Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Quando si distribuisce Operazioni di Azure IoT, si installa una suite di servizi in un cluster Kubernetes abilitato per Azure Arc. Questo articolo offre una panoramica delle diverse opzioni di distribuzione da considerare per lo scenario.
Ambienti supportati
Ambienti di Windows supportati
Microsoft supporta le distribuzioni Kubernetes seguenti per le distribuzioni di Operazioni di Azure IoT in Windows. La tabella seguente illustra in dettaglio i livelli di supporto e le versioni Microsoft usate per convalidare le distribuzioni:
| Distribuzione di Kubernetes | Architecture | Livello di supporto | Versione convalidata minima |
|---|---|---|---|
| .NET Aspire | x86_64 | Anteprima pubblica | AksEdge-K3s-1.30.6-1.11.247.0 |
| AKS in Azure Locale | x86_64 | Anteprima pubblica | Azure Stack sistema operativo HCI versione 23H2, build 2411 |
- La versione convalidata minimum è la versione più bassa della distribuzione Kubernetes usata Microsoft per convalidare le distribuzioni Operazioni di Azure IoT.
Ambienti Linux supportati
Microsoft supporta le distribuzioni Kubernetes seguenti per le distribuzioni di Operazioni di Azure IoT in ambienti Linux. La tabella seguente elenca i livelli di supporto e le versioni Microsoft usano per convalidare le distribuzioni:
| Distribuzione di Kubernetes | Architecture | Livello di supporto | Versione convalidata minima | Sistema operativo convalidato minimo |
|---|---|---|---|---|
| K3s | x86_64 | Disponibilità generale | 1.33.6 |
Ubuntu 24.04, Red Hat Enterprise Linux (RHEL) 9.x |
| Rilascio di Tanzu Kubernetes (TKr) | x86_64 | Disponibilità generale | 1.28.11 | Tanzu Kubernetes Grid 2.5.2 |
| RKE2 | x86_64 | Disponibilità generale | v1.35.0+rke2r1 | Sistemi operativi |
- La versione convalidata minimum è la versione più bassa della distribuzione Kubernetes usata Microsoft per convalidare le distribuzioni Operazioni di Azure IoT.
- Il sistema operativo convalidato minimo è la versione più bassa del sistema operativo che Microsoft utilizza per convalidare le distribuzioni.
Nota
I record di utilizzo della fatturazione vengono raccolti in qualsiasi ambiente in cui si installa Operazioni di Azure IoT, indipendentemente dai livelli di supporto o disponibilità.
Per installare Operazioni di Azure IoT, è necessario disporre dei requisiti hardware seguenti. Se si usa un cluster multinodo che consente la tolleranza di errore, aumentare la capacità consigliata per ottenere prestazioni migliori.
| Specifica | Minima | Consigliata |
|---|---|---|
| Capacità di memoria hardware (RAM) | 16 GB | 32 GB |
| Memoria disponibile per Operazioni di Azure IoT (RAM) | 10 GB | A seconda dell'utilizzo |
| CPU (unità centrale di elaborazione) | 4 vCPU | 8 vCPU |
Nota
La configurazione minima è appropriata solo quando si esegue Operazioni di Azure IoT.
Scegliere le funzionalità
Operazioni di Azure IoT offre due modalità di distribuzione. È possibile scegliere di eseguire la distribuzione con le impostazioni di test, un subset di base di funzionalità più semplici da iniziare a utilizzare per gli scenari di valutazione. In alternativa, è possibile scegliere di eseguire la distribuzione con le impostazioni di sicurezza, ovvero il set di funzionalità completo.
Distribuzione con le impostazioni di test
Una distribuzione con solo le impostazioni di test presenta le caratteristiche seguenti:
- Non configura segreti o funzionalità di identità gestite assegnate dall'utente.
- È progettato per abilitare l'esempio di avvio rapido end-to-end a scopo di valutazione, quindi supporta il simulatore OPC PLC e si connette alle risorse cloud usando l'identità gestita assegnata dal sistema.
- È possibile aggiornarlo per usare le impostazioni sicure.
Per un'esperienza di avvio rapido, usare lo scenario Quickstart: Eseguire Operazioni di Azure IoT in GitHub Codespaces con K3s. Questo scenario usa una distribuzione Kubernetes leggera (K3s) e viene eseguita in GitHub Codespaces, quindi non è necessario configurare un cluster o installare strumenti in locale.
Per distribuire Operazioni di Azure IoT con le impostazioni di test, seguire questi articoli:
- Inizia con Prepara il cluster Kubernetes compatibile con Azure Arc per configurare e abilitare il cluster per Arc.
- Seguire quindi i passaggi descritti in Deploy Operazioni di Azure IoT a un cluster di test.
Suggerimento
In qualsiasi momento, è possibile aggiornare un'istanza di Operazioni di Azure IoT per usare le impostazioni protette seguendo la procedura descritta in Abilita le impostazioni sicure.
Distribuzione con le impostazioni di sicurezza
Una distribuzione con impostazioni sicure presenta le caratteristiche seguenti:
- È progettato per scenari pronti per la produzione.
- Abilita i segreti e l'identità gestita assegnata dall'utente, entrambe funzionalità importanti per lo sviluppo di uno scenario pronto per la produzione. I segreti vengono usati ogni volta che Operazioni di Azure IoT componenti si connettono a una risorsa all'esterno del cluster, ad esempio un server OPC UA o un endpoint del flusso di dati.
Per distribuire Operazioni di Azure IoT con impostazioni sicure, seguire questi articoli:
- Iniziare con Prepare il cluster Kubernetes abilitato per Azure Arc per configurare e abilitare Arc per il cluster.
- Seguire quindi i passaggi descritti in Deploy Operazioni di Azure IoT in un cluster di produzione.
Quando si distribuisce Operazioni di Azure IoT con configurazioni sicure su AKS, Microsoft consiglia di bloccare l'accesso dei pod all'endpoint del servizio di metadati delle istanze di Azure. Per informazioni su come abilitare questa funzionalità, vedere Block pod access to the Azure Instance Metadata Service (IMDS) endpoint.
Autorizzazioni necessarie
La tabella seguente descrive Operazioni di Azure IoT attività di distribuzione e gestione che richiedono autorizzazioni elevate. Per informazioni sull'assegnazione dei ruoli agli utenti, vedere Steps per assegnare un ruolo Azure.
| Attività | Autorizzazione necessaria | Commenti |
|---|---|---|
| Distribuire Operazioni di Azure IoT | Ruolo di onboarding di Operazioni di Azure IoT | Questo ruolo dispone di tutte le autorizzazioni necessarie per leggere e scrivere operazioni di Azure IoT e Azure risorse del Registro di sistema dei dispositivi. Questo ruolo ha autorizzazioni Microsoft.Authorization/roleAssignments/write. |
| Registrare i provider di risorse | Ruolo Collaboratore a livello di sottoscrizione | È necessario eseguire questa operazione una sola volta per ogni sottoscrizione. È necessario registrare i provider di risorse seguenti: Microsoft.ExtendedLocation, Microsoft.SecretSyncController, Microsoft.Kubernetes, Microsoft.KubernetesConfiguration, Microsoft.IoTOperations e Microsoft.DeviceRegistry. |
| Creare segreti in Key Vault | Ruolo di Responsabile dei segreti di Key Vault a livello di risorsa | Obbligatorio solo per la distribuzione di impostazioni sicure per sincronizzare i segreti da Azure Key Vault. |
| Creare e gestire account di archiviazione | Ruolo Collaboratore account di archiviazione | Obbligatorio per la distribuzione di Operazioni di Azure IoT. |
| Creare un gruppo di risorse | Ruolo Collaboratore gruppo di risorse | Necessario per creare un gruppo di risorse per l'archiviazione delle risorse Operazioni di Azure IoT. |
| Integrare un cluster con Azure Arc | Cluster Kubernetes - Ruolo di onboarding di Azure Arc | I cluster con abilitazione di Arc sono necessari per distribuire Operazioni di Azure IoT. |
| Gestire la distribuzione del bridge delle risorse di Azure | ruolo di distribuzione Azure Resource Bridge | Obbligatorio per distribuire Operazioni di Azure IoT. |
| Fornire le autorizzazioni per la distribuzione | Ruolo utente del cluster Kubernetes con Azure Arc | Obbligatorio per concedere l'autorizzazione di distribuzione al cluster Kubernetes abilitato per Azure Arc. |
Suggerimento
È necessario abilitare la sincronizzazione delle risorse nell'istanza di Operazioni di Azure IoT per usare le funzionalità di individuazione automatica degli asset dei servizi Akri. Per altre informazioni, vedere Che cos'è l'individuazione degli asset OPC UA?
Se si usa il interfaccia della riga di comando di Azure per assegnare i ruoli, usare il comando az role assignment create per concedere le autorizzazioni. Ad esempio, az role assignment create --assignee sp_name --role "Role Based Controllo di accesso Administrator" --scope subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/MyResourceGroup
Se si usa il portale di Azure per assegnare ruoli amministratore privilegiati a un utente o a un principale, viene richiesto di limitare l'accesso imponendo condizioni. Per questo scenario, selezionare la condizione Consenti all'utente di assegnare tutti i ruoli nella pagina Aggiungi assegnazione di ruolo.
Organizzare le istanze tramite i siti
Operazioni di Azure IoT supporta i siti di Azure Arc per organizzare le istanze. Un site è una risorsa cluster in Azure come un gruppo di risorse, ma i siti raggruppano in genere le istanze in base alla posizione fisica e semplificano l'individuazione e la gestione degli asset da parte degli utenti OT. Un amministratore IT crea siti e li definisce come ambito per una sottoscrizione o un gruppo di risorse. Qualsiasi operazione di Azure IoT distribuita in un cluster abilitato per Arc viene raccolta automaticamente nel sito associato alla sottoscrizione o al gruppo di risorse.
Per altre informazioni, vedere Che cos'è Azure Arc Gestore del sito (anteprima)?
Endpoint di Operazioni di Azure IoT
Se si usano firewall aziendali o proxy per gestire il traffico in uscita, configurare gli endpoint seguenti prima di distribuire Operazioni di Azure IoT.
Endpoint negli endpoint di Kubernetes abilitati per Azure Arc.
Nota
Se si usa Azure Arc Gateway per connettere il cluster ad Arc, è possibile configurare un set più piccolo di endpoint in base alle linee guida Arc Gateway.
Endpoint in endpoint dell'interfaccia della riga di comando di Azure.
È necessario
graph.windows.net,*.azurecr.io,*.blob.core.windows.nete*.vault.azure.netda questo elenco di endpoint.Per eseguire il push dei dati nel cloud, abilitare gli endpoint seguenti in base alla piattaforma dati scelta.
- Microsoft Fabric OneLake: Aggiungi URL Fabric all'elenco elementi consentiti.
- Hub eventi: Risoluzione dei problemi di connettività - Hub eventi di Azure.
- Griglia di eventi: Risoluzione dei problemi di connettività - Griglia di eventi di Azure.
- Azure Data Lake Storage Gen 2: endpoint standard dell'account di archiviazione.
Operazioni di Azure IoT usa un registro schemi basato sul cloud che richiede l'accesso a un contenitore di Archiviazione BLOB di Azure fornito dal cliente. Affinché il Registro schemi acceda al contenitore, il contenitore deve esporre un endpoint pubblico o designare il registro dello schema del Registro di sistema dispositivi Azure (
Microsoft.DeviceRegistry/schemaRegistries) come servizio Azure attendibile . Ciò non influisce sulle configurazioni del firewall o del proxy del cliente nella rete perimetrale. Per ulteriori informazioni, vedere Registro degli schemi e memorizzazione.Endpoint (DNS) Descrizione <customer-specific>.blob.core.windows.netArchiviazione per il Registro schemi. Fare riferimento agli endpoint dell'account di archiviazione per identificare il sottodominio specifico del cliente dell'endpoint.
Residenza dei dati
Azure Resource Manager consente di gestire e controllare l'istanza di Operazioni di Azure IoT nel cluster Kubernetes dal cloud usando il portale di Azure o interfaccia della riga di comando di Azure. Sebbene sia necessario distribuire le risorse di Azure Resource Manager per Operazioni di Azure IoT in un'area supportata contemporaneamente, è possibile scegliere dove risiedono fisicamente i carichi di lavoro operativi e i dati. Il runtime e il calcolo di Operazioni di Azure IoT rimangono nei tuoi locali e sotto il tuo controllo.
Questa architettura garantisce le caratteristiche seguenti della distribuzione:
- Tutti i processi operativi e i carichi di lavoro vengono eseguiti nell'infrastruttura locale.
- Per rispettare i requisiti di residenza dei dati, scegliere l'area Azure per qualsiasi risorsa di archiviazione dati o elaborazione dati usata dalla soluzione.
- I trasferimenti di dati direttamente tra l'infrastruttura locale e le risorse di archiviazione e elaborazione Azure. I dati non passano attraverso le risorse Operazioni di Azure IoT nel cloud.
- La posizione del Azure Resource Manager per l'istanza di Operazioni di Azure IoT è un riferimento logico per la gestione e l'orchestrazione.
- Non vengono rilocati i dati di produzione dei clienti. Alcuni dati di telemetria di sistema, ad esempio metriche e log, usati per il miglioramento del servizio e l'identificazione proattiva dei problemi di infrastruttura possono passare all'area Azure in cui si trovano le risorse Operazioni di Azure IoT.
Il diagramma seguente illustra una distribuzione di esempio che illustra come mantenere la sovranità dei dati nell'infrastruttura locale, usando facoltativamente un'area Azure diversa per l'archiviazione e l'elaborazione dei dati. In questo esempio:
- Operazioni di Azure IoT risorse di gestione vengono distribuite nell'area US West. Questa area è una delle aree supportate per Operazioni di Azure IoT.
- I carichi di lavoro operativi e i dati rimangono in sede e nel perimetro sotto il controllo completo per garantire la localizzazione dei dati e la sovranità dei dati.
- Le risorse di archiviazione ed elaborazione dei dati vengono distribuite nell'area canada centrale per soddisfare specifici requisiti di residenza dei dati a livello di area.
Passaggi successivi
Preparare il cluster Kubernetes abilitato per Azure Arc per configurare e abilitare Arc su un cluster per Operazioni di Azure IoT.