Создание и подготовка устройств IoT Edge в большом масштабе в Windows с помощью симметричного ключа

Область применения: IoT Edge 1.1

Внимание

Дата окончания поддержки IoT Edge 1.1 была 13 декабря 2022 г. Чтобы получить сведения о поддержке определенного продукта, службы, технологии или API, перейдите на страницу Политика жизненного цикла поддержки Майкрософт. Дополнительные сведения об обновлении до последней версии IoT Edge см. в разделе "Обновление IoT Edge".

В этой статье приведены комплексные инструкции по автоматической подготовке одного или нескольких устройств Windows IoT Edge с помощью симметричного ключа. Вы можете автоматически подготовить устройства Azure IoT Edge с помощью службы подготовки устройств Центр Интернета вещей Azure (DPS). Если вы не знакомы с процессом автоматической подготовки, ознакомьтесь с обзором подготовки, прежде чем продолжить.

Примечание.

Поддержка Azure IoT Edge с контейнерами Windows будет прекращена начиная с Azure IoT Edge версии 1.2.

Рекомендуется использовать новый метод для запуска IoT Edge на устройствах Windows, Azure IoT Edge для Linux в Windows.

Если вы хотите использовать Azure IoT Edge для Linux в Windows, выполните действия, описанные в аналогичном руководстве.

Для этого необходимо выполнить следующие задачи:

1. Создайте отдельную регистрацию для одного устройства или группы для набора устройств.
2. Установка среды выполнения IoT Edge и подключение к Центру Интернета вещей.

Аттестация симметричного ключа — это простой подход к проверке подлинности устройства с помощью экземпляра службы подготовки устройств. Этот метод аттестации представляет возможности программы Hello world для разработчиков, которые не имеют опыта подготовки устройств или строгих требований к безопасности. Аттестация устройства с помощью доверенного платформенного модуля или сертификатов X.509 является более защищенной. Эти способы следует использовать при наличии более строгих требований к безопасности.

Необходимые компоненты

Облачные ресурсы

• Активный Центр Интернета вещей
• Экземпляр службы подготовки устройств Центр Интернета вещей в Azure, связанный с центром Интернета вещей
  • Если у вас нет экземпляра службы подготовки устройств, следуйте инструкциям в кратком руководстве по созданию новой службы подготовки устройств Центр Интернета вещей и связыванию центра Интернета вещей и служб подготовки устройств в кратком руководстве по Центр Интернета вещей службе подготовки устройств.
  • После запуска службы подготовки устройств скопируйте значение области идентификатора на странице обзора. Это значение используется при настройке среды выполнения IoT Edge.

Требования к устройствам

Физическое или виртуальное устройство Windows, которое должно быть устройством IoT Edge.

Необходимо определить уникальный идентификатор регистрации для идентификации каждого устройства. Можно использовать MAC-адрес, серийный номер или любые уникальные сведения устройства. В этом примере показано, как, используя сочетание MAC-адреса и серийного номера, можно создать следующую строку для идентификатора регистрации: sn-007-888-abc-mac-a1-b2-c3-d4-e5-f6. Допустимые символы — буквы нижнего регистра, цифры и дефис (-).

Создание регистрации в Службе подготовки устройств к добавлению в Центр Интернета вещей

Создайте регистрацию для подготовки одного или нескольких устройств с помощью DPS.

Если вы хотите подготовить одно устройство IoT Edge, создайте отдельную регистрацию. Если требуется подготовка нескольких устройств, выполните действия по созданию регистрации группы DPS.

При создании регистрации в DPS у вас есть возможность объявить начальное состояние двойника устройства. В двойнике устройства можно задать теги для группировки устройств по любой требуемой для решения метрике, например по региону, среде, расположению или типу устройства. Эти теги используются для создания автоматических развертываний.

Дополнительные сведения о регистрации в службе подготовки устройств см. в статье "Управление регистрацией устройств".

Индивидуальная регистрация

Создание индивидуальной регистрации DPS

Совет

Действия, описанные в этой статье, предназначены для портал Azure, но вы также можете создать отдельные регистрации с помощью Azure CLI. Дополнительные сведения см. в разделе az iot dps enrollment. В команде интерфейса командной строки с помощью флага edge-enabled укажите, что регистрация предназначена для устройства IoT Edge.

1. В портал Azure перейдите к экземпляру службы подготовки устройств Центр Интернета вещей.

2. В разделе Параметрывыберите Управление регистрациями.

3. Выберите Добавить отдельную регистрацию и выполните следующие действия для настройки регистрации.

   1. Для параметра Механизм выберите Симметричный ключ.

   2. Укажите уникальный идентификатор регистрации для своего устройства.

   3. При необходимости укажите идентификатор устройства в Центре Интернета вещей. Идентификаторы устройств можно использовать, чтобы указать отдельное устройство для развертывания модуля. Если не указать идентификатор устройства, используется идентификатор регистрации.

   4. Выберите значение True, чтобы указать, что это регистрация устройства IoT Edge.

   5. При необходимости добавьте значение тега в параметр Первоначальное состояние двойника устройства. Теги можно использовать для указания групп устройств для развертывания модуля. Например:

      {
         "tags": {
            "environment": "test"
         },
         "properties": {
            "desired": {}
         }
      }
      

   6. Выберите Сохранить.

4. Скопируйте значение параметра Первичный ключ индивидуальной регистрации, чтобы использовать его при установке среды выполнения IoT Edge.

После создания регистрации для устройства среда выполнения IoT Edge может автоматически подготавливать устройство во время установки.

Регистрация групп

Создание групповой регистрации в DPS

Совет

Действия, описанные в этой статье, предназначены для портал Azure, но вы также можете создавать групповые регистрации с помощью Azure CLI. Дополнительные сведения см. в разделе az iot dps enrollment-group. В команде интерфейса командной строки с помощью флага edge-enabled укажите, что регистрация предназначена для устройств IoT Edge. Для групповой регистрации все устройства должны быть устройствами IoT Edge — или вы не сможете зарегистрировать ни одно из них.

1. В портал Azure перейдите к экземпляру службы подготовки устройств Центр Интернета вещей.

2. В разделе Параметрывыберите Управление регистрациями.

3. Выберите Добавить отдельную регистрацию и выполните следующие действия для настройки регистрации.

   1. Укажите имя группы.

   2. В качестве типа аттестации выберите вариант Симметричный ключ.

   3. Выберите значение True, чтобы указать, что это регистрация устройства IoT Edge. Для групповой регистрации все устройства должны быть устройствами IoT Edge — или вы не сможете зарегистрировать ни одно из них.

   4. При необходимости добавьте значение тега в параметр Первоначальное состояние двойника устройства. Теги можно использовать для указания групп устройств для развертывания модуля. Например:

      {
         "tags": {
            "environment": "test"
         },
         "properties": {
            "desired": {}
         }
      }
      

   5. Выберите Сохранить.

4. Скопируйте значение первичного ключа вашей группы регистрации, чтобы использовать его при создании ключей устройств для регистрации группы.

Теперь, когда существует группа регистрации, среда выполнения IoT Edge может автоматически подготавливать устройства в процессе установки.

Получение ключа устройства

Каждому устройству, подготавливаемому в процессе регистрации группы, требуется производный ключ устройства для выполнения аттестации симметричного ключа с регистрацией во время подготовки.

Чтобы создать ключ устройства, используйте ключ, который вы скопировали из своей группы регистрации DPS, для вычисления HMAC-SHA256 на основе уникального идентификатора регистрации для устройства и преобразования результата в формат Base64.

Внимание

Не включайте первичный или вторичный ключ регистрации в код устройства.

В ОС Windows можно создать производный ключ устройства с помощью PowerShell, как показано в приведенном ниже примере.

Замените значение KEY значением первичного ключа, записанным ранее.

Замените значение REG_ID идентификатором регистрации вашего устройства.

$KEY='PASTE_YOUR_ENROLLMENT_KEY_HERE'
$REG_ID='PASTE_YOUR_REGISTRATION_ID_HERE'

$hmacsha256 = New-Object System.Security.Cryptography.HMACSHA256
$hmacsha256.key = [Convert]::FromBase64String($KEY)
$sig = $hmacsha256.ComputeHash([Text.Encoding]::ASCII.GetBytes($REG_ID))
$derivedkey = [Convert]::ToBase64String($sig)
echo "`n$derivedkey`n"

Ниже приведен пример выходных данных производного ключа устройства:

Jsm0lyGpjaVYVP2g3FnmnmG9dI/9qU24wNoykUmermc=

Установка Edge Интернета вещей

В этом разделе описана подготовка виртуальной машины Windows или физического устройства для IoT Edge. Затем установите IoT Edge.

Служба Azure IoT Edge использует среду выполнения контейнера, совместимую с OCI. Модуль на основе Moby включается в скрипт установки, что означает, что для установки двигателя нет дополнительных действий.

Чтобы установить среду выполнения IoT Edge, выполните следующие действия.

1. Запустите PowerShell с правами администратора.

   Используйте сеанс PowerShell для AMD64, а не PowerShell (x86). Чтобы узнать, какой тип сеанса используется, выполните следующую команду:

   (Get-Process -Id $PID).StartInfo.EnvironmentVariables["PROCESSOR_ARCHITECTURE"]
   

2. Выполните команду Deploy-IoTEdge, которая выполняет следующие задачи:

   • Проверяет, находится ли компьютер с Windows в поддерживаемой версии
   • Включение функции контейнеров
   • Скачивает подсистему moby и среду выполнения IoT Edge

   . {Invoke-WebRequest -useb https://aka.ms/iotedge-win} | Invoke-Expression; `
   Deploy-IoTEdge
   

3. Перезапустите устройство, если отобразится соответствующий запрос.

Когда вы устанавливаете IoT Edge на устройство, можно указать дополнительные параметры для изменения установки, том числе сделать следующее.

• Направить трафик через прокси-сервер.
• Указание установщика локальному каталогу для автономной установки

Подробные сведения об этих дополнительных параметрах см. в статье Скрипты PowerShell для IoT Edge с контейнерами Windows.

Предоставление облачного удостоверения устройству

После установки среды выполнения на устройстве настройте устройство с информацией, которую он использует для подключения к службе подготовки устройств и Центр Интернета вещей.

Подготовьте следующие сведения:

• Значение области идентификаторов DPS.
• Созданный идентификатор регистрации устройства.
• Введите первичный ключ, полученный при индивидуальной регистрации, или производный ключ в случае групповой регистрации устройств.

1. Откройте окно PowerShell с правами администратора. Не забудьте использовать сеанс AMD64 PowerShell при установке IoT Edge, а не PowerShell (x86).

2. Команда Initialize-IoTEdge настраивает среду выполнения IoT Edge на вашем компьютере. Команда по умолчанию выполняет подготовку вручную с контейнерами Windows, поэтому используйте флаг -DpsSymmetricKey для автоматической подготовки с использованием проверки подлинности с симметричным ключом.

   Замените значения заполнителей для paste_scope_id_here, paste_registration_id_here и paste_symmetric_key_here данными, полученными ранее.

   . {Invoke-WebRequest -useb https://aka.ms/iotedge-win} | Invoke-Expression; `
   Initialize-IoTEdge -DpsSymmetricKey -ScopeId paste_scope_id_here -RegistrationId paste_registration_id_here -SymmetricKey paste_symmetric key_here
   

Проверка установки

Если среда выполнения запущена успешно, можете перейти в Центр Интернета вещей и начать развертывание модулей IoT Edge на устройстве.

Индивидуальная регистрация

Можно проверить, используется ли отдельная регистрация, созданная в службе подготовки устройств. Перейдите к экземпляру службы подготовки устройств в портал Azure. Откройте сведения о регистрации для созданной индивидуальной регистрации. Обратите внимание, что регистрация имеет состояние назначено и указан идентификатор устройства.

Регистрация групп

Вы можете убедиться, что была использована регистрация группы, созданная в службе подготовки устройств. Перейдите к экземпляру службы подготовки устройств в портал Azure. Откройте сведения о регистрации для созданной группы. Перейдите на вкладку "Записи регистрации", чтобы просмотреть все устройства, зарегистрированные в этой группе.

Чтобы убедиться, что IoT Edge установлена и запущена успешно, выполните следующие команды на устройстве.

Проверьте состояние службы IoT Edge.

Get-Service iotedge

Проверьте журналы службы.

. {Invoke-WebRequest -useb aka.ms/iotedge-win} | Invoke-Expression; Get-IoTEdgeLog

Просмотрите список запущенных модулей.

iotedge list

Следующие шаги

Процесс регистрации службы подготовки устройств позволяет задать идентификатор устройства и теги двойников устройств одновременно, когда вы подготавливаете новое устройство. Эти значения можно использовать для указания отдельных устройств или групп устройств с помощью автоматического управления устройствами. См. дополнительные сведения о развертывании и мониторинге модулей IoT Edge с поддержкой масштабирования с помощью портала Azure или Azure CLI.