Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Wanneer u Azure IoT Operations implementeert, installeert u een suite met services op een Kubernetes-cluster met Azure Arc ingeschakeld. Dit artikel bevat een overzicht van de verschillende implementatieopties die u kunt overwegen voor uw scenario.
Ondersteunde omgevingen
Ondersteunde Windows omgevingen
Microsoft ondersteunt de volgende Kubernetes-distributies voor Azure IoT Operations implementaties op Windows. In de onderstaande tabel worden de ondersteuningsniveaus en de versies beschreven die Microsoft gebruikt om implementaties te valideren:
| Kubernetes-distributie | Architecture | Ondersteuningsniveau | Minimaal gevalideerde versie |
|---|---|---|---|
| AKS Edge Essentials | x86_64 | Openbare preview | AksEdge-K3s-1.30.6-1.11.247.0 |
| AKS op Azure Local | x86_64 | Openbare preview | Azure Stack HCI OS, versie 23H2, build 2411 |
- De minimum gevalideerde versie is de laagste versie van de Kubernetes-distributie die Microsoft gebruikt om Azure IoT Operations implementaties te valideren.
Ondersteunde Linux-omgevingen
Microsoft ondersteunt de volgende Kubernetes-distributies voor Azure IoT Operations implementaties in Linux-omgevingen. De onderstaande tabel bevat de ondersteuningsniveaus en de versies die Microsoft gebruikt om implementaties te valideren:
| Kubernetes-distributie | Architecture | Ondersteuningsniveau | Minimaal gevalideerde versie | Minimaal gevalideerd besturingssysteem |
|---|---|---|---|---|
| K3s | x86_64 | Algemene beschikbaarheid | 1.33.6 |
Ubuntu 24.04, Red Hat Enterprise Linux (RHEL) 9.x |
| Tanzu Kubernetes-release (TKr) | x86_64 | Algemene beschikbaarheid | 1.28.11 | Tanzu Kubernetes Grid 2.5.2 |
| RKE2 | x86_64 | Algemene beschikbaarheid | v1.35.0+rke2r1 | Besturingssystemen |
- De minimum gevalideerde versie is de laagste versie van de Kubernetes-distributie die Microsoft gebruikt om Azure IoT Operations implementaties te valideren.
- Het minimum gevalideerd besturingssysteem is de laagste besturingssysteemversie die Microsoft gebruikt om implementaties te valideren.
Notitie
Factureringsgebruiksrecords worden verzameld in elke omgeving waarin u Azure IoT Operations installeert, ongeacht ondersteunings- of beschikbaarheidsniveaus.
Als u Azure IoT Operations wilt installeren, moet u beschikken over de volgende hardwarevereisten. Als u een cluster met meerdere knooppunten gebruikt dat fouttolerantie mogelijk maakt, kunt u omhoog schalen naar de aanbevolen capaciteit voor betere prestaties.
| Specificatie | Minimaal | Aanbevolen |
|---|---|---|
| Geheugencapaciteit van hardware (RAM) | 16 GB | 32 GB |
| Beschikbaar geheugen voor Azure IoT Operations (RAM) | 10 GB | Afhankelijk van het gebruik |
| CPU (Centrale Verwerkings Eenheid) | 4 vCPU's | 8 vCPU's |
Notitie
De minimale configuratie is alleen geschikt wanneer Azure IoT Operations wordt uitgevoerd.
Uw functies kiezen
Azure IoT Operations biedt twee implementatiemodi. U kunt ervoor kiezen om te implementeren met testinstellingen, een basissubset van functies waarmee u eenvoudiger aan de slag kunt voor evaluatiescenario's. U kunt er ook voor kiezen om te implementeren met beveiligde instellingen, de volledige functieset.
Implementatie van testinstellingen
Een implementatie met alleen testinstellingen heeft de volgende kenmerken:
- Er worden geen geheimen of door de gebruiker toegewezen mogelijkheden voor beheerde identiteiten geconfigureerd.
- Het is ontworpen om het end-to-end quickstart-voorbeeld voor evaluatiedoeleinden in te schakelen, zodat deze de OPC PLC-simulator ondersteunt en verbinding maakt met cloudresources met behulp van een door het systeem toegewezen beheerde identiteit.
- U kunt deze upgraden om beveiligde instellingen te gebruiken.
Gebruik voor een quickstart de Quickstart: Voer Azure IoT Operations uit in GitHub Codespaces met K3s scenario. In dit scenario wordt een lichtgewicht Kubernetes-distributie (K3s) gebruikt en uitgevoerd in GitHub Codespaces, dus u hoeft geen cluster in te stellen of lokaal hulpprogramma's te installeren.
Volg deze artikelen om Azure IoT Operations met testinstellingen te implementeren:
- Begin met Prepareer uw Kubernetes-cluster met Azure Arc om uw cluster te configureren en in te schakelen.
- Volg vervolgens de stappen in Deploy-Azure IoT Operations naar een testcluster.
Aanbeveling
U kunt op elk gewenst moment een Azure IoT Operations exemplaar upgraden om beveiligde instellingen te gebruiken door de stappen in Enable beveiligde instellingen uit te voeren.
Implementatie van beveiligde instellingen
Een implementatie met beveiligde instellingen heeft de volgende kenmerken:
- Het is ontworpen voor scenario's die gereed zijn voor productie.
- Het maakt geheimen en door de gebruiker toegewezen beheerde identiteit mogelijk, beide belangrijke mogelijkheden voor het ontwikkelen van een scenario dat gereed is voor productie. Geheimen worden gebruikt wanneer Azure IoT Operations onderdelen verbinding maken met een resource buiten het cluster, zoals een OPC UA-server of een gegevensstroomeindpunt.
Volg deze artikelen om Azure IoT Operations te implementeren met beveiligde instellingen:
- Begin met Prepareer uw Kubernetes-cluster met Azure Arc om uw cluster te configureren en in te schakelen.
- Volg vervolgens de stappen in Deploy-Azure IoT Operations naar een productiecluster.
Wanneer u Azure IoT Operations implementeert met beveiligde instellingen in AKS, raadt Microsoft u aan de toegang tot pods te blokkeren voor het eindpunt van de Azure Instance Metadata Service. Zie Blokkering van podtoegang tot het Azure IMDS-eindpunt (Instance Metadata Service) voor meer informatie over het inschakelen van deze functie.
Vereiste toestemmingen
In de volgende tabel worden Azure IoT Operations implementatie- en beheertaken beschreven waarvoor verhoogde machtigingen zijn vereist. Zie Steps voor informatie over het Azure toewijzen van rollen aan gebruikers.
| Opdracht | Vereiste machtiging | Opmerkingen |
|---|---|---|
| Azure IoT Operations implementeren | Rol voor Azure IoT Operations Onboarding | Deze rol heeft alle vereiste machtigingen voor het lezen en schrijven van Azure IoT bewerkingen en Azure apparaatregisterresources. Deze rol heeft Microsoft.Authorization/roleAssignments/write machtigingen. |
| Resourceprovider registreren | Bijdragerrol op abonnementsniveau | U hoeft slechts één keer per abonnement te doen. U moet de volgende resourceproviders registreren: Microsoft.ExtendedLocation, Microsoft.SecretSyncController, Microsoft.Kubernetes, Microsoft.KubernetesConfiguration, Microsoft.IoTOperations en Microsoft.DeviceRegistry. |
| Geheimen maken in Key Vault | Key Vault secretenbeheerder rol op resourceniveau | Alleen vereist voor implementatie van beveiligde instellingen om geheimen uit Azure Key Vault te synchroniseren. |
| Opslagaccounts maken en beheren | Bijdrager rol voor opslagaccount | Vereist voor Azure IoT Operations implementatie. |
| Een brongroep maken | Rol Inzender voor resourcegroepen | Vereist om een resourcegroep te maken voor het opslaan van Azure IoT Operations-bronnen. |
| Een cluster onboarden op Azure Arc | Kubernetes-cluster - Azure Arc Onboarding-rol | Clusters met Arc zijn vereist om Azure IoT Operations te implementeren. |
| Implementatie van Azure resourcebrug beheren | Azure Resource Bridge implementatierol | Vereist voor het implementeren van Azure IoT Operations. |
| Machtigingen voor implementatie opgeven | Azure Arc Gebruikersrol Kubernetes-cluster ingeschakeld | Vereist voor het verlenen van machtigingen voor implementatie aan het Kubernetes-cluster met Azure Arc ingeschakeld. |
Aanbeveling
U moet resourcesynchronisatie inschakelen op het Azure IoT Operations exemplaar om de mogelijkheden voor automatische assetdetectie van de Akri-services te gebruiken. Zie voor meer informatie Wat is OPC UA-assetdetectie?
Als u de Azure CLI gebruikt om rollen toe te wijzen, gebruikt u de opdracht az-roltoewijzing maken om machtigingen te verlenen. Bijvoorbeeld az role assignment create --assignee sp_name --role "Role Based Access Control Administrator" --scope subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/MyResourceGroup
Als u de Azure-portal gebruikt om bevoorrechte beheerdersrollen toe te wijzen aan een gebruiker of principal, wordt u gevraagd om de toegang te beperken met behulp van voorwaarden. Voor dit scenario selecteert u de voorwaarde 'Gebruiker toestaan om alle rollen toe te wijzen' op de pagina 'Roltoewijzing toevoegen'.
Exemplaren organiseren met behulp van sites
Azure IoT Operations biedt ondersteuning voor Azure Arc-sites voor het organiseren van instances. Een site is een clusterresource in Azure zoals een resourcegroep, maar sites groeperen meestal exemplaren op fysieke locatie en maken het gemakkelijker voor OT-gebruikers om assets te vinden en te beheren. Een IT-beheerder maakt sites en beperkt deze tot een abonnement of resourcegroep. Vervolgens worden alle Azure IoT Operations die zijn geïmplementeerd in een cluster met Arc automatisch verzameld op de site die is gekoppeld aan het bijbehorende abonnement of de resourcegroep.
Zie Wat is Azure Arc-sitebeheerder (preview)?
Azure IoT Operations-eindpunten
Als u bedrijfsfirewalls of proxy's gebruikt om uitgaand verkeer te beheren, configureert u de volgende eindpunten voordat u Azure IoT Operations implementeert.
Eindpunten in de Azure Arc-ingeschakelde Kubernetes-eindpunten.
Notitie
Als u Azure Arc Gateway gebruikt om uw cluster te verbinden met Arc, kunt u een kleinere set eindpunten configureren op basis van de richtlijnen voor Arc-gateway.
Eindpunten in Azure CLI-eindpunten.
U hebt
graph.windows.net,*.azurecr.io,*.blob.core.windows.neten*.vault.azure.netnodig uit deze lijst met eindpunten.Als u gegevens naar de cloud wilt pushen, schakelt u de volgende eindpunten in op basis van uw keuze van het gegevensplatform.
- Microsoft Fabric OneLake: Fabric-URL's aan uw acceptatielijst toevoegen.
- Event Hubs: Verbindingsproblemen oplossen- Azure Event Hubs.
- Event Grid: Verbindingsproblemen oplossen- Azure Event Grid.
- Azure Data Lake Storage Gen 2: Standaard eindpunten van opslagaccounts.
Azure IoT Operations maakt gebruik van een cloudschemaregister dat toegang nodig heeft tot een door de klant geleverde Azure Blob Storage container. Om toegang te krijgen tot het schemaregister moet de container een openbare eindpunt blootstellen of het Azure Device Registry schemaregister (
Microsoft.DeviceRegistry/schemaRegistries) aanduiden als een vertrouwde Azure-service. Dit heeft geen invloed op firewalls of proxyconfiguraties van klanten aan de rand. Zie Schema-register en -opslag voor meer informatie.Eindpunten (DNS) Beschrijving <customer-specific>.blob.core.windows.netOpslag voor schemaregister. Raadpleeg eindpunten van het opslagaccount voor het identificeren van het klantspecifieke subdomein van uw eindpunt.
Opslaglocatie van gegevens
Azure Resource Manager maakt het mogelijk om uw Azure IoT Operations instantie in uw Kubernetes-cluster vanuit de cloud te beheren en controleren met behulp van de Azure-portal of Azure CLI. Hoewel u de Azure Resource Manager resources voor Azure IoT Operations moet implementeren in een currently ondersteunde regio, kiest u waar uw operationele workloads en gegevens zich fysiek bevinden. De Azure IoT Operations runtime en berekening blijven on-premises en onder uw controle.
Deze architectuur zorgt voor de volgende kenmerken van de implementatie:
- Alle operationele processen en workloads worden uitgevoerd op uw eigen lokale infrastructuur.
- Als u wilt voldoen aan uw vereisten voor gegevenslocatie, kiest u de Azure regio voor alle gegevensopslag- of gegevensverwerkingsbronnen die door uw oplossing worden gebruikt.
- Gegevensoverdrachten rechtstreeks tussen uw lokale infrastructuur en uw Azure opslag- en verwerkingsbronnen. Uw gegevens gaan niet langs de Azure IoT Operations-resources in de cloud.
- De locatie van de Azure Resource Manager voor uw Azure IoT Operations-exemplaar is een logische verwijzing voor beheer en indeling.
- Er worden geen productiegegevens van klanten verplaatst. Sommige systeemtelemetrie, zoals metrische gegevens en logboeken, die worden gebruikt voor serviceverbetering en proactieve identificatie van infrastructuurproblemen, kunnen stromen naar de Azure regio waar uw Azure IoT Operations resources zich bevinden.
In het volgende diagram ziet u een voorbeeldimplementatie die laat zien hoe u de gegevenssoevereine voor uw lokale infrastructuur kunt behouden, terwijl u eventueel een andere Azure regio gebruikt voor gegevensopslag en -verwerking. In dit voorbeeld:
- Azure IoT Operations beheerbronnen worden geïmplementeerd in de regio US - west. Deze regio is een van de ondersteunde regio's voor Azure IoT Operations.
- Operationele workloads en gegevens blijven on-premises aan de edge onder uw volledige controle om gegevenslocatie en gegevenssoevereiniteit te garanderen.
- Resources voor gegevensopslag en -verwerking worden geïmplementeerd in de Canada Central regio om te voldoen aan specifieke regionale vereisten voor dataverblijf.
Volgende stappen
Prepareer uw Kubernetes-cluster met Azure Arc om een cluster voor Azure IoT Operations te configureren en in te schakelen.