Creare ed effettuare il provisioning di dispositivi IoT Edge su larga scala con un TPM in Linux

  • Articolo

Si applica a:Segno di spunta IoT Edge 1.4 IoT Edge 1.4

Importante

IoT Edge 1.4 è la versione supportata. Se si usa una versione precedente, vedere Aggiornare IoT Edge.

Questo articolo fornisce istruzioni per il provisioning automatico di un dispositivo Azure IoT Edge per Linux usando un modulo TPM (Trusted Platform Module). È possibile effettuare automaticamente il provisioning dei dispositivi IoT Edge con il servizio device provisioning hub IoT di Azure. Se non si ha familiarità con il processo di provisioning automatico, esaminare la panoramica del provisioning prima di continuare.

Questo articolo illustra due metodologie. Selezionare le preferenze in base all'architettura della soluzione:

  • Provisioning automatico di un dispositivo Linux con hardware TPM fisico.
  • Eseguire il provisioning automatico di una macchina virtuale Linux con un TPM simulato in esecuzione in un computer di sviluppo Windows con Hyper-V abilitato. È consigliabile usare questa metodologia solo come scenario di test. Un TPM simulato non offre la stessa sicurezza di un TPM fisico.

Le istruzioni differiscono in base alla metodologia, quindi assicurarsi di entrare nella scheda corretta in futuro.

Le attività sono le seguenti:

  1. Recuperare le informazioni di provisioning per il TPM.
  2. Creare una registrazione singola per il dispositivo in un'istanza del servizio di provisioning di dispositivi hub IoT.
  3. Installare il runtime di IoT Edge e connettere il dispositivo all'hub IoT.

Prerequisiti

Risorse cloud

  • Un hub IoT attivo
  • Istanza del servizio device provisioning hub IoT in Azure, collegata all'hub IoT
    • Se non si dispone di un'istanza del servizio device provisioning, è possibile seguire le istruzioni riportate nella guida introduttiva Creare un nuovo servizio di provisioning dei dispositivi hub IoT e Collegare l'hub IoT e il servizio device provisioning dell'avvio rapido hub IoT servizio device provisioning.
    • Dopo aver eseguito il servizio device provisioning, copiare il valore di Ambito ID dalla pagina di panoramica. Questo valore viene usato quando si configura il runtime IoT Edge.

Requisiti dei dispositivi

Un dispositivo Linux fisico che sia il dispositivo IoT Edge.

Se si è un produttore di dispositivi, fare riferimento a indicazioni sull'integrazione di un TPM nel processo di produzione.

Nota

TPM 2.0 è necessario quando si usa l'attestazione TPM con il servizio device provisioning.

È possibile creare registrazioni individuali, non di gruppo, del servizio device provisioning solo quando si usa un TPM.

Configurare il dispositivo

Se si usa un dispositivo Linux fisico con un TPM, non sono previsti passaggi aggiuntivi per configurare il dispositivo.

Sei pronto per continuare.

Recuperare le informazioni di provisioning per il TPM

Nota

Questo articolo usava in precedenza lo tpm_device_provision strumento da IoT C SDK per generare informazioni di provisioning. Se in precedenza si basava su tale strumento, tenere presente i passaggi seguenti per generare un ID di registrazione diverso per la stessa chiave di verifica dell'autenticità pubblica. Se è necessario ricreare l'ID di registrazione come prima, vedere come lo strumento di tpm_device_provision dell'SDK C lo genera. Assicurarsi che l'ID di registrazione per la registrazione singola nel servizio Device Provisioning corrisponda all'ID di rigiserazione configurato per l'uso del dispositivo IoT Edge.

In questa sezione si usano gli strumenti software TPM2 per recuperare la chiave di verifica dell'autenticità per il TPM e quindi generare un ID di registrazione univoco. Questa sezione corrisponde al passaggio 3: Il dispositivo ha firmware e software installato nel processo per l'integrazione di un TPM nel processo di produzione.

Installare gli strumenti TPM2

Accedere al dispositivo e installare il tpm2-tools pacchetto.

sudo apt-get install tpm2-tools

Eseguire lo script seguente per leggere la chiave di verifica dell'autenticità, crearne una se non esiste già.

#!/bin/sh
if [ "$USER" != "root" ]; then
  SUDO="sudo "
fi

$SUDO tpm2_readpublic -Q -c 0x81010001 -o ek.pub 2> /dev/null
if [ $? -gt 0 ]; then
  # Create the endorsement key (EK)
  $SUDO tpm2_createek -c 0x81010001 -G rsa -u ek.pub

  # Create the storage root key (SRK)
  $SUDO tpm2_createprimary -Q -C o -c srk.ctx > /dev/null

  # make the SRK persistent
  $SUDO tpm2_evictcontrol -c srk.ctx 0x81000001 > /dev/null

  # open transient handle space for the TPM
  $SUDO tpm2_flushcontext -t > /dev/null
fi

printf "Gathering the registration information...\n\nRegistration Id:\n%s\n\nEndorsement Key:\n%s\n" $(sha256sum -b ek.pub | cut -d' ' -f1 | sed -e 's/[^[:alnum:]]//g') $(base64 -w0 ek.pub)
$SUDO rm ek.pub srk.ctx 2> /dev/null

La finestra di output visualizza la chiave di verifica dell'autenticità del dispositivo e un ID registrazione univoco. Copiare questi valori per usarli in un secondo momento quando si crea una registrazione singola per il dispositivo nel servizio device provisioning.

Dopo aver ottenuto l'ID di registrazione e la chiave di verifica dell'autenticità, si è pronti per continuare.

Suggerimento

Se non si vogliono usare gli strumenti software TPM2 per recuperare le informazioni, è necessario trovare un altro modo per ottenere le informazioni di provisioning. La chiave di verifica dell'autenticità, univoca per ogni chip TPM, viene ottenuta dal produttore del chip TPM associato. È possibile derivare un ID di registrazione univoco per il dispositivo TPM. Ad esempio, come illustrato in precedenza, è possibile creare un hash SHA-256 della chiave di verifica dell'autenticità.

Creare una registrazione del servizio device provisioning

Usare le informazioni di provisioning del TPM per creare una registrazione singola nel servizio device provisioning.

Quando si crea una registrazione nel servizio device provisioning, si ha la possibilità di dichiarare uno stato iniziale del dispositivo gemello. Nel dispositivo gemello è possibile impostare tag per raggruppare i dispositivi in base a qualsiasi metrica usata nella soluzione, ad esempio area, ambiente, posizione o tipo di dispositivo. Questi tag vengono usati per creare distribuzioni automatiche.

Suggerimento

I passaggi descritti in questo articolo sono relativi alla portale di Azure, ma è anche possibile creare registrazioni singole usando l'interfaccia della riga di comando di Azure. Per altre informazioni, vedere az iot dps enrollment. Come parte del comando dell'interfaccia della riga di comando, usare il flag abilitato per edge per specificare che la registrazione è per un dispositivo IoT Edge.

  1. Nella portale di Azure passare all'istanza del servizio device provisioning hub IoT.

  2. In le impostazioni selezionare Gestisci registrazioni.

  3. Selezionare Aggiungi registrazione singola e quindi completare la procedura seguente per configurare la registrazione:

    1. In Meccanismo selezionare TPM.

    2. Specificare la chiave di verifica dell'autenticità e l'ID registrazione copiati dalla macchina virtuale o dal dispositivo fisico.

    3. Specificare un ID per il dispositivo, se necessario. Se non si specifica un ID dispositivo, viene usato l'ID di registrazione.

    4. Selezionare True per dichiarare che la macchina virtuale o il dispositivo fisico è un dispositivo IoT Edge.

    5. Scegliere l'hub IoT collegato a cui si vuole connettere il dispositivo oppure selezionare Collega a un nuovo hub IoT. È possibile scegliere più hub e il dispositivo verrà assegnato a uno di essi in base ai criteri di assegnazione selezionati.

    6. Aggiungere un valore di tag allo stato iniziale del dispositivo gemello, se necessario. È possibile usare tag per identificare come destinazione gruppi di dispositivi per la distribuzione di moduli. Per altre informazioni, vedere Distribuire moduli IoT Edge su larga scala.

    7. Seleziona Salva.

Ora che esiste una registrazione per questo dispositivo, il runtime di IoT Edge può effettuare automaticamente il provisioning del dispositivo durante l'installazione.

Installare IoT Edge

In questa sezione si prepara la macchina virtuale Linux o il dispositivo fisico per IoT Edge. Installare quindi IoT Edge.

Eseguire i comandi seguenti per aggiungere il repository dei pacchetti e quindi aggiungere la chiave di firma del pacchetto Microsoft all'elenco di chiavi attendibili.

Importante

Il 30 giugno 2022 Raspberry Pi OS Stretch è stato ritirato dall'elenco di supporto del sistema operativo di livello 1. Per evitare potenziali vulnerabilità di sicurezza, aggiornare il sistema operativo host a Bullseye.

L'installazione può essere eseguita con alcuni comandi. Aprire un terminale ed eseguire i comandi seguenti:

  • 22.04:

    wget https://packages.microsoft.com/config/ubuntu/22.04/packages-microsoft-prod.deb -O packages-microsoft-prod.deb
sudo dpkg -i packages-microsoft-prod.deb
rm packages-microsoft-prod.deb

  • 20.04:

    wget https://packages.microsoft.com/config/ubuntu/20.04/packages-microsoft-prod.deb -O packages-microsoft-prod.deb
sudo dpkg -i packages-microsoft-prod.deb
rm packages-microsoft-prod.deb

Per altre informazioni sulle versioni del sistema operativo, vedere Piattaforme supportate da Azure IoT Edge.

Nota

I pacchetti software di Azure IoT Edge sono soggetti alle condizioni di licenza disponibili in ogni pacchetto (usr/share/doc/{package-name} o nella LICENSE directory). Leggere le condizioni di licenza prima di usare un pacchetto. L'installazione e l'uso di un pacchetto costituiscono l'accettazione di queste condizioni. Se non si accettano le condizioni di licenza, non usare tale pacchetto.

Installare un motore di contenitore

Azure IoT Edge si basa su un runtime del contenitore compatibile con OCI. Per gli scenari di produzione, è consigliabile usare il motore Moby. Il motore Moby è l'unico motore di contenitori ufficialmente supportato con IoT Edge. Le immagini del contenitore Docker CE/EE sono compatibili con il runtime di Moby.

Installare il motore Moby.

sudo apt-get update; \
  sudo apt-get install moby-engine

Per impostazione predefinita, il motore del contenitore non imposta i limiti delle dimensioni del log del contenitore. Nel corso del tempo questo può causare il riempimento del dispositivo con i log e l'esaurimento dello spazio su disco. Tuttavia, è possibile configurare il log per visualizzare localmente, anche se è facoltativo. Per altre informazioni sulla configurazione della registrazione, vedere Elenco di controllo per la distribuzione di produzione.

I passaggi seguenti illustrano come configurare il contenitore per l'uso local del driver di registrazione come meccanismo di registrazione.

  1. Creare o modificare il file di configurazione del daemon Docker esistente

    sudo nano /etc/docker/daemon.json

  2. Impostare il driver di registrazione predefinito sul local driver di registrazione, come illustrato nell'esempio.

       {
      "log-driver": "local"
   }

  3. Riavviare il motore del contenitore per rendere effettive le modifiche.

    sudo systemctl restart docker

Installare il runtime IoT Edge.

Il servizio IoT Edge fornisce e gestisce gli standard di sicurezza nel dispositivo IoT Edge. Il servizio viene avviato a ogni avvio e avvia il dispositivo avviando il resto del runtime di IoT Edge.

Nota

A partire dalla versione 1.2, il servizio di gestione delle identità IoT gestisce il provisioning e la gestione delle identità per IoT Edge e per altri componenti del dispositivo che devono comunicare con hub IoT.

I passaggi descritti in questa sezione rappresentano il processo tipico per installare la versione più recente di IoT Edge in un dispositivo con connessione Internet. Se è necessario installare una versione specifica, ad esempio una versione non definitiva o se è necessario eseguire l'installazione offline, seguire i passaggi di installazione della versione offline o specifici più avanti in questo articolo.

Suggerimento

Se si dispone già di un dispositivo IoT Edge che esegue una versione precedente e si vuole eseguire l'aggiornamento alla versione più recente, usare la procedura descritta in Aggiornare il daemon di sicurezza e il runtime di IoT Edge. Le versioni successive sono sufficientemente diverse dalle versioni precedenti di IoT Edge che sono necessari passaggi specifici per l'aggiornamento.

Installare la versione più recente di IoT Edge e il pacchetto del servizio di gestione delle identità IoT (se non è già aggiornato):

  • 22.04:

    sudo apt-get update; \
   sudo apt-get install aziot-edge

  • 20.04:

    sudo apt-get update; \
   sudo apt-get install aziot-edge defender-iot-micro-agent-edge

Il pacchetto facoltativo defender-iot-micro-agent-edge include il micro-agente di sicurezza di Microsoft Defender per IoT che fornisce visibilità sugli endpoint sulla gestione del comportamento di sicurezza, sulle vulnerabilità, sul rilevamento delle minacce, sulla gestione della flotta e altro ancora per proteggere i dispositivi IoT Edge. È consigliabile installare il micro agente con l'agente Edge per abilitare il monitoraggio della sicurezza e la protezione avanzata dei dispositivi Perimetrali. Per altre informazioni su Microsoft Defender per IoT, vedere Che cos'è Microsoft Defender per IoT per i generatori di dispositivi.

Effettuare il provisioning del dispositivo con la relativa identità cloud

Dopo aver installato il runtime nel dispositivo, configurare il dispositivo con le informazioni usate per connettersi al servizio device provisioning e hub IoT.

Conoscere l'ambito dell'ID servizio di provisioning del dispositivo e l'ID registrazione del dispositivo raccolti in precedenza.

Creare un file di configurazione per il dispositivo in base a un file modello fornito come parte dell'installazione di IoT Edge.

sudo cp /etc/aziot/config.toml.edge.template /etc/aziot/config.toml

Aprire il file di configurazione nel dispositivo IoT Edge.

sudo nano /etc/aziot/config.toml

  1. Trovare la sezione configurazioni di provisioning del file. Rimuovere il commento dalle righe per il provisioning TPM e assicurarsi che tutte le altre righe di provisioning siano impostate come commento.

    # DPS provisioning with TPM
[provisioning]
source = "dps"
global_endpoint = "https://global.azure-devices-provisioning.net"
id_scope = "DPS_ID_SCOPE_HERE"

# Uncomment to send a custom payload during DPS registration
# payload = { uri = "PATH_TO_JSON_FILE" }

[provisioning.attestation]
method = "tpm"
registration_id = "REGISTRATION_ID_HERE"

# auto_reprovisioning_mode = Dynamic

  2. Aggiornare i valori di id_scope e registration_id con le informazioni sul servizio di provisioning dei dispositivi e sul dispositivo. Il scope_id valore è l'ambitoID dalla pagina di panoramica dell'istanza del servizio device provisioning.

    Per altre informazioni sulle impostazioni di configurazione del provisioning, vedere Configurare le impostazioni del dispositivo IoT Edge.

  3. Facoltativamente, trovare la sezione modalità di provisioning automatico del file. Usare il auto_reprovisioning_mode parametro per configurare il comportamento di provisioning del dispositivo. Dinamico: eseguire il reprovisioning quando il dispositivo rileva che potrebbe essere stato spostato da un hub IoT a un altro. Si tratta dell'impostazione predefinita. AlwaysOnStartup : effettuare il reprovisioning quando il dispositivo viene riavviato o un arresto anomalo causa il riavvio dei daemon. OnErrorOnly : non attivare mai il provisioning automatico del dispositivo. Ogni modalità ha un fallback implicito di provisioning del dispositivo se il dispositivo non è in grado di connettersi a hub IoT durante il provisioning delle identità a causa di errori di connettività. Per altre informazioni, vedere hub IoT concetti relativi al provisioning dei dispositivi.

  4. Facoltativamente, rimuovere il commento dal payload parametro per specificare il percorso di un file JSON locale. Il contenuto del file viene inviato al servizio Device Provisioning come dati aggiuntivi quando il dispositivo viene registrato. Ciò è utile per l'allocazione personalizzata. Ad esempio, se si desidera allocare i dispositivi in base a un ID modello Plug and Play IoT senza intervento umano.

  5. Salva e chiudi il file.

Concedere l'accesso IoT Edge al TPM

Il runtime di IoT Edge si basa su un servizio TPM che brokera l'accesso al TPM di un dispositivo. Questo servizio deve accedere al TPM per effettuare automaticamente il provisioning del dispositivo.

È possibile concedere l'accesso al TPM eseguendo l'override delle impostazioni di sistema in modo che il aziottpm servizio disponga dei privilegi radice. Se non si vuole elevare i privilegi di servizio, è possibile usare la procedura seguente per concedere manualmente l'accesso al modulo TPM.

  1. Creare una nuova regola che concede al runtime IoT Edge l'accesso a tpm0 e tpmrm0.

    sudo touch /etc/udev/rules.d/tpmaccess.rules

  2. Aprire il file delle regole.

    sudo nano /etc/udev/rules.d/tpmaccess.rules

  3. Copiare le informazioni di accesso seguenti nel file di regole. Potrebbe tpmrm0 non essere presente nei dispositivi che usano un kernel precedente alla 4.12. I dispositivi che non dispongono tpmrm0 di questa regola verranno ignorati in modo sicuro.

    # allow aziottpm access to tpm0 and tpmrm0
KERNEL=="tpm0", SUBSYSTEM=="tpm", OWNER="aziottpm", MODE="0660"
KERNEL=="tpmrm0", SUBSYSTEM=="tpmrm", OWNER="aziottpm", MODE="0660"

  4. Salvare e chiudere il file.

  5. Attivare il udev sistema per valutare la nuova regola.

    /bin/udevadm trigger --subsystem-match=tpm --subsystem-match=tpmrm

  6. Verificare che la regola sia stata applicata.

    ls -l /dev/tpm*

    L'output riuscito viene visualizzato come segue:

    crw-rw---- 1 root aziottpm 10, 224 Jul 20 16:27 /dev/tpm0
crw-rw---- 1 root aziottpm 10, 224 Jul 20 16:27 /dev/tpmrm0

    Se non si noterà che le autorizzazioni corrette applicate, provare a riavviare il computer per aggiornare udev.

  7. Applicare le modifiche di configurazione apportate nel dispositivo.

    sudo iotedge config apply

Verificare l'esito positivo dell'installazione

Se non è già stato fatto, applicare le modifiche di configurazione apportate nel dispositivo.

sudo iotedge config apply

Verificare che il runtime IoT Edge sia in esecuzione.

sudo iotedge system status

Esaminare i log del daemon.

sudo iotedge system logs

Se vengono visualizzati errori di provisioning, è possibile che le modifiche alla configurazione non siano ancora state applicate. Provare a riavviare il daemon IoT Edge.

sudo systemctl daemon-reload

In alternativa, provare a riavviare la macchina virtuale per verificare se le modifiche hanno effetto su un nuovo avvio.

Se il runtime è stato avviato correttamente, è possibile accedere all'hub IoT e verificare che il provisioning del nuovo dispositivo sia stato eseguito automaticamente. Il dispositivo è ora è pronto per l'esecuzione di moduli IoT Edge.

Elencare i moduli in esecuzione.

iotedge list

È possibile verificare che sia stata usata la registrazione singola creata nel servizio device provisioning. Passare all'istanza del servizio device provisioning nel portale di Azure. Aprire i dettagli della registrazione per la registrazione singola creata. Si noti che lo stato della registrazione viene assegnato e che l'ID dispositivo è elencato.

Passaggi successivi

Il processo di registrazione del servizio device provisioning consente di impostare l'ID dispositivo e i tag del dispositivo gemello contemporaneamente al provisioning del nuovo dispositivo. È possibile usare questi valori per definire come destinazione singoli dispositivi o gruppi di dispositivi usando la gestione automatica dei dispositivi.

Informazioni su come distribuire e monitorare i moduli IoT Edge su larga scala usando il portale di Azure o l'interfaccia della riga di comando di Azure.