當您部署 Azure IoT 操作時,您會在已啟用 Azure Arc 的 Kubernetes 叢集上安裝一組服務。 本文提供針對您的案例考慮的不同部署選項概觀。
支援的環境
支援的 Windows 環境
Microsoft 支援下列 Kubernetes 散發套件,適用於 Windows 上的 Azure IoT 作業部署。 下表詳細說明其支援層級,以及 Microsoft 用來驗證部署的版本:
| Kubernetes 分佈 | Architecture | 支援層級 | 最低驗證版本 |
|---|---|---|---|
| AKS 邊緣程式集 | x86_64 | 公開預覽 | AksEdge-K3s-1.29.6-1.8.202.0 |
| Azure Local 上的 AKS | x86_64 | 公開預覽 | Azure Stack HCI 作業系統版本 23H2,版本 2411 |
- 最低驗證版本是 Microsoft 用來驗證 Azure IoT 作業部署的 Kubernetes 散發版本。
支援的 Linux 環境
Microsoft 支援下列 Kubernetes 散發套件,適用於 Linux 環境中的 Azure IoT 作業部署。 下表列出其支援層級,以及 Microsoft 用來驗證部署的版本:
| Kubernetes 分佈 | Architecture | 支援層級 | 最低驗證版本 | 最低驗證作業系統 |
|---|---|---|---|---|
| K3s | x86_64 | 正式發行 | 1.31.1 | Ubuntu 24.04 |
| Tanzu Kubernetes 版本(TKr) | x86_64 | 正式發行 | 1.28.11 | Tanzu Kubernetes Grid 2.5.2 |
- 最低驗證版本是 Microsoft 用來驗證 Azure IoT 作業部署的 Kubernetes 散發版本。
- 最低驗證的 OS 是 Microsoft 用來驗證部署的最低作業系統版本。
這很重要
Azure IoT 作業部署的支援僅適用於 TKr 1.28.11 版。
附註
無論支援或可用性層級為何,都會在安裝 Azure IoT 操作的任何環境中收集計費使用量記錄。
若要安裝 Azure IoT 操作,請針對 Azure IoT 操作提供下列硬體需求。 如果您使用啟用容錯的多節點叢集,請相應擴大為建議的容量,以提升效能。
| 規格 | 最小值 | 建議 |
|---|---|---|
| 硬體記憶體容量 (RAM) | 16 GB | 32 GB |
| 適用於 Azure IoT 操作的可用記憶體 (RAM) | 10 GB | 視使用量而定 |
| CPU | 4 個 vCPU | 8 個 vCPU |
附註
僅執行 Azure IoT Operations 時,最低設定是合適的。
選擇您的功能
Azure IoT 操作提供兩種部署模式。 您可以選擇使用 [測試設定] 進行部署,這是比較容易開始評估案例的基本功能子集。 或者,您可以選擇使用 [安全設定] 進行部署,這是完整的功能集。
測試設定部署
僅具有測試設定的部署具有下列特性:
- 它不會設定祕密或使用者指派的受控識別功能。
- 它設計用來啟用端對端快速啟動範例以供評估,因此支援 OPC PLC 模擬器,並透過系統指派的管理身份連接雲端資源。
- 你可以升級為使用安全設定。
如需快速入門體驗,您可以使用快速入門:使用 K3s 在 GitHub Codespaces 中執行 Azure IoT 操作案例。 此案例使用輕量型 Kubernetes 發行版本 (K3s),並在 GitHub Codespaces 中執行,因此您不需要在本機設定叢集或安裝任何工具。
若要部署具有測試設定的 Azure IoT 操作,請遵循下列文章:
- 從準備已啟用 Azure Arc 的 Kubernetes 叢集開始,設定和啟用 Arc 叢集。
- 然後,遵循將 Azure IoT 操作部署至測試叢集 (部分機器翻譯) 中的步驟。
小提示
您可以隨時遵循啟用安全設定中的步驟,升級 Azure IoT 操作執行個體以使用安全設定。
安全設定部署
具有安全設定的部署具有下列特性:
- 它是為生產就緒場景設計的。
- 它能啟用機密資訊與由使用者指派的受管理身分,這兩者都是用於開發生產就緒場景的重要功能。 當 Azure IoT Operations 元件連接叢集外的資源時,會使用 Secret 功能,例如 OPC UA 伺服器或資料流端點。
若要部署具有安全設定的 Azure IoT 操作,請遵循下列文章:
- 從準備已啟用 Azure Arc 的 Kubernetes 叢集開始,設定和啟用 Arc 叢集。
- 然後,遵循將 Azure IoT 操作部署至生產叢集 (部分機器翻譯) 中的步驟。
所需的權限
下表說明需要提高權限的 Azure IoT 操作部署和管理工作。 如需將角色指派給使用者的相關資訊,請參閱指派 Azure 角色的步驟。
| 任務 | 必要權限 | 註解 |
|---|---|---|
| 部署 Azure IoT 操作 | Azure IoT 操作上線角色 (部分機器翻譯) | 此角色具有讀取和寫入 Azure IoT 操作和 Azure 裝置登錄檔資源所需的所有必要權限。 此角色具有 Microsoft.Authorization/roleAssignments/write 權限。 |
| 註冊資源提供者 | 訂用帳戶層級的參與者角色 (部分機器翻譯) | 每個訂用帳戶只需要執行一次。 您需要註冊下列資源提供者:Microsoft.ExtendedLocation、Microsoft.SecretSyncController、Microsoft.Kubernetes、Microsoft.KubernetesConfiguration、Microsoft.IoTOperations,以及 Microsoft.DeviceRegistry。 |
| 在 Key Vault 中建立秘密 | 資源層級的 Key Vault 祕密員角色 (部分機器翻譯) | 僅限安全設定部署的必要項目,以便同步來自 Azure Key Vault 的祕密。 |
| 建立及管理儲存體帳戶 | 儲存體帳戶參與者角色 (部分機器翻譯) | Azure IoT 操作部署的必要項目。 |
| 建立資源群組 | 資源群組參與者角色 | 建立資源群組的必要項目,以便儲存 Azure IoT 操作資源。 |
| 將叢集上線至 Azure Arc | Kubernetes 叢集 - Azure Arc 上線角色 (部分機器翻譯) | 需要已啟用 Arc 的叢集才能部署 Azure IoT 操作。 |
| 管理 Azure 資源橋接器的部署 | Azure 資源橋接器部署角色 (部分機器翻譯) | 部署 Azure IoT 操作的必要項目。 |
| 提供部署權限 | 已啟用 Azure Arc 的 Kubernetes 叢集使用者角色 (部分機器翻譯) | 授與已啟用 Azure Arc 之 Kubernetes 叢集部署權限的必要項目。 |
小提示
您必須在 Azure IoT 作業執行個體上啟用資源同步處理,才能使用 Akri 服務的自動資產探索功能。 若要深入瞭解,請參閱 什麼是 OPC UA 資產探索?。
如果您使用 Azure CLI 指派角色,請使用 az role assignment create 命令來授與權限。 例如,az role assignment create --assignee sp_name --role "Role Based Access Control Administrator" --scope subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/MyResourceGroup
如果您使用 Azure 入口網站 將特殊權限系統管理員角色指派給使用者或主體,系統會提示您使用條件來限制存取權。 在此案例中,選取 [新增角色指派] 頁面中的 [允許使用者指派所有角色] 條件。
使用網站組織執行個體
Azure IoT 操作支援 Azure Arc 網站來組織執行個體。 網站是 Azure 中的叢集資源,像是資源群組,但網站通常會依實體位置將執行個體分組,並讓 OT 使用者更容易找到及管理資產。 IT 系統管理員會建立網站,並將其範圍設定為訂用帳戶或資源群組。 然後,部署至已啟用 Arc 叢集的任何 Azure IoT 操作都會自動收集在其訂用帳戶或資源群組相關聯的網站中
如需詳細資訊,請參閱什麼是 Azure Arc 網站管理員 (預覽版)?
Azure IoT 操作端點
如果您使用企業防火牆或 Proxy 來管理輸出流量,請先設定下列端點,再部署 Azure IoT 操作。
已啟用 Azure Arc 的 Kubernetes 端點中的端點。
附註
如果您使用 Azure Arc 閘道將叢集連線至 Arc,您可以根據 Arc 閘道指引來設定較小的端點集。
Azure CLI 端點中的端點。
你需要從這個端點清單中取得
graph.windows.net、*.azurecr.io、*.blob.core.windows.net和*.vault.azure.net。Azure IoT 操作需要下列端點:
端點 (DNS) 描述 <customer-specific>.blob.core.windows.net結構描述登錄的儲存體。 請參閱儲存體帳戶端點,以識別端點的客戶特定子網域。 若要將資料推送至雲端,請根據您選擇的資料平台啟用下列端點。
- Microsoft Fabric OneLake:將網狀架構 URL 新增至您的允許清單。
- Azure 事件中樞:針對連線問題進行疑難排解 - Azure 事件中樞。
- Azure 事件方格:針對連線問題進行疑難排解 - Azure 事件方格。
- Azure Data Lake Storage Gen 2:儲存體帳戶標準端點。
資料存放位置
Azure Resource Manager 讓你可以透過 Azure 入口網站或 Azure CLI 從雲端管理並控制 Kubernetes 叢集中的 Azure IoT Operations 實例。 雖然您必須將 Azure IoT Operations 的 Azure Resource Manager 資源部署到 目前支援的區域,但您可以選擇營運工作負載與資料實際存放的位置。 Azure 物聯網營運執行環境與運算仍留在您的用戶端,並由您控制。
此架構確保部署具備以下特性:
- 所有營運流程與工作負載皆運行於您自己的本地基礎設施上。
- 為了符合您的資料駐留需求,請選擇 Azure 區域作為您解決方案所使用的資料儲存或資料處理資源。
- 資料會直接在你的本地基礎設施與 Azure 儲存及處理資源之間傳輸。 你的資料不會經過雲端的 Azure IoT Operations 資源。
- Azure IoT Operations 實例的 Azure 資源管理器位置是管理與協調的邏輯參考。
- 不會重新定位客戶生產資料。 部分系統遙測資料,如指標與日誌,用於服務改進及主動識別基礎設施問題,可能會流向你 Azure 物聯網營運資源所在的 Azure 區域。
下圖展示了一個部署範例,說明如何在本地基礎設施上維持資料主權,同時可選擇使用不同的 Azure 區域進行資料儲存與處理。 在此範例中:
- Azure 物聯網營運管理資源部署於 美國西部 區域。 此區域是 Azure 物聯網營運所支援的區域之一。
- 營運工作負載與資料仍置於邊緣本地端,由您完全掌控,確保資料的駐留性與主權性。
- 資料儲存與處理資源部署於 加拿大中部 地區,以符合特定區域資料駐留需求。
後續步驟
準備已啟用 Azure Arc 的 Kubernetes 叢集,以針對 Azure IoT 操作設定和啟用 Arc 叢集。