Konfigurowanie urządzenia usługi IoT Edge, aby działało jako przezroczysta brama

  • Artykuł

Dotyczy:IoT Edge 1.4 checkmark IoT Edge 1.4

Ważne

Azure IoT Edge1.4 jest obsługiwaną wersją. Jeśli korzystasz z wcześniejszej wersji, zobacz aktualizację Azure IoT Edge.

Ten artykuł zawiera szczegółowe instrukcje dotyczące konfigurowania urządzenia usługi IoT Edge do działania jako przezroczysta brama dla innych urządzeń do komunikowania się z usługą IoT Hub. W tym artykule użyto terminu Brama usługi IoT Edge, aby odwoływać się do urządzenia usługi IoT Edge skonfigurowanego jako przezroczysta brama. Aby uzyskać więcej informacji, zobacz How an IoT Edge device can be used as a gateway (Jak urządzenie usługi IoT Edge może być używane jako brama).

Uwaga

Urządzenia podrzędne nie mogą używać przekazywania plików.

Istnieją trzy ogólne kroki konfigurowania pomyślnego przezroczystego połączenia bramy. W tym artykule opisano pierwszy krok:

  1. Skonfiguruj urządzenie bramy jako serwer, aby urządzenia podrzędne mogły się z nim bezpiecznie łączyć. Skonfiguruj bramę w celu odbierania komunikatów z urządzeń podrzędnych i kierowania ich do odpowiedniego miejsca docelowego.
  2. Utwórz tożsamość urządzenia dla urządzenia podrzędnego, aby umożliwić jego uwierzytelnianie za pomocą usługi IoT Hub. Skonfiguruj urządzenie podrzędne do wysyłania komunikatów za pośrednictwem urządzenia bramy. Aby uzyskać te kroki, zobacz Uwierzytelnianie urządzenia podrzędnego w usłudze Azure IoT Hub.
  3. Połączenie urządzenia podrzędnego do urządzenia bramy i rozpocznij wysyłanie komunikatów. Aby uzyskać te kroki, zobacz Połączenie urządzenia podrzędnego do bramy usługi Azure IoT Edge.

Aby urządzenie działało jako brama, musi bezpiecznie łączyć się ze swoimi urządzeniami podrzędnym. Usługa Azure IoT Edge umożliwia konfigurowanie bezpiecznych połączeń między urządzeniami przy użyciu infrastruktury kluczy publicznych (PKI). W takim przypadku zezwalamy urządzeniu podrzędnym na łączenie się z urządzeniem usługi IoT Edge działającym jako przezroczysta brama. Aby zachować rozsądne zabezpieczenia, urządzenie podrzędne powinno potwierdzić tożsamość urządzenia bramy. Ta kontrola tożsamości uniemożliwia urządzeniom nawiązywanie połączenia z potencjalnie złośliwymi bramami.

Urządzenie podrzędne może być dowolną aplikacją lub platformą, która ma tożsamość utworzoną za pomocą usługi w chmurze usługi Azure IoT Hub . Te aplikacje często używają zestawu SDK urządzeń Usługi Azure IoT. Urządzenie podrzędne może być nawet aplikacją działającą na samym urządzeniu bramy usługi IoT Edge.

Możesz utworzyć dowolną infrastrukturę certyfikatów, która umożliwia zaufanie wymagane dla topologii bramy urządzeń. W tym artykule przyjęto założenie, że ta sama konfiguracja certyfikatu jest używana do włączania zabezpieczeń urzędu certyfikacji X.509 w usłudze IoT Hub, który obejmuje certyfikat X.509 urzędu certyfikacji skojarzony z określonym centrum IoT (głównym urzędem certyfikacji centrum IoT), serią certyfikatów podpisanych przy użyciu tego urzędu certyfikacji i urzędu certyfikacji dla urządzenia usługi IoT Edge.

Uwaga

Termin Certyfikat głównego urzędu certyfikacji używany w tych artykułach odnosi się do najwyższego poziomu publicznego certyfikatu urzędu łańcucha certyfikatów PKI, a niekoniecznie certyfikatu głównego urzędu certyfikacji syndyka. W wielu przypadkach jest to w rzeczywistości pośredni certyfikat publiczny urzędu certyfikacji.

Poniższe kroki przeprowadzą Cię przez proces tworzenia certyfikatów i instalowania ich w odpowiednich miejscach na bramie. Możesz użyć dowolnej maszyny do wygenerowania certyfikatów, a następnie skopiować je na urządzenie usługi IoT Edge.

Wymagania wstępne

Zainstalowane urządzenie z systemem Linux lub Windows z usługą IoT Edge.

Jeśli nie masz gotowego urządzenia, możesz go utworzyć na maszynie wirtualnej platformy Azure. Wykonaj kroki opisane w artykule Wdrażanie pierwszego modułu usługi IoT Edge na wirtualnym urządzeniu z systemem Linux, aby utworzyć usługę IoT Hub, utworzyć maszynę wirtualną i skonfigurować środowisko uruchomieniowe usługi IoT Edge.

Konfigurowanie certyfikatu urzędu certyfikacji urządzenia

Wszystkie bramy usługi IoT Edge wymagają zainstalowanego na nich certyfikatu urzędu certyfikacji urządzenia. Demon zabezpieczeń usługi IoT Edge używa certyfikatu urzędu certyfikacji urządzenia usługi IoT Edge do podpisania certyfikatu urzędu certyfikacji obciążenia, który z kolei podpisuje certyfikat serwera dla centrum usługi IoT Edge. Brama przedstawia certyfikat serwera urządzeniu podrzędnego podczas inicjowania połączenia. Urządzenie podrzędne sprawdza, czy certyfikat serwera jest częścią łańcucha certyfikatów, który jest zwijany do certyfikatu głównego urzędu certyfikacji. Ten proces umożliwia urządzeniu podrzędnym potwierdzenie, że brama pochodzi z zaufanego źródła. Aby uzyskać więcej informacji, zobacz Omówienie sposobu korzystania z certyfikatów w usłudze Azure IoT Edge.

Screenshot that shows the gateway certificate setup.

Certyfikat głównego urzędu certyfikacji i certyfikat urzędu certyfikacji urządzenia (z jego kluczem prywatnym) muszą być obecne na urządzeniu bramy usługi IoT Edge i skonfigurowane w pliku konfiguracji usługi IoT Edge. Należy pamiętać, że w tym przypadku certyfikat głównego urzędu certyfikacji oznacza najwyższy urząd certyfikacji dla tego scenariusza usługi IoT Edge. Certyfikat urzędu certyfikacji urządzenia bramy i certyfikaty urządzeń podrzędnych muszą być zbiorcze do tego samego certyfikatu głównego urzędu certyfikacji.

Napiwek

Proces instalowania certyfikatu głównego urzędu certyfikacji i certyfikatu urzędu certyfikacji urządzenia na urządzeniu usługi IoT Edge jest również bardziej szczegółowo opisany w temacie Zarządzanie certyfikatami na urządzeniu usługi IoT Edge.

Przygotuj następujące pliki:

  • Certyfikat głównego urzędu certyfikacji
  • Certyfikat urzędu certyfikacji urządzenia
  • Klucz prywatny urzędu certyfikacji urządzenia

W przypadku scenariuszy produkcyjnych należy wygenerować te pliki przy użyciu własnego urzędu certyfikacji. W przypadku scenariuszy programowania i testowania można użyć certyfikatów demonstracyjnych.

Tworzenie certyfikatów demonstracyjnych

Jeśli nie masz własnego urzędu certyfikacji i chcesz używać certyfikatów demonstracyjnych, postępuj zgodnie z instrukcjami w temacie Tworzenie certyfikatów demonstracyjnych, aby przetestować funkcje urządzenia usługi IoT Edge w celu utworzenia plików. Na tej stronie należy wykonać następujące czynności:

  1. Aby rozpocząć, skonfiguruj skrypty do generowania certyfikatów na urządzeniu.
  2. Utwórz certyfikat głównego urzędu certyfikacji. Na końcu tych instrukcji będziesz mieć plik <path>/certs/azure-iot-test-only.root.ca.cert.pemcertyfikatu głównego urzędu certyfikacji .
  3. Utwórz certyfikaty urzędu certyfikacji urządzenia usługi IoT Edge. Na końcu tych instrukcji będziesz mieć certyfikat urzędu <path>/certs/iot-edge-device-ca-<cert name>-full-chain.cert.pem certyfikacji urządzenia jego klucz <path>/private/iot-edge-device-ca-<cert name>.key.pemprywatny .

Kopiowanie certyfikatów na urządzenie

  1. Sprawdź, czy certyfikat spełnia wymagania dotyczące formatu.

  2. Jeśli certyfikaty zostały utworzone na innym komputerze, skopiuj je na urządzenie usługi IoT Edge. Możesz użyć dysku USB, usługi takiej jak Azure Key Vault lub funkcji takiej jak Secure file copy.

  3. Przenieś pliki do preferowanego katalogu dla certyfikatów i kluczy. Służy /var/aziot/certs do certyfikatów i /var/aziot/secrets kluczy.

  4. Utwórz certyfikaty i katalogi kluczy i ustaw uprawnienia. Certyfikaty i klucze należy przechowywać w preferowanym /var/aziot katalogu. Służy /var/aziot/certs do certyfikatów i /var/aziot/secrets kluczy.

    # If the certificate and keys directories don't exist, create, set ownership, and set permissions
sudo mkdir -p /var/aziot/certs
sudo chown aziotcs:aziotcs /var/aziot/certs
sudo chmod 755 /var/aziot/certs

sudo mkdir -p /var/aziot/secrets
sudo chown aziotks:aziotks /var/aziot/secrets
sudo chmod 700 /var/aziot/secrets

  5. Zmień własność i uprawnienia certyfikatów i kluczy.

    # Give aziotcs ownership to certificates
# Read and write for aziotcs, read-only for others
sudo chown -R aziotcs:aziotcs /var/aziot/certs
sudo find /var/aziot/certs -type f -name "*.*" -exec chmod 644 {} \;

# Give aziotks ownership to private keys
# Read and write for aziotks, no permission for others
sudo chown -R aziotks:aziotks /var/aziot/secrets
 sudo find /var/aziot/secrets -type f -name "*.*" -exec chmod 600 {} \;

Konfigurowanie certyfikatów na urządzeniu

  1. Na urządzeniu usługi IoT Edge otwórz plik konfiguracji: /etc/aziot/config.toml. Jeśli używasz usługi IoT Edge dla systemu Linux w systemie Windows, musisz nawiązać połączenie z maszyną wirtualną EFLOW przy użyciu Connect-EflowVm polecenia cmdlet programu PowerShell.

    Napiwek

    Jeśli plik konfiguracji nie istnieje jeszcze na urządzeniu, użyj /etc/aziot/config.toml.edge.template go jako szablonu, aby go utworzyć.

  2. trust_bundle_cert Znajdź parametr . Usuń komentarz z tego wiersza i podaj identyfikator URI pliku do pliku certyfikatu głównego urzędu certyfikacji na urządzeniu.

  3. Znajdź sekcję [edge_ca] pliku. Usuń komentarz z trzech wierszy w tej sekcji i podaj identyfikatory URI plików certyfikatu i plików kluczy jako wartości dla następujących właściwości:

    • Certyfikat: certyfikat urzędu certyfikacji urządzenia
    • pk: klucz prywatny urzędu certyfikacji urządzenia

  4. Zapisz i zamknij plik.

  5. Zastosuj zmiany.

    sudo iotedge config apply

Wdrażanie usługi edgeHub i kierowanie komunikatów

Urządzenia podrzędne wysyłają dane telemetryczne i komunikaty do urządzenia bramy, gdzie moduł centrum usługi IoT Edge jest odpowiedzialny za kierowanie informacji do innych modułów lub do usługi IoT Hub. Aby przygotować urządzenie bramy do tej funkcji, upewnij się, że:

  • Moduł centrum usługi IoT Edge jest wdrażany na urządzeniu.

    Po pierwszym zainstalowaniu usługi IoT Edge na urządzeniu uruchamia się automatycznie tylko jeden moduł systemowy: agent usługi IoT Edge. Po utworzeniu pierwszego wdrożenia dla urządzenia drugi moduł systemowy i centrum usługi IoT Edge również rozpocznie się. Jeśli moduł edgeHub nie jest uruchomiony na urządzeniu, utwórz wdrożenie dla urządzenia.

  • Moduł centrum usługi IoT Edge zawiera trasy skonfigurowane do obsługi komunikatów przychodzących z urządzeń podrzędnych.

    Urządzenie bramy musi mieć trasę do obsługi komunikatów z urządzeń podrzędnych lub inne te komunikaty nie zostaną przetworzone. Komunikaty można wysyłać do modułów na urządzeniu bramy lub bezpośrednio do usługi IoT Hub.

Aby wdrożyć moduł centrum usługi IoT Edge i skonfigurować go przy użyciu tras do obsługi komunikatów przychodzących z urządzeń podrzędnych, wykonaj następujące kroki:

  1. W witrynie Azure Portal przejdź do centrum IoT Hub.

  2. Przejdź do pozycji Urządzenia w menu Zarządzanie urządzeniami i wybierz urządzenie usługi IoT Edge, którego chcesz użyć jako bramy.

  3. Wybierz pozycję Ustaw moduły.

  4. Na stronie Moduły możesz dodać wszystkie moduły, które chcesz wdrożyć na urządzeniu bramy. Na potrzeby tego artykułu koncentrujemy się na konfigurowaniu i wdrażaniu modułu edgeHub, który nie musi być jawnie ustawiony na tej stronie.

  5. Wybierz pozycję Dalej: trasy.

  6. Na stronie Trasy upewnij się, że istnieje trasa do obsługi komunikatów pochodzących z urządzeń podrzędnych. Przykład:

    • Trasa, która wysyła wszystkie komunikaty z modułu lub z urządzenia podrzędnego do usługi IoT Hub:

      • Nazwa: allMessagesToHub
      • Wartość: FROM /messages/* INTO $upstream

    • Trasa, która wysyła wszystkie komunikaty ze wszystkich urządzeń podrzędnych do usługi IoT Hub:

      • Nazwa: allDownstreamToHub
      • Wartość: FROM /messages/* WHERE NOT IS_DEFINED ($connectionModuleId) INTO $upstream

      Ta trasa działa, ponieważ w przeciwieństwie do komunikatów z modułów usługi IoT Edge komunikaty z urządzeń podrzędnych nie mają skojarzonego identyfikatora modułu. Użycie klauzuli WHERE trasy pozwala nam odfiltrować wszelkie komunikaty z tą właściwością systemową.

      Aby uzyskać więcej informacji na temat routingu komunikatów, zobacz Wdrażanie modułów i ustanawianie tras.

  7. Po utworzeniu trasy lub tras wybierz pozycję Przejrzyj i utwórz.

  8. Na stronie Przeglądanie i tworzenie wybierz pozycję Utwórz.

Otwieranie portów na urządzeniu bramy

Standardowe urządzenia usługi IoT Edge nie wymagają żadnej łączności przychodzącej z funkcją, ponieważ cała komunikacja z usługą IoT Hub odbywa się za pośrednictwem połączeń wychodzących. Urządzenia bramy są różne, ponieważ muszą odbierać komunikaty z urządzeń podrzędnych. Jeśli zapora znajduje się między urządzeniami podrzędnym a urządzeniem bramy, komunikacja musi być również możliwa przez zaporę.

Aby scenariusz bramy działał, co najmniej jeden z obsługiwanych protokołów usługi IoT Edge Hub musi być otwarty dla ruchu przychodzącego z urządzeń podrzędnych. Obsługiwane protokoły to MQTT, AMQP, HTTPS, MQTT za pośrednictwem protokołów WebSocket i AMQP za pośrednictwem obiektów WebSocket.

Port Protokół
8883 MQTT
5671 AMQP
443 HTTPS
MQTT+WS
AMQP+WS

Następne kroki

Po skonfigurowaniu urządzenia usługi IoT Edge jako przezroczystej bramy należy skonfigurować urządzenia podrzędne tak, aby ufały bramie i wysyłały do niej komunikaty. Przejdź do pozycji Uwierzytelnianie urządzenia podrzędnego w usłudze Azure IoT Hub , aby wykonać następne kroki konfigurowania scenariusza przezroczystej bramy.