Migración de Azure Sphere (heredado) a Azure Sphere (integrado)
El 27 de septiembre de 2027, Azure Sphere retirará sus interfaces de servicio heredadas, la API de Azure Sphere (heredada) (también conocida como PAPI) y la CLI de Azure Sphere (también conocida como azsphere). Todos los usuarios de Azure Sphere (heredado) deben migrar a Azure Sphere (integrado) antes de esta fecha. Azure Sphere (integrado) es nativo de la plataforma Azure y proporciona un reemplazo similar a la interfaz de Azure Sphere (heredado). Azure Sphere (integrado) también ofrece mejoras significativas en la seguridad (integración con RBAC de Azure), facilidad de uso (integración de Azure Portal) y observabilidad/alertas (integración de Azure Monitor). Para obtener más información, consulte este blog.
Este artículo está diseñado para ayudar a los administradores y equipos de ingeniería de Azure Sphere a comprender y planear la migración. Hemos diseñado el proceso de migración para permitirle administrar los dispositivos de Azure Sphere tanto en Azure Sphere (integrado) como en Azure Sphere (heredado) según sea necesario en todo el proyecto de migración. Además, los scripts, la automatización y las interfaces basados en heredados pueden funcionar sin interrupciones mientras el equipo de ingeniería crea y prueba versiones actualizadas basadas en Azure Sphere (integrado).
El proceso de migración se puede dividir en las siguientes áreas de trabajo:
- Integración del inquilino heredado en un catálogo de Azure Sphere en Azure Portal
- Migración de flujos de trabajo de usuario interactivos
- Migración de procesos e interfaces automatizados
Integración del inquilino de Azure Sphere (heredado) en un catálogo de Azure Sphere
Este primer paso del proceso de migración debe completarse antes de que pueda comenzar cualquier otro trabajo. La característica Integrar en Azure Portal prepara el inquilino de Azure Sphere (heredado) para que se administre en el entorno de Azure donde se convierte en un catálogo de Azure Sphere. El inquilino y sus recursos siguen siendo los mismos con la excepción de que ahora también puede acceder a ellos y administrarlos a través de las interfaces de usuario de Azure, incluido Azure Portal, la extensión de Azure Sphere para la CLI de Azure y Azure Sphere para PowerShell.
El proceso de integración realiza dos pasos:
- Asigna un identificador de recurso de Azure a cada recurso del inquilino, lo que permite administrar el recurso mediante Azure Resource Manager.
- Asigna los roles de acceso de usuario de inquilino heredado a los roles de acceso de usuario administrados por el Control de acceso basado en roles de Azure (RBAC). Cuando se muestran las asignaciones de roles de acceso sugeridas durante el proceso de integración, puede aceptarlas, modificarlas o rechazarlas. Una vez completado el paso de integración, puede modificar el acceso de usuario en cualquier momento.
Normalmente, el paso de integración solo tarda unos minutos y, una vez completado, cualquier usuario al que se concedió acceso durante la integración puede empezar a administrar inmediatamente el nuevo catálogo de Azure Sphere en cualquiera de las interfaces de usuario de Azure. El proceso de integración no bloquea ningún flujo de trabajo existente y le recomendamos que lo haga pronto para que pueda empezar a explorar las nuevas interfaces y ventajas de Azure Sphere (integrado). Una vez completado, puede comenzar el resto del trabajo de migración.
Migración de flujos de trabajo de usuario interactivos
Los flujos de trabajo interactivos son los que un individuo usa la CLI de "azsphere" (o usa un script que, a su vez, usa la CLI "azsphere") para realizar una tarea. Estos flujos de trabajo interactivos pueden producirse como parte de la fabricación (por ejemplo, reclamar nuevos dispositivos en el inquilino), operaciones (por ejemplo, administrar certificados relacionados con el inquilino) o casos de uso del desarrollador (por ejemplo, configurar un dispositivo de desarrollador para que no reciba actualizaciones inalámbricas).
Al planear la migración de los flujos de trabajo, debe tener en cuenta la posibilidad de entrenar a los usuarios, actualizar la documentación interna y, en casos en los que se usan scripts de forma interactiva, actualizar esos scripts. También puede considerar la posibilidad de aprovechar dos mejoras clave en Azure Sphere (integrada): la interfaz simplificada de Azure Sphere en Azure Portal y la sólida administración de acceso de usuarios de Azure en el control de acceso basado en rol (RBAC) de Azure.
Es importante tener en cuenta si un flujo de trabajo de usuario determinado se logra mejor en una interfaz web en lugar de en una CLI. Azure Sphere (integrado) le permite administrar el catálogo en Azure Portal y, para muchos flujos de trabajo de usuario interactivos, Portal ofrece una experiencia de usuario más completa y sencilla. Por ejemplo, en Azure Portal puede cargar e implementar imágenes simultáneamente en un solo paso, como se muestra a continuación.
En segundo lugar, considere cómo puede restringir el acceso de los usuarios de forma más eficaz. Azure Sphere (integrado) admite el control de acceso basado en rol (RBAC) de Azure, que permite un acceso de usuario mucho más sólido y específico que Azure Sphere (heredado).
Se trata de un modelo de permisos mínimos diseñado para conceder a un usuario individual acceso solo a los recursos necesarios para su trabajo, así como permiso para realizar solo las acciones de usuario necesarias para su trabajo. Por ejemplo, en un catálogo de Azure Sphere, puede permitir que un usuario vea el grupo de dispositivos de producción y crear nuevas implementaciones en ese grupo de dispositivos, pero evitar específicamente que muevan dispositivos dentro y fuera del grupo de dispositivos, o vean otros grupos de dispositivos en el catálogo.
Si no ha usado RBAC de Azure antes, se recomienda obtener más información sobre los conceptos básicos de RBAC de Azure, como el ámbito y la jerarquía de recursos, ya que son clave para comprender los impactos de aplicar un permiso de rol RBAC específico a un catálogo en lugar de a un recurso secundario de un catálogo como un grupo de dispositivos.
Para ayudar, hemos proporcionado una configuración de RBAC de ejemplo para varios usuarios empresariales que ilustra algunos procedimientos recomendados para RBAC para Azure Sphere. En el ejemplo se resaltan los permisos adaptados a las necesidades comunes de los usuarios empresariales, incluidos los ingenieros de software que producen aplicaciones para dispositivos de Azure Sphere, técnicos de OT que administran flotas de dispositivos de Azure Sphere de producción y fabricantes que crean dispositivos de Azure Sphere.
Eliminación del acceso de usuario al inquilino de Azure Sphere (heredado)
Una vez que se migra un flujo de trabajo y los usuarios usan Azure Sphere (integrado) a tiempo completo, se recomienda encarecidamente quitar los permisos de cada usuario del inquilino heredado para eliminar el acceso no deseado. De lo contrario, un usuario puede dar un lado a los controles de acceso específicos que configuró en Azure RBAC si continúa usando Legacy. Quitar el acceso de usuario heredado también le ayudará a garantizar que esos usuarios puedan realizar correctamente todas sus tareas necesarias en Azure Sphere (integrado) y no se verán afectadas por la retirada heredada.
Los usuarios que trabajan en la conversión o prueba de procesos automatizados pueden necesitar conservar sus privilegios de acceso a inquilinos heredados durante un período de tiempo más largo.
Migración de procesos e interfaces automatizados
Además de migrar flujos de trabajo interactivos, si su organización ha creado procesos automatizados que usan scripts de Azure Sphere (heredados) o interfaces de usuario basadas en la API de Azure Sphere (heredado), deberá volver a trabajar para usar Azure Sphere (integrado). Para que el proceso de migración sea lo más fácil posible, puede desarrollar y probar activamente la automatización actualizada mientras la automatización basada en heredados de producción se ejecuta sin interrupciones. Se necesita cuidado al probar comandos que no se pueden invertir, como reclamar un dispositivo a un catálogo en el que no quiera que resida a largo plazo.
Para cada interfaz que compile en la API de Azure Sphere (integrada), debe crear un token de acceso de Microsoft Entra que permita que la interfaz acceda al punto de conexión de API. Para más información sobre los tokens de acceso y la llamada a las API REST de Azure, consulte la documentación de referencia de la API REST de Azure.
Después de implementar los procesos e interfaces automatizados actualizados en producción, debe quitar el acceso de Azure Sphere (heredado) para las entidades de servicio que se usan para autenticar la automatización y las interfaces antiguas basadas en heredados. Al quitar todo el acceso a la entidad de servicio, se garantiza que todos los procesos automatizados se migran por completo y que la retirada heredada no se verá afectada.
Apagar el acceso restante al inquilino heredado
El último paso del proceso de migración es quitar cualquier acceso restante de Azure Sphere (heredado). En la actualidad, los inquilinos de Azure Sphere (heredado) requieren al menos una cuenta de administrador heredada activa, incluso si el inquilino se ha integrado en Azure Portal. Estamos trabajando en una característica que le permitirá eliminar esa última cuenta de administrador de inquilino heredado, pero no está disponible en este momento. Cuando publiquemos esta característica, anunciaremos su disponibilidad en Azure Update.
Aprovechar las características disponibles en Azure Sphere (integrado)
Aunque no es necesario para usar Azure Sphere (integrado), se recomienda encarecidamente que como parte del plan de migración explore y aproveche las ventajas de los otros servicios eficaces de Azure disponibles ahora para Azure Sphere.
Uno de los más eficaces es Azure Monitor. Azure Monitor ofrece una variedad de características de supervisión de flotas, como la recopilación de métricas de rendimiento y datos de diagnóstico, y la consulta de eventos en los registros de actividad desde dispositivos de Azure Sphere y el servicio de seguridad de Azure Sphere.
Con los datos de Azure Monitor, puede correlacionar el estado de la flota de dispositivos con eventos que se producen en el servicio de seguridad de Azure Sphere, como la publicación de una nueva actualización de la aplicación. También puede configurar alertas sobre eventos críticos, como la próxima expiración del certificado de inquilino de Azure Sphere. Para más información, consulte Supervisión del estado de la flota y del dispositivo de Azure Sphere.
Introducción y búsqueda de ayuda
Es fácil empezar a trabajar simplemente mediante la integración del inquilino de Azure Sphere (heredado) en un catálogo de Azure Sphere (integrado) y empezar a explorar el trabajo con Azure Sphere en la CLI de Azure o Azure Portal. Azure Sphere (heredado) es totalmente compatible hasta la fecha de retirada del 27 de septiembre de 2027. Todas las actividades de migración deben completarse en esa fecha. Si tiene preguntas sobre la migración o necesita asistencia técnica, puede encontrar respuestas de expertos de la comunidad en Preguntas y respuestas de Microsoft o puede ponerse en contacto con AZSPPGSUP@microsoft.com.