使用 X.509 憑證建立及佈建 IoT Edge for Linux on Windows 裝置
適用於: IoT Edge 1.5 IoT Edge 1.4
重要
IoT Edge 1.5 LTS 是 支援的版本。 自 2024 年 11 月 12 日起,IoT Edge 1.4 LTS 已結束生命週期。 如果您是舊版,請參閱更新 IoT Edge。
本文提供註冊及佈建 IoT Edge for Linux on Windows 裝置的端對端指示。
連線到 IoT 中樞的每個裝置都有裝置識別碼,可用來追蹤雲端到裝置或裝置到雲端的通訊。 您可以使用連線資訊來設定裝置,其中包括 IoT 中樞主機名稱、裝置識別碼,以及裝置用來向 IoT 中樞驗證的資訊。
本文中的步驟會帶您完成稱為手動佈建的程序,您會在此程序中將單一裝置連線到其 IoT 中樞。 針對手動佈建,您有兩個選項可用來驗證 IoT Edge 裝置:
對稱金鑰:當您在 IoT 中樞中建立新的裝置身分識別時,服務會建立兩個金鑰。 您會在裝置上放置其中一個金鑰,並在驗證時呈現 IoT 中樞的金鑰。
這個驗證方法上手較為快速,但並非是安全的方法。
X.509 自我簽署:您可以建立兩個 X.509 身分識別憑證,並將其置於裝置上。 當您在 IoT 中樞中建立新的裝置身分識別時,您會從這兩個憑證提供指紋。 當裝置向 IoT 中樞進行驗證時,其會顯示一個憑證,而 IoT 中樞會確認憑證符合其指紋。
此驗證方法較安全,建議用於生產案例。
本文說明如何使用 X.509 憑證做為驗證方法。 如果您想要使用對稱金鑰,請參閱使用對稱金鑰建立及佈建 IoT Edge for Linux on Windows 裝置。
注意
如果您有許多裝置可設定,且不想手動佈建每個裝置,請使用下列其中一篇文章來了解 IoT Edge 如何與 IoT 中樞裝置佈建服務搭配運作:
必要條件
本文說明如何註冊 IoT Edge 裝置及安裝 IoT Edge for Linux on Windows。 完成這些工作有不同的必要條件和公用程式。 在繼續之前,請先確定您已準備好所有必要條件。
裝置管理工具
您可以使用 Azure 入口網站、Visual Studio Code 或 Azure CLI 來完成註冊裝置的步驟。 每個公用程式都有自己的必要條件,或可能需要安裝:
Azure 訂閱的免費或標準 IoT 中樞。
裝置需求
符合下列最低需求的 Windows 裝置:
系統需求
- Windows 101/11 (專業版、企業版、IoT 企業版)
- Windows Server 20191/2022
1 Windows 10 和 Windows Server 2019 最低組建為 17763 版,且須安裝所有截至目前所有更新。
硬體需求
- 最小可用記憶體:1 GB
- 最小可用磁碟空間:10 GB
虛擬化支援
- 在 Windows 10 上,啟用 Hyper-V。 如需詳細資訊,請參閱在 Windows 10 上安裝 Hyper-V。
- 在 Windows Server 上安裝 Hyper-V 角色,並建立預設的網路交換器。 如需詳細資訊,請參閱 Azure IoT Edge for Linux on Windows 的巢狀虛擬化。
- 在虛擬機器上設定巢狀虛擬化。 如需詳細資訊,請參閱巢狀虛擬化。
網路支援
- Windows Server 不會隨附預設交換器。 您需要先建立虛擬交換器,才能將 EFLOW 部署至 Windows Server 裝置。 如需詳細資訊,請參閱在 Windows 上建立適用於 Linux 的虛擬交換器。
- Windows 桌面版隨附可用於安裝 EFLOW 的預設交換器。 如有需要,您可以建立自己的自訂虛擬交換器。
提示
如果您想要在 Azure IoT Edge for Linux on Windows 部署上使用 GPU 加速 Linux 模組,有多種設定選項可供考慮。
您將需要根據 GPU 架構來安裝正確的驅動程式,而且可能需要存取 Windows 測試人員計畫組建。 若要判斷您的設定需求並滿足這些必要條件,請參閱適用於 Azure IoT Edge for Linux on Windows 的 GPU 加速。
請確保您花點時間滿足 GPU 加速的必要條件。 如果您決定要在安裝期間啟用 GPU 加速,則需要重新啟動安裝流程。
開發人員工具
準備您的目標裝置,以安裝 Azure IoT Edge for Linux on Windows,並部署 Linux 虛擬機器:
將目標裝置上的執行原則設定為
AllSigned
。 您可以使用下列命令,在提升權限的 PowerShell 提示字元中檢查目前的執行原則:Get-ExecutionPolicy -List
如果
local machine
的執行原則不是AllSigned
,則您可以使用下列項目來設定執行原則:Set-ExecutionPolicy -ExecutionPolicy AllSigned -Force
如需 Azure IoT Edge for Linux on Windows PowerShell 模組的詳細資訊,請參閱 PowerShell 函數參考。
產生裝置身分識別憑證
使用 X.509 憑證進行手動佈建需要 IoT Edge 1.0.10 版或更新版本。
當您使用 X.509 憑證佈建 IoT Edge 裝置時,您會使用所謂的「裝置身分識別憑證」。 此憑證只能用於佈建 IoT Edge 裝置,以及向 Azure IoT 中樞驗證裝置。 此為不會簽署其他憑證的分葉節點。 裝置身分識別憑證與憑證授權單位 (CA) 憑證不同,IoT Edge 裝置會提供給模組或下游裝置進行驗證。
針對 X.509 憑證驗證,系統會以取自裝置身分識別憑證的指紋形式,提供每個裝置的驗證資訊。 這些指紋會在裝置註冊時提供給 IoT 中樞,使服務在裝置連線時可以辨識裝置。
如需如何在 IoT Edge 裝置中使用 CA 憑證的詳細資訊,請參閱了解 Azure IoT Edge 如何使用憑證。
若要使用 X.509 手動佈建,您需要下列檔案:
兩個裝置身分識別憑證,具有 .cer 或 .pem 格式的相符私密金鑰憑證。 您需要兩個裝置身分識別憑證來進行憑證輪替。 最佳做法是備妥兩種不同的裝置身分識別憑證,且二者的到期日相異。 如果一個憑證到期,另一個仍有效,您就有時間輪替到期的憑證。
其中一組憑證和金鑰檔案會提供給 IoT Edge 執行階段。 當您建立裝置身分識別憑證時,請將憑證一般名稱 (CN) 設為您希望裝置在 IoT 中樞擁有的裝置識別碼。
取自這兩個裝置身分識別憑證的指紋。 註冊 IoT Edge 裝置時,IoT 中樞需要兩種指紋。 您只能使用一個憑證進行註冊。 若要使用單一憑證,請在註冊裝置時,為主要和次要指紋設定相同的憑證指紋。
指紋值為 SHA-1 雜湊的 40 十六進位字元,或 SHA-256 雜湊的 64 十六進位字元。 在裝置註冊時,這兩個指紋都會提供給 IoT 中樞。
從憑證擷取指紋的其中一種方式是使用下列 openssl 命令:
openssl x509 -in <certificate filename>.pem -text -fingerprint
指紋包含在此命令的輸出中。 例如:
SHA1 Fingerprint=D2:68:D9:04:9F:1A:4D:6A:FD:84:77:68:7B:C6:33:C0:32:37:51:12
如果沒有憑證可以使用,則可建立示範憑證來測試 IoT Edge 裝置功能。 請遵循該文章中的指示來設定憑證建立指令碼、建立根 CA 憑證,以及建立 IoT Edge 裝置身分識別憑證。 若要進行測試,在 IoT 中樞註冊裝置時,您可以為主要和次要指紋值建立單一裝置身分識別憑證,並使用相同的指紋。
登記裝置
您可以根據喜好,使用 Azure 入口網站、Visual Studio Code 或Azure CLI來註冊裝置。
在 Azure 入口網站的 IoT 中樞中,IoT Edge 裝置與未啟用邊緣的 IoT 裝置是分開建立及管理的。
登入 Azure 入口網站,然後瀏覽至 IoT 中樞。
在左側窗格中,從功能表中選取 [裝置],然後選取 [新增裝置]。
在 [建立裝置] 頁面上,提供下列資訊:
- 建立描述性裝置識別碼。 記下此裝置識別碼,因為您稍後會用到。
- 核取 [IoT Edge 裝置] 核取方塊。
- 選取 [X.509 自我簽署] 作為 [驗證類型]。
- 提供主要和次要身分識別憑證指紋。 指紋值為 SHA-1 雜湊的 40 十六進位字元,或 SHA-256 雜湊的 64 十六進位字元。 Azure 入口網站僅支援十六進位值。 在入口網站中輸入指紋之前,請先從指紋值中移除資料行分隔符號和空格。 例如,若為
D2:68:D9:04:9F:1A:4D:6A:FD:84:77:68:7B:C6:33:C0:32:37:51:12
,請輸入D268D9049F1A4D6AFD8477687BC633C032375112
。
提示
如果您要測試並使用一個憑證,可以針對主要和次要指紋使用相同的憑證。
選取 [儲存]。
現在您已在 IoT 中樞內註冊裝置,接著請擷取用來完成安裝及佈建 IoT Edge 執行階段的資訊。
檢視已註冊的裝置並擷取佈建資訊
使用 X.509 憑證驗證的裝置需要其 IoT 中樞名稱、其裝置名稱和其憑證檔案,才能完成 IoT Edge 執行階段的安裝及佈建。
連線至 IoT 中樞且已啟用 Edge 的裝置都列於 [裝置] 頁面。 您可以依「IoT Edge 裝置」裝置類型篩選清單。
安裝 IoT Edge
在目標裝置上部署 Azure IoT Edge for Linux on Windows。
注意
下列 PowerShell 流程概述如何將 IoT Edge for Linux on Windows 部署至本機裝置。 若要使用 PowerShell 部署至遠端目標裝置,您可以使用遠端 PowerShell 建立遠端裝置的連線,並在該裝置上遠端執行這些命令。
在提升權限的 PowerShell 工作階段中,根據您的目標裝置結構執行下列其中一個命令,以下載 IoT Edge for Linux on Windows。
X64/AMD64
$msiPath = $([io.Path]::Combine($env:TEMP, 'AzureIoTEdge.msi')) $ProgressPreference = 'SilentlyContinue' Invoke-WebRequest "https://aka.ms/AzEFLOWMSI_1_4_LTS_X64" -OutFile $msiPath
ARM64
$msiPath = $([io.Path]::Combine($env:TEMP, 'AzureIoTEdge.msi')) $ProgressPreference = 'SilentlyContinue' Invoke-WebRequest "https://aka.ms/AzEFLOWMSI_1_4_LTS_ARM64" -OutFile $msiPath
在您的裝置上安裝 IoT Edge for Linux on Windows。
Start-Process -Wait msiexec -ArgumentList "/i","$([io.Path]::Combine($env:TEMP, 'AzureIoTEdge.msi'))","/qn"
您可以將
INSTALLDIR="<FULLY_QUALIFIED_PATH>"
和VHDXDIR="<FULLY_QUALIFIED_PATH>"
參數新增至安裝命令,以指定自訂安裝 IoT Edge for Linux on Windows 和 VHDX 目錄。 例如,如果您想要使用 D:\EFLOW 資料夾進行安裝,並將 D:\EFLOW-VHDX 用於安裝 VHDX,您可以使用下列的 PowerShell Cmdlet。Start-Process -Wait msiexec -ArgumentList "/i","$([io.Path]::Combine($env:TEMP, 'AzureIoTEdge.msi'))","/qn","INSTALLDIR=D:\EFLOW", "VHDXDIR=D:\EFLOW-VHDX"
如果尚未執行,請將目標裝置上的執行原則設定為
AllSigned
。 請參閱命令的 PowerShell 必要條件,以檢查目前的執行原則,並將執行原則設定為AllSigned
。建立 IoT Edge for Linux on Windows 部署。 部署會建立 Linux 虛擬機器,並為您安裝 IoT Edge 執行階段。
Deploy-Eflow
提示
根據預設,
Deploy-Eflow
命令會建立具有 1 GB RAM、1 個 vCPU 核心和 16 GB 磁碟空間的 Linux 虛擬機器。 不過,VM 所需的資源與您部署的工作負載高度相關。 如果您的 VM 沒有足夠的記憶體可支援您的工作負載,將無法啟動。您可以使用
Deploy-Eflow
命令的選擇性參數來自訂虛擬機器的可用資源。 此項目需要在最低硬體需求的裝置上部署 EFLOW。例如,下列命令會建立具有 1 個 vCPU 核心、1 GB RAM (以 MB 為單位表示) 和 2 GB 磁碟空間的虛擬機器:
Deploy-Eflow -cpuCount 1 -memoryInMB 1024 -vmDataSize 2
如需所有可用的選擇性參數資訊,請參閱適用於 IoT Edge for Linux on Windows 的 PowerShell 函數。
警告
根據預設,EFLOW Linux 虛擬機器沒有 DNS 設定。 使用 DHCP 的部署會嘗試取得 DHCP 伺服器傳播的 DNS 設定。 請檢查您的 DNS 設定,以確保網際網路連線能力。 如需詳細資訊,請參閱 AzEFLOW-DNS。
您可以將 GPU 指派給部署,以啟用 GPU 加速的 Linux 模組。 若要獲取這些功能的存取權,您必須安裝適用於 Azure IoT Edge for Linux on Windows 的 GPU 加速中詳述的必要條件。
若要使用 GPU 傳遞,請將 gpuName、gpuPassthroughType 和 gpuCount 參數新增至
Deploy-Eflow
命令。 如需所有可用的選擇性參數資訊,請參閱適用於 IoT Edge for Linux on Windows 的 PowerShell 函數。警告
啟用硬體裝置傳遞可能會增加安全性風險。 當適用時,Microsoft 會建議使用來自 GPU 廠商的裝置風險降低驅動程式。 如需詳細資訊,請參閱使用離散裝置指派來部署圖表裝置。
輸入「Y」以接受授權條款。
請根據您的喜好設定,輸入「O」或「R」來切換 [選擇性診斷資料] 開啟或關閉。
部署完成後,PowerShell 視窗會報告 [部署成功]。
成功部署之後,您即可佈建裝置。
使用雲端身分識別來佈建裝置
您已準備好使用您裝置的雲端身分識別和驗證資訊來設定您的裝置。
若要使用 X.509 憑證佈建裝置,您需要 [IoT 中樞名稱]、[裝置識別碼],以及 Windows 主機電腦上 [身分識別憑證] 和 [私密金鑰] 的絕對路徑。
在您的目標裝置上備妥裝置身分識別憑證及其相符的私密金鑰。 了解這兩個檔案的絕對路徑。
在您目標裝置的提高權限 PowerShell 工作階段中執行下列命令。 以您自己的值取代預留位置文字。
Provision-EflowVm -provisioningType ManualX509 -iotHubHostname "HUB_HOSTNAME_HERE" -deviceId "DEVICE_ID_HERE" -identityCertPath "ABSOLUTE_PATH_TO_IDENTITY_CERT_HERE" -identityPrivKeyPath "ABSOLUTE_PATH_TO_PRIVATE_KEY_HERE"
如需有關 Provision-EflowVM
命令的詳細資訊,請參閱適用於 IoT Edge for Linux on Windows 的 PowerShell 函數。
確認設定成功
確認已成功在 IoT Edge 裝置上安裝並設定 IoT Edge for Linux on Windows。
使用 PowerShell 工作階段中的下列命令,登入到 IoT Edge for Linux on Windows 虛擬機器:
Connect-EflowVm
注意
唯一允許透過 SSH 連線至虛擬機器的帳戶,是建立虛擬機器的使用者。
登入之後,您可以使用下列 Linux 命令來檢查執行 IoT Edge 模組的清單:
sudo iotedge list
如果您需要針對 IoT Edge 服務進行疑難排解,請使用下列 Linux 命令。
擷取服務記錄。
sudo iotedge system logs
使用
check
工具來驗證裝置的設定和連線狀態。sudo iotedge check
注意
在新佈建的裝置上,您可能會看到與 IoT Edge 中樞相關的錯誤:
× 實際執行整備程度:Edge Hub 的儲存體目錄會保存在主機檔案系統上 - 錯誤
無法檢查 edgeHub 容器的目前狀態
新佈建的裝置上預期會發生此錯誤,因為 IoT Edge 中樞模組未在執行中。 若要解決錯誤,請在 IoT 中樞內設定裝置的模組並建立部署。 建立裝置的部署會啟動裝置上的模組,包括 IoT Edge 中樞模組。
當您建立新的 IoT Edge 裝置時,其會在 Azure 入口網站中顯示狀態碼 417 -- The device's deployment configuration is not set
。 此狀態為正常,表示裝置已就緒可接收模組部署。
解除安裝 IoT Edge for Linux on Windows
如果您想要從裝置中移除 Azure IoT Edge for Linux on Windows,則請使用下列命令。
- 開啟 Windows 上的 [設定]
- 選取 [新增或移除程式]
- 選取 [Azure IoT Edge] 應用程式
- 選取 [解除安裝]
下一步
- 繼續部署 IoT Edge 模組,以了解如何將模組部署至您的裝置。
- 了解如何在 IoT Edge for Linux on Windows 虛擬機器上管理憑證,並將檔案從主機 OS 傳輸到 Linux 虛擬機器。
- 了解如何設定您的 IoT Edge 裝置,以透過 Proxy 伺服器進行通訊。