使用對稱金鑰大規模在 Linux 上建立和布建 IoT Edge 裝置
適用於:
IoT Edge 1.5 IoT Edge 1.4
重要
支援 IoT Edge 1.5 LTS 和 IoT Edge 1.4 LTS 版本。 IoT Edge 1.4 LTS 於 2024 年 11 月 12 日結束生命週期。 如果您是舊版,請參閱更新 IoT Edge。
本文提供使用對稱密鑰自動佈建一或多個 Linux IoT Edge 裝置的端對端指示。 您可以使用 Azure IoT 中樞 裝置布建服務 (DPS) 自動布建 Azure IoT Edge 裝置。 如果您不熟悉自動布建程式,請先檢閱 布建概觀 ,再繼續進行。
工作如下所示:
- 建立單一裝置的個別註冊或一組裝置的群組註冊。
- 安裝IoT Edge運行時間並連線到 IoT 中樞。
提示
如需簡化的體驗,請嘗試 Azure IoT Edge 組態工具。 這個命令行工具目前處於公開預覽狀態,會在您的裝置上安裝IoT Edge,並使用 DPS 和對稱密鑰證明進行佈建。
對稱金鑰證明是使用裝置佈建服務實例驗證裝置的簡單方法。 對於不熟悉裝置佈建或沒有嚴格安全性需求的開發人員,這個證明方法代表 "Hello world" 經驗。 使用 TPM 或 X.509 憑證 的裝置證明更安全,而且應該用於更嚴格的安全性需求。
必要條件
雲端資源
- 作用中的IoT中樞
- Azure 中 IoT 中樞 裝置布建服務的實例,已連結至IoT中樞
- 如果您沒有裝置佈建服務實例,您可以遵循建立新的 IoT 中樞 裝置布建服務中的指示,並連結 IoT 中樞 裝置布建服務快速入門的IoT中樞和裝置布建服務區段。
- 執行裝置布建服務之後,請從 [概觀] 頁面複製 [標識符範圍] 的值。 當您設定 IoT Edge 執行時間時,請使用此值。
裝置需求
要成為IoT Edge裝置的實體或虛擬Linux裝置。
您必須定義唯一的註冊標識碼,才能識別每個裝置。 您可以使用來自裝置的 MAC 位址、序號或任何唯一資訊。 例如,您可以使用 MAC 位址和序號的組合,為註冊識別元形成下列字串: sn-007-888-abc-mac-a1-b2-c3-d4-e5-f6。 有效字元為小寫英數位元和虛線 (-)。
建立 DPS 註冊
建立註冊,以透過 DPS 布建一或多個裝置。
如果您想要布建單一 IoT Edge 裝置,請建立 個別註冊。 如果您需要布建多個裝置,請遵循建立 DPS 群組註冊的步驟。
當您在 DPS 中建立註冊時,有機會宣告初始裝置對應項 狀態。 在裝置對應項中,您可以透過解決方案中所需的任何計量,將標籤設定為群組裝置,例如區域、環境、位置或裝置類型。 這些標記可用來建立 自動部署。
如需裝置布建服務中註冊的詳細資訊,請參閱 如何管理裝置註冊。
建立 DPS 個別註冊
提示
本文中的步驟適用於 Azure 入口網站,但您也可以使用 Azure CLI 建立個別註冊。 如需詳細資訊,請參閱 az iot dps enrollment。 在 CLI 命令中,使用 已啟用邊緣的 旗標來指定註冊適用於 IoT Edge 裝置。
在 Azure 入口網站 中,流覽至 IoT 中樞 裝置布建服務的實例。
在 [設定] 下方,選取 [管理註冊]。
選取 [ 新增個別註冊 ],然後完成下列步驟來設定註冊:
針對 [ 機制],選取 [ 對稱密鑰]。
為您的裝置提供唯 一的註冊標識碼 。
或者,為裝置提供 IoT 中樞 裝置標識碼。 您可以使用裝置識別碼,將個別裝置設為模組部署的目標。 如果您沒有提供裝置識別碼,則會使用註冊標識碼。
選取 [True ] 以宣告註冊適用於IoT Edge裝置。
或者,將標籤值新增至 初始裝置對應項狀態。 您可以使用標籤將裝置群組設為模組部署的目標群組。 例如:
{ "tags": { "environment": "test" }, "properties": { "desired": {} } }選取 [儲存]。
複製個別註冊的主 鍵 值,以在安裝IoT Edge執行時間時使用。
現在,此裝置的註冊已存在,IoT Edge 運行時間可以在安裝期間自動布建裝置。
安裝IoT Edge
在本節中,您會準備適用於IoT Edge的Linux虛擬機或實體裝置。 然後,您會安裝IoT Edge。
執行下列命令以新增套件存放庫,然後將 Microsoft 套件簽署金鑰新增至受信任的金鑰清單。
重要
2022 年 6 月 30 日,Raspberry Pi OS Stretch 已從第 1 層 OS 支援清單中淘汰。 若要避免潛在的安全性弱點,請將主機 OS 更新為 Bullseye。
您可以使用幾個命令來完成安裝。 開啟終端機,然後執行下列命令:
22.04:
wget https://packages.microsoft.com/config/ubuntu/22.04/packages-microsoft-prod.deb -O packages-microsoft-prod.deb sudo dpkg -i packages-microsoft-prod.deb rm packages-microsoft-prod.deb20.04:
wget https://packages.microsoft.com/config/ubuntu/20.04/packages-microsoft-prod.deb -O packages-microsoft-prod.deb sudo dpkg -i packages-microsoft-prod.deb rm packages-microsoft-prod.deb
如需操作系統版本的詳細資訊,請參閱 Azure IoT Edge 支援的平臺。
注意
Azure IoT Edge 軟體套件受限於每個套件(usr/share/doc/{package-name} 或目錄)中的 LICENSE 授權條款。 使用套件之前,請先閱讀授權條款。 您的安裝和使用套件構成您接受這些條款。 如果您不同意授權條款,請勿使用該套件。
安裝容器引擎
Azure IoT Edge 依賴 與 OCI 相容的容器運行時間。 針對生產案例,建議您使用Moby引擎。 Moby 引擎是IoT Edge正式支援的容器引擎。 Docker CE/EE 容器映像與 Moby 執行階段相容。
安裝 Moby 引擎。
sudo apt-get update; \
sudo apt-get install moby-engine
根據預設,容器引擎不會設定容器記錄大小限制。 經過一段時間之後,這可能會導致裝置充滿記錄,並用盡磁碟空間。 不過,您可以將記錄設定為在本機顯示,但這是選擇性的。 若要深入了解記錄設定,請參閱 生產部署檢查清單。
下列步驟示範如何將容器設定為使用 local 記錄驅動程式 作為記錄機制。
建立或編輯現有的 Docker 精靈組態檔
sudo nano /etc/docker/daemon.json將預設記錄驅動程式設定為記錄驅動程式,
local如範例所示。{ "log-driver": "local" }重新啟動容器引擎,讓變更生效。
sudo systemctl restart docker
安裝 IoT Edge 執行階段
IoT Edge 服務會在IoT Edge裝置上提供和維護安全性標準。 服務會在每次開機時啟動,並啟動裝置,方法是啟動IoT Edge運行時間的其餘部分。
注意
從 1.2 版開始,IoT 身分識別服務會處理 IoT Edge 的身分識別布建和管理,以及需要與 IoT 中樞 通訊的其他裝置元件。
本節中的步驟代表在具有因特網連線的裝置上安裝最新 IoT Edge 版本的一般程式。 如果您需要安裝特定版本,例如發行前版本,或需要在離線時安裝,請遵循本文稍後的 離線或特定版本安裝 步驟。
提示
如果您已經有執行舊版且想要升級至最新版本的 IoT Edge 裝置,請使用更新 IoT Edge 安全性精靈和運行時間中的步驟。 較新版本與舊版IoT Edge完全不同,需要特定步驟才能升級。
安裝最新版的 IoT Edge 和 IoT 身分識別服務套件(如果您尚未 更新):
22.04:
sudo apt-get update; \ sudo apt-get install aziot-edge20.04:
sudo apt-get update; \ sudo apt-get install aziot-edge defender-iot-micro-agent-edge
選用 defender-iot-micro-agent-edge 套件包含適用於IoT的 Microsoft Defender 安全性微代理程式,可提供端點對安全性狀態管理、弱點、威脅偵測、車隊管理等的可見度,以協助您保護您的 IoT Edge 裝置。 建議使用 Edge 代理程式安裝微代理程式,以啟用 Edge 裝置的安全性監視和強化。 若要深入瞭解適用於 IoT 的 Microsoft Defender,請參閱 什麼是適用於 IoT 的 Microsoft Defender for Device Builder。
使用雲端身分識別來佈建裝置
在裝置上安裝運行時間之後,請使用它用來連線到裝置布建服務和 IoT 中樞的信息來設定裝置。
備妥下列資訊:
- DPS 識別碼範圍 值
- 您所建立的裝置註冊標識碼
- 個別註冊的主要金鑰,或使用群組註冊的裝置衍生密鑰。
根據IoT Edge安裝中提供的範本檔案,為您的裝置建立組態檔。
sudo cp /etc/aziot/config.toml.edge.template /etc/aziot/config.toml
開啟IoT Edge裝置上的組態檔。
sudo nano /etc/aziot/config.toml
尋找檔案的布 建 區段。 使用對稱金鑰取消批注 DPS 佈建的行,並確定已批注其他佈建行。
# DPS provisioning with symmetric key [provisioning] source = "dps" global_endpoint = "https://global.azure-devices-provisioning.net" id_scope = "PASTE_YOUR_SCOPE_ID_HERE" # Uncomment to send a custom payload during DPS registration # payload = { uri = "PATH_TO_JSON_FILE" } [provisioning.attestation] method = "symmetric_key" registration_id = "PASTE_YOUR_REGISTRATION_ID_HERE" symmetric_key = { value = "PASTE_YOUR_PRIMARY_KEY_OR_DERIVED_KEY_HERE" } # auto_reprovisioning_mode = Dynamic使用您的 DPS 和裝置資訊更新、
registration_id和symmetric_key的值id_scope。對稱金鑰參數可以接受內嵌密鑰、檔案 URI 或 PKCS#11 URI 的值。 根據您使用的格式,只取消批注一個對稱金鑰行。 使用內嵌密鑰時,請使用base64編碼的金鑰,例如範例。 使用檔案 URI 時,您的檔案應該包含金鑰的原始位元組。
如果您使用任何 PKCS#11 URI,請在 配置檔中找到 PKCS#11 區 段,並提供 PKCS#11 設定的相關信息。
如需布建組態設定的詳細資訊,請參閱 設定IoT Edge裝置設定。
或者,尋找檔案的自動重新佈建模式區段。
auto_reprovisioning_mode使用 參數來設定裝置的重新布建行為。 動態 - 當裝置偵測到裝置可能已從一個 IoT 中樞 移至另一個時重新佈建。 這是預設值。 AlwaysOnStartup - 重新啟動裝置或當機時重新佈建會導致精靈重新啟動。 OnErrorOnly - 永遠不要自動觸發裝置重新佈建。 如果裝置因連線錯誤而無法在身分識別布建期間連線到 IoT 中樞,則每個模式都會有隱含裝置重新佈建後援。 如需詳細資訊,請參閱 IoT 中樞 裝置重新佈建概念。選擇性地取消
payload批注 參數,以指定本機 JSON 檔案的路徑。 當裝置註冊時,檔案的內容會 以其他數據 的形式傳送至 DPS。 這對於自定義配置很有用。 例如,如果您想要根據 IoT 隨插即用 模型標識符配置裝置,而不需人為介入。儲存並關閉檔案。
套用您在裝置上所做的設定變更。
sudo iotedge config apply
確認安裝成功
如果運行時間已成功啟動,您可以進入您的 IoT 中樞 並開始將IoT Edge模組部署到您的裝置。
您可以確認已使用您在裝置布建服務中建立的個別註冊。 流覽至 Azure 入口網站 中的裝置布建服務實例。 開啟您所建立之個別註冊的註冊詳細數據。 請注意,已指派註冊狀態,並列出裝置標識碼。
在您的裝置上使用下列命令來確認IoT Edge是否已安裝並成功啟動。
檢查 IoT Edge 服務的狀態。
sudo iotedge system status
檢查服務記錄。
sudo iotedge system logs
列出執行中的模組。
sudo iotedge list
下一步
裝置布建服務註冊程式可讓您在布建新裝置的同時,設定裝置標識碼和裝置對應項標籤。 您可以使用這些值,以使用自動裝置管理,以個別裝置或裝置群組為目標。 瞭解如何使用 Azure 入口網站 或使用 Azure CLI 大規模部署和監視 IoT Edge 模組。