次の方法で共有


対称キーを使用して Linux で IoT Edge デバイスを作成およびプロビジョニングする

適用対象:IoT Edge 1.5 のチェックマーク IoT Edge 1.5 IoT Edge 1.4 チェックマーク IoT Edge 1.4

重要

サポートされているリリースは、IoT Edge 1.5 LTS と IoT Edge 1.4 LTS です。 IoT Edge 1.4 LTS は、2024 年 11 月 12 日にサポートが終了します。 以前のリリースの場合は、「IoT Edge を更新する」を参照してください。

この記事では、IoT Edge のインストールを含む、Linux IoT Edge デバイスの登録とプロビジョニングの詳細な手順について説明します。

IoT ハブに接続するすべてのデバイスにはデバイス ID があり、これを使用して、cloud-to-device または device-to-cloud の通信を追跡します。 接続情報を使用してデバイスを構成します。これには次のものが含まれます。

  • IoT ハブ ホスト名
  • Device ID
  • IoT Hub に接続するための認証の詳細

この記事の手順では、"手動プロビジョニング" と呼ばれるプロセスについて説明します。ここでは、1 つのデバイスを IoT ハブに接続します。 手動プロビジョニングの場合、IoT Edge デバイスの認証には 2 つのオプションがあります。

  • 対称キー: IoT Hub で新しいデバイス ID を作成すると、サービスによって 2 つのキーが作成されます。 いずれかのキーをデバイスに配置すると、認証時にそのキーが IoT Hub に提示されます。

    この認証方法は比較的すばやく開始できますが、それほど安全ではありません。

  • X.509 自己署名: 2 つの X.509 ID 証明書を作成し、デバイスに配置します。 IoT Hub で新しいデバイス ID を作成するときは、両方の証明書の拇印を指定します。 デバイスでは IoT Hub に対して認証を行うときに、1 つの証明書が提示され、その証明書がその拇印と一致することが IoT によって検証されます。

    この認証方法はより安全であり、運用環境のシナリオの場合に推奨されます。

この記事では、認証方法として対称キーを使用する方法について説明します。 X.509 証明書を使用する場合は、「x.509 証明書を使用して Linux で IoT Edge デバイスを作成およびプロビジョニングする」を参照してください。

Note

設定するデバイスが多数あり、それぞれを手動でプロビジョニングしたくない場合は、次の記事のいずれかを使用して、IoT Edge が IoT Hub Device Provisioning Service でどのように動作するかを確認してください。

前提条件

この記事では、IoT Edge デバイスを登録し、このデバイスに IoT Edge (IoT Edge ランタイムとも呼ばれます) をインストールする方法について説明します。 デバイスを登録してインストールする前に、Azure CLI などのデバイス管理ツールとデバイス要件が存在することを確認します。

デバイス管理ツール

デバイスを登録する手順には、Azure portalVisual Studio Code、または Azure CLI を使用できます。 各ユーティリティには、独自の前提条件があり、インストールが必要な場合があります。

Azure サブスクリプション内の無料または標準の IoT ハブ

デバイスの要件

X64、ARM32、または ARM64 の Linux デバイス。

Microsoft では、さまざまなオペレーティング システム用のインストール パッケージを公開しています。

運用シナリオ向けに現在サポートされているオペレーティング システムに関する最新の情報については、「Azure IoT Edge のサポートされるシステム」を参照してください。

Visual Studio Code 拡張機能

Visual Studio Code を使っている場合は、デバイスの作成と管理のプロセスを容易にする便利な Azure IoT 拡張機能があります。

Azure IoT Edge と Azure IoT Hub 拡張機能の両方をインストールします。

デバイスを登録する

デバイスを登録するには、好みに応じて Azure portalVisual Studio Code、または Azure CLI を使用できます。

Azure portal の IoT Hubで、IoT Edge デバイスは、Edge 対応ではない IoT デバイスとは別に作成および管理されます。

  1. Azure Portal にサインインし、IoT Hub に移動します。

  2. 左側のウィンドウで、メニューから [デバイス] を選択し、[デバイスを追加する] を選択します。

  3. [デバイスの作成] ページで、次の情報を指定します。

    • 説明的なデバイス ID を作成します。たとえば、my-edge-device-1 (すべて小文字) です。 このデバイス ID は後で使用するので、メモしておいてください。
    • [IoT Edge デバイス] のチェック ボックスをオンにします。
    • 認証の種類として [対称キー] を選択します。
    • 認証キーを自動生成して、新しいデバイスをハブに接続するために、既定の設定を使用します。
  4. [保存] を選択します。

IoT ハブに新しいデバイスが一覧表示されます。

デバイスが IoT ハブに登録されたので、プロビジョニング情報を取得できます。これを使用して、次の手順で IoT Edge ランタイムのインストールとプロビジョニングを完了します。

登録済みデバイスを表示し、プロビジョニング情報を取得する

対称キー認証を使用するデバイスでは、IoT Edge ランタイムのインストールとプロビジョニングを完了するために接続文字列が必要です。 IoT Edge デバイスを作成すると、このデバイスの接続文字列が生成されます。 Visual Studio Code と Azure CLI の場合、接続文字列は JSON 出力に含まれます。 Azure portal を使用してデバイスを作成する場合は、デバイス自体で接続文字列を見つけることができます。 IoT ハブでデバイスを選択すると、デバイス ページに Primary connection string として表示されます。

IoT ハブに接続するエッジ対応デバイスが、IoT ハブの [デバイス] ページに一覧表示されます。 複数のデバイスがある場合は、[IoT Edge デバイス] という種類を選択し、[適用] を選択すると、一覧をフィルター処理できます。

デバイスを設定する準備ができたら、物理デバイスを IoT ハブ内でのその ID にリンクする接続文字列が必要です。 対称キーを使用して認証を行うデバイスでは、接続文字列をポータルでコピーできます。 ポータルで接続文字列を見つけるには、次のようにします。

  1. [デバイス] ページで、一覧から IoT Edge デバイス ID を選択します。
  2. [プライマリ接続文字列] または [セカンダリ接続文字列] のどちらかの値をコピーします。 どちらのキーでも機能します。

IoT Edge をインストールする

このセクションでは、Linux 仮想マシンまたは IoT Edge の物理デバイスを準備します。 次に、IoT Edge をインストールします。

次のコマンドを実行してパッケージ リポジトリを追加し、信頼できるキーの一覧に Microsoft パッケージ署名キーを追加します。

重要

2022 年 6 月 30 日に、レベル 1 OS サポート リストから Raspberry Pi OS Stretch が廃止されました。 潜在的なセキュリティの脆弱性を回避するために、ホスト OS を Bullseye に更新してください。

インストールは、数個のコマンドで実行できます。 ターミナルを開き、次のコマンドを実行します。

  • 22.04:

    wget https://packages.microsoft.com/config/ubuntu/22.04/packages-microsoft-prod.deb -O packages-microsoft-prod.deb
    sudo dpkg -i packages-microsoft-prod.deb
    rm packages-microsoft-prod.deb
    
  • 20.04:

    wget https://packages.microsoft.com/config/ubuntu/20.04/packages-microsoft-prod.deb -O packages-microsoft-prod.deb
    sudo dpkg -i packages-microsoft-prod.deb
    rm packages-microsoft-prod.deb
    

オペレーティング システムのバージョンの詳細については、「Azure IoT Edge でサポートされているプラットフォーム」を参照してください。

Note

Azure IoT Edge ソフトウェア パッケージには、パッケージ内にあるライセンス条項 (usr/share/doc/{package-name} または LICENSE ディレクトリ) が適用されます。 パッケージを使用する前に、ライセンス条項をお読みください。 インストールし、パッケージを使用すると、これらの条項に同意したものと見なされます。 ライセンス条項に同意しない場合は、そのパッケージを使用しないでください。

コンテナー エンジンをインストールする

Azure IoT Edge は、OCI と互換性のあるコンテナー ランタイムに依存します。 運用環境のシナリオでは、Moby エンジンを使用することをお勧めします。 Moby エンジンは、IoT Edge で公式にサポートされている唯一のコンテナー エンジンです。 Docker CE/EE コンテナー イメージは、Moby ランタイムと互換性があります。

Moby エンジンをインストールします。

sudo apt-get update; \
  sudo apt-get install moby-engine

既定では、コンテナー エンジンによってコンテナー ログ サイズの制限は設定されません。 これにより、時間の経過と共に、デバイスがログでいっぱいになり、ディスク容量が不足する可能性があります。 ただし、ローカルに表示するようにログを構成することはできますが、省略しても構いません。 ログ構成の詳細については、「運用環境デプロイのチェックリスト」を参照してください。

次の手順では、ログ メカニズムとして local ログ ドライバーを使用するようにコンテナーを構成する方法を示します。

  1. 既存の Docker デーモンの構成ファイルを作成または編集します

    sudo nano /etc/docker/daemon.json
    
  2. 例で示すように、既定のログ ドライバーを local ログ ドライバーに設定します。

       {
          "log-driver": "local"
       }
    
  3. コンテナー エンジンを再起動して、変更を有効にします。

    sudo systemctl restart docker
    

IoT Edge ランタイムをインストールする

IoT Edge サービスによって、IoT Edge デバイス上にセキュリティ標準が提供されて維持されます。 サービスは起動のたびに開始され、IoT Edge ランタイムの残りの部分を開始することでデバイスをブートストラップします。

Note

バージョン 1.2 以降では、IoT ID サービスにより、IoT Edge および IoT Hub と通信する必要があるその他のデバイス コンポーネントの ID プロビジョニングと管理が処理されます。

このセクションの手順では、インターネットに接続されているデバイスに最新バージョンの IoT Edge をインストールする一般的なプロセスが示されています。 プレリリース バージョンなどの特定のバージョンをインストールする必要がある場合、またはオフラインの間にインストールする必要がある場合は、この記事で後述する「オフラインまたは特定のバージョンのインストール」の手順に従ってください。

ヒント

以前のバージョンを実行している IoT Edge デバイスが既にあり、最新のリリースにアップグレードする場合は、「IoT Edge セキュリティ デーモンおよびランタイムの更新」の手順を使用します。 それ以降のバージョンは、以前のバージョンの IoT Edge と十分に異なるため、アップグレードには特定の手順が必要です。

(まだ最新の状態でない場合) 最新バージョンの IoT Edge と IoT ID サービス パッケージをインストールします。

  • 22.04:

    sudo apt-get update; \
       sudo apt-get install aziot-edge
    
  • 20.04:

    sudo apt-get update; \
       sudo apt-get install aziot-edge defender-iot-micro-agent-edge
    

オプションの defender-iot-micro-agent-edge パッケージには、セキュリティ態勢管理、脆弱性、脅威検出、フリート管理などのエンドポイントの可視性を提供する Microsoft Defender for IoT セキュリティ マイクロ エージェントが含まれており、IoT Edge デバイスのセキュリティ保護に役立ちます。 Edge デバイスのセキュリティ監視とセキュリティ強化を有効にするには、Edge エージェントを使ってマイクロ エージェントをインストールすることをお勧めします。 Microsoft Defender for IoT の詳細については、「デバイス ビルダー向け Microsoft Defender for IoT とは」を参照してください。

クラウド ID を使用してデバイスをプロビジョニングする

これでコンテナー エンジンと IoT Edge ランタイムがデバイスにインストールされたので、クラウド ID と認証情報を使用してデバイスを設定する準備ができました。

次のコマンドを使って、対称キー認証で IoT Edge デバイスを構成できます。

sudo iotedge config mp --connection-string 'PASTE_DEVICE_CONNECTION_STRING_HERE'

この iotedge config mp コマンドは、デバイス上に構成ファイルを作成し、接続文字列をこの構成ファイルに入力します。

  1. 構成の変更を適用します。

    sudo iotedge config apply
    
  2. 構成ファイルを表示する場合は、次の方法で開きます。

    sudo nano /etc/aziot/config.toml
    

モジュールのデプロイ

IoT Edge モジュールをデプロイするには、Azure portal で IoT ハブに移動し、次のようにします。

  1. [IoT Hub] メニューから [デバイス] を選択します。

  2. デバイスを選択して、そのページを開きます。

  3. [モジュールの設定] タブを選択します。

  4. IoT Edge の既定のモジュール (edgeAgent と edgeHub) をデプロイしますが、このペインにモジュールを追加する必要はないため、下部にある [確認 + 作成] を選択します。

  5. このモジュールについて JSON 形式の確認が表示されます。 [作成] を選択して、モジュールをデプロイします。

詳細については、「モジュールを展開する」を参照してください。

構成が成功したことを確認する

IoT Edge デバイスにランタイムが正常にインストールされ、構成されていることを確認します。

ヒント

iotedge コマンドの実行には、昇格された特権が必要です。 IoT Edge ランタイムのインストール後に初めてマシンにサインインし直すと、アクセス許可は自動的に更新されます。 それまでは、コマンドの前に sudo を使用します。

  1. IoT Edge システム サービスが実行されていることを確認します。

    sudo iotedge system status
    

    正常な状態の応答では、aziot サービスが実行中または準備完了と表示されます。

  2. サービスのトラブルシューティングが必要な場合は、サービス ログを取得します。

    sudo iotedge system logs
    
  3. check ツールを使用して、デバイスの構成と接続の状態を確認します。

    sudo iotedge check
    

    OK (緑)、警告 (黄色)、エラー (赤) など、さまざまな応答が予想されます。 一般的なエラーのトラブルシューティングについては、「Azure IoT Edge に関する一般的な問題の解決策」を参照してください。

    check コマンドからのサンプル応答のスクリーンショット。

    ヒント

    アクセス許可が更新された後でも、必ず sudo を使用してチェック ツールを実行してください。 このツールには、構成状態を確認するために、config ファイルにアクセスするための昇格された特権が必要です。

    Note

    新しくプロビジョニングされたデバイスでは、IoT Edge ハブに関連するエラーが表示される場合があります。

    × production readiness: Edge Hub's storage directory is persisted on the host filesystem - ErrorCould not check current state of edgeHub container (運用環境の準備: Edge Hub のストレージ ディレクトリがホスト ファイル システムに保存されています - エラー: edgeHub コンテナーの現在の状態を確認できません)

    このエラーは、IoT Edge ハブ モジュールがまだ実行されていないことが原因で、新しくプロビジョニングされたデバイスで発生する可能性があります。 前の手順で IoT Edge モジュールがデプロイされていることを確認してください。 デプロイによって、このエラーが解消されます。

    または、状態コードが 417 -- The device's deployment configuration is not set と表示される場合があります。 モジュールがデプロイされると、この状態が変化します。

  4. 初めてサービスが開始されると、edgeAgent モジュールが実行されていることだけを確認できます。 edgeAgent モジュールが既定で実行され、デバイスにデプロイする追加モジュールのインストールと起動を支援します。

    Azure portal でデバイス ページを表示して、デバイスとモジュールがデプロイされ、実行されていることを確認します。

    Azure portal で IoT Edge モジュールがデプロイされ、実行されていることを確認している状態のスクリーンショット。

    モジュールがデプロイされて実行されたら、次のコマンドを使用して、デバイスまたは仮想マシンでそれらを一覧表示します。

    sudo iotedge list
    

オフラインまたは特定のバージョンのインストール (省略可能)

このセクションの手順は、標準のインストール手順では説明されていないシナリオを対象としています。 これには以下が含まれます。

  • オフラインの間に IoT Edge をインストールする
  • リリース候補バージョンをインストールする

パッケージ マネージャーで使用できない特定のバージョンの Azure IoT Edge ランタイムをインストールする場合は、このセクションの手順を使用します。 Microsoft パッケージのリストには、最近のバージョンとそのサブバージョンの限られたセットしか含まれていないので、これらの手順は、古いバージョンまたはリリース候補バージョンをインストールするユーザーが対象となります。

Ubuntu スナップを使っている場合は、スナップをダウンロードしてオフラインでインストールできます。 詳しくは、「スナップをダウンロードしてオフラインでインストールする」をご覧ください。

curl コマンドを使用すると、IoT Edge GitHub リポジトリから直接、コンポーネント ファイルをターゲットにすることができます。

  1. Azure IoT Edge リリースに移動し、対象とするリリース バージョンを見つけます。

  2. そのバージョンの [Assets] セクションを展開します。

  3. 各リリースには、IoT Edge と ID サービスの新しいファイルがあります。 オフライン デバイスに IoT Edge をインストールする場合は、事前にこれらのファイルをダウンロードします。 それ以外の場合は、以下のコマンドを使用して、これらのコンポーネントを更新します。

    1. IoT Edge デバイスのアーキテクチャに一致する aziot-identity-service ファイルを見つけます。 ファイル リンクを右クリックし、リンクのアドレスをコピーします。

    2. コピーしたリンクを次のコマンドで使用して、そのバージョンの ID サービスをインストールします。

      curl -L <identity service link> -o aziot-identity-service.deb && sudo apt-get install ./aziot-identity-service.deb
      

    1. IoT Edge デバイスのアーキテクチャに対応する aziot-edge ファイルを見つけます。 ファイル リンクを右クリックし、リンクのアドレスをコピーします。

    2. コピーしたリンクを次のコマンドで使用して、そのバージョンの IoT Edge をインストールします。

      curl -L <iotedge link> -o aziot-edge.deb && sudo apt-get install ./aziot-edge.deb
      

IoT Edge をアンインストールする

デバイスから IoT Edge のインストールを削除する必要がある場合は、次のコマンドを使用します。

IoT Edge ランタイムを削除します。

sudo apt-get autoremove --purge aziot-edge

IoT Edge を再インストールし、今後同じ構成情報を使用する場合は、--purgeフラグを使用しないでください。 --purge フラグによって、構成ファイルを含め、IoT Edge に関連付けられているすべてのファイルが削除されます。

IoT Edge ランタイムが削除されると、作成したコンテナーは停止されますが、デバイスには残っています。 すべてのコンテナーを表示して、どのコンテナーが残っているかを確認します。

sudo docker ps -a

2 つのランタイム コンテナーを含め、デバイスからコンテナーを削除します。

sudo docker rm -f <container ID>

最後に、デバイスからコンテナー ランタイムを削除します。

sudo apt-get autoremove --purge moby-engine

次のステップ

IoT Edge モジュールのデプロイに進んで、デバイスにモジュールをデプロイする方法を確認します。