Compartilhar via

Migrar do Azure Sphere (herdado) para o Azure Sphere (integrado)

  • Artigo

Em 27 de setembro de 2027, o Azure Sphere desativará suas interfaces de serviço herdadas, a API do Azure Sphere (herdada) (também conhecida como PAPI) e a CLI do Azure Sphere (também conhecida como azsphere). Todos os usuários do Azure Sphere (herdado) devem migrar para o Azure Sphere (integrado) antes dessa data. O Azure Sphere (Integrado) é nativo da plataforma do Azure e fornece uma substituição semelhante da interface do Azure Sphere (herdado). O Azure Sphere (Integrado) também oferece melhorias significativas em segurança (integração RBAC do Azure), usabilidade (integração do Portal do Azure) e observabilidade/alertas (integração do Azure Monitor). Para obter mais informações, consulte este blog.

Este artigo foi projetado para ajudar os administradores e as equipes de engenharia do Azure Sphere a entender e planejar a migração. Projetamos o processo de migração para permitir que você gerencie seus dispositivos do Azure Sphere no Azure Sphere (Integrado) e no Azure Sphere (Herdado) conforme necessário durante todo o projeto de migração. Além disso, seus scripts, automação e interfaces baseados em herdados podem operar ininterruptamente enquanto sua equipe de engenharia cria e testa versões atualizadas com base no Azure Sphere (integrado).

Diagrama mostrando o fluxo de trabalho de migração de alto nível

O processo de migração pode ser dividido nas seguintes áreas de trabalho:

  • Integrando o locatário herdado a um catálogo do Azure Sphere no portal do Azure
  • Migrando fluxos de trabalho interativos do usuário
  • Migrando processos e interfaces automatizados

Integrando seu locatário do Azure Sphere (herdado) a um catálogo do Azure Sphere

Esta primeira etapa no processo de migração deve ser concluída antes que qualquer outro trabalho possa começar. O recurso Integrar no portal do Azure prepara seu locatário do Azure Sphere (herdado) para ser gerenciado no ambiente do Azure em que ele se torna um catálogo do Azure Sphere. O locatário e seus recursos permanecem os mesmos, com a exceção de que agora você também pode acessá-los e gerenciá-los por meio das interfaces do usuário do Azure, incluindo o portal do Azure, a extensão do Azure Sphere para CLI do Azure e o Azure Sphere para PowerShell.

Diagrama mostrando a tela Integrar do Azure Sphere

O processo de integração executa duas etapas:

  1. Ele atribui uma ID de recurso do Azure a cada recurso no locatário, permitindo que o recurso seja gerenciado pelo Azure Resource Manager.
  2. Ele mapeia as funções de acesso de usuário de locatário herdado para funções de acesso de usuário gerenciadas pelo RBAC (Controle de Acesso Baseado em Funções) do Azure. Quando os mapeamentos de função de acesso sugeridos são exibidos durante o processo de integração, você pode aceitá-los, modificá-los ou rejeitá-los. Após a conclusão da etapa de integração, você pode modificar o acesso do usuário a qualquer momento.

Normalmente, a etapa de integração leva apenas alguns minutos e, depois de concluída, qualquer usuário que tenha recebido acesso durante a integração pode começar imediatamente a gerenciar o novo catálogo do Azure Sphere em qualquer uma das interfaces do usuário do Azure. Nenhum fluxo de trabalho existente é bloqueado pelo processo de integração e recomendamos que você faça isso em breve para que possa começar a explorar as novas interfaces e benefícios do Azure Sphere (integrados). Depois de concluído, você pode começar o restante do trabalho de migração.

Migrando fluxos de trabalho interativos do usuário

Fluxos de trabalho interativos são aqueles em que um indivíduo usa a CLI "azsphere" (ou usa um script que, por sua vez, usa a CLI "azsphere") para executar uma tarefa. Esses fluxos de trabalho interativos podem ocorrer como parte da fabricação (por exemplo, reivindicação de novos dispositivos em seu locatário), operações (por exemplo, gerenciamento de certificados relacionados ao seu locatário) ou casos de uso do desenvolvedor (por exemplo, configurar um dispositivo de desenvolvedor para não receber atualizações over-the-air).

Ao planejar a migração de seus fluxos de trabalho, você precisa considerar o treinamento de usuários, a atualização da documentação interna e, nos casos em que os scripts são usados interativamente, a atualização desses scripts. Você também pode considerar aproveitar duas melhorias importantes no Azure Sphere (Integrado): a interface simplificada do Azure Sphere no portal do Azure e o gerenciamento robusto de acesso de usuário do Azure no RBAC (Controle de Acesso Baseado em Função) do Azure.

É importante considerar se um fluxo de trabalho de usuário específico é melhor realizado em uma interface da Web do que em uma CLI. O Azure Sphere (Integrado) permite que você gerencie o catálogo no Portal do Azure e, para muitos fluxos de trabalho de usuário interativos, o Portal oferece uma experiência de usuário mais rica e simples. Por exemplo, no portal do Azure, você pode carregar e implantar imagens simultaneamente em uma única etapa, conforme mostrado abaixo.

Diagrama mostrando a tela Adicionar Imagens do Azure Sphere

Em segundo lugar, considere como você pode restringir o acesso do usuário com mais eficiência. O Azure Sphere (Integrado) dá suporte ao RBAC (Controle de Acesso Baseado em Função) do Azure, que permite um acesso de usuário muito mais robusto e refinado do que o Azure Sphere (herdado).

Diagrama mostrando a tela de configuração do RBAC do Azure

É um modelo de permissões mínimas projetado para conceder a um usuário individual acesso apenas aos recursos necessários para seu trabalho, bem como permissão para executar apenas as ações do usuário necessárias para seu trabalho. Por exemplo, em um catálogo do Azure Sphere, você pode permitir que um usuário exiba o grupo de dispositivos de produção e crie novas implantações nesse grupo de dispositivos, mas impedir especificamente que ele mova dispositivos para dentro e para fora do grupo de dispositivos ou exiba outros grupos de dispositivos no catálogo.

Se você nunca usou o RBAC do Azure antes, recomendamos aprender mais sobre os conceitos básicos do RBAC do Azure, como escopo e hierarquia de recursos, pois eles são essenciais para entender os impactos da aplicação de uma permissão de função RBAC específica a um catálogo versus ao recurso filho de um catálogo, como um grupo de dispositivos.

Para ajudar, fornecemos um exemplo de configuração de RBAC para vários usuários corporativos que ilustra algumas práticas recomendadas para RBAC para Azure Sphere. O exemplo destaca as permissões adaptadas às necessidades comuns dos usuários corporativos, incluindo engenheiros de software que produzem aplicativos para dispositivos do Azure Sphere, técnicos de OT que gerenciam frotas de dispositivos do Azure Sphere de produção e fabricantes que criam dispositivos do Azure Sphere.

Removendo o acesso do usuário ao locatário do Azure Sphere (herdado)

Depois que um fluxo de trabalho é migrado e seus usuários estão usando o Azure Sphere (Integrado) em tempo integral, é altamente recomendável remover as permissões de cada usuário do locatário herdado para eliminar o acesso não intencional. Caso contrário, um usuário pode contornar os controles de acesso refinados que você configurou no RBAC do Azure continuando a usar o Legacy. A remoção do acesso de usuário herdado também ajudará você a garantir que esses usuários possam executar com êxito todas as tarefas necessárias no Azure Sphere (integrado) e não serão afetados pela desativação herdada.

Os usuários que trabalham na conversão ou teste de processos automatizados podem precisar manter seus privilégios de acesso de locatário herdado por um período mais longo.

Migrando processos e interfaces automatizados

Além de migrar fluxos de trabalho interativos, se sua organização tiver criado processos automatizados que usam scripts do Azure Sphere (Herdado) ou interfaces do usuário com base na API do Azure Sphere (Herdado), você precisará retrabalhá-los para usar o Azure Sphere (Integrado). Para tornar o processo de migração o mais fácil possível, você pode desenvolver e testar ativamente a automação atualizada enquanto sua automação baseada em legado de produção é executada ininterruptamente. É necessário cuidado ao testar comandos que não podem ser revertidos, como reivindicar um dispositivo em um catálogo em que você não deseja que ele resida a longo prazo.

Para cada interface criada na API do Azure Sphere (Integrada), você deve criar um token de acesso do Microsoft Entra que permitirá que a interface acesse o ponto de extremidade da API. Para obter informações sobre tokens de acesso e como chamar as APIs REST do Azure, consulte a documentação de referência da API REST do Azure.

Depois de implantar os processos e interfaces automatizados atualizados na produção, você deve remover o acesso ao Azure Sphere (herdado) para as entidades de serviço usadas para autenticar sua automação e interfaces antigas baseadas em herança. A remoção de todo o acesso à entidade de serviço garante que todos os processos automatizados sejam totalmente migrados e não sejam afetados pela desativação herdada.

Desligando o acesso restante ao locatário herdado

A etapa final no processo de migração é remover qualquer acesso restante ao Azure Sphere (herdado). Hoje, os locatários do Azure Sphere (Herdado) exigem pelo menos uma conta de Administrador Herdado ativa, mesmo que o locatário tenha sido integrado ao portal do Azure. Estamos trabalhando em um recurso que permitirá que você exclua a última conta de administrador de locatário herdado, mas ele não está disponível no momento. Quando lançarmos esse recurso, anunciaremos sua disponibilidade no Azure Update.

Aproveitando os recursos disponíveis no Azure Sphere (Integrado)

Embora não seja necessário para usar o Azure Sphere (Integrado), é altamente recomendável que, como parte de seu plano de migração, você explore e aproveite os outros serviços avançados do Azure agora disponíveis para o Azure Sphere.

Um dos mais poderosos é o Azure Monitor. O Azure Monitor oferece uma variedade de recursos de monitoramento de frota, como coleta de métricas de desempenho e dados de diagnóstico e consulta de eventos em logs de atividades de dispositivos do Azure Sphere e do serviço de segurança do Azure Sphere.

Diagrama mostrando a tela do Azure Monitor

Usando dados do Azure Monitor, você pode correlacionar a integridade da frota de dispositivos com eventos que ocorrem no serviço de segurança do Azure Sphere, como o lançamento de uma nova atualização de aplicativo. Você também pode configurar alertas sobre eventos críticos, como a próxima expiração do certificado de locatário do Azure Sphere. Para obter detalhes, consulte Monitorando a integridade da frota e do dispositivo do Azure Sphere.

Primeiros passos e encontrar ajuda

É fácil começar apenas integrando seu tant do Azure Sphere (Herdado) em um catálogo do Azure Sphere (Integrado) e começando a explorar o trabalho com o Azure Sphere na CLI do Azure ou no Portal do Azure. O Azure Sphere (herdado) tem suporte total até a data de desativação de 27 de setembro de 2027. Todas as atividades de migração devem ser concluídas até essa data. Se você tiver dúvidas sobre a migração ou precisar de assistência técnica, poderá encontrar respostas de especialistas da comunidade no Microsoft Q&A ou entrar em contato com AZSPPGSUP@microsoft.com.