Развертывание предварительной версии операций Интернета вещей Azure в кластере Kubernetes с поддержкой Arc

Внимание

Предварительная версия операций Интернета вещей Azure, включенная Azure Arc в настоящее время в предварительной версии. Не следует использовать это программное обеспечение предварительной версии в рабочих средах.

Вам потребуется развернуть новую установку Операций Интернета вещей Azure, когда общедоступная версия станет доступной. Вы не сможете обновить предварительную установку.

Юридические условия, применимые к функциям Azure, которые находятся в состоянии бета-версии, предварительной версии или иным образом еще не выпущены в общедоступной версии, см. на странице Дополнительные условия использования предварительных версий в Microsoft Azure.

Узнайте, как развернуть предварительную версию операций Интернета вещей Azure в кластере Kubernetes с помощью Azure CLI или портал Azure.

В этой статье мы обсудим развертывания и экземпляры операций Интернета вещей Azure, которые являются двумя разными понятиями:

• Развертывание Операций Интернета вещей Azure описывает все компоненты и ресурсы, которые позволяют реализовать сценарий операций Интернета вещей Azure. К этим компонентам и ресурсам относятся следующие компоненты:

  • Экземпляр операций Интернета вещей Azure
  • Расширения Arc
  • Настраиваемые расположения
  • Правила синхронизации ресурсов
  • Ресурсы, которые можно настроить в решении "Операции Интернета вещей Azure", такие как ресурсы и конечные точки активов.

• Экземпляр операций Интернета вещей Azure — это родительский ресурс, который объединяет набор служб, определенных в предварительной версии операций Интернета вещей Azure? Например, брокер MQTT, потоки данных и соединитель OPC UA.

Когда мы говорим о развертывании операций Интернета вещей Azure, мы имеем в виду полный набор компонентов, составляющих развертывание. После того как развертывание существует, вы можете просматривать, управлять и обновлять экземпляр.

Необходимые компоненты

Облачные ресурсы.

• Подписка Azure.

• Хранилище ключей Azure. Чтобы создать новое хранилище ключей, используйте команду az keyvault create :

  az keyvault create --enable-rbac-authorization --name "<NEW_KEYVAULT_NAME>" --resource-group "<RESOURCE_GROUP>"
  

• Разрешения доступа Azure. Дополнительные сведения см. в разделе "Сведения > о развертывании необходимых разрешений".

Ресурсы разработки.

• Azure CLI, установленный на компьютере разработки. Для этого сценария требуется Azure CLI версии 2.64.0 или более поздней. Используйте az --version для проверки версии и az upgrade обновления при необходимости. Дополнительные сведения см. в статье "Установка Azure CLI".

• Расширение операций Интернета вещей Azure для Azure CLI. Используйте следующую команду, чтобы добавить расширение или обновить его до последней версии:

  az extension add --upgrade --name azure-iot-ops
  

Узел кластера:

• Кластер Kubernetes с поддержкой Azure Arc с включенными функциями удостоверений пользовательского расположения и рабочей нагрузки. Если у вас нет одного, выполните действия, описанные в статье "Подготовка кластера Kubernetes с поддержкой Azure Arc".

  Если вы развернули операции Интернета вещей Azure в кластере ранее, удалите эти ресурсы перед продолжением. Дополнительные сведения см. в разделе "Обновление операций Интернета вещей Azure".

• Убедитесь, что узел кластера настроен правильно для развертывания с помощью команды проверки узла на узле кластера:

  az iot ops verify-host
  

• (Необязательно) Подготовьте кластер к наблюдаемости перед развертыванием операций Интернета вещей Azure: настройте наблюдаемость.

Развернуть

Используйте портал Azure или Azure CLI для развертывания операций Интернета вещей Azure в кластере Kubernetes с поддержкой Arc.

Интерфейс развертывания портал Azure — это вспомогательное средство, которое создает команду развертывания на основе ресурсов и конфигурации. Последним шагом является выполнение команды Azure CLI, поэтому необходимы необходимые компоненты Azure CLI, описанные в предыдущем разделе.

Портал Azure

1. В портал Azure найдите и выберите Операции Интернета вещей Azure.

2. Нажмите кнопку создания.

3. На вкладке Основные сведения укажите следующую информацию.

   Параметр	Значение
   Подписка	Выберите подписку, содержащую кластер с поддержкой Arc.
   Группа ресурсов	Выберите группу ресурсов, содержащую кластер с поддержкой Arc.
   Имя кластера	Выберите кластер, в который требуется развернуть операции Интернета вещей Azure.
   Имя пользовательского расположения	Необязательно. Замените имя по умолчанию для настраиваемого расположения.

   

4. Выберите Далее: Конфигурация.

5. На вкладке "Конфигурация" укажите следующие сведения:

   Параметр	Значение
   Имя операций Интернета вещей Azure	Необязательно. Замените имя по умолчанию для экземпляра Операций Интернета вещей Azure.
   Конфигурация брокера MQTT	Необязательно. Измените параметры по умолчанию для брокера MQTT. Дополнительные сведения см. в разделе "Настройка основных параметров брокера MQTT".
   Конфигурация профиля потока данных	Необязательно. Измените параметры по умолчанию для потоков данных. Дополнительные сведения см. в разделе "Настройка профиля потока данных".

   

6. Нажмите кнопку "Далее" — управление зависимостями.

7. На вкладке управления зависимостями выберите существующий реестр схем или выполните следующие действия, чтобы создать его:

   1. Выберите Создать.

   2. Укажите имя реестра схемы и пространство имен реестра схем.

   3. Выберите контейнер служба хранилища Azure.

   4. Выберите учетную запись хранения из списка иерархических учетных записей с поддержкой пространства имен или нажмите кнопку "Создать ", чтобы создать ее.

      Для реестра схем требуется учетная запись служба хранилища Azure с иерархическим пространством имен и включенным доступом к общедоступной сети. При создании учетной записи хранения выберите тип учетной записи хранения общего назначения версии 2 и задайте для иерархического пространства имен значение "Включено".

   5. Выберите контейнер в учетной записи хранения или выберите контейнер , чтобы создать его.

   6. Нажмите кнопку "Применить" , чтобы подтвердить конфигурации реестра схем.

8. На вкладке управления зависимостями выберите параметр развертывания "Безопасные параметры".

   

9. В разделе параметров развертывания укажите следующие сведения:

   Параметр	Значение
   Подписка	Выберите подписку, содержащую хранилище ключей Azure.
   Azure Key Vault	Выберите хранилище ключей Azure, выбрав "Создать". Убедитесь, что хранилище ключей имеет политику доступа к Хранилищу в качестве модели разрешений. Чтобы проверить этот параметр, выберите "Управление конфигурацией доступа к выбранным>параметрам хранилища".>
   Назначаемое пользователем управляемое удостоверение для секретов	Выберите удостоверение или нажмите кнопку "Создать".
   Назначаемое пользователем управляемое удостоверение для компонентов AIO	Выберите удостоверение или нажмите кнопку "Создать". Не используйте то же управляемое удостоверение, что и выбранный для секретов.

   

10. Нажмите кнопку "Далее": автоматизация.

11. Один раз выполните каждую команду Azure CLI на вкладке автоматизации в терминале:

    1. Войдите в Azure CLI в интерактивном режиме с помощью браузера, даже если вы уже выполнили вход. Если вы не войдете в систему в интерактивном режиме, может появиться сообщение об ошибке, в которой говорится, что устройство должно управляться для доступа к ресурсу при переходе к следующему шагу для развертывания операций Интернета вещей Azure.

       az login
       

    2. Если вы не подготовили среду Azure CLI, как описано в предварительных требованиях, сделайте это в выбранном терминале:

       az upgrade
       az extension add --upgrade --name azure-iot-ops
       

    3. Если вы решили создать реестр схем на предыдущей вкладке, скопируйте и выполните az iot ops schema registry create команду.

    4. Подготовьте кластер для развертывания Операций Интернета вещей Azure путем развертывания зависимостей и базовых служб, включая реестр схем. Скопируйте и выполните az iot ops init команду.

       Совет

       Для init каждого кластера необходимо выполнить только одну команду. Если вы повторно используете кластер, уже развернутый в Azure IoT Operations версии 0.7.0, можно пропустить этот шаг.

       Выполнение этой команды может занять несколько минут. Вы можете отслеживать ход выполнения развертывания в терминале.

    5. Разверните операции Интернета вещей Azure в кластере. Скопируйте и выполните az iot ops create команду.

       Выполнение этой команды может занять несколько минут. Вы можете отслеживать ход выполнения развертывания в терминале.

    6. Включите синхронизацию секретов в экземпляре Операций Интернета вещей Azure. Скопируйте и выполните az iot ops secretsync enable команду. Команда:

       • Создает учетные данные федеративного удостоверения с помощью управляемого удостоверения, назначаемого пользователем.
       • Добавляет назначение роли в управляемое удостоверение, назначаемое пользователем, для доступа к Azure Key Vault.
       • Добавляет минимальный класс поставщика секретов, связанный с экземпляром Операций Интернета вещей Azure.

    7. Назначьте управляемое удостоверение, назначаемое пользователем, экземпляру Операций Интернета вещей Azure. Скопируйте и выполните az iot ops identity assign команду.

       Эта команда также создает федеративные учетные данные удостоверения с помощью издателя OIDC указанного подключенного кластера и учетной записи службы Операций Интернета вещей Azure.

12. После успешного завершения всех команд Azure CLI можно закрыть мастер установки операций Интернета вещей Azure.

Azure CLI

1. Войдите в Azure CLI в интерактивном режиме с помощью браузера, даже если вы уже выполнили вход.

   az login
   

   Если в любой момент вы получите сообщение об ошибке, в которой говорится, что устройство должно быть управляемо для доступа к ресурсу, запустите az login еще раз и убедитесь, что вы войдете в интерактивный режим с помощью браузера.

Создание учетной записи хранения и реестра схем

Для операций Интернета вещей Azure требуется реестр схем в кластере. Реестр схем требует учетной записи хранения Azure, чтобы она синхронизировать сведения о схеме между облаком и edge.

1. Создайте учетную запись хранения с включенным иерархическим пространством имен.

   az storage account create --name <NEW_STORAGE_ACCOUNT_NAME> --resource-group <RESOURCE_GROUP> --enable-hierarchical-namespace
   

2. Создайте реестр схем, который подключается к учетной записи хранения.

   az iot ops schema registry create --name <NEW_SCHEMA_REGISTRY_NAME> --resource-group <RESOURCE_GROUP> --registry-namespace <NEW_SCHEMA_REGISTRY_NAMESPACE> --sa-resource-id $(az storage account show --name <STORAGE_ACCOUNT_NAME> --resource-group <RESOURCE_GROUP> -o tsv --query id)
   

   Примечание.

   Эта команда требует, чтобы у вас были разрешения на запись ролей, так как она назначает роль, чтобы предоставить реестру схем доступ к учетной записи хранения. По умолчанию роль — это встроенная роль участника данных BLOB-объектов хранилища или можно создать пользовательскую роль с ограниченными разрешениями для назначения.

   Используйте необязательные параметры для настройки реестра схем, в том числе:

   Необязательный параметр .	значение	Описание
   --custom-role-id	Идентификатор определения роли	Укажите пользовательский идентификатор роли, чтобы назначить реестру схем вместо роли участника данных BLOB-объектов хранилища по умолчанию. Как минимум, роли требуются разрешения на чтение и запись больших двоичных объектов. Формат: /subscriptions/<SUBSCRIPTION_ID>/providers/Microsoft.Authorization/roleDefinitions/<ROLE_ID>.
   --sa-container	строка	Контейнер учетной записи хранения для хранения схем. Если этот контейнер не существует, эта команда создает ее. Имя контейнера по умолчанию — схемы.

3. Скопируйте идентификатор ресурса из выходных данных реестра схем, чтобы создать команду, используемую в следующем разделе.

Развертывание операций Интернета вещей Azure

1. Подготовьте кластер с зависимостями, необходимыми для операций Интернета вещей Azure, запустив az iot ops init.

   Совет

   Для init каждого кластера необходимо выполнить только одну команду. Если вы повторно используете кластер, уже развернутый в Azure IoT Operations версии 0.7.0, можно пропустить этот шаг.

   az iot ops init --cluster <CLUSTER_NAME> --resource-group <RESOURCE_GROUP> --sr-resource-id <SCHEMA_REGISTRY_RESOURCE_ID>
   

   Выполнение этой команды может занять несколько минут. Вы можете отслеживать ход выполнения развертывания в терминале.

   Используйте необязательные параметры для настройки кластера, в том числе:

   Необязательный параметр .	значение	Описание
   --no-progress		Отключите отображение хода развертывания в терминале.
   --enable-fault-tolerance	false, true	Включите отказоустойчивость для хранилища контейнеров Azure Arc. Требуется по крайней мере три узла кластера.
   --ops-config	observability.metrics.openTelemetryCollectorAddress=<FULLNAMEOVERRIDE>.azure-iot-operations.svc.cluster.local:<GRPC_ENDPOINT>	Если вы выполнили необязательные предварительные требования для подготовки кластера к наблюдаемости, укажите адрес сборщика OpenTelemetry (OTel), настроенный в файле otel-collector-values.yaml. Примеры значений, используемых в configure observability : fullnameOverride=aio-otel-collector и grpc.enpoint=4317.
   --ops-config	observability.metrics.exportInternalSeconds=<CHECK_INTERVAL>	Если вы выполнили необязательные предварительные требования для подготовки кластера к наблюдаемости, укажите check_interval значение, настроенное в файле otel-collector-values.yaml. Пример значения, используемого в настройке наблюдаемости , — check_interval =60.

2. Развертывание операций Интернета вещей Azure. Эта команда занимает несколько минут:

   az iot ops create --name <NEW_INSTANCE_NAME> --cluster <CLUSTER_NAME> --resource-group <RESOURCE_GROUP>
   

   Выполнение этой команды может занять несколько минут. Вы можете отслеживать ход выполнения развертывания в терминале.

   Используйте необязательные параметры для настройки экземпляра, в том числе:

   Необязательный параметр .	значение	Описание
   --no-progress		Отключите отображение хода развертывания в терминале.
   --enable-rsync		Включите правила синхронизации ресурсов в экземпляре, чтобы проектировать ресурсы из края в облако.
   --add-insecure-listener		Добавьте небезопасную конфигурацию порта 1883 в прослушиватель по умолчанию. Не для использования в рабочей среде.
   --custom-location	Строка	Укажите имя настраиваемого расположения, созданного для кластера. Значение по умолчанию — location-{hash(5)}.
   --broker-config-file	Путь к JSON-файлу	Укажите файл конфигурации для брокера MQTT. Дополнительные сведения см. в разделе Advanced MQTT Broker config and Configure core MQTT Broker settings.

После успешного create завершения команды в кластере запущен рабочий экземпляр операций Интернета вещей Azure. На этом этапе экземпляр настроен для большинства сценариев тестирования и оценки. Если вы хотите подготовить экземпляр для рабочих сценариев, перейдите к следующему разделу, чтобы включить безопасные параметры.

Настройка управления секретами и назначаемого пользователем управляемого удостоверения (необязательно)

Управление секретами для операций Интернета вещей Azure использует хранилище секретов Azure для синхронизации секретов из Azure Key Vault и хранения их на границе как секреты Kubernetes.

Для секрета Azure требуется управляемое удостоверение, назначаемое пользователем, с доступом к Azure Key Vault, где хранятся секреты. Потоки данных также требуют управляемого удостоверения, назначаемого пользователем, для проверки подлинности облачных подключений.

1. Создайте Azure Key Vault, если у вас нет доступного. Используйте команду az keyvault create.

   az keyvault create --resource-group "<RESOURCE_GROUP>" --location "<LOCATION>" --name "<KEYVAULT_NAME>" --enable-rbac-authorization 
   

2. Создайте управляемое удостоверение, назначаемое пользователем, которое будет назначено доступ к Azure Key Vault.

   az identity create --name "<USER_ASSIGNED_IDENTITY_NAME>" --resource-group "<RESOURCE_GROUP>" --location "<LOCATION>" --subscription "<SUBSCRIPTION>" 
   

3. Настройте экземпляр операций Интернета вещей Azure для синхронизации секретов. Команда:

   • Создает учетные данные федеративного удостоверения с помощью управляемого удостоверения, назначаемого пользователем.
   • Добавляет назначение роли в управляемое удостоверение, назначаемое пользователем, для доступа к Azure Key Vault.
   • Добавляет минимальный класс поставщика секретов, связанный с экземпляром Операций Интернета вещей Azure.

   az iot ops secretsync enable --name <INSTANCE_NAME> --resource-group <RESOURCE_GROUP> --mi-user-assigned <USER_ASSIGNED_MI_RESOURCE_ID> --kv-resource-id <KEYVAULT_RESOURCE_ID>
   

4. Создайте управляемое удостоверение, назначаемое пользователем, которое можно использовать для облачных подключений. Не используйте то же удостоверение, что и для настройки управления секретами.

   az identity create --name "<USER_ASSIGNED_IDENTITY_NAME>" --resource-group "<RESOURCE_GROUP>" --location "<LOCATION>" --subscription "<SUBSCRIPTION>" 
   
   You will need to grant the identity permission to whichever cloud resource this will be used for. 
   
   

5. Выполните следующую команду, чтобы назначить удостоверение экземпляру Операций Интернета вещей Azure. Эта команда также создает федеративные учетные данные удостоверения с помощью издателя OIDC указанного подключенного кластера и учетной записи службы Операций Интернета вещей Azure.

   az iot ops identity assign --name <INSTANCE_NAME> --resource-group <RESOURCE_GROUP> --mi-user-assigned <USER_ASSIGNED_MI_RESOURCE_ID>
   

Пока развертывание выполняется, вы можете наблюдать за тем, как ресурсы применяются к кластеру. Если терминал поддерживает его, init create команды отображают ход развертывания.

В противном случае или если вы решили отключить интерфейс выполнения с --no-progress добавлением в команды, можно использовать команды kubectl для просмотра модулей pod в кластере:

kubectl get pods -n azure-iot-operations

Для завершения развертывания может потребоваться несколько минут. Повторно выполните get pods команду, чтобы обновить представление.

После завершения развертывания используйте az iot ops check для оценки развертывания службы Операций Интернета вещей для работоспособности, конфигурации и удобства использования. Команда проверки поможет найти проблемы в развертывании и конфигурации.

az iot ops check

Вы также можете проверить конфигурации карт тем, QoS и маршрутов сообщений, добавив --detail-level 2 параметр для подробного представления.

Следующие шаги

Если компоненты должны подключаться к конечным точкам Azure, таким как SQL или Fabric, узнайте, как управлять секретами для развертывания Azure IoT Operations Preview.