Azure IoT Operations Preview implementeren in een Kubernetes-cluster met Arc

Belangrijk

Azure IoT Operations Preview: ingeschakeld door Azure Arc is momenteel in preview. Gebruik deze preview-software niet in productieomgevingen.

U moet een nieuwe Azure IoT Operations-installatie implementeren wanneer er een algemeen beschikbare release beschikbaar wordt gesteld. U kunt geen preview-installatie upgraden.

Raadpleeg de Aanvullende voorwaarden voor Microsoft Azure-previews voor juridische voorwaarden die van toepassing zijn op Azure-functies die in bèta of preview zijn of die anders nog niet algemeen beschikbaar zijn.

Leer hoe u Azure IoT Operations Preview implementeert in een Kubernetes-cluster met behulp van de Azure CLI of Azure Portal.

In dit artikel bespreken we Implementaties en exemplaren van Azure IoT Operations. Dit zijn twee verschillende concepten:

• Een Azure IoT Operations-implementatie beschrijft alle onderdelen en resources die het Azure IoT Operations-scenario mogelijk maken. Deze onderdelen en resources omvatten:

  • Een Azure IoT Operations-exemplaar
  • Arc-extensies
  • Aangepaste locaties
  • Resourcesynchronisatieregels
  • Resources die u kunt configureren in uw Azure IoT Operations-oplossing, zoals assets en asseteindpunten.

• Een Azure IoT Operations-exemplaar is de bovenliggende resource die de suite met services bundelt die zijn gedefinieerd in Wat is Azure IoT Operations Preview? zoals MQTT-broker, gegevensstromen en OPC UA-connector.

Wanneer we het hebben over het implementeren van Azure IoT-bewerkingen, bedoelen we de volledige set onderdelen waaruit een implementatie bestaat. Zodra de implementatie bestaat, kunt u het exemplaar bekijken, beheren en bijwerken.

Vereisten

Cloudresources:

• Een Azure-abonnement.

• Een Azure-sleutelkluis. Als u een nieuwe sleutelkluis wilt maken, gebruikt u de opdracht az keyvault create :

  az keyvault create --enable-rbac-authorization --name "<NEW_KEYVAULT_NAME>" --resource-group "<RESOURCE_GROUP>"
  

• Azure-toegangsmachtigingen. Zie Implementatiedetails > vereiste machtigingen voor meer informatie.

Ontwikkelingsresources:

• Azure CLI is geïnstalleerd op uw ontwikkelcomputer. Voor dit scenario is Azure CLI versie 2.64.0 of hoger vereist. Gebruik az --version deze optie om uw versie te controleren en az upgrade zo nodig bij te werken. Zie De Azure CLI installeren voor meer informatie.

• De Azure IoT Operations-extensie voor Azure CLI. Gebruik de volgende opdracht om de extensie toe te voegen of bij te werken naar de nieuwste versie:

  az extension add --upgrade --name azure-iot-ops
  

Een clusterhost:

• Een Kubernetes-cluster met Azure Arc waarvoor de aangepaste locatie- en workloadidentiteitsfuncties zijn ingeschakeld. Als u er nog geen hebt, volgt u de stappen in Uw Kubernetes-cluster met Azure Arc voorbereiden.

  Als u Azure IoT Operations eerder in uw cluster hebt geïmplementeerd, verwijdert u deze resources voordat u doorgaat. Zie Azure IoT-bewerkingen bijwerken voor meer informatie.

• Controleer of uw clusterhost juist is geconfigureerd voor implementatie met behulp van de opdracht verify-host op de clusterhost:

  az iot ops verify-host
  

• (Optioneel) Bereid uw cluster voor op waarneembaarheid voordat u Azure IoT-bewerkingen implementeert: waarneembaarheid configureren.

Implementeren

Gebruik Azure Portal of Azure CLI om Azure IoT-bewerkingen te implementeren in uw Kubernetes-cluster met Arc.

De implementatie-ervaring van Azure Portal is een helperprogramma waarmee een implementatieopdracht wordt gegenereerd op basis van uw resources en configuratie. De laatste stap is het uitvoeren van een Azure CLI-opdracht, dus u hebt nog steeds de Azure CLI-vereisten nodig die in de vorige sectie zijn beschreven.

Azure-portal

1. Zoek en selecteer Azure IoT Operations in Azure Portal.

2. Selecteer Maken.

3. Geef op het tabblad Basisbeginselen u de volgende gegevens op:

   Parameter	Weergegeven als
   Abonnement	Selecteer het abonnement dat uw cluster met Arc bevat.
   Resourcegroep	Selecteer de resourcegroep die uw cluster met Arc bevat.
   Clusternaam	Selecteer het cluster waarnaar u Azure IoT-bewerkingen wilt implementeren.
   Naam van aangepaste locatie	Optioneel: vervang de standaardnaam voor de aangepaste locatie.

   

4. Selecteer Volgende: Configuratie.

5. Geef op het tabblad Configuratie de volgende informatie op:

   Parameter	Weergegeven als
   Naam van Azure IoT-bewerkingen	Optioneel: vervang de standaardnaam voor het Azure IoT Operations-exemplaar.
   MQTT-brokerconfiguratie	Optioneel: bewerk de standaardinstellingen voor de MQTT-broker. Zie Core MQTT Broker-instellingen configureren voor meer informatie.
   Configuratie van gegevensstroomprofiel	Optioneel: bewerk de standaardinstellingen voor gegevensstromen. Zie Profiel voor gegevensstromen configureren voor meer informatie.

   

6. Selecteer Volgende: Afhankelijkheidsbeheer.

7. Selecteer op het tabblad Afhankelijkheidsbeheer een bestaand schemaregister of gebruik deze stappen om er een te maken:

   1. Selecteer Nieuw maken.

   2. Geef een schemaregisternaam en schemaregisternaamruimte op.

   3. Selecteer Azure Storage-container selecteren.

   4. Kies een opslagaccount in de lijst met hiërarchische accounts met naamruimte of selecteer Maken om er een te maken.

      Schemaregister vereist een Azure Storage-account waarvoor hiërarchische naamruimte en openbare netwerktoegang is ingeschakeld. Wanneer u een nieuw opslagaccount maakt, kiest u een opslagaccounttype algemeen gebruik v2 en stelt u hiërarchische naamruimte in op Ingeschakeld.

   5. Selecteer een container in uw opslagaccount of selecteer Container om er een te maken.

   6. Selecteer Toepassen om de schemaregisterconfiguraties te bevestigen.

8. Selecteer op het tabblad Afhankelijkheidsbeheer de optie Implementatie van beveiligde instellingen .

   

9. Geef in de sectie Implementatieopties de volgende informatie op:

   Parameter	Weergegeven als
   Abonnement	Selecteer het abonnement dat uw Azure-sleutelkluis bevat.
   Azure Key Vault	Selecteer een Azure-sleutelkluis en selecteer Nieuwe maken. Zorg ervoor dat uw sleutelkluis toegangsbeleid voor de kluis heeft als machtigingsmodel. Als u deze instelling wilt controleren, selecteert u De geselecteerde kluisinstellingentoegangsconfiguratie>> beheren.
   Door de gebruiker toegewezen beheerde identiteit voor geheimen	Selecteer een identiteit of selecteer Nieuwe maken.
   Door de gebruiker toegewezen beheerde identiteit voor AIO-onderdelen	Selecteer een identiteit of selecteer Nieuwe maken. Gebruik niet dezelfde beheerde identiteit als de identiteit die u hebt geselecteerd voor geheimen.

   

10. Selecteer Volgende: Automatisering.

11. Voer één voor één elke Azure CLI-opdracht uit op het tabblad Automation in een terminal:

    1. Meld u interactief aan bij Azure CLI met een browser, zelfs als u zich al eerder hebt aangemeld. Als u zich niet interactief aanmeldt, krijgt u mogelijk een foutmelding met de mededeling dat uw apparaat moet worden beheerd voor toegang tot uw resource wanneer u doorgaat met de volgende stap om Azure IoT Operations te implementeren.

       az login
       

    2. Als u uw Azure CLI-omgeving niet hebt voorbereid zoals beschreven in de vereisten, doet u dit nu in een terminal van uw keuze:

       az upgrade
       az extension add --upgrade --name azure-iot-ops
       

    3. Als u ervoor kiest om een nieuw schemaregister te maken op het vorige tabblad, kopieert en voert u de az iot ops schema registry create opdracht uit.

    4. Bereid uw cluster voor op de implementatie van Azure IoT Operations door afhankelijkheden en basisservices te implementeren, inclusief het schemaregister. Kopieer de opdracht en voer deze az iot ops init uit.

       Tip

       De init opdracht hoeft slechts eenmaal per cluster te worden uitgevoerd. Als u een cluster hergebruikt waarop Azure IoT Operations versie 0.7.0 al is geïmplementeerd, kunt u deze stap overslaan.

       Het uitvoeren van deze opdracht kan enkele minuten in beslag nemen. U kunt de voortgang bekijken in de voortgang van de implementatie in de terminal.

    5. Azure IoT-bewerkingen implementeren in uw cluster. Kopieer de opdracht en voer deze az iot ops create uit.

       Het uitvoeren van deze opdracht kan enkele minuten in beslag nemen. U kunt de voortgang bekijken in de voortgang van de implementatie in de terminal.

    6. Schakel geheime synchronisatie in op uw Azure IoT Operations-exemplaar. Kopieer de opdracht en voer deze az iot ops secretsync enable uit. Met deze opdracht gebeurt het volgende:

       • Hiermee maakt u een federatieve identiteitsreferentie met behulp van de door de gebruiker toegewezen beheerde identiteit.
       • Voegt een roltoewijzing toe aan de door de gebruiker toegewezen beheerde identiteit voor toegang tot Azure Key Vault.
       • Voegt een minimale geheime providerklasse toe die is gekoppeld aan het Azure IoT Operations-exemplaar.

    7. Wijs een door de gebruiker toegewezen beheerde identiteit toe aan uw Azure IoT Operations-exemplaar. Kopieer de opdracht en voer deze az iot ops identity assign uit.

       Met deze opdracht maakt u ook een federatieve identiteitsreferentie met behulp van de OIDC-verlener van het aangegeven verbonden cluster en het Azure IoT Operations-serviceaccount.

12. Zodra alle Azure CLI-opdrachten zijn voltooid, kunt u de wizard Azure IoT Operations installeren sluiten.

Azure-CLI

1. Meld u interactief aan bij Azure CLI met een browser, zelfs als u zich al eerder hebt aangemeld.

   az login
   

   Als u op enig moment een foutmelding krijgt met de mededeling dat uw apparaat moet worden beheerd voor toegang tot uw resource, voert az login u deze opnieuw uit en zorgt u ervoor dat u zich interactief aanmeldt met een browser.

Een opslagaccount en schemaregister maken

Azure IoT Operations vereist een schemaregister in uw cluster. Voor het schemaregister is een Azure-opslagaccount vereist, zodat schemagegevens tussen cloud en edge kunnen worden gesynchroniseerd.

1. Maak een opslagaccount waarvoor hiërarchische naamruimte is ingeschakeld.

   az storage account create --name <NEW_STORAGE_ACCOUNT_NAME> --resource-group <RESOURCE_GROUP> --enable-hierarchical-namespace
   

2. Maak een schemaregister dat verbinding maakt met uw opslagaccount.

   az iot ops schema registry create --name <NEW_SCHEMA_REGISTRY_NAME> --resource-group <RESOURCE_GROUP> --registry-namespace <NEW_SCHEMA_REGISTRY_NAMESPACE> --sa-resource-id $(az storage account show --name <STORAGE_ACCOUNT_NAME> --resource-group <RESOURCE_GROUP> -o tsv --query id)
   

   Notitie

   Voor deze opdracht is vereist dat u schrijfmachtigingen voor roltoewijzing hebt, omdat er een rol wordt toegewezen om het schemaregister toegang te geven tot het opslagaccount. De rol is standaard de ingebouwde rol Inzender voor opslagblobgegevens of u kunt een aangepaste rol maken met beperkte machtigingen om toe te wijzen.

   Gebruik de optionele parameters om uw schemaregister aan te passen, waaronder:

   Optionele parameter	Weergegeven als	Beschrijving
   --custom-role-id	Roldefinitie-id	Geef een aangepaste rol-id op die moet worden toegewezen aan het schemaregister in plaats van de standaardrol Inzender voor opslagblobgegevens. De rol heeft minimaal blob-lees- en schrijfmachtigingen nodig. Indeling: /subscriptions/<SUBSCRIPTION_ID>/providers/Microsoft.Authorization/roleDefinitions/<ROLE_ID>.
   --sa-container	tekenreeks	Opslagaccountcontainer voor het opslaan van schema's. Als deze container niet bestaat, wordt deze met deze opdracht gemaakt. De standaardcontainernaam is schema's.

3. Kopieer de resource-id uit de uitvoer van de opdracht voor het maken van het schemaregister voor gebruik in de volgende sectie.

Azure IoT-bewerkingen implementeren

1. Bereid uw cluster voor met de afhankelijkheden die Azure IoT Operations nodig heeft door az iot ops init uit te voeren.

   Tip

   De init opdracht hoeft slechts eenmaal per cluster te worden uitgevoerd. Als u een cluster hergebruikt waarop Azure IoT Operations versie 0.7.0 al is geïmplementeerd, kunt u deze stap overslaan.

   az iot ops init --cluster <CLUSTER_NAME> --resource-group <RESOURCE_GROUP> --sr-resource-id <SCHEMA_REGISTRY_RESOURCE_ID>
   

   Het uitvoeren van deze opdracht kan enkele minuten in beslag nemen. U kunt de voortgang bekijken in de voortgang van de implementatie in de terminal.

   Gebruik de optionele parameters om uw cluster aan te passen, waaronder:

   Optionele parameter	Weergegeven als	Beschrijving
   --no-progress		Schakel de voortgang van de implementatie uit in de terminal.
   --enable-fault-tolerance	false, true	Schakel fouttolerantie in voor Azure Arc Container Storage. Er zijn ten minste drie clusterknooppunten vereist.
   --ops-config	observability.metrics.openTelemetryCollectorAddress=<FULLNAMEOVERRIDE>.azure-iot-operations.svc.cluster.local:<GRPC_ENDPOINT>	Als u aan de optionele vereisten hebt voldaan om uw cluster voor te bereiden op waarneembaarheid, geeft u het OTelemetry-collectoradres (OpenTelemetry) op dat u hebt geconfigureerd in het bestand otel-collector-values.yaml. De voorbeeldwaarden die worden gebruikt in Waarneembaarheid configureren, zijn fullnameOverride=aio-otel-collector en grpc.enpoint=4317.
   --ops-config	observability.metrics.exportInternalSeconds=<CHECK_INTERVAL>	Als u de optionele vereisten hebt gevolgd om uw cluster voor te bereiden op waarneembaarheid, geeft u de check_interval waarde op die u hebt geconfigureerd in het bestand otel-collector-values.yaml. De voorbeeldwaarde die wordt gebruikt in Waarneembaarheid configureren, is check_interval=60.

2. Azure IoT-bewerkingen implementeren. Het voltooien van deze opdracht duurt enkele minuten:

   az iot ops create --name <NEW_INSTANCE_NAME> --cluster <CLUSTER_NAME> --resource-group <RESOURCE_GROUP>
   

   Het uitvoeren van deze opdracht kan enkele minuten in beslag nemen. U kunt de voortgang bekijken in de voortgang van de implementatie in de terminal.

   Gebruik de optionele parameters om uw exemplaar aan te passen, waaronder:

   Optionele parameter	Weergegeven als	Beschrijving
   --no-progress		Schakel de voortgang van de implementatie uit in de terminal.
   --enable-rsync		Schakel de resourcesynchronisatieregels op het exemplaar in om resources van de rand naar de cloud te projecteren.
   --add-insecure-listener		Voeg een onveilige 1883-poortconfiguratie toe aan de standaardlistener. Niet voor productiegebruik.
   --custom-location	String	Geef een naam op voor de aangepaste locatie die voor uw cluster is gemaakt. De standaardwaarde is location-{hash(5)}.
   --broker-config-file	Pad naar JSON-bestand	Geef een configuratiebestand op voor de MQTT-broker. Zie Advanced MQTT Broker config and Configure core MQTT broker settings(Core MQTT Broker) voor meer informatie.

Zodra de create opdracht is voltooid, hebt u een werkend Azure IoT Operations-exemplaar dat wordt uitgevoerd op uw cluster. Op dit moment is uw exemplaar geconfigureerd voor de meeste test- en evaluatiescenario's. Als u uw exemplaar wilt voorbereiden voor productiescenario's, gaat u verder met de volgende sectie om beveiligde instellingen in te schakelen.

Geheimbeheer en door de gebruiker toegewezen beheerde identiteit instellen (optioneel)

Geheimbeheer voor Azure IoT Operations maakt gebruik van Azure Secret Store om de geheimen vanuit een Azure Key Vault te synchroniseren en op te slaan aan de rand als Kubernetes-geheimen.

Azure Secret vereist een door de gebruiker toegewezen beheerde identiteit met toegang tot De Azure Key Vault waar geheimen worden opgeslagen. Voor gegevensstromen is ook een door de gebruiker toegewezen beheerde identiteit vereist voor het verifiëren van cloudverbindingen.

1. Maak een Azure Key Vault als u er nog geen hebt. Gebruik de opdracht az keyvault create .

   az keyvault create --resource-group "<RESOURCE_GROUP>" --location "<LOCATION>" --name "<KEYVAULT_NAME>" --enable-rbac-authorization 
   

2. Maak een door de gebruiker toegewezen beheerde identiteit die toegang krijgt tot De Azure Key Vault.

   az identity create --name "<USER_ASSIGNED_IDENTITY_NAME>" --resource-group "<RESOURCE_GROUP>" --location "<LOCATION>" --subscription "<SUBSCRIPTION>" 
   

3. Configureer het Azure IoT Operations-exemplaar voor geheime synchronisatie. Met deze opdracht gebeurt het volgende:

   • Hiermee maakt u een federatieve identiteitsreferentie met behulp van de door de gebruiker toegewezen beheerde identiteit.
   • Voegt een roltoewijzing toe aan de door de gebruiker toegewezen beheerde identiteit voor toegang tot Azure Key Vault.
   • Voegt een minimale geheime providerklasse toe die is gekoppeld aan het Azure IoT Operations-exemplaar.

   az iot ops secretsync enable --name <INSTANCE_NAME> --resource-group <RESOURCE_GROUP> --mi-user-assigned <USER_ASSIGNED_MI_RESOURCE_ID> --kv-resource-id <KEYVAULT_RESOURCE_ID>
   

4. Maak een door de gebruiker toegewezen beheerde identiteit die kan worden gebruikt voor cloudverbindingen. Gebruik niet dezelfde identiteit als de identiteit die wordt gebruikt voor het instellen van geheimenbeheer.

   az identity create --name "<USER_ASSIGNED_IDENTITY_NAME>" --resource-group "<RESOURCE_GROUP>" --location "<LOCATION>" --subscription "<SUBSCRIPTION>" 
   
   You will need to grant the identity permission to whichever cloud resource this will be used for. 
   
   

5. Voer de volgende opdracht uit om de identiteit toe te wijzen aan het Azure IoT Operations-exemplaar. Met deze opdracht maakt u ook een federatieve identiteitsreferentie met behulp van de OIDC-verlener van het aangegeven verbonden cluster en het Azure IoT Operations-serviceaccount.

   az iot ops identity assign --name <INSTANCE_NAME> --resource-group <RESOURCE_GROUP> --mi-user-assigned <USER_ASSIGNED_MI_RESOURCE_ID>
   

Terwijl de implementatie wordt uitgevoerd, kunt u de resources bekijken die op uw cluster worden toegepast. Als uw terminal dit ondersteunt, geven de init en create opdrachten de voortgang van de implementatie weer.

Als u er anders voor kiest om de voortgangsinterface uit te schakelen die --no-progress is toegevoegd aan de opdrachten, kunt u kubectl-opdrachten gebruiken om de pods in uw cluster weer te geven:

kubectl get pods -n azure-iot-operations

Het kan enkele minuten duren voordat de implementatie is voltooid. Voer de opdracht opnieuw uit om de get pods weergave te vernieuwen.

Nadat de implementatie is voltooid, gebruikt u az iot ops check om de implementatie van de IoT Operations-service te evalueren op status, configuratie en bruikbaarheid. Met de controleopdracht kunt u problemen vinden in uw implementatie en configuratie.

az iot ops check

U kunt ook de configuraties van onderwerptoewijzingen, QoS en berichtroutes controleren door de --detail-level 2 parameter voor een uitgebreide weergave toe te voegen.

Volgende stappen

Als uw onderdelen verbinding moeten maken met Azure-eindpunten zoals SQL of Fabric, leert u hoe u geheimen beheert voor uw Azure IoT Operations Preview-implementatie.