Twórz i konfiguruj urządzenia IoT Edge na dużą skalę z TPM w systemie Windows

Dotyczy: IoT Edge 1.1

Ważne

Data zakończenia wsparcia usługi IoT Edge 1.1 wynosiła 13 grudnia 2022 r.. Zapoznaj się z cyklem życia produktów firmy Microsoft, aby uzyskać informacje na temat sposobu obsługi tego produktu lub interfejsu API albo tej usługi lub technologii. Aby uzyskać więcej informacji na temat aktualizowania do najnowszej wersji usługi IoT Edge, zobacz Update IoT Edge.

Artykuł ten zawiera instrukcje dotyczące automatycznego aprowizowania urządzenia Azure IoT Edge działającego na systemie Windows przy użyciu zaufanego modułu TPM (Trusted Platform Module). Możesz automatycznie konfigurować urządzenia IoT Edge za pomocą usługi aprowizacji urządzeń Azure IoT Hub. Jeśli nie znasz procesu autoprovisioningu, przed kontynuacją zapoznaj się z omówieniem aprowizacji.

Uwaga

Usługa Azure IoT Edge z kontenerami systemu Windows nie będzie obsługiwana od wersji 1.2 usługi Azure IoT Edge.

Rozważ użycie nowej metody uruchamiania usługi IoT Edge na urządzeniach z systemem Windows, Azure IoT Edge dla systemu Linux w systemie Windows.

Jeśli chcesz użyć usługi Azure IoT Edge dla systemu Linux w systemie Windows, możesz wykonać kroki opisane w równoważnym przewodniku.

W tym artykule opisano dwie metodologie. Wybierz swoją preferencję na podstawie architektury rozwiązania:

• Automatyczna aprowizacja urządzenia z systemem Windows przy użyciu fizycznego sprzętu TPM.
• Samodzielna konfiguracja urządzenia z systemem Windows z symulowanym modułem TPM. Zalecamy tę metodologię tylko jako scenariusz testowania. Symulowany moduł TPM nie oferuje tych samych zabezpieczeń co fizyczny moduł TPM.

Instrukcje różnią się w zależności od metodologii, dlatego upewnij się, że jesteś na właściwej karcie.

Zadania są następujące:

Fizyczny moduł TPM

• Odczytaj informacje o konfiguracji urządzenia.
• Utwórz rejestrację indywidualną dla urządzenia.
• Zainstaluj środowisko uruchomieniowe usługi IoT Edge i połącz urządzenie z usługą IoT Hub.

Symulowany TPM

• Skonfiguruj symulowany moduł TPM i pobierz informacje o jego konfiguracji.
• Utwórz rejestrację indywidualną dla urządzenia.
• Zainstaluj środowisko uruchomieniowe usługi IoT Edge i połącz urządzenie z usługą IoT Hub.

Wymagania wstępne

Wymagania wstępne są takie same w przypadku fizycznych modułów TPM i wirtualnych rozwiązań TPM.

Zasoby w chmurze

• Aktywne centrum IoT
• Instancja usługi aprowizacji urządzeń IoT Hub na platformie Azure, połączona z Twoim IoT Hub.
  • Jeśli nie masz instancji usługi aprowizacji urządzeń, możesz postępować zgodnie z instrukcjami w sekcjach Tworzenie nowej usługi aprowizacji urządzeń IoT Hub oraz Łączenie centrum IoT i usługi aprowizacji urządzeń w szybkim przewodniku startowym usługi aprowizacji urządzeń IoT Hub.
  • Po uruchomieniu usługi aprowizacji urządzeń skopiuj wartość pola Zakres identyfikatora ze strony przeglądu. Ta wartość jest używana podczas konfigurowania środowiska uruchomieniowego usługi IoT Edge.

Wymagania dotyczące urządzenia

Maszyna deweloperna systemu Windows. W tym artykule jest używany system Windows 10.

Uwaga

Moduł TPM 2.0 jest wymagany, gdy używasz attestacji TPM z usługą aprowizacji urządzeniami.

Korzystając z modułu TPM, można tworzyć tylko rejestracje indywidualne, a nie grupowe w usłudze aprowizacji urządzeń.

Skonfiguruj moduł TPM

Fizyczny moduł TPM

W tej sekcji utworzysz narzędzie, za pomocą którego można pobrać identyfikator rejestracji i klucz potwierdzający dla modułu TPM.

1. Wykonaj kroki opisane w Konfigurowanie środowiska deweloperskiego systemu Windows, aby zainstalować i skompilować zestaw SDK urządzenia Azure IoT dla języka C.

2. Uruchom następujące polecenia w sesji programu PowerShell z podwyższonymi uprawnieniami administracyjnymi, aby skompilować narzędzie SDK, które pobiera informacje o konfiguracji Twojego urządzenia dla modułu TPM.

   cd azure-iot-sdk-c\cmake
   cmake -Duse_prov_client:BOOL=ON ..
   cd provisioning_client\tools\tpm_device_provision
   make
   .\tpm_device_provision
   

3. W oknie wyjściowym zostanie wyświetlony identyfikator rejestracji urządzenia oraz klucz poręczenia . Skopiuj te wartości do użycia później podczas tworzenia indywidualnej rejestracji dla urządzenia w usłudze aprowizacji urządzeń.

Wskazówka

Jeśli nie chcesz używać narzędzia SDK do pobierania informacji, musisz znaleźć inny sposób uzyskiwania informacji dotyczących aprowizacji. Klucz poręczenia, który jest unikatowy dla każdego mikroukładu TPM, jest uzyskiwany od producenta mikroukładu TPM. Możesz uzyskać unikatowy identyfikator rejestracji dla urządzenia TPM. Na przykład można utworzyć skrót SHA-256 klucza poręczenia.

Po uzyskaniu identyfikatora rejestracji i klucza poręczenia możesz kontynuować.

Symulowany moduł TPM

Jeśli nie masz dostępnego fizycznego modułu TPM i chcesz przetestować tę metodę aprowizacji, możesz symulować moduł TPM na urządzeniu.

Usługa aprowizacji urządzeń usługi IoT Hub udostępnia przykłady, które symulują moduł TPM i zwracają klucz poręczenia i identyfikator rejestracji.

1. Wybierz jeden z przykładów z poniższej listy na podstawie preferowanego języka.
2. Przestań wykonywać przykładowe kroki usługi aprowizacji urządzeń po uruchomieniu symulowanego systemu TPM i zebraniu klucza poręczenia oraz identyfikatora rejestracji. Nie wybieraj Enter , aby uruchomić rejestrację w przykładowej aplikacji.
3. Zachowaj okno hostujące symulowany moduł TPM do momentu zakończenia testowania tego scenariusza.
4. Wróć do tego artykułu, aby utworzyć rejestrację usługi aprowizacji urządzeń i skonfigurować urządzenie.

Symulowane próbki TPM:

• C
• Java
• C#
• Node.js
• Python

Utwórz rejestrację usługi udostępniania urządzeń

Użyj informacji o aprowizacji modułu TPM, aby utworzyć rejestrację indywidualną w usłudze aprowizacji urządzeń.

Podczas tworzenia rejestracji w usłudze aprowizacji urządzeń możesz zadeklarować stan początkowy bliźniaka urządzenia. W bliźniaczym modelu urządzenia możesz ustawić tagi w celu grupowania urządzeń według dowolnej metryki używanej w twoim rozwiązaniu, na przykład region, środowisko, lokalizacja lub typ urządzenia. Te tagi służą do tworzenia wdrożeń automatycznych.

Wskazówka

Kroki opisane w tym artykule dotyczą witryny Azure Portal, ale można również utworzyć rejestracje indywidualne przy użyciu interfejsu wiersza polecenia platformy Azure. Aby uzyskać więcej informacji, zobacz az iot dps enrollment. W ramach polecenia CLI użyj flagi edge-enabled, aby określić, że rejestracja dotyczy urządzenia IoT Edge.

1. W portalu Azure przejdź do wystąpienia usługi aprowizacji urządzeń IoT Hub.

2. W obszarze Ustawienia wybierz pozycję Zarządzaj rejestracjami.

3. Wybierz pozycję Dodaj rejestrację indywidualną, a następnie wykonaj następujące kroki, aby skonfigurować rejestrację:

   1. W obszarze Mechanizm wybierz pozycję TPM.

   2. Podaj klucz poręczenia i identyfikator rejestracji skopiowany z maszyny wirtualnej lub urządzenia fizycznego.

   3. Podaj identyfikator urządzenia, jeśli chcesz. Jeśli nie podasz identyfikatora urządzenia, zostanie użyty identyfikator rejestracji.

   4. Wybierz pozycję True , aby zadeklarować, że maszyna wirtualna lub urządzenie fizyczne jest urządzeniem usługi IoT Edge.

   5. Wybierz połączone centrum IoT Hub, z którym chcesz połączyć urządzenie, lub wybierz pozycję Połącz z nową usługą IoT Hub. Można wybrać wiele centrów, a urządzenie zostanie przypisane do jednego z nich zgodnie z wybranymi zasadami przypisania.

   6. Jeśli chcesz, dodaj wartość tagu do stanu początkowej bliźniaczej reprezentacji urządzenia. Tagów można używać do grup docelowych urządzeń na potrzeby wdrażania modułu. Aby uzyskać więcej informacji, zobacz Wdrażanie modułów usługi IoT Edge na dużą skalę.

   7. Wybierz Zapisz.

Teraz, gdy rejestracja istnieje dla tego urządzenia, środowisko uruchomieniowe usługi IoT Edge może automatycznie aprowizować urządzenie podczas instalacji.

Instalowanie usługi IoT Edge

W tej sekcji przygotujesz maszynę wirtualną z systemem Windows lub urządzenie fizyczne na potrzeby usługi IoT Edge. Następnie zainstalujesz przeglądarkę IoT Edge.

Usługa Azure IoT Edge korzysta ze środowiska uruchomieniowego kontenera zgodnego z technologią OCI. Moby, silnik oparty na Moby, jest dołączony do skryptu instalacji, co oznacza, że nie ma dodatkowych kroków do zainstalowania silnika.

Aby zainstalować środowisko uruchomieniowe usługi IoT Edge:

1. Uruchom program Powershell jako Administrator.

   Użyj sesji amd64 programu PowerShell, a nie programu PowerShell(x86). Jeśli nie masz pewności, którego typu sesji używasz, uruchom następujące polecenie:

   (Get-Process -Id $PID).StartInfo.EnvironmentVariables["PROCESSOR_ARCHITECTURE"]
   

2. Uruchom polecenie Deploy-IoTEdge, które wykonuje następujące zadania:

   • Sprawdza, czy maszyna z systemem Windows jest w obsługiwanej wersji
   • Włącza funkcję kontenerów
   • Pobiera silnik moby i środowisko uruchomieniowe Edge IoT

   . {Invoke-WebRequest -useb https://aka.ms/iotedge-win} | Invoke-Expression; `
   Deploy-IoTEdge
   

3. Uruchom ponownie urządzenie, jeśli zostanie wyświetlony monit.

Podczas instalowania usługi IoT Edge na urządzeniu można użyć dodatkowych parametrów, aby zmodyfikować proces, w tym:

• Skieruj ruch przez serwer proxy
• Wskaż instalatorowi katalog lokalny na potrzeby instalacji w trybie offline

Aby uzyskać więcej informacji na temat tych dodatkowych parametrów, zobacz skrypty programu PowerShell dla usługi IoT Edge z kontenerami systemu Windows.

Skonfiguruj urządzenie przy użyciu jego tożsamości w chmurze

Po zainstalowaniu środowiska uruchomieniowego na urządzeniu skonfiguruj urządzenie przy użyciu informacji używanych do nawiązywania połączenia z usługą aprowizacji urządzeń i usługą IoT Hub.

1. Poznaj zakres identyfikatora usługi aprowizacji urządzeń i identyfikator rejestracji urządzenia , które zostały zebrane w poprzednich sekcjach.

2. Otwórz okno programu PowerShell w trybie administratora. Pamiętaj, aby użyć sesji programu PowerShell AMD64 podczas instalowania usługi IoT Edge, a nie programu PowerShell (x86).

3. Polecenie Initialize-IoTEdge konfiguruje środowisko uruchomieniowe usługi IoT Edge na maszynie. Polecenie domyślnie wykonuje ręczną konfigurację z wykorzystaniem kontenerów systemu Windows. Użyj flagi -Dps, aby użyć usługi aprowizacji urządzeń zamiast ręcznej aprowizacji.

   Zastąp wartości symboli zastępczych paste_scope_id_here i paste_registration_id_here zebranymi wcześniej danymi.

   . {Invoke-WebRequest -useb https://aka.ms/iotedge-win} | Invoke-Expression; `
   Initialize-IoTEdge -Dps -ScopeId paste_scope_id_here -RegistrationId paste_registration_id_here
   

Weryfikowanie pomyślnej instalacji

Jeśli środowisko uruchomieniowe zostało uruchomione pomyślnie, przejdź do centrum IoT i rozpocznij wdrażanie modułów usługi IoT Edge na urządzeniu. Użyj następujących poleceń na urządzeniu, aby sprawdzić, czy środowisko uruchomieniowe jest zainstalowane i uruchomione pomyślnie.

1. Sprawdź stan usługi IoT Edge.

   Get-Service iotedge
   

2. Przejrzyj dzienniki usługi z ostatnich 5 minut.

   . {Invoke-WebRequest -useb aka.ms/iotedge-win} | Invoke-Expression; Get-IoTEdgeLog
   

3. Lista uruchomionych modułów.

   iotedge list
   

Następne kroki

Proces rejestracji w usłudze wdrażania urządzeń umożliwia ustawienie identyfikatora urządzenia i właściwości bliźniaczych urządzenia jednocześnie z jego wdrożeniem. Tych wartości można użyć do określania wartości docelowych dla poszczególnych urządzeń lub grup urządzeń przy użyciu automatycznego zarządzania urządzeniami.

Dowiedz się, jak wdrażać i monitorować moduły usługi IoT Edge na dużą skalę przy użyciu witryny Azure Portal lub interfejsu wiersza polecenia platformy Azure.