Wdrażanie operacji usługi Azure IoT w klastrze produkcyjnym

Dowiedz się, jak wdrożyć operacje usługi Azure IoT w klastrze Kubernetes z bezpiecznymi ustawieniami środowiska produkcyjnego przy użyciu witryny Azure Portal.

Jeśli wdrożono wystąpienie testowe operacji usługi Azure IoT w klastrze i chcesz użyć tego samego klastra w scenariuszach produkcyjnych, wykonaj kroki opisane w temacie Włączanie bezpiecznych ustawień w istniejącym wystąpieniu operacji usługi Azure IoT.

Zanim rozpoczniesz

W tym artykule omówiono wdrożenia i wystąpienia operacji usługi Azure IoT, które są dwoma różnymi pojęciami:

• Wdrożenie operacji usługi Azure IoT opisuje wszystkie składniki i zasoby, które umożliwiają scenariusz operacji usługi Azure IoT. Te składniki i zasoby obejmują:

  • Wystąpienie operacji usługi Azure IoT
  • Rozszerzenia usługi Arc
  • Lokalizacje niestandardowe
  • Zasoby, które można skonfigurować w rozwiązaniu Azure IoT Operations, takie jak zasoby i urządzenia.

• Instancja operacji Azure IoT to nadrzędny zasób, który obejmuje zestaw usług zdefiniowanych w Co to są operacje Azure IoT?, takich jak broker MQTT, przepływy danych oraz łącznik dla OPC UA.

Kiedy mówimy o wdrażaniu operacji usługi Azure IoT, oznaczamy pełny zestaw składników tworzących wdrożenie. Po utworzeniu wdrożenia można wyświetlać wystąpienie, zarządzać nim i aktualizować je.

Wymagania wstępne

Zasoby w chmurze:

• Subskrypcja Azure.

• Uprawnienia dostępu do platformy Azure. Aby uzyskać więcej informacji, zobacz Szczegóły > wdrożenia Wymagane uprawnienia.

Zasoby do programowania:

• Interfejs wiersza polecenia platformy Azure zainstalowany na komputerze deweloperskim. Ten scenariusz wymaga interfejsu wiersza polecenia platformy Azure w wersji 2.53.0 lub nowszej. Użyj az --version polecenia , aby sprawdzić wersję i az upgrade zaktualizować w razie potrzeby. Aby uzyskać więcej informacji, zobacz Jak zainstalować interfejs wiersza polecenia platformy Azure.

Host klastra:

• Mieć klaster Kubernetes z włączoną obsługą usługi Azure Arc z włączoną funkcją lokalizacji niestandardowej i tożsamości obciążenia. Jeśli go nie masz, wykonaj kroki opisane w artykule Przygotowywanie klastra Kubernetes z obsługą usługi Azure Arc.

  Jeśli wcześniej wdrożono operacje usługi Azure IoT w klastrze, odinstaluj te zasoby przed kontynuowaniem. Aby uzyskać więcej informacji, zobacz Aktualizowanie operacji usługi Azure IoT.

• (Zalecane) Skonfiguruj własnego wystawcę urzędu certyfikacji przed wdrożeniem operacji usługi Azure IoT: Przynieś własnego wystawcę.

Wdrażanie w witrynie Azure Portal

Środowisko wdrażania witryny Azure Portal to narzędzie pomocnicze, które generuje polecenie wdrożenia na podstawie zasobów i konfiguracji. Ostatnim krokiem jest uruchomienie polecenia interfejsu wiersza polecenia platformy Azure, więc nadal potrzebujesz wymagań wstępnych interfejsu wiersza polecenia platformy Azure opisanych w poprzedniej sekcji.

1. Zaloguj się do Portalu Azure.

2. W polu wyszukiwania wyszukaj i wybierz pozycję Operacje usługi Azure IoT.

3. Wybierz pozycję Utwórz.

4. Na karcie Podstawowe podaj następujące informacje:

   Parametr	Wartość
   Subskrypcja	Wybierz subskrypcję zawierającą klaster z obsługą usługi Arc.
   Grupa zasobów	Wybierz grupę zasobów zawierającą klaster z obsługą usługi Arc.
   Nazwa klastra	Wybierz klaster, do którego chcesz wdrożyć operacje usługi Azure IoT.
   Niestandardowa nazwa lokalizacji	Opcjonalnie: Zamień domyślną nazwę niestandardowej lokalizacji.
   Wersja wdrożenia	Wybierz wersję 1.2 (najnowszą). Aby uzyskać więcej informacji, zobacz Wersje operacji IoT.

5. Wybierz pozycję Dalej: Konfiguracja.

6. Na karcie Konfiguracja podaj następujące informacje:

   Parametr	Wartość
   Nazwa operacji usługi Azure IoT	Opcjonalnie: zastąp domyślną nazwę instancji Azure IoT Operations.
   Konfiguracja brokera MQTT	Opcjonalnie: edytuj ustawienia domyślne brokera MQTT. W witrynie Azure Portal można skonfigurować ustawienia kardynalności i profilu pamięci. Aby skonfigurować inne ustawienia, w tym bufor komunikatów oparty na dysku i zaawansowane opcje klienta MQTT, zobacz Obsługa interfejsu wiersza polecenia platformy Azure dla zaawansowanej konfiguracji brokera MQTT.
   Konfiguracja profilu przepływu danych	Opcjonalnie: Edytuj ustawienia domyślne przepływów danych. Aby uzyskać więcej informacji, zobacz Konfigurowanie profilu przepływu danych.

   

7. Wybierz pozycję Dalej: Zarządzanie zależnościami.

8. Na karcie Zarządzanie zależnościami wybierz istniejący rejestr schematów lub wykonaj następujące kroki, aby je utworzyć:

   1. Wybierz pozycję Utwórz nową.

   2. Podaj nazwę rejestru schematu i przestrzeń nazw rejestru schematu.

   3. Wybierz Wybierz kontener usługi Azure Storage.

   4. Wybierz konto magazynu z listy kont z obsługą hierarchicznych przestrzeni nazw lub wybierz pozycję Utwórz , aby je utworzyć.

      Rejestr schematów wymaga konta usługi Azure Storage z włączoną hierarchiczną przestrzenią nazw i dostępem do sieci publicznej. Podczas tworzenia nowego konta magazynu wybierz typ konta magazynu ogólnego przeznaczenia w wersji 2 i ustaw hierarchiczną przestrzeń nazw na Włączone.

      Aby uzyskać więcej informacji na temat konfigurowania konta magazynu, zobacz Wytyczne dotyczące wdrażania produkcyjnego.

   5. Wybierz kontener na koncie magazynu lub wybierz pozycję Kontener , aby go utworzyć.

   6. Wybierz pozycję Zastosuj , aby potwierdzić konfiguracje rejestru schematów.

9. Operacje usługi Azure IoT używają przestrzeni nazw do organizowania zasobów i urządzeń. Każde wystąpienie operacji usługi Azure IoT używa jednej przestrzeni nazw dla swoich zasobów i urządzeń. Na karcie Zarządzanie zależnościami wybierz istniejącą przestrzeń nazw usługi Azure Device Registry lub wykonaj następujące kroki, aby je utworzyć:

   1. Wybierz pozycję Utwórz nową.

   2. Na karcie Podstawowe podaj następujące informacje:

      Parametr	Wartość
      Subskrypcja	Wybierz swoją subskrypcję.
      Grupa zasobów	Wybierz grupę zasobów zawierającą instancję Azure IoT Operations.
      Nazwa	Podaj unikatową nazwę przestrzeni nazw.
      Region	Wybierz region świadczenia usługi Azure, w którym chcesz przechowywać przestrzeń nazw.

      Wybierz przycisk Dalej, aby kontynuować.

   3. Na karcie Tagi możesz opcjonalnie dodać tagi do przestrzeni nazw. Wybierz przycisk Dalej, aby kontynuować.

   4. Na karcie Przeglądanie + tworzenie przejrzyj konfiguracje i wybierz pozycję Utwórz , aby utworzyć przestrzeń nazw.

   5. Na karcie Zarządzanie zależnościami wybierz nowo utworzoną przestrzeń nazw z listy.

10. Na karcie Zarządzanie zależnościami wybierz opcję Wdrażanie ustawień bezpiecznych .

    

11. W sekcji Opcje wdrażania podaj następujące informacje:

    Parametr	Wartość
    Subskrypcja	Wybierz subskrypcję zawierającą magazyn kluczy platformy Azure.
    Azure Key Vault	Wybierz magazyn kluczy platformy Azure lub Utwórz nowy. Upewnij się, że magazyn kluczy ma kontrolę dostępu opartą na rolach w Azure jako swój model uprawnień. Aby sprawdzić to ustawienie, wybierz pozycję Zarządzaj wybranym skarbcem>Ustawienia>Konfiguracja dostępu. Upewnij się, że przyznajesz swojemu kontu użytkownika uprawnienia do zarządzania tajemnicami z Key Vault Secrets Officer rolą.
    Tożsamość zarządzana przypisana przez użytkownika dla wpisów tajnych	Wybierz tożsamość lub wybierz pozycję Utwórz nową.
    Tożsamość zarządzana przypisana przez użytkownika dla składników AIO	Wybierz tożsamość lub wybierz pozycję Utwórz nową. Nie używaj tej samej tożsamości zarządzanej co tożsamość wybrana dla wpisów tajnych.

    

12. Wybierz pozycję Dalej: Automatyzacja.

Uruchamianie poleceń interfejsu wiersza polecenia platformy Azure

Ostatnim krokiem w środowisku wdrażania witryny Azure Portal jest uruchomienie zestawu poleceń interfejsu wiersza polecenia platformy Azure w celu wdrożenia operacji usługi Azure IoT w klastrze. Polecenia są generowane na podstawie informacji podanych w poprzednich krokach.

Pojedynczo uruchom każde polecenie Azure CLI na zakładce Automatyzacja w terminalu.

1. Zaloguj się interaktywnie do interfejsu wiersza polecenia platformy Azure przy użyciu przeglądarki, nawet jeśli wcześniej się zalogowałeś. Jeśli nie logujesz się interaktywnie, może zostać wyświetlony błąd informujący, że urządzenie jest wymagane do zarządzania dostępem do zasobu , gdy będziesz kontynuować następny krok w celu wdrożenia operacji usługi Azure IoT.

   az login
   

2. Zainstaluj najnowsze rozszerzenie interfejsu wiersza polecenia operacji usługi Azure IoT.

   az upgrade
   az extension add --upgrade --name azure-iot-ops
   

3. Skopiuj i uruchom podane polecenie az iot ops schema registry create , aby utworzyć rejestr schematów używany przez składniki operacji usługi Azure IoT. Jeśli zdecydujesz się używać istniejącego rejestru schematów, to polecenie nie jest wyświetlane na karcie Automatyzacja .

   Uwaga

   To polecenie wymaga uprawnień do zapisu przypisania roli, ponieważ przypisuje rolę w celu udzielenia dostępu rejestru schematów do konta magazynu. Domyślnie rola jest wbudowaną rolą Współautor danych obiektu blob usługi Storage, ale możesz również utworzyć rolę niestandardową z ograniczonymi uprawnieniami do przypisania jako alternatywę. Aby uzyskać więcej informacji, zobacz az iot ops schema registry create.

4. Aby przygotować klaster do wdrożenia operacji usługi Azure IoT, skopiuj i uruchom podane polecenie az iot ops init .

   Napiwek

   Polecenie init musi być uruchamiane tylko raz na klaster. Jeśli korzystasz z klastra, w którym wdrożono już operacje usługi Azure IoT w wersji 0.8.0, możesz pominąć ten krok.

   Wykonanie tego polecenia może potrwać kilka minut. Postęp wdrażania można obserwować w terminalu.

5. Wdrażanie operacji usługi Azure IoT. Skopiuj i uruchom podane polecenie az iot ops create . Wykonanie tego polecenia może potrwać kilka minut. Postęp wdrażania można obserwować w terminalu.

   Jeśli zostały spełnione opcjonalne wymagania wstępne dotyczące konfigurowania własnego wystawcy urzędu certyfikacji, dodaj --trust-settings parametry do create polecenia :

   --trust-settings configMapName=<CONFIGMAP_NAME> configMapKey=<CONFIGMAP_KEY_WITH_PUBLICKEY_VALUE> issuerKind=<CLUSTERISSUER_OR_ISSUER> issuerName=<ISSUER_NAME>
   

6. Włącz synchronizację wpisów tajnych dla wdrożonego wystąpienia operacji usługi Azure IoT. Skopiuj i uruchom podane polecenie az iot ops secretsync enable . To polecenie:

   • Tworzy poświadczenia tożsamości federacyjnej przy użyciu tożsamości zarządzanej przypisanej przez użytkownika.
   • Dodaje przypisanie roli do tożsamości zarządzanej przypisanej przez użytkownika w celu uzyskania dostępu do usługi Azure Key Vault.
   • Dodaje minimalną klasę dostawcy wpisów tajnych skojarzonych z wystąpieniem operacji usługi Azure IoT.

7. Przypisz tożsamość zarządzaną przypisaną przez użytkownika do wdrożonego wystąpienia operacji usługi Azure IoT. Skopiuj i uruchom podane polecenie az iot ops identity assign . To polecenie tworzy poświadczenia tożsamości federacyjnej przy użyciu wystawcy OIDC wskazanego połączonego klastra i konta usługi Azure IoT Operations.

8. Uruchom ponownie zasobniki rejestru schematu, aby zastosować nową tożsamość.

   kubectl delete pods adr-schema-registry-0 adr-schema-registry-1 -n azure-iot-operations
   

9. Po pomyślnym zakończeniu wszystkich poleceń Azure CLI można zamknąć kreatora Instalowanie operacji Azure IoT.

Po pomyślnym zakończeniu create działania polecenia w klastrze działa działające wystąpienie operacji usługi Azure IoT. Na tym etapie wystąpienie jest skonfigurowane dla scenariuszy produkcyjnych.

Weryfikowanie wdrożenia

Po zakończeniu wdrażania użyj polecenia az iot ops check, aby ocenić wdrożenie usługi IoT Operations pod kątem stanu, konfiguracji i użyteczności. Polecenie check może pomóc w znalezieniu problemów we wdrożeniu i konfiguracji.

az iot ops check

Polecenie check wyświetla ostrzeżenie dotyczące brakujących przepływów danych, które są normalne i oczekiwane do momentu utworzenia przepływu danych. Aby uzyskać więcej informacji, zobacz Przetwarzanie i kierowanie danych za pomocą przepływów danych.

Konfiguracje map tematów, QoS i tras komunikatów można sprawdzić, dodając --detail-level 2 parametr do check polecenia dla widoku pełnego.

Możesz wyświetlić wszystkie wersje rozszerzenia interfejsu wiersza polecenia operacji usługi Azure IoT, które są dostępne, uruchamiając następujące polecenie:

az iot ops get-versions

Następne kroki

• Jeśli twoje składniki muszą łączyć się z punktami końcowymi platformy Azure, takimi jak SQL lub Fabric, dowiedz się, jak zarządzać tajnymi danymi dla wdrożenia operacji Azure IoT.
• Aby uaktualnić wdrożenie operacji usługi Azure IoT do nowszej wersji, zobacz Uaktualnianie operacji usługi Azure IoT.