Partilhar via


Detalhes da implementação

Importante

Azure IoT Operations Preview – habilitado pelo Azure Arc está atualmente em visualização. Não deve utilizar este software de pré-visualização em ambientes de produção.

Você precisará implantar uma nova instalação do Azure IoT Operations quando uma versão disponível ao público estiver disponível. Você não poderá atualizar uma instalação de visualização.

Para obter os termos legais que se aplicam aos recursos do Azure que estão em versão beta, em visualização ou ainda não lançados em disponibilidade geral, consulte os Termos de Uso Suplementares para Visualizações do Microsoft Azure.

Ambientes suportados

A Microsoft oferece suporte ao Azure Kubernetes Service (AKS) Edge Essentials para implantações no Windows e K3s para implantações no Ubuntu.

  • Requisitos mínimos de hardware:

    • 16 GB de RAM
    • 4 vCPUs
  • Hardware recomendado, especialmente para clusters K3s de vários nós que permitem tolerância a falhas:

    • 32 GB de RAM
    • 8 vCPUs

Atualmente, a Microsoft valida as Operações do Azure IoT em relação ao seguinte conjunto fixo de infraestruturas e ambientes:

Environment Versão
AKS-EE no Windows 11 IoT Enterprise
em uma máquina Lenovo ThinkStation P3 Tiny (16 núcleos, 32 GB de RAM) com cluster de nó único
AksEdge-K3s-1.29.6-1.8.202.0
K3S no Ubuntu 24.04
em uma máquina Lenovo ThinkStation P3 Tiny (16 núcleos, 32 GB de RAM) com um cluster de três nós
K3s versão 1.31.1

O Azure IoT Operations não suporta arquiteturas Arm64.

Escolha as suas funcionalidades

O Azure IoT Operations oferece dois modos de implantação. Você pode optar por implantar com configurações de teste, um subconjunto básico de recursos que são mais simples de começar para cenários de avaliação. Ou, você pode optar por implantar com configurações seguras, o conjunto completo de recursos.

Implantação de configurações de teste

Uma implantação com apenas configurações de teste:

  • Não configura segredos ou recursos de identidade gerenciada atribuídos pelo usuário.
  • Destina-se a habilitar o exemplo de início rápido de ponta a ponta para fins de avaliação, portanto, suporta o simulador de PLC OPC e se conecta a recursos de nuvem usando a identidade gerenciada atribuída ao sistema.
  • Pode ser atualizado para usar configurações seguras.

O cenário de início rápido, Guia de início rápido: Executar o Azure IoT Operations Preview no GitHub Codespaces, usa configurações de teste.

A qualquer momento, você pode atualizar uma instância do Azure IoT Operations para usar configurações seguras seguindo as etapas em Habilitar configurações seguras.

Implementação de definições seguras

Uma implantação com configurações seguras:

  • Permite segredos e identidade gerenciada de atribuição de usuário, ambos recursos importantes para o desenvolvimento de um cenário pronto para produção. Os segredos são usados sempre que os componentes do Azure IoT Operations se conectam a um recurso fora do cluster; por exemplo, um servidor OPC UA ou um ponto de extremidade de fluxo de dados.

Para implantar o Azure IoT Operations com configurações seguras, siga estes artigos:

  1. Comece com Prepare seu cluster Kubernetes habilitado para Azure Arc para configurar e habilitar seu cluster.
  2. Em seguida, implante o Azure IoT Operations Preview.

Permissões obrigatórias

A tabela a seguir descreve as tarefas de implantação e gerenciamento do Azure IoT Operations que exigem permissões elevadas. Para obter informações sobre como atribuir funções aos usuários, consulte Etapas para atribuir uma função do Azure.

Task Permissão necessária Comentários
Implantar operações do Azure IoT Função de colaborador no nível da assinatura.
Registrar provedores de recursos Função de colaborador no nível da assinatura. Só é necessário fazer uma vez por assinatura.
Crie um registro de esquema. Permissões Microsoft.Authorization/roleAssignments/write no nível do grupo de recursos.
Criar segredos no Cofre da Chave Função de Oficial de Segredos do Cofre de Chaves no nível de recursos. Necessário apenas para a implantação de configurações seguras.
Habilitar regras de sincronização de recursos em uma instância de Operações IoT do Azure Permissões Microsoft.Authorization/roleAssignments/write no nível do grupo de recursos. As regras de sincronização de recursos são desabilitadas por padrão, mas podem ser habilitadas como parte do comando az iot ops create .

Se você usar a CLI do Azure para atribuir funções, use o comando az role assignment create para conceder permissões. Por exemplo, az role assignment create --assignee sp_name --role "Role Based Access Control Administrator" --scope subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/MyResourceGroup

Se você usar o portal do Azure para atribuir funções de administrador privilegiadas a um usuário ou entidade de segurança, será solicitado que você restrinja o acesso usando condições. Para esse cenário, selecione a condição Permitir que o usuário atribua todas as funções na página Adicionar atribuição de função.

Captura de tela que mostra a atribuição de acesso de função altamente privilegiado aos usuários no portal do Azure.

Componentes incluídos

O Azure IoT Operations é um conjunto de serviços de dados que é executado em clusters Kubernetes de borda habilitados para Azure Arc. Também depende de um conjunto de serviços de suporte que também são instalados como parte de uma implantação.

Organizar instâncias usando sites

O Azure IoT Operations dá suporte a sites do Azure Arc para organizar instâncias. Um site é um recurso de cluster no Azure como um grupo de recursos, mas os sites geralmente agrupam instâncias por local físico e facilitam a localização e o gerenciamento de ativos pelos usuários de OT. Um administrador de TI cria sites e os define o escopo para uma assinatura ou grupo de recursos. Em seguida, qualquer Operação IoT do Azure implantada em um cluster habilitado para Arc é coletada automaticamente no site associado à sua assinatura ou grupo de recursos

Para obter mais informações, consulte O que é o gerenciador de sites do Azure Arc (visualização)?

Lista de permissões de domínio para Operações do Azure IoT

Se você usar firewalls ou proxies corporativos para gerenciar o tráfego de saída, adicione os seguintes pontos de extremidade à sua lista de permissões de domínio antes de implantar o Azure IoT Operations Preview.

Além disso, revise os pontos de extremidade do Kubernetes habilitados para Azure Arc.

nw-umwatson.events.data.microsoft.com 
dc.services.visualstudio.com 
github.com 
self.events.data.microsoft.com 
mirror.enzu.com 
ppa.launchpadcontent.net 
msit-onelake.pbidedicated.windows.net 
gcr.io 
adhs.events.data.microsoft.com 
gbl.his.arc.azure.cn 
onegetcdn.azureedge.net 
graph.windows.net 
pas.windows.net 
agentserviceapi.guestconfiguration.azure.com 
aka.ms 
api.segment.io 
download.microsoft.com 
raw.githubusercontent.com 
go.microsoft.com 
global.metrics.azure.eaglex.ic.gov 
gbl.his.arc.azure.us 
packages.microsoft.com 
global.metrics.azure.microsoft.scloud 
www.powershellgallery.com
k8s.io 
guestconfiguration.azure.com 
ods.opinsights.azure.com 
vault.azure.net 
googleapis.com 
quay.io 
handler.control.monitor.azure.com 
pkg.dev 
docker.io 
prod.hot.ingestion.msftcloudes.com 
docker.com 
prod.microsoftmetrics.com 
oms.opinsights.azure.com 
azureedge.net 
monitoring.azure.com
blob.core.windows.net 
azurecr.io

Próximos passos

Prepare seu cluster Kubernetes habilitado para Azure Arc para configurar e habilitar um cluster para Operações IoT do Azure.