Detalhes da implementação
Importante
Azure IoT Operations Preview – habilitado pelo Azure Arc está atualmente em visualização. Não deve utilizar este software de pré-visualização em ambientes de produção.
Você precisará implantar uma nova instalação do Azure IoT Operations quando uma versão disponível ao público estiver disponível. Você não poderá atualizar uma instalação de visualização.
Para obter os termos legais que se aplicam aos recursos do Azure que estão em versão beta, em visualização ou ainda não lançados em disponibilidade geral, consulte os Termos de Uso Suplementares para Visualizações do Microsoft Azure.
Ambientes suportados
A Microsoft oferece suporte ao Azure Kubernetes Service (AKS) Edge Essentials para implantações no Windows e K3s para implantações no Ubuntu.
Requisitos mínimos de hardware:
- 16 GB de RAM
- 4 vCPUs
Hardware recomendado, especialmente para clusters K3s de vários nós que permitem tolerância a falhas:
- 32 GB de RAM
- 8 vCPUs
Atualmente, a Microsoft valida as Operações do Azure IoT em relação ao seguinte conjunto fixo de infraestruturas e ambientes:
Environment | Versão |
---|---|
AKS-EE no Windows 11 IoT Enterprise em uma máquina Lenovo ThinkStation P3 Tiny (16 núcleos, 32 GB de RAM) com cluster de nó único |
AksEdge-K3s-1.29.6-1.8.202.0 |
K3S no Ubuntu 24.04 em uma máquina Lenovo ThinkStation P3 Tiny (16 núcleos, 32 GB de RAM) com um cluster de três nós |
K3s versão 1.31.1 |
O Azure IoT Operations não suporta arquiteturas Arm64.
Escolha as suas funcionalidades
O Azure IoT Operations oferece dois modos de implantação. Você pode optar por implantar com configurações de teste, um subconjunto básico de recursos que são mais simples de começar para cenários de avaliação. Ou, você pode optar por implantar com configurações seguras, o conjunto completo de recursos.
Implantação de configurações de teste
Uma implantação com apenas configurações de teste:
- Não configura segredos ou recursos de identidade gerenciada atribuídos pelo usuário.
- Destina-se a habilitar o exemplo de início rápido de ponta a ponta para fins de avaliação, portanto, suporta o simulador de PLC OPC e se conecta a recursos de nuvem usando a identidade gerenciada atribuída ao sistema.
- Pode ser atualizado para usar configurações seguras.
O cenário de início rápido, Guia de início rápido: Executar o Azure IoT Operations Preview no GitHub Codespaces, usa configurações de teste.
A qualquer momento, você pode atualizar uma instância do Azure IoT Operations para usar configurações seguras seguindo as etapas em Habilitar configurações seguras.
Implementação de definições seguras
Uma implantação com configurações seguras:
- Permite segredos e identidade gerenciada de atribuição de usuário, ambos recursos importantes para o desenvolvimento de um cenário pronto para produção. Os segredos são usados sempre que os componentes do Azure IoT Operations se conectam a um recurso fora do cluster; por exemplo, um servidor OPC UA ou um ponto de extremidade de fluxo de dados.
Para implantar o Azure IoT Operations com configurações seguras, siga estes artigos:
- Comece com Prepare seu cluster Kubernetes habilitado para Azure Arc para configurar e habilitar seu cluster.
- Em seguida, implante o Azure IoT Operations Preview.
Permissões obrigatórias
A tabela a seguir descreve as tarefas de implantação e gerenciamento do Azure IoT Operations que exigem permissões elevadas. Para obter informações sobre como atribuir funções aos usuários, consulte Etapas para atribuir uma função do Azure.
Task | Permissão necessária | Comentários |
---|---|---|
Implantar operações do Azure IoT | Função de colaborador no nível da assinatura. | |
Registrar provedores de recursos | Função de colaborador no nível da assinatura. | Só é necessário fazer uma vez por assinatura. |
Crie um registro de esquema. | Permissões Microsoft.Authorization/roleAssignments/write no nível do grupo de recursos. | |
Criar segredos no Cofre da Chave | Função de Oficial de Segredos do Cofre de Chaves no nível de recursos. | Necessário apenas para a implantação de configurações seguras. |
Habilitar regras de sincronização de recursos em uma instância de Operações IoT do Azure | Permissões Microsoft.Authorization/roleAssignments/write no nível do grupo de recursos. | As regras de sincronização de recursos são desabilitadas por padrão, mas podem ser habilitadas como parte do comando az iot ops create . |
Se você usar a CLI do Azure para atribuir funções, use o comando az role assignment create para conceder permissões. Por exemplo, az role assignment create --assignee sp_name --role "Role Based Access Control Administrator" --scope subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/MyResourceGroup
Se você usar o portal do Azure para atribuir funções de administrador privilegiadas a um usuário ou entidade de segurança, será solicitado que você restrinja o acesso usando condições. Para esse cenário, selecione a condição Permitir que o usuário atribua todas as funções na página Adicionar atribuição de função.
Componentes incluídos
O Azure IoT Operations é um conjunto de serviços de dados que é executado em clusters Kubernetes de borda habilitados para Azure Arc. Também depende de um conjunto de serviços de suporte que também são instalados como parte de uma implantação.
Serviços principais do Azure IoT Operations
- Fluxos de Dados
- Corretor MQTT
- Conector para OPC UA
- Akri
Dependências instaladas
Organizar instâncias usando sites
O Azure IoT Operations dá suporte a sites do Azure Arc para organizar instâncias. Um site é um recurso de cluster no Azure como um grupo de recursos, mas os sites geralmente agrupam instâncias por local físico e facilitam a localização e o gerenciamento de ativos pelos usuários de OT. Um administrador de TI cria sites e os define o escopo para uma assinatura ou grupo de recursos. Em seguida, qualquer Operação IoT do Azure implantada em um cluster habilitado para Arc é coletada automaticamente no site associado à sua assinatura ou grupo de recursos
Para obter mais informações, consulte O que é o gerenciador de sites do Azure Arc (visualização)?
Lista de permissões de domínio para Operações do Azure IoT
Se você usar firewalls ou proxies corporativos para gerenciar o tráfego de saída, adicione os seguintes pontos de extremidade à sua lista de permissões de domínio antes de implantar o Azure IoT Operations Preview.
Além disso, revise os pontos de extremidade do Kubernetes habilitados para Azure Arc.
nw-umwatson.events.data.microsoft.com
dc.services.visualstudio.com
github.com
self.events.data.microsoft.com
mirror.enzu.com
ppa.launchpadcontent.net
msit-onelake.pbidedicated.windows.net
gcr.io
adhs.events.data.microsoft.com
gbl.his.arc.azure.cn
onegetcdn.azureedge.net
graph.windows.net
pas.windows.net
agentserviceapi.guestconfiguration.azure.com
aka.ms
api.segment.io
download.microsoft.com
raw.githubusercontent.com
go.microsoft.com
global.metrics.azure.eaglex.ic.gov
gbl.his.arc.azure.us
packages.microsoft.com
global.metrics.azure.microsoft.scloud
www.powershellgallery.com
k8s.io
guestconfiguration.azure.com
ods.opinsights.azure.com
vault.azure.net
googleapis.com
quay.io
handler.control.monitor.azure.com
pkg.dev
docker.io
prod.hot.ingestion.msftcloudes.com
docker.com
prod.microsoftmetrics.com
oms.opinsights.azure.com
azureedge.net
monitoring.azure.com
blob.core.windows.net
azurecr.io
Próximos passos
Prepare seu cluster Kubernetes habilitado para Azure Arc para configurar e habilitar um cluster para Operações IoT do Azure.