Tworzenie i aprowizowanie urządzenia usługi IoT Edge w systemie Linux przy użyciu certyfikatów X.509

Dotyczy: IoT Edge 1.5 IoT Edge 1.4

Ważne

Obsługiwane są wersje usługi IoT Edge 1.5 LTS i IoT Edge 1.4 LTS. Usługa IoT Edge 1.4 LTS kończy się 12 listopada 2024 r. Jeśli korzystasz z wcześniejszej wersji, zobacz aktualizację Azure IoT Edge.

Ten artykuł zawiera kompleksowe instrukcje dotyczące rejestrowania i aprowizacji urządzenia usługi IoT Edge z systemem Linux, w tym instalowania usługi IoT Edge.

Każde urządzenie, które łączy się z centrum IoT Hub, ma identyfikator urządzenia używany do śledzenia komunikacji między chmurą a urządzeniem i chmurą. Urządzenie należy skonfigurować przy użyciu informacji o połączeniu, które zawiera nazwę hosta centrum IoT, identyfikator urządzenia i informacje używane przez urządzenie do uwierzytelniania w usłudze IoT Hub.

Kroki opisane w tym artykule obejmują proces ręcznej aprowizacji, w którym łączysz jedno urządzenie z centrum IoT Hub. W przypadku aprowizacji ręcznej dostępne są dwie opcje uwierzytelniania urządzeń usługi IoT Edge:

• Klucze symetryczne: podczas tworzenia nowej tożsamości urządzenia w usłudze IoT Hub usługa tworzy dwa klucze. Umieszczasz jeden z kluczy na urządzeniu i przedstawia klucz do usługi IoT Hub podczas uwierzytelniania.

  Ta metoda uwierzytelniania jest szybsza, aby rozpocząć pracę, ale nie jest tak bezpieczna.

• Podpis własny X.509: Tworzysz dwa certyfikaty tożsamości X.509 i umieszczasz je na urządzeniu. Podczas tworzenia nowej tożsamości urządzenia w usłudze IoT Hub podajesz odciski palca z obu certyfikatów. Gdy urządzenie uwierzytelnia się w usłudze IoT Hub, przedstawia jeden certyfikat, a usługa IoT Hub sprawdza, czy certyfikat jest zgodny z jego odciskiem palca.

  Ta metoda uwierzytelniania jest bezpieczniejsza i zalecana w scenariuszach produkcyjnych.

W tym artykule opisano używanie certyfikatów X.509 jako metody uwierzytelniania. Jeśli chcesz użyć kluczy symetrycznych, zobacz Tworzenie i aprowizowanie urządzenia usługi IoT Edge w systemie Linux przy użyciu kluczy symetrycznych.

Uwaga

Jeśli masz wiele urządzeń do skonfigurowania i nie chcesz ręcznie aprowizować poszczególnych urządzeń, skorzystaj z jednego z następujących artykułów, aby dowiedzieć się, jak usługa IoT Edge współpracuje z usługą aprowizacji urządzeń usługi IoT Hub:

• Tworzenie i aprowizuj urządzenia usługi IoT Edge na dużą skalę przy użyciu certyfikatów X.509
• Tworzenie i aprowizuj urządzenia usługi IoT Edge na dużą skalę za pomocą modułu TPM
• Tworzenie i aprowizuj urządzenia usługi IoT Edge na dużą skalę przy użyciu kluczy symetrycznych

Wymagania wstępne

W tym artykule opisano rejestrowanie urządzenia usługi IoT Edge i instalowanie na nim usługi IoT Edge. Te zadania mają różne wymagania wstępne i narzędzia używane do ich wykonania. Przed kontynuowaniem upewnij się, że zostały spełnione wszystkie wymagania wstępne.

Narzędzia do zarządzania urządzeniami

Aby wykonać kroki rejestrowania urządzenia, możesz użyć witryny Azure Portal, programu Visual Studio Code lub interfejsu wiersza polecenia platformy Azure. Każde narzędzie ma własne wymagania wstępne lub może być konieczne zainstalowanie:

Portal

Bezpłatne lub standardowe centrum IoT w ramach subskrypcji platformy Azure.

Visual Studio Code

• Bezpłatne lub standardowe centrum IoT w ramach subskrypcji platformy Azure
• Visual Studio Code
• Rozszerzenie usługi Azure IoT Edge . Rozszerzenia usługi Azure IoT Edge dla programu Visual Studio Code są w trybie konserwacji.
• Rozszerzenie usługi Azure IoT Hub

Interfejs wiersza polecenia platformy Azure

• Bezpłatne lub standardowe centrum IoT w ramach subskrypcji platformy Azure

• Interfejs wiersza polecenia platformy Azure w środowisku

  Co najmniej wersja interfejsu wiersza polecenia platformy Azure musi być w wersji 2.0.70 lub nowszej. Użyj polecenia az --version w celu przeprowadzenia weryfikacji. Ta wersja obsługuje az polecenia rozszerzenia i wprowadza platformę poleceń Knack.

Wymagania dotyczące urządzenia

Urządzenie z systemem Linux X64, ARM32 lub ARM64.

Firma Microsoft publikuje pakiety instalacyjne dla różnych systemów operacyjnych.

Aby uzyskać najnowsze informacje o tym, które systemy operacyjne są obecnie obsługiwane w scenariuszach produkcyjnych, zobacz Obsługiwane systemy usługi Azure IoT Edge.

Generowanie certyfikatów tożsamości urządzenia

Ręczna aprowizacja przy użyciu certyfikatów X.509 wymaga usługi IoT Edge w wersji 1.0.10 lub nowszej.

Podczas aprowizowania urządzenia usługi IoT Edge przy użyciu certyfikatów X.509 należy użyć certyfikatu tożsamości urządzenia. Ten certyfikat jest używany tylko do aprowizowania urządzenia usługi IoT Edge i uwierzytelniania urządzenia za pomocą usługi Azure IoT Hub. Jest to certyfikat liścia, który nie podpisuje innych certyfikatów. Certyfikat tożsamości urządzenia jest oddzielony od certyfikatów urzędu certyfikacji , które urządzenie usługi IoT Edge przedstawia modułom lub urządzeniom podrzędnym na potrzeby weryfikacji.

W przypadku uwierzytelniania certyfikatu X.509 informacje o uwierzytelnianiu każdego urządzenia są udostępniane w postaci odcisków palca pobranych z certyfikatów tożsamości urządzenia. Te odciski palca są przekazywane do usługi IoT Hub w momencie rejestracji urządzenia, aby usługa mogła rozpoznać urządzenie podczas nawiązywania połączenia.

Aby uzyskać więcej informacji na temat sposobu użycia certyfikatów urzędu certyfikacji na urządzeniach usługi IoT Edge, zobacz Omówienie sposobu korzystania z certyfikatów w usłudze Azure IoT Edge.

Do aprowizacji ręcznej w środowisku X.509 potrzebne są następujące pliki:

• Dwa certyfikaty tożsamości urządzenia z ich zgodnymi certyfikatami klucza prywatnego w formatach .cer lub pem. Do rotacji certyfikatów potrzebne są dwa certyfikaty tożsamości urządzenia. Najlepszym rozwiązaniem jest przygotowanie dwóch różnych certyfikatów tożsamości urządzeń z różnymi datami wygaśnięcia. Jeśli jeden certyfikat wygaśnie, drugi jest nadal ważny i daje czas na wymianę wygasłego certyfikatu.

  Jeden zestaw plików certyfikatów i kluczy jest dostarczany do środowiska uruchomieniowego usługi IoT Edge. Podczas tworzenia certyfikatów tożsamości urządzenia ustaw nazwę pospolitą certyfikatu (CN) przy użyciu identyfikatora urządzenia, który ma mieć urządzenie w centrum IoT Hub.

• Odciski palca pobrane z obu certyfikatów tożsamości urządzenia. Usługa IoT Hub wymaga dwóch odcisków palca podczas rejestrowania urządzenia usługi IoT Edge. Do rejestracji można użyć tylko jednego certyfikatu. Aby użyć pojedynczego certyfikatu, ustaw ten sam odcisk palca certyfikatu zarówno dla podstawowych, jak i pomocniczych odcisków palca podczas rejestrowania urządzenia.

  Wartości odcisku palca to 40-szesnastkowe znaki skrótów SHA-1 lub 64-szesnastkowe znaki skrótów SHA-256. Oba odciski palca są udostępniane usłudze IoT Hub w momencie rejestracji urządzenia.

  Jednym ze sposobów pobrania odcisku palca z certyfikatu jest następujące polecenie openssl:

  openssl x509 -in <certificate filename>.pem -text -fingerprint
  

  Odcisk palca jest uwzględniony w danych wyjściowych tego polecenia. Na przykład:

  SHA1 Fingerprint=D2:68:D9:04:9F:1A:4D:6A:FD:84:77:68:7B:C6:33:C0:32:37:51:12
  

Jeśli nie masz dostępnych certyfikatów, możesz utworzyć certyfikaty demonstracyjne, aby przetestować funkcje urządzeń usługi IoT Edge. Postępuj zgodnie z instrukcjami w tym artykule, aby skonfigurować skrypty tworzenia certyfikatów, utworzyć certyfikat głównego urzędu certyfikacji i utworzyć certyfikat tożsamości urządzenia usługi IoT Edge. Na potrzeby testowania można utworzyć pojedynczy certyfikat tożsamości urządzenia i użyć tego samego odcisku palca zarówno dla podstawowych, jak i pomocniczych wartości odcisku palca podczas rejestrowania urządzenia w usłudze IoT Hub.

Rejestrowanie własnego urządzenia

Aby zarejestrować urządzenie, w zależności od preferencji, możesz użyć witryny Azure Portal, programu Visual Studio Code lub interfejsu wiersza polecenia platformy Azure.

Portal

W centrum IoT w witrynie Azure Portal urządzenia usługi IoT Edge są tworzone i zarządzane oddzielnie od urządzeń IoT, które nie są włączone.

1. Zaloguj się do witryny Azure Portal i przejdź do centrum IoT Hub.

2. W okienku po lewej stronie wybierz pozycję Urządzenia z menu, a następnie wybierz pozycję Dodaj urządzenie.

3. Na stronie Tworzenie urządzenia podaj następujące informacje:

   • Utwórz opisowy identyfikator urządzenia. Zanotuj ten identyfikator urządzenia, ponieważ będzie on używany później.
   • Zaznacz pole wyboru Urządzenie usługi IoT Edge.
   • Wybierz pozycję X.509 Self-Signed jako typ uwierzytelniania.
   • Podaj odciski palca certyfikatu tożsamości podstawowej i pomocniczej. Wartości odcisku palca to 40-szesnastkowe znaki skrótów SHA-1 lub 64-szesnastkowe znaki skrótów SHA-256. Witryna Azure Portal obsługuje tylko wartości szesnastkowe. Usuń separatory kolumn i spacje z wartości odcisku palca przed wprowadzeniem ich w portalu. Na przykład D2:68:D9:04:9F:1A:4D:6A:FD:84:77:68:7B:C6:33:C0:32:37:51:12 parametr jest wprowadzany jako D268D9049F1A4D6AFD8477687BC633C032375112.

   Napiwek

   Jeśli testujesz i chcesz użyć jednego certyfikatu, możesz użyć tego samego certyfikatu zarówno dla podstawowych, jak i pomocniczych odcisków palców.

4. Wybierz pozycję Zapisz.

Visual Studio Code

Obecnie rozszerzenie Usługi Azure IoT dla programu Visual Studio Code nie obsługuje rejestracji urządzeń przy użyciu certyfikatów X.509.

Interfejs wiersza polecenia platformy Azure

Użyj polecenia az iot hub device-identity create, aby utworzyć nową tożsamość urządzenia w centrum IoT. Na przykład:

az iot hub device-identity create --device-id <device_id_here> --hub-name <hub_name_here> --edge-enabled --auth-method x509_thumbprint --primary-thumbprint <primary_SHA_thumbprint_here> --secondary-thumbprint <secondary_SHA_thumbprint_here>

To polecenie zawiera kilka parametrów:

• --device-id lub -d: podaj opisową nazwę unikatową dla centrum IoT. Zanotuj ten identyfikator urządzenia, ponieważ będzie on używany w następnej sekcji.
• hub-name lub -n: podaj nazwę centrum IoT Hub.
• --edge-enabled lub --ee: zadeklaruj, że urządzenie jest urządzeniem usługi IoT Edge.
• --auth-method lub --am: zadeklaruj typ autoryzacji, który będzie używany przez urządzenie. W tym przypadku używamy odcisków palca certyfikatu X.509.
• --primary-thumbprint lub --ptp: Podaj odcisk palca certyfikatu X.509 do użycia jako klucz podstawowy. Obsługiwane są tylko wartości szesnastkowe. Usuń separatory kolumn i spacje z wartości odcisku palca. Na przykład D2:68:D9:04:9F:1A:4D:6A:FD:84:77:68:7B:C6:33:C0:32:37:51:12 parametr jest wprowadzany jako D268D9049F1A4D6AFD8477687BC633C032375112.
• --secondary-thumbprint lub --stp: podaj odcisk palca certyfikatu X.509 do użycia jako klucz pomocniczy. Usuń separatory kolumn i spacje z wartości odcisku palca. Jeśli testujesz i chcesz użyć jednego certyfikatu, możesz użyć tego samego certyfikatu zarówno dla podstawowych, jak i pomocniczych odcisków palców.

Po zarejestrowaniu urządzenia w usłudze IoT Hub pobierz informacje używane do ukończenia instalacji i aprowizacji środowiska uruchomieniowego usługi IoT Edge.

Wyświetlanie zarejestrowanych urządzeń i pobieranie informacji o aprowizacji

Urządzenia korzystające z uwierzytelniania certyfikatu X.509 wymagają nazwy centrum IoT Hub, nazwy urządzenia i plików certyfikatów w celu ukończenia instalacji i aprowizacji środowiska uruchomieniowego usługi IoT Edge.

Portal

Urządzenia z obsługą krawędzi, które łączą się z centrum IoT Hub, są wyświetlane na stronie Urządzenia . Listę można filtrować według typu urządzenia IoT Edge.

Visual Studio Code

Chociaż nie ma obsługi rejestracji urządzeń przy użyciu certyfikatów X.509 za pośrednictwem programu Visual Studio Code, nadal możesz wyświetlać urządzenia usługi IoT Edge, jeśli zajdzie taka potrzeba.

Wszystkie urządzenia, które łączą się z centrum IoT Hub, są wymienione w sekcji Usługi Azure IoT Hub w Eksploratorze programu Visual Studio Code. Urządzenia usługi IoT Edge można odróżnić od urządzeń innych niż Edge z inną ikoną, a fakt, że moduły $edgeAgent i $edgeHub są wdrażane na każdym urządzeniu usługi IoT Edge.

Interfejs wiersza polecenia platformy Azure

Użyj polecenia az iot hub device-identity list, aby wyświetlić wszystkie urządzenia w centrum IoT Hub. Na przykład:

az iot hub device-identity list --hub-name <hub_name_here>

Każde urządzenie zarejestrowane jako urządzenie usługi IoT Edge ma właściwość capabilities.iotEdge ustawiono wartość true.

Instalowanie usługi IoT Edge

W tej sekcji przygotujesz maszynę wirtualną z systemem Linux lub urządzenie fizyczne na potrzeby usługi IoT Edge. Następnie zainstalujesz przeglądarkę IoT Edge.

Uruchom następujące polecenia, aby dodać repozytorium pakietów, a następnie dodaj klucz podpisywania pakietu firmy Microsoft do listy zaufanych kluczy.

Ważne

30 czerwca 2022 r. urządzenie Raspberry Pi OS Stretch zostało wycofane z listy pomocy technicznej systemu operacyjnego Tier 1. Aby uniknąć potencjalnych luk w zabezpieczeniach, zaktualizuj system operacyjny hosta do Bullseye.

Ubuntu

Instalowanie można wykonać za pomocą kilku poleceń. Otwórz terminal i uruchom następujące polecenia:

• 22.04:

  wget https://packages.microsoft.com/config/ubuntu/22.04/packages-microsoft-prod.deb -O packages-microsoft-prod.deb
  sudo dpkg -i packages-microsoft-prod.deb
  rm packages-microsoft-prod.deb
  

• 20.04:

  wget https://packages.microsoft.com/config/ubuntu/20.04/packages-microsoft-prod.deb -O packages-microsoft-prod.deb
  sudo dpkg -i packages-microsoft-prod.deb
  rm packages-microsoft-prod.deb
  

Debian

Instalowanie za pomocą narzędzia APT można wykonać za pomocą kilku poleceń. Otwórz terminal i uruchom następujące polecenia:

• 11 - Bullseye (arm32v7):

  curl https://packages.microsoft.com/config/debian/11/packages-microsoft-prod.deb > ./packages-microsoft-prod.deb
  sudo apt install ./packages-microsoft-prod.deb
  

Napiwek

Jeśli podczas instalacji systemu operacyjnego podano hasło "root", nie będzie potrzebne polecenie "sudo" i można uruchomić powyższe polecenie, zaczynając od polecenia "apt".

Red Hat Enterprise Linux

Instalowanie można wykonać za pomocą kilku poleceń. Otwórz terminal i uruchom następujące polecenia:

• 9.x (amd64):

    wget https://packages.microsoft.com/config/rhel/9.0/packages-microsoft-prod.rpm -O packages-microsoft-prod.rpm
    sudo yum localinstall packages-microsoft-prod.rpm
    rm packages-microsoft-prod.rpm
  

• 8.x (amd64):

    wget https://packages.microsoft.com/config/rhel/8/packages-microsoft-prod.rpm -O packages-microsoft-prod.rpm
    sudo yum localinstall packages-microsoft-prod.rpm
    rm packages-microsoft-prod.rpm
  

Przystawki systemu Ubuntu Core

Środowisko uruchomieniowe usługi IoT Edge jest instalowane z magazynu przystawki w późniejszym kroku. Przejdź do następnej sekcji.

Aby uzyskać więcej informacji na temat wersji systemu operacyjnego, zobacz Platformy obsługiwane przez usługę Azure IoT Edge.

Uwaga

Pakiety oprogramowania usługi Azure IoT Edge podlegają postanowieniom licencyjnym znajdującym się w każdym pakiecie (usr/share/doc/{package-name} lub LICENSE katalogu). Przeczytaj postanowienia licencyjne przed użyciem pakietu. Instalacja i użycie pakietu stanowi akceptację niniejszych warunków. Jeśli nie zgadzasz się z postanowieniami licencyjnymi, nie używaj tego pakietu.

Instalowanie aparatu kontenera

Usługa Azure IoT Edge korzysta ze środowiska uruchomieniowego kontenera zgodnego z technologią OCI. W przypadku scenariuszy produkcyjnych zalecamy użycie aparatu Moby. Aparat Moby jest jedynym oficjalnie obsługiwanym aparatem kontenerów w usłudze IoT Edge. Obrazy kontenerów platformy Docker CE/EE są zgodne ze środowiskiem uruchomieniowym Moby.

Ubuntu

Zainstaluj aparat Moby.

sudo apt-get update; \
  sudo apt-get install moby-engine

Debian

Zainstaluj aparat Moby.

sudo apt-get update; \
  sudo apt-get install moby-engine

Red Hat Enterprise Linux

Zainstaluj aparat Moby i interfejs wiersza polecenia.

sudo yum install moby-engine moby-cli

Napiwek

Jeśli podczas instalowania aparatu kontenera Moby wystąpią błędy, sprawdź zgodność jądra systemu Linux pod kątem zgodności z narzędziem Moby. Niektórzy producenci urządzeń osadzonych wysyłają obrazy urządzeń, które zawierają niestandardowe jądra systemu Linux bez funkcji wymaganych do zapewnienia zgodności aparatu kontenera. Uruchom następujące polecenie, które używa skryptu check-config dostarczonego przez program Moby, aby sprawdzić konfigurację jądra:

curl -ssl https://raw.githubusercontent.com/moby/moby/master/contrib/check-config.sh -o check-config.sh
chmod +x check-config.sh
./check-config.sh

W danych wyjściowych skryptu sprawdź, czy wszystkie elementy w obszarze Generally Necessary i Network Drivers są włączone. Jeśli brakuje funkcji, włącz je, ponownie skompilując jądro ze źródła i wybierając skojarzone moduły do włączenia w odpowiedniej konfiguracji jądra. Podobnie, jeśli używasz generatora konfiguracji jądra, takiego jak defconfig lub menuconfig, znajdź i włącz odpowiednie funkcje i odpowiednio skompiluj jądro. Po wdrożeniu nowo zmodyfikowanego jądra ponownie uruchom skrypt check-config, aby sprawdzić, czy wszystkie wymagane funkcje zostały pomyślnie włączone.

Przystawki systemu Ubuntu Core

Usługa IoT Edge ma zależności od platformy Docker i usługi tożsamości IoT. Zainstaluj zależności przy użyciu następujących poleceń:

sudo snap install docker
sudo snap install azure-iot-identity

Domyślnie aparat kontenera nie ustawia limitów rozmiaru dziennika kontenera. Po pewnym czasie może to prowadzić do zapełnienia urządzenia dziennikami i wyczerpania miejsca na dysku. Można jednak skonfigurować dziennik tak, aby był wyświetlany lokalnie, choć jest opcjonalny. Aby dowiedzieć się więcej na temat konfiguracji rejestrowania, zobacz Lista kontrolna wdrażania produkcyjnego.

W poniższych krokach pokazano, jak skonfigurować kontener do używania local sterownika rejestrowania jako mechanizmu rejestrowania.

Ubuntu / Debian / RHEL

1. Tworzenie lub edytowanie istniejącego pliku konfiguracji demona platformy Docker

   sudo nano /etc/docker/daemon.json
   

2. Ustaw domyślny sterownik rejestrowania na local sterownik rejestrowania, jak pokazano w przykładzie.

      {
         "log-driver": "local"
      }
   

3. Uruchom ponownie aparat kontenera, aby zmiany zaczęły obowiązywać.

   sudo systemctl restart docker
   

Przystawki systemu Ubuntu Core

Obecnie ustawienie sterownika rejestrowania lokalnego nie jest obsługiwane w przypadku przystawki platformy Docker.

Instalowanie środowiska uruchomieniowego usługi IoT Edge

Usługa IoT Edge zapewnia i utrzymuje standardy zabezpieczeń na urządzeniu usługi IoT Edge. Usługa uruchamia się na każdym rozruchu i uruchamia urządzenie, uruchamiając resztę środowiska uruchomieniowego usługi IoT Edge.

Uwaga

Począwszy od wersji 1.2, usługa tożsamości IoT obsługuje aprowizowanie tożsamości i zarządzanie nimi dla usługi IoT Edge oraz innych składników urządzeń, które muszą komunikować się z usługą IoT Hub.

Kroki opisane w tej sekcji reprezentują typowy proces instalowania najnowszej wersji usługi IoT Edge na urządzeniu z połączeniem internetowym. Jeśli musisz zainstalować określoną wersję, taką jak wersja wstępna, lub zainstalować ją w trybie offline, wykonaj kroki instalacji w trybie offline lub określonej wersji w dalszej części tego artykułu.

Napiwek

Jeśli masz już urządzenie usługi IoT Edge z starszą wersją i chcesz przeprowadzić uaktualnienie do najnowszej wersji, wykonaj kroki opisane w temacie Aktualizowanie demona zabezpieczeń usługi IoT Edge i środowiska uruchomieniowego. Nowsze wersje są wystarczająco różne od poprzednich wersji usługi IoT Edge, że do uaktualnienia niezbędne są konkretne kroki.

Ubuntu

Zainstaluj najnowszą wersję usługi IoT Edge i pakietu usługi tożsamości IoT (jeśli nie jesteś jeszcze aktualny):

• 22.04:

  sudo apt-get update; \
     sudo apt-get install aziot-edge
  

• 20.04:

  sudo apt-get update; \
     sudo apt-get install aziot-edge defender-iot-micro-agent-edge
  

Opcjonalny defender-iot-micro-agent-edge pakiet obejmuje mikroa agenta zabezpieczeń usługi Microsoft Defender for IoT, który zapewnia wgląd w zarządzanie stanem zabezpieczeń, luki w zabezpieczeniach, wykrywanie zagrożeń, zarządzanie flotą i nie tylko, aby ułatwić zabezpieczanie urządzeń usługi IoT Edge. Zaleca się zainstalowanie mikro agenta za pomocą agenta usługi Edge w celu włączenia monitorowania zabezpieczeń i wzmacniania zabezpieczeń urządzeń brzegowych. Aby dowiedzieć się więcej o usłudze Microsoft Defender dla IoT, zobacz Co to jest usługa Microsoft Defender dla IoT dla konstruktorów urządzeń.

Debian

Zainstaluj najnowszą wersję usługi IoT Edge i pakietu usługi tożsamości IoT (jeśli nie jesteś jeszcze aktualny):

sudo apt-get update; \
  sudo apt-get install aziot-edge defender-iot-micro-agent-edge

Opcjonalny pakiet defender-iot-micro-agent-edge zawiera mikroa agenta zabezpieczeń usługi Microsoft Defender for IoT, który zapewnia wgląd w zabezpieczenia zarządzania stanem zabezpieczeń, luk w zabezpieczeniach, wykrywania zagrożeń, zarządzania flotą i nie tylko, aby ułatwić zabezpieczanie urządzeń usługi IoT Edge. Zaleca się zainstalowanie mikro agenta za pomocą agenta usługi Edge w celu włączenia monitorowania zabezpieczeń i wzmacniania zabezpieczeń urządzeń brzegowych. Aby dowiedzieć się więcej o usłudze Microsoft Defender dla IoT, zobacz Co to jest usługa Microsoft Defender dla IoT dla konstruktorów urządzeń.

Red Hat Enterprise Linux

Zainstaluj najnowszą wersję usługi IoT Edge i pakietu usługi tożsamości IoT (jeśli nie jesteś jeszcze aktualny):

sudo yum install aziot-edge

Przystawki systemu Ubuntu Core

Zainstaluj usługę IoT Edge z magazynu przystawki:

sudo snap install azure-iot-edge

przystawki Połączenie

Domyślnie przystawki są wolne od zależności, niezaufane i ściśle ograniczone. W związku z tym przystawki muszą być połączone z innymi przystawkami i zasobami systemowymi po instalacji. Użyj następujących poleceń, aby połączyć usługę tożsamości IoT i przystawkę usługi IoT Edge ze sobą i z zasobami systemowymi. Aby rozpocząć, przystawki muszą być połączone ręcznie. W przypadku wdrożeń produkcyjnych można je skonfigurować tak, aby automatycznie łączyć się w celu zmniejszenia obciążenia aprowizacji.

#------------------------
#  IoT Identity Service
#------------------------

# Connect the Identity Service snap to the logging system
# and grant permission to query system info

sudo snap connect azure-iot-identity:log-observe
sudo snap connect azure-iot-identity:mount-observe
sudo snap connect azure-iot-identity:system-observe
sudo snap connect azure-iot-identity:hostname-control

# If using a TPM, enable TPM access

sudo snap connect azure-iot-identity:tpm

#------------
#  IoT Edge
#------------

# Connect to your /home directory to enable writing support bundles

sudo snap connect azure-iot-edge:home

# Connect to logging and grant permission to query system info

sudo snap connect azure-iot-edge:log-observe
sudo snap connect azure-iot-edge:mount-observe
sudo snap connect azure-iot-edge:system-observe
sudo snap connect azure-iot-edge:hostname-control
# Allow IoT Edge to connect to the /var/run/iotedge folder and use sockets

sudo snap connect azure-iot-edge:run-iotedge

# Connect IoT Edge to Docker

sudo snap connect azure-iot-edge:docker docker:docker-daemon

Aprowizuj urządzenie przy użyciu tożsamości w chmurze

Teraz, gdy aparat kontenera i środowisko uruchomieniowe usługi IoT Edge są zainstalowane na urządzeniu, możesz przystąpić do konfigurowania urządzenia przy użyciu informacji o tożsamości i uwierzytelnianiu w chmurze.

Ubuntu / Debian / RHEL

1. Utwórz plik konfiguracji dla urządzenia na podstawie pliku szablonu dostarczonego w ramach instalacji usługi IoT Edge.

   sudo cp /etc/aziot/config.toml.edge.template /etc/aziot/config.toml
   

2. Na urządzeniu usługi IoT Edge otwórz plik konfiguracji.

   sudo nano /etc/aziot/config.toml
   

3. Znajdź sekcję Aprowizacja pliku i usuń komentarz wierszy na potrzeby ręcznej aprowizacji przy użyciu certyfikatu tożsamości X.509. Upewnij się, że wszystkie inne sekcje aprowizacji są komentowane.

   # Manual provisioning with x.509 certificates
   [provisioning]
   source = "manual"
   iothub_hostname = "REQUIRED_IOTHUB_HOSTNAME"
   device_id = "REQUIRED_DEVICE_ID_PROVISIONED_IN_IOTHUB"
   
   [provisioning.authentication]
   method = "x509"
   
   identity_cert = "REQUIRED_URI_OR_POINTER_TO_DEVICE_IDENTITY_CERTIFICATE"
   
   identity_pk = "REQUIRED_URI_TO_DEVICE_IDENTITY_PRIVATE_KEY"
   

Zaktualizuj następujące pola:

• iothub_hostname: nazwa hosta usługi IoT Hub, z którymi nawiązuje połączenie urządzenie. Na przykład {IoT hub name}.azure-devices.net.
• device_id: identyfikator podany podczas rejestrowania urządzenia.
• identity_cert: identyfikator URI do certyfikatu tożsamości na urządzeniu, na przykład: file:///path/identity_certificate.pem. Lub dynamicznie wystawiaj certyfikat przy użyciu est lub lokalnego urzędu certyfikacji.
• identity_pk: identyfikator URI do pliku klucza prywatnego dla podanego certyfikatu tożsamości, na przykład: file:///path/identity_key.pem. Możesz też podać identyfikator URI PKCS#11, a następnie podaj informacje o konfiguracji w pliku

Sekcja PKCS#11 w dalszej części pliku konfiguracji.

Aby uzyskać więcej informacji na temat certyfikatów, zobacz Zarządzanie certyfikatami usługi IoT Edge.

Zapisz i zamknij plik.

CTRL + X, , YEnter

Po wprowadzeniu informacji o aprowizacji w pliku konfiguracji zastosuj zmiany:

sudo iotedge config apply

Przystawki systemu Ubuntu Core

1. Skopiuj plik klucza tożsamości i certyfikat w /var/snap/azure-iot-identity/common/provisioning katalogu. Utwórz katalog, jeśli nie istnieje.

2. Utwórz plik config.toml w katalogu macierzysty i skonfiguruj urządzenie usługi IoT Edge na potrzeby ręcznej aprowizacji przy użyciu certyfikatu tożsamości X.509.

   sudo nano ~/config.toml
   

3. Możesz ręcznie aprowizować przy użyciu certyfikatu X.509, dodając następujące ustawienia aprowizacji do pliku:

   [provisioning]
   source = "manual"
   iothub_hostname = "IOT_HUB_HOSTNAME"
   device_id = "REQUIRED_DEVICE_ID_PROVISIONED_IN_IOTHUB"
   
   [provisioning.authentication]
   
   method = "x509"
   identity_cert = "file:///var/snap/azure-iot-identity/common/provisioning/IDENTITY_CERT_FILENAME"
   identity_pk = "file:///var/snap/azure-iot-identity/common/provisioning/IDENTITY_PK_FILENAME"
   

   Zaktualizuj następujące pola:

   • iothub_hostname: nazwa hosta usługi IoT Hub, na której urządzenie się łączy. Na przykład example.azure-devices.net.
   • device_id: identyfikator podany podczas rejestrowania urządzenia.
   • identity_cert: identyfikator URI do certyfikatu tożsamości na urządzeniu, na przykład: file:///var/snap/azure-iot-identity/common/provisioning/identity_certificate.pem.
   • identity_pk: identyfikator URI do pliku klucza prywatnego dla podanego certyfikatu tożsamości, na przykład: file:///var/snap/azure-iot-identity/common/provisioning/identity_key.pem.

   Aby uzyskać więcej informacji na temat aprowizacji ustawień konfiguracji, zobacz Konfigurowanie ustawień urządzenia usługi IoT Edge.

4. Zapisz i zamknij plik.

   CTRL + X, , YEnter

5. Ustaw konfigurację usługi IoT Edge i usługi tożsamości przy użyciu następującego polecenia:

   sudo snap set azure-iot-edge raw-config="$(cat ~/config.toml)"
   

Wdrażanie modułów

Aby wdrożyć moduły usługi IoT Edge, przejdź do centrum IoT Hub w witrynie Azure Portal, a następnie:

1. Wybierz pozycję Urządzenia z menu usługi IoT Hub.

2. Wybierz urządzenie, aby otworzyć jego stronę.

3. Wybierz kartę Ustaw moduły .

4. Ponieważ chcemy wdrożyć domyślne moduły usługi IoT Edge (edgeAgent i edgeHub), nie musimy dodawać żadnych modułów do tego okienka, dlatego wybierz pozycję Przejrzyj i utwórz u dołu.

5. Zostanie wyświetlone potwierdzenie JSON modułów. Wybierz pozycję Utwórz , aby wdrożyć moduły.<

Aby uzyskać więcej informacji, zobacz Wdrażanie modułu.

Weryfikowanie pomyślnej konfiguracji

Sprawdź, czy środowisko uruchomieniowe zostało pomyślnie zainstalowane i skonfigurowane na urządzeniu usługi IoT Edge.

Napiwek

Uruchomienie poleceń iotedge wymaga podniesionych uprawnień. Po wylogowaniu się z komputera i ponownym zalogowaniu się do niego po raz pierwszy od zainstalowania środowiska uruchomieniowego usługi IoT Edge Twoje uprawnienia zostaną automatycznie zaktualizowane. Do tego czasu użyj sudo polecenia przed poleceniami.

Sprawdź, czy usługa systemowa usługi IoT Edge jest uruchomiona.

sudo iotedge system status

Pomyślna odpowiedź o stanie to Ok.

Jeśli potrzebujesz rozwiązać problem z usługą, pobierz jej dzienniki.

sudo iotedge system logs

check Użyj narzędzia , aby zweryfikować konfigurację i stan połączenia urządzenia.

sudo iotedge check

Możesz oczekiwać zakresu odpowiedzi, które mogą zawierać ok (zielony), Ostrzeżenie (żółty) lub Błąd (czerwony). Aby uzyskać informacje na temat rozwiązywania typowych błędów, zobacz Rozwiązania typowych problemów z usługą Azure IoT Edge.

Napiwek

Zawsze używaj sudo narzędzia do sprawdzania, nawet po zaktualizowaniu uprawnień. Narzędzie wymaga podniesionych uprawnień, aby uzyskać dostęp do pliku konfiguracji w celu zweryfikowania stanu konfiguracji.

Uwaga

Na nowo aprowizowanych urządzeniach może zostać wyświetlony błąd związany z usługą IoT Edge Hub:

× gotowości produkcyjnej: katalog magazynu usługi Edge Hub jest utrwalany w systemie plików hosta — błąd

Nie można sprawdzić bieżącego stanu kontenera edgeHub

Ten błąd jest oczekiwany na nowo zaaprowizowanych urządzeniach, ponieważ moduł usługi IoT Edge Hub nie jest uruchomiony. Aby rozwiązać ten problem, w usłudze IoT Hub ustaw moduły dla urządzenia i utwórz wdrożenie. Utworzenie wdrożenia urządzenia powoduje uruchomienie modułów na urządzeniu, w tym modułu usługi IoT Edge Hub.

Wyświetl wszystkie moduły uruchomione na urządzeniu usługi IoT Edge. Po uruchomieniu usługi po raz pierwszy powinien zostać wyświetlony tylko uruchomiony moduł edgeAgent . Moduł edgeAgent działa domyślnie i pomaga zainstalować i uruchomić dodatkowe moduły wdrażane na urządzeniu.

sudo iotedge list

Podczas tworzenia nowego urządzenia usługi IoT Edge zostanie wyświetlony kod 417 -- The device's deployment configuration is not set stanu w witrynie Azure Portal. Ten stan jest normalny i oznacza, że urządzenie jest gotowe do otrzymania wdrożenia modułu.

Instalacja w trybie offline lub określonej wersji (opcjonalnie)

Kroki opisane w tej sekcji dotyczą scenariuszy, które nie są objęte standardowymi krokami instalacji. Mogą to być na przykład:

• Instalowanie usługi IoT Edge w trybie offline
• Instalowanie wersji kandydata do wydania

Wykonaj kroki opisane w tej sekcji, jeśli chcesz zainstalować określoną wersję środowiska uruchomieniowego usługi Azure IoT Edge, która nie jest dostępna za pośrednictwem menedżera pakietów. Lista pakietów firmy Microsoft zawiera tylko ograniczony zestaw najnowszych wersji i ich podrzędnych wersji, dlatego te kroki dotyczą wszystkich osób, które chcą zainstalować starszą wersję lub wersję kandydata do wydania.

Jeśli używasz przystawek systemu Ubuntu, możesz pobrać przystawkę i zainstalować ją w trybie offline. Aby uzyskać więcej informacji, zobacz Pobieranie przystawek i instalowanie w trybie offline.

Za pomocą poleceń curl można kierować pliki składników bezpośrednio z repozytorium GitHub usługi IoT Edge.

1. Przejdź do wersji usługi Azure IoT Edge i znajdź wersję wydania, którą chcesz kierować.

2. Rozwiń sekcję Zasoby dla tej wersji.

3. Każda wersja powinna zawierać nowe pliki dla usługi IoT Edge i usługi tożsamości. Jeśli zamierzasz zainstalować usługę IoT Edge na urządzeniu w trybie offline, pobierz te pliki z wyprzedzeniem. W przeciwnym razie użyj następujących poleceń, aby zaktualizować te składniki.

   1. Znajdź plik aziot-identity-service zgodny z architekturą urządzenia usługi IoT Edge. Kliknij prawym przyciskiem myszy link do pliku i skopiuj adres linku.

   2. Użyj skopiowanego linku w poniższym poleceniu, aby zainstalować wersję usługi tożsamości:

      Ubuntu / Debian

      curl -L <identity service link> -o aziot-identity-service.deb && sudo apt-get install ./aziot-identity-service.deb
      

      Red Hat Enterprise Linux

      curl -L <identity service link> -o aziot-identity-service.rpm && sudo yum localinstall ./aziot-identity-service.rpm
      

      Przystawki systemu Ubuntu Core

      Jeśli używasz przystawek systemu Ubuntu, możesz pobrać przystawkę i zainstalować ją w trybie offline. Aby uzyskać więcej informacji, zobacz Pobieranie przystawek i instalowanie w trybie offline.

   ---

   3. Znajdź plik aziot-edge zgodny z architekturą urządzenia usługi IoT Edge. Kliknij prawym przyciskiem myszy link do pliku i skopiuj adres linku.

   4. Użyj skopiowanego linku w poniższym poleceniu, aby zainstalować wersję usługi IoT Edge.

      Ubuntu / Debian

      curl -L <iotedge link> -o aziot-edge.deb && sudo apt-get install ./aziot-edge.deb
      

      Red Hat Enterprise Linux

      curl -L <iotedge link> -o aziot-edge.rpm && sudo yum localinstall ./aziot-edge.rpm
      

      Przystawki systemu Ubuntu Core

      Jeśli używasz przystawek systemu Ubuntu, możesz pobrać przystawkę i zainstalować ją w trybie offline. Aby uzyskać więcej informacji, zobacz Pobieranie przystawek i instalowanie w trybie offline.

   ---

Odinstalowywanie usługi IoT Edge

Jeśli chcesz usunąć instalację usługi IoT Edge z urządzenia, użyj następujących poleceń.

Usuń środowisko uruchomieniowe usługi IoT Edge.

Ubuntu / Debian

sudo apt-get autoremove --purge aziot-edge

Pomiń flagę, --purge jeśli planujesz ponownie zainstalować usługę IoT Edge i używać tych samych informacji o konfiguracji w przyszłości. Flagi --purge usuwają wszystkie pliki skojarzone z usługą IoT Edge, w tym pliki konfiguracji.

Red Hat Enterprise Linux

sudo yum remove aziot-edge

Przystawki systemu Ubuntu Core

Usuń środowisko uruchomieniowe usługi IoT Edge:

sudo snap remove azure-iot-edge

Usuń usługę Azure Identity Service:

sudo snap remove azure-iot-identity

Po usunięciu środowiska uruchomieniowego usługi IoT Edge wszystkie utworzone przez niego kontenery zostaną zatrzymane, ale nadal istnieją na urządzeniu. Wyświetl wszystkie kontenery, aby zobaczyć, które z nich pozostają.

sudo docker ps -a

Usuń kontenery z urządzenia, w tym dwa kontenery środowiska uruchomieniowego.

sudo docker rm -f <container name>

Na koniec usuń środowisko uruchomieniowe kontenera z urządzenia.

Ubuntu / Debian

sudo apt-get autoremove --purge moby-engine

Red Hat Enterprise Linux

sudo yum remove moby-cli
sudo yum remove moby-engine

Przystawki systemu Ubuntu Core

sudo snap remove docker

Następne kroki

Kontynuuj wdrażanie modułów usługi IoT Edge, aby dowiedzieć się, jak wdrażać moduły na urządzeniu.