在 Linux 上使用 TPM 來大規模建立和佈建 IoT Edge 裝置
適用於: IoT Edge 1.5 IoT Edge 1.4
重要
IoT Edge 1.5 LTS 和 IoT Edge 1.4 LTS 為支援的版本。 IoT Edge 1.4 LTS 於 2024 年 11 月 12 日結束生命週期。 如果您是舊版,請參閱更新 IoT Edge。
本文使用信任平台模組 (TPM) 來提供自動佈建 Azure IoT Edge for Linux 裝置的指示。 您可以使用 Azure IoT 中樞裝置佈建服務自動佈建 IoT Edge 裝置。 如果您不熟悉自動佈建程序,請先檢閱佈建概觀再繼續。
本文概述兩種方法。 請根據您的解決方案架構選取您的喜好設定:
- 使用實體 TPM 硬體自動佈建 Linux 裝置。
- 使用已啟用 Hyper-V 的 Windows 開發電腦上執行的模擬 TPM,自動佈建 Linux 虛擬機器 (VM)。 我們僅建議使用此方法作為測試案例。 模擬 TPM 並不提供與實體 TPM 相同的安全性。
指示會根據您的方法而有所不同,因此請確定您位於正確的索引標籤上。
必要條件
雲端資源
- 使用中的 IoT 中樞
- Azure 中的 IoT 中樞裝置佈建服務執行個體,其與您的 IoT 中樞連結
- 如果您沒有裝置佈建服務執行個體,則可以遵循 IoT 中樞裝置佈建服務快速入門建立新的 IoT 中樞裝置佈建服務和連結 IoT 中樞與裝置佈建服務章節的指示。
- 裝置佈建服務開始執行之後,請從 [概觀] 頁面中複製 [識別碼範圍] 的值。 當您設定 IoT Edge 執行階段時會用到此值。
裝置需求
要作為 IoT Edge 裝置的實體 Linux 裝置。
如果您是裝置製造商,請參閱將 TPM 整合至製造程序中的指引。
注意
當您搭配裝置佈建服務並使用 TPM 證明時,需要 TPM 2.0。
當您使用 TPM 時,僅可建立個別裝置佈建服務註冊,無法建立群組裝置佈建服務註冊。
設定您的裝置
擷取 TPM 的佈建資訊
注意
本文先前使用來自 IoT C SDK 的 tpm_device_provision
工具來產生佈建資訊。 如果您先前依賴此工具,請注意下列步驟會針對相同的公開簽署金鑰產生不同的註冊識別碼。 如果您需要像之前一樣重新建立註冊識別碼,請參閱 C SDK 的 tpm_device_provision 工具如何產生識別碼。 請確定 DPS 中個別註冊的註冊識別碼符合 IoT Edge 裝置設定為使用的註冊識別碼。
在本節中,您會使用 TPM2 軟體工具來擷取 TPM 的簽署金鑰,然後產生唯一的註冊識別碼。 本節對應於步驟 3:裝置已在將 TPM 整合至製造程序的程序中安裝韌體和軟體。
安裝 TPM2 工具
登入您的裝置,並安裝 tpm2-tools
套件。
sudo apt-get install tpm2-tools
執行下列指令碼來讀取簽署金鑰,如果尚未存在,請建立一個。
#!/bin/sh
if [ "$USER" != "root" ]; then
SUDO="sudo "
fi
$SUDO tpm2_readpublic -Q -c 0x81010001 -o ek.pub 2> /dev/null
if [ $? -gt 0 ]; then
# Create the endorsement key (EK)
$SUDO tpm2_createek -c 0x81010001 -G rsa -u ek.pub
# Create the storage root key (SRK)
$SUDO tpm2_createprimary -Q -C o -c srk.ctx > /dev/null
# make the SRK persistent
$SUDO tpm2_evictcontrol -c srk.ctx 0x81000001 > /dev/null
# open transient handle space for the TPM
$SUDO tpm2_flushcontext -t > /dev/null
fi
printf "Gathering the registration information...\n\nRegistration Id:\n%s\n\nEndorsement Key:\n%s\n" $(sha256sum -b ek.pub | cut -d' ' -f1 | sed -e 's/[^[:alnum:]]//g') $(base64 -w0 ek.pub)
$SUDO rm ek.pub srk.ctx 2> /dev/null
輸出視窗會顯示裝置的 [簽署金鑰] 和唯一的 [登錄識別碼]。 當您在裝置佈建服務中建立裝置的個別註冊時,請複製這些值以供稍後使用。
在您擁有註冊識別碼和簽署金鑰之後,即可繼續。
提示
如果您不想使用 TPM2 軟體工具來擷取資訊,則需要尋找其他方法來取得佈建資訊。 簽署金鑰是每個 TPM 晶片或從與其相關聯 TPM 晶片製造商所取得的唯一簽署金鑰。 您可以為 TPM 裝置衍生唯一的註冊識別碼。 例如,如上所示,您可以建立簽署金鑰的 SHA-256 雜湊。
建立裝置佈建服務註冊
使用 TPM 的佈建資訊,在裝置佈建服務中建立個別註冊。
在裝置佈建服務中建立註冊時,您就有機會宣告初始裝置對應項狀態。 在裝置對應項中,您可以根據解決方案中使用的任何計量 (例如區域、環境、位置或裝置類型) 來設定標記,來將裝置分組。 這些標記會用來建立自動部署。
提示
本文中的步驟適用於 Azure 入口網站,但您也可以使用 Azure CLI 建立個別註冊。 如需詳細資訊,請參閱 az iot dps enrollment。 CLI 命令中會使用啟用 Edge 旗標來指定 IoT Edge 裝置的註冊。
在 Azure 入口網站中,前往 IoT 中樞裝置佈建服務的執行個體。
在 [設定] 下方,選取 [管理註冊]。
選取 [新增個別註冊],然後完成下列步驟以設定註冊:
針對 [機制],選取 [TPM]。
提供您從 VM 或實體裝置複製的簽署金鑰和註冊識別碼。
視需要提供裝置的識別碼。 如果您未提供裝置識別碼,則會使用註冊識別碼。
選取 [True] 以宣告您的 VM 或實體裝置為 IoT Edge 裝置。
選擇您要將裝置連線到的連結 IoT 中樞,或選取 [連結到新的 IoT 中樞]。 您可以選擇多個中樞,然後系統會根據所選取的指派原則,將裝置指派給其中一個中樞。
視需要將標記值新增至 [初始裝置對應項狀態]。 您可以使用標記將裝置群組設定為模組部署的目標。 如需詳細資訊,請參閱大規模部署 IoT Edge 模組。
選取 [儲存]。
現在此裝置已有註冊,因此 IoT Edge 執行階段可以在安裝期間自動佈建此裝置。
安裝 IoT Edge
在本節中,您將為 IoT Edge 準備 Linux 虛擬機器或實體裝置。 然後,您會安裝 IoT Edge。
執行下列命令以新增套件存放庫,然後將 Microsoft 套件簽署金鑰新增至信任金鑰的清單。
重要
在 2022 年 6 月 30 日,已從第 1 層作業系統支援清單中淘汰 Raspberry Pi OS Stretch。 若要避免潛在的安全性弱點,請將主機作業系統更新為 Bullseye。
對於第 2 層支援的平台作業系統,Azure IoT Edge 版本會提供安裝套件。 請參閱離線或特定版本安裝中的安裝步驟。
您可以使用幾個命令來完成安裝。 開啟終端機,然後執行下列命令:
24.04:
wget https://packages.microsoft.com/config/ubuntu/24.04/packages-microsoft-prod.deb -O packages-microsoft-prod.deb sudo dpkg -i packages-microsoft-prod.deb rm packages-microsoft-prod.deb
22.04:
wget https://packages.microsoft.com/config/ubuntu/22.04/packages-microsoft-prod.deb -O packages-microsoft-prod.deb sudo dpkg -i packages-microsoft-prod.deb rm packages-microsoft-prod.deb
20.04:
wget https://packages.microsoft.com/config/ubuntu/20.04/packages-microsoft-prod.deb -O packages-microsoft-prod.deb sudo dpkg -i packages-microsoft-prod.deb rm packages-microsoft-prod.deb
如需作業系統版本的詳細資訊,請參閱 Azure IoT Edge 支援的平台。
注意
使用 Azure IoT Edge 軟體套件時,必須遵守每個封裝中的授權條款 (usr/share/doc/{package-name}
或 LICENSE
目錄)。 在使用套件之前,請先閱讀授權條款。 安裝及使用套件即表示接受這些授權條款。 如果您不同意授權條款,請勿使用該套件。
安裝容器引擎
Azure IoT Edge 會依賴 OCI 相容的容器執行階段。 針對實際執行案例,建議使用 Moby 引擎。 Moby 引擎是 IoT Edge 正式支援的唯一容器引擎。 Docker CE/EE 容器映像與 Moby 執行階段相容。 如果您使用 Ubuntu Core Snap,則 Docker Span 由 Canonical 提供服務,並支援生產案例。
安裝 Moby 引擎。
sudo apt-get update; \
sudo apt-get install moby-engine
依預設,容器引擎不會設定容器記錄大小限制。 經過一段時間之後,這可能會導致裝置充滿記錄,並用盡磁碟空間。 不過,您可以將記錄設定為在本機顯示,但這是選擇性的。 若要深入了解記錄設定,請參閱生產部署檢查清單。
下列步驟示範如何將容器設定為使用 local
記錄驅動程式作為記錄機制。
建立或編輯現有 Docker 精靈的組態檔
sudo nano /etc/docker/daemon.json
將預設記錄驅動程式設定為
local
記錄驅動程式,如範例所示。{ "log-driver": "local" }
重新啟動容器引擎,讓變更生效。
sudo systemctl restart docker
安裝 IoT Edge 執行階段
IoT Edge 服務提供及維護 IoT Edge 裝置的安全性標準。 此服務會在每次開機時啟動,並藉由啟動 IoT Edge 執行階段讓裝置進入啟動程序。
注意
從 1.2 版開始,IoT 識別服務會處理 IoT Edge 以及需要與 IoT 中樞通訊的其他裝置元件的身分識別佈建和管理。
本節中的步驟代表在具有網際網路連線的裝置上安裝最新 IoT Edge 版本的一般程序。 如果您需要安裝特定版本,例如發行前版本,或需要在離線時安裝,請遵循本文稍後的離線或特定版本安裝步驟。
提示
如果您已經有執行舊版且想要升級至最新版本的 IoT Edge 裝置,請使用更新 IoT Edge 安全性精靈和執行階段中的步驟。 較新版本與舊版 IoT Edge 有明顯的不同,因此升級時需要特定步驟。
安裝最新版本的 IoT Edge 和 IoT 識別服務套件 (如果您尚未擁有最新版本):
22.04:
sudo apt-get update; \ sudo apt-get install aziot-edge
20.04:
sudo apt-get update; \ sudo apt-get install aziot-edge defender-iot-micro-agent-edge
選用的 defender-iot-micro-agent-edge
套件包含適用於 IoT 的 Microsoft Defender 安全性微代理程式,可讓端點了解安全性態勢管理、弱點、威脅偵測、機群管理等等,以協助您保護您的 IoT Edge 裝置。 建議您使用 Edge 代理程式安裝微代理程式,以啟用 Edge 裝置的安全性監視和強化。 若要深入了解適用於 IoT 的 Microsoft Defender,請參閱對於裝置建置者而言,什麼是適用於 IoT 的 Microsoft Defender。
使用雲端身分識別來佈建裝置
在裝置上安裝執行階段之後,請使用裝置用來連線到裝置佈建服務和 IoT 中樞的資訊,來設定裝置。
了解先前收集的裝置佈建服務識別碼範圍和裝置註冊識別碼。
根據作為安裝 IoT Edge 期間提供的範本檔案,為您的裝置建立組態檔。
sudo cp /etc/aziot/config.toml.edge.template /etc/aziot/config.toml
開啟 IoT Edge 裝置上的組態檔。
sudo nano /etc/aziot/config.toml
尋找該檔案的佈建組態區段。 取消註解 TPM 佈建的行,並確定已為任何其他佈建行加上註解。
# DPS provisioning with TPM [provisioning] source = "dps" global_endpoint = "https://global.azure-devices-provisioning.net" id_scope = "DPS_ID_SCOPE_HERE" # Uncomment to send a custom payload during DPS registration # payload = { uri = "PATH_TO_JSON_FILE" } [provisioning.attestation] method = "tpm" registration_id = "REGISTRATION_ID_HERE" # auto_reprovisioning_mode = Dynamic
使用您的裝置佈建服務和裝置資訊更新
id_scope
和registration_id
的值。 此scope_id
值是裝置佈建服務執行個體概觀頁面中的 [識別碼範圍]。如需佈建組態設定的詳細資訊,請參閱設定 IoT Edge 裝置設定。
或者,尋找該檔案的自動重新佈建模式區段。 使用
auto_reprovisioning_mode
參數來設定裝置的重新佈建行為。 Dynamic - 當裝置偵測到裝置可能已從某個 IoT 中樞移至另一個時重新佈建。 這是預設值。 AlwaysOnStartup - 裝置重新開機或當機時重新佈建會導致精靈重新啟動。 OnErrorOnly - 永遠不會自動觸發裝置重新佈建。 如果裝置因為連線錯誤而無法在身分識別佈建期間連線至 IoT 中樞,則每個模式都有隱含裝置重新佈建後援。 如需詳細資訊,請參閱 IoT 中樞裝置重新佈建概念。選擇性地取消註解
payload
參數,以指定本機 JSON 檔案的路徑。 當裝置註冊時,檔案的內容將會傳送至 DPS 作為其他資料。 這適用於自訂配置。 例如,如果您想要根據 IoT 隨插即用模型識別碼來配置裝置,而不需人為介入。儲存並關閉檔案。
為 IoT Edge 指定對 TPM 的存取權
IoT Edge 執行階段依賴於可代理裝置 TPM 存取權的 TPM 服務。 此服務必須存取 TPM 才能自動佈建您的裝置。
您可以覆寫 systemd 設定,以提供對 TPM 的存取權,讓 aziottpm
服務具有根權限。 如果不想提高服務權限,也可以使用下列步驟,手動提供 TPM 存取權。
建立新規則以讓 IoT Edge 執行階段能夠存取
tpm0
和tpmrm0
。sudo touch /etc/udev/rules.d/tpmaccess.rules
開啟規則檔案。
sudo nano /etc/udev/rules.d/tpmaccess.rules
將下列存取資訊複製到規則檔案中。
tpmrm0
可能不存在於使用 4.12 之前核心的裝置上。 沒有tpmrm0
的裝置將會安全地忽略該規則。# allow aziottpm access to tpm0 and tpmrm0 KERNEL=="tpm0", SUBSYSTEM=="tpm", OWNER="aziottpm", MODE="0660" KERNEL=="tpmrm0", SUBSYSTEM=="tpmrm", OWNER="aziottpm", MODE="0660"
儲存並結束檔案。
觸發
udev
系統以評估新規則。/bin/udevadm trigger --subsystem-match=tpm --subsystem-match=tpmrm
確認規則已成功套用。
ls -l /dev/tpm*
成功的輸出看起來會像下面這樣:
crw-rw---- 1 root aziottpm 10, 224 Jul 20 16:27 /dev/tpm0 crw-rw---- 1 root aziottpm 10, 224 Jul 20 16:27 /dev/tpmrm0
如果未發現套用正確的權限,請嘗試重新啟動電腦以重新整理
udev
。套用您在裝置上所做的設定變更。
sudo iotedge config apply
確認安裝成功
如果您尚未這麼做,請套用您在裝置上所做的設定變更。
sudo iotedge config apply
確認 IoT Edge 執行階段正在執行。
sudo iotedge system status
檢查精靈記錄。
sudo iotedge system logs
如果您看到佈建錯誤,可能是因為組態變更尚未生效。 請嘗試重新啟動 IoT Edge 精靈。
sudo systemctl daemon-reload
或者,請嘗試重新啟動 VM,以確認變更是否會在重新啟動後生效。
如果執行階段順利啟動,您可以移至您的 IoT 中樞,並看到新裝置已自動佈建。 現在您的裝置已準備好執行 IoT Edge 模組。
列出執行中的模組。
iotedge list
您可以驗證系統是否已使用您在裝置佈建服務中所建立的個別註冊。 移至 Azure 入口網站中您的裝置佈建服務執行個體。 開啟所建立個別註冊的註冊詳細資料。 請注意,註冊狀態是已指派,並且會列出裝置識別碼。
下一步
佈建新裝置時,裝置佈建服務註冊程序可讓您同時設定裝置識別碼和裝置對應項標記。 您可以使用自動裝置管理來使用這些值鎖定個別裝置或裝置群組。
了解如何使用 Azure 入口網站大規模部署和監視 IoT Edge 模組,或使用 Azure CLI 執行相同作業。