Criar e aprovisionar IoT Edge dispositivos em escala no Windows com chaves simétricas

Aplica-se a: IoT Edge 1.1

Importante

IoT Edge 1,1 data de fim do suporte foi 13 de dezembro de 2022. Consulte o Ciclo de Vida de Produtos da Microsoft para obter informações sobre como é suportado este produto, serviço, tecnologia ou API. Para obter mais informações sobre como atualizar para a versão mais recente do IoT Edge, consulte Atualizar IoT Edge.

Este artigo fornece instruções ponto a ponto para o aprovisionamento automático de um ou mais dispositivos Windows IoT Edge com chaves simétricas. Pode aprovisionar automaticamente o Azure IoT Edge dispositivos com o serviço de aprovisionamento de dispositivos (DPS) Hub IoT do Azure. Se não estiver familiarizado com o processo de aprovisionamento automático, reveja a descrição geral do aprovisionamento antes de continuar.

Nota

O Azure IoT Edge com contentores do Windows não será suportado a partir da versão 1.2 do Azure IoT Edge.

Considere utilizar o novo método para executar IoT Edge em dispositivos Windows, a IoT Edge do Azure para Linux no Windows.

Se quiser utilizar o Azure IoT Edge para Linux no Windows, pode seguir os passos no guia de procedimentos equivalente.

As tarefas são as seguintes:

1. Crie uma inscrição individual para um único dispositivo ou uma inscrição de grupo para um conjunto de dispositivos.
2. Instale o runtime IoT Edge e ligue-se ao Hub IoT.

O atestado de chave simétrica é uma abordagem simples para autenticar um dispositivo com uma instância do serviço de aprovisionamento de dispositivos. Este método de atestado representa uma experiência "Hello world" para programadores que não estão familiarizados com o aprovisionamento de dispositivos ou que não têm requisitos de segurança rigorosos. O atestado de dispositivos com um certificado TPM ou X.509 é mais seguro e deve ser utilizado para requisitos de segurança mais rigorosos.

Pré-requisitos

Recursos da cloud

• Um hub IoT ativo
• Uma instância do serviço de aprovisionamento de dispositivos Hub IoT no Azure, ligada ao seu hub IoT
  • Se não tiver uma instância do serviço de aprovisionamento de dispositivos, pode seguir as instruções no início rápido Criar um novo serviço de aprovisionamento de dispositivos Hub IoT e Ligar o hub IoT e o serviço de aprovisionamento de dispositivos do Hub IoT serviço de aprovisionamento de dispositivos.
  • Depois de ter o serviço de aprovisionamento de dispositivos em execução, copie o valor do Âmbito do ID na página de descrição geral. Utilize este valor quando configurar o IoT Edge runtime.

Requisitos dos dispositivos

Um dispositivo Windows físico ou virtual para ser o dispositivo IoT Edge.

Terá de definir um ID de registoexclusivo para identificar cada dispositivo. Pode utilizar o endereço MAC, o número de série ou quaisquer informações exclusivas do dispositivo. Por exemplo, pode utilizar uma combinação de um endereço MAC e um número de série que formam a seguinte cadeia para um ID de registo: sn-007-888-abc-mac-a1-b2-c3-d4-e5-f6. Os carateres válidos são alfanuméricos em minúsculas e travessão (-).

Criar uma inscrição DPS

Crie uma inscrição para aprovisionar um ou mais dispositivos através do DPS.

Se quiser aprovisionar um único dispositivo IoT Edge, crie uma inscrição individual. Se precisar de aprovisionar vários dispositivos, siga os passos para criar uma inscrição de grupo do DPS.

Quando cria uma inscrição no DPS, tem a oportunidade de declarar um estado de dispositivo duplo inicial. No dispositivo duplo, pode definir etiquetas para agrupar dispositivos por qualquer métrica necessária na sua solução, como região, ambiente, localização ou tipo de dispositivo. Estas etiquetas são utilizadas para criar implementações automáticas.

Para obter mais informações sobre as inscrições no serviço de aprovisionamento de dispositivos, veja Como gerir inscrições de dispositivos.

Inscrição individual

Criar uma inscrição individual do DPS

Dica

Os passos neste artigo destinam-se ao portal do Azure, mas também pode criar inscrições individuais com a CLI do Azure. Para obter mais informações, veja inscrição az iot dps. Como parte do comando da CLI, utilize o sinalizador com limite ativado para especificar que a inscrição se destina a um dispositivo IoT Edge.

1. Na portal do Azure, navegue para a sua instância do serviço de aprovisionamento de dispositivos Hub IoT.

2. Em Definições, selecione Gerir inscrições.

3. Selecione Adicionar inscrição individual e, em seguida, conclua os seguintes passos para configurar a inscrição:

   1. Em Mecanismo, selecione Chave Simétrica.

   2. Forneça um ID de Registo exclusivo para o seu dispositivo.

   3. Opcionalmente, forneça um ID de Dispositivo Hub IoT para o seu dispositivo. Pode utilizar IDs de dispositivo para direcionar um dispositivo individual para a implementação do módulo. Se não fornecer um ID de dispositivo, é utilizado o ID de registo.

   4. Selecione Verdadeiro para declarar que a inscrição se destina a um dispositivo IoT Edge.

   5. Opcionalmente, adicione um valor de etiqueta ao Estado Inicial do Dispositivo Duplo. Pode utilizar etiquetas para direcionar grupos de dispositivos para a implementação do módulo. Por exemplo:

      {
         "tags": {
            "environment": "test"
         },
         "properties": {
            "desired": {}
         }
      }
      

   6. Selecione Guardar.

4. Copie o valor da Chave Primária da inscrição individual para utilizar ao instalar o IoT Edge runtime.

Agora que existe uma inscrição para este dispositivo, o IoT Edge runtime pode aprovisionar automaticamente o dispositivo durante a instalação.

Inscrição em grupo

Criar uma inscrição de grupo DPS

Dica

Os passos neste artigo destinam-se ao portal do Azure, mas também pode criar inscrições de grupo com a CLI do Azure. Para obter mais informações, veja az iot dps enrollment-group. Como parte do comando da CLI, utilize o sinalizador com limite ativado para especificar que a inscrição se destina a dispositivos IoT Edge. Para uma inscrição de grupo, todos os dispositivos têm de ser IoT Edge dispositivos ou nenhum deles pode ser.

1. Na portal do Azure, navegue para a sua instância do serviço de aprovisionamento de dispositivos Hub IoT.

2. Em Definições, selecione Gerir inscrições.

3. Selecione Adicionar inscrição individual e, em seguida, conclua os seguintes passos para configurar a inscrição:

   1. Indique um Nome do grupo.

   2. Selecione Chave Simétrica como o tipo de atestado.

   3. Selecione Verdadeiro para declarar que a inscrição se destina a um dispositivo IoT Edge. Para uma inscrição de grupo, todos os dispositivos têm de ser IoT Edge dispositivos ou nenhum deles pode ser.

   4. Opcionalmente, adicione um valor de etiqueta ao Estado Inicial do Dispositivo Duplo. Pode utilizar etiquetas para direcionar grupos de dispositivos para a implementação do módulo. Por exemplo:

      {
         "tags": {
            "environment": "test"
         },
         "properties": {
            "desired": {}
         }
      }
      

   5. Selecione Guardar.

4. Copie o valor da Chave Primária do grupo de inscrição para utilizar ao criar chaves de dispositivo para utilização com uma inscrição de grupo.

Agora que existe um grupo de inscrição, o IoT Edge runtime pode aprovisionar automaticamente dispositivos durante a instalação.

Derivar uma chave de dispositivo

Cada dispositivo que é aprovisionado como parte de uma inscrição de grupo precisa de uma chave de dispositivo derivada para efetuar um atestado de chave simétrica com a inscrição durante o aprovisionamento.

Para gerar uma chave de dispositivo, utilize a chave que copiou do grupo de inscrição DPS para calcular um HMAC-SHA256 do ID de registo exclusivo do dispositivo e converter o resultado no formato Base64.

Importante

Não inclua a chave primária ou secundária da inscrição no código do dispositivo.

No Windows, pode utilizar o PowerShell para gerar a chave de dispositivo derivada, conforme mostrado no exemplo seguinte.

Substitua o valor de KEY pela Chave Primária que anotou anteriormente.

Substitua o valor de REG_ID pelo ID de registo do dispositivo.

$KEY='PASTE_YOUR_ENROLLMENT_KEY_HERE'
$REG_ID='PASTE_YOUR_REGISTRATION_ID_HERE'

$hmacsha256 = New-Object System.Security.Cryptography.HMACSHA256
$hmacsha256.key = [Convert]::FromBase64String($KEY)
$sig = $hmacsha256.ComputeHash([Text.Encoding]::ASCII.GetBytes($REG_ID))
$derivedkey = [Convert]::ToBase64String($sig)
echo "`n$derivedkey`n"

Segue-se uma saída de exemplo de uma chave de dispositivo derivada:

Jsm0lyGpjaVYVP2g3FnmnmG9dI/9qU24wNoykUmermc=

Instalar IoT Edge

Nesta secção, vai preparar a VM do Windows ou o dispositivo físico para IoT Edge. Em seguida, instale IoT Edge.

O Azure IoT Edge depende de um runtime de contentor compatível com o OCI. O Moby, um motor baseado no Moby, está incluído no script de instalação, o que significa que não existem passos adicionais para instalar o motor.

Para instalar o runtime do IoT Edge:

1. Execute o PowerShell como um administrador.

   Utilize uma sessão AMD64 do PowerShell e não do PowerShell(x86). Se não souber que tipo de sessão está a utilizar, execute o seguinte comando:

   (Get-Process -Id $PID).StartInfo.EnvironmentVariables["PROCESSOR_ARCHITECTURE"]
   

2. Execute o comando Deploy-IoTEdge , que executa as seguintes tarefas:

   • Verifica se o seu computador Windows está numa versão suportada
   • Ativa a funcionalidade contentores
   • Transfere o motor moby e o runtime IoT Edge

   . {Invoke-WebRequest -useb https://aka.ms/iotedge-win} | Invoke-Expression; `
   Deploy-IoTEdge
   

3. Reinicie o dispositivo, se lhe for pedido.

Quando instala IoT Edge num dispositivo, pode utilizar parâmetros adicionais para modificar o processo, incluindo:

• Direcionar o tráfego para passar por um servidor proxy
• Aponte o instalador para um diretório local para instalação offline

Para obter mais informações sobre estes parâmetros adicionais, veja Scripts do PowerShell para IoT Edge com contentores do Windows.

Aprovisionar o dispositivo com a respetiva identidade na cloud

Assim que o runtime estiver instalado no seu dispositivo, configure o dispositivo com as informações que utiliza para ligar ao serviço de aprovisionamento de dispositivos e Hub IoT.

Tenha as seguintes informações prontas:

• O valor âmbito do ID do DPS
• O ID de Registo do dispositivo que criou
• A Chave Primária de uma inscrição individual ou uma chave derivada para dispositivos que utilizam uma inscrição de grupo.

1. Abra uma janela do PowerShell no modo de administrador. Certifique-se de que utiliza uma sessão AMD64 do PowerShell ao instalar IoT Edge e não o PowerShell (x86).

2. O comando Initialize-IoTEdge configura o IoT Edge runtime no seu computador. O comando é predefinido para o aprovisionamento manual com contentores do Windows, por isso utilize o sinalizador para utilizar o -DpsSymmetricKey aprovisionamento automático com autenticação de chave simétrica.

   Substitua os valores de marcador de posição para paste_scope_id_here, paste_registration_id_heree paste_symmetric_key_here pelos dados que recolheu anteriormente.

   . {Invoke-WebRequest -useb https://aka.ms/iotedge-win} | Invoke-Expression; `
   Initialize-IoTEdge -DpsSymmetricKey -ScopeId paste_scope_id_here -RegistrationId paste_registration_id_here -SymmetricKey paste_symmetric key_here
   

Verificar a instalação com êxito

Se o runtime tiver sido iniciado com êxito, pode aceder à sua Hub IoT e começar a implementar IoT Edge módulos no seu dispositivo.

Inscrição individual

Pode verificar se a inscrição individual que criou no serviço de aprovisionamento de dispositivos foi utilizada. Navegue para a instância do serviço de aprovisionamento de dispositivos no portal do Azure. Abra os detalhes da inscrição individual que criou. Repare que o estado da inscrição está atribuído e o ID do dispositivo está listado.

Inscrição em grupo

Pode verificar se a inscrição de grupo que criou no serviço de aprovisionamento de dispositivos foi utilizada. Navegue para a instância do serviço de aprovisionamento de dispositivos no portal do Azure. Abra os detalhes da inscrição do grupo que criou. Aceda ao separador Registo de Registos para ver todos os dispositivos registados nesse grupo.

Utilize os seguintes comandos no seu dispositivo para verificar se o IoT Edge instalado e iniciado com êxito.

Verifique o estado do serviço IoT Edge.

Get-Service iotedge

Examine os registos do serviço.

. {Invoke-WebRequest -useb aka.ms/iotedge-win} | Invoke-Expression; Get-IoTEdgeLog

Listar módulos em execução.

iotedge list

Passos seguintes

O processo de inscrição do serviço de aprovisionamento de dispositivos permite-lhe definir o ID do dispositivo e as etiquetas de dispositivo duplo ao mesmo tempo que aprovisiona o novo dispositivo. Pode utilizar esses valores para direcionar dispositivos individuais ou grupos de dispositivos através da gestão automática de dispositivos. Saiba como Implementar e monitorizar IoT Edge módulos em escala com o portal do Azure ou com a CLI do Azure.