Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
La sicurezza e la scalabilità sono una priorità per la distribuzione di Operazioni di Azure IoT. Questo articolo illustra le linee guida da prendere in considerazione durante la configurazione di Operazioni di Azure IoT per la produzione.
Decidere se si sta distribuendo Operazioni di Azure IoT in un cluster a nodo singolo o multinodo prima di prendere in considerazione la configurazione appropriata. Molte delle linee guida contenute in questo articolo si applicano indipendentemente dal tipo di cluster, ma quando c'è una differenza viene chiamata specificamente.
Piattaforma
Usare un ambiente supportato per la distribuzione di Operazioni di Azure IoT nell'ambiente di produzione.
Configurazione del cluster
Assicurarsi che la configurazione hardware sia sufficiente per lo scenario e che si inizi con un ambiente sicuro.
Configurazione del sistema
Creare un cluster abilitato per Arc che soddisfi i requisiti di sistema.
- Usare un ambiente supportato per Operazioni di Azure IoT.
- Configurare il cluster in base alla documentazione.
- Se si prevede una connettività intermittente per il cluster, assicurarsi di allocare spazio su disco sufficiente ai dati e ai messaggi della cache del cluster mentre il cluster è offline. Operazioni di Azure IoT può funzionare offline per un massimo di 72 ore.
- Se possibile, disporre di un secondo cluster come area di gestione temporanea per testare le nuove modifiche prima della distribuzione nel cluster di produzione primario.
- Turn off autoupgrade for Azure Arc per avere il controllo completo su quando vengono applicati nuovi aggiornamenti al cluster. Invece, Aggiornare manualmente gli agenti in base alle esigenze.
- Per i cluster multinodo: configurare i cluster con volumi Perimetrali per prepararsi per abilitare la tolleranza di errore durante la distribuzione.
Sicurezza
Prendere in considerazione le misure seguenti per assicurarsi che la configurazione del cluster sia sicura prima della distribuzione.
- Validate images per assicurarsi che siano firmati da Microsoft.
- Quando si esegue la crittografia TLS, è possibile usare un'autorità di certificazione personalizzata e integrarsi con un'infrastruttura a chiave pubblica aziendale.
- Usare i segreti per l'autenticazione locale.
- Usare le identità gestite assegnate dall'utente per le connessioni cloud.
- Mantieni aggiornati il tuo cluster e la distribuzione di Operazioni di Azure IoT con le patch e gli aggiornamenti minori più recenti per ottenere tutte le correzioni di sicurezza e bug disponibili.
Quando si distribuisce Operazioni di Azure IoT con configurazioni sicure su AKS, Microsoft consiglia di bloccare l'accesso dei pod all'endpoint del servizio di metadati delle istanze di Azure. Per informazioni su come abilitare questa funzionalità, vedere Block pod access to the Azure Instance Metadata Service (IMDS) endpoint.
Rete
Se si usano firewall o proxy aziendali, aggiungere gli endpoint Operazioni di Azure IoT all'elenco elementi consentiti.
Osservabilità
Per le distribuzioni di produzione, implementare le risorse di osservabilità nel cluster prima di distribuire Operazioni di Azure IoT. È anche consigliabile configurare gli avvisi Prometheus in Monitoraggio di Azure.
Distribuzione
Per una distribuzione pronta per la produzione, includere le configurazioni seguenti durante la distribuzione Operazioni di Azure IoT.
Broker MQTT
Nella distribuzione guidata del portale di Azure la risorsa broker viene configurata nella scheda Configuration.
Configurare le impostazioni di cardinalità in base al profilo di memoria e alle esigenze per la gestione di connessioni e messaggi. Ad esempio, le impostazioni seguenti possono supportare un cluster a nodo singolo o multinodo:
Impostazione Nodo singolo Multinodo frontendReplicas 1 5 frontendWorkers 4 8 backendRedundancyFactor 2 2 lavoratori del backend 1 4 backendPartitions 1 5 Profilo di memoria Basso Alto Annotazioni
Il fattore di ridondanza back-end deve essere 2 o superiore. Il broker richiede almeno due repliche del backend per partizione per l'alta disponibilità e il supporto dell'aggiornamento in sequenza.
Impostare il buffer di messaggi basato su disco con dimensioni massime che impediscono l'overflow della RAM.
Registro schemi e archiviazione
Nella distribuzione guidata del portale di Azure, il Registro di sistema dello schema e il relativo account di archiviazione necessari vengono configurati nella scheda Dependency management.
- L'account di archiviazione deve avere lo spazio dei nomi gerarchico abilitato.
- L'identità gestita del registro di sistema dello schema deve disporre delle autorizzazioni di collaboratore per l'account di archiviazione.
- Per le distribuzioni di produzione, limitare l'accesso alla rete pubblica dell'account di archiviazione per consentire il traffico solo dai servizi di Azure attendibili. Per esempio:
- Nel portale Azure passare all'account di archiviazione utilizzato dal registro dello schema.
- Selezionare Sicurezza e rete > dal menu di spostamento.
- Per l'impostazione di accesso alla rete pubblica, selezionare Abilitato nelle reti virtuali e negli indirizzi IP selezionati.
- Nella sezione Exceptions della pagina di rete verificare che sia selezionata l'opzione Allow trusted servizi Microsoft per accedere a questa risorsa.
- Selezionare Salva per applicare le modifiche.
Per altre informazioni, vedere Configurare firewall e reti virtuali Archiviazione di Azure > Concedere l'accesso ai servizi di Azure attendibili.
Tolleranza di errore
Cluster multinodo: la tolleranza di errore può essere abilitata nella scheda gestione Dependency della distribuzione guidata del portale di Azure. È supportato solo nei cluster multinodo ed è consigliato per la distribuzione di produzione.
Impostazioni sicure
Durante la distribuzione, è possibile usare le impostazioni di test o le impostazioni sicure. Per le distribuzioni di produzione, scegliere impostazioni sicure. Se si sta aggiornando una distribuzione di impostazioni di test esistente per la produzione, seguire la procedura descritta in Abilitare le impostazioni sicure.
Post-distribuzione
Dopo aver distribuito Operazioni di Azure IoT, sono disponibili le configurazioni seguenti per uno scenario di produzione.
Broker MQTT
Dopo la distribuzione, è possibile modificare le risorse BrokerListener:
- Configurare TLS con la gestione automatica dei certificati per i listener.
È anche possibile modificare le risorse BrokerAuthentication.
- Usare i certificati X.509 o i token dell'account del servizio Kubernetes per l'autenticazione.
- Non usare nessuna autenticazione.
Quando si crea una nuova risorsa, gestire l'autorizzazione:
- Creare una risorsa BrokerAuthorization e fornire il privilegio minimo necessario per l'asset dell'argomento.
Connettore per OPC UA
Per la connessione agli asset in fase di produzione, configurare l'autenticazione OPC UA:
- Non usare nessuna autenticazione. La connettività ai server OPC UA non è supportata senza autenticazione.
- Configurare una connessione sicura al server OPC UA. Usare un'infrastruttura a chiave pubblica di produzione e configurare i certificati dell'applicazione e l'elenco scopi consentiti.
Flussi di dati
Quando si usano flussi di dati nell'ambiente di produzione:
- Usare l'autenticazione SAT (Service Account Token) con il broker MQTT (impostazione predefinita).
- Autenticazione dell'identità gestita sempre usata. Quando possibile, usare l'identità gestita assegnata dall'utente negli endpoint del flusso di dati per la flessibilità e il controllo.
- Ridimensionare i profili del flusso di dati per migliorare la velocità effettiva e avere disponibilità elevata.
- Raggruppare più flussi di dati nei profili del flusso di dati e personalizzare il ridimensionamento per ogni profilo di conseguenza.