Membuat dan memprovisi perangkat IoT Edge dalam skala besar di Windows menggunakan kunci konten

Artikel
10/27/2021

Berlaku untuk ikon: IoT Edge 1.1

Penting

IoT Edge 1.1 tanggal akhir dukungan adalah 13 Desember 2022. Periksa Siklus Hidup Produk Microsoft untuk mendapatkan informasi tentang bagaimana produk, layanan, teknologi, atau API ini didukung. Untuk informasi selengkapnya tentang memperbarui ke versi terbaru IoT Edge, lihat Memperbarui IoT Edge.

Artikel ini menyediakan instruksi menyeluruh untuk satu provisi otomatis atau lebih perangkat IoT Edge Windows menggunakan kunci simetris. Anda dapat secara otomatis memprovisikan perangkat Azure IoT Edge dengan layanan provisi perangkat Azure IoT Hub (DPS). Jika Anda tidak terbiasa dengan proses provisi otomatis, tinjau gambaran umum provisi sebelum melanjutkan.

Catatan

Azure IoT Edge dengan kontainer Windows tidak akan didukung mulai Azure IoT Edge versi 1.2.

Pertimbangkan untuk menggunakan metode baru untuk menjalankan IoT Edge pada perangkat Windows, Azure IoT Edge untuk Linux di Windows.

Jika ingin menggunakan Azure IoT Edge untuk Linux di Windows, Anda dapat mengikuti langkah-langkah dalam panduan penggunaan yang terkait.

Tugasnya adalah sebagai berikut:

Buat pendaftaran individual untuk satu perangkat, atau pendaftaran grup untuk sekumpulan perangkat.
Instal runtime IoT Edge dan sambungkan ke IoT Hub.

Pengesahan kunci simetris adalah pendekatan sederhana untuk mengautentikasi perangkat dengan instans layanan provisi perangkat. Metode pengesahan ini merupakan pengalaman "Halo dunia" bagi pengembang yang baru dalam provisi perangkat, atau tidak memiliki persyaratan keamanan yang ketat. Pengesahan perangkat menggunakan TPM atau sertifikat X.509 lebih aman, dan harus digunakan untuk persyaratan keamanan yang lebih ketat.

Prasyarat

Sumber daya cloud

Hub IoT yang aktif
Instans layanan provisi perangkat IoT Hub di Azure, yang ditautkan ke hub IoT Anda
- Jika Anda tidak memiliki instans layanan provisi perangkat, Anda dapat mengikuti petunjuk di bagian Membuat layanan provisi perangkat IoT Hub baru dan Menautkan IoT hub dan layanan provisi perangkat Anda dari mulai cepat layanan provisi perangkat IoT Hub.
- Setelah menjalankan layanan provisi perangkat, salin nilai Cakupan ID dari halaman gambaran ringkasan. Anda menggunakan nilai ini saat mengonfigurasi runtime IoT Edge.

Persyaratan perangkat

Perangkat Windows fisik atau virtual untuk menjadi perangkat IoT Edge.

Anda harus menentukan ID pendaftaranunik untuk mengidentifikasi setiap perangkat. Anda dapat menggunakan alamat MAC, nomor seri, atau informasi unik apa pun dari perangkat. Sebagai contoh, Anda dapat menggunakan kombinasi alamat MAC dan nomor seri yang membentuk string berikut untuk ID pendaftaran: sn-007-888-abc-mac-a1-b2-c3-d4-e5-f6. Karakter yang valid adalah alfanumerik huruf kecil dan tanda hubung (-).

Buat pendaftaran DPS

Buat pendaftaran untuk memprovisikan satu atau beberapa perangkat melalui DPS.

Jika Anda ingin memprovisikan satu perangkat IoT Edge, buat pendaftaran individual. Jika Anda memerlukan provisi untuk beberapa perangkat, ikuti langkah-langkah untuk membuat pendaftaran grup DPS.

Ketika Anda membuat pendaftaran di DPS, Anda memiliki kesempatan untuk menyatakan status awal perangkat kembaran. Di perangkat kembaran, Anda dapat mengatur tag ke perangkat grup dengan metrik apa pun yang Anda butuhkan dalam solusi Anda, seperti wilayah, lingkungan, lokasi, atau jenis perangkat. Tag ini digunakan untuk membuat penyebaran otomatis.

Untuk informasi selengkapnya tentang pendaftaran di Layanan Provisi Perangkat, lihat Cara mengelola pendaftaran perangkat.

Pendaftaran individu
Pendaftaran grup

Membuat pendaftaran individu DPS

Tip

Langkah-langkah dalam artikel ini adalah untuk portal Microsoft Azure, tetapi Anda juga dapat membuat pendaftaran individu menggunakan Azure CLI. Untuk informasi selengkapnya, lihat az iot dps enrollment. Sebagai bagian dari perintah CLI, gunakan bendera berkemampuan edge untuk menentukan bahwa pendaftaran tersebut adalah untuk perangkat IoT Edge.

Di portal Microsoft Azure, buka instans Layanan provisi perangkat IoT Hub.
Di bawah Pengaturan, pilih Kelola pendaftaran.
Pilih Tambahkan pendaftaran individual lalu selesaikan langkah-langkah berikut untuk mengonfigurasi pendaftaran:
1. Untuk Mekanisme, pilih Kunci Konten.
2. Masukkan ID Pendaftaran unik untuk perangkat Anda.
3. Secara opsional, masukkan ID Perangkat IoT Hub untuk perangkat Anda. Anda dapat menggunakan ID perangkat untuk menargetkan perangkat individual untuk penyebaran modul. Jika Anda tidak memberikan ID perangkat, ID pendaftaran akan digunakan.
4. Pilih True untuk menyatakan bahwa pendaftarannya adalah untuk perangkat IoT Edge.
5. Secara opsional, tambahkan nilai tag ke Status Perangkat Kembar Awal. Anda dapat menggunakan tag untuk menargetkan grup perangkat untuk penyebaran modul. Contohnya:
```
{
   "tags": {
      "environment": "test"
   },
   "properties": {
      "desired": {}
   }
}
```
6. Pilih Simpan.
Salin nilai Kunci Primer pendaftaran individu untuk digunakan saat memasang runtime bahasa umum IoT Edge.

Sekarang setelah pendaftaran ada untuk perangkat ini, runtime bahasa umum IoT Edge dapat secara otomatis melakukan provisi perangkat selama penginstalan.

Membuat pendaftaran grup DPS

Tip

Langkah-langkah dalam artikel ini ditujukan untuk portal Microsoft Azure, tetapi Anda juga dapat membuat pendaftaran grup menggunakan Azure CLI. Untuk informasi selengkapnya, lihat az iot dps enrollment-group. Sebagai bagian dari perintah CLI, gunakan bendera berkemampuan edge untuk menentukan bahwa pendaftaran tersebut adalah untuk beberapa perangkat IoT Edge. Untuk pendaftaran grup, semua perangkat harus perangkat IoT Edge atau tidak ada yang bisa.

Di portal Microsoft Azure, buka instans Layanan provisi perangkat IoT Hub.
Di bawah Pengaturan, pilih Kelola pendaftaran.
Pilih Tambahkan pendaftaran individual lalu selesaikan langkah-langkah berikut untuk mengonfigurasi pendaftaran:
1. Masukkan Nama Grup.
2. Pilih Kunci Konten sebagai jenis pengesahan.
3. Pilih True untuk menyatakan bahwa pendaftarannya adalah untuk perangkat IoT Edge. Untuk pendaftaran grup, semua perangkat harus perangkat IoT Edge atau tidak ada yang bisa.
4. Secara opsional, tambahkan nilai tag ke Status Perangkat Kembar Awal. Anda dapat menggunakan tag untuk menargetkan grup perangkat untuk penyebaran modul. Contohnya:
```
{
   "tags": {
      "environment": "test"
   },
   "properties": {
      "desired": {}
   }
}
```
5. Pilih Simpan.
Salin nilai Kunci Primer grup pendaftaran Anda untuk digunakan saat membuat kunci perangkat untuk digunakan dengan pendaftaran grup.

Sekarang setelah grup pendaftaran ada, runtime bahasa umum IoT Edge dapat secara otomatis melakukan provisi perangkat selama penginstalan.

Membuat turunan kunci perangkat

Setiap perangkat yang disediakan sebagai bagian dari pendaftaran grup membutuhkan kunci perangkat turunan untuk melakukan pengesahan kunci konten dengan pendaftaran selama provisi.

Untuk menghasilkan kunci perangkat, gunakan kunci yang Anda salin dari grup pendaftaran DPS untuk menghitung HMAC-SHA256 dari ID pendaftaran unik untuk perangkat dan konversi hasilnya ke format Base64.

Penting

Jangan sertakan kunci pendaftaran primer atau sekunder Anda dalam kode perangkat Anda.

Di Windows, Anda dapat menggunakan PowerShell untuk menghasilkan kunci perangkat turunan seperti yang ditunjukkan dalam contoh berikut.

Ganti nilai KEY dengan Kunci Primer yang Anda catat sebelumnya.

Ganti nilai REG_ID dengan ID pendaftaran perangkat Anda.

$KEY='PASTE_YOUR_ENROLLMENT_KEY_HERE'
$REG_ID='PASTE_YOUR_REGISTRATION_ID_HERE'

$hmacsha256 = New-Object System.Security.Cryptography.HMACSHA256
$hmacsha256.key = [Convert]::FromBase64String($KEY)
$sig = $hmacsha256.ComputeHash([Text.Encoding]::ASCII.GetBytes($REG_ID))
$derivedkey = [Convert]::ToBase64String($sig)
echo "`n$derivedkey`n"

Berikut ini adalah sampel output kunci perangkat turunan:

Jsm0lyGpjaVYVP2g3FnmnmG9dI/9qU24wNoykUmermc=

Pasang IoT Edge

Di bagian ini, Anda menyiapkan Mesin Virtual atau perangkat fisik Windows untuk IoT Edge. Kemudian, Anda menginstal IoT Edge.

Azure IoT Edge mengandalkan runtime kontainer yang kompatibel dengan OCI. Moby, mesin berbasis Moby, termasuk dalam skrip instalasi, yang berarti tidak ada langkah tambahan untuk menginstal mesin.

Untuk menginstal runtime IoT Edge:

Jalankan PowerShell sebagai administrator.

Gunakan sesi AMD64 PowerShell, bukan PowerShell(x86). Jika Anda tidak yakin jenis sesi mana yang Anda gunakan, jalankan perintah berikut:
```
(Get-Process -Id $PID).StartInfo.EnvironmentVariables["PROCESSOR_ARCHITECTURE"]
```
Jalankan perintah Deploy-IoTEdge yang melakukan tugas berikut ini:
- Periksa apakah komputer Windows Anda menggunakan versi yang didukung
- Aktifkan fitur kontainer
- Unduh mesin Moby dan runtime IoT Edge
```
. {Invoke-WebRequest -useb https://aka.ms/iotedge-win} | Invoke-Expression; `
Deploy-IoTEdge
```
Hidupkan ulang perangkat Anda jika diminta.

Saat Anda memasang IoT Edge di sebuah perangkat, Anda dapat menggunakan parameter tambahan untuk mengubah prosesnya, termasuk:

Mengarahkan lalu lintas untuk melalui server proxy
Mengarahkan alat penginstal ke sebuah direktori lokal untuk penginstalan offline

Untuk informasi lebih lanjut parameter tambahan ini, lihat skrip PowerShell untuk IoT Edge dengan kontainer Windows.

Menentukan perangkat dengan identitas cloud-nya

Setelah runtime diinstal pada perangkat Anda, konfigurasikan perangkat dengan informasi yang digunakannya untuk terhubung ke layanan provisi perangkat dan IoT Hub.

Siapkan informasi berikut:

Nilai Cakupan ID DPS
ID Registrasi perangkat yang Anda buat
Baik Kunci Primer dari pendaftaran individu, maupun kunci turunan untuk perangkat yang menggunakan pendaftaran grup.

Buka jendela PowerShell dalam mode administrator. Pastikan untuk menggunakan sesi AMD64 PowerShell saat menginstal IoT Edge, bukan PowerShell (x86).
Perintah Initialize-IoTEdge mengonfigurasi runtime IoT Edge pada mesin Anda. Perintah default untuk provisi manual dengan kontainer Windows, jadi gunakan bendera -DpsSymmetricKey untuk menggunakan provisi otomatis dengan autentikasi kunci konten.

Ganti nilai pengganti untuk paste_scope_id_here, paste_registration_id_here, dan paste_symmetric_key_here dengan data yang Anda kumpulkan sebelumnya.
```
. {Invoke-WebRequest -useb https://aka.ms/iotedge-win} | Invoke-Expression; `
Initialize-IoTEdge -DpsSymmetricKey -ScopeId paste_scope_id_here -RegistrationId paste_registration_id_here -SymmetricKey paste_symmetric key_here
```

Verifikasi keberhasilan penginstalan

Jika runtime berhasil dimulai, Anda dapat masuk ke Azure IoT Hub Anda dan mulai menggunakan modul IoT Edge ke perangkat Anda.

Pendaftaran individu
Pendaftaran grup

Anda dapat memverifikasi bahwa pendaftaran individual yang Anda buat di layanan provisi perangkat telah digunakan. Navigasikan ke instans layanan provisi perangkat Anda di portal Microsoft Azure. Buka detail pendaftaran untuk pendaftaran individual yang Anda buat. Perhatikan bahwa status pendaftaran telah ditetapkan dan ID perangkat telah dicantumkan.

Gunakan perintah berikut di perangkat Anda untuk memverifikasi bahwa IoT Edge terpasang dan berhasil dimulai.

Periksa status layanan IoT Edge.

Get-Service iotedge

Periksa log layanan.

. {Invoke-WebRequest -useb aka.ms/iotedge-win} | Invoke-Expression; Get-IoTEdgeLog

Daftarkan modul yang sedang berjalan.

iotedge list

Langkah berikutnya

Proses pendaftaran layanan provisi perangkat memungkinkan Anda mengatur ID perangkat dan tag perangkat kembaran pada saat yang sama saat Anda memprovisikan perangkat baru. Anda dapat menggunakan nilai tersebut untuk menargetkan masing-masing perangkat atau grup perangkat menggunakan manajemen perangkat otomatis. Pelajari cara Menerapkan dan memantau modul IoT Edge dalam skala besar menggunakan portal Azure atau menggunakan Azure CLI.