Поделиться через

Миграция из Azure Sphere (устаревшая версия) в Azure Sphere (интегрированная)

  • Статья

27 сентября 2027 г. Azure Sphere отключит свои устаревшие интерфейсы служб, API Azure Sphere (устаревшая версия) (также известный как PAPI) и Интерфейс командной строки Azure Sphere (также известный как azsphere). Все пользователи Azure Sphere (устаревшая версия) должны перенестися в Azure Sphere (интегрированная) до этой даты. Azure Sphere (интегрированная) является машинной для платформы Azure и предоставляет похожий вариант замены интерфейса Azure Sphere (устаревшая версия). Azure Sphere (интегрированная) также предлагает значительные улучшения безопасности (интеграция Azure RBAC), удобство использования (интеграция портала Azure) и наблюдаемость и оповещение (интеграция Azure Monitor). Дополнительные сведения см. в этом блоге.

Эта статья предназначена для того, чтобы помочь администраторам и командам инженеров Azure Sphere понять и спланировать миграцию. Мы разработали процесс миграции, чтобы вы могли управлять устройствами Azure Sphere как в Azure Sphere (интегрированной), так и в Azure Sphere (устаревшей версии) по мере необходимости в рамках проекта миграции. Кроме того, устаревшие скрипты, автоматизация и интерфейсы могут работать без прерывания при сборке и тестировании обновленных версий в команде инженеров на основе Azure Sphere (интегрированной).

Схема рабочего процесса миграции высокого уровня

Процесс миграции можно разделить на следующие области работы:

  • Интеграция устаревшего клиента в каталог Azure Sphere в портал Azure
  • Перенос интерактивных рабочих процессов пользователей
  • Перенос автоматизированных процессов и интерфейсов

Интеграция клиента Azure Sphere (устаревшая версия) в каталог Azure Sphere

Перед началом любой другой работы необходимо выполнить этот первый шаг в процессе миграции. Функция интеграции в портал Azure подготавливает клиент Azure Sphere (устаревшая версия) для управления в среде Azure, где он становится каталогом Azure Sphere. Клиент и его ресурсы остаются неизменными, за исключением того, что теперь вы можете получить доступ к ним и управлять ими с помощью пользовательских интерфейсов Azure, включая портал Azure, расширение Azure Sphere для Azure CLI и Azure Sphere для PowerShell.

Схема, на которой показан экран интеграции Azure Sphere

Процесс интеграции выполняет два шага:

  1. Он назначает идентификатор ресурса Azure каждому ресурсу в клиенте, что позволяет управлять ресурсом с помощью Azure Resource Manager.
  2. Он сопоставляет роли доступа пользователей устаревшего клиента к ролям доступа пользователей, управляемым контроль доступа (RBAC). При отображении предлагаемых сопоставлений ролей доступа во время процесса интеграции можно принять, изменить или отклонить их. После завершения шага интеграции вы можете в любое время изменить доступ пользователей.

Как правило, шаг интеграции занимает всего несколько минут, и после завершения любой пользователь, которому был предоставлен доступ во время интеграции, может немедленно начать управление новым каталогом Azure Sphere в любом из пользовательских интерфейсов Azure. Существующий рабочий процесс не блокируется процессом интеграции, и мы рекомендуем сделать это в ближайшее время, чтобы начать изучение новых интерфейсов и преимуществ Azure Sphere (интегрированных). После завершения можно начать остальную часть работы миграции.

Перенос интерактивных рабочих процессов пользователей

Интерактивные рабочие процессы — это те, где отдельный пользователь использует интерфейс командной строки azsphere (или использует скрипт, который, в свою очередь, использует azsphere CLI) для выполнения задачи. Такие интерактивные рабочие процессы могут возникать как часть производства (например, утверждение новых устройств в клиенте), операций (например, управление сертификатами, связанными с вашим клиентом), или варианты использования разработчика (например, настройка устройства разработчика, чтобы не получать обновления по воздуху).

При планировании миграции рабочих процессов необходимо рассмотреть вопрос об обучении пользователей, обновлении внутренней документации и, в случаях, когда сценарии используются в интерактивном режиме, обновите эти скрипты. Вы также можете воспользоваться двумя ключевыми улучшениями в Azure Sphere (интегрированный): упрощенный интерфейс Azure Sphere в портал Azure, а также надежное управление доступом пользователей в Azure Role Based контроль доступа (RBAC).

Важно учитывать, лучше ли реализовать определенный рабочий процесс пользователя в веб-интерфейсе, а не интерфейс командной строки. Azure Sphere (интегрированная) позволяет управлять каталогом на портале Azure, а для многих интерактивных рабочих процессов пользователей портал предлагает более широкий и простой пользовательский интерфейс. Например, в портал Azure можно одновременно отправлять и развертывать образы на одном шаге, как показано ниже.

Схема, на которой показан экран добавления изображений в Azure Sphere

Во-вторых, рассмотрите возможность более эффективного ограничения доступа пользователей. Azure Sphere (интегрированная) поддерживает контроль доступа на основе ролей Azure (RBAC), что обеспечивает гораздо более надежный и точный доступ пользователей, чем Azure Sphere (устаревшая версия).

Схема, на которой показан экран конфигурации Azure RBAC

Это модель с минимальными разрешениями, предназначенная для предоставления отдельным пользователям доступа только к этим ресурсам, необходимым для их работы, а также разрешение на выполнение только действий пользователей, необходимых для их работы. Например, в каталоге Azure Sphere можно разрешить пользователю просматривать рабочую группу устройств, а также создавать новые развертывания в этой группе устройств, но, в частности, запретить им перемещать устройства из группы устройств или просматривать другие группы устройств в каталоге.

Если вы раньше не использовали Azure RBAC, рекомендуем узнать больше о базовых понятиях Azure RBAC, таких как область и иерархия ресурсов, так как они являются ключевыми для понимания последствий применения определенной роли RBAC к каталогу и к дочернему ресурсу каталога, например группе устройств.

Чтобы помочь, мы предоставили пример конфигурации RBAC для нескольких бизнес-пользователей , иллюстрирующих некоторые рекомендации по RBAC для Azure Sphere. В этом примере выделены разрешения, адаптированные к общим потребностям бизнес-пользователей, включая разработчиков программного обеспечения, создающих приложения для устройств Azure Sphere, технических специалистов OT, управляющих производственными парками устройств Azure Sphere и производителями, которые создают устройства Azure Sphere.

Удаление доступа пользователей к клиенту Azure Sphere (устаревшая версия)

После переноса рабочего процесса и полного использования Azure Sphere (интегрированная) мы настоятельно рекомендуем удалить разрешения каждого пользователя из устаревшего клиента, чтобы устранить непредвиденный доступ. В противном случае пользователь может обойти детализированные элементы управления доступом, настроенные в Azure RBAC, продолжая использовать устаревшие версии. Удаление устаревшего доступа пользователей также поможет вам убедиться, что эти пользователи смогут успешно выполнять все необходимые задачи в Azure Sphere (встроенная) и не будут затронуты устаревшим выходом.

Пользователям, работающим над преобразованием или тестированием автоматизированных процессов, может потребоваться сохранить права доступа к устаревшим клиентам в течение длительного периода времени.

Перенос автоматизированных процессов и интерфейсов

Помимо миграции интерактивных рабочих процессов, если в вашей организации созданы автоматизированные процессы, использующие скрипты Azure Sphere (устаревшие версии) или пользовательские интерфейсы на основе API Azure Sphere (устаревшая версия), вам потребуется переработать эти процессы для использования Azure Sphere (интегрированный). Чтобы упростить процесс миграции, вы можете активно разрабатывать и тестировать обновленную автоматизацию, пока рабочая автоматизация на основе прежних версий выполняется без прерываний. Требуется помощь при тестировании команд, которые не могут быть отменены, например утверждение устройства в каталоге, в котором она не должна находиться в долгосрочной перспективе.

Для каждого интерфейса, построенного на API Azure Sphere (интегрированный), необходимо создать маркер доступа Microsoft Entra, который позволит интерфейсу получить доступ к конечной точке API. Сведения о маркерах доступа и вызове REST API Azure см. в справочной документации по REST API Azure.

После развертывания обновленных автоматизированных процессов и интерфейсов в рабочей среде необходимо удалить доступ к Azure Sphere (устаревшей версии) для субъектов-служб, используемых для проверки подлинности старых устаревших автоматизации и интерфейсов. Удаление всех доступа субъекта-службы гарантирует, что все автоматизированные процессы полностью перенесены и не будут затронуты устаревшим выходом.

Завершение работы оставшегося доступа к устаревшей версии клиента

Последним шагом в процессе миграции является удаление любого оставшегося доступа к Azure Sphere (устаревшей версии). Сегодня для клиентов Azure Sphere (устаревшая версия) требуется по крайней мере одна активная учетная запись администратора устаревшей версии, даже если клиент был интегрирован в портал Azure. Мы работаем над функцией, которая позволит удалить последнюю учетную запись администратора клиента устаревшей версии, но она недоступна в настоящее время. Когда мы выпускаем эту функцию, мы объявим о ее доступности в Центре обновления Azure.

Использование возможностей, доступных в Azure Sphere (интегрированная)

Хотя и не требуется для использования Azure Sphere (интегрированной), мы настоятельно рекомендуем в рамках плана миграции изучить и воспользоваться другими мощными службами Azure, которые теперь доступны для Azure Sphere.

Одним из самых мощных является Azure Monitor. Azure Monitor предлагает различные функции мониторинга парка, такие как сбор метрик производительности и диагностических данных, а также запрос событий в журналах действий с устройств Azure Sphere и службы безопасности Azure Sphere.

Схема, на которой показан экран Azure Monitor

С помощью данных Azure Monitor можно сопоставить работоспособность парка устройств с событиями, происходящими в службе безопасности Azure Sphere, например выпуск нового обновления приложения. Вы также можете настроить оповещения о критических событиях, таких как предстоящий срок действия сертификата клиента Azure Sphere. Дополнительные сведения см. в статье "Мониторинг работоспособности парка Azure Sphere и устройств".

Начало работы и поиск справки

Легко приступить к работе с Azure Sphere (устаревшей версии) в каталог Azure Sphere (интегрированный) и начать изучение работы с Azure Sphere в Azure CLI или на портале Azure. Azure Sphere (устаревшая версия) полностью поддерживается до 27 сентября 2027 года. Все действия миграции должны быть завершены по этой дате. Если у вас есть вопросы о миграции или технической помощи, вы можете найти ответы от экспертов сообщества по Microsoft Q&A или связаться AZSPPGSUP@microsoft.com.