Condividi tramite


Linee guida per la distribuzione di produzione

La sicurezza e la scalabilità sono una priorità per la distribuzione di Operazioni di Azure IoT. Questo articolo illustra le linee guida da prendere in considerazione durante la configurazione di Operazioni di Azure IoT per la produzione.

Decidere se si sta distribuendo Operazioni di Azure IoT in un cluster a nodo singolo o multinodo prima di prendere in considerazione la configurazione appropriata. Molte delle linee guida contenute in questo articolo si applicano indipendentemente dal tipo di cluster, ma quando c'è una differenza viene chiamata specificamente.

Piattaforma

Usare un ambiente supportato per la distribuzione di Operazioni di Azure IoT nell'ambiente di produzione.

Configurazione del cluster

Assicurarsi che la configurazione hardware sia sufficiente per lo scenario e che si inizi con un ambiente sicuro.

Configurazione del sistema

Creare un cluster abilitato per Arc che soddisfi i requisiti di sistema.

  • Usare un ambiente supportato per Operazioni di Azure IoT.
  • Configurare il cluster in base alla documentazione.
  • Se si prevede una connettività intermittente per il cluster, assicurarsi di allocare spazio su disco sufficiente ai dati e ai messaggi della cache del cluster mentre il cluster è offline. Operazioni di Azure IoT può funzionare offline per un massimo di 72 ore.
  • Se possibile, disporre di un secondo cluster come area di gestione temporanea per testare le nuove modifiche prima della distribuzione nel cluster di produzione primario.
  • Turn off autoupgrade for Azure Arc per avere il controllo completo su quando vengono applicati nuovi aggiornamenti al cluster. Invece, Aggiornare manualmente gli agenti in base alle esigenze.
  • Per i cluster multinodo: configurare i cluster con volumi Perimetrali per prepararsi per abilitare la tolleranza di errore durante la distribuzione.

Sicurezza

Prendere in considerazione le misure seguenti per assicurarsi che la configurazione del cluster sia sicura prima della distribuzione.

Quando si distribuisce Operazioni di Azure IoT con configurazioni sicure su AKS, Microsoft consiglia di bloccare l'accesso dei pod all'endpoint del servizio di metadati delle istanze di Azure. Per informazioni su come abilitare questa funzionalità, vedere Block pod access to the Azure Instance Metadata Service (IMDS) endpoint.

Rete

Se si usano firewall o proxy aziendali, aggiungere gli endpoint Operazioni di Azure IoT all'elenco elementi consentiti.

Osservabilità

Per le distribuzioni di produzione, implementare le risorse di osservabilità nel cluster prima di distribuire Operazioni di Azure IoT. È anche consigliabile configurare gli avvisi Prometheus in Monitoraggio di Azure.

Distribuzione

Per una distribuzione pronta per la produzione, includere le configurazioni seguenti durante la distribuzione Operazioni di Azure IoT.

Broker MQTT

Nella distribuzione guidata del portale di Azure la risorsa broker viene configurata nella scheda Configuration.

  • Configurare le impostazioni di cardinalità in base al profilo di memoria e alle esigenze per la gestione di connessioni e messaggi. Ad esempio, le impostazioni seguenti possono supportare un cluster a nodo singolo o multinodo:

    Impostazione Nodo singolo Multinodo
    frontendReplicas 1 5
    frontendWorkers 4 8
    backendRedundancyFactor 2 2
    lavoratori del backend 1 4
    backendPartitions 1 5
    Profilo di memoria Basso Alto

    Annotazioni

    Il fattore di ridondanza back-end deve essere 2 o superiore. Il broker richiede almeno due repliche del backend per partizione per l'alta disponibilità e il supporto dell'aggiornamento in sequenza.

  • Crittografare il traffico interno.

  • Impostare il buffer di messaggi basato su disco con dimensioni massime che impediscono l'overflow della RAM.

Registro schemi e archiviazione

Nella distribuzione guidata del portale di Azure, il Registro di sistema dello schema e il relativo account di archiviazione necessari vengono configurati nella scheda Dependency management.

  • L'account di archiviazione deve avere lo spazio dei nomi gerarchico abilitato.
  • L'identità gestita del registro di sistema dello schema deve disporre delle autorizzazioni di collaboratore per l'account di archiviazione.
  • Per le distribuzioni di produzione, limitare l'accesso alla rete pubblica dell'account di archiviazione per consentire il traffico solo dai servizi di Azure attendibili. Per esempio:
    1. Nel portale Azure passare all'account di archiviazione utilizzato dal registro dello schema.
    2. Selezionare Sicurezza e rete > dal menu di spostamento.
    3. Per l'impostazione di accesso alla rete pubblica, selezionare Abilitato nelle reti virtuali e negli indirizzi IP selezionati.
    4. Nella sezione Exceptions della pagina di rete verificare che sia selezionata l'opzione Allow trusted servizi Microsoft per accedere a questa risorsa.
    5. Selezionare Salva per applicare le modifiche.

Per altre informazioni, vedere Configurare firewall e reti virtuali Archiviazione di Azure > Concedere l'accesso ai servizi di Azure attendibili.

Tolleranza di errore

Cluster multinodo: la tolleranza di errore può essere abilitata nella scheda gestione Dependency della distribuzione guidata del portale di Azure. È supportato solo nei cluster multinodo ed è consigliato per la distribuzione di produzione.

Impostazioni sicure

Durante la distribuzione, è possibile usare le impostazioni di test o le impostazioni sicure. Per le distribuzioni di produzione, scegliere impostazioni sicure. Se si sta aggiornando una distribuzione di impostazioni di test esistente per la produzione, seguire la procedura descritta in Abilitare le impostazioni sicure.

Post-distribuzione

Dopo aver distribuito Operazioni di Azure IoT, sono disponibili le configurazioni seguenti per uno scenario di produzione.

Broker MQTT

Dopo la distribuzione, è possibile modificare le risorse BrokerListener:

È anche possibile modificare le risorse BrokerAuthentication.

Quando si crea una nuova risorsa, gestire l'autorizzazione:

Connettore per OPC UA

Per la connessione agli asset in fase di produzione, configurare l'autenticazione OPC UA:

Flussi di dati

Quando si usano flussi di dati nell'ambiente di produzione: