你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

配置分层网络管理（预览版）以在隔离网络中使用 Azure IoT 操作

本演练是将 Azure IoT 操作部署到不同于默认 Azure IoT 操作方案的特殊环境的示例。 默认情况下，Azure IoT 操作会部署到已启用 Arc 的群集，该群集具有直接 Internet 访问权限。 在此方案中，将 Azure IoT 操作部署到隔离的网络环境。 硬件和群集必须满足 Azure IoT 操作的先决条件，并且有对网络、主机 OS 和群集的其他配置。 因此，Azure IoT 操作组件通过 Azure IoT 分层网络管理（预览版）服务运行并连接到 Arc。

重要

这是 Azure IoT 操作的高级方案。 在启动此高级方案之前，应完成以下步骤来以熟悉基本概念。

• 将 Azure IoT 分层网络管理部署到 AKS 群集
• 部署概述 - Azure IoT 操作
• 准备 Kubernetes 群集 - Azure IoT 操作
• 将 Azure IoT 操作部署到已启用 Arc 的 Kubernetes 群集 - Azure IoT 操作
  • 可以重复使用为此试用版创建的云依赖项，以减少在 Purdue 网络环境中设置 Azure IoT 操作时的复杂性。 例如，密钥保管库、托管标识和存储帐户。

无法将以前部署的 Azure IoT 操作从其原始网络迁移到隔离网络。 对于此方案，请按照以下步骤开始创建新群集。

在此示例中，使用在上一级运行的分层网络管理服务，在 ISA-95 网络环境的隔离层中 Arc 启用 AKS 边缘软件包或 K3S 群集。 网络和群集体系结构如下所述：

• 在具有直接访问 Internet 的主机上运行的级别 4 单节点群集。
• 本地网络中的自定义 DNS。 有关选项，请参阅配置自定义 DNS。 若要快速设置环境，应使用 CoreDNS 方法而不是 DNS 服务器。
• 阻止访问 Internet 的级别 3 群集。 它作为所有 Azure Arc 相关流量的代理连接到分层网络管理服务。

有关详细信息，请参阅包含最少硬件的逻辑分段示例。

配置第 4 级 Kubernetes 群集和分层网络管理

配置网络后，需要配置级别 4 Kubernetes 群集。 完成配置 IoT 分层网络管理级别 4 群集中的步骤。 在本文中，你将：

• 设置 Windows 11 计算机并配置 AKS 边缘软件包或在 Ubuntu 计算机上设置 K3S Kubernetes。
• 部署并配置分层网络管理服务以在群集上运行。

需要标识主机的本地 IP。 在后面的步骤中，使用自定义 DNS 将流量从级别 3 定向到此 IP 地址。

完成本部分后，分层网络管理服务已准备好将网络流量从级别 3 转发到 Azure。

配置自定义 DNS

在本地网络中，需要设置机制以将所有网络流量重定向到分层网络管理服务。 使用“配置自定义 DNS”中的步骤。 在文章中：

• 如果选择 CoreDNS 方法（仅适用于 L3 中的 K3s 群集），则可以跳到“配置级别 3 群集并启用 Arc”并配置 CoreDNS，然后再为级别 3 群集启用 Arc。
• 如果选择使用 DNS 服务器，请按照步骤设置 DNS 服务器，然后再转到本文中的下一部分。

配置级别 3 群集并启用 Arc

下一步是在与部署 Azure IoT 操作兼容的级别 3 中设置已启用 Arc 的群集。 可以选择 AKS 边缘软件包或 K3S 作为 Kubernetes 平台。

K3S 群集

按照准备已启用 Azure Arc 的 Kubernetes 群集来设置 K3s 群集并为其启用 Arc。

1. 使用 Internet 访问准备 K3s 群集。
2. 建议使用这些步骤安装 kubectl 客户端，以确保为 Arc 启用正确安装 kubectl 客户端。
3. 继续为群集启用 ARC。
4. 在禁用群集的 Internet 访问之前，还需要完成部署 Azure IoT 操作先决条件。
5. 安装所需的软件组件并设置 K3s 群集后，可以限制此群集的 Internet 访问，并将 CoreDNS 配置为将网络流量重定向到分层网络管理服务级别 4。

AKS Edge Essentials

按照准备已启用 Azure Arc 的 Kubernetes 群集来设置 AKS 边缘软件包群集并为其启用 Arc。

1. 可以为 AKS 边缘软件包准备 Internet 访问权限。
2. 在禁用群集的 Internet 访问之前，还需要完成部署 Azure IoT 操作先决条件。
3. 设置 AKS 边缘软件包群集后，可以限制此群集的 Internet 访问权限，并依靠前面步骤中准备的“DNS 服务器”将网络流量重定向到级别 4 下的分层网络管理服务。

验证

完成级别 3 群集的 Azure Arc 启用后，在 Azure 门户中前往你的资源组。 你应该会看到具有指定名称的 Kubernetes - Azure Arc 资源。

1. 打开资源概述页。
2. 验证群集的状态是否为联机。

有关更多信息，请参阅从 Azure 门户访问 Kubernetes 资源。

部署 Azure IoT 操作

为级别 3 群集启用 Arc 后，即可将 IoT 操作部署到群集。 所有 IoT 操作组件都已部署到级别 3 群集，并通过分层网络管理服务连接到 Arc。 数据管道还通过分层网络管理服务进行路由。

现在，可以按照将 Azure IoT 操作部署到已启用 Arc 的 Kubernetes 群集中的步骤将 IoT 操作部署到第 3 级群集。

后续步骤

部署 IoT 操作后，可以尝试以下教程。 级别 3 群集中的 Azure IoT 操作按教程中所述工作。

• 教程：将 OPC UA 资产添加到 Azure IoT 操作群集
• 教程：使用 MQTT 代理的数据湖连接器将资产遥测数据发送到云