TPM을 사용하여 규모에 맞게 IoT Edge for Linux on Windows 디바이스 만들기 및 프로비전

적용 대상: IoT Edge 1.4

Important

IoT Edge 1.4는 지원되는 릴리스입니다. 이전 릴리스에 있는 경우 IoT Edge 업데이트를 참조하세요.

이 문서에서는 TPM(신뢰할 수 있는 플랫폼 모듈)을 사용하여 Azure IoT Edge for Linux on Windows 디바이스를 자동 프로비전하기 위한 지침을 제공합니다. Azure IoT Hub 디바이스 프로비전 서비스를 사용하여 Azure IoT Edge 디바이스를 자동으로 프로비전할 수 있습니다. 자동 프로비전 프로세스에 익숙하지 않은 경우 계속하기 전에 프로비전 개요를 검토합니다.

이 문서에서는 두 가지 방법론을 간략하게 설명합니다. 솔루션의 아키텍처에 따라 기본 설정을 선택합니다.

• 실제 TPM 하드웨어가 있는 Windows 디바이스의 Linux를 자동 프로비전합니다.
• 시뮬레이션된 TPM을 사용하여 Windows 디바이스에서 Linux를 자동 프로비전합니다. 이 방법론은 테스트 시나리오로만 권장됩니다. 시뮬레이션된 TPM은 실제 TPM과 동일한 보안을 제공하지 않습니다.

작업은 다음과 같습니다.

물리적 TPM

• IoT Edge for Linux on Windows를 설치합니다.
• 디바이스에서 TPM 정보를 검색합니다.
• 디바이스에 대한 개별 등록을 만듭니다.
• TPM 정보를 사용하여 디바이스를 프로비저닝합니다.

시뮬레이션된 TPM

• IoT Edge for Linux on Windows를 설치합니다.
• 시뮬레이션된 TPM을 설정하고 프로비전 정보를 검색합니다.
• 디바이스에 대한 개별 등록을 만듭니다.
• TPM 정보를 사용하여 디바이스를 프로비저닝합니다.

필수 조건

클라우드 리소스

• 활성 IoT 허브
• IoT 허브에 연결된 Azure의 IoT Hub Device Provisioning Service 인스턴스
  • 디바이스 프로비저닝 서비스 인스턴스가 없는 경우 IoT Hub Device Provisioning Service 빠른 시작의 새 IoT Hub Device Provisioning Service 만들기 및 IoT 허브와 디바이스 프로비저닝 서비스 연결 섹션의 지침을 따를 수 있습니다.
  • 디바이스 프로비저닝 서비스를 실행한 후 개요 페이지에서 ID 범위 값을 복사합니다. IoT Edge 런타임을 구성하는 경우 이 값을 사용합니다.

디바이스 요구 사항

다음과 같은 최소 요구 사항을 충족하는 Windows 디바이스:

• 시스템 요구 사항

  • Windows 10¹/11(Pro, Enterprise, IoT Enterprise)
  • Windows Server 2019¹/2022
    _{¹ 최신 누적 업데이트가 모두 설치된 Windows 10 및 Windows Server 2019 최소 빌드 17763입니다.}

• 하드웨어 요구 사항

  • 사용 가능한 최소 메모리: 1GB
  • 사용 가능한 최소 디스크 공간: 10GB

• 가상화 지원

  • Windows 10에서 Hyper-V를 사용하도록 설정합니다. 자세한 내용은 Hyper-V를 Windows 10에 설치를 참조하세요.
  • Windows Server에서 Hyper-V 역할을 설치하고 기본 네트워크 스위치를 만듭니다. 자세한 내용은 Azure IoT Edge for Linux on Windows의 중첩된 가상화를 참조하세요.
  • 가상 머신에서 중첩 가상화를 구성합니다. 자세한 내용은 중첩된 가상화를 참조하세요.

• 네트워킹 지원

  • Windows Server에는 기본 스위치가 없습니다. EFLOW를 Windows Server 디바이스에 배포하려면 먼저 가상 스위치를 만들어야 합니다. 자세한 내용은 Windows에서 Linux용 가상 스위치 만들기를 참조하세요.
  • Windows 데스크톱 버전에는 EFLOW 설치에 사용할 수 있는 기본 스위치가 있습니다. 필요한 경우 고유한 사용자 지정 가상 스위치를 만들 수 있습니다.

팁

Windows 배포의 Linux용 Azure IoT Edge에서 GPU 가속 Linux 모듈을 사용하려는 경우 고려해야 할 몇 가지 구성 옵션이 있습니다.

GPU 아키텍처에 따라 올바른 드라이버를 설치해야 하며 Windows 참가자 프로그램 빌드에 액세스해야 할 수도 있습니다. 구성 요구 사항을 확인하고 이러한 필수 조건을 충족하려면 Windows의 Linux용 Azure IoT Edge에 대한 GPU 가속을 참조하세요.

지금 시간을 내어 GPU 가속을 위한 필수 구성 요소를 충족시키세요. 설치 중에 GPU 가속을 원하는 경우 설치 프로세스를 다시 시작해야 합니다.

개발자 도구

Azure IoT Edge for Linux on Windows 설치 및 Linux 가상 머신 배포를 위한 대상 디바이스를 준비합니다.

1. 대상 디바이스의 실행 정책을 AllSigned로 설정합니다. 다음 명령을 사용하여 관리자 권한 PowerShell 프롬프트에서 현재 실행 정책을 확인할 수 있습니다.

   Get-ExecutionPolicy -List
   

   local machine의 실행 정책이 AllSigned가 아닌 경우 다음을 사용하여 실행 정책을 설정할 수 있습니다.

   Set-ExecutionPolicy -ExecutionPolicy AllSigned -Force
   

Azure IoT Edge for Linux on Windows PowerShell 모듈에 대한 자세한 내용은 PowerShell 함수 참조를 확인하세요.

참고 항목

디바이스 프로비전 서비스에서 TPM 증명을 사용하는 경우 TPM 2.0이 필요합니다.

TPM을 사용하는 경우 그룹이 아닌 개별 디바이스 프로비저닝 서비스 등록만 만들 수 있습니다.

IoT Edge 설치

대상 디바이스에 Windows의 Linux용 Azure IoT Edge를 배포합니다.

참고 항목

다음 PowerShell 프로세스에서는 Windows의 Linux용 IoT Edge를 로컬 디바이스에 배포하는 방법을 간략하게 설명합니다. PowerShell을 사용하여 원격 대상 디바이스에 배포하려면 원격 PowerShell을 사용하여 원격 디바이스에 대한 연결을 설정하고 해당 디바이스에서 이러한 명령을 원격으로 실행합니다.

1. 관리자 권한 PowerShell 세션에서 대상 디바이스 아키텍처에 따라 다음 명령을 실행하여 IoT Edge for Linux on Windows를 다운로드합니다.

   • X64/AMD64

     $msiPath = $([io.Path]::Combine($env:TEMP, 'AzureIoTEdge.msi'))
     $ProgressPreference = 'SilentlyContinue'
     Invoke-WebRequest "https://aka.ms/AzEFLOWMSI_1_4_LTS_X64" -OutFile $msiPath
     

   • ARM64

     $msiPath = $([io.Path]::Combine($env:TEMP, 'AzureIoTEdge.msi'))
     $ProgressPreference = 'SilentlyContinue'
     Invoke-WebRequest "https://aka.ms/AzEFLOWMSI_1_4_LTS_ARM64" -OutFile $msiPath
     

2. IoT Edge for Linux on Windows를 디바이스에 설치합니다.

   Start-Process -Wait msiexec -ArgumentList "/i","$([io.Path]::Combine($env:TEMP, 'AzureIoTEdge.msi'))","/qn"
   

   설치 명령에 INSTALLDIR="<FULLY_QUALIFIED_PATH>" 및 VHDXDIR="<FULLY_QUALIFIED_PATH>" 매개 변수를 추가하여 Windows의 Linux 설치 및 VHDX 디렉터리용 사용자 지정 IoT Edge를 지정할 수 있습니다. 예를 들어 D:\EFLOW 폴더를 설치에 사용하고 D:\EFLOW-VHDX를 VHDX에 사용하려는 경우 다음 PowerShell cmdlet을 사용할 수 있습니다.

   Start-Process -Wait msiexec -ArgumentList "/i","$([io.Path]::Combine($env:TEMP, 'AzureIoTEdge.msi'))","/qn","INSTALLDIR=D:\EFLOW", "VHDXDIR=D:\EFLOW-VHDX"
   

3. 대상 디바이스의 실행 정책이 아직 설정되지 않은 경우 AllSigned로 설정합니다. 현재 실행 정책을 확인하고 실행 정책을 AllSigned로 설정하는 명령에 대한 PowerShell 필수 구성 요소를 확인합니다.

4. IoT Edge for Linux on Windows 배포를 만듭니다. 배포하면 Linux 가상 머신이 생성되고 IoT Edge 런타임이 자동으로 설치됩니다.

   Deploy-Eflow
   

   팁

   기본적으로 Deploy-Eflow 명령은 RAM 1GB, vCPU 코어 1개, 디스크 공간 16GB를 사용하여 Linux 가상 머신을 만듭니다. 그러나 VM에 필요한 리소스는 배포하는 워크로드에 따라 달라집니다. 워크로드를 지원하기에 충분 한 메모리가 없는 VM은 시작되지 않습니다.

   Deploy-Eflow 명령의 선택적 매개 변수를 사용하여 가상 컴퓨터의 사용 가능한 리소스를 사용자 지정할 수 있습니다. 이는 EFLOW를 최소 하드웨어 요구 사항이 있는 디바이스에 배포하는 데 필요합니다.

   예를 들어 아래 명령에서는 1개 vCPU 코어, 1GB RAM(MB 단위로 표시) 및 2GB 디스크 공간이 있는 가상 머신을 만듭니다.

   Deploy-Eflow -cpuCount 1 -memoryInMB 1024 -vmDataSize 2
   

   사용 가능한 모든 선택적 매개 변수에 대한 자세한 내용은 Windows의 Linux용 IoT Edge용 PowerShell 함수를 참조하세요.

   Warning

   기본적으로 EFLOW Linux 가상 머신에는 DNS 구성이 없습니다. DHCP를 사용하는 배포에서는 DHCP 서버에서 전파하는 DNS 구성을 가져오려고 시도합니다. 인터넷 연결을 확인하려면 DNS 구성을 확인하세요. 자세한 내용은 AzEFLOW-DNS를 참조하세요.

   배포에 GPU를 할당하여 GPU 가속 Linux 모듈을 사용하도록 설정할 수 있습니다. 이러한 기능에 액세스하려면 Windows의 Linux용 Azure IoT Edge용 GPU 가속에 설명된 필수 구성 요소를 설치해야 합니다.

   GPU 통과를 사용하려면 gpuName, gpuPassthroughType 및 gpuCount 매개 변수를 Deploy-Eflow 명령에 추가합니다. 사용 가능한 모든 선택적 매개 변수에 대한 자세한 내용은 Windows의 Linux용 IoT Edge용 PowerShell 함수를 참조하세요.

   Warning

   하드웨어 디바이스 통과를 사용하도록 설정하면 보안 위험이 증가할 수 있습니다. Microsoft는 해당되는 경우 GPU 공급업체의 디바이스 완화 드라이버를 권장합니다. 자세한 내용은 개별 디바이스 할당을 사용하여 그래픽 디바이스 배포를 참조하세요.

5. 'Y'를 입력하여 사용 조건에 동의합니다.

6. 기본 설정에 따라 'O' 또는 'R'을 입력하여 선택적 진단 데이터를 설정하거나 해제합니다.

7. 배포가 완료되면 PowerShell 창에 배포 성공이 보고됩니다.

   

   배포에 성공하면 디바이스를 프로비전할 준비가 된 것입니다.

TPM 프로비전을 위해 디바이스를 준비하는 몇 가지 단계가 있습니다. 디바이스를 준비하는 동안 배포를 열어 둡니다. 문서 뒷부분에서 배포로 돌아갑니다.

TPM 통과 사용

IoT Edge for Linux on Windows VM에는 사용하거나 사용하지 않도록 설정할 수 있는 TPM 기능이 있습니다. 이 기능은 기본적으로 사용하지 않도록 설정됩니다. 이 기능이 사용하도록 설정되면 VM이 호스트 컴퓨터의 TPM에 액세스할 수 있습니다.

1. 관리자 권한 세션에서 PowerShell을 엽니다.

2. 아직 디바이스에서 실행 정책을 AllSigned로 설정하지 않은 경우 지금 설정합니다. 그래야만 IoT Edge for Linux on Windows PowerShell 함수를 실행할 수 있습니다.

   Set-ExecutionPolicy -ExecutionPolicy AllSigned -Force
   

3. TPM 기능을 켭니다.

   Set-EflowVmFeature -feature 'DpsTpm' -enable
   

디바이스에서 TPM 정보 검색

물리적 TPM

디바이스를 프로비전하려면 TPM 칩용 인증 키와 디바이스용 등록 ID가 필요합니다. 서비스가 연결을 시도할 때 디바이스를 인식할 수 있도록 디바이스 프로비전 서비스의 인스턴스에 이 정보를 제공합니다.

인증 키는 각 TPM 칩에 고유합니다. 관련 TPM 칩 제조업체에서 가져옵니다. 예를 들어 인증 키의 SHA-256 해시를 만들어 TPM 디바이스의 고유한 등록 ID를 파생할 수 있습니다.

IoT Edge for Linux on Windows는 TPM에서 이 정보를 검색할 수 있도록 하는 PowerShell 스크립트를 제공합니다. 스크립트를 사용하려면 디바이스에서 다음 단계를 수행합니다.

1. 관리자 권한 세션에서 PowerShell을 엽니다.

2. 명령을 실행합니다.

   Get-EflowVmTpmProvisioningInfo | Format-List
   

시뮬레이션된 TPM

사용 가능한 실제 TPM이 없고 이 프로비저닝 메서드를 테스트하려는 경우에는 디바이스에서 TPM을 시뮬레이션하면 됩니다.

IoT Hub 디바이스 프로비전 Service는 TPM을 시뮬레이션하고 인증 키와 등록 ID를 반환하는 샘플을 제공합니다.

1. 원하는 언어에 따라 다음 목록에서 샘플 중 하나를 선택합니다.
2. 시뮬레이션된 TPM을 실행하고 인증 키 및 등록 ID를 수집한 후 디바이스 프로비전 서비스 샘플 단계를 따르지 마세요. 샘플 애플리케이션에서 등록을 실행하려면 Enter를 선택하지 마세요.
3. 이 시나리오 테스트를 마칠 때까지 실행 중인 시뮬레이션된 TPM을 호스팅하는 창을 유지합니다.
4. 디바이스 프로비전 서비스 등록을 만들고 디바이스를 구성하려면 이 문서로 돌아갑니다.

시뮬레이션된 TPM 샘플:

• C
• Java
• C#
• Node.JS
• Python

디바이스 프로비전 서비스 등록 만들기

TPM의 프로비전 정보를 사용하여 디바이스 프로비전 서비스에서 개별 등록을 만듭니다.

디바이스 프로비전 서비스에서 등록을 만들 때 초기 디바이스 트윈 상태를 선언할 수 있습니다. 디바이스 트윈에서 지역, 환경, 위치 또는 디바이스 유형 같은 솔루션에 필요한 모든 메트릭을 기준으로 디바이스 그룹에 태그를 설정할 수 있습니다. 이러한 태그는 자동 배포를 만드는 데 사용됩니다.

팁

이 문서의 단계는 Azure Portal용이지만 Azure CLI를 사용하여 개별 등록을 만들 수도 있습니다. 자세한 내용은 az iot dps enrollment를 참조하세요. CLI 명령의 일부로 에지 사용 플래그를 사용하여 IoT Edge 장치에 대한 등록을 지정합니다.

1. Azure Portal에서 IoT Hub 디바이스 프로비전 서비스의 인스턴스로 이동합니다.

2. 설정에서 등록 관리를 선택합니다.

3. 개별 등록 추가를 선택하고, 다음 단계를 완료하여 등록을 구성합니다.

   1. 메커니즘의 경우 TPM을 선택합니다.

   2. VM 또는 실제 디바이스에서 복사한 인증 키 및 등록 ID를 제공합니다.

   3. 원하는 경우 디바이스의 ID를 제공합니다. 디바이스 ID를 제공하지 않으면 등록 ID가 사용됩니다.

   4. VM 또는 실제 디바이스가 IoT Edge 디바이스임을 선언하려면 True를 선택합니다.

   5. 디바이스를 연결하려는 연결된 IoT 허브를 선택하거나 새 IoT Hub에 연결을 선택합니다. 여러 허브를 선택할 수 있으며, 선택한 할당 정책에 따라 허브 중 하나에 디바이스가 할당됩니다.

   6. 원하는 경우 초기 디바이스 트윈 상태에 태그 값을 추가합니다. 태그를 사용하여 모듈 배포에 대한 디바이스 그룹을 대상으로 할 수 있습니다. 자세한 내용은 대규모로 IoT Edge 모듈 배포를 참조하세요.

   7. 저장을 선택합니다.

이제 이 디바이스에 대한 등록이 존재하므로 IoT Edge 런타임은 설치 중에 디바이스를 자동으로 프로비저닝할 수 있습니다.

클라우드 ID를 사용한 디바이스 프로비전

1. Windows 디바이스에서 관리자 권한 PowerShell 세션을 엽니다.

2. 디바이스 프로비전 서비스 인스턴스에서 수집한 범위 ID를 사용하여 디바이스를 프로비전합니다.

   Provision-EflowVM -provisioningType "DpsTpm" -scopeId "SCOPE_ID_HERE"
   

   사용자 지정 등록 ID를 사용하여 디바이스를 등록한 경우 프로비전 시 해당 등록 ID도 지정해야 합니다.

   Provision-EflowVM -provisioningType "DpsTpm" -scopeId "SCOPE_ID_HERE" -registrationId "REGISTRATION_ID_HERE"
   

성공적인 설치 확인

IoT Edge for Linux on Windows가 IoT Edge 디바이스에 성공적으로 설치되고 구성되었는지 확인합니다.

런타임이 성공적으로 시작한 경우 IoT 허브로 이동하고 디바이스에 IoT Edge 모듈 배포를 시작할 수 있습니다.

Device Provisioning Service에서 만든 개별 등록이 사용되었는지 확인할 수 있습니다. Azure Portal에서 디바이스 프로비전 서비스 인스턴스로 이동합니다. 만든 개별 등록의 등록 세부 정보를 엽니다. 등록 상태가 할당됨이고 디바이스 ID가 나열된 것을 확인할 수 있습니다.

디바이스에서 다음 명령을 사용하여 IoT Edge가 성공적으로 설치되고 시작되는지 확인합니다.

1. PowerShell 세션에서 다음 명령을 사용하여 IoT Edge for Linux on Windows VM에 연결합니다.

   Connect-EflowVm
   

   참고 항목

   VM에 SSH로 허용되는 유일한 계정은 VM을 만든 사용자입니다.

2. 로그인한 후 다음 Linux 명령을 사용하여 실행 중인 IoT Edge 모듈 목록을 확인할 수 있습니다.

   sudo iotedge list
   

3. IoT Edge 서비스 문제를 해결해야 하는 경우 다음 Linux 명령을 사용합니다.

   1. 서비스 문제를 해결해야 할 경우 서비스 로그를 검색합니다.

      sudo iotedge system logs
      

   2. check 도구를 사용하여 디바이스의 구성 및 연결 상태를 확인합니다.

      sudo iotedge check
      

   참고 항목

   새로 프로비전된 디바이스에서 IoT Edge Hub와 관련된 오류가 표시될 수 있습니다.

   × 프로덕션 준비: Edge Hub의 스토리지 디렉터리가 호스트 파일 시스템에 유지되고 있습니다. - 오류

   edgeHub 컨테이너의 현재 상태를 확인할 수 없습니다.

   IoT Edge Hub 모듈이 실행되고 있지 않으므로 새로 프로비저닝된 디바이스에서 이 오류가 예상됩니다. 오류를 해결하려면 IoT Hub에서 디바이스에 대한 모듈을 설정하고 배포를 만듭니다. 디바이스에 대한 배포를 만들면 IoT Edge Hub 모듈을 포함하여 디바이스에서 모듈이 시작됩니다.

IoT Edge for Linux on Windows 제거

디바이스에서 Azure IoT Edge for Linux on Windows 설치를 제거하려면 다음 명령을 사용합니다.

1. Windows에서 설정 열기
2. 프로그램 추가/제거 선택
3. Azure IoT Edge 앱 선택
4. 제거 선택

다음 단계

디바이스 프로비전 서비스 등록 프로세스를 사용하면 새 디바이스를 프로비전할 때 디바이스 ID 및 디바이스 트윈 태그를 동시에 설정할 수 있습니다. 이러한 값을 사용하여 자동 장치 관리를 통해 개별 디바이스 또는 디바이스 그룹을 대상으로 지정할 수 있습니다.

Azure Portal 또는 Azure CLI를 사용하여 대규모로 IoT Edge 모듈을 배포하고 모니터링하는 방법을 알아봅니다.