Migrera från Azure Sphere (äldre) till Azure Sphere (integrerad)
Den 27 september 2027 kommer Azure Sphere att dra tillbaka sina äldre tjänstgränssnitt, Azure Sphere (Legacy) API (även kallat PAPI) och Azure Sphere CLI (även kallat azsphere). Alla Azure Sphere-användare (äldre) måste migrera till Azure Sphere (integrerad) före detta datum. Azure Sphere (integrerat) är inbyggt i Azure-plattformen och ger en liknande ersättning av Azure Sphere-gränssnittet (Legacy). Azure Sphere (integrerat) erbjuder också betydande förbättringar i säkerhet (Azure RBAC-integrering), användbarhet (Azure Portal-integrering) och observerbarhet/aviseringar (Azure Monitor-integrering). Mer information finns i den här bloggen.
Den här artikeln är utformad för att hjälpa Azure Sphere-administratörer och teknikteam att förstå och planera för migrering. Vi har utformat migreringsprocessen så att du kan hantera dina Azure Sphere-enheter i både Azure Sphere (integrerad) och Azure Sphere (Legacy) efter behov i hela migreringsprojektet. Dessutom kan dina äldre skript, automatisering och gränssnitt fungera oavbrutet medan ditt ingenjörsteam bygger och testar uppdaterade versioner baserat på Azure Sphere (integrerad).
Migreringsprocessen kan delas upp i följande arbetsområden:
- Integrera den äldre klientorganisationen i en Azure Sphere-katalog i Azure Portal
- Migrera interaktiva användararbetsflöden
- Migrera automatiserade processer och gränssnitt
Integrera din Azure Sphere-klientorganisation (äldre) med en Azure Sphere-katalog
Det första steget i migreringsprocessen måste slutföras innan något annat arbete kan påbörjas. Funktionen Integrera i Azure Portal förbereder din Azure Sphere-klientorganisation (legacy) för hantering i Azure-miljön där den blir en Azure Sphere-katalog. Klientorganisationen och dess resurser förblir desamma med undantaget att du nu också kan komma åt och hantera dem via Azures användargränssnitt, inklusive Azure Portal, Azure Sphere-tillägget för Azure CLI och Azure Sphere för PowerShell.
Integreringsprocessen utför två steg:
- Den tilldelar ett Azure-resurs-ID till varje resurs i klientorganisationen, vilket gör att resursen kan hanteras av Azure Resource Manager.
- Den mappar användaråtkomstroller för äldre klientorganisation till användaråtkomstroller som hanteras av Azure Roles Based Access Control (RBAC). När de föreslagna mappningarna för åtkomstrollen visas under integreringsprocessen kan du acceptera, ändra eller avvisa dem. När integreringssteget är klart kan du ändra användaråtkomst när som helst.
Integreringssteget tar vanligtvis bara några minuter, och när det är klart kan alla användare som beviljats åtkomst under integreringen omedelbart börja hantera den nya Azure Sphere-katalogen i något av Azures användargränssnitt. Inget befintligt arbetsflöde blockeras av integreringsprocessen, och vi rekommenderar att du gör det snart så att du kan börja utforska de nya Azure Sphere-gränssnitten (integrerade) gränssnitten och fördelarna. När det är klart kan du påbörja resten av migreringsarbetet.
Migrera interaktiva användararbetsflöden
Interaktiva arbetsflöden är de där en individ använder "azsphere" CLI (eller använder ett skript som i sin tur använder "azsphere" CLI) för att utföra en uppgift. Sådana interaktiva arbetsflöden kan uppstå som en del av tillverkningen (t.ex. anspråk på nya enheter i din klientorganisation), åtgärder (t.ex. hantering av certifikat relaterade till din klientorganisation) eller användningsfall för utvecklare (t.ex. att konfigurera en utvecklarenhet för att inte ta emot uppdateringar via luften).
När du planerar migreringen av dina arbetsflöden måste du överväga att utbilda användare, uppdatera intern dokumentation och, i fall där skript används interaktivt, uppdatera dessa skript. Du kan också överväga att dra nytta av två viktiga förbättringar i Azure Sphere (integrerad): Azure Spheres effektiviserade gränssnitt i Azure Portal och Azures robusta hantering av användaråtkomst i Azure Role Based Access Control (RBAC).
Det är viktigt att överväga om ett visst användararbetsflöde är bättre i ett webbgränssnitt i stället för ett CLI. Med Azure Sphere (integrerad) kan du hantera katalogen i Azure-portalen, och för många interaktiva användararbetsflöden erbjuder portalen en mer omfattande och enklare användarupplevelse. I Azure Portal kan du till exempel ladda upp och distribuera avbildningar samtidigt i ett enda steg, enligt nedan.
För det andra bör du överväga hur du kan begränsa användaråtkomsten mer effektivt. Azure Sphere (integrerad) stöder Rollbaserad åtkomstkontroll i Azure (RBAC) som ger mycket mer robust och detaljerad användaråtkomst än Azure Sphere (Legacy).
Det är en modell med lägsta behörigheter som är utformad för att ge en enskild användare åtkomst till endast de resurser som krävs för deras jobb, samt behörighet att endast utföra de användaråtgärder som krävs för deras jobb. I en Azure Sphere-katalog kan du till exempel tillåta att en användare visar enhetsgruppen Produktion och skapa nya distributioner i den enhetsgruppen, men specifikt hindra dem från att flytta enheter in och ut ur enhetsgruppen eller från att visa andra enhetsgrupper i katalogen.
Om du inte har använt Azure RBAC tidigare rekommenderar vi att du lär dig mer om grundläggande Azure RBAC-begrepp som omfång och resurshierarki eftersom de är viktiga för att förstå effekterna av att tillämpa en specifik RBAC-rollbehörighet på en katalog jämfört med en katalogs underordnade resurs som en enhetsgrupp.
Som hjälp har vi tillhandahållit en RBAC-exempelkonfiguration för flera företagsanvändare som illustrerar några metodtips för RBAC för Azure Sphere. Exemplet visar behörigheter som är skräddarsydda för vanliga affärsanvändares behov, inklusive programvarutekniker som producerar program för Azure Sphere-enheter, OT-tekniker som hanterar produktionsflottor för Azure Sphere-enheter och tillverkare som skapar Azure Sphere-enheter.
Ta bort användaråtkomst till Azure Sphere-klientorganisationen (äldre)
När ett arbetsflöde har migrerats och dina användare använder Azure Sphere (integrerad) på heltid rekommenderar vi starkt att du tar bort varje användares behörigheter från den äldre klientorganisationen för att eliminera oavsiktlig åtkomst. Annars kan en användare kringgå de detaljerade åtkomstkontroller som du konfigurerade i Azure RBAC genom att fortsätta att använda Legacy. Om du tar bort äldre användaråtkomst kan du också se till att dessa användare kan utföra alla nödvändiga uppgifter i Azure Sphere (integrerad) och att de inte påverkas av äldre pensionering.
Användare som arbetar med att konvertera eller testa automatiserade processer kan behöva behålla sina äldre klientåtkomstbehörigheter under en längre tid.
Migrera automatiserade processer och gränssnitt
Förutom att migrera interaktiva arbetsflöden måste du om din organisation har skapat automatiserade processer som använder Azure Sphere-skript (äldre) eller användargränssnitt baserade på Azure Sphere-API:et (Legacy) om du vill omarbeta dem för att använda Azure Sphere (integrerat). För att göra migreringsprocessen så enkel som möjligt kan du aktivt utveckla och testa uppdaterad automatisering medan din produktionsbaserade automatisering körs oavbrutet. Försiktighet krävs när du testar kommandon som inte kan ångras, till exempel att göra anspråk på en enhet till en katalog där du inte vill att den ska finnas på lång sikt.
För varje gränssnitt som du bygger på Azure Sphere-API:et (integrerat) måste du skapa en Microsoft Entra-åtkomsttoken som gör att gränssnittet kan komma åt API-slutpunkten. Information om åtkomsttoken och anrop till Azure REST-API:er finns i referensdokumentationen för Azure REST API.
När du har distribuerat de uppdaterade automatiserade processerna och gränssnitten till produktion bör du ta bort Azure Sphere-åtkomsten (äldre) för de tjänsthuvudnamn som används för att autentisera din gamla äldre automatisering och dina tidigare gränssnitt. Om du tar bort all åtkomst för tjänstens huvudnamn ser du till att alla dina automatiserade processer migreras helt och inte påverkas av äldre pensionering.
Stänga av återstående åtkomst till den äldre klientorganisationen
Det sista steget i migreringsprocessen är att ta bort all återstående Azure Sphere-åtkomst (äldre). I dag kräver Azure Sphere-klienter (äldre) minst ett aktivt äldre administratörskonto, även om klientorganisationen har integrerats i Azure Portal. Vi arbetar med en funktion som gör att du kan ta bort det senaste administratörskontot för den äldre klientorganisationen, men det är inte tillgängligt just nu. När vi släpper den här funktionen meddelar vi dess tillgänglighet på Azure Update.
Dra nytta av funktioner som är tillgängliga i Azure Sphere (integrerad)
Även om det inte krävs för att använda Azure Sphere (integrerat), rekommenderar vi starkt att du som en del av din migreringsplan utforskar och drar nytta av de andra kraftfulla Azure-tjänster som nu är tillgängliga för Azure Sphere.
En av de mest kraftfulla är Azure Monitor. Azure Monitor erbjuder en mängd olika funktioner för övervakning av flottan, till exempel insamling av prestandamått och diagnostikdata, samt frågor om händelser i aktivitetsloggar från både Azure Sphere-enheter och Azure Sphere-säkerhetstjänsten.
Med hjälp av Azure Monitor-data kan du korrelera enhetsflottans hälsa med händelser som inträffar i Azure Sphere-säkerhetstjänsten, till exempel lansering av en ny appuppdatering. Du kan också konfigurera aviseringar om kritiska händelser, till exempel den kommande förfallotiden för ditt Azure Sphere-klientcertifikat. Mer information finns i Övervaka Azure Sphere-flottan och enhetens hälsa.
Komma igång och hitta hjälp
Det är enkelt att komma igång bara genom att integrera din Azure Sphere-katalog (legacy) i en Azure Sphere-katalog (integrerad) och börja utforska hur du arbetar med Azure Sphere i Azure CLI eller Azure Portal. Azure Sphere (Legacy) stöds fullt ut fram till den 27 september 2027. Alla migreringsaktiviteter måste slutföras vid det datumet. Om du har frågor om migrering eller behöver teknisk hjälp kan du hitta svar från communityexperter på Microsoft Q&A, eller så kan du kontakta AZSPPGSUP@microsoft.com.