从 Azure Sphere(旧版)迁移到 Azure Sphere(集成)
2027 年 9 月 27 日,Azure Sphere 将停用其旧服务接口、Azure Sphere(旧版)API(也称为 PAPI)和 Azure Sphere CLI(也称为 azsphere)。 所有 Azure Sphere(旧版)用户必须在此日期之前迁移到 Azure Sphere(集成)。 Azure Sphere(集成)是 Azure 平台的本机,提供与 Azure Sphere(旧版)接口的类似替换。 Azure Sphere(集成)还提供对安全性(Azure RBAC 集成)、可用性(Azure 门户集成)和可观测性/警报(Azure Monitor 集成)的重大改进。 有关详细信息,请参阅此博客。
本文旨在帮助 Azure Sphere 管理员和工程团队了解和规划迁移。 我们设计了迁移过程,以便在整个迁移项目中根据需要在 Azure Sphere(集成)和 Azure Sphere(旧版)中管理 Azure Sphere 设备。 此外,基于旧版的脚本、自动化和接口可以在工程团队基于 Azure Sphere(集成)生成和测试更新版本时不间断地运行。
迁移过程可以细分为以下工作领域:
- 将旧租户集成到 Azure 门户 中的 Azure Sphere 目录
- 迁移交互式用户工作流
- 迁移自动化过程和接口
将 Azure Sphere (旧版) 租户集成到 Azure Sphere 目录
迁移过程中的第一步必须完成,然后才能开始任何其他工作。 Azure 门户中的集成功能准备在 Azure 环境中管理 Azure Sphere(旧版)租户,使其成为 Azure Sphere 目录。 租户及其资源保持不变,但目前还可以通过 Azure 的用户界面(包括 Azure 门户、Azure CLI 的 Azure Sphere 扩展和 Azure Sphere for PowerShell)访问和管理它们。
集成过程执行两个步骤:
- 它将 Azure 资源 ID 分配给租户中的每个资源,从而允许 Azure 资源管理器管理资源。
- 它将旧租户用户访问角色映射到 Azure 基于角色访问控制(RBAC)管理的用户访问角色。 在集成过程中显示建议的访问角色映射时,可以接受、修改或拒绝这些映射。 集成步骤完成后,可以随时修改用户访问。
通常,集成步骤只需几分钟,一旦完成,在集成期间授予访问权限的任何用户都可以立即开始在任何 Azure 用户界面中管理新的 Azure Sphere 目录。 集成过程不会阻止任何现有工作流,我们建议尽快执行此操作,以便开始探索新的 Azure Sphere(集成)接口和优势。 完成后,可以开始迁移工作的其余部分。
迁移交互式用户工作流
交互式工作流是个人使用“azsphere”CLI(或使用又使用“azsphere”CLI)执行任务的脚本。 此类交互式工作流可能会作为制造(例如将新设备声明到租户)、操作(例如管理与租户相关的证书)或开发人员用例(例如,设置开发人员设备以不接收无线更新)中发生。
规划工作流迁移时,需要考虑培训用户、更新内部文档,以及以交互方式使用脚本时更新这些脚本的情况。 还可以考虑利用 Azure Sphere(集成)中的两个关键改进:Azure Sphere 在 Azure 门户 中的简化界面,以及 Azure 在 Azure 基于角色的访问控制(RBAC)中可靠的用户访问管理。
请务必考虑特定用户工作流是否在 Web 界面而不是 CLI 中更好地完成。 Azure Sphere(集成)允许在 Azure 门户中管理目录,并且对于许多交互式用户工作流,门户提供更丰富、更简单的用户体验。 例如,在Azure 门户中,可以在单个步骤中同时上传和部署映像,如下所示。
其次,请考虑如何更有效地限制用户访问。 Azure Sphere(集成)支持 Azure 基于角色的 访问控制 (RBAC),这比 Azure Sphere(旧版)更可靠、更精细的用户访问。
这是一种最低权限模型,旨在授予单个用户仅对其作业所需的资源的访问权限,以及仅执行其作业所需的用户操作的权限。 例如,在 Azure Sphere 目录中,可以允许用户查看生产设备组,并在该设备组中创建新部署,但专门阻止他们将设备移入和移出设备组,或查看目录中的其他设备组。
如果以前没有使用过 Azure RBAC,我们建议了解有关范围和资源层次结构等基本 Azure RBAC 概念的详细信息,因为它们是了解将特定 RBAC 角色权限应用于目录的影响的关键,而不是对目录的子资源(如设备组)的影响。
为了提供帮助,我们为多个业务用户提供了一个示例 RBAC 配置,演示了适用于 Azure Sphere 的 RBAC 的一些最佳做法。 此示例重点介绍了为常见业务用户需求定制的权限,包括为 Azure Sphere 设备生产应用程序的软件工程师、管理生产 Azure Sphere 设备群的 OT 技术人员,以及构建 Azure Sphere 设备的制造商。
删除对 Azure Sphere(旧版)租户的用户访问权限
迁移工作流并且用户使用 Azure Sphere(集成)全职后,强烈建议从旧租户中删除每个用户的权限,以消除意外的访问。 否则,用户可以通过继续使用旧版来避开在 Azure RBAC 中配置的细化访问控制。 删除旧用户访问权限还有助于确保这些用户在 Azure Sphere(集成)中成功执行其所有所需任务,并且不会受到旧版停用的影响。
处理转换或测试自动化过程的用户可能需要保留其旧租户访问权限较长一段时间。
迁移自动化过程和接口
除了迁移交互式工作流之外,如果你的组织已经构建了使用 Azure Sphere(旧版)脚本或基于 Azure Sphere(旧版)API 的用户界面的自动化流程,则需要重新处理这些流程以使用 Azure Sphere(集成)。 若要使迁移过程尽可能简单,可以在生产基于旧版的自动化不间断运行时主动开发和测试更新的自动化。 测试无法逆转的命令时需要注意,例如将设备声明到不希望其长期驻留的目录。
对于在 Azure Sphere(集成)API 上生成的每个接口,必须创建一个Microsoft Entra 访问令牌,该令牌允许接口访问 API 终结点。 有关访问令牌和调用 Azure REST API 的信息,请参阅 Azure REST API 参考文档。
将更新的自动化过程和接口部署到生产环境后,应删除用于对旧版基于旧版的自动化和接口进行身份验证的服务主体的 Azure Sphere(旧版)访问权限。 删除所有服务主体访问权限可确保所有自动化过程完全迁移,并且不会受到旧版停用的影响。
关闭对旧租户的剩余访问权限
迁移过程的最后一步是删除任何剩余的 Azure Sphere(旧版)访问权限。 目前,即使租户已集成到Azure 门户,Azure Sphere(旧版)租户也需要至少一个活动的旧版管理员帐户。 我们正在研究一项功能,该功能将允许你删除该最后一个旧租户管理员帐户,但目前不可用。 发布此功能时,我们会在 Azure 更新上宣布其可用性。
利用 Azure Sphere 中提供的功能(集成)
虽然不需要使用 Azure Sphere(集成),但我们强烈建议在迁移计划中探索并利用 Azure Sphere 现在可用的其他功能强大的 Azure 服务。
最强大的一个是 Azure Monitor。 Azure Monitor 提供各种车队监视功能,例如收集性能指标和诊断数据,以及从 Azure Sphere 设备和 Azure Sphere 安全服务查询活动日志中的事件。
使用 Azure Monitor 数据,可以将设备群运行状况与 Azure Sphere 安全服务上发生的事件相关联,例如发布新的应用更新。 还可以针对关键事件(例如即将过期的 Azure Sphere 租户证书)配置警报。 有关详细信息,请参阅 监视 Azure Sphere 机群和设备运行状况。
入门和查找帮助
只需将 Azure Sphere(旧版)tant 集成到 Azure Sphere(集成) 目录中 并开始探索在 Azure CLI 或 Azure 门户中使用 Azure Sphere,即可轻松入门。 Azure Sphere(旧版)完全受支持,直到 2027 年 9 月 27 日停用日期。 所有迁移活动都必须在该日期之前完成。 如果对迁移或需要技术支持有疑问,可以在Microsoft Q&A 上找到社区专家的解答,也可以联系AZSPPGSUP@microsoft.com。