Condividi tramite

Eseguire la migrazione da Azure Sphere (legacy) ad Azure Sphere (integrata)

  • Articolo

Il 27 settembre 2027 Azure Sphere ritirerà le interfacce del servizio legacy, l'API Di Azure Sphere (legacy) (nota anche come PAPI) e l'interfaccia della riga di comando di Azure Sphere (nota anche come azsphere). Tutti gli utenti di Azure Sphere (legacy) devono eseguire la migrazione ad Azure Sphere (integrato) prima di questa data. Azure Sphere (integrato) è nativo della piattaforma Azure e offre una sostituzione simile all'interfaccia di Azure Sphere (legacy). Azure Sphere (integrato) offre anche miglioramenti significativi della sicurezza (integrazione del controllo degli accessi in base al ruolo di Azure), dell'usabilità (integrazione del portale di Azure) e dell'osservabilità/avviso (integrazione di Monitoraggio di Azure). Per ulteriori informazioni, vedi questo blog.

Questo articolo è progettato per aiutare gli amministratori di Azure Sphere e i team di progettazione a comprendere e pianificare la migrazione. Il processo di migrazione è stato progettato per consentire di gestire i dispositivi Azure Sphere sia in Azure Sphere (integrato) che in Azure Sphere (legacy) in base alle esigenze in tutto il progetto di migrazione. Inoltre, gli script, l'automazione e le interfacce legacy possono funzionare senza interruzioni mentre il team di progettazione compila e testa le versioni aggiornate basate su Azure Sphere (integrato).

Diagramma che mostra il flusso di lavoro di migrazione di alto livello

Il processo di migrazione può essere suddiviso nelle aree di lavoro seguenti:

  • Integrazione del tenant legacy in un catalogo di Azure Sphere in portale di Azure
  • Migrazione di flussi di lavoro utente interattivi
  • Migrazione di processi e interfacce automatizzati

Integrazione del tenant di Azure Sphere (legacy) in un catalogo di Azure Sphere

Questo primo passaggio del processo di migrazione deve essere completato prima che qualsiasi altro lavoro possa iniziare. La funzionalità Di integrazione in portale di Azure prepara il tenant di Azure Sphere (legacy) da gestire nell'ambiente Azure in cui diventa un catalogo di Azure Sphere. Il tenant e le relative risorse rimangono invariati con l'eccezione che è ora possibile accedervi e gestirli anche tramite le interfacce utente di Azure, tra cui l'portale di Azure, l'estensione Azure Sphere per l'interfaccia della riga di comando di Azure e Azure Sphere per PowerShell.

Diagramma che mostra la schermata integrazione di Azure Sphere

Il processo di integrazione esegue due passaggi:

  1. Assegna un ID risorsa di Azure a ogni risorsa nel tenant, consentendo la gestione della risorsa da parte di Azure Resource Manager.
  2. Esegue il mapping dei ruoli di accesso utente tenant legacy ai ruoli di accesso utente gestiti dai Controllo di accesso basati su ruoli di Azure. Quando i mapping dei ruoli di accesso suggeriti vengono visualizzati durante il processo di integrazione, è possibile accettarli, modificarli o rifiutarli. Al termine del passaggio di integrazione, è possibile modificare l'accesso utente in qualsiasi momento.

In genere, il passaggio di integrazione richiede solo alcuni minuti e, una volta completato, qualsiasi utente a cui è stato concesso l'accesso durante l'integrazione può iniziare immediatamente a gestire il nuovo catalogo di Azure Sphere in qualsiasi interfaccia utente di Azure. Nessun flusso di lavoro esistente è bloccato dal processo di integrazione ed è consigliabile farlo presto in modo da poter iniziare a esplorare le nuove interfacce e i vantaggi di Azure Sphere (integrated). Al termine, è possibile iniziare il resto del lavoro di migrazione.

Migrazione di flussi di lavoro utente interattivi

I flussi di lavoro interattivi sono quelli in cui un singolo utente usa l'interfaccia della riga di comando "azsphere" (o usa uno script che a sua volta usa l'interfaccia della riga di comando "azsphere") per eseguire un'attività. Tali flussi di lavoro interattivi possono verificarsi come parte della produzione (ad esempio, la richiesta di nuovi dispositivi nel tenant), le operazioni (ad esempio, la gestione dei certificati correlati al tenant) o i casi d'uso degli sviluppatori (ad esempio, la configurazione di un dispositivo sviluppatore per non ricevere aggiornamenti over-the-air).

Quando si pianifica la migrazione dei flussi di lavoro, è necessario prendere in considerazione la formazione degli utenti, l'aggiornamento della documentazione interna e, nei casi in cui gli script vengono usati in modo interattivo, aggiornando tali script. È anche possibile sfruttare due miglioramenti chiave in Azure Sphere (integrated): l'interfaccia semplificata di Azure Sphere in portale di Azure e la solida gestione degli accessi utente di Azure in Controllo di accesso (RBAC) basata sui ruoli di Azure.

È importante considerare se un determinato flusso di lavoro utente viene ottenuto meglio in un'interfaccia Web anziché in un'interfaccia della riga di comando. Azure Sphere (integrato) consente di gestire il catalogo nel portale di Azure e per molti flussi di lavoro utente interattivi, il portale offre un'esperienza utente più completa e più semplice. Ad esempio, in portale di Azure è possibile caricare e distribuire immagini contemporaneamente in un singolo passaggio, come illustrato di seguito.

Diagramma che mostra la schermata Aggiungi immagini di Azure Sphere

In secondo luogo, considerare come limitare l'accesso degli utenti in modo più efficace. Azure Sphere (integrato) supporta l'Controllo di accesso accesso degli utenti basato sui ruoli di Azure (RBAC) che consente un accesso utente molto più affidabile e granulare rispetto ad Azure Sphere (legacy).

Diagramma che mostra la schermata di configurazione del controllo degli accessi in base al ruolo di Azure

Si tratta di un modello di autorizzazioni minima progettato per concedere a un singolo utente l'accesso solo a tali risorse necessarie per il proprio processo, nonché l'autorizzazione per eseguire solo le azioni dell'utente necessarie per il proprio lavoro. Ad esempio, in un catalogo di Azure Sphere è possibile consentire a un utente di visualizzare il gruppo di dispositivi Produzione e di creare nuove distribuzioni in tale gruppo di dispositivi, ma in particolare impedire loro di spostare i dispositivi all'interno e all'esterno del gruppo di dispositivi o di visualizzare altri gruppi di dispositivi nel catalogo.

Se in precedenza non è stato usato il controllo degli accessi in base al ruolo di Azure, è consigliabile ottenere altre informazioni sui concetti di base del controllo degli accessi in base al ruolo di Azure, ad esempio ambito e gerarchia di risorse, perché sono fondamentali per comprendere l'impatto dell'applicazione di un ruolo di controllo degli accessi in base al ruolo specifico a un catalogo rispetto alla risorsa figlio di un catalogo, ad esempio un gruppo di dispositivi.

Per semplificare, è stata fornita una configurazione di controllo degli accessi in base al ruolo di esempio per più utenti aziendali che illustra alcune procedure consigliate per il controllo degli accessi in base al ruolo per Azure Sphere. L'esempio evidenzia le autorizzazioni personalizzate in base alle esigenze comuni degli utenti aziendali, inclusi i tecnici software che producono applicazioni per i dispositivi Azure Sphere, i tecnici OT che gestiscono le flotta di dispositivi Azure Sphere di produzione e i produttori che creano dispositivi Azure Sphere.

Rimozione dell'accesso utente al tenant di Azure Sphere (legacy)

Dopo aver eseguito la migrazione di un flusso di lavoro e gli utenti usano a tempo pieno Azure Sphere (integrato), è consigliabile rimuovere le autorizzazioni di ogni utente dal tenant legacy per eliminare l'accesso imprevisto. In caso contrario, un utente può eseguire il lato dei controlli di accesso con granularità fine configurati nel controllo degli accessi in base al ruolo di Azure continuando a usare legacy. La rimozione dell'accesso utente legacy consente anche di garantire che gli utenti possano eseguire correttamente tutte le attività necessarie in Azure Sphere (integrato) e non saranno interessate dal ritiro legacy.

Gli utenti che lavorano per la conversione o il test di processi automatizzati potrebbero dover conservare i privilegi di accesso al tenant legacy per un periodo di tempo più lungo.

Migrazione di processi e interfacce automatizzati

Oltre alla migrazione di flussi di lavoro interattivi, se l'organizzazione ha creato processi automatizzati che usano script di Azure Sphere (legacy) o interfacce utente basate sull'API Azure Sphere (legacy), sarà necessario rielaborare tali processi per usare Azure Sphere (integrato). Per semplificare il più possibile il processo di migrazione, è possibile sviluppare e testare attivamente l'automazione aggiornata mentre l'automazione basata su legacy di produzione viene eseguita senza interruzioni. È necessario prestare attenzione quando si testano comandi che non possono essere invertiti, ad esempio la richiesta di un dispositivo a un catalogo in cui non si vuole che risieda a lungo termine.

Per ogni interfaccia basata sull'API Azure Sphere (integrata), è necessario creare un token di accesso Microsoft Entra che consentirà all'interfaccia di accedere all'endpoint API. Per informazioni sui token di accesso e sulla chiamata alle API REST di Azure, vedere la documentazione di riferimento dell'API REST di Azure.

Dopo aver distribuito i processi e le interfacce automatizzati aggiornati nell'ambiente di produzione, è necessario rimuovere l'accesso di Azure Sphere (legacy) per le entità servizio usate per autenticare l'automazione e le interfacce basate su legacy precedenti. La rimozione dell'accesso a tutte le entità servizio garantisce che tutti i processi automatizzati vengano migrati completamente e non saranno interessati dal ritiro legacy.

Arresto dell'accesso rimanente al tenant legacy

Il passaggio finale del processo di migrazione consiste nel rimuovere qualsiasi accesso di Azure Sphere rimanente (legacy). Attualmente, i tenant di Azure Sphere (legacy) richiedono almeno un account amministratore legacy attivo, anche se il tenant è stato integrato in portale di Azure. Microsoft sta lavorando a una funzionalità che consentirà di eliminare l'ultimo account amministratore tenant legacy, ma non è attualmente disponibile. Quando si rilascia questa funzionalità, la disponibilità verrà annunciata in Azure Update.

Sfruttare le funzionalità disponibili in Azure Sphere (integrato)

Anche se non è necessario per usare Azure Sphere (integrato), è consigliabile che nell'ambito del piano di migrazione si esaminino e sfruttano gli altri potenti servizi di Azure ora disponibili per Azure Sphere.

Uno dei più potenti è Monitoraggio di Azure. Monitoraggio di Azure offre un'ampia gamma di funzionalità di monitoraggio della flotta, ad esempio la raccolta di metriche delle prestazioni e i dati di diagnostica, nonché l'esecuzione di query sugli eventi nei log attività dei dispositivi Azure Sphere e del servizio di sicurezza di Azure Sphere.

Diagramma che mostra la schermata di Monitoraggio di Azure

Usando i dati di Monitoraggio di Azure, è possibile correlare l'integrità della flotta dei dispositivi con gli eventi che si verificano nel servizio di sicurezza di Azure Sphere, ad esempio il rilascio di un nuovo aggiornamento dell'app. È anche possibile configurare avvisi in caso di eventi critici, ad esempio la scadenza imminente del certificato del tenant di Azure Sphere. Per informazioni dettagliate, vedere Monitoraggio della flotta di Azure Sphere e dell'integrità dei dispositivi.

Guida introduttiva e ricerca

È facile iniziare integrando il tenant di Azure Sphere (legacy) in un catalogo di Azure Sphere (integrato) e iniziando a usare Azure Sphere nell'interfaccia della riga di comando di Azure o nel portale di Azure. Azure Sphere (legacy) è completamente supportato fino alla data di ritiro del 27 settembre 2027. Tutte le attività di migrazione devono essere completate entro tale data. Se si hanno domande sulla migrazione o si necessita di assistenza tecnica, è possibile trovare risposte da esperti della community su Microsoft Q&A oppure contattare AZSPPGSUP@microsoft.com.