Crie e provisione dispositivos IoT Edge em escala no Linux usando chave simétrica

Artigo
04/11/2024

Aplica-se a: IoT Edge 1.4

Importante

O IoT Edge 1.4 é a versão suportada. Se tiver uma versão anterior, consulte Atualizar IoT Edge.

Este artigo fornece instruções completas para o provisionamento automático de um ou mais dispositivos Linux IoT Edge usando chaves simétricas. Você pode provisionar automaticamente dispositivos do Azure IoT Edge com o serviço de provisionamento de dispositivo (DPS) do Hub IoT do Azure. Se você não estiver familiarizado com o processo de provisionamento automático, revise a visão geral do provisionamento antes de continuar.

As tarefas são as seguintes:

Crie um registro individual para um único dispositivo ou um registro de grupo para um conjunto de dispositivos.
Instale o tempo de execução do IoT Edge e conecte-se ao Hub IoT.

Gorjeta

Para obter uma experiência simplificada, experimente a ferramenta de configuração do Azure IoT Edge. Essa ferramenta de linha de comando, atualmente em visualização pública, instala o IoT Edge em seu dispositivo e o provisiona usando DPS e atestado de chave simétrica.

O atestado de chave simétrica é uma abordagem simples para autenticar um dispositivo com uma instância de serviço de provisionamento de dispositivo. Esse método de atestado representa uma experiência de "Olá mundo" para desenvolvedores que são novos no provisionamento de dispositivos ou não têm requisitos de segurança rigorosos. O atestado de dispositivo usando um certificado TPM ou X.509 é mais seguro e deve ser usado para requisitos de segurança mais rigorosos.

Pré-requisitos

Recursos na nuvem

Um hub IoT ativo
Uma instância do serviço de provisionamento de dispositivo do Hub IoT no Azure, vinculada ao seu hub IoT
- Se você não tiver uma instância de serviço de provisionamento de dispositivo, poderá seguir as instruções nas seções Criar um novo serviço de provisionamento de dispositivo do Hub IoT e Vincular o hub IoT e o serviço de provisionamento de dispositivo do início rápido do serviço de provisionamento de dispositivos do Hub IoT.
- Depois de executar o serviço de provisionamento de dispositivo, copie o valor de ID Scope da página de visão geral. Você usa esse valor ao configurar o tempo de execução do IoT Edge.

Requisitos do dispositivo

Um dispositivo Linux físico ou virtual para ser o dispositivo IoT Edge.

Você precisará definir um ID de registro exclusivopara identificar cada dispositivo. Você pode usar o endereço MAC, número de série ou qualquer informação exclusiva do dispositivo. Por exemplo, você pode usar uma combinação de um endereço MAC e um número de série formando a seguinte cadeia de caracteres para uma ID de registro: sn-007-888-abc-mac-a1-b2-c3-d4-e5-f6. Os caracteres válidos são alfanuméricos minúsculos e travessão (-).

Criar um registro DPS

Crie um registro para provisionar um ou mais dispositivos por meio do DPS.

Se você deseja provisionar um único dispositivo IoT Edge, crie um registro individual. Se você precisar de vários dispositivos provisionados, siga as etapas para criar um registro de grupo DPS.

Ao criar um registro no DPS, você tem a oportunidade de declarar um estado gêmeo inicial do dispositivo. No gêmeo de dispositivo, você pode definir tags para agrupar dispositivos por qualquer métrica necessária em sua solução, como região, ambiente, local ou tipo de dispositivo. Essas tags são usadas para criar implantações automáticas.

Para obter mais informações sobre inscrições no serviço de provisionamento de dispositivos, consulte Como gerenciar registros de dispositivos.

Inscrição individual
Inscrição em grupo

Criar uma inscrição individual do DPS

Gorjeta

As etapas neste artigo são para o portal do Azure, mas você também pode criar inscrições individuais usando a CLI do Azure. Para obter mais informações, consulte az iot dps enrollment. Como parte do comando CLI, use o sinalizador habilitado para borda para especificar que o registro é para um dispositivo IoT Edge.

No portal do Azure, navegue até sua instância do serviço de provisionamento de dispositivo do Hub IoT.
Em Configurações, selecione Gerenciar inscrições.
Selecione Adicionar inscrição individual e conclua as seguintes etapas para configurar o registro:
1. Em Mecanismo, selecione Chave simétrica.
2. Forneça um ID de registo exclusivo para o seu dispositivo.
3. Opcionalmente, forneça um ID de dispositivo do Hub IoT para o seu dispositivo. Você pode usar IDs de dispositivo para direcionar um dispositivo individual para implantação de módulo. Se você não fornecer um ID de dispositivo, o ID de registro será usado.
4. Selecione True para declarar que o registro é para um dispositivo IoT Edge.
5. Opcionalmente, adicione um valor de tag ao estado gêmeo inicial do dispositivo. Você pode usar tags para segmentar grupos de dispositivos para implantação de módulos. Por exemplo:
```
{
   "tags": {
      "environment": "test"
   },
   "properties": {
      "desired": {}
   }
}
```
6. Selecione Guardar.
Copie o valor da Chave Primária do registro individual para usar ao instalar o tempo de execução do IoT Edge.

Agora que existe um registro para esse dispositivo, o tempo de execução do IoT Edge pode provisionar automaticamente o dispositivo durante a instalação.

Criar um registro de grupo DPS

Gorjeta

As etapas neste artigo são para o portal do Azure, mas você também pode criar inscrições de grupo usando a CLI do Azure. Para obter mais informações, consulte az iot dps enrollment-group. Como parte do comando CLI, use o sinalizador habilitado para borda para especificar que o registro é para dispositivos IoT Edge. Para um registro de grupo, todos os dispositivos devem ser dispositivos IoT Edge ou nenhum deles pode ser.

No portal do Azure, navegue até sua instância do serviço de provisionamento de dispositivo do Hub IoT.
Em Configurações, selecione Gerenciar inscrições.
Selecione Adicionar inscrição individual e conclua as seguintes etapas para configurar o registro:
1. Forneça um nome de grupo.
2. Selecione Chave simétrica como o tipo de atestado.
3. Selecione True para declarar que o registro é para um dispositivo IoT Edge. Para um registro de grupo, todos os dispositivos devem ser dispositivos IoT Edge ou nenhum deles pode ser.
4. Opcionalmente, adicione um valor de tag ao estado gêmeo inicial do dispositivo. Você pode usar tags para segmentar grupos de dispositivos para implantação de módulos. Por exemplo:
```
{
   "tags": {
      "environment": "test"
   },
   "properties": {
      "desired": {}
   }
}
```
5. Selecione Guardar.
Copie o valor da Chave Primária do seu grupo de inscrição para usar ao criar chaves de dispositivo para uso com um registro de grupo.

Agora que existe um grupo de registro, o tempo de execução do IoT Edge pode provisionar dispositivos automaticamente durante a instalação.

Derivar uma chave de dispositivo

Cada dispositivo provisionado como parte de um registro de grupo precisa de uma chave de dispositivo derivada para executar o atestado de chave simétrica com o registro durante o provisionamento.

Para gerar uma chave de dispositivo, use a chave que você copiou do seu grupo de registro DPS para calcular um HMAC-SHA256 do ID de registro exclusivo para o dispositivo e converter o resultado no formato Base64.

Importante

Não inclua a chave primária ou secundária do seu registro no código do dispositivo.

No Windows, você pode usar o PowerShell para gerar sua chave de dispositivo derivada, conforme mostrado no exemplo a seguir.

Substitua o valor de KEY pela Chave Primária que você anotou anteriormente.

Substitua o valor de REG_ID pelo ID de registo do dispositivo.

$KEY='PASTE_YOUR_ENROLLMENT_KEY_HERE'
$REG_ID='PASTE_YOUR_REGISTRATION_ID_HERE'

$hmacsha256 = New-Object System.Security.Cryptography.HMACSHA256
$hmacsha256.key = [Convert]::FromBase64String($KEY)
$sig = $hmacsha256.ComputeHash([Text.Encoding]::ASCII.GetBytes($REG_ID))
$derivedkey = [Convert]::ToBase64String($sig)
echo "`n$derivedkey`n"

Abaixo está uma saída de exemplo de uma chave de dispositivo derivada:

Jsm0lyGpjaVYVP2g3FnmnmG9dI/9qU24wNoykUmermc=

Instalar o IoT Edge

Nesta seção, você prepara sua máquina virtual Linux ou dispositivo físico para o IoT Edge. Em seguida, instale o IoT Edge.

Execute os seguintes comandos para adicionar o repositório de pacotes e, em seguida, adicione a chave de assinatura do pacote Microsoft à sua lista de chaves confiáveis.

Importante

Em 30 de junho de 2022, o Raspberry Pi OS Stretch foi retirado da lista de suporte do Tier 1 OS. Para evitar possíveis vulnerabilidades de segurança, atualize seu sistema operacional host para Bullseye.

A instalação pode ser feita com alguns comandos. Abra um terminal e execute os seguintes comandos:

22.04:

wget https://packages.microsoft.com/config/ubuntu/22.04/packages-microsoft-prod.deb -O packages-microsoft-prod.deb
sudo dpkg -i packages-microsoft-prod.deb
rm packages-microsoft-prod.deb

20.04:

wget https://packages.microsoft.com/config/ubuntu/20.04/packages-microsoft-prod.deb -O packages-microsoft-prod.deb
sudo dpkg -i packages-microsoft-prod.deb
rm packages-microsoft-prod.deb

A instalação com APT pode ser feita com alguns comandos. Abra um terminal e execute os seguintes comandos:

11 - Olho de boi (arm32v7):

curl https://packages.microsoft.com/config/debian/11/packages-microsoft-prod.deb > ./packages-microsoft-prod.deb
sudo apt install ./packages-microsoft-prod.deb

Gorjeta

Se você deu à conta "root" uma senha durante a instalação do sistema operacional, você não precisará de 'sudo' e pode executar o comando acima começando com 'apt'.

A instalação pode ser feita com alguns comandos. Abra um terminal e execute os seguintes comandos:

9.x (AMD64):

  wget https://packages.microsoft.com/config/rhel/9.0/packages-microsoft-prod.rpm -O packages-microsoft-prod.rpm
  sudo yum localinstall packages-microsoft-prod.rpm
  rm packages-microsoft-prod.rpm

8.x (AMD64):

  wget https://packages.microsoft.com/config/rhel/8/packages-microsoft-prod.rpm -O packages-microsoft-prod.rpm
  sudo yum localinstall packages-microsoft-prod.rpm
  rm packages-microsoft-prod.rpm

Para obter mais informações sobre versões do sistema operacional, consulte Plataformas com suporte do Azure IoT Edge.

Nota

Os pacotes de software do Azure IoT Edge estão sujeitos aos termos de licença localizados em cada pacote (usr/share/doc/{package-name} ou no LICENSE diretório). Leia os termos de licença antes de usar um pacote. A sua instalação e utilização de um pacote constitui a sua aceitação destes termos. Se você não concorda com os termos da licença, não use esse pacote.

Instalar um mecanismo de contêiner

O Azure IoT Edge depende de um tempo de execução de contêiner compatível com OCI. Para cenários de produção, recomendamos que você use o mecanismo Moby. O mecanismo Moby é o único mecanismo de contêiner oficialmente suportado com o IoT Edge. As imagens de contêiner do Docker CE/EE são compatíveis com o tempo de execução do Moby.

Instale o motor Moby.

sudo apt-get update; \
  sudo apt-get install moby-engine

Instale o motor Moby.

sudo apt-get update; \
  sudo apt-get install moby-engine

Instale o motor Moby e a CLI.

sudo yum install moby-engine moby-cli

Gorjeta

Se você receber erros ao instalar o mecanismo de contêiner Moby, verifique se o kernel Linux é compatível com Moby. Alguns fabricantes de dispositivos incorporados enviam imagens de dispositivos que contêm kernels Linux personalizados sem os recursos necessários para a compatibilidade do mecanismo de contêiner. Execute o seguinte comando, que usa o script check-config fornecido pelo Moby, para verificar a configuração do kernel:

curl -ssl https://raw.githubusercontent.com/moby/moby/master/contrib/check-config.sh -o check-config.sh
chmod +x check-config.sh
./check-config.sh

Na saída do script, verifique se todos os itens em Generally Necessary e Network Drivers estão habilitados. Se você estiver faltando recursos, habilite-os reconstruindo seu kernel a partir do código-fonte e selecionando os módulos associados para inclusão no .config do kernel apropriado. Da mesma forma, se você estiver usando um gerador de configuração do kernel como defconfig ou menuconfig, encontre e habilite os respetivos recursos e reconstrua seu kernel de acordo. Depois de implantar seu kernel recém-modificado, execute o script check-config novamente para verificar se todos os recursos necessários foram habilitados com êxito.

O IoT Edge tem dependências do Docker e do IoT Identity Service. Instale as dependências usando os seguintes comandos:

sudo snap install docker
sudo snap install azure-iot-identity

Por padrão, o mecanismo de contêiner não define limites de tamanho de log de contêiner. Ao longo do tempo, isto pode fazer com que o dispositivo seja preenchido com registos e fique sem espaço em disco. No entanto, você pode configurar seu log para ser exibido localmente, embora seja opcional. Para saber mais sobre a configuração de log, consulte Lista de verificação de implantação de produção.

As etapas a seguir mostram como configurar seu contêiner para usar local o driver de log como o mecanismo de log.

Ubuntu / Debian / RHEL
Snaps do Ubuntu Core

Criar ou editar o arquivo de configuração do daemon Docker existente
```
sudo nano /etc/docker/daemon.json
```
Defina o driver de log padrão para o local driver de log, conforme mostrado no exemplo.
```
   {
      "log-driver": "local"
   }
```
Reinicie o mecanismo de contêiner para que as alterações entrem em vigor.
```
sudo systemctl restart docker
```

Instalar o runtime do IoT Edge

O serviço IoT Edge fornece e mantém padrões de segurança no dispositivo IoT Edge. O serviço é iniciado em cada inicialização e inicializa o dispositivo iniciando o restante do tempo de execução do IoT Edge.

Nota

A partir da versão 1.2, o serviço de identidade IoT lida com o provisionamento e o gerenciamento de identidade para o IoT Edge e para outros componentes de dispositivo que precisam se comunicar com o Hub IoT.

As etapas nesta seção representam o processo típico para instalar a versão mais recente do IoT Edge em um dispositivo com conexão com a Internet. Se você precisar instalar uma versão específica, como uma versão de pré-lançamento, ou precisar instalar offline, siga as etapas de instalação Offline ou versão específica mais adiante neste artigo.

Gorjeta

Se você já tiver um dispositivo IoT Edge executando uma versão mais antiga e quiser atualizar para a versão mais recente, use as etapas em Atualizar o daemon de segurança e o tempo de execução do IoT Edge. As versões posteriores são suficientemente diferentes das versões anteriores do IoT Edge para que etapas específicas sejam necessárias para atualizar.

Instale a versão mais recente do IoT Edge e o pacote de serviço de identidade IoT (se ainda não estiver atualizado):

22.04:

sudo apt-get update; \
   sudo apt-get install aziot-edge

20.04:

sudo apt-get update; \
   sudo apt-get install aziot-edge defender-iot-micro-agent-edge

O pacote opcional defender-iot-micro-agent-edge inclui o microagente de segurança Microsoft Defender for IoT, que fornece visibilidade de ponto final sobre gerenciamento de postura de segurança, vulnerabilidades, deteção de ameaças, gerenciamento de frota e muito mais para ajudá-lo a proteger seus dispositivos IoT Edge. É recomendável instalar o microagente com o agente Edge para habilitar o monitoramento de segurança e a proteção de seus dispositivos Edge. Para saber mais sobre o Microsoft Defender para IoT, consulte O que é o Microsoft Defender para IoT para construtores de dispositivos.

Instale a versão mais recente do IoT Edge e o pacote de serviço de identidade IoT (se ainda não estiver atualizado):

sudo apt-get update; \
  sudo apt-get install aziot-edge defender-iot-micro-agent-edge

O pacote opcional defender-iot-micro-agent-edge inclui o microagente de segurança Microsoft Defender for IoT, que fornece visibilidade de endpoint para gerenciamento de postura de segurança, vulnerabilidades, deteção de ameaças, gerenciamento de frota e muito mais para ajudá-lo a proteger seus dispositivos IoT Edge. É recomendável instalar o microagente com o agente Edge para habilitar o monitoramento de segurança e a proteção de seus dispositivos Edge. Para saber mais sobre o Microsoft Defender para IoT, consulte O que é o Microsoft Defender para IoT para construtores de dispositivos.

Instale a versão mais recente do IoT Edge e o pacote de serviço de identidade IoT (se ainda não estiver atualizado):

sudo yum install aziot-edge

Instale o IoT Edge a partir do snap store:

sudo snap install azure-iot-edge

Conectar snaps

Por padrão, os snaps são livres de dependência, não confiáveis e estritamente confinados. Assim, os snaps devem ser conectados a outros snaps e recursos do sistema após a instalação. Use os comandos a seguir para conectar o IoT Identity Service e os snaps do IoT Edge entre si e aos recursos do sistema. Para começar, os snaps precisam ser conectados manualmente. Para implantações de produção, eles podem ser configurados para se conectar automaticamente para reduzir a carga de trabalho de provisionamento.

#------------------------
#  IoT Identity Service
#------------------------

# Connect the Identity Service snap to the logging system
# and grant permission to query system info

sudo snap connect azure-iot-identity:log-observe
sudo snap connect azure-iot-identity:mount-observe
sudo snap connect azure-iot-identity:system-observe
sudo snap connect azure-iot-identity:hostname-control

# If using a TPM, enable TPM access

sudo snap connect azure-iot-identity:tpm

#------------
#  IoT Edge
#------------

# Connect to your /home directory to enable writing support bundles

sudo snap connect azure-iot-edge:home

# Connect to logging and grant permission to query system info

sudo snap connect azure-iot-edge:log-observe
sudo snap connect azure-iot-edge:mount-observe
sudo snap connect azure-iot-edge:system-observe
sudo snap connect azure-iot-edge:hostname-control
# Allow IoT Edge to connect to the /var/run/iotedge folder and use sockets

sudo snap connect azure-iot-edge:run-iotedge

# Connect IoT Edge to Docker

sudo snap connect azure-iot-edge:docker docker:docker-daemon

Provisionar o dispositivo com sua identidade na nuvem

Depois que o tempo de execução estiver instalado em seu dispositivo, configure o dispositivo com as informações que ele usa para se conectar ao serviço de provisionamento do dispositivo e ao Hub IoT.

Tenha as seguintes informações prontas:

O valor DPS ID Scope
O ID de registo do dispositivo que criou
A Chave Primária de um registro individual ou uma chave derivada para dispositivos que usam um registro de grupo.

Crie um arquivo de configuração para seu dispositivo com base em um arquivo de modelo fornecido como parte da instalação do IoT Edge.

Ubuntu / Debian / RHEL
Snaps do Ubuntu Core

sudo cp /etc/aziot/config.toml.edge.template /etc/aziot/config.toml

Abra o arquivo de configuração no dispositivo IoT Edge.

sudo nano /etc/aziot/config.toml

Se estiver usando uma instalação instantânea do IoT Edge, o arquivo de modelo estará localizado em /snap/azure-iot-edge/current/etc/aziot/config.toml.edge.template. Crie uma cópia do arquivo de modelo em seu diretório inicial e nomeie-o config.toml. Por exemplo:

cp /snap/azure-iot-edge/current/etc/aziot/config.toml.edge.template ~/config.toml

Abra o arquivo de configuração em seu diretório inicial no dispositivo IoT Edge.

nano ~/config.toml

Encontre a seção Provisionamento do arquivo. Descomente as linhas para provisionamento de DPS com chave simétrica e certifique-se de que todas as outras linhas de provisionamento sejam comentadas.

# DPS provisioning with symmetric key
[provisioning]
source = "dps"
global_endpoint = "https://global.azure-devices-provisioning.net"
id_scope = "PASTE_YOUR_SCOPE_ID_HERE"

# Uncomment to send a custom payload during DPS registration
# payload = { uri = "PATH_TO_JSON_FILE" }

[provisioning.attestation]
method = "symmetric_key"
registration_id = "PASTE_YOUR_REGISTRATION_ID_HERE"

symmetric_key = { value = "PASTE_YOUR_PRIMARY_KEY_OR_DERIVED_KEY_HERE" }

# auto_reprovisioning_mode = Dynamic

Atualize os valores de , registration_ide com o DPS e symmetric_key as informações do id_scopedispositivo.

O parâmetro de chave simétrica pode aceitar um valor de uma chave embutida, um URI de arquivo ou um URI PKCS#11. Descomente apenas uma linha de chave simétrica, com base no formato que você está usando. Ao usar uma chave embutida, use uma chave codificada em base64 como o exemplo. Ao usar um URI de arquivo, seu arquivo deve conter os bytes brutos da chave.

Se você usar qualquer URI PKCS#11, localize a seção PKCS#11 no arquivo de configuração e forneça informações sobre sua configuração PKCS#11.

Para obter mais informações sobre definições de configuração de provisionamento, consulte Definir configurações de dispositivo do IoT Edge.
Opcionalmente, localize a seção do modo de reprovisionamento automático do arquivo. Use o parâmetro para configurar o auto_reprovisioning_mode comportamento de reprovisionamento do dispositivo. Dinâmico - Reprovisionamento quando o dispositivo deteta que pode ter sido movido de um Hub IoT para outro. Esta é a predefinição. AlwaysOnStartup - Reprovisionamento quando o dispositivo é reinicializado ou uma falha faz com que os daemons sejam reiniciados. OnErrorOnly - Nunca acione o reprovisionamento de dispositivos automaticamente. Cada modo tem um fallback de reprovisionamento de dispositivo implícito se o dispositivo não conseguir se conectar ao Hub IoT durante o provisionamento de identidade devido a erros de conectividade. Para obter mais informações, consulte Conceitos de reprovisionamento de dispositivos do Hub IoT.
Opcionalmente, descomente o payload parâmetro para especificar o caminho para um arquivo JSON local. O conteúdo do arquivo é enviado para o DPS como dados adicionais quando o dispositivo se registra. Isso é útil para alocação personalizada. Por exemplo, se você quiser alocar seus dispositivos com base em um ID de modelo IoT Plug and Play sem intervenção humana.
Guarde e feche o ficheiro.
Aplique as alterações de configuração feitas no dispositivo.
- Ubuntu / Debian / RHEL
- Snaps do Ubuntu Core
```
sudo iotedge config apply
```
```
sudo snap set azure-iot-edge raw-config="$(cat ~/config.toml)"
```

Verificar se a instalação foi bem-sucedida

Se o tempo de execução tiver sido iniciado com êxito, você poderá entrar no Hub IoT e começar a implantar módulos do IoT Edge no seu dispositivo.

Inscrição individual
Inscrição em grupo

Você pode verificar se o registro individual criado no serviço de provisionamento de dispositivo foi usado. Navegue até a instância do serviço de provisionamento de dispositivo no portal do Azure. Abra os detalhes de inscrição para o registro individual que você criou. Observe que o status do registro é atribuído e o ID do dispositivo está listado.

Use os seguintes comandos em seu dispositivo para verificar se o IoT Edge foi instalado e iniciado com êxito.

Verifique o estado do serviço IoT Edge.

sudo iotedge system status

Examine os logs de serviço.

sudo iotedge system logs

Listar módulos em execução.

sudo iotedge list

Próximos passos

O processo de registro do serviço de provisionamento de dispositivos permite definir a ID do dispositivo e as tags gêmeas do dispositivo ao mesmo tempo em que provisiona o novo dispositivo. Você pode usar esses valores para segmentar dispositivos individuais ou grupos de dispositivos usando o gerenciamento automático de dispositivos. Saiba como Implantar e monitorar módulos do IoT Edge em escala usando o portal do Azure ou usando a CLI do Azure.

Crie e provisione dispositivos IoT Edge em escala no Linux usando chave simétrica

Pré-requisitos

Recursos na nuvem

Requisitos do dispositivo

Criar um registro DPS

Criar uma inscrição individual do DPS

Instalar o IoT Edge

Instalar um mecanismo de contêiner

Instalar o runtime do IoT Edge

Provisionar o dispositivo com sua identidade na nuvem

Verificar se a instalação foi bem-sucedida

Próximos passos

Recursos adicionais