Verwalten und Überwachen von IoT Central-Anwendungen

Artikel
04/11/2024

Sie können das Azure-Portal, die Azure CLIoder Azure PowerShell verwenden, um IoT Central-Anwendungen zu verwalten und zu überwachen.

Wenn Sie lieber eine Sprache wie JavaScript, Python, C#, Ruby oder Go verwenden möchten, finden Sie im Repository mit den Beispielen für das Azure IoT Central ARM SDK Codebeispiele.

Informationen zum Erstellen einer IoT Central--Anwendung finden Sie unter Erstellen einer IoT Central-Anwendung.

Anwendungen anzeigen

Um alle IoT Central-Apps in Ihrem Abonnement auflisten zu können, navigieren Sie zu IoT Central-Anwendungen.

Löschen einer Anwendung

Um eine IoT Central-Anwendung im Azure-Portal zu löschen, navigieren Sie zur Seite Übersicht der Anwendung im Portal, und wählen Sie Löschen aus.

Verwalten des Netzwerks

Sie können Ihre privaten IP-Adressen aus einem Adressraum des virtuellen Netzwerksbenutzen, wenn Sie Ihre Geräte in einer IoT Central-Anwendung verwalten, damit sie im öffentlichen Internet nicht offengelegt werden. Weitere Informationen dazu finden Sie unter Erstellen und Konfigurieren eines privaten Endpunkts für IoT Central.

Konfigurieren einer verwalteten Identität

Wenn Sie einen Datenexport in Ihrer IoT Central-Anwendung konfigurieren, können Sie die Verbindung mit dem Ziel mit einer Verbindungszeichenfolge oder einer verwalteten Identität konfigurieren. Verwaltete Identitäten sind aus folgenden Gründen sicherer:

Sie speichern die Anmeldeinformationen für Ihre Ressource nicht in einer Verbindungszeichenfolge in Ihrer IoT Central-Anwendung.
Die Anmeldeinformationen sind automatisch an die Lebensdauer Ihrer IoT Central-Anwendung gebunden.
Verwaltete Identitäten rotieren ihre Sicherheitsschlüssel automatisch regelmäßig.

IoT Central verwendet derzeit systemseitig zugewiesene verwaltete Identitäten. Die verwaltete Identität wird entweder über das Azure-Portal oder die REST-API erstellt.

Wenn Sie eine verwaltete Identität konfigurieren, müssen Sie einen Bereich und eine Rolle festlegen:

Mit dem Bereich wird definiert, wo die verwaltete Identität verwendet werden kann. Sie können zum Beispiel eine Azure-Ressourcengruppe als Bereich festlegen. In diesem Fall müssen sich die IoT Central-Anwendung und das Ziel in derselben Ressourcengruppe befinden.
Mit der Rolle wird definiert, über welche Berechtigungen die IoT Central-Anwendung im Zieldienst verfügt. Damit eine IoT Central-Anwendung Daten an einen Event Hub senden kann, muss der verwalteten Identität beispielsweise die Rolle Azure Event Hubs Data Sender (Azure Event Hubs-Datensender) zugewiesen sein.

So konfigurieren Sie die verwaltete Identität, die es Ihrer IoT Central-Anwendung ermöglicht, Daten sicher zu Ihrer Azure-Ressource zu exportieren:

Navigieren Sie im Azure-Portal zu Ihrer IoT Central-Anwendung.

Tipp

Standardmäßig werden IoT Central-Anwendungen in der IOTC-Ressourcengruppe in Ihrem Abonnement erstellt.
Wählen Sie Identität aus. Ändern Sie dann auf der Seite Systemseitig zugewiesen den Status in Ein, und wählen Sie dann Speichern aus.
Nach einigen Sekunden ist die systemseitig zugewiesene verwaltete Identität für Ihre IoT Central-Anwendung aktiviert, und Sie können Azure-Rollenzuweisungen auswählen:
Wählen Sie auf der Seite Azure-Rollenzuweisungen die Option Rollenzuweisung hinzufügen aus.

Sie können die verwaltete Identität aktivieren, wenn Sie eine IoT Central-Anwendung erstellen:

# Create an IoT Central application with a managed identity
az iot central app create \
  --resource-group "MyIoTCentralResourceGroup" \
  --name "myiotcentralapp" --subdomain "mysubdomain" \
  --sku ST1 --template "iotc-pnp-preview" \
  --display-name "My Custom Display Name" \
  --mi-system-assigned

Alternativ können Sie eine verwaltete Identität in einer bereits vorhandenen IoT Central-Anwendung aktivieren:

# Enable a system-assigned managed identity
az iot central app identity assign --name "myiotcentralapp" \
  --resource-group "MyIoTCentralResourceGroup" \
  --system-assigned

Nachdem Sie die verwaltete Identität aktiviert haben, können Sie die Rollenzuweisungen mithilfe der CLI konfigurieren.

Verwenden Sie zum Erstellen einer Rollenzuweisung den Befehl az role assignment create. Mit den folgenden Befehlen wird beispielsweise zuerst die Prinzipal-ID der verwalteten Identität abgerufen. Der zweite Befehl weist die Rolle Azure Event Hubs Data Sender der Prinzipal-ID im Bereich der Ressourcengruppe MyIoTCentralResourceGroup zu:

scope=$(az group show -n "MyIoTCentralResourceGroup" --query "id" --output tsv)
spID=$(az iot central app identity show \
  --name "myiotcentralapp" \
  --resource-group "MyIoTCentralResourceGroup" \
  --query "principalId" --output tsv)
az role assignment create --assignee $spID --role "Azure Event Hubs Data Sender" \
  --scope $scope

Sie können die verwaltete Identität aktivieren, wenn Sie eine IoT Central-Anwendung erstellen:

# Create an IoT Central application with a managed identity
New-AzIotCentralApp -ResourceGroupName "MyIoTCentralResourceGroup" `
  -Name "myiotcentralapp" -Subdomain "mysubdomain" `
  -Sku "ST1" -Template "iotc-pnp-preview" `
  -DisplayName "My Custom Display Name" -Identity "SystemAssigned"

Alternativ können Sie eine verwaltete Identität in einer bereits vorhandenen IoT Central-Anwendung aktivieren:

# Enable a system-assigned managed identity
Set-AzIotCentralApp -ResourceGroupName "MyIoTCentralResourceGroup" `
  -Name "myiotcentralapp" -Identity "SystemAssigned"

Nachdem Sie die verwaltete Identität aktiviert haben, können Sie die Rollenzuweisungen mithilfe von PowerShell konfigurieren.

Verwenden Sie das Cmdlet New-AzRoleAssignment, um eine Rollenzuweisung zu erstellen. Mit den folgenden Befehlen wird beispielsweise zuerst die Prinzipal-ID der verwalteten Identität abgerufen. Der zweite Befehl weist die Rolle Azure Event Hubs Data Sender der Prinzipal-ID im Bereich der Ressourcengruppe MyIoTCentralResourceGroup zu:

$resourceGroup = Get-AzResourceGroup -Name "MyIoTCentralResourceGroup"
$app = Get-AzIotCentralApp -ResourceGroupName $resourceGroup.ResourceGroupName -Name "myiotcentralapp"
$sp = Get-AzADServicePrincipal -ObjectId $app.Identity.PrincipalId
New-AzRoleAssignment -RoleDefinitionName "Azure Event Hubs Data Sender" `
  -ObjectId $sp.Id -Scope $resourceGroup.ResourceId

Weitere Informationen zu den Rollenzuweisungen finden Sie unter:

Überwachen der Anwendungsintegrität

Sie können mithilfe der von IoT Central bereitgestellten Metriken die Integrität von mit Ihrer IoT Central-Anwendung verbundenen Geräten und die Integrität Ihrer aktiven Datenexporte bewerten.

Hinweis

Bei IoT Central-Anwendungen gibt es auch ein internes Überwachungsprotokoll zum Nachverfolgen von Aktivitäten innerhalb der Anwendung.

Metriken sind für Ihre IoT Central-Anwendung standardmäßig aktiviert, und Sie greifen über das Azure-Portal darauf zu. Die Azure Monitor-Datenplattform macht diese Metriken verfügbar und bietet Ihnen mehrere Möglichkeiten zur Interaktion damit. So können Sie beispielsweise Diagramme im Azure-Portal, eine REST-API oder aber Abfragen in PowerShell oder in der Azure CLI verwenden.

Die Azure-rollenbasierte Zugriffssteuerung verwaltet den Zugriff auf Metriken im Azure-Portal. Verwenden Sie das Azure-Portal, um der/dem IoT Central-Anwendung/-Ressourcengruppe/-Abonnement Benutzer hinzuzufügen, damit ihnen Zugriff gewährt wird. Sie müssen einen Benutzer im Portal auch dann hinzufügen, wenn er der IoT Central-Anwendung bereits hinzugefügt wurde. Verwenden Sie integrierte Azure-Rollen für eine präzisere Zugriffssteuerung.

Anzeigen von Metriken im Azure-Portal

Die folgende Beispielseite Metriken zeigt einen Plot der Anzahl von Geräten, die mit Ihrer IoT Central-Anwendung verbunden sind. Eine Liste der aktuell für IoT Central verfügbaren Metriken finden Sie unter Unterstützte Metriken von Azure Monitor.

So zeigen Sie IoT Central-Metriken im Portal an:

Navigieren Sie im Portal zu Ihrer IoT Central-Anwendungsressource. IoT Central-Ressourcen befinden sich standardmäßig in der Ressourcengruppe IOTC.
Wenn Sie ein Diagramm aus den Metriken Ihrer Anwendung erstellen möchten, wählen Sie im Abschnitt Überwachung die Option Metriken aus.

Exportieren von Protokollen und Metriken

Über die Seite Diagnoseeinstellungen können Sie das Exportieren von Metriken und Protokollen in verschiedene Ziele konfigurieren. Weitere Informationen dazu finden Sie unter Diagnoseeinstellungen in Azure Monitor.

Analysieren von Protokollen und Metriken

Über die Seite Workbooks können Sie Protokolle analysieren und visuelle Berichte erstellen. Weitere Informationen dazu finden Sie unter Azure Workbooks.

Metriken und Rechnungen

Metriken können von den Zahlen abweichen, die in Ihrer Azure IoT Central-Rechnung angezeigt werden. Diese Situation tritt aus Gründen wie:

Die Standard-Tarife von IoT Central enthalten zwei Geräte und kostenlose variierende Nachrichtenkontingente. Die kostenlosen Elemente sind in der Abrechnung nicht enthalten, werden in den Metriken aber dennoch gezählt.
IoT Central generiert automatisch eine einzige Testgeräte-ID für jede Gerätevorlage in der Anwendung. Diese Geräte-ID wird auf der Seite Testgerät verwalten für eine Gerätevorlage angezeigt. Sie können Ihre Gerätevorlagen vor der Veröffentlichung überprüfen, indem Sie Code generieren, der diese Testgeräte-IDs verwendet. Diese Geräte sind in der Abrechnung nicht enthalten, werden in den Metriken aber dennoch gezählt.
Während Metriken möglicherweise eine Teilmenge der Gerät-zu-Cloud-Kommunikation zeigen, wird die gesamte Kommunikation zwischen dem Gerät und der Cloud als Nachricht zur Abrechnung gezählt.

Überwachen von verbundenen IoT Edge-Geräten

Wenn Ihre Anwendung IoT Edge-Geräte verwendet, können Sie den Status Ihrer IoT Edge-Geräte und -Module mithilfe von Azure Monitor überwachen. Weitere Informationen finden Sie unter Sammeln und Transport von Azure IoT Edge-Metriken.