Delen via

Migreren van Azure Sphere (verouderd) naar Azure Sphere (geïntegreerd)

  • Artikel

Op 27 september 2027 zal Azure Sphere de verouderde service-interfaces, de Azure Sphere-API (verouderd) (ook wel PAPI genoemd) en De Azure Sphere CLI (ook wel azsphere genoemd) buiten gebruik stellen. Alle Azure Sphere-gebruikers (verouderd) moeten vóór deze datum migreren naar Azure Sphere (geïntegreerd ). Azure Sphere (geïntegreerd) is systeemeigen voor het Azure-platform en biedt een like-for-like vervanging van de Azure Sphere-interface (verouderd). Azure Sphere (geïntegreerd) biedt ook aanzienlijke verbeteringen in beveiliging (Azure RBAC-integratie), bruikbaarheid (Integratie van Azure Portal) en waarneembaarheid/waarschuwingen (Azure Monitor-integratie). Raadpleeg deze blog voor meer informatie.

Dit artikel is ontworpen om Azure Sphere-beheerders en technische teams te helpen de migratie te begrijpen en te plannen. We hebben het migratieproces zo ontworpen dat u uw Azure Sphere-apparaten kunt beheren in zowel Azure Sphere (geïntegreerd) als Azure Sphere (verouderd) indien nodig in het migratieproject. Bovendien kunnen uw verouderde scripts, automatisering en interfaces ononderbroken werken terwijl uw technische team bijgewerkte versies bouwt en test op basis van Azure Sphere (geïntegreerd).

Diagram met de migratiewerkstroom op hoog niveau

Het migratieproces kan worden onderverdeeld in de volgende werkgebieden:

  • De verouderde tenant integreren in een Azure Sphere-catalogus in Azure Portal
  • Interactieve gebruikerswerkstromen migreren
  • Geautomatiseerde processen en interfaces migreren

Uw Azure Sphere-tenant (verouderd) integreren in een Azure Sphere-catalogus

Deze eerste stap in het migratieproces moet worden voltooid voordat andere werkzaamheden kunnen worden gestart. Met de functie Integreren in Azure Portal wordt uw Azure Sphere-tenant (verouderd) voorbereid om te worden beheerd in de Azure-omgeving waarin deze een Azure Sphere-catalogus wordt. De tenant en de bijbehorende resources blijven hetzelfde met uitzondering die u nu ook kunt openen en beheren via de gebruikersinterfaces van Azure, waaronder Azure Portal, de Azure Sphere-extensie voor Azure CLI en Azure Sphere voor PowerShell.

Diagram met het scherm Integreren in Azure Sphere

Het integratieproces voert twee stappen uit:

  1. Er wordt een Azure-resource-id toegewezen aan elke resource in de tenant, zodat de resource kan worden beheerd door Azure Resource Manager.
  2. De verouderde tenanttoegangsrollen worden toegewezen aan gebruikerstoegangsrollen die worden beheerd door op Rollen gebaseerd toegangsbeheer (RBAC) van Azure. Wanneer de voorgestelde toegangsroltoewijzingen worden weergegeven tijdens het integratieproces, kunt u deze accepteren, wijzigen of negeren. Nadat de integratiestap is voltooid, kunt u de gebruikerstoegang op elk gewenst moment wijzigen.

Normaal gesproken duurt de integratiestap slechts een paar minuten en zodra deze is voltooid, kan elke gebruiker die toegang heeft gekregen tijdens de integratie direct beginnen met het beheren van de nieuwe Azure Sphere-catalogus in een van de gebruikersinterfaces van Azure. Er wordt geen bestaande werkstroom geblokkeerd door het integratieproces. U wordt aangeraden dit binnenkort te doen, zodat u de nieuwe Azure Sphere-interfaces (geïntegreerde) en voordelen kunt verkennen. Zodra dit is voltooid, kunt u beginnen met de rest van uw migratiewerk.

Interactieve gebruikerswerkstromen migreren

Interactieve werkstromen zijn werkstromen waarbij een persoon de 'azsphere' CLI gebruikt (of een script gebruikt dat op zijn beurt gebruikmaakt van 'azsphere' CLI) om een taak uit te voeren. Dergelijke interactieve werkstromen kunnen optreden als onderdeel van productie (bijvoorbeeld het claimen van nieuwe apparaten in uw tenant), bewerkingen (bijvoorbeeld het beheren van certificaten die betrekking hebben op uw tenant) of gebruiksscenario's voor ontwikkelaars (bijvoorbeeld het instellen van een ontwikkelaarsapparaat om geen updates over de lucht te ontvangen).

Wanneer u de migratie van uw werkstromen plant, moet u overwegen om gebruikers te trainen, interne documentatie bij te werken en, in gevallen waarin scripts interactief worden gebruikt, deze scripts bij te werken. U kunt ook overwegen om te profiteren van twee belangrijke verbeteringen in Azure Sphere (geïntegreerd): de gestroomlijnde interface van Azure Sphere in Azure Portal en het robuuste beheer van gebruikerstoegang in RBAC (Op rollen gebaseerd toegangsbeheer) van Azure.

Het is belangrijk om te overwegen of een bepaalde gebruikerswerkstroom beter wordt uitgevoerd in een webinterface in plaats van een CLI. Met Azure Sphere (geïntegreerd) kunt u de catalogus beheren in Azure Portal en voor veel interactieve gebruikerswerkstromen biedt Portal een rijkere en eenvoudigere gebruikerservaring. In Azure Portal kunt u bijvoorbeeld in één stap afbeeldingen tegelijk uploaden en implementeren, zoals hieronder wordt weergegeven.

Diagram met het scherm Afbeeldingen toevoegen in Azure Sphere

Overweeg ten tweede hoe u de toegang van gebruikers effectiever kunt beperken. Azure Sphere (geïntegreerd) biedt ondersteuning voor op rollen gebaseerd toegangsbeheer (RBAC) van Azure, waardoor veel krachtigere en gedetailleerdere gebruikerstoegang mogelijk is dan Azure Sphere (verouderd).

Diagram van het azure RBAC-configuratiescherm

Het is een model met minimale machtigingen dat is ontworpen om een afzonderlijke gebruiker alleen toegang te verlenen tot de resources die zijn vereist voor hun taak, en om alleen de gebruikersacties uit te voeren die nodig zijn voor hun taak. In een Azure Sphere-catalogus kunt u bijvoorbeeld toestaan dat een gebruiker de groep Productieapparaten kan bekijken en nieuwe implementaties in die apparaatgroep maakt, maar met name verhindert dat ze apparaten verplaatsen naar en naar de apparaatgroep of om andere apparaatgroepen in de catalogus weer te geven.

Als u Azure RBAC nog niet eerder hebt gebruikt, raden we u aan om meer te weten te komen over basisconcepten van Azure RBAC, zoals bereik en resourcehiërarchie, omdat ze essentieel zijn om inzicht te krijgen in de gevolgen van het toepassen van een specifieke RBAC-rolmachtiging op een catalogus ten opzichte van de onderliggende resource van een catalogus, zoals een apparaatgroep.

Om u te helpen, hebben we een voorbeeld van RBAC-configuratie voor meerdere zakelijke gebruikers opgegeven die enkele aanbevolen procedures voor RBAC voor Azure Sphere illustreren. In het voorbeeld worden machtigingen gemarkeerd die zijn afgestemd op de algemene behoeften van zakelijke gebruikers, waaronder softwaretechnici die toepassingen produceren voor Azure Sphere-apparaten, OT-technici die productieapparaten van Azure Sphere beheren en fabrikanten die Azure Sphere-apparaten bouwen.

Gebruikerstoegang tot de Azure Sphere-tenant (verouderd) verwijderen

Zodra een werkstroom is gemigreerd en uw gebruikers fulltime gebruikmaken van Azure Sphere (geïntegreerd), raden we u ten zeerste aan om de machtigingen van elke gebruiker uit de verouderde tenant te verwijderen om onbedoelde toegang te elimineren. Anders kan een gebruiker de verfijnde besturingselementen voor toegang die u in Azure RBAC hebt geconfigureerd, sidestepen door verouderde toegang te blijven gebruiken. Als u verouderde gebruikerstoegang verwijdert, kunt u er ook voor zorgen dat deze gebruikers al hun vereiste taken in Azure Sphere (geïntegreerd) kunnen uitvoeren en niet worden beïnvloed door verouderde buitengebruikstelling.

Gebruikers die aan het converteren of testen van geautomatiseerde processen werken, moeten mogelijk hun verouderde tenanttoegangsbevoegdheden gedurende een langere periode behouden.

Geautomatiseerde processen en interfaces migreren

Als uw organisatie niet alleen interactieve werkstromen migreert, maar ook geautomatiseerde processen heeft gebouwd die gebruikmaken van Azure Sphere-scripts (verouderd) of gebruikersinterfaces op basis van de Azure Sphere-API (verouderd), moet u deze opnieuw bewerken om Azure Sphere (geïntegreerd) te gebruiken. Om het migratieproces zo eenvoudig mogelijk te maken, kunt u de bijgewerkte automatisering actief ontwikkelen en testen terwijl uw op verouderde productie gebaseerde automatisering ononderbroken wordt uitgevoerd. Zorg is nodig bij het testen van opdrachten die niet kunnen worden teruggedraaid, zoals het claimen van een apparaat naar een catalogus waar u het niet op lange termijn wilt opslaan.

Voor elke interface die u bouwt op de Azure Sphere (geïntegreerde) API, moet u een Microsoft Entra-toegangstoken maken waarmee de interface toegang krijgt tot het API-eindpunt. Raadpleeg de referentiedocumentatie voor Azure REST API's voor informatie over toegangstokens en het aanroepen van de Azure REST API's.

Nadat u de bijgewerkte geautomatiseerde processen en interfaces voor productie hebt geïmplementeerd, moet u Azure Sphere-toegang (verouderd) verwijderen voor de service-principals die worden gebruikt om uw oude verouderde automatisering en interfaces te verifiëren. Als u alle toegang tot de service-principal verwijdert, zorgt u ervoor dat al uw geautomatiseerde processen volledig worden gemigreerd en niet worden beïnvloed door verouderde buitengebruikstelling.

Resterende toegang tot de verouderde tenant afsluiten

De laatste stap in het migratieproces is het verwijderen van alle resterende Toegang tot Azure Sphere (verouderd). Tegenwoordig hebben Azure Sphere-tenants (verouderde) ten minste één actief legacy administrator-account nodig, zelfs als de tenant is geïntegreerd in Azure Portal. We werken aan een functie waarmee u het laatste verouderde tenantbeheerdersaccount kunt verwijderen, maar dit is momenteel niet beschikbaar. Wanneer we deze functie vrijgeven, kondigen we de beschikbaarheid aan op Azure Update.

Profiteren van functies die beschikbaar zijn in Azure Sphere (geïntegreerd)

Hoewel dit niet vereist is om Azure Sphere (geïntegreerd) te gebruiken, raden we u ten zeerste aan om als onderdeel van uw migratieplan de andere krachtige Azure-services te verkennen en te profiteren van de andere krachtige Azure-services die nu beschikbaar zijn voor Azure Sphere.

Een van de krachtigste is Azure Monitor. Azure Monitor biedt diverse functies voor vlootbewaking, zoals het verzamelen van metrische prestatiegegevens en diagnostische gegevens, en het opvragen van gebeurtenissen in activiteitenlogboeken van zowel Azure Sphere-apparaten als de Azure Sphere-beveiligingsservice.

Diagram met het scherm Azure Monitor

Met behulp van Azure Monitor-gegevens kunt u de status van het apparaatpark correleren met gebeurtenissen die plaatsvinden in de Azure Sphere-beveiligingsservice, zoals de release van een nieuwe app-update. U kunt ook waarschuwingen configureren voor kritieke gebeurtenissen, zoals de aanstaande vervaldatum van uw Azure Sphere-tenantcertificaat. Zie Bewaking van de Azure Sphere-vloot en apparaatstatus voor meer informatie.

Aan de slag en hulp zoeken

U kunt eenvoudig aan de slag door uw Azure Sphere-tant (verouderd) te integreren in een Azure Sphere-catalogus (geïntegreerd) en te beginnen met werken met Azure Sphere in Azure CLI of Azure Portal. Azure Sphere (verouderd) wordt volledig ondersteund tot de buitengebruikstellingsdatum van 27 september 2027. Alle migratieactiviteiten moeten op die datum worden voltooid. Als u vragen hebt over migratie of technische hulp nodig hebt, vindt u antwoorden van community-experts op Microsoft Q&A of kunt u contact opnemen AZSPPGSUP@microsoft.com.