Vytváření a zřizování zařízení IoT Edge ve velkém měřítku pomocí čipu TPM ve Windows

  • Článek

Platí pro: Ikona Ano IoT Edge 1.1

Důležité

Datum ukončení podpory ioT Edge 1.1 bylo 13. prosince 2022. Informace o způsobu podpory tohoto produktu, služby, technologie nebo rozhraní API najdete v tématu věnovaném životnímu cyklu produktů Microsoftu. Další informace o aktualizaci na nejnovější verzi IoT Edge najdete v tématu Aktualizace IoT Edge.

Tento článek obsahuje pokyny k automatickému zřízení Azure IoT Edge pro zařízení s Windows pomocí čipu TPM (Trusted Platform Module). Zařízení IoT Edge můžete automaticky zřizovat pomocí služby zřizování zařízení Azure IoT Hubu. Pokud neznáte proces automatického zřizování, než budete pokračovat, projděte si přehled zřizování.

Poznámka:

Azure IoT Edge s kontejnery Windows se od verze 1.2 Azure IoT Edge nebude podporovat.

Zvažte použití nové metody pro spuštění IoT Edge na zařízeních s Windows, Azure IoT Edge pro Linux ve Windows.

Pokud chcete použít Azure IoT Edge pro Linux ve Windows, můžete postupovat podle kroků v ekvivalentní příručce s postupy.

Tento článek popisuje dvě metodologie. Vyberte svoji předvolbu na základě architektury vašeho řešení:

  • Automatické zřízení zařízení s Windows s fyzickým hardwarem TPM
  • Automatické zřízení zařízení s Windows se simulovaným čipem TPM Tuto metodologii doporučujeme pouze jako testovací scénář. Simulovaný čip TPM nenabízí stejné zabezpečení jako fyzický čip TPM.

Pokyny se liší podle vaší metodologie, takže se ujistěte, že jste na správné kartě.

Úkoly jsou následující:

  • Načtěte informace o zřizování vašeho zařízení.
  • Vytvořte pro zařízení individuální registraci.
  • Nainstalujte modul runtime IoT Edge a připojte zařízení ke službě IoT Hub.

Požadavky

Požadavky jsou stejné pro fyzická řešení TPM a virtuální čip TPM.

Cloudové prostředky

  • Aktivní centrum IoT
  • Instance služby IoT Hub device Provisioning v Azure propojená s centrem IoT
    • Pokud nemáte instanci služby zřizování zařízení, můžete postupovat podle pokynů v rychlém startu vytvoření nové služby zřizování zařízení ioT Hubu a propojení centra IoT a oddílů služby zřizování zařízení ve službě IoT Hub.
    • Po spuštění služby device provisioning zkopírujte hodnotu Oboru ID ze stránky přehledu. Tuto hodnotu použijete při konfiguraci modulu runtime IoT Edge.

Požadavky na zařízení

Vývojový počítač s Windows. Tento článek používá Windows 10.

Poznámka:

Čip TPM 2.0 se vyžaduje při použití ověření identity TPM se službou zřizování zařízení.

Při použití čipu TPM můžete vytvořit jenom jednotlivé registrace služeb zřizování zařízení, nikoli skupiny.

Nastavení čipu TPM

V této části vytvoříte nástroj, který můžete použít k načtení ID registrace a ověřovacího klíče pro čip TPM.

  1. Postupujte podle kroků v tématu Nastavení vývojového prostředí pro Windows pro instalaci a sestavení sady SDK pro zařízení Azure IoT pro jazyk C.

  2. Spuštěním následujících příkazů v relaci PowerShellu se zvýšenými oprávněními sestavte nástroj sdk, který načte informace o zřizování zařízení pro tpM.

    cd azure-iot-sdk-c\cmake
cmake -Duse_prov_client:BOOL=ON ..
cd provisioning_client\tools\tpm_device_provision
make
.\tpm_device_provision

  3. V okně výstupu se zobrazí ID registrace zařízení a ověřovací klíč. Tyto hodnoty zkopírujte pro pozdější použití při vytváření individuální registrace zařízení ve službě zřizování zařízení.

Tip

Pokud k načtení informací nechcete použít nástroj SDK, musíte najít jiný způsob, jak získat informace o zřizování. Ověřovací klíč, který je pro každý čip TPM jedinečný, se získá od výrobce čipu TPM, který k němu přidružuje. Pro zařízení TPM můžete odvodit jedinečné ID registrace. Můžete například vytvořit hodnotu hash SHA-256 ověřovacího klíče.

Jakmile budete mít ID registrace a ověřovací klíč, můžete pokračovat.

Vytvoření registrace služby zřizování zařízení

Informace o zřizování čipu TPM slouží k vytvoření individuální registrace ve službě zřizování zařízení.

Při vytváření registrace ve službě zřizování zařízení máte možnost deklarovat počáteční stav dvojčete zařízení. Ve dvojčeti zařízení můžete nastavit značky pro seskupení zařízení podle libovolné metriky používané ve vašem řešení, jako je oblast, prostředí, umístění nebo typ zařízení. Tyto značky slouží k vytváření automatických nasazení.

Tip

Kroky v tomto článku jsou určené pro Azure Portal, ale jednotlivé registrace můžete vytvořit také pomocí Azure CLI. Další informace najdete v tématu az iot dps enrollment. Jako součást příkazu rozhraní příkazového řádku použijte příznak s povoleným hraničním zařízením a určete, že registrace je pro zařízení IoT Edge.

  1. Na webu Azure Portal přejděte do vaší instance služby IoT Hub device Provisioning.

  2. V části Nastavení vyberte Spravovat registrace.

  3. Vyberte Přidat jednotlivé registrace a pak proveďte následující kroky a nakonfigurujte registraci:

    1. V případě mechanismu vyberte TPM.

    2. Zadejte ověřovací klíč a ID registrace, které jste zkopírovali z virtuálního počítače nebo fyzického zařízení.

    3. Pokud chcete, zadejte ID zařízení. Pokud nezadáte ID zařízení, použije se ID registrace.

    4. Výběrem možnosti True deklarujte, že virtuální počítač nebo fyzické zařízení je zařízení IoT Edge.

    5. Zvolte propojené centrum IoT, ke kterému chcete zařízení připojit, nebo vyberte Propojit s novým IoT Hubem. Můžete zvolit více rozbočovačů a zařízení se přiřadí k jednomu z nich podle vybraných zásad přiřazení.

    6. Pokud chcete, přidejte hodnotu značky do stavu počátečního dvojčete zařízení. Značky můžete použít k cílovým skupinám zařízení pro nasazení modulu. Další informace najdete v tématu Nasazení modulů IoT Edge ve velkém měřítku.

    7. Zvolte Uložit.

Teď, když pro toto zařízení existuje registrace, může modul runtime IoT Edge během instalace zařízení automaticky zřídit.

Instalace IoT Edge

V této části připravíte virtuální počítač s Windows nebo fyzické zařízení pro IoT Edge. Pak nainstalujete IoT Edge.

Azure IoT Edge spoléhá na modul runtime kontejneru kompatibilní s OCI. Moby, modul založený na Moby, je součástí instalačního skriptu, což znamená, že neexistují žádné další kroky k instalaci modulu.

Instalace modulu runtime IoT Edge:

  1. Spusťte PowerShell jako správce.

    Použijte relaci AMD64 PowerShellu, ne PowerShellu (x86). Pokud si nejste jistí, jaký typ relace používáte, spusťte následující příkaz:

    (Get-Process -Id $PID).StartInfo.EnvironmentVariables["PROCESSOR_ARCHITECTURE"]

  2. Spusťte příkaz Deploy-IoTEdge, který provádí následující úlohy:

    • Zkontroluje, jestli je váš počítač s Windows v podporované verzi.
    • Zapne funkci kontejnerů.
    • Stáhne modul moby a modul runtime IoT Edge.
    . {Invoke-WebRequest -useb https://aka.ms/iotedge-win} | Invoke-Expression; `
Deploy-IoTEdge

  3. Pokud se zobrazí výzva, restartujte zařízení.

Když nainstalujete IoT Edge na zařízení, můžete k úpravě procesu použít další parametry, mezi které patří:

  • Směrování provozu pro průchod proxy serverem
  • Nasměrujte instalační program na místní adresář pro offline instalaci.

Další informace o těchtodalšíchch

Zřízení zařízení s využitím cloudové identity

Po instalaci modulu runtime na zařízení nakonfigurujte zařízení s informacemi, které používá pro připojení ke službě zřizování zařízení a ioT Hubu.

  1. Seznamte se s oborem ID služby zřizování zařízení a ID registrace zařízení, které jste shromáždili v předchozích částech.

  2. Otevřete okno PowerShellu v režimu správce. Při instalaci IoT Edge, nikoli PowerShellu (x86), nezapomeňte použít relaci AMD64 PowerShellu.

  3. Příkaz Initialize-IoTEdge nakonfiguruje modul runtime IoT Edge na vašem počítači. Ve výchozím nastavení se příkaz nastaví na ruční zřizování s kontejnery Windows. -Dps Příznak použijte k použití služby zřizování zařízení místo ručního zřizování.

    Nahraďte zástupné hodnoty pro paste_scope_id_here a paste_registration_id_here daty, která jste shromáždili dříve.

    . {Invoke-WebRequest -useb https://aka.ms/iotedge-win} | Invoke-Expression; `
Initialize-IoTEdge -Dps -ScopeId paste_scope_id_here -RegistrationId paste_registration_id_here

Ověření úspěšné instalace

Pokud se modul runtime úspěšně spustil, přejděte do centra IoT a začněte do zařízení nasazovat moduly IoT Edge. Pomocí následujících příkazů na vašem zařízení ověřte, že modul runtime byl nainstalován a úspěšně spuštěn.

  1. Zkontrolujte stav služby IoT Edge.

    Get-Service iotedge

  2. Prozkoumejte protokoly služby za posledních 5 minut.

    . {Invoke-WebRequest -useb aka.ms/iotedge-win} | Invoke-Expression; Get-IoTEdgeLog

  3. Výpis spuštěných modulů

    iotedge list

Další kroky

Proces registrace služby Device Provisioning umožňuje nastavit ID zařízení a značky dvojčat zařízení současně se zřízením nového zařízení. Tyto hodnoty můžete použít k cílení na jednotlivá zařízení nebo skupiny zařízení pomocí automatické správy zařízení.

Naučte se nasazovat a monitorovat moduly IoT Edge ve velkém měřítku pomocí webu Azure Portal nebo Azure CLI.