Migrace z Azure Sphere (starší verze) na Azure Sphere (integrovaná)
27. září 2027 azure Sphere vyřadí rozhraní starší verze služeb, rozhraní API Azure Sphere (starší verze) (označované také jako PAPI) a Azure Sphere CLI (označované také jako azsphere). Všichni uživatelé Azure Sphere (starší verze) musí migrovat do Azure Sphere (integrované) před tímto datem. Azure Sphere (integrovaná) je nativní pro platformu Azure a poskytuje podobné nahrazení rozhraní Azure Sphere (starší verze). Azure Sphere (integrovaný) také nabízí významná vylepšení zabezpečení (integrace Azure RBAC), použitelnosti (integrace webu Azure Portal) a pozorovatelnost/upozorňování (integrace služby Azure Monitor). Další informace naleznete v tomto blogu.
Tento článek je navržený tak, aby správcům a technickým týmům Azure Sphere pomohl pochopit a naplánovat migraci. Navrhli jsme proces migrace, který vám umožní spravovat zařízení Azure Sphere v Azure Sphere (integrované) i Azure Sphere (starší verze) podle potřeby v rámci projektu migrace. Vaše starší verze skriptů, automatizace a rozhraní navíc můžou fungovat bez přerušení, zatímco technický tým sestavuje a testuje aktualizované verze založené na Azure Sphere (integrované).
Proces migrace je možné rozdělit do následujících oblastí práce:
- Integrace staršího tenanta do katalogu Azure Sphere na webu Azure Portal
- Migrace interaktivních uživatelských pracovních postupů
- Migrace automatizovaných procesů a rozhraní
Integrace tenanta Azure Sphere (starší verze) do katalogu Azure Sphere
Tento první krok v procesu migrace musí být dokončen před zahájením jakékoli jiné práce. Funkce Integrace na webu Azure Portal připraví tenanta Azure Sphere (starší verze) ke správě v prostředí Azure, kde se stane katalogem Azure Sphere. Tenant a jeho prostředky zůstávají stejné s výjimkou, že k nim teď můžete přistupovat a spravovat také prostřednictvím uživatelských rozhraní Azure, včetně webu Azure Portal, rozšíření Azure Sphere pro Azure CLI a Azure Sphere pro PowerShell.
Proces integrace provádí dva kroky:
- Přiřadí ID prostředku Azure ke každému prostředku v tenantovi, což umožňuje správu prostředku pomocí Azure Resource Manageru.
- Mapuje role přístupu uživatelů starší verze tenanta na role přístupu uživatelů spravované řízením přístupu na základě rolí Azure (RBAC). Když se během procesu integrace zobrazí navrhovaná mapování rolí přístupu, můžete je přijmout, upravit nebo odmítnout. Po dokončení kroku integrace můžete kdykoli upravit uživatelský přístup.
Krok integrace obvykle trvá jenom několik minut a po dokončení může každý uživatel, kterému byl udělen přístup během integrace, okamžitě začít spravovat nový katalog Azure Sphere v libovolném uživatelském rozhraní Azure. Proces integrace nezablokuje žádný existující pracovní postup a doporučujeme, abyste mohli začít zkoumat nová rozhraní a výhody Azure Sphere. Po dokončení můžete začít s prací na migraci.
Migrace interaktivních uživatelských pracovních postupů
Interaktivní pracovní postupy jsou ty, ve kterých jednotlivec používá rozhraní příkazového řádku "azsphere" (nebo používá skript, který pak k provedení úlohy používá příkaz "azsphere". K takovým interaktivním pracovním postupům může dojít jako součást výroby (např. deklarace nových zařízení do vašeho tenanta), operací (např. správa certifikátů souvisejících s vaším tenantem) nebo případy použití vývojářů (např. nastavení vývojářského zařízení tak, aby nezístane aktualizace nad rámec airu).
Při plánování migrace pracovních postupů je potřeba zvážit trénování uživatelů, aktualizaci interní dokumentace a v případech, kdy se skripty používají interaktivně a aktualizují tyto skripty. Můžete také zvážit využití dvou klíčových vylepšení v Azure Sphere (integrované): zjednodušené rozhraní Azure Sphere na webu Azure Portal a robustní správa přístupu uživatelů v Řízení přístupu na základě role v Azure (RBAC).
Je důležité zvážit, jestli je konkrétní pracovní postup uživatele lépe dokončený ve webovém rozhraní než v rozhraní příkazového řádku. Azure Sphere (integrované) umožňuje spravovat katalog na webu Azure Portal a pro mnoho interaktivních uživatelských pracovních postupů nabízí portál bohatší a jednodušší uživatelské prostředí. Například na webu Azure Portal můžete současně nahrávat a nasazovat image v jednom kroku, jak je znázorněno níže.
Za druhé, zvažte, jak můžete omezit přístup uživatelů efektivněji. Azure Sphere (integrované) podporuje řízení přístupu na základě role (RBAC) Azure, které umožňuje mnohem robustnější a jemněji odstupňovaný uživatelský přístup než Azure Sphere (starší verze).
Jedná se o model s nejmenšími oprávněními navržený tak, aby udělil jednotlivým uživatelům přístup pouze k prostředkům požadovaným pro úlohu a také oprávnění k provádění pouze akcí uživatelů nezbytných pro úlohu. Například v katalogu Azure Sphere můžete uživateli povolit zobrazení skupiny produkčních zařízení a vytvořit nová nasazení v této skupině zařízení, ale konkrétně jim zabránit v přesunu zařízení do nebo ze skupiny zařízení nebo v zobrazení jiných skupin zařízení v katalogu.
Pokud jste Azure RBAC ještě nepoužívali, doporučujeme si přečíst další informace o základních konceptech Azure RBAC, jako je rozsah a hierarchie prostředků, protože jsou klíčové pro pochopení dopadů použití konkrétní role RBAC na katalog a na podřízený prostředek katalogu, jako je skupina zařízení.
Abychom vám pomohli, poskytli jsme ukázkovou konfiguraci RBAC pro několik podnikových uživatelů , kteří ilustrují některé osvědčené postupy pro RBAC pro Azure Sphere. Ukázka zvýrazňuje oprávnění přizpůsobená běžným potřebám podnikových uživatelů, včetně softwarových inženýrů vytvářejících aplikace pro zařízení Azure Sphere, techniků OT, kteří spravují produkční flotily zařízení Azure Sphere, a výrobců, kteří vytvářejí zařízení Azure Sphere.
Odebrání přístupu uživatele k tenantovi Azure Sphere (starší verze)
Jakmile se pracovní postup migruje a vaši uživatelé používají Azure Sphere (integrovaný) na plný úvazek, důrazně doporučujeme odebrat oprávnění jednotlivých uživatelů ze staršího tenanta, aby se eliminoval nezamýšlený přístup. Jinak může uživatel přejít k jemně odstupňovaným řízením přístupu, které jste nakonfigurovali v Azure RBAC, a to tím, že bude pokračovat v používání starší verze. Odebrání přístupu starší verze uživatele vám také pomůže zajistit, aby tito uživatelé mohli úspěšně provádět všechny požadované úlohy v Azure Sphere (integrované) a nebudou ovlivněni vyřazením starší verze.
Uživatelé, kteří pracují na převodu nebo testování automatizovaných procesů, si mohou po delší dobu zachovat přístupová oprávnění starší verze tenanta.
Migrace automatizovaných procesů a rozhraní
Kromě migrace interaktivních pracovních postupů, pokud vaše organizace vytvořila automatizované procesy, které používají skripty Azure Sphere (starší verze) nebo uživatelská rozhraní založená na rozhraní API Azure Sphere (starší verze), budete muset tyto procesy přepracovat tak, aby používaly Azure Sphere (integrované). Pokud chcete proces migrace co nejsnadněji usnadnit, můžete aktivně vyvíjet a testovat aktualizovanou automatizaci, zatímco vaše produkční automatizace založená na starší verzi běží bez přerušení. Při testování příkazů, které nelze vrátit zpět, je potřeba věnovat pozornost například deklaraci zařízení do katalogu, ve kterém nechcete, aby se dlouhodobě nacházet.
Pro každé rozhraní, které vytváříte v rozhraní API Azure Sphere (integrované), musíte vytvořit přístupový token Microsoft Entra, který rozhraní umožní přístup ke koncovému bodu rozhraní. Informace o přístupových tokenech a volání rozhraní Azure REST API najdete v referenční dokumentaci k rozhraní Azure REST API.
Po nasazení aktualizovaných automatizovaných procesů a rozhraní do produkčního prostředí byste měli odebrat přístup Azure Sphere (starší verze) k instančním objektům, které se používají k ověřování starých automatizací a rozhraní založených na starší verzi. Odebráním veškerého přístupu instančního objektu zajistíte, že všechny vaše automatizované procesy budou plně migrovány a nebudou ovlivněny vyřazením starší verze.
Vypnutí zbývajícího přístupu ke staršímu tenantovi
Posledním krokem v procesu migrace je odebrání veškerého zbývajícího přístupu k Azure Sphere (starší verze). V současné době vyžadují tenanti Azure Sphere (starší verze) alespoň jeden aktivní účet správce starší verze, i když je tenant integrovaný do webu Azure Portal. Pracujeme na funkci, která vám umožní odstranit poslední starší účet správce tenanta, ale v tuto chvíli není k dispozici. Až tuto funkci vydáme, oznámíme její dostupnost ve službě Azure Update.
Využití funkcí dostupných v Azure Sphere (integrované)
I když není nutné používat Azure Sphere (integrované), důrazně doporučujeme, abyste v rámci plánu migrace prozkoumali a využili výhod ostatních výkonných služeb Azure, které jsou teď dostupné pro Azure Sphere.
Jedním z nejvýkonnějších je Azure Monitor. Azure Monitor nabízí celou řadu funkcí monitorování vozového parku, jako je shromažďování metrik výkonu a diagnostická data, a dotazování událostí v protokolech aktivit ze zařízení Azure Sphere i ze služby zabezpečení Azure Sphere.
Pomocí dat Azure Monitoru můžete korelovat stav vozového parku zařízení s událostmi, ke kterým dochází ve službě zabezpečení Azure Sphere, jako je vydání nové aktualizace aplikace. Můžete také nakonfigurovat upozornění na kritické události, jako je nadcházející vypršení platnosti certifikátu tenanta Azure Sphere. Podrobnosti najdete v tématu Monitorování stavu vozového parku Azure Sphere a zařízení.
Začínáme a hledání nápovědy
Můžete snadno začít tím, že integrujete tenanta Azure Sphere (starší verze) do katalogu Azure Sphere (integrované) a začnete zkoumat práci s Azure Sphere v Azure CLI nebo na webu Azure Portal. Azure Sphere (starší verze) se plně podporuje až do data vyřazení ze září 2027. Všechny aktivity migrace musí být dokončeny do tohoto data. Pokud máte dotazy ohledně migrace nebo potřebujete technickou pomoc, můžete najít odpovědi od odborníků z komunity na Microsoft Q&A nebo se můžete obrátit na AZSPPGSUP@microsoft.com.