Creación y aprovisionamiento de dispositivos IoT Edge a gran escala con un TPM en Linux

  • Artículo

Se aplica a:Marca de verificación de IoT Edge 1.5 IoT Edge 1.5 marca de verificación de IoT Edge 1.4 IoT Edge 1.4

Importante

IoT Edge 1.5 LTS e IoT Edge 1.4 LTS se versiones compatibles. IoT Edge 1.4 LTS finaliza el ciclo de vida el 12 de noviembre de 2024. Si está usando una versión anterior, consulte Actualización de IoT Edge.

En este artículo se proporcionan instrucciones para aprovisionar automáticamente un dispositivo Azure IoT Edge para Linux mediante un Módulo de plataforma segura (TPM). Puede aprovisionar dispositivos IoT Edge de forma automática con el Azure IoT Hub Device Provisioning Service. Si no está familiarizado con el proceso de aprovisionamiento automático, revise la información general sobre el aprovisionamiento antes de continuar.

En este artículo, se describen dos metodologías. Seleccione sus preferencias en función de la arquitectura de la solución:

  • Aprovisionamiento automático de un dispositivo Linux con hardware de TPM físico.
  • Aprovisionamiento automático de una máquina virtual (VM) Linux con un TPM simulado que se ejecuta en una máquina Windows de desarrollo con Hyper-V habilitado. Se recomienda usar esta metodología solo como escenario de prueba. Un TPM simulado no ofrece la misma seguridad que un TPM físico.

Las instrucciones varían en función de la metodología, por lo que debe asegurarse de que se encuentra en la pestaña correcta en el futuro.

Las tareas son las siguientes:

  1. Recuperar la información de aprovisionamiento del TPM.
  2. Crear una inscripción individual para el dispositivo en una instancia del servicio de aprovisionamiento de dispositivos de IoT Hub.
  3. Instalar el entorno de ejecución de IoT Edge y conectar el dispositivo al centro de IoT.

Requisitos previos

Recursos en la nube

  • Un centro de IoT activo.
  • Una instancia de IoT Hub Device Provisioning Service en Azure que esté vinculada a IoT Hub.

Requisitos del dispositivo

Un dispositivo Linux físico para que sea el dispositivo IoT Edge físico.

Si es un fabricante de dispositivos, consulte las instrucciones para integrar un TPM en el proceso de fabricación.

Nota:

Se necesita TPM 2.0 cuando se usa la atestación de TPM con el servicio de aprovisionamiento de dispositivos.

Solo puede crear inscripciones individuales, no de grupo, del servicio de aprovisionamiento de dispositivos cuando se usa un TPM.

Configurar su dispositivo

Si usa un dispositivo físico Linux con un TPM, no hay ningún paso adicional para configurar el dispositivo.

Está listo para continuar.

Recuperación de la información de aprovisionamiento del TPM

Nota:

En este artículo se ha usado antes la herramienta tpm_device_provision del SDK de C para IoT con el fin de generar información de aprovisionamiento. Si ya antes usaba esta herramienta, tenga en cuenta que los pasos siguientes generan un identificador de registro diferente para la misma clave de aprobación pública. Si necesita volver a crear el identificador de registro como antes, consulte cómo la genera la herramienta tpm_device_provision del SDK de C. Asegúrese de que el identificador de registro para la inscripción individual en DPS coincide con el identificador de registro que el dispositivo IoT Edge está configurado para usar.

En esta sección, usará las herramientas de software de TPM2 para recuperar la clave de aprobación del TPM y, a continuación, generará un identificador de registro único. Esta sección se corresponde con el Paso 3: El dispositivo tiene instalado el firmware y el software del proceso para integrar un TPM en el proceso de fabricación.

Instalación de las herramientas de TPM2

Inicie sesión en el dispositivo e instale el paquete tpm2-tools.

sudo apt-get install tpm2-tools

Ejecute el siguiente script para leer la clave de aprobación y crear una si aún no existe.

#!/bin/sh
if [ "$USER" != "root" ]; then
  SUDO="sudo "
fi

$SUDO tpm2_readpublic -Q -c 0x81010001 -o ek.pub 2> /dev/null
if [ $? -gt 0 ]; then
  # Create the endorsement key (EK)
  $SUDO tpm2_createek -c 0x81010001 -G rsa -u ek.pub

  # Create the storage root key (SRK)
  $SUDO tpm2_createprimary -Q -C o -c srk.ctx > /dev/null

  # make the SRK persistent
  $SUDO tpm2_evictcontrol -c srk.ctx 0x81000001 > /dev/null

  # open transient handle space for the TPM
  $SUDO tpm2_flushcontext -t > /dev/null
fi

printf "Gathering the registration information...\n\nRegistration Id:\n%s\n\nEndorsement Key:\n%s\n" $(sha256sum -b ek.pub | cut -d' ' -f1 | sed -e 's/[^[:alnum:]]//g') $(base64 -w0 ek.pub)
$SUDO rm ek.pub srk.ctx 2> /dev/null

En la ventana de salida se muestra la Clave de aprobación y el Id. de registro único. Copie estos valores; los usará más adelante cuando cree una inscripción individual para el dispositivo en el servicio de aprovisionamiento de dispositivos.

Cuando tenga el identificador de registro y la clave de aprobación, estará listo para continuar.

Sugerencia

Si no quiere usar las herramientas de software de TPM2 para recuperar la información, debe encontrar otra manera de obtener la información de aprovisionamiento. La clave de aprobación, que es única para cada chip de TPM, se obtiene del fabricante del chip de TPM asociado a ella. Puede derivar un identificador de registro único para el dispositivo TPM. Por ejemplo, como se muestra en párrafos anteriores, puede crear un hash SHA-256 de la clave de aprobación.

Creación de una inscripción del servicio de aprovisionamiento de dispositivos

Use la información de aprovisionamiento del TPM para crear una inscripción individual en servicio de aprovisionamiento de dispositivos.

Al crear una inscripción en el servicio de aprovisionamiento de dispositivos, tiene la oportunidad de declarar un estado inicial de dispositivo gemelo. En el dispositivo gemelo, puede establecer etiquetas para agrupar dispositivos por cualquier métrica utilizada en la solución, como la región, el entorno, la ubicación o el tipo de dispositivo. Estas etiquetas se usan para crear implementaciones automáticas.

Sugerencia

Los pasos de este artículo son para Azure Portal, pero también puede crear inscripciones individuales mediante la CLI de Azure. Para más información, consulte az iot dps enrollment. Como parte del comando de la CLI, use la marca edge-enabled para especificar que la inscripción es para un dispositivo de IoT Edge.

  1. En Azure Portal, vaya a la instancia del servicio de aprovisionamiento de dispositivos de IoT Hub.

  2. En Configuración, seleccione Administrar inscripciones.

  3. Seleccione Agregar inscripción individual y, después, complete los pasos siguientes para configurar la inscripción:

    1. En Mecanismo, seleccione TPM.

    2. Proporcione la clave de aprobación y el identificador de registro que ha copiado de la máquina virtual o el dispositivo físico.

    3. Si quiere, proporcione un identificador para el dispositivo. Si no proporciona un id. de dispositivo, se usará el id. de registro.

    4. Seleccione Verdadero para declarar que esta máquina virtual o el dispositivo físico es un dispositivo IoT Edge.

    5. Elija el centro de IoT vinculado al que quiere conectar el dispositivo o seleccione Link to new IoT Hub (Vincular a un nuevo centro de IoT). Puede elegir varios centros y el dispositivo se asignará a uno de ellos según la directiva de asignación seleccionada.

    6. Si quiere, agregue un valor de etiqueta a Estado inicial de dispositivo gemelo. Puede usar etiquetas para los grupos de dispositivos de destino para la implementación del módulo. Para más información, consulte Implementación de módulos IoT Edge a escala.

    7. Seleccione Guardar.

Ahora que existe una inscripción para este dispositivo, el entorno de ejecución de Azure IoT Edge puede aprovisionar automáticamente el dispositivo durante la instalación.

Instalación de IoT Edge

En esta sección, preparará su máquina virtual Linux o dispositivo físico para IoT Edge. A continuación, instalará IoT Edge.

Ejecute los comandos siguientes para agregar el repositorio de paquetes y luego agregue la clave de firma de paquetes de Microsoft a la lista de claves de confianza.

Importante

El 30 de junio de 2022 se retiró Raspberry Pi OS Stretch de la lista de soporte técnico del sistema operativo de nivel 1. Para evitar posibles vulnerabilidades de seguridad, actualice el sistema operativo del host a Bullseye.

La instalación se puede realizar con unos pocos comandos. Abra un terminal y ejecute los comandos siguientes:

  • 22.04:

    wget https://packages.microsoft.com/config/ubuntu/22.04/packages-microsoft-prod.deb -O packages-microsoft-prod.deb
sudo dpkg -i packages-microsoft-prod.deb
rm packages-microsoft-prod.deb

  • 20.04:

    wget https://packages.microsoft.com/config/ubuntu/20.04/packages-microsoft-prod.deb -O packages-microsoft-prod.deb
sudo dpkg -i packages-microsoft-prod.deb
rm packages-microsoft-prod.deb

Para obtener más información sobre las versiones del sistema operativo, consulte Plataformas compatibles con Azure IoT Edge.

Nota:

Los paquetes de software de Azure IoT Edge están sujetos a los términos de licencia que se encuentran cada paquete (usr/share/doc/{package-name} o el directorio LICENSE). Lea los términos de licencia antes de usar el paquete. La instalación y el uso de un paquete constituyen la aceptación de estos términos. Si no acepta los términos de licencia, no utilice ese paquete.

Instalación de un motor del contenedor

Azure IoT Edge utiliza un runtime de contenedor compatible con OCI. En los escenarios de producción, se recomienda utilizar el motor de Moby. El motor de Moby es el único motor de contenedor compatible oficialmente con IoT Edge. Las imágenes de contenedor de Docker CE/EE son totalmente compatibles con el entorno de ejecución de Moby.

Instale el motor de Moby.

sudo apt-get update; \
  sudo apt-get install moby-engine

De manera predeterminada, el motor del contenedor no establece límites de tamaño de registro de contenedor. Con el tiempo, esto puede hacer que el dispositivo se llene con registros y se quede sin espacio en disco. Sin embargo, puede configurar el registro para que se muestre localmente, aunque es opcional. Para más información sobre la configuración de registro, consulte Lista de comprobación de implementación de producción.

En los pasos siguientes se muestra cómo configurar el contenedor para que use el localcontrolador de registro como mecanismo de registro.

  1. Crear o editar el archivo de configuración de daemons de Docker existente

    sudo nano /etc/docker/daemon.json

  2. Establezca el controlador de registro predeterminado en el controlador de registro local, tal como se muestra en el ejemplo.

       {
      "log-driver": "local"
   }

  3. Reinicie el motor de contenedores para que se apliquen los cambios.

    sudo systemctl restart docker

Instalación del entorno de ejecución de IoT Edge

El servicio IoT Edge proporciona y mantiene los estándares de seguridad en el dispositivo IoT Edge. El servicio se inicia en cada arranque e inicia el resto del entorno de ejecución de IoT Edge para arrancar el dispositivo.

Nota:

A partir de la versión 1.2, el servicio de identidad de IoT controla el aprovisionamiento y la administración de identidades para IoT Edge y otros componentes de dispositivo que necesitan comunicarse con IoT Hub.

Los pasos de esta sección representan el proceso habitual para instalar la versión más reciente de IoT Edge en un dispositivo que tenga conexión a Internet. Si tiene que instalar una versión específica, como una versión preliminar, o tiene que realizar la instalación mientras está sin conexión, siga los pasos de Instalación sin conexión o de una versión específica, más adelante en este artículo.

Sugerencia

Si ya tiene un dispositivo IoT Edge que ejecuta una versión anterior y desea actualizar a la versión más reciente, siga los pasos descritos en Actualización del demonio de seguridad de IoT Edge y el entorno de ejecución. Las versiones más recientes son suficientemente diferentes de las versiones anteriores de IoT Edge para que sean necesarios pasos específicos para la actualización.

Instale la versión más reciente de IoT Edge y el paquete de servicio de identidad de IoT (si aún no está actualizado):

  • 22.04:

    sudo apt-get update; \
   sudo apt-get install aziot-edge

  • 20.04:

    sudo apt-get update; \
   sudo apt-get install aziot-edge defender-iot-micro-agent-edge

El paquete defender-iot-micro-agent-edge opcional incluye el micro agente de seguridad de Microsoft Defender para IoT que proporciona visibilidad del punto de conexión en la administración de la posición de seguridad, vulnerabilidades, detección de amenazas, administración de flotas y mucho más para ayudarle a proteger los dispositivos de IoT Edge. Se recomienda instalar el microagente con el agente de Edge para habilitar la supervisión de seguridad y la protección de los dispositivos de Edge. Para obtener más información sobre Microsoft Defender para IoT, consulte ¿Qué es Microsoft Defender para IoT para generadores de dispositivos?.

Aprovisionamiento del dispositivo con su identidad de nube

Una vez que el entorno de ejecución está instalado en el dispositivo, configure el dispositivo con la información que usa para conectarse al servicio de aprovisionamiento de dispositivos y a IoT Hub.

Tome el Ámbito de identificador del servicio de aprovisionamiento de dispositivos y el Identificador de registro del dispositivo que se han recopilado antes.

Cree un archivo de configuración para el dispositivo en función de un archivo de plantilla que se proporciona como parte de la instalación de IoT Edge.

sudo cp /etc/aziot/config.toml.edge.template /etc/aziot/config.toml

Abra el archivo de configuración en el dispositivo IoT Edge.

sudo nano /etc/aziot/config.toml

  1. Busque la sección configuraciones de aprovisionamiento del archivo. Quite las marcas de comentario del aprovisionamiento TPM y asegúrese de que cualquier otra línea de aprovisionamiento esté comentada.

    # DPS provisioning with TPM
[provisioning]
source = "dps"
global_endpoint = "https://global.azure-devices-provisioning.net"
id_scope = "DPS_ID_SCOPE_HERE"

# Uncomment to send a custom payload during DPS registration
# payload = { uri = "PATH_TO_JSON_FILE" }

[provisioning.attestation]
method = "tpm"
registration_id = "REGISTRATION_ID_HERE"

# auto_reprovisioning_mode = Dynamic

  2. Actualice los valores de id_scope y registration_id con la información del servicio de aprovisionamiento de dispositivos y del dispositivo. El valor scope_id es el ámbito de identificador de la página de información general de la instancia del servicio de aprovisionamiento de dispositivos.

    Para obtener más información sobre las opciones de configuración de aprovisionamiento, consulte Configuración del dispositivo IoT Edge.

  3. Opcionalmente, busque la sección del modo de reaprovisionamiento automático del archivo. Use el parámetro auto_reprovisioning_mode para configurar el comportamiento de reaprovisionamiento del dispositivo. Dinámico: vuelve a aprovisionar cuando el dispositivo detecta que puede haberse movido de una instancia de IoT Hub a otra. Este es el valor predeterminado. AlwaysOnStartup: volver a aprovisionar cuando se reinicia el dispositivo o un bloqueo hace que los daemons se reinicien. OnErrorOnly: el reaprovisionamiento del dispositivo nunca se desencadena automáticamente. Cada modo tiene una reserva de reaprovisionamiento de dispositivo implícita si este no puede conectarse a IoT Hub durante el aprovisionamiento de identidades debido a errores de conectividad. Para más información, consulte Conceptos sobre el reaprovisionamiento de dispositivos de IoT Hub.

  4. Opcionalmente, quite el comentario del parámetro payload para especificar la ruta de acceso a un archivo JSON local. El contenido del archivo se enviará a DPS como datos adicionales cuando el dispositivo se registre. Esto es útil para la asignación personalizada. Por ejemplo, si desea asignar los dispositivos en función de un identificador de modelo de IoT Plug and Play sin intervención humana.

  5. Guarde y cierre el archivo.

Conceder acceso a IoT Edge en el TPM

El entorno de ejecución de IoT Edge se basa en un servicio TPM que accede mediante agentes al TPM de un dispositivo. Para que este servicio aprovisione automáticamente el dispositivo, necesita acceso al TPM.

Puede conceder acceso al TPM mediante la invalidación de la configuración de systemd para que el servicio aziottpm tenga privilegios raíz. Si no desea elevar los privilegios de servicio, también puede usar los pasos siguientes para proporcionar manualmente el acceso TPM.

  1. Cree una nueva regla que conceda al entorno de ejecución de IoT Edge acceso a tpm0 y tpmrm0.

    sudo touch /etc/udev/rules.d/tpmaccess.rules

  2. Abra el archivo de reglas.

    sudo nano /etc/udev/rules.d/tpmaccess.rules

  3. Copie la siguiente información de acceso en el archivo de reglas. Es posible que tpmrm0 no esté presente en los dispositivos que usan un kernel anterior a 4.12. Los dispositivos que no tengan tpmrm0 omitirán esa regla de forma segura.

    # allow aziottpm access to tpm0 and tpmrm0
KERNEL=="tpm0", SUBSYSTEM=="tpm", OWNER="aziottpm", MODE="0660"
KERNEL=="tpmrm0", SUBSYSTEM=="tpmrm", OWNER="aziottpm", MODE="0660"

  4. Guarde y cierre el archivo.

  5. Desencadene el sistema udev para evaluar la nueva regla.

    /bin/udevadm trigger --subsystem-match=tpm --subsystem-match=tpmrm

  6. Compruebe que la regla se haya aplicado correctamente.

    ls -l /dev/tpm*

    Una salida correcta tiene el siguiente aspecto:

    crw-rw---- 1 root aziottpm 10, 224 Jul 20 16:27 /dev/tpm0
crw-rw---- 1 root aziottpm 10, 224 Jul 20 16:27 /dev/tpmrm0

    Si no ve que se hayan aplicado los permisos correctos, intente reiniciar la máquina para actualizar udev.

  7. Aplique los cambios de configuración realizados en el dispositivo.

    sudo iotedge config apply

Comprobación de instalación correcta

Si todavía no lo ha hecho, aplique los cambios de configuración realizados en el dispositivo.

sudo iotedge config apply

Compruebe que el entorno de ejecución de IoT Edge esté en ejecución.

sudo iotedge system status

Examine los registros del daemon.

sudo iotedge system logs

Si ve errores de aprovisionamiento, es posible que los cambios de configuración no hayan surtido efecto todavía. Pruebe a reiniciar el demonio de IoT Edge.

sudo systemctl daemon-reload

O bien, pruebe a reiniciar la máquina virtual para ver si los cambios surten efecto con un inicio nuevo.

Si el entorno de ejecución se ha iniciado correctamente, puede entrar en la instancia de IoT Hub y ver que el nuevo dispositivo se aprovisionado automáticamente. Ahora el dispositivo está listo para ejecutar módulos de IoT Edge.

Enumere los módulos en ejecución.

iotedge list

Puede comprobar que se ha utilizado la inscripción individual que ha creado en el servicio de aprovisionamiento de dispositivos. En Azure Portal, vaya a la instancia de Device Provisioning Service. Abra los detalles de la inscripción para la inscripción individual que ha creado. Tenga en cuenta que el estado de la inscripción está asignado y se muestra el id. de dispositivo.

Pasos siguientes

El proceso de inscripción en Device Provisioning Service permite establecer el id. de dispositivo y las etiquetas del dispositivo gemelo al mismo tiempo que se aprovisiona el nuevo dispositivo. Puede usar esos valores para dirigirse a dispositivos individuales o grupos de dispositivos con la administración automática de dispositivos.

Aprenda a implementar y supervisar módulos de IoT Edge a gran escala mediante Azure Portal o la CLI de Azure.