Implantar Operações do Azure IoT em um cluster de produção

Saiba como implantar Operações do Azure IoT em um cluster do Kubernetes com configurações seguras para produção usando o portal Azure.

Se você implantou uma instância de teste do Operações do Azure IoT em um cluster e deseja usar o mesmo cluster para cenários de produção, siga as etapas em Habilitar configurações seguras em uma instância existente do Operações do Azure IoT.

Antes de começar

Este artigo discute Operações do Azure IoT deployments e instances, que são dois conceitos diferentes:

• Um Operações do Azure IoT deployment descreve todos os componentes e recursos que habilitam o cenário de Operações do Azure IoT. Esses componentes e recursos incluem:

  • Uma instância de Operações do Azure IoT
  • Extensões do Arc
  • Locais personalizados
  • Recursos que você pode configurar em sua solução de Operações do Azure IoT, como ativos e dispositivos.

• Um Operações do Azure IoT instance é o recurso pai que agrupa o conjunto de serviços definido em O que é Operações do Azure IoT? como agente MQTT, fluxos de dados e conector para OPC UA.

Quando falamos em implantar Operações do Azure IoT, queremos dizer o conjunto completo de componentes que compõem um deployment. Depois que a implantação existir, você poderá exibir, gerenciar e atualizar a instância.

Pré-requisitos

Recursos de nuvem:

• Uma assinatura Azure.

• Permissões de acesso do Azure. Para obter mais informações, veja Detalhes de implantação > Permissões necessárias.

Recursos de desenvolvimento:

• CLI do Azure instalado em seu computador de desenvolvimento. Esse cenário requer CLI do Azure versão 2.53.0 ou superior. Use az --version para verificar sua versão e az upgrade para atualizar, se necessário. Para obter mais informações, consulte Como instalar o CLI do Azure.

Um host de cluster:

• Tenha um cluster Kubernetes habilitado para Azure Arc com os recursos de localização personalizada e identidade de carga de trabalho habilitados. Se você não tiver um, siga as etapas em Prepare seu cluster kubernetes habilitado para Azure Arc.

  Se você implantou Operações do Azure IoT no cluster anteriormente, desinstale esses recursos antes de continuar. Para obter mais informações, consulte Update Operações do Azure IoT.

• (Recomendado) Configure seu próprio emissor de autoridade de certificação antes de implantar o Operações do Azure IoT: Traga seu próprio emissor.

Implantar no portal Azure

A experiência de implantação do portal Azure é uma ferramenta auxiliar que gera um comando de implantação com base em seus recursos e configuração. A etapa final é executar um comando CLI do Azure, portanto, você ainda precisa dos pré-requisitos de CLI do Azure descritos na seção anterior.

1. Entre no Azure portal.

2. Na caixa de pesquisa, pesquise e selecione Operações do Azure IoT.

3. Selecione Criar.

4. Na folha Informações Básicas, forneça as seguintes informações:

   Parâmetro	Valor
   Assinatura	Selecione a assinatura que contém o cluster habilitado para Arc.
   Grupo de recursos	Selecione o grupo de recursos que contém o cluster habilitado para Arc.
   Nome do cluster	Selecione o cluster no qual você deseja implantar Operações do Azure IoT.
   Nome do local personalizado	Opcional: substitua o nome padrão pelo local personalizado.
   Versão de implantação	Selecione a versão 1.2 (mais recente ). Para obter mais informações, consulte as versões de Operações IoT.
   Componentes opcionais de implantação Conector OPC UA	Escolha implantar o conector opcional para o componente OPC UA.

5. Escolha Avançar: Configuração.

6. Na guia Configuração, forneça as seguintes informações:

   Parâmetro	Valor
   Operações do Azure IoT name	Optional: substitua o nome padrão da instância Operações do Azure IoT.
   Configuração do Agente MQTT	Opcional: edite as configurações padrão para o Agente MQTT. No portal Azure, é possível configurar configurações de cardinalidade e perfil de memória. O fator de redundância de back-end deve ser definido como 2 ou superior para alta disponibilidade e suporte à atualização. Para configurar outras definições, incluindo o buffer de mensagens com armazenamento em disco e opções avançadas do cliente MQTT, consulte o suporte do CLI do Azure para configuração avançada do agente MQTT.
   Configuração do perfil de fluxo de dados	Opcional: edite as configurações padrão para fluxos de dados. Para obter mais informações, veja Configurar o perfil de fluxo de dados.

   Uma captura de tela

7. Selecione Avançar: Gerenciamento de dependências.

8. Na guia Gerenciamento de Dependências, selecione um registro de esquema existente ou use estas etapas para criar um:

   1. Selecione Criar.

   2. Forneça um nome do registro de esquema e um namespace do registro de esquema.

   3. Selecione Select Armazenamento do Azure contêiner.

   4. Escolha uma conta de armazenamento na lista de contas hierárquicas habilitadas para namespace ou selecione Criar para criar uma.

      O registro de esquema requer uma conta Armazenamento do Azure com namespace hierárquico e acesso à rede pública habilitados. Ao criar uma nova conta de armazenamento, escolha um tipo de conta de armazenamento de Uso geral v2 e defina o namespace hierárquico como Habilitado.

      Para obter mais informações sobre como configurar sua conta de armazenamento, consulte as diretrizes de implantação de produção.

   5. Selecione um contêiner em sua conta de armazenamento ou selecione Contêiner para criar um.

   6. Selecione Aplicar para confirmar as configurações do registro de esquema.

9. Operações do Azure IoT usa namespaces para organizar ativos e dispositivos. Cada instância Operações do Azure IoT usa um único namespace para seus ativos e dispositivos. Na guia Dependency management, selecione um namespace existente do Registro de Dispositivos do Azure ou use estas etapas para criar um:

   1. Selecione Criar.

   2. Na folha Informações Básicas, forneça as seguintes informações:

      Parâmetro	Valor
      Assinatura	Selecione sua assinatura.
      Grupo de recursos	Selecione o grupo de recursos que contém sua instância de Operações do Azure IoT.
      Nome	Forneça um nome exclusivo para o namespace.
      Região	Selecione a região Azure para armazenar seu namespace.

      Selecione Avançar para continuar.

   3. Na guia Marcas , opcionalmente, você pode adicionar marcas ao namespace. Selecione Avançar para continuar.

   4. Na guia Examinar + criar , examine suas configurações e selecione Criar para criar o namespace.

   5. De volta à guia Gerenciamento de dependências , selecione o namespace recém-criado na lista.

10. Na guia Gerenciamento de dependências, selecione a opção de implantação Configurações seguras.

    

11. Na seção Opções de implantação, forneça as seguintes informações:

    Parâmetro	Valor
    Assinatura	Selecione a assinatura que contém seu Azure cofre de chaves.
    Azure Key Vault	Selecione um cofre de chaves Azure ou selecione Criar novo. Verifique se o cofre de chaves tem controle de acesso baseado em função do Azure como seu modelo de permissão. Para verificar esta configuração, selecione Gerenciar cofre selecionado>Configurações>Configuração de acesso. Certifique-se de dar permissões à sua conta de usuário para gerenciar segredos através da função Key Vault Secrets Officer.
    Identidade gerenciada atribuída pelo usuário para segredos	Selecione uma identidade ou escolha Criar.
    Identidade gerenciada atribuída pelo usuário para componentes do AIO	Selecione uma identidade ou escolha Criar. Não use a mesma identidade gerenciada que a que você selecionou para segredos.

    

12. Selecione Avançar: Automação.

Executar comandos CLI do Azure

A etapa final na experiência de implantação do portal do Azure é executar um conjunto de comandos CLI do Azure para implantar Operações do Azure IoT em seu cluster. Os comandos são gerados com base nas informações fornecidas nas etapas anteriores.

Uma de cada vez, execute cada comando CLI do Azure na guia Automation em um terminal:

1. Entre no CLI do Azure interativamente com um navegador, mesmo se você já tiver entrado antes. Se você não entrar interativamente, poderá receber um erro que diz Seu dispositivo precisa ser gerenciado para acessar o seu recurso quando você prosseguir para a próxima etapa para implementar as Operações do Azure IoT.

   az login
   

2. Instale a extensão mais recente da CLI do Operações do Azure IoT.

   az upgrade
   az extension add --upgrade --name azure-iot-ops
   

3. Copie e execute o comando az iot ops schema registry create para criar um registro de esquema usado por componentes Operações do Azure IoT. Se você optar por usar um registro de esquema existente, esse comando não será exibido na guia Automação.

   Observação

   Esse comando exige que você tenha permissões de gravação de atribuição de função porque ele atribui uma função para conceder acesso ao registro de esquema à conta de armazenamento. Por padrão, a função é a função interna Colaborador de dados do blob de armazenamento ou você pode criar uma função personalizada com permissões restritas para atribuir. Para obter mais informações, veja az iot ops schema registry create.

4. Para preparar o cluster para Operações do Azure IoT implantação, copie e execute o comando az iot ops init fornecido.

   Dica

   O comando init só precisa ser executado uma vez por cluster. Se você estiver reutilizando um cluster que já tinha Operações do Azure IoT versão 0.8.0 implantado nele, ignore esta etapa.

   Esse comando pode levar vários minutos para ser concluído. Você poderá ver o andamento na exibição de progresso da implantação no terminal.

5. Implantar Operações do Azure IoT. Copie e execute o comando az iot ops create fornecido. Esse comando pode levar vários minutos para ser concluído. Você poderá ver o andamento na exibição de progresso da implantação no terminal.

   Se você seguiu os pré-requisitos opcionais para configurar seu emissor de autoridade de certificação, adicione os parâmetros --trust-settings ao comando create:

   --trust-settings configMapName=<CONFIGMAP_NAME> configMapKey=<CONFIGMAP_KEY_WITH_PUBLICKEY_VALUE> issuerKind=<CLUSTERISSUER_OR_ISSUER> issuerName=<ISSUER_NAME>
   

6. Habilite a sincronização secreta para a instância de Operações do Azure IoT implantada. Copie e execute o comando az iot ops secretsync enable fornecido. Esse comando:

   • Cria uma credencial de identidade federada usando a identidade gerenciada atribuída pelo usuário.
   • Adiciona uma atribuição de função à identidade gerenciada atribuída pelo usuário para acesso ao Azure Key Vault.
   • Adiciona uma classe de provedor de segredo mínima associada à instância de Operações do Azure IoT.

7. Atribua uma identidade gerenciada atribuída pelo usuário à instância de Operações do Azure IoT implantada. Copie e execute o comando az iot ops identity assign. Esse comando cria uma credencial de identidade federada usando o emissor OIDC do cluster conectado indicado e a conta de serviço Operações do Azure IoT.

8. Reinicie os pods do registro de esquema para aplicar a nova identidade.

   kubectl delete pods adr-schema-registry-0 adr-schema-registry-1 -n azure-iot-operations
   

9. Depois que todos os comandos CLI do Azure forem concluídos com êxito, você poderá fechar o assistente Instalar Operações do Azure IoT.

Depois que o comando create for concluído com êxito, você terá uma instância de Operações do Azure IoT em funcionamento em execução no cluster. Neste ponto, sua instância está configurada para cenários de produção.

Verificar implantação

Depois que a implantação for concluída, use az iot ops check para avaliar a implantação do serviço das Operações de IoT em termos de integridade, configuração e usabilidade. O check comando pode ajudá-lo a encontrar problemas em sua implantação e configuração.

az iot ops check

O comando check exibe um aviso sobre fluxos de dados ausentes, o que é normal e esperado até que você crie um fluxo de dados. Para obter mais informações, veja Processar e encaminhar dados com fluxos de dados.

Você pode verificar as configurações de mapas de tópico, QoS e rotas de mensagem adicionando o parâmetro --detail-level 2 ao comando check para obter uma exibição detalhada.

Você pode exibir todas as versões da extensão da CLI Operações do Azure IoT disponíveis executando o seguinte comando:

az iot ops get-versions

Próximas etapas

• Consulte esses scripts em GitHub para automatizar uma implantação pronta para produção com configurações seguras.
• Se seus componentes precisarem se conectar a pontos de extremidade Azure, como SQL ou Fabric, saiba como gerenciar segredos para sua implantação de operações do Azure IoT.
• Para atualizar sua implantação de Operações do Azure IoT para uma versão mais recente, consulte Upgrade Operações do Azure IoT.