Criar e provisionar dispositivos do Azure IoT Edge em escala com um TPM no Linux

Aplica-se a:IoT Edge 1.4 checkmark IoT Edge 1.4

Importante

A versão com suporte é a IoT Edge 1.4. Se você estiver em uma versão anterior, confira Atualizar o IoT Edge.

Este artigo fornece instruções de provisionamento automático de um Azure IoT Edge de dispositivo Linux usando um Trusted Platform Module (TPM). É possível provisionar automaticamente dispositivos do Azure IoT Edge com o Serviço de provisionamento de dispositivos no Hub IoT do Azure. Se você não estiver familiarizado com o processo de provisionamento automático, reveja a visão geral de provisionamento antes de continuar.

Este artigo descreve duas metodologias. Selecione sua preferência com base na arquitetura de sua solução:

  • Provisionar automaticamente um dispositivo Linux com hardware de TPM físico. Um exemplo seria o TPM Infineon OPTIGA™ TPM SLB 9670.
  • Provisionar automaticamente uma VM (máquina virtual) do Linux com um TPM simulado em execução em um computador de desenvolvimento Windows com o Hyper-V habilitado. É recomendável usar essa metodologia apenas como um cenário de teste. Um TPM simulado não oferece a mesma segurança que um TPM físico.

As instruções são diferentes com base na metodologia, portanto, verifique se você está na guia correta no futuro.

As tarefas são as seguintes:

  1. Recuperar informações de provisionamento para o TPM.
  2. Crie um registro individual do dispositivo em uma instância do Serviço de Provisionamento de Dispositivos no Hub IoT do Azure.
  3. Instale o runtime do IoT Edge e conecte o dispositivo ao hub IoT.

Pré-requisitos

Recursos de nuvem

Requisitos do dispositivo

Um dispositivo Linux físico que será o dispositivo de Azure IoT Edge.

Se você for um fabricante de dispositivos, consulte as diretrizes sobre como integrar um TPM ao processo de fabricação.

Observação

O TPM 2.0 é necessário quando você usa o atestado do TPM com o serviço de provisionamento de dispositivos.

Ao usar um TPM, você só pode criar registros de serviço de provisionamento de dispositivos individuais, não de grupo.

Configurar seu dispositivo

Se você está usando um dispositivo Linux físico com um TPM, não há etapas adicionais para configurá-lo.

Você pode continuar.

Recuperar informações de provisionamento para o TPM

Observação

Este artigo usou anteriormente a ferramenta tpm_device_provision do SDK C da IoT para gerar informações de provisionamento. Se você já se baseou nessa ferramenta, não esqueça que as etapas abaixo geram uma ID de registro diferente para a mesma chave de endosso público. Se você precisar recriar a ID de registro como anteriormente, consulte como o SDK C gera a ferramenta tpm_device_provision. Verifique se a ID de registro da inscrição individual no DPS corresponde à ID de registro que o dispositivo IoT Edge está configurado para usar.

Nesta seção, você usará as ferramentas de software TPM2 para recuperar a chave de endosso para o TPM e gerar uma ID de registro exclusiva. Esta seção corresponde à Etapa 3: o dispositivo tem firmware e software instalados no processo para integrar um TPM ao processo de fabricação.

Instalar as ferramentas do TPM2

Entrar no dispositivo e instalar o pacote tpm2-tools.

sudo apt-get install tpm2-tools

Executar o script a seguir para ler a chave de endosso, criando uma caso ela ainda não exista.

#!/bin/sh
if [ "$USER" != "root" ]; then
  SUDO="sudo "
fi

$SUDO tpm2_readpublic -Q -c 0x81010001 -o ek.pub 2> /dev/null
if [ $? -gt 0 ]; then
  # Create the endorsement key (EK)
  $SUDO tpm2_createek -c 0x81010001 -G rsa -u ek.pub

  # Create the storage root key (SRK)
  $SUDO tpm2_createprimary -Q -C o -c srk.ctx > /dev/null

  # make the SRK persistent
  $SUDO tpm2_evictcontrol -c srk.ctx 0x81000001 > /dev/null

  # open transient handle space for the TPM
  $SUDO tpm2_flushcontext -t > /dev/null
fi

printf "Gathering the registration information...\n\nRegistration Id:\n%s\n\nEndorsement Key:\n%s\n" $(sha256sum -b ek.pub | cut -d' ' -f1 | sed -e 's/[^[:alnum:]]//g') $(base64 -w0 ek.pub)
$SUDO rm ek.pub srk.ctx 2> /dev/null

A janela de saída exibe a ID de Registro exclusiva e a Chave de Endosso do dispositivo. Copie esses valores para uso posterior quando criar um registro individual do dispositivo no serviço de provisionamento de dispositivos.

Depois que tiver a ID de registro e a chave de endosso, você estará pronto para continuar.

Dica

Se você não quiser usar as ferramentas de software TPM2 para recuperar as informações, é necessário encontrar outra maneira de obter as informações de provisionamento. A chave de endosso, que é exclusiva de cada chip do TPM, é obtida por meio do fabricante do chip do TPM associado a ela. É possível derivar uma ID de registro exclusiva para o dispositivo TPM. Por exemplo, conforme mostrado acima você pode criar um hash SHA-256 da chave de endosso.

Criar um registro de serviço de provisionamento de dispositivos

Use as informações de provisionamento do TPM para criar um registro individual no serviço de provisionamento de dispositivos.

Ao criar um registro no serviço de provisionamento de dispositivos, você tem a oportunidade de declarar um Estado Inicial do Dispositivo Gêmeo. No dispositivo gêmeo, você pode definir marcas para agrupar dispositivos segundo qualquer métrica que precisar em sua solução, como região, ambiente, local ou tipo de dispositivo. Essas marcas são usadas para criar implantações automáticas.

Dica

As etapas neste artigo são para o portal do Microsoft Azure, mas também é possível criar registros individuais usando a CLI do Azure. Para obter mais informações, confira Registro az iot dps. Como parte do comando da CLI, use o sinalizador habilitado para o Edge para especificar que o registro é para um dispositivo do IoT Edge.

  1. No Portal do Azure, navegue até sua instância do Serviço de Provisionamento de Dispositivos no Hub IoT.

  2. Em Configurações, selecione Gerenciar registros.

  3. Selecione Adicionar registro individual e conclua as seguintes etapas para configurar o registro:

    1. Em Mecanismo, selecione TPM.

    2. Forneça a Chave de endosso e a ID de Registro que você copiou da sua VM ou do dispositivo físico.

    3. Forneça uma ID para seu dispositivo se desejar. Se você não fornecer uma ID de dispositivo, a ID de registro será usada.

    4. Selecione True para declarar que a VM ou o dispositivo físico é um dispositivo do IoT Edge.

    5. Escolha o hub IoT vinculado ao qual deseja conectar o dispositivo ou selecione Vincular ao novo Hub IoT. Você pode escolher vários hubs e o dispositivo será atribuído a um deles, de acordo com a política de atribuição selecionada.

    6. Adicione um valor de marca ao estado inicial do dispositivo gêmeo se desejar. Você pode usar marcas para grupos de dispositivos de destino para a implantação do módulo. Para obter mais informações, confira Implantar módulos do IoT Edge em escala.

    7. Selecione Salvar.

Agora que existe um registro para esse dispositivo, o runtime do IoT Edge pode provisionar automaticamente o dispositivo durante a instalação.

Instalar o Edge IoT

Nesta seção, você preparará a máquina virtual do Linux ou o dispositivo físico para Azure IoT Edge. Em seguida, você instalará o IoT Edge.

Execute os comandos a seguir para adicionar o repositório de pacotes e, em seguida, adicione a chave de assinatura de pacote da Microsoft à sua lista de chaves confiáveis.

Importante

Em 30 de junho de 2022, o Stretch do SO Raspberry Pi foi retirado da lista de suporte do SO de Camada 1. Para evitar possíveis vulnerabilidades de segurança, atualize o sistema operacional host para o Bullseye.

A instalação pode ser feita com alguns comandos. Abra um terminal e execute os seguintes comandos:

  • 22.04:

    wget https://packages.microsoft.com/config/ubuntu/22.04/packages-microsoft-prod.deb -O packages-microsoft-prod.deb
    sudo dpkg -i packages-microsoft-prod.deb
    rm packages-microsoft-prod.deb
    
  • 20.04:

    wget https://packages.microsoft.com/config/ubuntu/20.04/packages-microsoft-prod.deb -O packages-microsoft-prod.deb
    sudo dpkg -i packages-microsoft-prod.deb
    rm packages-microsoft-prod.deb
    

Para obter mais informações sobre versões do sistema operacional, consulte Plataformas com suporte do Azure IoT Edge.

Observação

Os pacotes de software do Azure IoT Edge estão sujeitos aos termos de licença localizados em cada pacote (usr/share/doc/{package-name} ou o diretório LICENSE). Leia os termos da licença antes de usar o pacote. A instalação e o uso do pacote constitui a aceitação desses termos. Se você não concorda com os termos de licença, não utilize o pacote.

Instalar um mecanismo de contêiner

O Azure IoT Edge depende de um runtime de contêiner compatível com OCI. Em cenários de produção, recomendamos o uso do mecanismo Moby. O mecanismo Moby é o único mecanismo de contêiner com suporte oficial do Azure IoT Edge. Imagens de contêiner do docker CE/EE são compatíveis com o runtime Moby.

Instale o mecanismo de Moby.

sudo apt-get update; \
  sudo apt-get install moby-engine

Por padrão, o mecanismo de contêiner Moby não define limites de tamanho de log de contêiner. Com o tempo, isso pode levar ao dispositivo que está se enchendo com os logs e ficando sem espaço em disco. No entanto, você pode configurar seu log para ser exibido localmente, embora seja opcional. Para saber mais sobre a configuração de log, confira Lista de verificação de implantação em produção.

As etapas a seguir mostram como configurar o contêiner para usar local o driver de log como o mecanismo de log.

  1. Crie (se o arquivo ainda não estiver lá) ou abra o arquivo de configuração do daemon do Docker em /etc/docker/daemon.json.

  2. Defina o driver de log padrão para o driver de log local, conforme mostrado no exemplo abaixo.

       {
          "log-driver": "local"
       }
    
  3. Reinicie o mecanismo de contêiner para que as alterações entrem em vigor.

    sudo systemctl restart docker
    

    Dica

    Se receber erros ao instalar o mecanismo de contêiner Moby, verifique a compatibilidade de kernel Linux com Moby. Alguns fabricantes de dispositivos inseridos fornecem imagens de dispositivos que contêm kernels Linux personalizados sem os recursos necessários para compatibilidade com mecanismos de contêiner. Execute o seguinte comando, que usa o script check-config fornecido pelo Moby, para verificar a configuração do kernel:

    curl -ssl https://raw.githubusercontent.com/moby/moby/master/contrib/check-config.sh -o check-config.sh
    chmod +x check-config.sh
    ./check-config.sh
    

    Na saída do script, verifique se todos os itens em Generally Necessary e Network Drivers estão habilitados. Se algum recurso estiver faltando, habilite-o recompilando o kernel da fonte e selecionando os módulos associados para inclusão no .config do kernel adequado. De maneira semelhante, se estiver usando um gerador de configuração de kernel como defconfig ou menuconfig, localize e habilite os respectivos recursos e recompile o kernel. Após a implantação do kernel recém-modificado, execute o script check-config novamente para verificar se todos os recursos necessários foram habilitados com êxito.

Instalar o runtime do Azure IoT Edge

O serviço do IoT Edge fornece e mantém padrões de segurança no dispositivo IoT Edge. O serviço é iniciado a cada inicialização e inicializa o dispositivo iniciando o restante do runtime do IoT Edge.

As etapas nesta seção representam o processo típico para instalar a versão mais recente do IoT Edge em um dispositivo que tenha conexão com a Internet. Se precisar instalar uma versão específica, como uma versão de pré-lançamento, ou precisar instalar enquanto estiver offline, siga as etapas de Instalação offline ou de versão específica mais adiante neste artigo.

Dica

Se você já tem um dispositivo IoT Edge executando uma versão mais antiga e quer atualizar para a versão mais recente, siga as etapas em Atualizar o daemon de segurança e o runtime do IoT Edge. As versões posteriores são diferentes o bastante das versões anteriores do IoT Edge para que etapas específicas sejam necessárias para a atualização.

Instale a versão mais recente do IoT Edge e o pacote de serviço de identidade da IoT (se você ainda não estiver atualizado):

  • 22.04:

    sudo apt-get update; \
       sudo apt-get install aziot-edge
    
  • 20.04:

    sudo apt-get update; \
       sudo apt-get install aziot-edge defender-iot-micro-agent-edge
    

O pacote opcional defender-iot-micro-agent-edge inclui o microagente de segurança Microsoft Defender para IoT que fornece visibilidade de ponto de extremidade sobre gerenciamento de postura de segurança, vulnerabilidades, detecção de ameaças, gerenciamento de frota e muito mais para ajudá-lo a proteger seus dispositivos IoT Edge. É recomendável instalar o micro agente com o agente do Edge para habilitar o monitoramento de segurança e a proteção de seus dispositivos do Edge. Para saber mais sobre o Microsoft Defender para IoT, consulte O que é o Microsoft Defender para IoT para compiladores de dispositivos.

Provisionar o dispositivo com a identidade de nuvem dele

Depois que o runtime for instalado no dispositivo, configure o dispositivo com as informações usadas para se conectar ao serviço de provisionamento de dispositivos e ao Hub IoT do Azure.

  1. Conheça o escopo da ID do serviço de provisionamento de dispositivos e a ID de registro do dispositivo que foram coletados anteriormente.

  2. Crie um arquivo de configuração no dispositivo com base em um arquivo de modelo fornecido como parte da instalação do Azure IoT Edge.

    sudo cp /etc/aziot/config.toml.edge.template /etc/aziot/config.toml
    
  3. Abra o arquivo de configuração no dispositivo do IoT Edge.

    sudo nano /etc/aziot/config.toml
    
  4. Localize a seção de configurações de provisionamento do arquivo. Remova a marca de comentário das linhas de provisionamento do TPM e verifique se todas as outras linhas de provisionamento estão com a marca de comentário.

    # DPS provisioning with TPM
    [provisioning]
    source = "dps"
    global_endpoint = "https://global.azure-devices-provisioning.net"
    id_scope = "SCOPE_ID_HERE"
    
    # Uncomment to send a custom payload during DPS registration
    # payload = { uri = "PATH_TO_JSON_FILE" }
    
    [provisioning.attestation]
    method = "tpm"
    registration_id = "REGISTRATION_ID_HERE"
    
    # auto_reprovisioning_mode = Dynamic
    
  5. Atualize os valores de id_scope e registration_id com as informações do dispositivo e do serviço de provisionamento de dispositivos. O valor scope_id é o escopo de ID da página de visão geral da instância do serviço de provisionamento de dispositivos.

  6. Opcionalmente, localize a seção modo de reprovisionamento automático do arquivo. Use o parâmetro auto_reprovisioning_mode para configurar o comportamento de reprovisionamento do seu dispositivo. Dinâmico - Reprovisionar quando o dispositivo detectar que ele pode ter sido movido de um Hub IoT para outro. Esse é o padrão. AlwaysOnStartup – Reprovisionar quando o dispositivo é reinicializado ou uma falha faz com que o daemon seja reiniciado. OnErrorOnly – Nunca dispare o reprovisionamento de dispositivo automaticamente. Cada modo terá um fallback de reprovisionamento de dispositivo implícito se o dispositivo não puder se conectar ao Hub IoT durante o provisionamento de identidade devido a erros de conectividade. Para obter mais informações, confira Conceitos de reprovisionamento de dispositivo do Hub IoT.

  7. Opcionalmente, remova a marca de comentário do parâmetro payload para especificar o caminho para um arquivo JSON local. O conteúdo do arquivo será enviado ao DPS como dados adicionais quando o dispositivo se registrar. Isso é útil para alocação personalizada. Por exemplo, se você desejar alocar seus dispositivos com base em uma ID do modelo de IoT Plug and Play sem intervenção humana.

  8. Salve e feche o arquivo.

Conceder acesso de IoT Edge no TPM

O runtime do IoT Edge depende de um serviço TPM que intermedia o acesso ao TPM de um dispositivo. O serviço precisa acessar o TPM para provisionar automaticamente o seu dispositivo.

Você pode conceder acesso ao TPM, substituindo as configurações do systemd, de modo que o serviço aziottpm tenha privilégios de raiz. Se você não deseja elevar os privilégios de serviço, você também pode usar as etapas a seguir para fornecer manualmente o acesso TPM.

  1. Crie uma nova regra que dará ao runtime do IoT Edge acesso a tpm0 e tpmrm0.

    sudo touch /etc/udev/rules.d/tpmaccess.rules
    
  2. Abra o arquivo de regras.

    sudo nano /etc/udev/rules.d/tpmaccess.rules
    
  3. Copie as seguintes informações de acesso para o arquivo de regras. O tpmrm0 pode não estar presente em dispositivos que usam um kernel anterior a 4.12. Dispositivos que não têm tpmrm0 ignorarão com segurança essa regra.

    # allow aziottpm access to tpm0 and tpmrm0
    KERNEL=="tpm0", SUBSYSTEM=="tpm", OWNER="aziottpm", MODE="0660"
    KERNEL=="tpmrm0", SUBSYSTEM=="tpmrm", OWNER="aziottpm", MODE="0660"
    
  4. Salve e feche o arquivo.

  5. Dispare o sistema udev para avaliar a nova regra.

    /bin/udevadm trigger --subsystem-match=tpm --subsystem-match=tpmrm
    
  6. Verifique se a regra foi aplicada com êxito.

    ls -l /dev/tpm*
    

    A saída de sucesso é exibida da seguinte maneira:

    crw-rw---- 1 root aziottpm 10, 224 Jul 20 16:27 /dev/tpm0
    crw-rw---- 1 root aziottpm 10, 224 Jul 20 16:27 /dev/tpmrm0
    

    Se você não vir que as permissões corretas foram aplicadas, tente reinicializar o computador para atualizar udev.

  7. Aplique as alterações de configuração feitas no dispositivo.

    sudo iotedge config apply
    

Verifique se a instalação bem-sucedida

Se você ainda não fez isso, aplique as alterações de configuração feitas no dispositivo.

sudo iotedge config apply

Verifique se o runtime do IoT Edge está sendo executado.

sudo iotedge system status

Examine os logs do daemon.

sudo iotedge system logs

Se você vê erros de provisionamento, é possível que as alterações de configuração ainda não entraram em vigor. Tente reiniciar o daemon do IoT Edge.

sudo systemctl daemon-reload

Ou tente reiniciar a VM para ver se as alterações entram em vigor em um novo início.

Se o runtime foi iniciado com êxito, é possível entrar no hub IoT e ver que o novo dispositivo foi provisionado automaticamente. Agora seu dispositivo está pronto para executar os módulos do IoT Edge.

Módulos de execução da lista.

iotedge list

Você pode verificar se o registro individual criado no serviço de provisionamento de dispositivos foi usado. No portal do Azure, acesse a instância do serviço de provisionamento de dispositivos. Abra os detalhes de registro para o registro individual que você criou. Observe que o status do registro é atribuído e a ID do dispositivo está listada.

Próximas etapas

O processo de registro do serviço de provisionamento de dispositivos permite definir a ID do dispositivo e as marcas do dispositivo gêmeo ao mesmo tempo quando você provisiona o novo dispositivo. Você pode usar esses valores e o gerenciamento automático de dispositivos para direcionar a dispositivos individuais ou grupos de dispositivos.

Saiba como implantar e monitorar os módulos de IoT Edge em escala usando o portal do Azure ou a CLI do Azure.