Создание и подготовка IoT Edge для Linux на устройствах Windows в масштабе с помощью симметричного ключа

Область применения: IoT Edge 1.4

Внимание

Поддерживаются выпуски Azure IoT Edge 1.5 LTS и IoT Edge 1.4. IoT Edge 1.4 LTS достигает окончания службы 12 ноября 2024 года. При использовании более раннего выпуска см. раздел Обновление IoT Edge.

В этой статье показано, как автоматически подготовить один или несколько IoT Edge для Linux на устройствах Windows с помощью симметричного ключа. Вы можете автоматически подготовить устройства Azure IoT Edge с помощью службы подготовки устройств Центр Интернета вещей Azure (DPS). Если вы не знакомы с процессом автоматической подготовки, ознакомьтесь с обзором подготовки, прежде чем продолжить.

Для этого необходимо выполнить следующие задачи:

1. Создайте отдельную регистрацию для одного устройства или группы для набора устройств.
2. Разверните виртуальную машину Linux с установленной средой выполнения IoT Edge и подключите ее к Центр Интернета вещей.

Аттестация симметричного ключа — это простой подход к проверке подлинности устройства с помощью экземпляра службы подготовки устройств. Этот метод аттестации представляет возможности программы Hello world для разработчиков, которые не имеют опыта подготовки устройств или строгих требований к безопасности. Аттестация устройства с помощью доверенного платформенного модуля или сертификатов X.509 является более защищенной. Эти способы следует использовать при наличии более строгих требований к безопасности.

Необходимые компоненты

Облачные ресурсы

• Активный Центр Интернета вещей
• Экземпляр службы подготовки устройств Центр Интернета вещей в Azure, связанный с центром Интернета вещей
  • Если у вас нет экземпляра службы подготовки устройств, следуйте инструкциям в кратком руководстве по созданию новой службы подготовки устройств Центр Интернета вещей и связыванию центра Интернета вещей и служб подготовки устройств в кратком руководстве по Центр Интернета вещей службе подготовки устройств.
  • После запуска службы подготовки устройств скопируйте значение области идентификатора на странице обзора. Это значение используется при настройке среды выполнения IoT Edge.

Требования к устройствам

Устройство Windows со следующими минимальными требованиями:

• Требования к системе

  • Windows 10¹/11 (Pro, Enterprise, IoT Enterprise)
  • Windows Server 2019¹/2022
    _{¹ Windows 10 и Windows Server 2019 минимальной сборки 17763 со всеми текущими накопительными обновлениями.}

• Требования к аппаратному обеспечению

  • Минимальная свободная память: 1 ГБ
  • Минимальный объем свободного места на диске: 10 ГБ

• Поддержка виртуализации

  • В Windows 10 включите Hyper-V. Дополнительные сведения см. в статье Установка Hyper-V в Windows 10.
  • На сервере Windows Server установите роль Hyper-V и создайте сетевой коммутатор по умолчанию. Дополнительные сведения см. в статье Вложенная виртуализация для Azure IoT Edge для Linux в Windows.
  • На виртуальной машине настройте вложенную виртуализацию. Дополнительные сведения см. в руководстве по вложенной виртуализации.

• Поддержка сетей

  • Для сервера Windows Server отсутствует коммутатор по умолчанию. Прежде чем можно будет развернуть EFLOW на устройстве Windows Server, необходимо создать виртуальный коммутатор. Дополнительные сведения см. статье о создании виртуального коммутатора для Linux в Windows.
  • В версиях Windows для настольных систем есть коммутатор по умолчанию, который можно использовать для установки EFLOW. При необходимости можно создать собственный настраиваемый виртуальный коммутатор.

Совет

Если вы собираетесь использовать модули Linux с ускорением GPU в развертывании Azure IoT Edge для Linux в Windows, есть несколько вариантов настройки.

Вам потребуется установить правильные драйверы в зависимости от архитектуры GPU, а также может потребоваться доступ к сборке программы предварительной оценки Windows. Сведения о том, как определить и выполнить предварительные условия для настройки, см. в статье об ускорении GPU в Azure IoT Edge для Linux в Windows.

Убедитесь, что вам потребуется время, чтобы удовлетворить предварительные требования для ускорения GPU. Вам потребуется перезапустить процесс установки, если вы решите, что требуется ускорение GPU во время установки.

Средства разработчика

Подготовьте целевое устройство для установки Azure IoT Edge для Linux в Windows и развертывания виртуальной машины Linux:

1. Задайте для целевого устройства AllSignedполитику выполнения. Текущую политику выполнения можно проверить в командной строке PowerShell с повышенными привилегиями, выполнив следующую команду:

   Get-ExecutionPolicy -List
   

   Если политика выполнения local machine не AllSigned, можно установить политику выполнения с помощью следующей команды:

   Set-ExecutionPolicy -ExecutionPolicy AllSigned -Force
   

Дополнительные сведения о модуле Azure IoT Edge для Linux в Windows PowerShell см. в справочнике по функциям PowerShell.

Создание регистрации в Службе подготовки устройств к добавлению в Центр Интернета вещей

Создайте регистрацию для подготовки одного или нескольких устройств с помощью DPS.

Если вы хотите подготовить одно устройство IoT Edge, создайте отдельную регистрацию. Если требуется подготовка нескольких устройств, выполните действия по созданию регистрации группы DPS.

При создании регистрации в DPS у вас есть возможность объявить начальное состояние двойника устройства. В двойнике устройства можно задать теги для группировки устройств по любой требуемой для решения метрике, например по региону, среде, расположению или типу устройства. Эти теги используются для создания автоматических развертываний.

Дополнительные сведения о регистрации в службе подготовки устройств см. в статье "Управление регистрацией устройств".

Индивидуальная регистрация

Создание индивидуальной регистрации DPS

Совет

Действия, описанные в этой статье, предназначены для портал Azure, но вы также можете создать отдельные регистрации с помощью Azure CLI. Дополнительные сведения см. в разделе az iot dps enrollment. В команде интерфейса командной строки с помощью флага edge-enabled укажите, что регистрация предназначена для устройства IoT Edge.

1. В портал Azure перейдите к экземпляру службы подготовки устройств Центр Интернета вещей.

2. В разделе Параметрывыберите Управление регистрациями.

3. Выберите Добавить отдельную регистрацию и выполните следующие действия для настройки регистрации.

   1. Для параметра Механизм выберите Симметричный ключ.

   2. Укажите уникальный идентификатор регистрации для своего устройства.

   3. При необходимости укажите идентификатор устройства в Центре Интернета вещей. Идентификаторы устройств можно использовать, чтобы указать отдельное устройство для развертывания модуля. Если не указать идентификатор устройства, используется идентификатор регистрации.

   4. Выберите значение True, чтобы указать, что это регистрация устройства IoT Edge.

   5. При необходимости добавьте значение тега в параметр Первоначальное состояние двойника устройства. Теги можно использовать для указания групп устройств для развертывания модуля. Например:

      {
         "tags": {
            "environment": "test"
         },
         "properties": {
            "desired": {}
         }
      }
      

   6. Выберите Сохранить.

4. Скопируйте значение параметра Первичный ключ индивидуальной регистрации, чтобы использовать его при установке среды выполнения IoT Edge.

После создания регистрации для устройства среда выполнения IoT Edge может автоматически подготавливать устройство во время установки.

Регистрация групп

Создание групповой регистрации в DPS

Совет

Действия, описанные в этой статье, предназначены для портал Azure, но вы также можете создавать групповые регистрации с помощью Azure CLI. Дополнительные сведения см. в разделе az iot dps enrollment-group. В команде интерфейса командной строки с помощью флага edge-enabled укажите, что регистрация предназначена для устройств IoT Edge. Для групповой регистрации все устройства должны быть устройствами IoT Edge — или вы не сможете зарегистрировать ни одно из них.

1. В портал Azure перейдите к экземпляру службы подготовки устройств Центр Интернета вещей.

2. В разделе Параметрывыберите Управление регистрациями.

3. Выберите Добавить отдельную регистрацию и выполните следующие действия для настройки регистрации.

   1. Укажите имя группы.

   2. В качестве типа аттестации выберите вариант Симметричный ключ.

   3. Выберите значение True, чтобы указать, что это регистрация устройства IoT Edge. Для групповой регистрации все устройства должны быть устройствами IoT Edge — или вы не сможете зарегистрировать ни одно из них.

   4. При необходимости добавьте значение тега в параметр Первоначальное состояние двойника устройства. Теги можно использовать для указания групп устройств для развертывания модуля. Например:

      {
         "tags": {
            "environment": "test"
         },
         "properties": {
            "desired": {}
         }
      }
      

   5. Выберите Сохранить.

4. Скопируйте значение первичного ключа вашей группы регистрации, чтобы использовать его при создании ключей устройств для регистрации группы.

Теперь, когда существует группа регистрации, среда выполнения IoT Edge может автоматически подготавливать устройства в процессе установки.

Получение ключа устройства

Каждому устройству, подготавливаемому в процессе регистрации группы, требуется производный ключ устройства для выполнения аттестации симметричного ключа с регистрацией во время подготовки.

Чтобы создать ключ устройства, используйте ключ, который вы скопировали из своей группы регистрации DPS, для вычисления HMAC-SHA256 на основе уникального идентификатора регистрации для устройства и преобразования результата в формат Base64.

Внимание

Не включайте первичный или вторичный ключ регистрации в код устройства.

В ОС Windows можно создать производный ключ устройства с помощью PowerShell, как показано в приведенном ниже примере.

Замените значение KEY значением первичного ключа, записанным ранее.

Замените значение REG_ID идентификатором регистрации вашего устройства.

$KEY='PASTE_YOUR_ENROLLMENT_KEY_HERE'
$REG_ID='PASTE_YOUR_REGISTRATION_ID_HERE'

$hmacsha256 = New-Object System.Security.Cryptography.HMACSHA256
$hmacsha256.key = [Convert]::FromBase64String($KEY)
$sig = $hmacsha256.ComputeHash([Text.Encoding]::ASCII.GetBytes($REG_ID))
$derivedkey = [Convert]::ToBase64String($sig)
echo "`n$derivedkey`n"

Ниже приведен пример выходных данных производного ключа устройства:

Jsm0lyGpjaVYVP2g3FnmnmG9dI/9qU24wNoykUmermc=

Установка Edge Интернета вещей

Создайте развертывание Azure IoT Edge для Linux в Windows на целевом устройстве.

Примечание.

В следующем примере процедуры для PowerShell показано, как развернуть IoT Edge для Linux в Windows на локальном устройстве. Для развертывания на удаленном целевом устройстве с помощью PowerShell используйте удаленный сеанс PowerShell, чтобы установить подключение к удаленному устройству и дистанционно выполнить эти команды на нем.

1. В сеансе PowerShell с повышенными привилегиями выполните любую из следующих команд в зависимости от архитектуры целевого устройства, чтобы скачать IoT Edge для Linux в Windows.

   • X64/AMD64

     $msiPath = $([io.Path]::Combine($env:TEMP, 'AzureIoTEdge.msi'))
     $ProgressPreference = 'SilentlyContinue'
     Invoke-WebRequest "https://aka.ms/AzEFLOWMSI_1_4_LTS_X64" -OutFile $msiPath
     

   • ARM64

     $msiPath = $([io.Path]::Combine($env:TEMP, 'AzureIoTEdge.msi'))
     $ProgressPreference = 'SilentlyContinue'
     Invoke-WebRequest "https://aka.ms/AzEFLOWMSI_1_4_LTS_ARM64" -OutFile $msiPath
     

2. Установите IoT Edge для Linux на Windows на ваше устройство.

   Start-Process -Wait msiexec -ArgumentList "/i","$([io.Path]::Combine($env:TEMP, 'AzureIoTEdge.msi'))","/qn"
   

   Можно указать нестандартные каталоги для установки IoT Edge для Linux в Windows и VHDX, добавив параметры INSTALLDIR="<FULLY_QUALIFIED_PATH>" и VHDXDIR="<FULLY_QUALIFIED_PATH>" в приведенную выше команду установки. Например, если вы хотите использовать папку D:\EFLOW для установки и D:\EFLOW-VHDX для VHDX , можно использовать следующий командлет PowerShell.

   Start-Process -Wait msiexec -ArgumentList "/i","$([io.Path]::Combine($env:TEMP, 'AzureIoTEdge.msi'))","/qn","INSTALLDIR=D:\EFLOW", "VHDXDIR=D:\EFLOW-VHDX"
   

3. На целевом устройстве задайте политику выполнения AllSigned, если она еще не задана. См. предварительные требования PowerShell для команд, чтобы проверить текущую политику выполнения и задать для нее значение AllSigned.

4. Создание развертывания IoT Edge для Linux в Windows. Развертывание создает виртуальную машину Linux и устанавливает среду выполнения IoT Edge для вас.

   Deploy-Eflow
   

   Совет

   По умолчанию команда Deploy-Eflow создает вашу виртуальную машину Linux с 1 ГБ ОЗУ, 1 ядром виртуального ЦП и 16 ГБ дискового пространства. Однако ресурсы, необходимые вашей виртуальной машине, сильно зависят от развертываемых вами рабочих нагрузок. Если у вашей виртуальной машины недостаточно памяти для поддержки ваших рабочих нагрузок, она не запустится.

   Вы можете настроить доступные ресурсы виртуальной машины, используя дополнительные параметры команды Deploy-Eflow. Это необходимо для развертывания EFLOW на устройстве с минимальными требованиями к оборудованию.

   Например, следующая команда создает виртуальную машину с 1 виртуальным ЦП, 1 ГБ ОЗУ (представлено в МБ) и 2 ГБ дискового пространства:

   Deploy-Eflow -cpuCount 1 -memoryInMB 1024 -vmDataSize 2
   

   Дополнительные сведения о всех доступных необязательных параметрах см. в статье о функциях PowerShell для IoT Edge для Linux в Windows.

   Предупреждение

   По умолчанию виртуальная машина EFLOW Linux не имеет конфигурации DNS. Развертывания с помощью DHCP попытаются получить конфигурацию DNS, распространяемую DHCP-сервером. Проверьте конфигурацию DNS, чтобы обеспечить подключение к Интернету. Дополнительные сведения см. в статье AzEFLOW-DNS.

   Чтобы использовать модули Linux с ускорением GPU, можно назначить развертыванию устройство GPU. Чтобы получить доступ к этим функциям, необходимо установить необходимые компоненты, подробные сведения об ускорениях GPU для Azure IoT Edge для Linux в Windows.

   Чтобы использовать сквозное руководство GPU, добавьте в команду параметры Deploy-Eflow gpuName, gpuPassthroughType и gpuCount. Дополнительные сведения о всех доступных необязательных параметрах см. в статье о функциях PowerShell для IoT Edge для Linux в Windows.

   Предупреждение

   Включение сквозной передачи устройства может повысить уровень угрозы безопасности. Майкрософт рекомендует установить драйвер для защиты устройства от поставщика GPU. Дополнительные сведения см. в статье о развертывании графических процессоров путем прямого назначения устройств.

5. Введите "Y", чтобы принять условия лицензии.

6. Введите "O" или "R" для включения или отключения передачи Необязательных диагностических данных в зависимости от ваших предпочтений.

7. После завершения развертывания в окне PowerShell появится сообщение об успешном развертывании.

   

   После успешного развертывания вы готовы подготовить устройство.

Предоставление облачного удостоверения устройству

После установки среды выполнения на устройстве настройте устройство с информацией, которую он использует для подключения к службе подготовки устройств и Центр Интернета вещей.

Подготовьте следующие сведения:

• Значение области идентификаторов DPS.
• Созданный идентификатор регистрации устройства.
• Введите первичный ключ, полученный при индивидуальной регистрации, или производный ключ в случае групповой регистрации устройств.

Выполните следующую команду в сеансе PowerShell с повышенными привилегиями со значениями заполнителей, обновленными собственными значениями:

Provision-EflowVm -provisioningType DpsSymmetricKey -scopeId PASTE_YOUR_ID_SCOPE_HERE -registrationId PASTE_YOUR_REGISTRATION_ID_HERE -symmKey PASTE_YOUR_PRIMARY_KEY_OR_DERIVED_KEY_HERE

Проверка установки

Убедитесь, что служба IoT Edge для Linux в Windows успешно установлена и настроена на вашем устройстве IoT Edge.

Индивидуальная регистрация

Можно проверить, используется ли отдельная регистрация, созданная в службе подготовки устройств. Перейдите к экземпляру службы подготовки устройств в портал Azure. Откройте сведения о регистрации для созданной индивидуальной регистрации. Обратите внимание, что регистрация имеет состояние назначено и указан идентификатор устройства.

Регистрация групп

Вы можете убедиться, что была использована регистрация группы, созданная в службе подготовки устройств. Перейдите к экземпляру службы подготовки устройств в портал Azure. Откройте сведения о регистрации для созданной группы. Перейдите на вкладку "Записи регистрации", чтобы просмотреть все устройства, зарегистрированные в этой группе.

1. Войдите в IoT Edge для Linux на виртуальной машине Windows с помощью следующей команды в сеансе PowerShell:

   Connect-EflowVm
   

   Примечание.

   Единственная учетная запись, которой разрешено подключение к виртуальной машине по протоколу SSH, — это учетная запись пользователя, который создал эту машину.

2. После входа можно проверить список выполняющихся модулей IoT Edge с помощью следующей команды Linux:

   sudo iotedge list
   

3. Если вам нужно устранить неполадки в работе службы IoT Edge, используйте следующие команды Linux.

   1. Получение журналов службы.

      sudo iotedge system logs
      

   2. Используйте инструмент check для проверки конфигурации и состояния соединения устройства.

      sudo iotedge check
      

   Примечание.

   На недавно подготовленном устройстве может появиться ошибка, связанная с Центром IoT Edge:

   × рабочей готовности: каталог хранилища Edge Hub сохраняется в файловой системе узла — ошибка

   Не удалось проверить текущее состояние контейнера edgeHub

   Эта ошибка ожидается на недавно подготовленном устройстве, так как модуль Центра Интернета вещей не запущен. Чтобы устранить ошибку, в Центр Интернета вещей задайте модули для устройства и создайте развертывание. Создание развертывания для устройства запускает модули на устройстве, включая модуль Центра IoT Edge.

При создании нового устройства IoT Edge он отображает код 417 -- The device's deployment configuration is not set состояния в портал Azure. Это состояние является нормальным и означает, что устройство готово к развертыванию модуля.

Удаление IoT Edge для Linux в Windows

Если вы хотите удалить Azure IoT Edge для Linux на устройстве, выполните следующие команды.

1. Открытие параметров в Windows
2. Выберите "Добавить или удалить программы"
3. Выбор приложения Azure IoT Edge
4. Выберите "Удалить"

Следующие шаги

Процесс регистрации службы подготовки устройств позволяет задать идентификатор устройства и теги двойников устройств одновременно, когда вы подготавливаете новое устройство. Эти значения можно использовать для указания отдельных устройств или групп устройств с помощью автоматического управления устройствами. См. дополнительные сведения о развертывании и мониторинге модулей IoT Edge с поддержкой масштабирования с помощью портала Azure или Azure CLI.

Кроме того, вы можете сделать следующее:

• Продолжайте развертывать модули IoT Edge, чтобы узнать, как развернуть модули на устройстве.
• Узнайте, как управлять сертификатами на виртуальной машине IoT Edge для Linux в Windows и передавать файлы из ОС сервера виртуальных машин в виртуальную машину Linux.
• Узнайте, как настроить устройства IoT Edge для обмена данными через прокси-сервер.