Implantar operações de IoT do Azure em um cluster de produção

Saiba como implantar operações de IoT do Azure em um cluster do Kubernetes com configurações seguras para produção usando o portal do Azure.

Se você implantou uma instância de teste do Azure IoT Operations em um cluster e deseja usar o mesmo cluster para cenários de produção, siga as etapas em Habilitar configurações seguras em uma instância de Operações de IoT do Azure existente.

Antes de começar

Este artigo discute as implantações e instâncias das Operações IoT do Azure, que são dois conceitos diferentes:

• Uma implantação das Operações do Azure IoT descreve todos os componentes e recursos que habilitam o cenário das Operações do Azure IoT. Esses componentes e recursos incluem:

  • Uma instância das Operações do Azure IoT
  • Extensões do Arc
  • Locais personalizados
  • Recursos que você pode configurar em sua solução de Operações do Azure IoT, como ativos, Agente MQTT e fluxos de dados.

• Uma instância das Operações do Azure IoT é o recurso pai que agrupa o pacote de serviços definidos em O que são as Operações do Azure IoT? como o Agente MQTT, os fluxos de dados e conector para OPC UA.

Quando falamos em implantar as Operações do Azure IoT, queremos dizer o conjunto completo de componentes que formam uma implantação. Depois que a implantação existir, você poderá exibir, gerenciar e atualizar a instância.

Pré-requisitos

Recursos de nuvem:

• Uma assinatura do Azure.

• Permissões de acesso do Azure. Para obter mais informações, veja Detalhes de implantação > Permissões necessárias.

Recursos de desenvolvimento:

• CLI do Azure instalada no computador de desenvolvimento. Esse cenário exige a CLI do Azure versão 2.53.0 ou superior. Use az --version para verificar sua versão e az upgrade para atualizar, se necessário. Para obter mais informações, veja Como instalar a CLI do Azure.

Um host de cluster:

• Tenha um cluster Kubernetes habilitado para Azure Arc com os recursos personalizados de localização e identidade de carga de trabalho habilitados. Se você não tiver um, siga as etapas descritas em Preparar seu cluster do Kubernetes habilitado para Azure Arc.

  Se você implantou as Operações do Azure IoT no cluster anteriormente, desinstale esses recursos antes de continuar. Para obter mais informações, veja Atualizar as Operações do Azure IoT.

• (Recomendações) Configure o emissor de autoridade de certificação antes de implantar as Operações do Azure IoT: traga seu emissor.

Implantar no portal do Azure

A experiência de implantação do portal do Azure é uma ferramenta auxiliar que gera um comando de implantação com base nos seus recursos e configuração. A etapa final é executar um comando da CLI do Azure, portanto, você ainda precisa dos pré-requisitos da CLI do Azure descritos na seção anterior.

1. Entre no portal do Azure.

2. Na caixa de pesquisa, pesquise e selecione Operações de IoT do Azure.

3. Selecione Criar.

4. Na folha Informações Básicas, forneça as seguintes informações:

   Parâmetro	Valor
   Assinatura	Selecione a assinatura que contém o cluster habilitado para Arc.
   Grupo de recursos	Selecione o grupo de recursos que contém o cluster habilitado para Arc.
   Nome do cluster	Selecione o cluster no qual você deseja implantar as Operações do Azure IoT.
   Nome do local personalizado	Opcional: substitua o nome padrão pelo local personalizado.
   Versão de implantação	Selecione a versão 1.2 (mais recente ). Para obter mais informações, consulte as versões de Operações IoT.

5. Escolha Avançar: Configuração.

6. Na guia Configuração, forneça as seguintes informações:

   Parâmetro	Valor
   Nome das Operações do Azure IoT	Opcional: substitua o nome padrão da instância das Operações do Azure IoT.
   Configuração do Agente MQTT	Opcional: edite as configurações padrão para o Agente MQTT. No portal do Azure, é possível definir as configurações de perfil de cardinalidade e memória. Para definir outras configurações, incluindo o buffer de mensagens com suporte em disco e opções avançadas do cliente MQTT, veja Suporte da CLI do Azure para a configuração avançada do Agente MQTT.
   Configuração do perfil de fluxo de dados	Opcional: edite as configurações padrão para fluxos de dados. Para obter mais informações, veja Configurar o perfil de fluxo de dados.

   

7. Selecione Avançar: Gerenciamento de dependências.

8. Na guia Gerenciamento de Dependências, selecione um registro de esquema existente ou use estas etapas para criar um:

   1. Selecione Criar.

   2. Forneça um nome do registro de esquema e um namespace do registro de esquema.

   3. Selecione Selecionar contêiner de Armazenamento do Microsoft Azure.

   4. Escolha uma conta de armazenamento na lista de contas hierárquicas habilitadas para namespace ou selecione Criar para criar uma.

      O registro de esquema requer uma conta de Armazenamento do Microsoft Azure com namespace hierárquico e acesso à rede pública habilitados. Ao criar uma nova conta de armazenamento, escolha um tipo de conta de armazenamento de Uso geral v2 e defina o namespace hierárquico como Habilitado.

      Para obter mais informações sobre como configurar sua conta de armazenamento, consulte as diretrizes de implantação de produção.

   5. Selecione um contêiner em sua conta de armazenamento ou selecione Contêiner para criar um.

   6. Selecione Aplicar para confirmar as configurações do registro de esquema.

9. As Operações de IoT do Azure usam namespaces para organizar ativos e dispositivos. Cada instância de Operações IoT do Azure usa um único namespace para seus ativos e dispositivos. Na guia Gerenciamento de dependências , selecione um namespace existente do Registro de Dispositivos do Azure ou use estas etapas para criar um:

   1. Selecione Criar.

   2. Na folha Informações Básicas, forneça as seguintes informações:

      Parâmetro	Valor
      Assinatura	Selecione sua assinatura.
      Grupo de recursos	Selecione o grupo de recursos que contém sua instância de Operações IoT do Azure.
      Nome	Forneça um nome exclusivo para o namespace.
      Região	Selecione a região do Azure para armazenar seu namespace.

      Selecione Avançar para continuar.

   3. Na guia Marcas , opcionalmente, você pode adicionar marcas ao namespace. Selecione Avançar para continuar.

   4. Na guia Examinar + criar , examine suas configurações e selecione Criar para criar o namespace.

   5. De volta à guia Gerenciamento de dependências , selecione o namespace recém-criado na lista.

10. Na guia Gerenciamento de dependências, selecione a opção de implantação Configurações seguras.

    

11. Na seção Opções de implantação, forneça as seguintes informações:

    Parâmetro	Valor
    Assinatura	Selecione a assinatura que contém o cofre de chaves do Azure.
    Azure Key Vault	Selecione um cofre de chaves do Azure ou Criar. Verifique se o seu cofre de chaves tem o controle de acesso baseado em função do Azure como o modelo de permissão. Para verificar esta configuração, selecione Gerenciar cofre selecionado>Configurações>Configuração de acesso. Lembre-se de conceder permissões à sua conta de usuário para gerenciar segredos com a função Key Vault Secrets Officer.
    Identidade gerenciada atribuída pelo usuário para segredos	Selecione uma identidade ou escolha Criar.
    Identidade gerenciada atribuída pelo usuário para componentes do AIO	Selecione uma identidade ou escolha Criar. Não use a mesma identidade gerenciada que a que você selecionou para segredos.

    

12. Selecione Avançar: Automação.

Executar comandos da CLI do Azure

A etapa final na experiência de implantação do portal do Azure é executar um conjunto de comandos da CLI do Azure para implantar operações de IoT do Azure em seu cluster. Os comandos são gerados com base nas informações fornecidas nas etapas anteriores.

Uma de cada vez, execute cada comando da CLI do Azure na guia Automação em um terminal:

1. Entre na CLI do Azure no modo interativo com um navegador, mesmo que você já tenha feito isso antes. Se você não entrar de modo interativo, poderá receber um erro informando que Seu dispositivo deverá ser gerenciado para acessar o recurso quando você continuar para a próxima etapa para implantar as Operações do Azure IoT.

   az login
   

2. Instale a extensão mais recente da CLI das Operações do Azure IoT.

   az upgrade
   az extension add --upgrade --name azure-iot-ops
   

3. Copie e execute o comando de criação do registro de esquema do az iot ops fornecido para criar um registro de esquema usado pelos componentes do Azure IoT Operations. Se você optar por usar um registro de esquema existente, esse comando não será exibido na guia Automação.

   Observação

   Esse comando exige que você tenha permissões de gravação de atribuição de função porque ele atribui uma função para conceder acesso ao registro de esquema à conta de armazenamento. Por padrão, a função é a função interna Colaborador de dados do blob de armazenamento ou você pode criar uma função personalizada com permissões restritas para atribuir. Para obter mais informações, veja az iot ops schema registry create.

4. Para preparar o cluster para a implantação do Azure IoT Operations, copie e execute o comando az iot ops init fornecido.

   Dica

   O comando init só precisa ser executado uma vez por cluster. Se você estiver reutilizando um cluster que já tinha as Operações do Azure IoT versão 0.8.0 implantado nele, ignore esta etapa.

   Esse comando pode levar vários minutos para ser concluído. Você poderá ver o andamento na exibição de progresso da implantação no terminal.

5. Implantar as Operações do Azure IoT. Copie e execute o comando az iot ops create fornecido. Esse comando pode levar vários minutos para ser concluído. Você poderá ver o andamento na exibição de progresso da implantação no terminal.

   Se você seguiu os pré-requisitos opcionais para configurar seu emissor de autoridade de certificação, adicione os parâmetros --trust-settings ao comando create:

   --trust-settings configMapName=<CONFIGMAP_NAME> configMapKey=<CONFIGMAP_KEY_WITH_PUBLICKEY_VALUE> issuerKind=<CLUSTERISSUER_OR_ISSUER> issuerName=<ISSUER_NAME>
   

6. Habilite a sincronização secreta na sua instância das Operações do Azure IoT implantada. Copie e execute o comando az iot ops secretsync enable fornecido. Esse comando:

   • Cria uma credencial de identidade federada usando a identidade gerenciada atribuída pelo usuário.
   • Adiciona uma atribuição de função à identidade gerenciada atribuída pelo usuário para acesso ao Azure Key Vault.
   • Adiciona uma classe de provedor de segredo mínima associada à instância das Operações do Azure IoT.

7. Atribua uma identidade gerenciada atribuída pelo usuário à instância das Operações do Azure IoT implantada. Copie e execute o comando az iot ops identity assign. Esse comando cria uma credencial de identidade federada usando o emissor do OIDC do cluster conectado indicado e a conta de serviço das Operações do Azure IoT.

8. Reinicie os pods do registro de esquema para aplicar a nova identidade.

   kubectl delete pods adr-schema-registry-0 adr-schema-registry-1 -n azure-iot-operations
   

9. Depois que todos os comandos da CLI do Azure forem concluídos com sucesso, você poderá fechar o assistente Instalar as Operações do Azure IoT.

Depois que o comando create for concluído com sucesso, você terá uma instância das Operações do Azure IoT em execução no cluster. Neste ponto, sua instância está configurada para cenários de produção.

Verificar implantação

Depois que a implantação for concluída, use az iot ops check para avaliar a implantação do serviço das Operações de IoT em termos de integridade, configuração e usabilidade. O check comando pode ajudá-lo a encontrar problemas em sua implantação e configuração.

az iot ops check

O comando check exibe um aviso sobre fluxos de dados ausentes, o que é normal e esperado até que você crie um fluxo de dados. Para obter mais informações, veja Processar e encaminhar dados com fluxos de dados.

Você pode verificar as configurações de mapas de tópico, QoS e rotas de mensagem adicionando o parâmetro --detail-level 2 ao comando check para obter uma exibição detalhada.

Você pode exibir todas as versões da extensão da CLI de Operações IoT do Azure que estão disponíveis executando o seguinte comando:

az iot ops get-versions

Próximas etapas

• Se seus componentes precisarem se conectar a pontos de extremidade do Azure, como SQL ou Fabric, saiba como Gerenciar segredos para sua implantação das Operações do Azure IoT.
• Para atualizar sua implantação de Operações de IoT do Azure para uma versão mais recente, consulte Atualizar operações de IoT do Azure.