Создание и подготовка устройств IoT Edge в масштабе с помощью доверенного платформенного модуля в Windows

Область применения: IoT Edge 1.1

Внимание

Дата окончания поддержки IoT Edge 1.1 была 13 декабря 2022 г. Чтобы получить сведения о поддержке определенного продукта, службы, технологии или API, перейдите на страницу Политика жизненного цикла поддержки Майкрософт. Дополнительные сведения об обновлении до последней версии IoT Edge см. в разделе "Обновление IoT Edge".

В этой статье приведены инструкции по автоматической подготовке устройства Azure IoT Edge для Windows с помощью доверенного платформенного модуля (TPM). Вы можете автоматически подготовить устройства IoT Edge с помощью службы подготовки устройств Центр Интернета вещей Azure. Если вы не знакомы с процессом автоматической подготовки, ознакомьтесь с обзором подготовки, прежде чем продолжить.

Примечание.

Поддержка Azure IoT Edge с контейнерами Windows будет прекращена начиная с Azure IoT Edge версии 1.2.

Рекомендуется использовать новый метод для запуска IoT Edge на устройствах Windows, Azure IoT Edge для Linux в Windows.

Если вы хотите использовать Azure IoT Edge для Linux в Windows, выполните действия, описанные в аналогичном руководстве.

В этой статье описаны два методологии. Выберите свое предпочтение в зависимости от архитектуры решения:

• Автоматическая подготовка устройства Windows с физическим оборудованием доверенного платформенного модуля.
• Автоматическая подготовка устройства Windows с имитацией доверенного платформенного модуля. Мы рекомендуем эту методологию только в качестве сценария тестирования. Имитированный TPM не обеспечивает ту же безопасность, что и физический TPM.

Инструкции отличаются на основе методологии, поэтому убедитесь, что вы находитесь на правильной вкладке вперед.

Для этого необходимо выполнить следующие задачи:

Физический TPM

• Получение сведений о подготовке устройства.
• Создание отдельной регистрации устройства.
• Установка среды выполнения IoT Edge и подключение устройства к Центру Интернета вещей.

Имитация доверенного платформенного модуля

• Настройте имитированный TPM и получите сведения о подготовке.
• Создание отдельной регистрации устройства.
• Установка среды выполнения IoT Edge и подключение устройства к Центру Интернета вещей.

Необходимые компоненты

Предварительные требования одинаковы для физических решений доверенного платформенного платформенного модуля и виртуального доверенного платформенного платформенного модуля.

Облачные ресурсы

• Активный Центр Интернета вещей
• Экземпляр службы подготовки устройств Центр Интернета вещей в Azure, связанный с центром Интернета вещей
  • Если у вас нет экземпляра службы подготовки устройств, следуйте инструкциям в кратком руководстве по созданию новой службы подготовки устройств Центр Интернета вещей и связыванию центра Интернета вещей и служб подготовки устройств в кратком руководстве по Центр Интернета вещей службе подготовки устройств.
  • После запуска службы подготовки устройств скопируйте значение области идентификатора на странице обзора. Это значение используется при настройке среды выполнения IoT Edge.

Требования к устройствам

Компьютер для разработки Windows. В этой статье используется Windows 10.

Примечание.

TPM 2.0 требуется при использовании аттестации доверенного платформенного модуля со службой подготовки устройств.

При использовании доверенного платформенного модуля можно создавать только отдельные, а не групповые регистрации служб подготовки устройств.

Настройка доверенного платформенного модуля

Физический TPM

В этом разделе описано, как создать средство, которое можно использовать для получения идентификатора регистрации и ключа подтверждения для доверенного платформенного модуля.

1. Выполните действия, описанные в разделе "Настройка среды разработки Windows", чтобы установить и создать пакет SDK для устройств Интернета вещей Azure для C.

2. Выполните следующие команды в сеансе PowerShell с повышенными привилегиями, чтобы создать средство SDK, которое извлекает сведения о подготовке устройств для доверенного платформенного модуля.

   cd azure-iot-sdk-c\cmake
   cmake -Duse_prov_client:BOOL=ON ..
   cd provisioning_client\tools\tpm_device_provision
   make
   .\tpm_device_provision
   

3. В окне вывода отображается идентификатор регистрации устройства и ключ подтверждения. Скопируйте эти значения для последующего использования при создании отдельной регистрации для устройства в службе подготовки устройств.

Совет

Если вы не хотите использовать средство SDK для получения информации, необходимо найти другой способ получения сведений о подготовке. Ключ подтверждения, уникальный для каждого микросхемы доверенного платформенного модуля, получен от производителя микросхем TPM, связанного с ним. Вы можете получить уникальный идентификатор регистрации для устройства доверенного платформенного модуля. Например, можно создать хэш SHA-256 ключа подтверждения.

После получения идентификатора регистрации и ключа подтверждения вы будете готовы продолжать работу.

Имитация доверенного платформенного модуля

Если у вас нет физического доверенного платформенного модуля, но вы намерены проверить этот метод подготовки к работе, его можно имитировать прямо на устройстве.

Служба подготовки устройств Центр Интернета вещей предоставляет примеры, которые имитируют TPM и возвращают ключ подтверждения и идентификатор регистрации.

1. Выберите один из примеров из следующего списка на основе предпочитаемого языка.
2. Остановите выполнение примеров службы подготовки устройств после запуска имитированного доверенного платформенного модуля и собрали ключ подтверждения и идентификатор регистрации. Не нажимайте клавишу ВВОД , чтобы запустить регистрацию в примере приложения.
3. Сохраните окно, в котором выполняется имитированный TPM, пока не завершите тестирование этого сценария.
4. Вернитесь к этой статье, чтобы создать регистрацию службы подготовки устройств и настроить устройство.

Примеры имитированного доверенного платформенного модуля:

• C
• Java
• C#
• Node.js
• Python

Создание регистрации службы подготовки устройств

Используйте сведения о подготовке доверенного платформенного модуля для создания отдельной регистрации в службе подготовки устройств.

При создании регистрации в службе подготовки устройств у вас есть возможность объявить начальное состояние двойника устройства. В двойнике устройства можно задать теги для группирования устройств по любой метрике, используемой в решении, например региону, среде, расположению или типу устройства. Эти теги используются для создания автоматических развертываний.

Совет

Действия, описанные в этой статье, предназначены для портал Azure, но вы также можете создавать отдельные регистрации с помощью Azure CLI. Дополнительные сведения см. в разделе az iot dps enrollment. В команде интерфейса командной строки с помощью флага edge-enabled укажите, что регистрация предназначена для устройства IoT Edge.

1. В портал Azure перейдите к экземпляру службы подготовки устройств Центр Интернета вещей.

2. В разделе Параметрывыберите Управление регистрациями.

3. Выберите " Добавить отдельную регистрацию", а затем выполните следующие действия, чтобы настроить регистрацию:

   1. Для параметра Механизм выберите TPM.

   2. Укажите ключ подтверждения и идентификатор регистрации, скопированные на виртуальной машине или физическом устройстве.

   3. Укажите идентификатор устройства, если вы хотите. Если не указать идентификатор устройства, используется идентификатор регистрации.

   4. Выберите True , чтобы объявить, что виртуальная машина или физическое устройство — это устройство IoT Edge.

   5. Выберите связанный центр Интернета вещей, к которому нужно подключить устройство, или выберите ссылку на новую Центр Интернета вещей. Можно выбрать несколько центров, и устройство будет назначено одному из них в соответствии с выбранной политикой назначения.

   6. При необходимости добавьте значение тега в исходное состояние двойника устройства. Теги можно использовать для указания групп устройств для развертывания модуля. Дополнительные сведения см. в разделе Развертывание модулей IoT Edge в большом масштабе.

   7. Выберите Сохранить.

После создания регистрации для устройства среда выполнения IoT Edge может автоматически подготавливать устройство во время установки.

Установка Edge Интернета вещей

В этом разделе описана подготовка виртуальной машины Windows или физического устройства для IoT Edge. Затем установите IoT Edge.

Служба Azure IoT Edge использует среду выполнения контейнера, совместимую с OCI. Модуль на основе Moby включается в скрипт установки, что означает, что для установки двигателя нет дополнительных действий.

Чтобы установить среду выполнения IoT Edge, выполните следующие действия.

1. Запустите PowerShell с правами администратора.

   Используйте сеанс PowerShell для AMD64, а не PowerShell (x86). Чтобы узнать, какой тип сеанса используется, выполните следующую команду:

   (Get-Process -Id $PID).StartInfo.EnvironmentVariables["PROCESSOR_ARCHITECTURE"]
   

2. Выполните команду Deploy-IoTEdge, которая выполняет следующие задачи:

   • Проверяет, находится ли компьютер с Windows в поддерживаемой версии
   • Включение функции контейнеров
   • Скачивает подсистему moby и среду выполнения IoT Edge

   . {Invoke-WebRequest -useb https://aka.ms/iotedge-win} | Invoke-Expression; `
   Deploy-IoTEdge
   

3. Перезапустите устройство, если отобразится соответствующий запрос.

Когда вы устанавливаете IoT Edge на устройство, можно указать дополнительные параметры для изменения установки, том числе сделать следующее.

• Направить трафик через прокси-сервер.
• Указание установщика локальному каталогу для автономной установки

Подробные сведения об этих дополнительных параметрах см. в статье Скрипты PowerShell для IoT Edge с контейнерами Windows.

Предоставление облачного удостоверения устройству

После установки среды выполнения на устройстве настройте устройство с информацией, которую он использует для подключения к службе подготовки устройств и Центр Интернета вещей.

1. Сведения об идентификаторе службы подготовки устройств и идентификаторе регистрации устройств, собранных в предыдущих разделах.

2. Откройте окно PowerShell с правами администратора. Не забудьте использовать сеанс AMD64 PowerShell при установке IoT Edge, а не PowerShell (x86).

3. Команда Initialize-IoTEdge настраивает среду выполнения IoT Edge на компьютере. По умолчанию при выполнении команды применяется подготовка вручную с помощью контейнеров Windows. -Dps Используйте флаг для использования службы подготовки устройств вместо ручной подготовки.

   Замените значения заполнителей для paste_scope_id_here и paste_registration_id_here данными, полученными ранее.

   . {Invoke-WebRequest -useb https://aka.ms/iotedge-win} | Invoke-Expression; `
   Initialize-IoTEdge -Dps -ScopeId paste_scope_id_here -RegistrationId paste_registration_id_here
   

Проверка установки

Если среда выполнения успешно запущена, перейдите в центр Интернета вещей и начните развертывание модулей IoT Edge на устройстве. Чтобы убедиться, что среда выполнения установлена и запущена успешно, используйте следующие команды на устройстве:

1. Проверьте состояние службы IoT Edge.

   Get-Service iotedge
   

2. Просмотрите журналы службы за последние пять минут.

   . {Invoke-WebRequest -useb aka.ms/iotedge-win} | Invoke-Expression; Get-IoTEdgeLog
   

3. Просмотрите список запущенных модулей.

   iotedge list
   

Следующие шаги

Процесс регистрации службы подготовки устройств позволяет задать идентификатор устройства и теги двойников устройств одновременно, когда вы подготавливаете новое устройство. Эти значения можно использовать для целевых отдельных устройств или групп устройств с помощью автоматического управления устройствами.

Узнайте, как развертывать и отслеживать модули IoT Edge в масштабе с помощью портал Azure или Azure CLI.