配置の詳細

重要

Azure Arc によって実現されている Azure IoT Operations プレビューは、現在プレビュー段階です。 運用環境ではこのプレビュー ソフトウェアを使わないでください。

Azure IoT Operations の一般公開リリースが提供されたときには、新規インストールをデプロイすることが必要になります。 プレビュー インストールからのアップグレードはできません。

ベータ版、プレビュー版、または一般提供としてまだリリースされていない Azure の機能に適用される法律条項については、「Microsoft Azure プレビューの追加使用条件」を参照してください。

サポートされている環境

Microsoft は Windows のデプロイ環境では Azure Kubernetes Service (AKS) Edge Essentials をサポートし、Ubuntu のデプロイ環境では K3s をサポートします。

• 最小ハードウェア要件:

  • 16 GB RAM
  • 4 つの vCPU

• 推奨されるハードウェア (特にフォールト トレランスを有効にするマルチノード K3s クラスターの場合):

  • 32 GB の RAM
  • 8 vCPU

現在、Microsoft は、次のインフラストラクチャと環境の固定セットに対して Azure IoT Operations を検証しています。

環境	Version
Windows 11 IoT Enterprise の AKS-EE Lenovo ThinkStation P3 Tiny マシン (16 コア、32 GB RAM) と単一ノード クラスター	AksEdge-K3s-1.29.6-1.8.202.0
Ubuntu 24.04 の K3S Lenovo ThinkStation P3 Tiny マシン (16 コア、32 GB RAM) と 3 ノード クラスター	K3s バージョン 1.31.1

Azure IoT Operations では、Arm64 アーキテクチャはサポートされていません。

機能を選択する

Azure IoT Operations には、2 つのデプロイ モードが用意されています。 "テスト設定" (評価シナリオの場合に作業を開始しやすい、基本的な機能のサブセット) を使用してデプロイすることを選択できます。 または、完全な機能セットである "セキュリティで保護された設定" を使用してデプロイすることもできます。

テスト設定のデプロイ

テスト設定のみを使用したデプロイ:

• シークレットまたはユーザー割り当てマネージド ID 機能は構成しません。
• 評価目的でエンド ツー エンドのクイックスタート サンプルを有効にすることを目的としているため、OPC PLC シミュレーターをサポートし、システム割り当てマネージド ID を使用してクラウド リソースに接続します。
• セキュリティで保護された設定を使用するようにアップグレードできます。

クイックスタート シナリオのクイックスタート: GitHub Codespaces で Azure IoT Operations プレビューを実行するでは、テスト設定が使用されています。

いつでも、セキュリティで保護された設定を有効にするの手順に従って、セキュリティで保護された設定を使用するように Azure IoT Operations インスタンスをアップグレードできます。

セキュリティで保護された設定のデプロイ

セキュリティで保護された設定を使用したデプロイ:

• どちらも運用環境に対応したシナリオを開発するための重要な機能である、シークレットとユーザー割り当てマネージド ID を有効にします。 シークレットは、Azure IoT Operations コンポーネントがクラスター外のリソース、たとえば OPC UA サーバーやデータフロー エンドポイントなどに接続するときに使用されます。

セキュリティで保護された設定を使って Azure IoT Operations をデプロイするには、次の記事に従ってください。

1. 「Azure Arc 対応 Kubernetes クラスターを準備する」から始めて、クラスターを構成して Arc 対応にします。
2. 次に、Azure IoT Operations プレビューをデプロイします。

必要なアクセス許可

次の表では、昇格されたアクセス許可を必要とする Azure IoT Operations のデプロイと管理タスクについて説明します。 ユーザーへのロールの割り当てについては、「Azure ロールを割り当てる手順」をご覧ください。

タスク	必要な権限	Comments
Azure IoT Operations をデプロイする	サブスクリプション レベルの共同作成者ロール。
リソース プロバイダーを登録する	サブスクリプション レベルの共同作成者ロール。	サブスクリプションごとに 1 回行うだけで済みます。
スキーマ レジストリを作成する。	リソース グループ レベルでの Microsoft/Authorization/roleAssignments/write アクセス許可。
Key Vault にシークレットを作成する	リソース レベルでの Key Vault Secrets Officer ロール。	セキュリティで保護された設定のデプロイにのみ必要です。
Azure IoT Operations インスタンスでリソース同期規則を有効にする	リソース グループ レベルでの Microsoft/Authorization/roleAssignments/write アクセス許可。	リソース同期規則は既定で無効になっていますが、az iot ops create コマンドの一環で有効にできます。

Azure CLI を使用してロールを割り当てる場合は、az role assignment create コマンドを使ってアクセス許可を付与します。 たとえば、az role assignment create --assignee sp_name --role "Role Based Access Control Administrator" --scope subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/MyResourceGroup のように指定します。

Azure portal を使用してユーザーまたはプリンシパルに特権管理者ロールを割り当てる場合は、条件を使ってアクセスを制限するように求められます。 このシナリオでは、[ロールの割り当ての追加] ページで [Allow user to assign all roles] (ユーザーがすべてのロールを割り当てることを許可する) という条件を選択します。

含まれるコンポーネント

Azure IoT Operations は、Azure Arc 対応エッジ Kubernetes クラスターで実行される一連のデータ サービスです。 また、デプロイの一部としてインストールされる一連のサポート サービスに依存します。

• Azure IoT Operations のコア サービス

  • データフロー
  • MQTT ブローカー
  • OPC UA 用コネクタ
  • Akri

• インストールされている依存関係

  • Azure Device Registry
  • Azure Arc 対応の Azure コンテナー ストレージ
  • Azure Key Vault シークレット ストア拡張機能

サイトを使用してインスタンスを整理する

Azure IoT Operations では、インスタンスを整理するための Azure Arc サイトがサポートされています。 "サイト" は、リソース グループのような Azure のクラスター リソースですが、通常、サイトは物理的な場所によってインスタンスをグループ化し、OT ユーザーが資産を簡単に見つけて管理できるようにします。 IT 管理者がサイトを作成し、サブスクリプションまたはリソース グループにスコープを設定します。 その後、Arc 対応クラスターにデプロイされた Azure IoT Operations は、サブスクリプションまたはリソース グループに関連付けられたサイトに自動的に収集されます

詳細については、「Azure Arc サイト マネージャー (プレビュー) とは」を参照してください

Azure IoT Operations のドメイン許可リスト

エンタープライズ ファイアウォールまたはプロキシを使用して送信トラフィックを管理する場合は、Azure IoT Operations プレビューをデプロイする前に、次のエンドポイントをドメイン許可リストに追加します。

さらに、「Azure Arc 対応 Kubernetes エンドポイント」を確認してください。

nw-umwatson.events.data.microsoft.com 
dc.services.visualstudio.com 
github.com 
self.events.data.microsoft.com 
mirror.enzu.com 
ppa.launchpadcontent.net 
msit-onelake.pbidedicated.windows.net 
gcr.io 
adhs.events.data.microsoft.com 
gbl.his.arc.azure.cn 
onegetcdn.azureedge.net 
graph.windows.net 
pas.windows.net 
agentserviceapi.guestconfiguration.azure.com 
aka.ms 
api.segment.io 
download.microsoft.com 
raw.githubusercontent.com 
go.microsoft.com 
global.metrics.azure.eaglex.ic.gov 
gbl.his.arc.azure.us 
packages.microsoft.com 
global.metrics.azure.microsoft.scloud 
www.powershellgallery.com
k8s.io 
guestconfiguration.azure.com 
ods.opinsights.azure.com 
vault.azure.net 
googleapis.com 
quay.io 
handler.control.monitor.azure.com 
pkg.dev 
docker.io 
prod.hot.ingestion.msftcloudes.com 
docker.com 
prod.microsoftmetrics.com 
oms.opinsights.azure.com 
azureedge.net 
monitoring.azure.com
blob.core.windows.net 
azurecr.io

次のステップ

Azure Arc 対応 Kubernetes クラスターを準備して、Azure IoT Operations のクラスターを構成し、Arc 対応にします。