Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Ao implantar o Operações do Azure IoT, você instala um conjunto de serviços em um cluster Kubernetes habilitado pelo Azure Arc. Este artigo apresenta uma visão geral das diferentes opções de implantação a serem consideradas para seu cenário.
Ambientes com suporte
Ambientes de Windows com suporte
Microsoft dá suporte às seguintes distribuições do Kubernetes para implantações de Operações do Azure IoT em Windows. A tabela abaixo detalha seus níveis de suporte e as versões que Microsoft usa para validar implantações:
| Distribuição do Kubernetes | Architecture | Nível de suporte | Versão mínima validada |
|---|---|---|---|
| AKS Edge Essentials | x86_64 | Visualização pública | AksEdge-K3s-1.30.6-1.11.247.0 |
| AKS no Azure Local | x86_64 | Visualização pública | Azure Stack HCI OS, versão 23H2, build 2411 |
- A versão mínima validada é a versão mais baixa da distribuição do Kubernetes que a Microsoft usa para validar implantações do Operações do Azure IoT.
Ambientes do Linux com suporte
Microsoft dá suporte às seguintes distribuições do Kubernetes para implantações de Operações do Azure IoT em ambientes linux. A tabela a seguir lista seus níveis de suporte e as versões que Microsoft usa para validar implantações:
| Distribuição do Kubernetes | Architecture | Nível de suporte | Versão mínima validada | Sistema operacional validado mínimo |
|---|---|---|---|---|
| K3s | x86_64 | Disponibilidade geral | 1.33.6 |
Ubuntu 24.04, Red Hat Enterprise Linux (RHEL) 9.x |
| Versão de Kubernetes do Tanzu (TKr) | x86_64 | Disponibilidade geral | 1.28.11 | Tanzu Kubernetes Grid 2.5.2 |
| RKE2 | x86_64 | Disponibilidade geral | v1.35.0+rke2r1 | Sistemas operacionais |
- A versão mínima validada é a versão mais baixa da distribuição do Kubernetes que a Microsoft usa para validar as implantações do Operações do Azure IoT.
- O sistema operacional mínimo validado é a versão mais baixa do sistema operacional que a Microsoft usa para validar implantações.
Observação
Os registros de uso de cobrança são coletados em qualquer ambiente em que você instale as Operações do Azure IoT, independentemente dos níveis de suporte ou de disponibilidade.
Para instalar Operações do Azure IoT, você precisa ter os seguintes requisitos de hardware disponíveis. Se você estiver usando um cluster multinodo que habilita a tolerância a falhas, escale verticalmente até a capacidade recomendada para melhorar o desempenho.
| Especificação | Mínimo | Recomendado |
|---|---|---|
| Capacidade de memória do hardware (RAM) | 16 GB | 32 GB |
| Memória disponível para Operações do Azure IoT (RAM) | 10 GB | Depende do uso |
| CPU | 4 vCPUs (processadores virtuais) | 8 vCPUs (unidades de processamento virtual) |
Observação
A configuração mínima é apropriada ao executar somente Operações do Azure IoT.
Escolha seus recursos
Operações do Azure IoT oferece dois modos de implantação. Você pode optar por implantar com as configurações de teste, um subconjunto básico de recursos que simplifica o uso inicial dos cenários de avaliação. Ou você pode optar por implantar com configurações seguras, o conjunto completo de recursos.
Implantação das configurações de teste
Uma implantação com apenas configurações de teste tem as seguintes características:
- Não configura segredos ou funcionalidades de identidade gerenciada atribuída pelo usuário.
- Ele foi projetado para habilitar o exemplo de início rápido de ponta a ponta para fins de avaliação, de modo que dá suporte ao simulador OPC PLC e se conecta aos recursos de nuvem usando a identidade gerenciada atribuída pelo sistema.
- Você pode atualizá-lo para usar configurações seguras.
Para obter uma experiência de início rápido, use o cenário Quickstart: Executar Operações do Azure IoT em GitHub Codespaces com K3s. Esse cenário usa uma distribuição leve do Kubernetes (K3s) e é executado em GitHub Codespaces, portanto, você não precisa configurar um cluster ou instalar nenhuma ferramenta localmente.
Para implantar Operações do Azure IoT com configurações de teste, siga estes artigos:
- Comece com Prepare seu cluster Kubernetes habilitado pelo Azure Arc para configurar e habilitar seu cluster.
- Em seguida, siga as etapas em Deploy Operações do Azure IoT para um cluster de teste.
Dica
A qualquer momento, você pode atualizar uma instância do Operações do Azure IoT para usar configurações seguras seguindo as etapas em Enable secure settings.
Implantação das configurações seguras
Uma implantação com configurações seguras tem as seguintes características:
- Foi projetado para cenários prontos para produção.
- Ele habilita segredos e identidade gerenciada atribuída pelo usuário, ambos recursos importantes para desenvolver um cenário pronto para produção. Os segredos são usados sempre que os componentes de Operações do Azure IoT conectam-se a um recurso fora do cluster, como um servidor OPC UA ou um ponto de extremidade de fluxo de dados.
Para implantar Operações do Azure IoT com configurações seguras, siga estes artigos:
- Comece com Prepare seu cluster do Kubernetes habilitado para Azure Arc para configurar e habilitar seu cluster para Arc.
- Em seguida, siga as etapas em Deploy Operações do Azure IoT para um cluster de produção.
Quando você implanta as Operações do Azure IoT com configurações seguras no AKS, a Microsoft recomenda bloquear o acesso do pod ao ponto de extremidade do Serviço de Metadados de Instância do Azure. Para saber como habilitar esse recurso, confira Bloquear o acesso de pods ao ponto de extremidade do Serviço de Metadados de Instância (IMDS) do Azure.
Permissões necessárias
A tabela a seguir descreve Operações do Azure IoT tarefas de implantação e gerenciamento que exigem permissões elevadas. Para obter informações sobre como atribuir funções aos usuários, consulte Steps para atribuir uma função Azure.
| Tarefa | Permissão necessária | Comentários |
|---|---|---|
| Implantação de Operações do Azure IoT | Operações do Azure IoT Função de integração | Essa função tem todas as permissões necessárias para ler e gravar operações do IoT do Azure e recursos do Registro de Dispositivos do Azure. Essa função tem Microsoft.Authorization/roleAssignments/write permissões. |
| Registrar os provedores de recursos | Função Colaborador no nível da assinatura | É preciso ser feito apenas uma vez por assinatura. Você precisa registrar os seguintes provedores de recursos: Microsoft.ExtendedLocation, Microsoft.SecretSyncController, Microsoft.Kubernetes, Microsoft.KubernetesConfiguration, Microsoft.IoTOperations e Microsoft.DeviceRegistry. |
| Criar segredos no Key Vault | Função de Oficial de Segredos do Key Vault no nível do recurso | Necessário apenas para a implantação de configurações seguras para sincronizar segredos de Azure Key Vault. |
| Criar e gerenciar contas de armazenamento | Função de Colaborador da Conta de Armazenamento | Necessário para a implantação do Operações do Azure IoT. |
| Criar um grupo de recursos | Função Colaborador do Grupo de Recursos | Necessário para criar um grupo de recursos para armazenar recursos Operações do Azure IoT. |
| Conectar um cluster ao Azure Arc | Cluster do Kubernetes – função de Integração ao Azure Arc | Os clusters habilitados para Arc são necessários para implantar Operações do Azure IoT. |
| Gerenciar a implantação da ponte de recursos do Azure | Função de Implantação do Azure Resource Bridge | Necessário para implantar Operações do Azure IoT. |
| Fornecer permissões para implantação | Função de usuário do cluster Kubernetes habilitado para Azure Arc | Necessário para conceder permissão de implantação para o cluster Kubernetes habilitado para Azure Arc. |
Dica
Você deve habilitar a sincronização de recursos na instância de Operações do Azure IoT para usar os recursos automáticos de descoberta de ativos dos serviços Akri. Para saber mais, confira o que é a descoberta de ativos do OPC UA?
Se você usar o CLI do Azure para atribuir funções, use o comando az role assignment create para conceder permissões. Por exemplo, az role assignment create --assignee sp_name --role "Role Based Controle de Acesso Administrator" --scope subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/MyResourceGroup
Se você usar o portal do Azure para atribuir funções de administrador privilegiadas a um usuário ou principal, você será solicitado a restringir o acesso usando condições. Para esse cenário, selecione a condição Permitir que o usuário atribua todas as funções na página Adicionar atribuição de função.
Organizar as instâncias usando sites
Operações do Azure IoT dá suporte a sites Azure Arc para organizar instâncias. Um site é um recurso de cluster em Azure como um grupo de recursos, mas os sites normalmente agrupam instâncias por local físico e facilitam a localização e gerenciamento de ativos pelos usuários de OT. Um administrador de TI cria sites e os coloca em escopo para uma assinatura ou grupo de recursos. Em seguida, qualquer operação do Azure IoT implantada em um cluster habilitado para Arc é automaticamente coletada no site associado à assinatura ou grupo de recursos correspondente.
Para obter mais informações, consulte O que é Azure Arc gerenciador de sites (versão prévia)?
pontos de conexão do Operações do Azure IoT
Se você usar os firewalls ou proxies corporativos para gerenciar o tráfego de saída, configure os pontos de extremidade a seguir antes de implantar as Operações do Azure IoT.
Pontos de extremidade nos pontos de extremidade do Kubernetes habilitados pelo Azure Arc.
Observação
Se você usar Azure Arc Gateway para conectar seu cluster ao Arc, poderá configurar um conjunto menor de pontos de extremidade com base nas diretrizes do gateway Arc.
Pontos de extremidade nos pontos de extremidade da CLI do Azure.
Você precisa de
graph.windows.net,*.azurecr.io,*.blob.core.windows.nete*.vault.azure.netdesta lista de endpoints.Para enviar dados por push para a nuvem, habilite os pontos de extremidade a seguir com base na sua escolha de plataforma de dados.
- Microsoft Fabric OneLake: Adicionar URLs do Fabric à sua lista de permissões.
- Hubs de eventos: Solucionar problemas de conectividade – Hubs de Eventos do Azure.
- Grade de Eventos: Solucionar problemas de conectividade - Grade de Eventos do Azure.
- Azure Data Lake Storage Gen 2: pontos de extremidade padrão da conta de armazenamento.
Operações do Azure IoT usa um registro de esquema baseado em nuvem que requer acesso a um contêiner de Armazenamento de Blobs do Azure fornecido pelo cliente. Para que o registro de esquema acesse o contêiner, o contêiner deve expor um ponto de extremidade público ou designar o registro de esquema do Registro de Dispositivo do Azure (
Microsoft.DeviceRegistry/schemaRegistries) como um serviço do Azure confiável. Isso não afeta as configurações de firewall ou de proxy do cliente na borda. Para saber mais, consulte o Registro de Esquema e o armazenamento.Pontos de extremidade (DNS) Descrição <customer-specific>.blob.core.windows.netArmazenamento para registro de esquema. Veja Pontos de extremidade da conta de armazenamento para identificar o subdomínio específico do cliente do ponto de extremidade.
Residência de dadosResidência de dados
Azure Resource Manager permite gerenciar e controlar sua instância de Operações do Azure IoT no cluster do Kubernetes da nuvem usando o portal Azure ou CLI do Azure. Embora você precise implantar os recursos de Azure Resource Manager para Operações do Azure IoT em uma região com suporte simultâneo, escolha onde residem fisicamente suas cargas de trabalho operacionais e dados. O Operações do Azure IoT runtime e a computação permanecem em seu local e sob seu controle.
Essa arquitetura garante as seguintes características da implantação:
- Todos os processos operacionais e cargas de trabalho são executados em sua própria infraestrutura local.
- Para atender aos requisitos de residência de dados, escolha a região Azure para qualquer armazenamento de dados ou recursos de processamento de dados que sua solução usa.
- Transferências de dados diretamente entre sua infraestrutura local e seus recursos de armazenamento e processamento de Azure. Seus dados não passam pelos recursos de Operações do Azure IoT na nuvem.
- O local do Azure Resource Manager para sua instância de Operações do Azure IoT é uma referência lógica para gerenciamento e orquestração.
- Nenhum dado de produção do cliente é realocado. Algumas telemetrias do sistema, como métricas e logs, usadas para melhoria de serviço e identificação proativa de problemas de infraestrutura podem fluir para a região Azure em que os recursos Operações do Azure IoT estão localizados.
O diagrama a seguir mostra uma implantação de exemplo que ilustra como manter a soberania de dados em sua infraestrutura local e, opcionalmente, usar uma região de Azure diferente para armazenamento e processamento de dados. Neste exemplo:
- Os recursos de gerenciamento do Operações do Azure IoT são implantados na região US West. Essa região é uma das regiões com suporte para Operações do Azure IoT.
- As cargas de trabalho e os dados operacionais permanecem localmente na borda sob seu controle total para garantir residência e soberania dos dados.
- Os recursos de armazenamento e processamento de dados são implantados na região Central do Canadá para atender aos requisitos específicos de residência de dados regionais.
Próximas etapas
Prepare seu cluster do Kubernetes habilitado para Azure Arc para configurar e habilitar um cluster para Operações do Azure IoT.