Partilhar via

Migrar do Azure Sphere (Legado) para o Azure Sphere (Integrado)

  • Artigo

Em 27 de setembro de 2027, o Azure Sphere desativará suas interfaces de serviço herdadas, a API do Azure Sphere (Legado) (também conhecida como PAPI) e a CLI do Azure Sphere (também conhecida como azsphere). Todos os usuários do Azure Sphere (Legado) devem migrar para o Azure Sphere (Integrado) antes dessa data. O Azure Sphere (Integrado) é nativo da plataforma Azure e fornece uma substituição semelhante da interface do Azure Sphere (Legado). O Azure Sphere (Integrado) também oferece melhorias significativas em segurança (integração do Azure RBAC), usabilidade (integração do Portal do Azure) e observabilidade/alerta (integração do Azure Monitor). Para mais informações, consulte este blogue.

Este artigo foi criado para ajudar os administradores do Azure Sphere e as equipes de engenharia a entender e planejar a migração. Projetamos o processo de migração para permitir que você gerencie seus dispositivos do Azure Sphere no Azure Sphere (Integrado) e no Azure Sphere (Legado), conforme necessário durante todo o projeto de migração. Além disso, seus scripts, automação e interfaces baseados em legado podem operar ininterruptamente enquanto sua equipe de engenharia cria e testa versões atualizadas com base no Azure Sphere (Integrado).

Diagrama mostrando o fluxo de trabalho de migração de alto nível

O processo de migração pode ser dividido nas seguintes áreas de trabalho:

  • Integrando o locatário herdado em um catálogo do Azure Sphere no portal do Azure
  • Migrando fluxos de trabalho de usuários interativos
  • Migração de processos e interfaces automatizados

Integrando seu locatário do Azure Sphere (Legado) a um catálogo do Azure Sphere

Esta primeira etapa do processo de migração deve ser concluída antes que qualquer outro trabalho possa começar. O recurso Integrar no portal do Azure prepara seu locatário do Azure Sphere (Legado) para ser gerenciado no ambiente do Azure onde ele se torna um catálogo do Azure Sphere. O locatário e seus recursos permanecem os mesmos, com a exceção de que agora você também pode acessá-los e gerenciá-los por meio das interfaces de usuário do Azure, incluindo o portal do Azure, a extensão do Azure Sphere para CLI do Azure e o Azure Sphere para PowerShell.

Diagrama mostrando a tela Integração do Azure Sphere

O processo de integração executa duas etapas:

  1. Ele atribui uma ID de recurso do Azure a cada recurso no locatário, permitindo que o recurso seja gerenciado pelo Gerenciador de Recursos do Azure.
  2. Ele mapeia as funções de acesso de usuário locatário herdado para funções de acesso de usuário gerenciadas pelo RBAC (Controle de Acesso Baseado em Funções do Azure). Quando os mapeamentos de função de acesso sugeridos são exibidos durante o processo de integração, você pode aceitá-los, modificá-los ou rejeitá-los. Após a conclusão da etapa de integração, você pode modificar o acesso do usuário a qualquer momento.

Normalmente, a etapa de integração leva apenas alguns minutos e, uma vez concluída, qualquer usuário que recebeu acesso durante a integração pode começar imediatamente a gerenciar o novo catálogo do Azure Sphere em qualquer uma das interfaces de usuário do Azure. Nenhum fluxo de trabalho existente é bloqueado pelo processo Integrar, e recomendamos que você faça isso em breve para que possa começar a explorar as novas interfaces e benefícios do Azure Sphere (Integrado). Quando estiver concluído, você poderá começar o restante do trabalho de migração.

Migrando fluxos de trabalho de usuários interativos

Fluxos de trabalho interativos são aqueles em que um indivíduo usa a CLI "azsphere" (ou usa um script que, por sua vez, usa a CLI "azsphere") para executar uma tarefa. Esses fluxos de trabalho interativos podem ocorrer como parte da fabricação (por exemplo, reivindicando novos dispositivos em seu locatário), operações (por exemplo, gerenciamento de certificados relacionados ao seu locatário) ou casos de uso de desenvolvedor (por exemplo, configurar um dispositivo de desenvolvedor para não receber atualizações over-the-air).

Ao planejar a migração de seus fluxos de trabalho, você precisa considerar o treinamento de usuários, a atualização da documentação interna e, nos casos em que os scripts são usados interativamente, a atualização desses scripts. Você também pode considerar aproveitar duas melhorias importantes no Azure Sphere (Integrado): a interface simplificada do Azure Sphere no portal do Azure e o gerenciamento robusto de acesso de usuário do Azure no RBAC (Controle de Acesso Baseado em Função) do Azure.

É importante considerar se um fluxo de trabalho de usuário específico é melhor realizado em uma interface da Web em vez de uma CLI. O Azure Sphere (Integrado) permite que você gerencie o catálogo no Portal do Azure e, para muitos fluxos de trabalho de usuário interativos, o Portal oferece uma experiência de usuário mais rica e simples. Por exemplo, no portal do Azure, você pode carregar e implantar imagens simultaneamente em uma única etapa, conforme mostrado abaixo.

Diagrama mostrando a tela Adicionar imagens do Azure Sphere

Em segundo lugar, considere como você pode restringir o acesso do usuário de forma mais eficaz. O Azure Sphere (Integrado) dá suporte ao RBAC (Controle de Acesso Baseado em Função) do Azure, que permite um acesso de usuário muito mais robusto e refinado do que o Azure Sphere (Legado).

Diagrama mostrando a tela de configuração do Azure RBAC

É um modelo de permissões mínimas projetado para conceder a um usuário individual acesso apenas aos recursos necessários para seu trabalho, bem como permissão para executar apenas as ações do usuário necessárias para seu trabalho. Por exemplo, em um catálogo do Azure Sphere, você pode permitir que um usuário exiba o grupo de dispositivos de produção e crie novas implantações nesse grupo de dispositivos, mas especificamente impedir que eles movam dispositivos para dentro e para fora do grupo de dispositivos ou exibam outros grupos de dispositivos no catálogo.

Se você não tiver usado o RBAC do Azure antes, recomendamos aprender mais sobre os conceitos básicos do RBAC do Azure, como escopo e hierarquia de recursos, pois eles são fundamentais para entender os impactos da aplicação de uma permissão de função RBAC específica a um catálogo versus ao recurso filho de um catálogo, como um grupo de dispositivos.

Para ajudar, fornecemos um exemplo de configuração RBAC para vários usuários corporativos que ilustra algumas práticas recomendadas para RBAC para Azure Sphere. O exemplo destaca permissões adaptadas às necessidades comuns dos utilizadores empresariais, incluindo engenheiros de software que produzem aplicações para dispositivos Azure Sphere, técnicos OT que gerem frotas de dispositivos Azure Sphere de produção e fabricantes que criam dispositivos Azure Sphere.

Removendo o acesso do usuário ao locatário do Azure Sphere (Legado)

Depois que um fluxo de trabalho for migrado e seus usuários estiverem usando o Azure Sphere (Integrado) em tempo integral, é altamente recomendável remover as permissões de cada usuário do locatário Legado para eliminar o acesso não intencional. Caso contrário, um usuário pode contornar os controles de acesso refinados que você configurou no RBAC do Azure continuando a usar o Legado. A remoção do acesso de usuário herdado também ajudará você a garantir que esses usuários possam executar com êxito todas as tarefas necessárias no Azure Sphere (integrado) e não serão afetados pela desativação herdada.

Os usuários que trabalham na conversão ou teste de processos automatizados podem precisar manter seus privilégios de acesso de locatário herdado por um longo período de tempo.

Migração de processos e interfaces automatizados

Além de migrar fluxos de trabalho interativos, se sua organização criou processos automatizados que usam scripts do Azure Sphere (Legado) ou interfaces de usuário baseadas na API do Azure Sphere (Legado), você precisará retrabalhá-los para usar o Azure Sphere (Integrado). Para tornar o processo de migração o mais fácil possível, você pode desenvolver e testar ativamente a automação atualizada enquanto a automação baseada no legado de produção é executada ininterruptamente. É necessário cuidado ao testar comandos que não podem ser revertidos, como reivindicar um dispositivo para um catálogo onde você não deseja que ele resida a longo prazo.

Para cada interface criada na API do Azure Sphere (Integrada), você deve criar um token de acesso do Microsoft Entra que permitirá que a interface acesse o ponto de extremidade da API. Para obter informações sobre tokens de acesso e chamar as APIs REST do Azure, consulte a documentação de referência da API REST do Azure.

Depois de implantar os processos automatizados atualizados e as interfaces na produção, você deve remover o acesso do Azure Sphere (Legado) para as entidades de serviço usadas para autenticar sua automação e interfaces antigas baseadas em Legacy. A remoção de todo o acesso à entidade de serviço garante que todos os seus processos automatizados sejam totalmente migrados e não sejam afetados pela desativação do Legacy.

Encerrando o acesso restante ao locatário herdado

A etapa final no processo de migração é remover qualquer acesso restante ao Azure Sphere (Legado). Atualmente, os locatários do Azure Sphere (Legado) exigem pelo menos uma conta de Administrador Legado ativa, mesmo que o locatário tenha sido integrado ao portal do Azure. Estamos trabalhando em um recurso que permitirá que você exclua essa última conta de Administrador de locatário herdado, mas ela não está disponível no momento. Quando lançarmos esse recurso, anunciaremos sua disponibilidade no Azure Update.

Tirar partido das funcionalidades disponíveis no Azure Sphere (Integrado)

Embora não seja necessário para usar o Azure Sphere (Integrado), é altamente recomendável que, como parte do seu plano de migração, você explore e aproveite os outros serviços poderosos do Azure agora disponíveis para o Azure Sphere.

Um dos mais poderosos é o Azure Monitor. O Azure Monitor oferece uma variedade de recursos de monitoramento de frota, como coleta de métricas de desempenho e dados de diagnóstico, além de consultar eventos em logs de atividades de dispositivos do Azure Sphere e do serviço de segurança do Azure Sphere.

Diagrama mostrando a tela do Azure Monitor

Usando os dados do Azure Monitor, você pode correlacionar a integridade da frota de dispositivos com eventos que acontecem no serviço de segurança do Azure Sphere, como o lançamento de uma nova atualização de aplicativo. Você também pode configurar alertas em eventos críticos, como a próxima expiração do seu certificado de locatário do Azure Sphere. Para obter detalhes, consulte Monitorando a frota e a integridade do dispositivo do Azure Sphere.

Primeiros passos e encontrar ajuda

É fácil começar apenas integrando seu locatário do Azure Sphere (Legado) em um catálogo do Azure Sphere (Integrado) e começando a explorar o trabalho com o Azure Sphere na CLI do Azure ou no Portal do Azure. O Azure Sphere (Legado) tem suporte total até a data de aposentadoria de 27 de setembro de 2027. Todas as atividades de migração devem ser concluídas até essa data. Se você tiver dúvidas sobre migração ou precisar de assistência técnica, poderá encontrar respostas de especialistas da comunidade sobre Perguntas e Respostas da Microsoft ou entrar em contato com AZSPPGSUP@microsoft.com.