Creación y aprovisionamiento de dispositivos IoT Edge a gran escala con un TPM en Linux
Se aplica a: IoT Edge 1.1
Importante
IoT Edge 1.1: la fecha de finalización del soporte técnico fue el 13 de diciembre de 2022. Consulte la página del ciclo de vida de productos de Microsoft para obtener información sobre cómo se admite este producto, servicio, tecnología o API. Para más información sobre cómo actualizar a la versión más reciente de IoT Edge, consulte Actualización de IoT Edge.
En este artículo se proporcionan instrucciones para aprovisionar automáticamente un dispositivo Azure IoT Edge para Linux mediante un Módulo de plataforma segura (TPM). Puede aprovisionar dispositivos IoT Edge de forma automática con el Azure IoT Hub Device Provisioning Service. Si no está familiarizado con el proceso de aprovisionamiento automático, revise la información general sobre el aprovisionamiento antes de continuar.
En este artículo, se describen dos metodologías. Seleccione sus preferencias en función de la arquitectura de la solución:
- Aprovisionamiento automático de un dispositivo Linux con hardware de TPM físico. Un ejemplo es el dispositivo Infineon OPTIGA™ TPM SLB 9670.
- Aprovisionamiento automático de una máquina virtual (VM) Linux con un TPM simulado que se ejecuta en una máquina Windows de desarrollo con Hyper-V habilitado. Se recomienda usar esta metodología solo como escenario de prueba. Un TPM simulado no ofrece la misma seguridad que un TPM físico.
Las instrucciones varían en función de la metodología, por lo que debe asegurarse de que se encuentra en la pestaña correcta en el futuro.
Las tareas son las siguientes:
- Recuperar la información de aprovisionamiento del TPM.
- Crear una inscripción individual para el dispositivo en una instancia del servicio de aprovisionamiento de dispositivos de IoT Hub.
- Instalar el entorno de ejecución de IoT Edge y conectar el dispositivo al centro de IoT.
Requisitos previos
Recursos en la nube
- Un centro de IoT activo.
- Una instancia de IoT Hub Device Provisioning Service en Azure que esté vinculada a IoT Hub.
- Si no tiene una instancia de Device Provisioning Service, puede seguir las instrucciones de las secciones Creación de una instancia de IoT Hub Device Provisioning Service y Vínculo al centro de IoT y a Device Provisioning Service del inicio rápido de IoT Hub Device Provisioning Service.
- Cuando tenga la instancia del servicio de aprovisionamiento de dispositivo en ejecución, copie el valor de Ámbito de id. de la página de información general. Use este valor cuando configure el entorno de ejecución de IoT Edge.
Requisitos del dispositivo
Un dispositivo Linux físico para que sea el dispositivo IoT Edge físico.
Si es un fabricante de dispositivos, consulte las instrucciones para integrar un TPM en el proceso de fabricación.
Nota:
Se necesita TPM 2.0 cuando se usa la atestación de TPM con el servicio de aprovisionamiento de dispositivos.
Solo puede crear inscripciones individuales, no de grupo, del servicio de aprovisionamiento de dispositivos cuando se usa un TPM.
Configurar su dispositivo
Si usa un dispositivo físico Linux con un TPM, no hay ningún paso adicional para configurar el dispositivo.
Está listo para continuar.
Recuperación de la información de aprovisionamiento del TPM
En esta sección, creará una herramienta que podrá usar para recuperar el identificador de registro y la clave de aprobación del TPM.
Inicie sesión en el dispositivo y luego siga los pasos de Configuración de un entorno de desarrollo con Linux para instalar y compilar el SDK de dispositivo IoT de Azure para C.
Ejecute los comandos siguientes para compilar la herramienta del SDK que recupera la información de aprovisionamiento de dispositivos desde el TPM.
cd azure-iot-sdk-c/cmake cmake -Duse_prov_client:BOOL=ON .. cd provisioning_client/tools/tpm_device_provision make sudo ./tpm_device_provision
En la ventana de salida se muestra el Id. de registro y la Clave de aprobación. Copie estos valores; los usará más adelante cuando cree una inscripción individual para el dispositivo en el servicio de aprovisionamiento de dispositivos.
Cuando tenga el identificador de registro y la clave de aprobación, estará listo para continuar.
Sugerencia
Si no quiere usar las herramientas de software de TPM2 para recuperar la información, debe encontrar otra manera de obtener la información de aprovisionamiento. La clave de aprobación, que es única para cada chip de TPM, se obtiene del fabricante del chip de TPM asociado a ella. Puede derivar un identificador de registro único para el dispositivo TPM. Por ejemplo, como se muestra en párrafos anteriores, puede crear un hash SHA-256 de la clave de aprobación.
Creación de una inscripción del servicio de aprovisionamiento de dispositivos
Use la información de aprovisionamiento del TPM para crear una inscripción individual en servicio de aprovisionamiento de dispositivos.
Al crear una inscripción en el servicio de aprovisionamiento de dispositivos, tiene la oportunidad de declarar un estado inicial de dispositivo gemelo. En el dispositivo gemelo, puede establecer etiquetas para agrupar dispositivos por cualquier métrica utilizada en la solución, como la región, el entorno, la ubicación o el tipo de dispositivo. Estas etiquetas se usan para crear implementaciones automáticas.
Sugerencia
Los pasos de este artículo son para Azure Portal, pero también puede crear inscripciones individuales mediante la CLI de Azure. Para más información, consulte az iot dps enrollment. Como parte del comando de la CLI, use la marca edge-enabled para especificar que la inscripción es para un dispositivo de IoT Edge.
En Azure Portal, vaya a la instancia del servicio de aprovisionamiento de dispositivos de IoT Hub.
En Configuración, seleccione Administrar inscripciones.
Seleccione Agregar inscripción individual y, después, complete los pasos siguientes para configurar la inscripción:
En Mecanismo, seleccione TPM.
Proporcione la clave de aprobación y el identificador de registro que ha copiado de la máquina virtual o el dispositivo físico.
Si quiere, proporcione un identificador para el dispositivo. Si no proporciona un id. de dispositivo, se usará el id. de registro.
Seleccione Verdadero para declarar que esta máquina virtual o el dispositivo físico es un dispositivo IoT Edge.
Elija el centro de IoT vinculado al que quiere conectar el dispositivo o seleccione Link to new IoT Hub (Vincular a un nuevo centro de IoT). Puede elegir varios centros y el dispositivo se asignará a uno de ellos según la directiva de asignación seleccionada.
Si quiere, agregue un valor de etiqueta a Estado inicial de dispositivo gemelo. Puede usar etiquetas para los grupos de dispositivos de destino para la implementación del módulo. Para más información, consulte Implementación de módulos IoT Edge a escala.
Seleccione Guardar.
Ahora que existe una inscripción para este dispositivo, el entorno de ejecución de Azure IoT Edge puede aprovisionar automáticamente el dispositivo durante la instalación.
Instalación de IoT Edge
En esta sección, preparará la máquina virtual Linux o el dispositivo físico para IoT Edge. A continuación, instalará IoT Edge.
Ejecute los comandos siguientes para agregar el repositorio de paquetes y luego agregue la clave de firma de paquetes de Microsoft a la lista de claves de confianza.
Importante
El 30 de junio de 2022 se retiró Raspberry Pi OS Stretch de la lista de soporte técnico del sistema operativo de nivel 1. Para evitar posibles vulnerabilidades de seguridad, actualice el sistema operativo del host a Bullseye.
La instalación se puede realizar con unos pocos comandos. Abra un terminal y ejecute los comandos siguientes:
20.04:
wget https://packages.microsoft.com/config/ubuntu/20.04/packages-microsoft-prod.deb -O packages-microsoft-prod.deb sudo dpkg -i packages-microsoft-prod.deb rm packages-microsoft-prod.deb
18.04:
wget https://packages.microsoft.com/config/ubuntu/18.04/multiarch/packages-microsoft-prod.deb -O packages-microsoft-prod.deb sudo dpkg -i packages-microsoft-prod.deb rm packages-microsoft-prod.deb
Nota:
Los paquetes de software de Azure IoT Edge están sujetos a los términos de licencia que se encuentran cada paquete (usr/share/doc/{package-name}
o el directorio LICENSE
). Lea los términos de licencia antes de usar el paquete. La instalación y el uso de un paquete constituyen la aceptación de estos términos. Si no acepta los términos de licencia, no utilice ese paquete.
Instalación de un motor del contenedor
Azure IoT Edge utiliza un runtime de contenedor compatible con OCI. En los escenarios de producción, se recomienda utilizar el motor de Moby. El motor de Moby es el único motor de contenedor compatible oficialmente con IoT Edge. Las imágenes de contenedor de Docker CE/EE son totalmente compatibles con el entorno de ejecución de Moby.
Instale el motor de Moby.
sudo apt-get update; \
sudo apt-get install moby-engine
Una vez instalado correctamente el motor de Moby, configúrelo para usar el controlador de registro local
como mecanismo de registro. Para más información sobre la configuración de registro, consulte Lista de comprobación de implementación de producción.
Cree o abra el archivo de configuración del demonio de Docker en
/etc/docker/daemon.json
.Establezca el controlador de registro predeterminado en el controlador de registro
local
, tal como se muestra en el ejemplo siguiente.{ "log-driver": "local" }
Reinicie el motor de contenedores para que se apliquen los cambios.
sudo systemctl restart docker
Sugerencia
Si se producen errores al instalar el motor del contenedor Moby, compruebe la compatibilidad con Moby del kernel de Linux. Algunos fabricantes de dispositivos incrustados distribuyen imágenes de dispositivos que contienen kernels de Linux personalizados sin las características necesarias para la compatibilidad del motor del contenedor. Ejecute el siguiente comando, que usa el script check-config suministrado por Moby, para comprobar la configuración del kernel:
curl -ssl https://raw.githubusercontent.com/moby/moby/master/contrib/check-config.sh -o check-config.sh chmod +x check-config.sh ./check-config.sh
En la salida del script, compruebe que todos los elementos que figuran en
Generally Necessary
yNetwork Drivers
estén habilitados. Si faltan características, puede habilitarlas si vuelve a generar el kernel a partir del origen y selecciona los módulos asociados para incluirlos en el archivo .config de kernel adecuado. Igualmente, si usa un generador de configuración de kernel comodefconfig
omenuconfig
, busque y habilite las características correspondientes y vuelva a generar el kernel como corresponda. Una vez que implemente el kernel recién modificado, vuelva a ejecutar el script check-config para comprobar que se han habilitado correctamente todas las características necesarias.
Instalación del entorno de ejecución de IoT Edge
El demonio de seguridad de IoT Edge proporciona y mantiene los estándares de seguridad en el dispositivo IoT Edge. El demonio se inicia en cada arranque e inicia el resto del entorno de ejecución de IoT Edge para arrancar el dispositivo.
Los pasos de esta sección representan el proceso habitual para instalar la versión más reciente en un dispositivo que tenga conexión a Internet. Si tiene que instalar una versión específica, como una versión preliminar, o tiene que realizar la instalación mientras está sin conexión, siga los pasos de Instalación sin conexión o de una versión específica, más adelante en este artículo.
Instale IoT Edge versión 1.1.* junto con el paquete libiothsm-std:
sudo apt-get update; \
sudo apt-get install iotedge
Nota:
IoT Edge versión 1.1 es la rama de soporte técnico a largo plazo de IoT Edge. Si ejecuta una versión anterior, se recomienda instalar o actualizar a la revisión más reciente, ya que ya no se admiten las versiones anteriores.
Aprovisionamiento del dispositivo con su identidad de nube
Una vez que el entorno de ejecución está instalado en el dispositivo, configure el dispositivo con la información que usa para conectarse al servicio de aprovisionamiento de dispositivos y a IoT Hub.
Tome el Ámbito de identificador del servicio de aprovisionamiento de dispositivos y el Identificador de registro del dispositivo que se han recopilado antes.
Abra el archivo de configuración en el dispositivo IoT Edge.
sudo nano /etc/iotedge/config.yaml
Busque la sección de configuración de aprovisionamiento del archivo. Quite las marcas de comentario del aprovisionamiento TPM y asegúrese de que cualquier otra línea de aprovisionamiento esté comentada.
La línea
provisioning:
no debe ir precedida por espacios en blanco y se debe aplicar una sangría de dos espacios a los elementos anidados.# DPS TPM provisioning configuration provisioning: source: "dps" global_endpoint: "https://global.azure-devices-provisioning.net" scope_id: "SCOPE_ID_HERE" attestation: method: "tpm" registration_id: "REGISTRATION_ID_HERE" # always_reprovision_on_startup: true # dynamic_reprovisioning: false
Actualice los valores de
scope_id
yregistration_id
con la información del servicio de aprovisionamiento de dispositivos y del dispositivo. El valorscope_id
es el ámbito de identificador de la página de información general de la instancia del servicio de aprovisionamiento de dispositivos.También puede usar las líneas
always_reprovision_on_startup
odynamic_reprovisioning
para configurar el comportamiento de reaprovisionamiento del dispositivo. Si un dispositivo se establece para que se vuelva a aprovisionar en el inicio, siempre intentará aprovisionar con DPS primero y, a continuación, revertir a la copia de seguridad de aprovisionamiento si se produce un error. Si un dispositivo se establece para que se vuelva a aprovisionar dinámicamente, IoT Edge (y todos los módulos) se reiniciará y volverá a aprovisionar si se detecta un evento de reaprovisionamiento, como si se moviera el dispositivo desde un IoT Hub a otro. En concreto, IoT Edge comprueba si hay erroresbad_credential
odevice_disabled
del SDK para detectar el evento de reprovisión. Para desencadenar este evento manualmente, deshabilite el dispositivo en IoT Hub. Para más información, consulte Conceptos sobre el reaprovisionamiento de dispositivos de IoT Hub.Guarde y cierre el archivo.
Conceder acceso a IoT Edge en el TPM
Para que el entorno de ejecución de IoT Edge aprovisione automáticamente el dispositivo, necesita acceso al TPM.
Puede conceder acceso TPM al entorno de ejecución de Azure IoT Edge mediante la invalidación de la configuración de systemd para que el servicio iotedge
tenga privilegios raíz. Si no desea elevar los privilegios de servicio, también puede usar los pasos siguientes para proporcionar manualmente el acceso TPM.
Cree una regla que conceda al entorno de ejecución de IoT Edge acceso a
tpm0
ytpmrm0
.sudo touch /etc/udev/rules.d/tpmaccess.rules
Abra el archivo de reglas.
sudo nano /etc/udev/rules.d/tpmaccess.rules
Copie la siguiente información de acceso en el archivo de reglas. Es posible que
tpmrm0
no esté presente en los dispositivos que usan un kernel anterior a 4.12. Los dispositivos que no tengantpmrm0
omitirán esa regla de forma segura.# allow iotedge access to tpm0 KERNEL=="tpm0", SUBSYSTEM=="tpm", OWNER="iotedge", MODE="0600" KERNEL=="tpmrm0", SUBSYSTEM=="tpmrm", OWNER="iotedge", MODE="0600"
Guarde y cierre el archivo.
Desencadene el sistema
udev
para evaluar la nueva regla./bin/udevadm trigger --subsystem-match=tpm --subsystem-match=tpmrm
Compruebe que la regla se haya aplicado correctamente.
ls -l /dev/tpm*
Una salida correcta tiene el siguiente aspecto:
crw------- 1 iotedge root 10, 224 Jul 20 16:27 /dev/tpm0 crw------- 1 iotedge root 10, 224 Jul 20 16:27 /dev/tpmrm0
Si no ve que se hayan aplicado los permisos correctos, intente reiniciar la máquina para actualizar
udev
.Reinicie el entorno de ejecución de IoT Edge para que aplique todos los cambios de configuración realizados en el dispositivo.
sudo systemctl restart iotedge
Comprobación de instalación correcta
Si todavía no la hecho, reinicie el entorno de ejecución de IoT Edge para que aplique todos los cambios de configuración realizados en el dispositivo.
sudo systemctl restart iotedge
Compruebe que el entorno de ejecución de IoT Edge esté en ejecución.
sudo systemctl status iotedge
Examine los registros del daemon.
journalctl -u iotedge --no-pager --no-full
Si ve errores de aprovisionamiento, es posible que los cambios de configuración no hayan surtido efecto todavía. Pruebe a reiniciar de nuevo el demonio de IoT Edge.
sudo systemctl daemon-reload
O bien, pruebe a reiniciar la máquina virtual para ver si los cambios surten efecto con un inicio nuevo.
Si el entorno de ejecución se ha iniciado correctamente, puede entrar en la instancia de IoT Hub y ver que el nuevo dispositivo se aprovisionado automáticamente. Ahora el dispositivo está listo para ejecutar módulos de IoT Edge.
Enumere los módulos en ejecución.
iotedge list
Puede comprobar que se ha utilizado la inscripción individual que ha creado en el servicio de aprovisionamiento de dispositivos. En Azure Portal, vaya a la instancia de Device Provisioning Service. Abra los detalles de la inscripción para la inscripción individual que ha creado. Tenga en cuenta que el estado de la inscripción está asignado y se muestra el id. de dispositivo.
Pasos siguientes
El proceso de inscripción en Device Provisioning Service permite establecer el id. de dispositivo y las etiquetas del dispositivo gemelo al mismo tiempo que se aprovisiona el nuevo dispositivo. Puede usar esos valores para dirigirse a dispositivos individuales o grupos de dispositivos con la administración automática de dispositivos.
Aprenda a implementar y supervisar módulos de IoT Edge a gran escala mediante Azure Portal o la CLI de Azure.