Vytváření a zřizování zařízení IoT Edge ve velkém měřítku ve Windows pomocí symetrických klíčů

Platí pro: IoT Edge 1.1

Důležité

Datum ukončení podpory ioT Edge 1.1 bylo 13. prosince 2022. Informace o způsobu podpory tohoto produktu, služby, technologie nebo rozhraní API najdete v tématu věnovaném životnímu cyklu produktů Microsoftu. Další informace o aktualizaci na nejnovější verzi IoT Edge najdete v tématu Aktualizace IoT Edge.

Tento článek obsahuje kompletní pokyny pro automatické zřizování jednoho nebo více zařízení Windows IoT Edge pomocí symetrických klíčů. Zařízení Azure IoT Edge můžete automaticky zřídit pomocí služby Azure IoT Hub device provisioning (DPS). Pokud neznáte proces automatického zřizování, než budete pokračovat, projděte si přehled zřizování.

Poznámka:

Azure IoT Edge s kontejnery Windows se od verze 1.2 Azure IoT Edge nebude podporovat.

Zvažte použití nové metody pro spuštění IoT Edge na zařízeních s Windows, Azure IoT Edge pro Linux ve Windows.

Pokud chcete použít Azure IoT Edge pro Linux ve Windows, můžete postupovat podle kroků v ekvivalentní příručce s postupy.

Úkoly jsou následující:

1. Vytvořte individuální registraci pro jedno zařízení nebo skupinovou registraci pro sadu zařízení.
2. Nainstalujte modul runtime IoT Edge a připojte se ke službě IoT Hub.

Ověření symetrického klíče je jednoduchý přístup k ověřování zařízení pomocí instance služby device provisioning. Tato metoda ověření identity představuje prostředí Hello World pro vývojáře, kteří s zřizováním zařízení začíná nebo nemají přísné požadavky na zabezpečení. Ověření identity zařízení pomocí certifikátů TPM nebo X.509 je bezpečnější a mělo by se použít pro přísnější požadavky na zabezpečení.

Požadavky

Cloudové prostředky

• Aktivní centrum IoT
• Instance služby IoT Hub device Provisioning v Azure propojená s centrem IoT
  • Pokud nemáte instanci služby zřizování zařízení, můžete postupovat podle pokynů v rychlém startu vytvoření nové služby zřizování zařízení ioT Hubu a propojení centra IoT a oddílů služby zřizování zařízení ve službě IoT Hub.
  • Po spuštění služby device provisioning zkopírujte hodnotu Oboru ID ze stránky přehledu. Tuto hodnotu použijete při konfiguraci modulu runtime IoT Edge.

Požadavky na zařízení

Fyzické nebo virtuální zařízení s Windows, které má být zařízením IoT Edge.

K identifikaci jednotlivých zařízení budete muset definovat jedinečné ID registrace. Můžete použít adresu MAC, sériové číslo nebo jakékoli jedinečné informace ze zařízení. Můžete například použít kombinaci adresy MAC a sériového čísla, které tvoří následující řetězec pro ID registrace: sn-007-888-abc-mac-a1-b2-c3-d4-e5-f6. Platné znaky jsou malá písmena alfanumerické a pomlčky (-).

Vytvoření registrace DPS

Vytvořte registraci pro zřízení jednoho nebo více zařízení prostřednictvím DPS.

Pokud chcete zřídit jedno zařízení IoT Edge, vytvořte individuální registraci. Pokud potřebujete zřídit více zařízení, postupujte podle pokynů k vytvoření skupinové registrace DPS.

Při vytváření registrace v DPS máte možnost deklarovat počáteční stav dvojčete zařízení. Ve dvojčeti zařízení můžete nastavit značky pro seskupení zařízení podle libovolné metriky, kterou potřebujete v řešení, jako je oblast, prostředí, umístění nebo typ zařízení. Tyto značky slouží k vytváření automatických nasazení.

Další informace o registracích ve službě zřizování zařízení najdete v tématu Správa registrací zařízení.

Jednotlivá registrace

Vytvoření jednotlivé registrace DPS

Tip

Kroky v tomto článku jsou určené pro Azure Portal, ale pomocí Azure CLI můžete také vytvářet jednotlivé registrace. Další informace najdete v tématu az iot dps enrollment. Jako součást příkazu rozhraní příkazového řádku použijte příznak s povoleným hraničním zařízením a určete, že registrace je pro zařízení IoT Edge.

1. Na webu Azure Portal přejděte do vaší instance služby IoT Hub device provisioning.

2. V části Nastavení vyberte Spravovat registrace.

3. Vyberte Přidat jednotlivé registrace a pak proveďte následující kroky a nakonfigurujte registraci:

   1. V případě mechanismu vyberte symetrický klíč.

   2. Zadejte jedinečné ID registrace pro vaše zařízení.

   3. Volitelně můžete zadat ID zařízení ioT Hubu pro vaše zařízení. ID zařízení můžete použít k cílení na jednotlivá zařízení pro nasazení modulu. Pokud nezadáte ID zařízení, použije se ID registrace.

   4. Výběrem možnosti True deklarujte, že registrace je pro zařízení IoT Edge.

   5. Volitelně můžete do stavu počátečního dvojčete zařízení přidat hodnotu značky. Značky můžete použít k cílovým skupinám zařízení pro nasazení modulu. Příklad:

      {
         "tags": {
            "environment": "test"
         },
         "properties": {
            "desired": {}
         }
      }
      

   6. Zvolte Uložit.

4. Zkopírujte hodnotu primárního klíče jednotlivé registrace, kterou chcete použít při instalaci modulu runtime IoT Edge.

Teď, když pro toto zařízení existuje registrace, může modul runtime IoT Edge během instalace zařízení automaticky zřídit.

Skupinová registrace

Vytvoření skupinové registrace DPS

Tip

Kroky v tomto článku jsou určené pro Azure Portal, ale můžete také vytvářet skupinové registrace pomocí Azure CLI. Další informace najdete v tématu az iot dps enrollment-group. Jako součást příkazu rozhraní příkazového řádku použijte příznak s povoleným hraničním zařízením a určete, že registrace je pro zařízení IoT Edge. U skupinové registrace musí být všechna zařízení IoT Edge nebo žádná z nich nemůže být.

1. Na webu Azure Portal přejděte do vaší instance služby IoT Hub device provisioning.

2. V části Nastavení vyberte Spravovat registrace.

3. Vyberte Přidat jednotlivé registrace a pak proveďte následující kroky a nakonfigurujte registraci:

   1. Zadejte název skupiny.

   2. Jako typ ověření identity vyberte symetrický klíč .

   3. Výběrem možnosti True deklarujte, že registrace je pro zařízení IoT Edge. U skupinové registrace musí být všechna zařízení IoT Edge nebo žádná z nich nemůže být.

   4. Volitelně můžete do stavu počátečního dvojčete zařízení přidat hodnotu značky. Značky můžete použít k cílovým skupinám zařízení pro nasazení modulu. Příklad:

      {
         "tags": {
            "environment": "test"
         },
         "properties": {
            "desired": {}
         }
      }
      

   5. Zvolte Uložit.

4. Zkopírujte hodnotu primárního klíče skupiny registrací, kterou chcete použít při vytváření klíčů zařízení pro použití s registrací skupiny.

Teď, když existuje skupina registrací, může modul runtime IoT Edge během instalace automaticky zřizovat zařízení.

Odvození klíče zařízení

Každé zařízení, které je zřízené jako součást skupinové registrace, potřebuje odvozený klíč zařízení k ověření symetrického klíče s registrací během zřizování.

Pokud chcete vygenerovat klíč zařízení, použijte klíč, který jste zkopírovali ze skupiny registrací DPS, k výpočtu HMAC-SHA256 jedinečného ID registrace zařízení a převeďte výsledek do formátu Base64.

Důležité

Do kódu zařízení nezahrnujte primární nebo sekundární klíč vaší registrace.

Ve Windows můžete pomocí PowerShellu vygenerovat odvozený klíč zařízení, jak je znázorněno v následujícím příkladu.

Nahraďte hodnotu KEY primárním klíčem , který jste si poznamenali dříve.

Nahraďte hodnotu REG_ID ID registrace vašeho zařízení.

$KEY='PASTE_YOUR_ENROLLMENT_KEY_HERE'
$REG_ID='PASTE_YOUR_REGISTRATION_ID_HERE'

$hmacsha256 = New-Object System.Security.Cryptography.HMACSHA256
$hmacsha256.key = [Convert]::FromBase64String($KEY)
$sig = $hmacsha256.ComputeHash([Text.Encoding]::ASCII.GetBytes($REG_ID))
$derivedkey = [Convert]::ToBase64String($sig)
echo "`n$derivedkey`n"

Níže je ukázkový výstup odvozeného klíče zařízení:

Jsm0lyGpjaVYVP2g3FnmnmG9dI/9qU24wNoykUmermc=

Instalace IoT Edge

V této části připravíte virtuální počítač s Windows nebo fyzické zařízení pro IoT Edge. Pak nainstalujete IoT Edge.

Azure IoT Edge spoléhá na modul runtime kontejneru kompatibilní s OCI. Moby, modul založený na Moby, je součástí instalačního skriptu, což znamená, že neexistují žádné další kroky k instalaci modulu.

Instalace modulu runtime IoT Edge:

1. Spusťte PowerShell jako správce.

   Použijte relaci AMD64 PowerShellu, ne PowerShellu (x86). Pokud si nejste jistí, jaký typ relace používáte, spusťte následující příkaz:

   (Get-Process -Id $PID).StartInfo.EnvironmentVariables["PROCESSOR_ARCHITECTURE"]
   

2. Spusťte příkaz Deploy-IoTEdge, který provádí následující úlohy:

   • Zkontroluje, jestli je váš počítač s Windows v podporované verzi.
   • Zapne funkci kontejnerů.
   • Stáhne modul moby a modul runtime IoT Edge.

   . {Invoke-WebRequest -useb https://aka.ms/iotedge-win} | Invoke-Expression; `
   Deploy-IoTEdge
   

3. Pokud se zobrazí výzva, restartujte zařízení.

Když nainstalujete IoT Edge na zařízení, můžete k úpravě procesu použít další parametry, mezi které patří:

• Směrování provozu pro průchod proxy serverem
• Nasměrujte instalační program na místní adresář pro offline instalaci.

Další informace o těchtodalšíchch

Zřízení zařízení s využitím cloudové identity

Jakmile je modul runtime nainstalovaný na vašem zařízení, nakonfigurujte zařízení s informacemi, které používá pro připojení ke službě zřizování zařízení a ioT Hubu.

Připravte si následující informace:

• Hodnota oboru ID DPS
• ID registrace zařízení, které jste vytvořili
• Primární klíč z jednotlivé registrace nebo odvozený klíč pro zařízení, která používají skupinovou registraci.

1. Otevřete okno PowerShellu v režimu správce. Při instalaci IoT Edge, nikoli PowerShellu (x86), nezapomeňte použít relaci AMD64 PowerShellu.

2. Příkaz Initialize-IoTEdge nakonfiguruje modul runtime IoT Edge na vašem počítači. Příkaz ve výchozím nastavení používá ruční zřizování kontejnerů Windows, takže pomocí příznaku -DpsSymmetricKey použijte automatické zřizování s ověřováním symetrického klíče.

   Nahraďte zástupné hodnoty pro paste_scope_id_herepaste_registration_id_here, a paste_symmetric_key_here daty, která jste shromáždili dříve.

   . {Invoke-WebRequest -useb https://aka.ms/iotedge-win} | Invoke-Expression; `
   Initialize-IoTEdge -DpsSymmetricKey -ScopeId paste_scope_id_here -RegistrationId paste_registration_id_here -SymmetricKey paste_symmetric key_here
   

Ověření úspěšné instalace

Pokud se modul runtime úspěšně spustil, můžete přejít do služby IoT Hub a začít nasazovat moduly IoT Edge do zařízení.

Jednotlivá registrace

Můžete ověřit, že se použila jednotlivá registrace, kterou jste vytvořili ve službě device Provisioning. Na webu Azure Portal přejděte k instanci služby zřizování zařízení. Otevřete podrobnosti o registraci pro jednotlivou registraci, kterou jste vytvořili. Všimněte si, že se přiřadí stav registrace a zobrazí se ID zařízení.

Skupinová registrace

Můžete ověřit, jestli se použila registrace skupiny, kterou jste vytvořili ve službě device Provisioning. Na webu Azure Portal přejděte k instanci služby zřizování zařízení. Otevřete podrobnosti o registraci skupiny, kterou jste vytvořili. Přejděte na kartu Registrační záznamy a zobrazte všechna zařízení zaregistrovaná v této skupině.

Pomocí následujících příkazů na zařízení ověřte, že se IoT Edge nainstaloval a úspěšně spustil.

Zkontrolujte stav služby IoT Edge.

Get-Service iotedge

Prozkoumejte protokoly služby.

. {Invoke-WebRequest -useb aka.ms/iotedge-win} | Invoke-Expression; Get-IoTEdgeLog

Výpis spuštěných modulů

iotedge list

Další kroky

Proces registrace služby Device Provisioning umožňuje nastavit ID zařízení a značky dvojčat zařízení současně se zřízením nového zařízení. Tyto hodnoty můžete použít k cílení na jednotlivá zařízení nebo skupiny zařízení pomocí automatické správy zařízení. Zjistěte, jak nasadit a monitorovat moduly IoT Edge ve velkém měřítku pomocí webu Azure Portal nebo pomocí Azure CLI.