggi sono per chiunque voglia installare una versione precedente o una versione candidata.

Usando i comandi curl, è possibile indirizzare i file di componente direttamente dal repository GitHub IoT Edge.

1. Passare alle versioni di Azure IoT Edge e trovare la versione di versione di destinazione.

2. Espandere la sezione Asset per tale versione.

3. Ogni versione deve avere nuovi file per il daemon di sicurezza IoT Edge e hsmlib. Se si installa IoT Edge in un dispositivo offline, scaricare questi file in anticipo. In caso contrario, usare i comandi seguenti per aggiornare tali componenti.

   1. Trovare il file libiothsm-std corrispondente all'architettura del dispositivo IoT Edge. Fare clic con il pulsante destro del mouse sul collegamento al file e copiare l'indirizzo di collegamento.

   2. Usare il collegamento copiato nel comando seguente per installare tale versione di hsmlib:

      curl -L <libiothsm-std_link> -o libiothsm-std.deb && sudo apt-get install ./libiothsm-std.deb
      

   3. Trovare il file iotedge corrispondente all'architettura del dispositivo IoT Edge. Fare clic con il pulsante destro del mouse sul collegamento al file e copiare l'indirizzo di collegamento.

   4. Usare il collegamento copiato nel comando seguente per installare tale versione del daemon di sicurezza IoT Edge.

      curl -L iotedge_link_here -o iotedge.deb && sudo apt-get install ./iotedge.deb
      

Ora che il motore del contenitore e il runtime di IoT Edge sono installati nel dispositivo, si è pronti per il passaggio successivo, ovvero effettuare il provisioning del dispositivo con la relativa identità cloud.

Disinstallare IoT Edge

Se si vuole rimuovere l'installazione IoT Edge dal dispositivo, usare i comandi seguenti.

Rimuovere il runtime IoT Edge.

sudo apt-get autoremove iotedge

Quando il runtime di IoT Edge viene rimosso, tutti i contenitori creati vengono arrestati ma esistono ancora nel dispositivo. Verificare tutti i contenitori per vedere quali vengono conservati.

sudo docker ps -a

Eliminare i contenitori dal dispositivo, inclusi i due contenitori di runtime.

sudo docker rm -f <container name>

Infine, rimuovere il runtime del contenitore dal dispositivo.

Ubuntu/Debian

sudo apt-get autoremove --purge moby-engine

Red Hat Enterprise Linux

sudo yum remove moby-cli
sudo yum remove moby-engine

Passaggi successivi

Continuare a distribuire moduli IoT Edge per informazioni su come distribuire moduli nel dispositivo.