Migrowanie z usługi Azure Sphere (starsza wersja) do usługi Azure Sphere (zintegrowane)

27 września 2027 r. usługa Azure Sphere wycofa swoje starsze interfejsy usług, interfejs API usługi Azure Sphere (starsza wersja) (znany również jako PAPI) i interfejs wiersza polecenia usługi Azure Sphere (znany również jako azsphere). Wszyscy użytkownicy usługi Azure Sphere (starsza wersja) muszą przeprowadzić migrację do usługi Azure Sphere (zintegrowanej) przed tą datą. Usługa Azure Sphere (zintegrowana) jest natywna dla platformy Azure i udostępnia podobną do podobnej zamiany interfejsu usługi Azure Sphere (starsza wersja). Usługa Azure Sphere (zintegrowana) oferuje również znaczne ulepszenia zabezpieczeń (integracja kontroli dostępu opartej na rolach platformy Azure), użyteczność (integracja z witryną Azure Portal) oraz możliwość obserwowania/alerty (integracja z usługą Azure Monitor). Aby uzyskać więcej informacji, zobacz ten artykuł.

Ten artykuł został zaprojektowany, aby ułatwić administratorom i zespołom inżynierów usługi Azure Sphere zrozumienie i planowanie migracji. Zaprojektowaliśmy proces migracji, aby umożliwić zarządzanie urządzeniami usługi Azure Sphere w usługach Azure Sphere (zintegrowanych) i Azure Sphere (starsza wersja) zgodnie z potrzebami w całym projekcie migracji. Ponadto skrypty, automatyzacja i interfejsy oparte na starszej wersji mogą działać nieprzerwanie, podczas gdy zespół inżynierów kompiluje i testuje zaktualizowane wersje oparte na usłudze Azure Sphere (zintegrowane).

Proces migracji można podzielić na następujące obszary pracy:

• Integrowanie starszej dzierżawy z wykazem usługi Azure Sphere w witrynie Azure Portal
• Migrowanie interakcyjnych przepływów pracy użytkownika
• Migrowanie zautomatyzowanych procesów i interfejsów

Integrowanie dzierżawy usługi Azure Sphere (starsza wersja) z wykazem usługi Azure Sphere

Ten pierwszy krok w procesie migracji należy wykonać przed rozpoczęciem jakiejkolwiek innej pracy. Funkcja Integrowanie w witrynie Azure Portal przygotowuje dzierżawę usługi Azure Sphere (starsza wersja) do zarządzania w środowisku platformy Azure, w którym staje się wykazem usługi Azure Sphere. Dzierżawa i jej zasoby pozostają takie same z wyjątkiem, do których można teraz również uzyskiwać dostęp i zarządzać nimi za pośrednictwem interfejsów użytkownika platformy Azure, w tym witryny Azure Portal, rozszerzenia usługi Azure Sphere dla interfejsu wiersza polecenia platformy Azure i usługi Azure Sphere dla programu PowerShell.

Proces integrowania wykonuje dwa kroki:

1. Przypisuje identyfikator zasobu platformy Azure do każdego zasobu w dzierżawie, co umożliwia zarządzanie zasobem przez usługę Azure Resource Manager.
2. Mapuje ona role dostępu użytkowników starszej dzierżawy do ról dostępu użytkowników zarządzanych przez kontrolę dostępu na podstawie ról platformy Azure (RBAC). Gdy sugerowane mapowania ról dostępu są wyświetlane podczas procesu integracji, można je zaakceptować, zmodyfikować lub odrzucić. Po zakończeniu kroku integracji możesz zmodyfikować dostęp użytkowników w dowolnym momencie.

Zazwyczaj krok integracji trwa tylko kilka minut i po zakończeniu każdy użytkownik, któremu udzielono dostępu podczas integracji, może natychmiast rozpocząć zarządzanie nowym wykazem usługi Azure Sphere w dowolnych interfejsach użytkownika platformy Azure. Żaden istniejący przepływ pracy nie jest blokowany przez proces integracji i zalecamy, aby można było rozpocząć eksplorowanie nowych interfejsów i korzyści usługi Azure Sphere (zintegrowanych). Po zakończeniu możesz rozpocząć resztę pracy migracji.

Migrowanie interakcyjnych przepływów pracy użytkownika

Interaktywne przepływy pracy to takie, w których użytkownik używa interfejsu wiersza polecenia "azsphere" (lub używa skryptu, który z kolei używa interfejsu wiersza polecenia "azsphere" do wykonania zadania. Takie interaktywne przepływy pracy mogą wystąpić w ramach produkcji (np. oświadczeń nowych urządzeń do dzierżawy), operacji (np. zarządzania certyfikatami powiązanymi z dzierżawą) lub przypadków użycia dewelopera (np. skonfigurowania urządzenia deweloperskiego, aby nie otrzymywać aktualizacji za pośrednictwem powietrza).

Podczas planowania migracji przepływów pracy należy wziąć pod uwagę szkolenia użytkowników, zaktualizować dokumentację wewnętrzną i w przypadkach, w których skrypty są używane interaktywnie, aktualizując te skrypty. Możesz również rozważyć skorzystanie z dwóch kluczowych ulepszeń w usłudze Azure Sphere (zintegrowane): usprawniony interfejs usługi Azure Sphere w witrynie Azure Portal oraz niezawodne zarządzanie dostępem użytkowników platformy Azure w kontroli dostępu opartej na rolach (RBAC) platformy Azure.

Ważne jest, aby wziąć pod uwagę, czy określony przepływ pracy użytkownika jest lepiej osiągany w interfejsie internetowym, a nie w interfejsie wiersza polecenia. Usługa Azure Sphere (zintegrowana) umożliwia zarządzanie katalogiem w witrynie Azure Portal, a w przypadku wielu interakcyjnych przepływów pracy użytkowników portal oferuje bogatsze i prostsze środowisko użytkownika. Na przykład w witrynie Azure Portal można jednocześnie przekazywać i wdrażać obrazy w jednym kroku, jak pokazano poniżej.

Po drugie należy rozważyć, jak skuteczniej ograniczyć dostęp użytkowników. Usługa Azure Sphere (zintegrowana) obsługuje kontrolę dostępu opartą na rolach (RBAC) platformy Azure, która umożliwia znacznie bardziej niezawodny i precyzyjny dostęp użytkowników niż usługa Azure Sphere (starsza wersja).

Jest to model z najmniejszymi uprawnieniami przeznaczony do udzielania indywidualnemu użytkownikowi dostępu tylko do tych zasobów wymaganych do ich zadania, a także uprawnienia do wykonywania tylko akcji użytkownika niezbędnych do ich zadania. Na przykład w katalogu usługi Azure Sphere można zezwolić użytkownikowi na wyświetlanie grupy urządzeń produkcyjnych i tworzenie nowych wdrożeń w tej grupie urządzeń, ale w szczególności uniemożliwić im przenoszenie urządzeń do grupy urządzeń i z grupy urządzeń lub wyświetlanie innych grup urządzeń w wykazie.

Jeśli wcześniej nie używasz kontroli dostępu opartej na rolach platformy Azure, zalecamy zapoznanie się z podstawowymi pojęciami RBAC platformy Azure, takimi jak zakres i hierarchia zasobów, ponieważ są one kluczem do zrozumienia wpływu zastosowania określonego uprawnienia roli RBAC do wykazu w porównaniu do zasobu podrzędnego wykazu, takiego jak grupa urządzeń.

Aby pomóc, udostępniliśmy przykładową konfigurację RBAC dla wielu użytkowników biznesowych, która ilustruje niektóre najlepsze rozwiązania dotyczące kontroli dostępu opartej na rolach dla usługi Azure Sphere. W przykładzie przedstawiono uprawnienia dostosowane do typowych potrzeb użytkowników biznesowych, w tym inżynierów oprogramowania tworzących aplikacje dla urządzeń usługi Azure Sphere, techników OT zarządzających produkcyjną flotą urządzeń usługi Azure Sphere i producentów, którzy tworzą urządzenia usługi Azure Sphere.

Usuwanie dostępu użytkownika do dzierżawy usługi Azure Sphere (starsza wersja)

Po przeprowadzeniu migracji przepływu pracy, a użytkownicy korzystają z usługi Azure Sphere (zintegrowanej) w pełnym wymiarze godzin, zdecydowanie zalecamy usunięcie uprawnień każdego użytkownika ze starszej dzierżawy w celu wyeliminowania niezamierzonego dostępu. W przeciwnym razie użytkownik może przejść obok szczegółowej kontroli dostępu skonfigurowanej w kontroli RBAC platformy Azure, kontynuując korzystanie ze starszej wersji. Usunięcie starszego dostępu użytkowników pomoże ci również upewnić się, że ci użytkownicy mogą pomyślnie wykonywać wszystkie wymagane zadania w usłudze Azure Sphere (zintegrowane) i nie będą mieć wpływu na starsze wycofanie.

Użytkownicy pracujący nad konwertowaniem lub testowaniem zautomatyzowanych procesów mogą przez dłuższy czas zachować swoje starsze uprawnienia dostępu do dzierżawy.

Migrowanie zautomatyzowanych procesów i interfejsów

Oprócz migrowania interaktywnych przepływów pracy, jeśli organizacja utworzyła zautomatyzowane procesy korzystające ze skryptów usługi Azure Sphere (starsza wersja) lub interfejsów użytkownika opartych na interfejsie API usługi Azure Sphere (starsza wersja), należy przerobić te, aby używać usługi Azure Sphere (zintegrowanej). Aby proces migracji był jak najbardziej łatwy, możesz aktywnie opracowywać i testować zaktualizowaną automatyzację, podczas gdy w środowisku produkcyjnym działa nieprzerwanie automatyzacja oparta na starszej wersji. Podczas testowania poleceń, których nie można cofnąć, takich jak pobieranie urządzenia do katalogu, w którym nie chcesz, aby znajdowały się one długoterminowo.

Dla każdego interfejsu tworzonego w ramach interfejsu API usługi Azure Sphere (zintegrowanego) należy utworzyć token dostępu firmy Microsoft Entra, który umożliwi interfejsowi dostęp do punktu końcowego interfejsu API. Aby uzyskać informacje na temat tokenów dostępu i wywoływania interfejsów API REST platformy Azure, zapoznaj się z dokumentacją referencyjną interfejsu API REST platformy Azure.

Po wdrożeniu zaktualizowanych zautomatyzowanych procesów i interfejsów w środowisku produkcyjnym należy usunąć dostęp do usługi Azure Sphere (starsza wersja) dla jednostek usługi używanych do uwierzytelniania starej automatyzacji i interfejsów opartych na starszej wersji. Usunięcie całego dostępu jednostki usługi gwarantuje, że wszystkie zautomatyzowane procesy zostaną w pełni zmigrowane i nie będą miały wpływu na wycofanie starszej wersji.

Zamykanie pozostałego dostępu do starszej dzierżawy

Ostatnim krokiem procesu migracji jest usunięcie pozostałego dostępu do usługi Azure Sphere (starsza wersja). Obecnie dzierżawy usługi Azure Sphere (starsza wersja) wymagają co najmniej jednego aktywnego konta starszego administratora, nawet jeśli dzierżawa została zintegrowana z witryną Azure Portal. Pracujemy nad funkcją, która umożliwi usunięcie ostatniego konta administratora dzierżawy starszej wersji, ale nie jest obecnie dostępna. Po wydaniu tej funkcji ogłosimy jej dostępność w usłudze Azure Update.

Korzystanie z funkcji dostępnych w usłudze Azure Sphere (zintegrowane)

Chociaż nie jest to wymagane w celu korzystania z usługi Azure Sphere (zintegrowanej), zdecydowanie zalecamy, aby w ramach planu migracji eksplorować i korzystać z innych zaawansowanych usług platformy Azure dostępnych teraz dla usługi Azure Sphere.

Jedną z najbardziej zaawansowanych funkcji jest usługa Azure Monitor. Usługa Azure Monitor oferuje różne funkcje monitorowania floty, takie jak zbieranie metryk wydajności i danych diagnostycznych oraz wykonywanie zapytań dotyczących zdarzeń w dziennikach aktywności zarówno z urządzeń usługi Azure Sphere, jak i usługi zabezpieczeń Azure Sphere.

Za pomocą danych usługi Azure Monitor można skorelować kondycję floty urządzeń ze zdarzeniami występującymi w usłudze zabezpieczeń Azure Sphere, takimi jak wydanie nowej aktualizacji aplikacji. Możesz również skonfigurować alerty dotyczące zdarzeń krytycznych, takich jak zbliżające się wygaśnięcie certyfikatu dzierżawy usługi Azure Sphere. Aby uzyskać szczegółowe informacje, zobacz Monitorowanie floty usługi Azure Sphere i kondycji urządzeń.

Wprowadzenie i znajdowanie pomocy

Łatwo rozpocząć pracę, integrując usługę Azure Sphere (starsza wersja) z wykazem usługi Azure Sphere (zintegrowany) i rozpoczynając pracę z usługą Azure Sphere w interfejsie wiersza polecenia platformy Azure lub w witrynie Azure Portal. Usługa Azure Sphere (starsza wersja) jest w pełni obsługiwana do daty wycofania z dnia 27 września 2027 r. Wszystkie działania migracji muszą zostać ukończone do tej daty. Jeśli masz pytania dotyczące migracji lub potrzebujesz pomocy technicznej, możesz znaleźć odpowiedzi od ekspertów społeczności w witrynie Microsoft Q&A lub skontaktować się z AZSPPGSUP@microsoft.com.