Zarządzanie aplikacjami usługi IoT Central i monitorowanie ich

Artykuł
04/09/2024

Za pomocą witryny Azure Portal, interfejsu wiersza polecenia platformy Azure lub programu Azure PowerShell można zarządzać aplikacjami usługi IoT Central i monitorować je.

Jeśli wolisz używać języka, takiego jak JavaScript, Python, C#, Ruby lub Go, aby tworzyć, aktualizować, wyświetlać i usuwać aplikacje usługi Azure IoT Central, zobacz repozytorium przykładów zestawu ARM SDK usługi Azure IoT Central.

Aby dowiedzieć się, jak utworzyć aplikację usługi IoT Central, zobacz Tworzenie aplikacji usługi IoT Central.

Wyświetlanie aplikacji

Aby wyświetlić listę wszystkich aplikacji usługi IoT Central w ramach subskrypcji, przejdź do pozycji Aplikacje usługi IoT Central.

Usuwanie aplikacji

Aby usunąć aplikację usługi IoT Central w witrynie Azure Portal, przejdź do strony Przegląd aplikacji w portalu i wybierz pozycję Usuń.

Zarządzanie siecią

Prywatne adresy IP można używać z przestrzeni adresowej sieci wirtualnej podczas zarządzania urządzeniami w aplikacji usługi IoT Central w celu wyeliminowania narażenia w publicznym Internecie. Aby dowiedzieć się więcej, zobacz Tworzenie i konfigurowanie prywatnego punktu końcowego dla usługi IoT Central.

Konfigurowanie tożsamości zarządzanej

Podczas konfigurowania eksportu danych w aplikacji usługi IoT Central można skonfigurować połączenie z miejscem docelowym przy użyciu parametry połączenia lub tożsamości zarządzanej. Tożsamości zarządzane są bezpieczniejsze, ponieważ:

Poświadczenia zasobu nie są przechowywane w parametry połączenia w aplikacji usługi IoT Central.
Poświadczenia są automatycznie powiązane z okresem istnienia aplikacji usługi IoT Central.
Tożsamości zarządzane automatycznie obracają swoje klucze zabezpieczeń regularnie.

Usługa IoT Central obecnie używa tożsamości zarządzanych przypisanych przez system. Aby utworzyć tożsamość zarządzaną dla aplikacji, należy użyć witryny Azure Portal lub interfejsu API REST.

Podczas konfigurowania tożsamości zarządzanej konfiguracja obejmuje zakres i rolę:

Zakres określa, gdzie można użyć tożsamości zarządzanej. Na przykład możesz użyć grupy zasobów platformy Azure jako zakresu. W takim przypadku zarówno aplikacja usługi IoT Central, jak i miejsce docelowe muszą znajdować się w tej samej grupie zasobów.
Rola określa, jakie uprawnienia ma aplikacja usługi IoT Central w usłudze docelowej. Na przykład w przypadku aplikacji usługi IoT Central do wysyłania danych do centrum zdarzeń tożsamość zarządzana wymaga przypisania roli Nadawca danych usługi Azure Event Hubs.

Aby skonfigurować tożsamość zarządzaną, która umożliwia aplikacji usługi IoT Central bezpieczne eksportowanie danych do zasobu platformy Azure:

W witrynie Azure Portal przejdź do aplikacji usługi IoT Central.

Napiwek

Domyślnie aplikacje usługi IoT Central są tworzone w grupie zasobów IOTC w ramach subskrypcji.
Wybierz pozycję Tożsamość. Następnie na stronie Przypisane przez system zmień stan na Wł., a następnie wybierz pozycję Zapisz.
Po kilku sekundach tożsamość zarządzana przypisana przez system dla aplikacji usługi IoT Central jest włączona i można wybrać przypisania ról platformy Azure:
Na stronie Przypisania ról platformy Azure wybierz pozycję + Dodaj przypisanie roli.

Tożsamość zarządzaną można włączyć podczas tworzenia aplikacji usługi IoT Central:

# Create an IoT Central application with a managed identity
az iot central app create \
  --resource-group "MyIoTCentralResourceGroup" \
  --name "myiotcentralapp" --subdomain "mysubdomain" \
  --sku ST1 --template "iotc-pnp-preview" \
  --display-name "My Custom Display Name" \
  --mi-system-assigned

Alternatywnie możesz włączyć tożsamość zarządzaną w istniejącej aplikacji usługi IoT Central:

# Enable a system-assigned managed identity
az iot central app identity assign --name "myiotcentralapp" \
  --resource-group "MyIoTCentralResourceGroup" \
  --system-assigned

Po włączeniu tożsamości zarządzanej możesz użyć interfejsu wiersza polecenia do skonfigurowania przypisań ról.

Użyj polecenia az role assignment create, aby utworzyć przypisanie roli. Na przykład następujące polecenia najpierw pobierają identyfikator podmiotu zabezpieczeń tożsamości zarządzanej. Drugie polecenie przypisuje Azure Event Hubs Data Sender rolę do identyfikatora podmiotu MyIoTCentralResourceGroup zabezpieczeń w zakresie grupy zasobów:

scope=$(az group show -n "MyIoTCentralResourceGroup" --query "id" --output tsv)
spID=$(az iot central app identity show \
  --name "myiotcentralapp" \
  --resource-group "MyIoTCentralResourceGroup" \
  --query "principalId" --output tsv)
az role assignment create --assignee $spID --role "Azure Event Hubs Data Sender" \
  --scope $scope

Tożsamość zarządzaną można włączyć podczas tworzenia aplikacji usługi IoT Central:

# Create an IoT Central application with a managed identity
New-AzIotCentralApp -ResourceGroupName "MyIoTCentralResourceGroup" `
  -Name "myiotcentralapp" -Subdomain "mysubdomain" `
  -Sku "ST1" -Template "iotc-pnp-preview" `
  -DisplayName "My Custom Display Name" -Identity "SystemAssigned"

Alternatywnie możesz włączyć tożsamość zarządzaną w istniejącej aplikacji usługi IoT Central:

# Enable a system-assigned managed identity
Set-AzIotCentralApp -ResourceGroupName "MyIoTCentralResourceGroup" `
  -Name "myiotcentralapp" -Identity "SystemAssigned"

Po włączeniu tożsamości zarządzanej można użyć programu PowerShell do skonfigurowania przypisań ról.

Użyj polecenia cmdlet New-AzRoleAssignment, aby utworzyć przypisanie roli. Na przykład następujące polecenia najpierw pobierają identyfikator podmiotu zabezpieczeń tożsamości zarządzanej. Drugie polecenie przypisuje Azure Event Hubs Data Sender rolę do identyfikatora podmiotu MyIoTCentralResourceGroup zabezpieczeń w zakresie grupy zasobów:

$resourceGroup = Get-AzResourceGroup -Name "MyIoTCentralResourceGroup"
$app = Get-AzIotCentralApp -ResourceGroupName $resourceGroup.ResourceGroupName -Name "myiotcentralapp"
$sp = Get-AzADServicePrincipal -ObjectId $app.Identity.PrincipalId
New-AzRoleAssignment -RoleDefinitionName "Azure Event Hubs Data Sender" `
  -ObjectId $sp.Id -Scope $resourceGroup.ResourceId

Aby dowiedzieć się więcej na temat przypisań ról, zobacz:

Monitorowanie kondycji aplikacji

Zestaw metryk udostępnianych przez usługę IoT Central umożliwia ocenę kondycji urządzeń połączonych z aplikacją usługi IoT Central oraz kondycję uruchomionych eksportów danych.

Uwaga

Aplikacje usługi IoT Central mają również wewnętrzny dziennik inspekcji do śledzenia aktywności w aplikacji.

Metryki są domyślnie włączone dla aplikacji usługi IoT Central i uzyskujesz do nich dostęp z witryny Azure Portal. Platforma danych usługi Azure Monitor uwidacznia te metryki i udostępnia kilka sposobów interakcji z nimi. Możesz na przykład użyć wykresów w witrynie Azure Portal, interfejsie API REST lub zapytaniach w programie PowerShell lub interfejsie wiersza polecenia platformy Azure.

Kontrola dostępu oparta na rolach platformy Azure zarządza dostępem do metryk w witrynie Azure Portal. Użyj witryny Azure Portal, aby dodać użytkowników do aplikacji usługi IoT Central/grupy zasobów/subskrypcji w celu udzielenia im dostępu. Musisz dodać użytkownika w portalu, nawet jeśli zostały już dodane do aplikacji usługi IoT Central. Użyj wbudowanych ról platformy Azure, aby uzyskać bardziej szczegółową kontrolę dostępu.

Wyświetlanie metryk w witrynie Azure Portal

Poniższa przykładowa strona Metryki przedstawia wykres liczby urządzeń połączonych z aplikacją usługi IoT Central. Aby uzyskać listę metryk, które są obecnie dostępne dla usługi IoT Central, zobacz Obsługiwane metryki za pomocą usługi Azure Monitor.

Aby wyświetlić metryki usługi IoT Central w portalu:

Przejdź do zasobu aplikacji usługi IoT Central w portalu. Domyślnie zasoby usługi IoT Central znajdują się w grupie zasobów o nazwie IOTC.
Aby utworzyć wykres na podstawie metryk aplikacji, wybierz pozycję Metryki w sekcji Monitorowanie .

Eksportowanie dzienników i metryk

Użyj strony Ustawienia diagnostyki, aby skonfigurować eksportowanie metryk i dzienników do różnych miejsc docelowych. Aby dowiedzieć się więcej, zobacz Ustawienia diagnostyczne w usłudze Azure Monitor.

Analizowanie dzienników i metryk

Użyj strony Skoroszyty, aby analizować dzienniki i tworzyć raporty wizualne. Aby dowiedzieć się więcej, zobacz Skoroszyty platformy Azure.

Metryki i faktury

Metryki mogą się różnić od liczb wyświetlanych na fakturze usługi Azure IoT Central. Taka sytuacja występuje z następujących powodów:

Standardowe plany cenowe usługi IoT Central obejmują dwa urządzenia i różne limity przydziału komunikatów bezpłatnie. Chociaż bezpłatne elementy są wykluczone z rozliczeń, nadal są one liczone w metrykach.
Usługa IoT Central automatycznie ocenia jeden identyfikator urządzenia testowego dla każdego szablonu urządzenia w aplikacji. Ten identyfikator urządzenia jest widoczny na stronie Zarządzanie urządzeniem testowym dla szablonu urządzenia. Szablony urządzeń można zweryfikować przed ich opublikowaniem, generując kod korzystający z tych identyfikatorów urządzeń testowych. Chociaż te urządzenia są wykluczone z rozliczeń, nadal są one liczone w metrykach.
Metryki mogą zawierać podzbiór komunikacji między urządzeniem i chmurą, ale cała komunikacja między urządzeniem a chmurą jest liczone jako komunikat dotyczący rozliczeń.

Monitorowanie połączonych urządzeń usługi IoT Edge

Jeśli aplikacja korzysta z urządzeń usługi IoT Edge, możesz monitorować kondycję urządzeń i modułów usługi IoT Edge przy użyciu usługi Azure Monitor. Aby dowiedzieć się więcej, zobacz Zbieranie i transport metryk usługi Azure IoT Edge.