Tworzenie i aprowizowanie urządzeń usługi IoT Edge na dużą skalę w systemie Linux przy użyciu klucza symetrycznego

Dotyczy: IoT Edge 1.4

Ważne

Azure IoT Edge1.4 jest obsługiwaną wersją. Jeśli korzystasz z wcześniejszej wersji, zobacz aktualizację Azure IoT Edge.

Ten artykuł zawiera kompleksowe instrukcje dotyczące automatycznego aprowizowania co najmniej jednego urządzenia usługi IoT Edge z systemem Linux przy użyciu kluczy symetrycznych. Urządzenia usługi Azure IoT Edge można aprowizować automatycznie za pomocą usługi Azure IoT Hub device provisioning (DPS). Jeśli nie znasz procesu automatycznego aprowizowania, przed kontynuowaniem zapoznaj się z omówieniem aprowizacji.

Zadania są następujące:

1. Utwórz rejestrację indywidualną dla jednego urządzenia lub rejestracji grupowej dla zestawu urządzeń.
2. Zainstaluj środowisko uruchomieniowe usługi IoT Edge i połącz się z usługą IoT Hub.

Napiwek

Aby uzyskać uproszczone środowisko, wypróbuj narzędzie konfiguracji usługi Azure IoT Edge. To narzędzie wiersza polecenia, obecnie w publicznej wersji zapoznawczej, instaluje usługę IoT Edge na urządzeniu i aprowizuje ją przy użyciu usługi DPS i zaświadczania klucza symetrycznego.

Zaświadczanie klucza symetrycznego to proste podejście do uwierzytelniania urządzenia przy użyciu wystąpienia usługi aprowizacji urządzeń. Ta metoda zaświadczania reprezentuje środowisko "Hello world" dla deweloperów, którzy są nowi w aprowizacji urządzeń lub nie mają rygorystycznych wymagań dotyczących zabezpieczeń. Zaświadczania urządzeń przy użyciu certyfikatów TPM lub X.509 są bezpieczniejsze i powinny być używane do bardziej rygorystycznych wymagań dotyczących zabezpieczeń.

Wymagania wstępne

Zasoby w chmurze

• Aktywne centrum IoT
• Wystąpienie usługi aprowizacji urządzeń usługi IoT Hub na platformie Azure połączone z centrum IoT Hub
  • Jeśli nie masz wystąpienia usługi device provisioning, możesz postępować zgodnie z instrukcjami w przewodniku Szybki start Tworzenie nowej usługi aprowizacji urządzeń w usłudze IoT Hub i Łączenie centrum IoT i usługi aprowizacji urządzeń w usłudze IoT Hub.
  • Po uruchomieniu usługi aprowizacji urządzeń skopiuj wartość pola Zakres identyfikatora ze strony przeglądu. Ta wartość jest używana podczas konfigurowania środowiska uruchomieniowego usługi IoT Edge.

Wymagania dotyczące urządzenia

Fizyczne lub wirtualne urządzenie z systemem Linux, które ma być urządzeniem usługi IoT Edge.

Aby zidentyfikować każde urządzenie, należy zdefiniować unikatowyidentyfikator rejestracji. Możesz użyć adresu MAC, numeru seryjnego lub wszelkich unikatowych informacji z urządzenia. Można na przykład użyć kombinacji adresu MAC i numeru seryjnego tworzącego następujący ciąg dla identyfikatora rejestracji: sn-007-888-abc-mac-a1-b2-c3-d4-e5-f6. Prawidłowe znaki to małe litery alfanumeryczne i kreska (-).

Tworzenie rejestracji usługi DPS

Utwórz rejestrację, aby aprowizować co najmniej jedno urządzenie za pośrednictwem usługi DPS.

Jeśli chcesz aprowizować pojedyncze urządzenie usługi IoT Edge, utwórz rejestrację indywidualną. Jeśli potrzebujesz aprowizacji wielu urządzeń, wykonaj kroki tworzenia rejestracji grupy usługi DPS.

Podczas tworzenia rejestracji w usłudze DPS możesz zadeklarować początkowy stan bliźniaczej reprezentacji urządzenia. W bliźniaczej reprezentacji urządzenia można ustawić tagi, aby grupować urządzenia według dowolnej metryki potrzebnej w rozwiązaniu, takiej jak region, środowisko, lokalizacja lub typ urządzenia. Te tagi służą do tworzenia wdrożeń automatycznych.

Aby uzyskać więcej informacji na temat rejestracji w usłudze device provisioning, zobacz Jak zarządzać rejestracjami urządzeń.

Rejestracja indywidualna

Tworzenie rejestracji indywidualnej usługi DPS

Napiwek

Kroki opisane w tym artykule dotyczą witryny Azure Portal, ale można również tworzyć rejestracje indywidualne przy użyciu interfejsu wiersza polecenia platformy Azure. Aby uzyskać więcej informacji, zobacz az iot dps enrollment ( Az iot dps enrollment). W ramach polecenia interfejsu wiersza polecenia użyj flagi z obsługą krawędzi, aby określić, że rejestracja dotyczy urządzenia usługi IoT Edge.

1. W witrynie Azure Portal przejdź do wystąpienia usługi IoT Hub device provisioning.

2. W obszarze Ustawienia wybierz pozycję Zarządzaj rejestracjami.

3. Wybierz pozycję Dodaj rejestrację indywidualną, a następnie wykonaj następujące kroki, aby skonfigurować rejestrację:

   1. W obszarze Mechanizm wybierz pozycję Klucz symetryczny.

   2. Podaj unikatowy identyfikator rejestracji dla urządzenia.

   3. Opcjonalnie podaj identyfikator urządzenia usługi IoT Hub dla urządzenia. Identyfikatory urządzeń umożliwiają określanie celu poszczególnych urządzeń na potrzeby wdrożenia modułu. Jeśli nie podasz identyfikatora urządzenia, zostanie użyty identyfikator rejestracji.

   4. Wybierz pozycję True , aby zadeklarować, że rejestracja dotyczy urządzenia usługi IoT Edge.

   5. Opcjonalnie dodaj wartość tagu do stanu początkowej bliźniaczej reprezentacji urządzenia. Tagów można używać do grup docelowych urządzeń na potrzeby wdrażania modułu. Na przykład:

      {
         "tags": {
            "environment": "test"
         },
         "properties": {
            "desired": {}
         }
      }
      

   6. Wybierz pozycję Zapisz.

4. Skopiuj wartość klucza podstawowego indywidualnej rejestracji do użycia podczas instalowania środowiska uruchomieniowego usługi IoT Edge.

Teraz, gdy rejestracja istnieje dla tego urządzenia, środowisko uruchomieniowe usługi IoT Edge może automatycznie aprowizować urządzenie podczas instalacji.

Rejestracja grupowa

Tworzenie rejestracji grupy usługi DPS

Napiwek

Kroki opisane w tym artykule dotyczą witryny Azure Portal, ale można również tworzyć rejestracje grupowe przy użyciu interfejsu wiersza polecenia platformy Azure. Aby uzyskać więcej informacji, zobacz az iot dps enrollment-group. W ramach polecenia interfejsu wiersza polecenia użyj flagi z obsługą krawędzi, aby określić, że rejestracja dotyczy urządzeń usługi IoT Edge. W przypadku rejestracji grup wszystkie urządzenia muszą być urządzeniami usługi IoT Edge lub żadna z nich nie może być.

1. W witrynie Azure Portal przejdź do wystąpienia usługi IoT Hub device provisioning.

2. W obszarze Ustawienia wybierz pozycję Zarządzaj rejestracjami.

3. Wybierz pozycję Dodaj rejestrację indywidualną, a następnie wykonaj następujące kroki, aby skonfigurować rejestrację:

   1. Podaj nazwę grupy.

   2. Wybierz pozycję Klucz symetryczny jako typ zaświadczania.

   3. Wybierz pozycję True , aby zadeklarować, że rejestracja dotyczy urządzenia usługi IoT Edge. W przypadku rejestracji grup wszystkie urządzenia muszą być urządzeniami usługi IoT Edge lub żadna z nich nie może być.

   4. Opcjonalnie dodaj wartość tagu do stanu początkowej bliźniaczej reprezentacji urządzenia. Tagów można używać do grup docelowych urządzeń na potrzeby wdrażania modułu. Na przykład:

      {
         "tags": {
            "environment": "test"
         },
         "properties": {
            "desired": {}
         }
      }
      

   5. Wybierz pozycję Zapisz.

4. Skopiuj wartość Klucz podstawowy grupy rejestracji do użycia podczas tworzenia kluczy urządzeń do użycia z rejestracją grupową.

Teraz, gdy istnieje grupa rejestracji, środowisko uruchomieniowe usługi IoT Edge może automatycznie aprowizować urządzenia podczas instalacji.

Uzyskiwanie klucza urządzenia

Każde urządzenie aprowidowane w ramach rejestracji grupy wymaga pochodnego klucza urządzenia w celu przeprowadzenia zaświadczania klucza symetrycznego przy użyciu rejestracji podczas aprowizacji.

Aby wygenerować klucz urządzenia, użyj klucza skopiowanego z grupy rejestracji usługi DPS, aby obliczyć HMAC-SHA256 unikatowego identyfikatora rejestracji urządzenia i przekonwertować wynik na format Base64.

Ważne

Nie dołączaj klucza podstawowego lub pomocniczego rejestracji do kodu urządzenia.

W systemie Windows możesz użyć programu PowerShell do wygenerowania pochodnego klucza urządzenia, jak pokazano w poniższym przykładzie.

Zastąp wartość KLUCZ zanotowaną wcześniej wartością Klucz podstawowy.

Zastąp wartość REG_ID identyfikatorem rejestracji urządzenia.

$KEY='PASTE_YOUR_ENROLLMENT_KEY_HERE'
$REG_ID='PASTE_YOUR_REGISTRATION_ID_HERE'

$hmacsha256 = New-Object System.Security.Cryptography.HMACSHA256
$hmacsha256.key = [Convert]::FromBase64String($KEY)
$sig = $hmacsha256.ComputeHash([Text.Encoding]::ASCII.GetBytes($REG_ID))
$derivedkey = [Convert]::ToBase64String($sig)
echo "`n$derivedkey`n"

Poniżej przedstawiono przykładowe dane wyjściowe klucza pochodnego urządzenia:

Jsm0lyGpjaVYVP2g3FnmnmG9dI/9qU24wNoykUmermc=

Instalowanie usługi IoT Edge

W tej sekcji przygotujesz maszynę wirtualną z systemem Linux lub urządzenie fizyczne na potrzeby usługi IoT Edge. Następnie zainstalujesz przeglądarkę IoT Edge.

Uruchom następujące polecenia, aby dodać repozytorium pakietów, a następnie dodaj klucz podpisywania pakietu firmy Microsoft do listy zaufanych kluczy.

Ważne

30 czerwca 2022 r. urządzenie Raspberry Pi OS Stretch zostało wycofane z listy pomocy technicznej systemu operacyjnego Tier 1. Aby uniknąć potencjalnych luk w zabezpieczeniach, zaktualizuj system operacyjny hosta do Bullseye.

Ubuntu

Instalowanie można wykonać za pomocą kilku poleceń. Otwórz terminal i uruchom następujące polecenia:

• 22.04:

  wget https://packages.microsoft.com/config/ubuntu/22.04/packages-microsoft-prod.deb -O packages-microsoft-prod.deb
  sudo dpkg -i packages-microsoft-prod.deb
  rm packages-microsoft-prod.deb
  

• 20.04:

  wget https://packages.microsoft.com/config/ubuntu/20.04/packages-microsoft-prod.deb -O packages-microsoft-prod.deb
  sudo dpkg -i packages-microsoft-prod.deb
  rm packages-microsoft-prod.deb
  

Debian

Instalowanie za pomocą narzędzia APT można wykonać za pomocą kilku poleceń. Otwórz terminal i uruchom następujące polecenia:

• 11 - Bullseye (arm32v7):

  curl https://packages.microsoft.com/config/debian/11/packages-microsoft-prod.deb > ./packages-microsoft-prod.deb
  sudo apt install ./packages-microsoft-prod.deb
  

Napiwek

Jeśli podczas instalacji systemu operacyjnego podano hasło "root", nie będzie potrzebne polecenie "sudo" i można uruchomić powyższe polecenie, zaczynając od polecenia "apt".

Red Hat Enterprise Linux

Instalowanie można wykonać za pomocą kilku poleceń. Otwórz terminal i uruchom następujące polecenia:

• 9.x (amd64):

    wget https://packages.microsoft.com/config/rhel/9.0/packages-microsoft-prod.rpm -O packages-microsoft-prod.rpm
    sudo yum localinstall packages-microsoft-prod.rpm
    rm packages-microsoft-prod.rpm
  

• 8.x (amd64):

    wget https://packages.microsoft.com/config/rhel/8/packages-microsoft-prod.rpm -O packages-microsoft-prod.rpm
    sudo yum localinstall packages-microsoft-prod.rpm
    rm packages-microsoft-prod.rpm
  

Przystawki systemu Ubuntu Core

Środowisko uruchomieniowe usługi IoT Edge jest instalowane z magazynu przystawki w późniejszym kroku. Przejdź do następnej sekcji.

Aby uzyskać więcej informacji na temat wersji systemu operacyjnego, zobacz Platformy obsługiwane przez usługę Azure IoT Edge.

Uwaga

Pakiety oprogramowania usługi Azure IoT Edge podlegają postanowieniom licencyjnym znajdującym się w każdym pakiecie (usr/share/doc/{package-name} lub LICENSE katalogu). Przeczytaj postanowienia licencyjne przed użyciem pakietu. Instalacja i użycie pakietu stanowi akceptację niniejszych warunków. Jeśli nie zgadzasz się z postanowieniami licencyjnymi, nie używaj tego pakietu.

Instalowanie aparatu kontenera

Usługa Azure IoT Edge korzysta ze środowiska uruchomieniowego kontenera zgodnego z technologią OCI. W przypadku scenariuszy produkcyjnych zalecamy użycie aparatu Moby. Aparat Moby jest jedynym oficjalnie obsługiwanym aparatem kontenerów w usłudze IoT Edge. Obrazy kontenerów platformy Docker CE/EE są zgodne ze środowiskiem uruchomieniowym Moby.

Ubuntu

Zainstaluj aparat Moby.

sudo apt-get update; \
  sudo apt-get install moby-engine

Debian

Zainstaluj aparat Moby.

sudo apt-get update; \
  sudo apt-get install moby-engine

Red Hat Enterprise Linux

Zainstaluj aparat Moby i interfejs wiersza polecenia.

sudo yum install moby-engine moby-cli

Napiwek

Jeśli podczas instalowania aparatu kontenera Moby wystąpią błędy, sprawdź zgodność jądra systemu Linux pod kątem zgodności z narzędziem Moby. Niektórzy producenci urządzeń osadzonych wysyłają obrazy urządzeń, które zawierają niestandardowe jądra systemu Linux bez funkcji wymaganych do zapewnienia zgodności aparatu kontenera. Uruchom następujące polecenie, które używa skryptu check-config dostarczonego przez program Moby, aby sprawdzić konfigurację jądra:

curl -ssl https://raw.githubusercontent.com/moby/moby/master/contrib/check-config.sh -o check-config.sh
chmod +x check-config.sh
./check-config.sh

W danych wyjściowych skryptu sprawdź, czy wszystkie elementy w obszarze Generally Necessary i Network Drivers są włączone. Jeśli brakuje funkcji, włącz je, ponownie skompilując jądro ze źródła i wybierając skojarzone moduły do włączenia w odpowiedniej konfiguracji jądra. Podobnie, jeśli używasz generatora konfiguracji jądra, takiego jak defconfig lub menuconfig, znajdź i włącz odpowiednie funkcje i odpowiednio skompiluj jądro. Po wdrożeniu nowo zmodyfikowanego jądra ponownie uruchom skrypt check-config, aby sprawdzić, czy wszystkie wymagane funkcje zostały pomyślnie włączone.

Przystawki systemu Ubuntu Core

Usługa IoT Edge ma zależności od platformy Docker i usługi tożsamości IoT. Zainstaluj zależności przy użyciu następujących poleceń:

sudo snap install docker
sudo snap install azure-iot-identity

Domyślnie aparat kontenera nie ustawia limitów rozmiaru dziennika kontenera. Po pewnym czasie może to prowadzić do zapełnienia urządzenia dziennikami i wyczerpania miejsca na dysku. Można jednak skonfigurować dziennik tak, aby był wyświetlany lokalnie, choć jest opcjonalny. Aby dowiedzieć się więcej na temat konfiguracji rejestrowania, zobacz Lista kontrolna wdrażania produkcyjnego.

W poniższych krokach pokazano, jak skonfigurować kontener do używania local sterownika rejestrowania jako mechanizmu rejestrowania.

Ubuntu / Debian / RHEL

1. Tworzenie lub edytowanie istniejącego pliku konfiguracji demona platformy Docker

   sudo nano /etc/docker/daemon.json
   

2. Ustaw domyślny sterownik rejestrowania na local sterownik rejestrowania, jak pokazano w przykładzie.

      {
         "log-driver": "local"
      }
   

3. Uruchom ponownie aparat kontenera, aby zmiany zaczęły obowiązywać.

   sudo systemctl restart docker
   

Przystawki systemu Ubuntu Core

Obecnie ustawienie sterownika rejestrowania lokalnego nie jest obsługiwane w przypadku przystawki platformy Docker.

Instalowanie środowiska uruchomieniowego usługi IoT Edge

Usługa IoT Edge zapewnia i utrzymuje standardy zabezpieczeń na urządzeniu usługi IoT Edge. Usługa uruchamia się na każdym rozruchu i uruchamia urządzenie, uruchamiając resztę środowiska uruchomieniowego usługi IoT Edge.

Uwaga

Począwszy od wersji 1.2, usługa tożsamości IoT obsługuje aprowizowanie tożsamości i zarządzanie nimi dla usługi IoT Edge oraz innych składników urządzeń, które muszą komunikować się z usługą IoT Hub.

Kroki opisane w tej sekcji reprezentują typowy proces instalowania najnowszej wersji usługi IoT Edge na urządzeniu z połączeniem internetowym. Jeśli musisz zainstalować określoną wersję, taką jak wersja wstępna, lub zainstalować ją w trybie offline, wykonaj kroki instalacji w trybie offline lub określonej wersji w dalszej części tego artykułu.

Napiwek

Jeśli masz już urządzenie usługi IoT Edge z starszą wersją i chcesz przeprowadzić uaktualnienie do najnowszej wersji, wykonaj kroki opisane w temacie Aktualizowanie demona zabezpieczeń usługi IoT Edge i środowiska uruchomieniowego. Nowsze wersje są wystarczająco różne od poprzednich wersji usługi IoT Edge, że do uaktualnienia niezbędne są konkretne kroki.

Ubuntu

Zainstaluj najnowszą wersję usługi IoT Edge i pakietu usługi tożsamości IoT (jeśli nie jesteś jeszcze aktualny):

• 22.04:

  sudo apt-get update; \
     sudo apt-get install aziot-edge
  

• 20.04:

  sudo apt-get update; \
     sudo apt-get install aziot-edge defender-iot-micro-agent-edge
  

Opcjonalny defender-iot-micro-agent-edge pakiet obejmuje mikroa agenta zabezpieczeń usługi Microsoft Defender for IoT, który zapewnia wgląd w zarządzanie stanem zabezpieczeń, luki w zabezpieczeniach, wykrywanie zagrożeń, zarządzanie flotą i nie tylko, aby ułatwić zabezpieczanie urządzeń usługi IoT Edge. Zaleca się zainstalowanie mikro agenta za pomocą agenta usługi Edge w celu włączenia monitorowania zabezpieczeń i wzmacniania zabezpieczeń urządzeń brzegowych. Aby dowiedzieć się więcej o usłudze Microsoft Defender dla IoT, zobacz Co to jest usługa Microsoft Defender dla IoT dla konstruktorów urządzeń.

Debian

Zainstaluj najnowszą wersję usługi IoT Edge i pakietu usługi tożsamości IoT (jeśli nie jesteś jeszcze aktualny):

sudo apt-get update; \
  sudo apt-get install aziot-edge defender-iot-micro-agent-edge

Opcjonalny pakiet defender-iot-micro-agent-edge zawiera mikroa agenta zabezpieczeń usługi Microsoft Defender for IoT, który zapewnia wgląd w zabezpieczenia zarządzania stanem zabezpieczeń, luk w zabezpieczeniach, wykrywania zagrożeń, zarządzania flotą i nie tylko, aby ułatwić zabezpieczanie urządzeń usługi IoT Edge. Zaleca się zainstalowanie mikro agenta za pomocą agenta usługi Edge w celu włączenia monitorowania zabezpieczeń i wzmacniania zabezpieczeń urządzeń brzegowych. Aby dowiedzieć się więcej o usłudze Microsoft Defender dla IoT, zobacz Co to jest usługa Microsoft Defender dla IoT dla konstruktorów urządzeń.

Red Hat Enterprise Linux

Zainstaluj najnowszą wersję usługi IoT Edge i pakietu usługi tożsamości IoT (jeśli nie jesteś jeszcze aktualny):

sudo yum install aziot-edge

Przystawki systemu Ubuntu Core

Zainstaluj usługę IoT Edge z magazynu przystawki:

sudo snap install azure-iot-edge

przystawki Połączenie

Domyślnie przystawki są wolne od zależności, niezaufane i ściśle ograniczone. W związku z tym przystawki muszą być połączone z innymi przystawkami i zasobami systemowymi po instalacji. Użyj następujących poleceń, aby połączyć usługę tożsamości IoT i przystawkę usługi IoT Edge ze sobą i z zasobami systemowymi. Aby rozpocząć, przystawki muszą być połączone ręcznie. W przypadku wdrożeń produkcyjnych można je skonfigurować tak, aby automatycznie łączyć się w celu zmniejszenia obciążenia aprowizacji.

#------------------------
#  IoT Identity Service
#------------------------

# Connect the Identity Service snap to the logging system
# and grant permission to query system info

sudo snap connect azure-iot-identity:log-observe
sudo snap connect azure-iot-identity:mount-observe
sudo snap connect azure-iot-identity:system-observe
sudo snap connect azure-iot-identity:hostname-control

# If using a TPM, enable TPM access

sudo snap connect azure-iot-identity:tpm

#------------
#  IoT Edge
#------------

# Connect to your /home directory to enable writing support bundles

sudo snap connect azure-iot-edge:home

# Connect to logging and grant permission to query system info

sudo snap connect azure-iot-edge:log-observe
sudo snap connect azure-iot-edge:mount-observe
sudo snap connect azure-iot-edge:system-observe
sudo snap connect azure-iot-edge:hostname-control
# Allow IoT Edge to connect to the /var/run/iotedge folder and use sockets

sudo snap connect azure-iot-edge:run-iotedge

# Connect IoT Edge to Docker

sudo snap connect azure-iot-edge:docker docker:docker-daemon

Aprowizuj urządzenie przy użyciu tożsamości w chmurze

Po zainstalowaniu środowiska uruchomieniowego na urządzeniu skonfiguruj urządzenie przy użyciu informacji używanych do nawiązywania połączenia z usługą aprowizacji urządzeń i usługą IoT Hub.

Przygotuj następujące informacje:

• Wartość Zakres identyfikatora usługi DPS
• Utworzony identyfikator rejestracji urządzenia
• Klucz podstawowy z rejestracji indywidualnej lub klucz pochodny dla urządzeń korzystających z rejestracji grupy.

Utwórz plik konfiguracji dla urządzenia na podstawie pliku szablonu dostarczonego w ramach instalacji usługi IoT Edge.

Ubuntu / Debian / RHEL

sudo cp /etc/aziot/config.toml.edge.template /etc/aziot/config.toml

Otwórz plik konfiguracji na urządzeniu usługi IoT Edge.

sudo nano /etc/aziot/config.toml

Przystawki systemu Ubuntu Core

W przypadku korzystania z instalacji przystawki usługi IoT Edge plik szablonu znajduje się w /snap/azure-iot-edge/current/etc/aziot/config.toml.edge.templatelokalizacji . Utwórz kopię pliku szablonu w katalogu głównym i nadaj mu nazwę config.toml. Na przykład:

cp /snap/azure-iot-edge/current/etc/aziot/config.toml.edge.template ~/config.toml

Otwórz plik konfiguracji w katalogu macierzysty na urządzeniu usługi IoT Edge.

nano ~/config.toml

1. Znajdź sekcję Aprowizacja pliku. Usuń komentarz wierszy aprowizacji usługi DPS z kluczem symetrycznym i upewnij się, że wszystkie inne wiersze aprowizacji są oznaczone jako komentarz.

   # DPS provisioning with symmetric key
   [provisioning]
   source = "dps"
   global_endpoint = "https://global.azure-devices-provisioning.net"
   id_scope = "PASTE_YOUR_SCOPE_ID_HERE"
   
   # Uncomment to send a custom payload during DPS registration
   # payload = { uri = "PATH_TO_JSON_FILE" }
   
   [provisioning.attestation]
   method = "symmetric_key"
   registration_id = "PASTE_YOUR_REGISTRATION_ID_HERE"
   
   symmetric_key = { value = "PASTE_YOUR_PRIMARY_KEY_OR_DERIVED_KEY_HERE" }
   
   # auto_reprovisioning_mode = Dynamic
   

2. Zaktualizuj wartości id_scope, registration_idi symmetric_key przy użyciu informacji o usłudze DPS i urządzeniu.

   Parametr klucza symetrycznego może akceptować wartość klucza wbudowanego, identyfikatora URI pliku lub identyfikatora URI PKCS#11. Usuń komentarz tylko jeden wiersz klucza symetrycznego na podstawie używanego formatu. W przypadku korzystania z klucza wbudowanego użyj klucza zakodowanego w formacie base64, takiego jak w przykładzie. W przypadku korzystania z identyfikatora URI pliku plik powinien zawierać nieprzetworzone bajty klucza.

   Jeśli używasz jakichkolwiek identyfikatorów URI PKCS#11, znajdź sekcję PKCS#11 w pliku konfiguracji i podaj informacje o konfiguracji PKCS#11.

   Aby uzyskać więcej informacji na temat aprowizacji ustawień konfiguracji, zobacz Konfigurowanie ustawień urządzenia usługi IoT Edge.

3. Opcjonalnie znajdź sekcję trybu automatycznego ponownego aprowizowania pliku. Użyj parametru auto_reprovisioning_mode , aby skonfigurować zachowanie ponownego aprowizowania urządzenia. Dynamiczne — ponowne aprowizacje, gdy urządzenie wykryje, że mogło zostać przeniesione z jednego centrum IoT Hub do innego. Jest to opcja domyślna. AlwaysOnStartup — ponowne inicjowanie obsługi administracyjnej po ponownym uruchomieniu urządzenia lub awaria powoduje ponowne uruchomienie demonów. OnErrorOnly — nigdy nie wyzwalaj automatycznego ponownego aprowizowania urządzenia. Każdy tryb ma niejawne ponowne aprowizowanie urządzenia, jeśli urządzenie nie może nawiązać połączenia z usługą IoT Hub podczas aprowizacji tożsamości z powodu błędów łączności. Aby uzyskać więcej informacji, zobacz Pojęcia dotyczące ponownej aprowizacji urządzeń usługi IoT Hub.

4. Opcjonalnie usuń komentarz parametru payload , aby określić ścieżkę do lokalnego pliku JSON. Zawartość pliku jest wysyłana do usługi DPS jako dodatkowe dane podczas rejestrowania urządzenia. Jest to przydatne w przypadku alokacji niestandardowej. Jeśli na przykład chcesz przydzielić urządzenia na podstawie identyfikatora modelu IoT Plug and Play bez interwencji człowieka.

5. Zapisz i zamknij plik.

6. Zastosuj zmiany konfiguracji wprowadzone na urządzeniu.

   Ubuntu / Debian / RHEL

   sudo iotedge config apply
   

   Przystawki systemu Ubuntu Core

   sudo snap set azure-iot-edge raw-config="$(cat ~/config.toml)"
   

Weryfikowanie pomyślnej instalacji

Jeśli środowisko uruchomieniowe zostało pomyślnie uruchomione, możesz przejść do usługi IoT Hub i rozpocząć wdrażanie modułów usługi IoT Edge na urządzeniu.

Rejestracja indywidualna

Możesz sprawdzić, czy użyto indywidualnej rejestracji utworzonej w usłudze aprowizacji urządzeń. Przejdź do wystąpienia usługi aprowizacji urządzeń w witrynie Azure Portal. Otwórz szczegóły rejestracji dla utworzonej rejestracji indywidualnej. Zwróć uwagę, że stan rejestracji jest przypisany , a identyfikator urządzenia znajduje się na liście.

Rejestracja grupowa

Możesz sprawdzić, czy użyto rejestracji grupy utworzonej w usłudze device provisioning. Przejdź do wystąpienia usługi aprowizacji urządzeń w witrynie Azure Portal. Otwórz szczegóły rejestracji dla utworzonej rejestracji grupy. Przejdź do karty Rekordy rejestracji, aby wyświetlić wszystkie urządzenia zarejestrowane w tej grupie.

Użyj następujących poleceń na urządzeniu, aby sprawdzić, czy usługa IoT Edge została zainstalowana i uruchomiona pomyślnie.

Sprawdź stan usługi IoT Edge.

sudo iotedge system status

Sprawdzanie dzienników usług.

sudo iotedge system logs

Lista uruchomionych modułów.

sudo iotedge list

Następne kroki

Proces rejestracji usługi aprowizacji urządzeń umożliwia ustawienie identyfikatora urządzenia i tagów bliźniaczych reprezentacji urządzenia w tym samym czasie co aprowizowanie nowego urządzenia. Tych wartości można użyć do określania wartości docelowych dla poszczególnych urządzeń lub grup urządzeń przy użyciu automatycznego zarządzania urządzeniami. Dowiedz się, jak wdrażać i monitorować moduły usługi IoT Edge na dużą skalę przy użyciu witryny Azure Portal lub interfejsu wiersza polecenia platformy Azure.