Tworzenie i aprowizuj urządzenia IoT Edge na dużą skalę w systemie Windows przy użyciu kluczy symetrycznych

Dotyczy ikony: IoT Edge 1.1

Ważne

IoT Edge 1.1 data zakończenia wsparcia technicznego wynosiła 13 grudnia 2022 r. Zapoznaj się z cyklem życia produktów firmy Microsoft, aby uzyskać informacje na temat sposobu obsługi tego produktu lub interfejsu API albo tej usługi lub technologii. Aby uzyskać więcej informacji na temat aktualizowania do najnowszej wersji IoT Edge, zobacz Update IoT Edge.

Ten artykuł zawiera kompleksowe instrukcje dotyczące automatycznego aprowizowania co najmniej jednego urządzenia z systemem Windows IoT Edge przy użyciu kluczy symetrycznych. Możesz automatycznie aprowizować urządzenia usługi Azure IoT Edge za pomocą usługi Azure IoT Hub device provisioning Service (DPS). Jeśli nie znasz procesu automatycznego aprowizowania, przed kontynuowaniem zapoznaj się z omówieniem aprowizacji .

Uwaga

Usługa Azure IoT Edge z kontenerami systemu Windows nie będzie obsługiwana od wersji 1.2 usługi Azure IoT Edge.

Rozważ użycie nowej metody uruchamiania IoT Edge na urządzeniach z systemem Windows, azure IoT Edge dla systemu Linux w systemie Windows.

Jeśli chcesz używać usługi Azure IoT Edge dla systemu Linux w systemie Windows, możesz wykonać kroki opisane w równoważnym przewodniku z instrukcjami.

Zadania są następujące:

1. Utwórz rejestrację indywidualną dla pojedynczego urządzenia lub rejestracji grupowej dla zestawu urządzeń.
2. Zainstaluj środowisko uruchomieniowe IoT Edge i połącz się z IoT Hub.

Zaświadczanie klucza symetrycznego to proste podejście do uwierzytelniania urządzenia przy użyciu wystąpienia usługi aprowizacji urządzeń. Ta metoda zaświadczania reprezentuje środowisko "Hello world" dla deweloperów, którzy są nowi w zakresie aprowizacji urządzeń lub nie mają rygorystycznych wymagań dotyczących zabezpieczeń. Zaświadczenie urządzenia przy użyciu certyfikatów TPM lub X.509 jest bezpieczniejsze i powinno być używane w celu uzyskania bardziej rygorystycznych wymagań dotyczących zabezpieczeń.

Wymagania wstępne

Zasoby w chmurze

• Aktywne centrum IoT
• Wystąpienie usługi aprowizacji urządzeń IoT Hub na platformie Azure połączone z centrum IoT
  • Jeśli nie masz wystąpienia usługi device provisioning, możesz postępować zgodnie z instrukcjami w przewodniku Szybki start Tworzenie nowej usługi aprowizacji urządzeń IoT Hub i Łączenie centrum IoT Hub i usługi aprowizacji urządzeń w przewodniku Szybki start IoT Hub device provisioning Service.
  • Po uruchomieniu usługi aprowizacji urządzeń skopiuj wartość pola Zakres identyfikatorów ze strony przeglądu. Ta wartość jest używana podczas konfigurowania środowiska uruchomieniowego IoT Edge.

Wymagania dotyczące urządzeń

Fizyczne lub wirtualne urządzenie z systemem Windows jako urządzenie IoT Edge.

Aby zidentyfikować każde urządzenie, należy zdefiniować unikatowyidentyfikator rejestracji . Możesz użyć adresu MAC, numeru seryjnego lub dowolnych unikatowych informacji z urządzenia. Można na przykład użyć kombinacji adresu MAC i numeru seryjnego tworzącego następujący ciąg dla identyfikatora rejestracji: sn-007-888-abc-mac-a1-b2-c3-d4-e5-f6. Prawidłowe znaki to małe litery alfanumeryczne i kreska (-).

Tworzenie rejestracji w usłudze DPS

Utwórz rejestrację w celu aprowizacji co najmniej jednego urządzenia za pośrednictwem usługi DPS.

Jeśli chcesz aprowizować pojedyncze urządzenie IoT Edge, utwórz rejestrację indywidualną. Jeśli potrzebujesz wielu aprowizowania urządzeń, wykonaj kroki tworzenia rejestracji grupy usługi DPS.

Podczas tworzenia rejestracji w usłudze DPS możesz zadeklarować początkowy stan bliźniaczej reprezentacji urządzenia. W bliźniaczej reprezentacji urządzenia można ustawić tagi, aby grupować urządzenia według dowolnej metryki potrzebnej w rozwiązaniu, takiej jak region, środowisko, lokalizacja lub typ urządzenia. Te tagi służą do tworzenia wdrożeń automatycznych.

Aby uzyskać więcej informacji na temat rejestracji w usłudze device provisioning, zobacz Jak zarządzać rejestracjami urządzeń.

Rejestracja indywidualna

Tworzenie rejestracji indywidualnej usługi DPS

Porada

Kroki opisane w tym artykule dotyczą Azure Portal, ale można również tworzyć rejestracje indywidualne przy użyciu interfejsu wiersza polecenia platformy Azure. Aby uzyskać więcej informacji, zobacz az iot dps enrollment ( Az iot dps enrollment). W ramach polecenia interfejsu wiersza polecenia użyj flagi z obsługą krawędzi, aby określić, że rejestracja dotyczy urządzenia IoT Edge.

1. W Azure Portal przejdź do wystąpienia usługi IoT Hub device provisioning.

2. W obszarze Ustawienia wybierz pozycję Zarządzaj rejestracjami.

3. Wybierz pozycję Dodaj rejestrację indywidualną , a następnie wykonaj następujące kroki, aby skonfigurować rejestrację:

   1. W obszarze Mechanizm wybierz pozycję Klucz symetryczny.

   2. Podaj unikatowy identyfikator rejestracji dla urządzenia.

   3. Opcjonalnie podaj IoT Hub identyfikator urządzenia dla urządzenia. Możesz użyć identyfikatorów urządzeń do kierowania poszczególnych urządzeń na potrzeby wdrożenia modułu. Jeśli nie podasz identyfikatora urządzenia, zostanie użyty identyfikator rejestracji.

   4. Wybierz wartość True, aby zadeklarować, że rejestracja dotyczy urządzenia IoT Edge.

   5. Opcjonalnie dodaj wartość tagu do stanu początkowej bliźniaczej reprezentacji urządzenia. Tagów można użyć do grup docelowych urządzeń na potrzeby wdrożenia modułu. Przykład:

      {
         "tags": {
            "environment": "test"
         },
         "properties": {
            "desired": {}
         }
      }
      

   6. Wybierz pozycję Zapisz.

4. Skopiuj wartość klucza podstawowego rejestracji indywidualnej do użycia podczas instalowania środowiska uruchomieniowego IoT Edge.

Teraz, gdy rejestracja istnieje dla tego urządzenia, środowisko uruchomieniowe IoT Edge może automatycznie aprowizować urządzenie podczas instalacji.

Rejestracja grupowa

Tworzenie rejestracji grupy usługi DPS

Porada

Kroki opisane w tym artykule dotyczą Azure Portal, ale można również tworzyć rejestracje grupowe przy użyciu interfejsu wiersza polecenia platformy Azure. Aby uzyskać więcej informacji, zobacz az iot dps enrollment-group. W ramach polecenia interfejsu wiersza polecenia użyj flagi z obsługą krawędzi, aby określić, że rejestracja dotyczy IoT Edge urządzeń. W przypadku rejestracji grupowej wszystkie urządzenia muszą być IoT Edge urządzenia lub żadna z nich nie może być.

1. W Azure Portal przejdź do wystąpienia usługi IoT Hub device provisioning.

2. W obszarze Ustawienia wybierz pozycję Zarządzaj rejestracjami.

3. Wybierz pozycję Dodaj rejestrację indywidualną , a następnie wykonaj następujące kroki, aby skonfigurować rejestrację:

   1. Podaj nazwę grupy.

   2. Wybierz pozycję Klucz symetryczny jako typ zaświadczania.

   3. Wybierz wartość True, aby zadeklarować, że rejestracja dotyczy urządzenia IoT Edge. W przypadku rejestracji grupowej wszystkie urządzenia muszą być IoT Edge urządzenia lub żadna z nich nie może być.

   4. Opcjonalnie dodaj wartość tagu do stanu początkowej bliźniaczej reprezentacji urządzenia. Tagów można użyć do grup docelowych urządzeń na potrzeby wdrożenia modułu. Przykład:

      {
         "tags": {
            "environment": "test"
         },
         "properties": {
            "desired": {}
         }
      }
      

   5. Wybierz pozycję Zapisz.

4. Skopiuj wartość klucz podstawowy grupy rejestracji do użycia podczas tworzenia kluczy urządzeń do użycia z rejestracją grupową.

Teraz, gdy istnieje grupa rejestracji, środowisko uruchomieniowe IoT Edge może automatycznie aprowizować urządzenia podczas instalacji.

Uzyskiwanie klucza urządzenia

Każde urządzenie aprowidowane w ramach rejestracji grupowej wymaga pochodnego klucza urządzenia w celu przeprowadzenia zaświadczania klucza symetrycznego przy użyciu rejestracji podczas aprowizacji.

Aby wygenerować klucz urządzenia, użyj klucza skopiowanego z grupy rejestracji usługi DPS, aby obliczyć HMAC-SHA256 unikatowego identyfikatora rejestracji urządzenia i przekonwertować wynik na format Base64.

Ważne

Nie dołączaj klucza podstawowego lub pomocniczego rejestracji do kodu urządzenia.

W systemie Windows możesz użyć programu PowerShell do wygenerowania pochodnego klucza urządzenia, jak pokazano w poniższym przykładzie.

Zastąp wartość KLUCZ zanotowaną wcześniej wartością Klucz podstawowy .

Zastąp wartość REG_ID identyfikatorem rejestracji urządzenia.

$KEY='PASTE_YOUR_ENROLLMENT_KEY_HERE'
$REG_ID='PASTE_YOUR_REGISTRATION_ID_HERE'

$hmacsha256 = New-Object System.Security.Cryptography.HMACSHA256
$hmacsha256.key = [Convert]::FromBase64String($KEY)
$sig = $hmacsha256.ComputeHash([Text.Encoding]::ASCII.GetBytes($REG_ID))
$derivedkey = [Convert]::ToBase64String($sig)
echo "`n$derivedkey`n"

Poniżej przedstawiono przykładowe dane wyjściowe klucza pochodnego urządzenia:

Jsm0lyGpjaVYVP2g3FnmnmG9dI/9qU24wNoykUmermc=

Instalowanie IoT Edge

W tej sekcji przygotujesz maszynę wirtualną z systemem Windows lub urządzenie fizyczne do IoT Edge. Następnie zainstalujesz IoT Edge.

Usługa Azure IoT Edge korzysta ze środowiska uruchomieniowego kontenera zgodnego ze standardem OCI. Moby, aparat oparty na moby, jest dołączony do skryptu instalacji, co oznacza, że nie ma żadnych dodatkowych kroków do zainstalowania aparatu.

Aby zainstalować środowisko uruchomieniowe IoT Edge:

1. Uruchom program PowerShell jako administrator.

   Użyj sesji programu PowerShell AMD64, a nie programu PowerShell (x86). Jeśli nie masz pewności, którego typu sesji używasz, uruchom następujące polecenie:

   (Get-Process -Id $PID).StartInfo.EnvironmentVariables["PROCESSOR_ARCHITECTURE"]
   

2. Uruchom polecenie Deploy-IoTEdge , które wykonuje następujące zadania:

   • Sprawdza, czy maszyna z systemem Windows jest w obsługiwanej wersji
   • Włącza funkcję kontenerów
   • Pobiera aparat moby i środowisko uruchomieniowe IoT Edge

   . {Invoke-WebRequest -useb https://aka.ms/iotedge-win} | Invoke-Expression; `
   Deploy-IoTEdge
   

3. Uruchom ponownie urządzenie, jeśli zostanie wyświetlony monit.

Podczas instalowania IoT Edge na urządzeniu można użyć dodatkowych parametrów, aby zmodyfikować proces, w tym:

• Kierowanie ruchu do przechodzenia przez serwer proxy
• Wskaż instalatorowi katalog lokalny na potrzeby instalacji w trybie offline

Aby uzyskać więcej informacji na temat tych dodatkowych parametrów, zobacz Skrypty programu PowerShell dla IoT Edge z kontenerami systemu Windows.

Aprowizuj urządzenie przy użyciu tożsamości chmury

Po zainstalowaniu środowiska uruchomieniowego na urządzeniu skonfiguruj urządzenie przy użyciu informacji używanych do nawiązania połączenia z usługą aprowizacji urządzeń i IoT Hub.

Przygotuj następujące informacje:

• Wartość zakresu identyfikatora usługi DPS
• Utworzony identyfikator rejestracji urządzenia
• Klucz podstawowy z rejestracji indywidualnej lub klucz pochodny dla urządzeń korzystających z rejestracji grupowej.

1. Otwórz okno programu PowerShell w trybie administratora. Pamiętaj, aby użyć sesji programu PowerShell AMD64 podczas instalowania IoT Edge, a nie programu PowerShell (x86).

2. Polecenie Initialize-IoTEdge konfiguruje środowisko uruchomieniowe IoT Edge na maszynie. Polecenie domyślnie wykonuje ręczną aprowizację za pomocą kontenerów systemu Windows, dlatego użyj -DpsSymmetricKey flagi , aby użyć automatycznej aprowizacji z uwierzytelnianiem klucza symetrycznego.

   Zastąp wartości symbolu zastępczego wartości paste_scope_id_here, paste_registration_id_herei paste_symmetric_key_here danymi zebranymi wcześniej.

   . {Invoke-WebRequest -useb https://aka.ms/iotedge-win} | Invoke-Expression; `
   Initialize-IoTEdge -DpsSymmetricKey -ScopeId paste_scope_id_here -RegistrationId paste_registration_id_here -SymmetricKey paste_symmetric key_here
   

Weryfikowanie pomyślnej instalacji

Jeśli środowisko uruchomieniowe zostało uruchomione pomyślnie, możesz przejść do IoT Hub i rozpocząć wdrażanie modułów IoT Edge na urządzeniu.

Rejestracja indywidualna

Możesz sprawdzić, czy użyto rejestracji indywidualnej utworzonej w usłudze aprowizacji urządzeń. Przejdź do wystąpienia usługi aprowizacji urządzeń w Azure Portal. Otwórz szczegóły rejestracji dla utworzonej rejestracji indywidualnej. Zwróć uwagę, że stan rejestracji jest przypisany , a identyfikator urządzenia jest wyświetlany na liście.

Rejestracja grupowa

Możesz sprawdzić, czy użyto rejestracji grupy utworzonej w usłudze aprowizacji urządzeń. Przejdź do wystąpienia usługi aprowizacji urządzeń w Azure Portal. Otwórz szczegóły rejestracji dla utworzonej rejestracji grupy. Przejdź do karty Rekordy rejestracji , aby wyświetlić wszystkie urządzenia zarejestrowane w tej grupie.

Użyj następujących poleceń na urządzeniu, aby sprawdzić, czy IoT Edge zainstalowana i uruchomiona pomyślnie.

Sprawdź stan usługi IoT Edge.

Get-Service iotedge

Sprawdź dzienniki usług.

. {Invoke-WebRequest -useb aka.ms/iotedge-win} | Invoke-Expression; Get-IoTEdgeLog

Wyświetl listę uruchomionych modułów.

iotedge list

Następne kroki

Proces rejestracji usługi aprowizacji urządzeń umożliwia ustawienie identyfikatora urządzenia i tagów bliźniaczej reprezentacji urządzenia w tym samym czasie, co aprowizowanie nowego urządzenia. Możesz użyć tych wartości do określania docelowych poszczególnych urządzeń lub grup urządzeń przy użyciu automatycznego zarządzania urządzeniami. Dowiedz się, jak wdrażać i monitorować moduły IoT Edge na dużą skalę przy użyciu Azure Portal lub interfejsu wiersza polecenia platformy Azure.