你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
部署详细信息
在部署 Azure IoT 操作之前,在已启用 Azure Arc 的 Kubernetes 群集上安装一套服务。 本文概述了针对你的场景需要考虑的不同部署选项。
支持的环境
Microsoft 支持 Azure IoT 操作部署的以下环境。
| 环境 | 最低版本 | 可用性 |
|---|---|---|
| Ubuntu 24.04 上的 K3s | K3s 版本 1.31.1 | 正式发布时间 |
| Windows 11 IoT 企业版上的 Azure Kubernetes 服务 (AKS) 边缘软件包 | AksEdge-K3s-1.29.6-1.8.202.0 | 公共预览版 |
| Azure 门户上的 Azure Kubernetes 服务 (AKS) | Azure Stack HCI OS 版本 23H2,内部版本 2411 | 公共预览版 |
注意
无论支持或可用性级别如何,只要安装了 Azure IoT 操作,任何环境都可收集计费使用情况记录。
要安装 Azure IoT 操作,请满足 Azure IoT 操作的以下硬件要求。 如果使用的是支持容错的多节点群集,请纵向扩展到建议的容量,以提高性能。
| 规范 | 最低要求 | 建议 |
|---|---|---|
| 硬件内存容量 (RAM) | 16 GB | 32 GB |
| Azure IoT 操作的可用内存 (RAM) | 10 GB | 取决于使用情况 |
| CPU | 4 个 vCPU | 8 个 vCPU |
选择你的功能
Azure IoT 操作提供两种部署模式。 可以选择使用测试设置进行部署,这是对于评估方案入门来说较为简单的基本功能子集。 或者,可以选择使用安全设置(完整功能集)进行部署。
测试设置部署
仅具有测试设置的部署:
- 不配置机密或用户分配的托管标识功能。
- 旨在为评估目的启用端到端快速入门示例,因此支持 OPC PLC 模拟器,并使用系统分配的托管标识连接到云资源。
- 可以升级为使用安全设置。
快速入门方案“快速入门:在 GitHub Codespaces 中运行 Azure IoT 操作”使用测试设置。
可以随时按照“启用安全设置”中的步骤将 Azure IoT 操作实例升级为使用安全设置。
安全设置部署
具有安全设置的部署:
- 启用机密和用户分配托管标识,它们都是开发生产就绪方案的重要功能。 每当 Azure IoT 操作组件连接到群集外部的资源时,将使用机密;例如,OPC UA 服务器或数据流终结点。
若要使用安全设置部署 Azure IoT 操作,请按照以下文章操作:
- 首先是准备已启用 Azure Arc 的 Kubernetes 群集,配置并 Arc 启用你的群集。
- 然后,部署 Azure IoT 操作。
所需的权限
下表介绍了需要提升权限的 Azure IoT 操作部署和管理任务。 有关向用户分配角色的信息,请参阅分配 Azure 角色的步骤。
| 任务 | 必需的权限 | 注释 |
|---|---|---|
| 部署 Azure IoT 操作 | 资源组级别的参与者角色。 | |
| 注册资源提供程序 | Microsoft.ExtendedLocation/register/action Microsoft.SecretSyncController/register/action Microsoft.Kubernetes/register/action Microsoft.KubernetesConfiguration/register/action Microsoft.IoTOperations/register/action Microsoft.DeviceRegistry/register/action | 每个订阅只需执行一次。 |
| 创建架构注册表。 | 资源组级别的 Microsoft/Authorization/roleAssignments/write 权限。 | |
| 在 Key Vault 中创建机密 | 资源级别的 Key Vault 机密官员角色。 | 只有安全设置部署需要。 |
| 在 Azure IoT 操作实例上启用资源同步规则 | 资源组级别的 Microsoft/Authorization/roleAssignments/write 权限。 | 资源同步规则默认为禁用,但可作为 az iot ops create 命令的一部分启用。 |
如果使用 Azure CLI 分配角色,请使用 az role assignment create 命令授予权限。 例如: az role assignment create --assignee sp_name --role "Role Based Access Control Administrator" --scope subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/MyResourceGroup
如果使用 Azure 门户向用户或主体分配特权管理角色,系统会提示你使用条件来限制访问。 对于这种情况,请在“添加角色分配”页中选择“允许用户分配所有角色”条件。
使用站点整理实例
Azure IoT 操作支持使用 Azure Arc 站点整理实例。 站点 是 Azure 中的一种群集资源,就像资源组,但站点通常按物理位置对实例进行分组,并使 OT 用户更容易找到和管理资产。 IT 管理员创建站点并将其范围限定为订阅或资源组。 然后,部署到已启用 Arc 的群集的任何 Azure IoT 操作会自动收集到与其订阅或资源组关联的站点中
有关详细信息,请参阅什么是 Azure Arc 站点管理员(预览版)?
Azure IoT 操作终结点
如果使用企业防火墙或代理来管理出站流量,请在部署 Azure IoT 操作之前配置以下终结点。
已启用 Azure Arc 的 Kubernetes 终结点中的终结点。
注意
如果使用 Azure Arc 网关将群集连接到 Arc,则可以根据 Arc 网关指南配置较小的终结点集。
Azure CLI 终结点中的终结点。
需要此终结点列表中的
graph.windows.net、*.azurecr.io、*.blob.core.windows.net、*.vault.azure.net。Azure IoT 操作尤其需要以下终结点:
终结点 (DNS) 说明 <customer-specific>.blob.storage.azure.net架构注册表的存储。 请参阅存储帐户终结点,以确定终结点的客户特定子域。 要将数据推送到云,请根据所选的数据平台启用以下终结点。
- Microsoft Fabric OneLake:将 Fabric URL 添加到允许列表。
- 事件中心:排查连接问题 - Azure 事件中心。
- 事件网格:排查连接问题 - Azure 事件网格。
- Azure Data Lake Storage (ADLS) Gen 2:存储帐户标准终结点。
后续步骤
准备已启用 Azure Arc 的 Kubernetes 群集,为 Azure IoT 操作配置并 Arc 启用群集。