Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Quando implementa o Operações IoT do Azure, instala um conjunto de serviços num cluster Kubernetes compatível com Azure Arc. Este artigo fornece uma visão geral das diferentes opções de implantação a serem consideradas para seu cenário.
Ambientes suportados
Ambientes Windows suportados
A Microsoft suporta as seguintes distribuições Kubernetes para implementações do Operações IoT do Azure no Windows. A tabela abaixo detalha os seus níveis de suporte e as versões que a Microsoft utiliza para validar implementações:
| Distribuição do Kubernetes | Architecture | Nível de suporte | Versão mínima validada |
|---|---|---|---|
| Fundamentos do Edge AKS | x86_64 | Pré-visualização pública | AksEdge-K3s-1.30.6-1.11.247.0 |
| AKS em Azure Local | x86_64 | Pré-visualização pública | Azure Stack sistema operativo HCI, versão 23H2, build 2411 |
- A versão mínima validada é a versão mais baixa da distribuição Kubernetes que a Microsoft utiliza para validar implementações do Operações IoT do Azure.
Ambientes Linux suportados
A Microsoft suporta as seguintes distribuições Kubernetes para implementações do Operações IoT do Azure em ambientes Linux. A tabela abaixo lista os seus níveis de suporte e as versões que a Microsoft utiliza para validar implementações:
| Distribuição do Kubernetes | Architecture | Nível de suporte | Versão mínima validada | SO mínimo validado |
|---|---|---|---|---|
| K3s | x86_64 | Disponibilidade geral | 1.33.6 |
Ubuntu 24.04, Red Hat Enterprise Linux (RHEL) 9.x |
| Versão de Tanzu Kubernetes (TKr) | x86_64 | Disponibilidade geral | 1.28.11 | Tanzu Kubernetes Grid 2.5.2 |
| RKE2 | x86_64 | Disponibilidade geral | v1.35.0+rke2r1 | Sistemas operacionais |
- A versão mínima validada é a versão mais baixa da distribuição Kubernetes que a Microsoft utiliza para validar implementações do Operações IoT do Azure.
- O mínimo validado do sistema operativo é a versão mais baixa do sistema operativo que a Microsoft utiliza para validar implementações.
Nota
Os registos de utilização de faturação são recolhidos em qualquer ambiente onde instale o Operações IoT do Azure, independentemente do nível de suporte ou disponibilidade.
Para instalar o Operações IoT do Azure, é necessário ter disponíveis os seguintes requisitos de hardware. Se estiveres a usar um cluster multinós que permita tolerância a falhas, escala até à capacidade recomendada para melhor desempenho.
| Especificações | Mínimo | Recomendado |
|---|---|---|
| Capacidade de memória de hardware (RAM) | 16 GB | 32 GB |
| Memória disponível para Operações IoT do Azure (RAM) | 10 GB | Depende da utilização |
| CPU | 4 vCPUs (processadores virtuais) | 8 CPUs virtuais |
Nota
A configuração mínima é adequada quando se executa apenas Operações IoT do Azure.
Escolha as suas funcionalidades
O Operações IoT do Azure oferece dois modos de implementação. Você pode optar por implantar com as configurações de teste, um subconjunto básico de recursos que são mais simples para iniciar cenários de avaliação. Ou, você pode optar por implantar com configurações seguras, o conjunto completo de recursos.
Implantação de configurações de teste
Uma implantação com apenas configurações de teste tem as seguintes características:
- Ele não configura segredos ou recursos de identidade gerenciada atribuídos pelo usuário.
- Foi concebido para permitir a amostra de início rápido de ponta a ponta para fins de avaliação, pelo que suporta o simulador OPC PLC e liga-se a recursos cloud usando identidade gerida atribuída pelo sistema.
- Podes atualizá-lo para usar definições seguras.
Para uma experiência de início rápido, use o cenário Quickstart: Execute operações de Azure IoT em GitHub Codespaces com K3s. Este cenário usa uma distribuição Kubernetes leve (K3s) e corre em Codespaces GitHub, por isso não precisas de configurar um cluster nem instalar ferramentas localmente.
Para implementar o Operações IoT do Azure com definições de teste, siga estes artigos:
- Comece com Prepare o seu cluster Kubernetes Azure Arc para configurar e ativar o seu cluster com Arc.
- Depois, siga os passos em Deploye Operações IoT do Azure para um cluster de testes.
Sugestão
A qualquer momento, pode atualizar uma instância Operações IoT do Azure para usar definições seguras seguindo os passos em Ativar definições seguras.
Implementação de definições seguras
Uma implantação com configurações seguras tem as seguintes características:
- Foi concebido para cenários prontos para produção.
- Permite a criação de segredos e a identidade gerida atribuída pelo utilizador, ambas capacidades importantes para desenvolver um cenário pronto para produção. Os segredos são usados sempre que componentes do Operações IoT do Azure se ligam a um recurso fora do cluster, como um servidor OPC UA ou um endpoint de fluxo de dados.
Para implementar o Operações IoT do Azure com definições seguras, siga estes artigos:
- Comece com Preparar o cluster Kubernetes ativado pelo Azure Arc para configurar e ativar o seu cluster.
- Depois, siga os passos em Deployar Operações IoT do Azure para um cluster de produção.
Quando implementa o Operações IoT do Azure com definições seguras no AKS, a Microsoft recomenda bloquear o acesso pod ao endpoint do Azure Instance Metadata Service. Para saber como ativar esta funcionalidade, veja Bloquear acesso do pod ao Azure Instance Metadata Service (IMDS) endpoint.
Permissões obrigatórias
A tabela seguinte descreve tarefas de implementação e gestão do Operações IoT do Azure que requerem permissões elevadas. Para informações sobre a atribuição de papéis aos utilizadores, consulte Passos para atribuir um papel de Azure.
| Tarefa | Permissão necessária | Comentários |
|---|---|---|
| Implementar Operações de IoT da Azure | Função de Integração de Operações do Azure IoT | Esta função tem todas as permissões necessárias para ler e escrever operações Azure IoT e recursos do Azure Device Register. Esta função tem permissões Microsoft.Authorization/roleAssignments/write. |
| Registrar provedores de recursos | Função de colaborador ao nível da subscrição | Só é necessário fazer uma vez por assinatura. Deve registar os seguintes fornecedores de recursos: Microsoft.ExtendedLocation, Microsoft.SecretSyncController, Microsoft.Kubernetes, Microsoft.KubernetesConfiguration, Microsoft.IoTOperations e Microsoft.DeviceRegistry. |
| Criar segredos no Key Vault | Função de Oficial de Segredos do Key Vault ao nível do recurso | Só é necessário para a implementação de definições seguras para sincronizar segredos do Azure Key Vault. |
| Criar e gerir contas de armazenamento | Função de Colaborador da Conta de Armazenamento | Necessário para a implementação do Operações IoT do Azure. |
| Criar um grupo de recursos | Função de Colaborador do Grupo de Recursos | É necessário criar um grupo de recursos para armazenar recursos do Operações IoT do Azure. |
| Integrar um cluster no Azure Arc | Kubernetes Cluster - Azure Arc função de integração | Clusters habilitados para Arc são necessários para implementar o Operações IoT do Azure. |
| Gerir a implementação do Azure resource bridge | Função de Implementação da Ponte de Recursos do Azure | Necessário para implementar o Operações IoT do Azure. |
| Fornecer permissões para implantação | Função de Utilizador do Cluster do Azure Arc Enabled Kubernetes | É necessário conceder permissão de implementação ao cluster Kubernetes habilitado pelo Azure Arc. |
Sugestão
Deve ativar a sincronização de recursos na instância Operações IoT do Azure para utilizar as capacidades automáticas de descoberta de ativos dos serviços Akri. Para saber mais, veja O que é a descoberta de ativos OPC UA?
Se usares a CLI do Azure para atribuir funções, usa o comando az atribuição de funções create para dar permissões. Por exemplo, az role assignment create --assignee sp_name --role "Role Based Controlo de Acesso Administrator" --scope subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/MyResourceGroup
Se usar o portal do Azure para atribuir funções de administrador privilegiado a um utilizador ou principal, é solicitado a restringir o acesso usando condições. Para esse cenário, selecione a condição Permitir que o usuário atribua todas as funções na página Adicionar atribuição de função.
Organizar instâncias usando sites
O Operações IoT do Azure suporta sites Azure Arc para organizar instâncias. Um site é um recurso de cluster em Azure semelhante a um grupo de recursos, mas os sites normalmente agrupam instâncias por localização física e facilitam a localização e gestão de ativos pelos utilizadores de OT. Um administrador de TI cria sites e define o escopo para uma assinatura ou um grupo de recursos. Depois, quaisquer operações do Azure IoT implantadas num cluster compatível com Arc são automaticamente recolhidas no local associado à sua subscrição ou grupo de recursos.
Para mais informações, consulte O que é Azure Arc gestor de site (pré-visualização)?
Pontos finais de operações do Azure IoT
Se utilizar firewalls empresariais ou proxies para gerir o tráfego de saída, configure os seguintes endpoints antes de implementar o Operações IoT do Azure.
Endpoints nos Azure Arc-enabled Kubernetes endpoints.
Nota
Se usares Azure Arc Gateway para ligar o teu cluster ao Arc, podes configurar um conjunto mais pequeno de endpoints com base nas orientações Arc Gateway.
Endpoints em CLI do Azure endpoints.
Precisa de
graph.windows.net,*.azurecr.io,*.blob.core.windows.nete*.vault.azure.netdesta lista de endpoints.Para enviar dados para a nuvem, ative os seguintes endpoints conforme a plataforma de dados escolhida.
- Microsoft Fabric OneLake: Adicione URLs Fabric à sua lista de permisos.
- Centros de Eventos: Resolução de problemas de conectividade - Hubs de Eventos do Azure.
- Event Grid: Resolução de problemas de conectividade - Azure Event Grid.
- Azure Data Lake Storage Gen 2: endpoints padrão da conta de armazenamento.
O Operações IoT do Azure utiliza um registo de esquema baseado na cloud que requer acesso a um contentor Armazenamento de Blobs do Azure fornecido pelo cliente. Para que o registo de esquemas aceda ao contentor, este deve expor um endpoint público ou designar o registo de esquema do Registo de Dispositivos Azure (
Microsoft.DeviceRegistry/schemaRegistries) como um serviço Azure confiável. Isto não afeta nenhuma configuração de firewall ou proxy do cliente na periferia. Para saber mais, consulte Registo e armazenamento de esquemas.Pontos finais (DNS) Descrição <customer-specific>.blob.core.windows.netArmazenamento para registo de esquemas. Consulte os endpoints da conta de armazenamento para identificar o subdomínio específico do cliente do seu endpoint.
Residência de dados
O Azure Resource Manager permite-lhe gerir e controlar a sua instância de Operações IoT do Azure no seu cluster Kubernetes a partir da cloud, usando o portal Azure ou CLI do Azure. Embora deva implementar os recursos Azure Resource Manager para Operações IoT do Azure para uma região atualmente suportada, escolhe onde as suas cargas de trabalho operacionais e dados residem fisicamente. O tempo de execução e a computação do Operações IoT do Azure permanecem nas suas instalações e sob o seu controlo.
Esta arquitetura assegura as seguintes características da implementação:
- Todos os processos operacionais e cargas de trabalho correm na sua própria infraestrutura local.
- Para cumprir os requisitos de residência de dados, escolha a região Azure para quaisquer recursos de armazenamento ou processamento de dados que a sua solução utilize.
- Os dados são transferidos diretamente entre a sua infraestrutura local e os seus recursos de armazenamento e processamento Azure. Os seus dados não passam pelos recursos do Operações IoT do Azure na cloud.
- A localização do Azure Resource Manager para a sua instância do Operações IoT do Azure é uma referência lógica para gestão e orquestração.
- Nenhum dado de produção de clientes é realocado. Alguma telemetria do sistema, como métricas e registos, usada para melhoria de serviços e identificação proativa de problemas de infraestrutura, pode chegar à região do Azure onde estão localizados os seus recursos Operações IoT do Azure.
O diagrama seguinte mostra um exemplo de implementação que ilustra como manter a soberania dos dados na sua infraestrutura local, utilizando opcionalmente uma região Azure diferente para armazenamento e processamento de dados. Neste exemplo:
- Recursos de gestão do Operações IoT do Azure são implantados na região US West. Esta região é uma das suportadas pelo Operações IoT do Azure.
- As cargas de trabalho operacionais e os dados mantêm-se localidades próprias na periferia sob o seu controlo total, garantindo a residência e soberania dos dados.
- Os recursos de armazenamento e processamento de dados são implementados na região Canadá Central para satisfazer requisitos regionais específicos de residência de dados.
Próximos passos
Prepare o seu cluster Kubernetes habilitado para Azure Arc para configurar e habilitar um cluster para operações Azure IoT.