使用對稱金鑰在 Linux 上建立及佈建 IoT Edge 裝置

適用於： IoT Edge 1.1

這很重要

IoT Edge 1.1 終止支援日期為 2022 年 12 月 13 日。 如需此產品、服務、技術或 API 的支援資訊，請參閱 Microsoft 產品生命週期。 如需更新至最新版 IoT Edge 的詳細資訊，請參閱 更新 IoT Edge。

本文提供註冊及佈建 Linux IoT Edge 裝置 (包括安裝 IoT Edge) 的端對端指示。

連線到 IoT 中樞的每個裝置都有裝置識別碼，可用來追蹤雲端到裝置或裝置到雲端的通訊。 您可以使用連線資訊來設定裝置，其中包括 IoT 中樞主機名稱、裝置識別碼，以及裝置用來向 IoT 中樞驗證的資訊。

本文中的步驟會帶您完成稱為手動佈建的程序，您會在此程序中將單一裝置連線到其 IoT 中樞。 針對手動佈建，您有兩個選項可用來驗證 IoT Edge 裝置：

• 對稱金鑰：當您在 IoT 中樞中建立新的裝置身分識別時，服務會建立兩個金鑰。 您會在裝置上放置其中一個金鑰，並在驗證時呈現 IoT 中樞的金鑰。

  這個驗證方法上手較為快速，但並非是安全的方法。

• X.509 自我簽署：您可以建立兩個 X.509 身分識別憑證，並將其置於裝置上。 當您在 IoT 中樞中建立新的裝置身分識別時，您會從這兩個憑證提供指紋。 當裝置向 IoT 中樞進行驗證時，其會顯示一個憑證，而 IoT 中樞會確認憑證符合其指紋。

  此驗證方法較安全，建議用於實際執行案例。

本文說明如何使用對稱金鑰做為驗證方法。 如果您想要使用 X.509 憑證，請參閱使用 X.509 憑證在 Linux 上建立及佈建 IoT Edge 裝置。

備註

如果您有許多裝置可設定，且不想手動佈建每個裝置，請使用下列其中一篇文章來了解 IoT Edge 如何與 IoT 中樞裝置佈建服務搭配運作：

• 使用 x.509 憑證來大規模建立和佈建 IoT Edge 裝置
• 使用 TPM 來大規模建立和佈建 IoT Edge 裝置
• 使用對稱金鑰來大規模建立和佈建 IoT Edge 裝置

先決條件

本文說明如何註冊 IoT Edge 裝置及在裝置上安裝 IoT Edge。 完成這些工作有不同的必要條件和公用程式。 在繼續之前，請先確定您已準備好所有必要條件。

裝置管理工具

您可以使用 Azure 入口網站、Visual Studio Code 或 Azure CLI 來完成註冊裝置的步驟。 每個公用程式都有自己的必要條件：

入口網站

於 Azure 訂閱中的免費或標準 IoT 中樞。

Visual Studio Code

• Azure 訂閱中的免費或標準的 IoT 中樞
• Visual Studio Code
• Azure IoT 中樞延伸模組
• 適用於 Visual Studio Code 的 Azure IoT Edge

Azure CLI

• Azure 訂閱中的免費或標準的 IoT 中樞

• 您環境中的 Azure CLI

  Azure CLI 版本至少必須是 2.0.70 或更新版本。 使用 az --version 進行驗證。 此版本支援 az 延伸模組命令，並引進 Knack 命令架構。

裝置需求

X64、ARM32 或 ARM64 Linux 裝置。

Microsoft 發佈各種作業系統的安裝套件。

如需生產情境下，何種 Windows 作業系統可供使用的相關資訊，請參閱 Azure IoT Edge 支援系統。

註冊您的裝置

您可以根據喜好，使用 Azure 入口網站、Visual Studio Code 或Azure CLI來註冊裝置。

入口網站

在 Azure 入口網站的 IoT 中樞中，IoT Edge 裝置的建立和管理與未啟用 Edge 的 IoT 裝置是分開的。

1. 登入 Azure 入口網站，然後瀏覽至 IoT 中樞。

2. 在左側窗格中，從功能表中選取 [裝置]，然後選取 [新增裝置]。

3. 在 [建立裝置] 頁面上，提供下列資訊：

   • 建立描述性裝置識別碼。 記下此裝置識別碼，因為您稍後會使用它。
   • 請勾選 [IoT Edge 裝置] 核取方塊。
   • 選取 [對稱金鑰] 作為 [驗證類型]。
   • 使用預設設定來自動產生驗證密鑰，並將新裝置連線到您的中樞。

4. 請選擇儲存。

Visual Studio Code

登入以存取 IoT 中樞

您可以使用適用於 Visual Studio Code 的 Azure IoT 擴充功能來透過 IoT 中樞執行各種操作。 若要讓這些作業運作，您必須登入您的 Azure 帳戶，然後選取您的中樞。

1. 在 Visual Studio Code 中，開啟 [總管] 檢視。

2. 在 Explorer 底部，展開 Azure IoT Hub 區段。

   

3. 按一下 [Azure IoT 中樞] 區段標題中的 ...。 如果您沒有看到省略號，請按兩下或將滑鼠停留在標頭上方。

4. 選擇 [選取 IoT 中樞]。

5. 如果您未登入 Azure 帳戶，請遵循提示來執行此動作。

6. 選取您的 Azure 訂用帳戶。

7. 選取您的 IoT 中樞。

使用 Visual Studio Code 註冊新裝置

1. 在 Visual Studio Code 瀏覽器中，展開 Azure IoT 中樞 區域。
2. 按一下 [Azure IoT 中樞] 區段標題中的 ...。 如果您沒有看到省略號，請按兩下或將滑鼠停留在標頭上方。
3. 選取 [建立 IoT Edge 裝置]。
4. 在開啟的文字框中，為您的裝置提供標識符。

在輸出畫面中，您會看到命令的結果。 會列印裝置資訊，其中包含您提供的 deviceId，以及可用來將實體裝置連線到 IoT 中樞的 connectionString。

Azure CLI

使用 az iot hub device-identity create 命令，在 IoT 中樞中建立新的裝置身分識別。 例如：

az iot hub device-identity create --device-id device_id_here --hub-name hub_name_here --edge-enabled

這個命令包含三個參數：

• --device-id 或 -d：提供 IoT 中樞內唯一的描述性名稱。

• --hub-name 或 -n：提供 IoT 中樞的名稱。

• --edge-enabled 或 --ee：宣告裝置是 IoT Edge 裝置。

  

現在您已在 IoT 中樞內註冊裝置，接著請擷取用來完成安裝及佈建 IoT Edge 執行階段的資訊。

檢視已註冊的裝置並擷取佈建資訊

使用對稱金鑰驗證的裝置需要其連接字串，才能完成 IoT Edge 執行階段的安裝和佈建。

入口網站

連線至 IoT 中樞且已啟用 Edge 的裝置都列於 [裝置] 頁面。 您可以依類型 IoT Edge 裝置篩選清單。

當您準備好開始設定裝置時，需要連接字串才能將您的實體裝置與在 IoT 中心中的其身分識別連結起來。

使用對稱金鑰進行驗證的裝置，可在入口網站中複製其連接字串。

1. 從入口網站中的 [裝置] 頁面，從清單中選取IoT Edge裝置標識碼。
2. 複製 [主要連接字串] 或 [次要連接字串] 的值。

Visual Studio Code

所有連線到 IoT 中樞的裝置都會列在 Visual Studio Code 資源管理器的 Azure IoT Hub 區段中。 IoT Edge 裝置與非 Edge 裝置使用不同的圖示區別，且 $edgeAgent 和 $edgeHub 模組已部署至每個 IoT Edge 裝置。

當您準備好開始設定裝置時，需要連接字串才能將您的實體裝置與在 IoT 中心中的其身分識別連結起來。

1. 在 [Azure IoT 中樞] 區段中，右鍵點擊您的裝置的ID。

2. 選取 複製裝置連接字串。

   連接字串會複製到剪貼簿。

您也可以選取右鍵功能表的 [取得裝置資訊]，以在輸出視窗中查看所有裝置資訊，包括連接字串。

Azure CLI

使用 az iot hub device-identity list 命令檢視 IoT 中樞內的所有裝置。 例如：

az iot hub device-identity list --hub-name hub_name_here

任何註冊為 IoT Edge 裝置的裝置，其屬性 capabilities.iotEdge 會被設定為 true。

當您準備好開始設定裝置時，需要連接字串才能將您的實體裝置與在 IoT 中心中的其身分識別連結起來。 使用 az iot hub device-identity connection-string show 命令以顯示單一裝置的連線字串：

az iot hub device-identity connection-string show --device-id [device_id] --hub-name [hub_name]

小提示

connection-string show 命令已在 Azure IoT 延伸模組的 0.9.8 版中引進，取代了已淘汰的 show-connection-string 命令。 如果您在執行此命令時發生錯誤，請確定您的延伸模組版本已更新為 0.9.8 或更新版本。 如需詳細資訊和最新更新，請參閱適用於 Azure CLI 的 Microsoft Azure IoT 延伸模組。

device-id 參數的值區分大小寫。

複製連接字串以在裝置上使用時，請勿在連接字串周圍加上引號。

安裝 IoT Edge

在本節中，您會準備適用於 IoT Edge 的 Linux VM 或實體裝置。 然後，您會安裝 IoT Edge。

執行下列命令以新增套件存放庫，然後將 Microsoft 套件簽署金鑰新增至信任金鑰的清單。

這很重要

在 2022 年 6 月 30 日，Raspberry Pi OS Stretch 從第 1 層作業系統支援清單中被淘汰。 若要避免潛在的安全性弱點，請將主機作業系統更新為 Bullseye。

Ubuntu

您可以使用幾個命令來完成安裝。 開啟終端機，然後執行下列命令：

• 20.04：

  wget https://packages.microsoft.com/config/ubuntu/20.04/packages-microsoft-prod.deb -O packages-microsoft-prod.deb
  sudo dpkg -i packages-microsoft-prod.deb
  rm packages-microsoft-prod.deb
  

• 18.04：

  wget https://packages.microsoft.com/config/ubuntu/18.04/multiarch/packages-microsoft-prod.deb -O packages-microsoft-prod.deb
  sudo dpkg -i packages-microsoft-prod.deb
  rm packages-microsoft-prod.deb
  

Debian

使用 APT 安裝只需要幾個命令即可完成。 開啟終端機，然後執行下列命令：

• 11 - Bullseye (arm32v7)：

  curl https://packages.microsoft.com/config/debian/11/packages-microsoft-prod.deb > ./packages-microsoft-prod.deb
  sudo apt install ./packages-microsoft-prod.deb
  

小提示

如果您在作業系統安裝期間將密碼授與「根」帳戶，則不需要 'sudo'，而且可以從 'apt' 開始執行上述命令。

Red Hat Enterprise Linux

您可以使用幾個命令來完成安裝。 開啟終端機，然後執行下列命令：

• 8.x (amd64)：

    wget https://packages.microsoft.com/config/rhel/8/packages-microsoft-prod.rpm -O packages-microsoft-prod.rpm
    sudo yum localinstall packages-microsoft-prod.rpm
    rm packages-microsoft-prod.rpm
  

備註

使用 Azure IoT Edge 軟體套件時，必須遵守每個封裝中的授權條款 (usr/share/doc/{package-name} 或 LICENSE 目錄)。 在使用套件之前，請先閱讀授權條款。 安裝及使用套件即表示接受這些授權條款。 如果您不同意授權條款，請勿使用該套件。

安裝容器引擎

Azure IoT Edge 依賴 OCI 相容的容器運行時間。 針對實際執行案例，建議使用 Moby 引擎。 Moby 引擎是IoT Edge正式支援的容器引擎。 Docker CE/EE 容器映像與 Moby 執行階段相容。

Ubuntu

安裝 Moby 引擎。

sudo apt-get update; \
  sudo apt-get install moby-engine

Debian

安裝 Moby 引擎。

sudo apt-get update; \
  sudo apt-get install moby-engine

Red Hat Enterprise Linux

安裝 Moby 引擎與 CLI。

sudo yum install moby-engine moby-cli

成功安裝Moby引擎之後，請將它設定為使用 local 記錄驅動程式 作為記錄機制。 若要深入了解記錄設定，請參閱生產部署檢查清單。

• 在 /etc/docker/daemon.json建立或開啟 Docker 精靈的組態檔。

• 將默認記錄驅動程式設定為 local 記錄驅動程式，如下列範例所示。

     {
        "log-driver": "local"
     }
  

• 重新啟動容器引擎，讓變更生效。

  sudo systemctl restart docker
  

  小提示

  如果您在安裝 Moby 容器引擎時發生錯誤，請確認您的 Linux 核心與 Moby 相容。 某些嵌入式裝置製造商會提供包含自訂 Linux 核心的裝置影像，而不需要容器引擎相容性所需的功能。 執行下列命令，此命令會使用 Moby 所提供的 檢查設定指令碼 來檢查您的核心設定：

  curl -ssl https://raw.githubusercontent.com/moby/moby/master/contrib/check-config.sh -o check-config.sh
  chmod +x check-config.sh
  ./check-config.sh
  

  在指令碼的輸出中，檢查所有在Generally Necessary 和 Network Drivers 下的項目是否已啟用。 如果您缺少功能，請從原始碼重建核心，然後選取相關聯的模組以納入適當的核心 .config 來加以啟用。同樣地，如果您使用 defconfig 或 menuconfig 等核心設定產生器，請尋找並啟用個別的功能，並據此重建您的核心。 一旦您部署新修改過的核心之後，請再次執行檢查設定指令碼，以確認所有必要的功能都已成功啟用。

安裝 IoT Edge 執行階段

IoT Edge 安全性精靈會在IoT Edge裝置上提供和維護安全性標準。 守護程式會在每次開機時啟動，並透過啟動其他 IoT Edge 執行環境的部分來引導裝置。

本節中的步驟代表在具有因特網連線的裝置上安裝最新版本的一般程式。 如果您需要安裝特定版本，例如發行前版本，或需要在離線時安裝，請遵循本文稍後的離線或特定版本安裝步驟。

安裝 IoT Edge 1.1.* 版以及 libiothsm-std 套件：

Ubuntu

sudo apt-get update; \
  sudo apt-get install iotedge

Debian

sudo apt-get update; \
  sudo apt-get install iotedge

Red Hat Enterprise Linux

Red Hat Enterprise Linux 8 不支援 IoT Edge 1.1 版。

備註

IoT Edge 1.1 版是 IoT Edge 的長期支援分支。 如果您執行舊版，建議您安裝或更新至最新的修補程式，因為不再支援舊版。

使用雲端身分識別來配置裝置

既然容器引擎和 IoT Edge 執行時間已安裝在您的裝置上，您就可以進行下一個步驟，也就是使用其雲端身分識別和驗證資訊來設定裝置。

在 IoT Edge 裝置上，開啟設定檔。

sudo nano /etc/iotedge/config.yaml

尋找檔案的布建組態，並在尚未取消批注的情況下，使用連接字串 區段取消批註 手動布建組態。

# Manual provisioning configuration using a connection string
provisioning:
source: "manual"
device_connection_string: "ADD_DEVICE_CONNECTION_STRING_HERE"

使用您的 IoT Edge 裝置中的連接字串更新 device_connection_string 的值。 請確定其他任何配置區段都已註解掉。請確定 配置： 行前面沒有空格，且巢狀項目縮排兩個空格。

若要將剪貼簿內容貼到 Nano Shift+Right Click，或按 Shift+Insert。

儲存並關閉檔案。

CTRL + X、Y、Enter

在組態檔中輸入布建信息之後，請重新啟動精靈：

sudo systemctl restart iotedge

確認設定成功

確認您的 IoT Edge 裝置上已成功安裝並設定執行階段。

小提示

您需要有較高的權限才能執行 iotedge 命令。 當您在安裝 IoT Edge 執行階段之後登出機器，並第一次重新登入時，您的權限將會自動更新。 在那之前，請在這些命令前面使用 sudo。

確認 IoT Edge 系統服務正在執行。

sudo systemctl status iotedge

如果您需要對服務進行疑難排解，請擷取服務記錄。

journalctl -u iotedge

使用 check 工具來驗證裝置的設定和連線狀態。

sudo iotedge check

小提示

務必使用 sudo 來執行檢查工具，即使更新了您的權限也要這樣做。 此工具需要較高的權限，才能存取組態檔，以確認組態狀態。

備註

在新佈建的裝置上，您可能會看到與 IoT Edge 中樞相關的錯誤：

× 生產環境準備度：Edge Hub 的儲存目錄會保存在主機檔案系統上 - 錯誤

無法檢查 edgeHub 容器的目前狀態

新佈建的裝置上預期會發生此錯誤，因為 IoT Edge 中樞模組未在執行中。 若要解決錯誤，請在 IoT 中樞內設定裝置的模組並建立部署。 建立裝置部署時，會啟動裝置上的各個模組，包括 IoT Edge 中樞模組。

檢視在 IoT Edge 裝置上執行的所有模組。 當服務啟動時，您應該只會看到 edgeAgent 模組正在執行。 edgeAgent 模組預設會執行，且有助於安裝及啟動部署至裝置的任何其他模組。

sudo iotedge list

當您建立新的 IoT Edge 裝置時，其會在 Azure 入口網站中顯示狀態碼 417 -- The device's deployment configuration is not set。 此狀態為正常，表示裝置已就緒可接收模組部署。

離線或特定版本安裝 (選擇性)

本節中的步驟適用於標準安裝步驟未涵蓋的情況。 可能包括：

• 離線時安裝 IoT Edge
• 安裝候選版

如果您想要安裝的特定 Azure IoT Edge 執行階段版本無法透過套件管理員取得，請使用本節中的步驟。 Microsoft 套件清單只包含一組有限的最新版本及其子版本，因此這些步驟適用於想要安裝較舊版本或候選版本的任何人員。

您可以使用 curl 命令，直接從 IoT Edge GitHub 存放庫將元件檔案設為目標。

1. 瀏覽至 Azure IoT Edge 版本，並尋找您想要設為目標的版本。

2. 展開該版本的 資產 區段。

3. 每個版本都應該有IoT Edge安全性精靈和 hsmlib 的新檔案。 如果您要在離線裝置上安裝 IoT Edge，請事先下載這些檔案。 否則，請使用下列命令來更新這些元件。

   1. 尋找符合IoT Edge裝置架構的 libiothsm-std 檔案。 以滑鼠右鍵按一下檔案連結，並複製連結位址。

   2. 使用下列命令中的複製連結來安裝該版本的 hsmlib：

      curl -L <libiothsm-std_link> -o libiothsm-std.deb && sudo apt-get install ./libiothsm-std.deb
      

   3. 尋找符合IoT Edge裝置架構的 iotedge 檔案。 以滑鼠右鍵按一下檔案連結，並複製連結位址。

   4. 使用下列命令中的複製連結來安裝該版本的 IoT Edge 安全性精靈。

      curl -L iotedge_link_here -o iotedge.deb && sudo apt-get install ./iotedge.deb
      

現在，容器引擎和 IoT Edge 執行環境已安裝在您的裝置上，您現在可以開始下一步：使用其雲端身份識別配置裝置。

解除安裝 IoT Edge

如果您想要從裝置移除 IoT Edge 安裝，請使用下列命令。

移除 IoT Edge 執行階段。

sudo apt-get autoremove iotedge

IoT Edge 執行階段移除後，其所建立的任何容器隨即停止，但仍會存在於您的裝置上。 檢視所有容器以查看哪些容器保留下來。

sudo docker ps -a

刪除您裝置中的容器，包括兩個執行階段容器。

sudo docker rm -f <container name>

最後，移除裝置中的容器執行階段。

Ubuntu / Debian

sudo apt-get autoremove --purge moby-engine

Red Hat Enterprise Linux

sudo yum remove moby-cli
sudo yum remove moby-engine

後續步驟

繼續部署 IoT Edge 模組，以了解如何將模組部署至您的裝置。