Azure IoT Operations プレビューを Arc 対応 Kubernetes クラスターにデプロイする

[アーティクル]
10/14/2024

重要

Azure Arc によって実現されている Azure IoT Operations プレビューは、現在プレビュー段階です。運用環境ではこのプレビューソフトウェアを使わないでください。

Azure IoT Operations の一般公開リリースが提供されたときには、新規インストールをデプロイすることが必要になります。プレビューインストールからのアップグレードはできません。

ベータ版、プレビュー版、または一般提供としてまだリリースされていない Azure の機能に適用される法律条項については、「Microsoft Azure プレビューの追加使用条件」を参照してください。

Azure CLI または Azure portal を使用して Azure IoT Operations プレビューを Kubernetes クラスターにデプロイする方法について説明します。

この記事では、Azure IoT Operations の "デプロイ" と "インスタンス" について説明します。これらは 2 つの異なる概念です。

Azure IoT Operations のデプロイには、Azure IoT Operations シナリオを実現するすべてのコンポーネントとリソースが記述されています。これらのコンポーネントとリソースには以下が含まれます。
- Azure IoT Operations インスタンス
- ARC 拡張機能
- カスタムの場所
- リソース同期ルール
- 資産や資産エンドポイントなど、Azure IoT Operations ソリューションで構成できるリソース。
Azure IoT Operations の "インスタンス" は、MQTT ブローカー、データフロー、OPC UA コネクタなど、「Azure IoT Operations プレビューとは」で定義されている一連のサービスがバンドルされた親リソースです。

Azure IoT Operations のデプロイについて説明するときは、"デプロイ" を構成するコンポーネントの完全なセットを意味します。デプロイが存在すると、インスタンスを表示、管理、および更新できます。

前提条件

クラウドリソース:

Azure サブスクリプション。
Azure Key Vault。新しいキーコンテナーを作成するには、az keyvault create コマンドを使用します。
```
az keyvault create --enable-rbac-authorization --name "<NEW_KEYVAULT_NAME>" --resource-group "<RESOURCE_GROUP>"
```
Azure アクセス許可。詳細については、「デプロイの詳細」>「必要なアクセス許可」を参照してください。

開発リソース:

開発マシンにインストールされた Azure CLI。このシナリオには、Azure CLI バージョン 2.64.0 以降が必要です。 az --version を使用してバージョンを確認し、必要に応じて az upgrade を使用して更新します。詳細については、Azure CLIのインストール方法に関するページを参照してください。
Azure CLI 用の Azure IoT Operations 拡張機能。次のコマンドを使用して、拡張機能を追加するか、それを最新バージョンに更新します。
```
az extension add --upgrade --name azure-iot-ops
```

クラスターホスト:

カスタムの場所とワークロード ID 機能が有効になっている Azure Arc 対応 Kubernetes クラスター。お持ちでない場合は、「Azure Arc 対応 Kubernetes クラスターを準備する」の手順に従います。

クラスターに Azure IoT Operations を既にデプロイしている場合、続行する前にそれらのリソースをアンインストールします。詳細については、「Azure IoT Operations を更新する」を参照してください。
クラスターホスト上で verify-host コマンドを使用して、クラスターホストがデプロイ用に正しく構成されていることを確認します。
```
az iot ops verify-host
```
(省略可能) Azure IoT Operations をデプロイする前に、クラスターを監視用に準備します: 監視を構成する。

展開

Azure portal または AzureCLI を使用して、Arc 対応 Kubernetes クラスターに Azure IoT Operations をデプロイします。

Azure portal のデプロイエクスペリエンスは、リソースと構成に基づいてデプロイコマンドを生成するヘルパーツールです。最後の手順は Azure CLI コマンドを実行することなので、前のセクションで説明した Azure CLI の前提条件が必要です。

Azure Portal
Azure CLI

Azure portal で、Azure IoT Operations を検索して選択します。
［作成］ を選択します

[基本] タブで次の情報を指定します。

パラメーター	値
サブスクリプション	Arc 対応クラスターを含むサブスクリプションを選択します。
リソースグループ	Arc 対応クラスターを含むリソースグループを選択します。
[Cluster name](クラスター名)	Azure IoT Operations をデプロイするクラスターを選択します。
カスタムの場所名	省略可能: カスタムの場所の既定の名前を置き換えます。

ポータルから Azure IoT Operations をデプロイするための最初のタブを示すスクリーンショット。

[Next:構成] を選択します。

[構成] タブで、次の情報を入力します。

パラメーター	値
Azure IoT Operations 名	省略可能: Azure IoT Operations インスタンスの既定の名前を置き換えます。
MQTT ブローカーの構成	省略可能: MQTT ブローカーの既定の設定を編集します。詳細については、「MQTT ブローカーのコア設定を構成する」を参照してください。
データフロープロファイルの構成	省略可能: データフローの既定の設定を編集します。詳細については、「データフロープロファイルを構成する」を参照してください。

ポータルから Azure IoT Operations をデプロイするための 2 番目のタブを示すスクリーンショット。

[次へ: 依存関係の管理] を選択します。
[依存関係の管理] タブで、既存のスキーマレジストリを選択するか、次の手順を使用して作成します。
1. [新規作成] を選択します。
2. スキーマレジストリ名とスキーマレジストリ名前空間を指定します。
3. [Azure Storage コンテナーの選択] を選択します。
4. 階層型名前空間が有効なアカウントの一覧からストレージアカウントを選択するか、[作成] を選択して作成します。
  
  スキーマレジストリには、階層型名前空間とパブリックネットワークアクセスが有効になっている Azure ストレージアカウントが必要です。新しいストレージアカウントを作成する場合は、ストレージアカウントの種類として [汎用 v2] を選択し、[階層型名前空間] を [有効] に設定します。
5. ストレージアカウントのコンテナーを選択するか、[コンテナー] を選択して作成します。
6. [適用] を選択して、スキーマレジストリの構成を確認します。
[依存関係の管理] タブで、[セキュリティで保護された設定] 展開オプションを選択します。

[展開オプション] セクションで、次の情報を入力します。

パラメーター	値
サブスクリプション	Azure キーコンテナーが含まれているサブスクリプションを選択します。
Azure Key Vault	Azure キーコンテナーを選択するか、[新規作成] を選択します。キーコンテナーの権限モデルとしてコンテナーアクセスポリシーがあることを確認してください。この設定を確認するには、[選択したコンテナーの管理]>[設定]>[アクセス構成] を選択します。
シークレットのユーザー割り当てマネージド ID	ID を選択するか、[新規作成] を選択します。
AIO コンポーネントのユーザー割り当てマネージド ID	ID を選択するか、[新規作成] を選択します。シークレット用に選択したものと同じマネージド ID を使用しないでください。

ポータルから Azure IoT Operations をデプロイするための 3 番目のタブでの、セキュリティで保護された設定の構成を示すスクリーンショット。

[次へ: オートメーション] を選択します。
ターミナルの [オートメーション] タブで、各 Azure CLI コマンドを一度に 1 つずつ実行します。
1. 以前に既にサインインしている場合も、ブラウザーを使って対話操作で Azure CLI にサインインします。対話操作でサインインしないと、Azure IoT Operations をデプロイする次の手順に進んだときに、"リソースにアクセスするにはデバイスを管理対象にする必要があります" というエラーが表示される場合があります。
```
az login
```
2. Azure CLI 環境を前提条件に従って準備していない場合は、任意のターミナルで今すぐ準備してください。
```
az upgrade
az extension add --upgrade --name azure-iot-ops
```
3. 前のタブで新しいスキーマレジストリを作成することを選択した場合は、az iot ops schema registry create コマンドをコピーして実行します。
4. Azure IoT Operations のデプロイ用にクラスターを準備するために、依存関係と基本サービス (スキーマレジストリを含む) をデプロイします。 az iot ops init コマンドをコピーして実行します。
  
  ヒント
  
  init コマンドは、クラスターごとに 1 回実行するだけでかまいません。 Azure IoT Operations バージョン 0.7.0 が既にデプロイされているクラスターを再利用する場合は、この手順をスキップできます。
  
  このコマンドは、完了までに数分かかる場合があります。ターミナルのデプロイの進行状況の表示で進行状況を確認できます。
5. Azure IoT Operations をクラスターにデプロイします。 az iot ops create コマンドをコピーして実行します。
  
  このコマンドは、完了までに数分かかる場合があります。ターミナルのデプロイの進行状況の表示で進行状況を確認できます。
6. Azure IoT Operations インスタンスのシークレット同期を有効にします。 az iot ops secretsync enable コマンドをコピーして実行します。このコマンドは、次の操作を行います。
  - ユーザー割り当てマネージド ID を使用してフェデレーション ID 資格情報を作成します。
  - Azure Key Vault にアクセスするために、ユーザー割り当てマネージド ID にロールの割り当てを追加します。
  - Azure IoT Operations インスタンスに関連付けられている最小シークレットプロバイダークラスを追加します。
7. ユーザー割り当てマネージド ID を Azure IoT Operations インスタンスに割り当てます。 az iot ops identity assign コマンドをコピーして実行します。
  
  このコマンドでは、指定された接続クラスターの OIDC 発行者と Azure IoT Operations サービスアカウントを使用して、フェデレーション ID 資格情報も作成されます。
すべての Azure CLI コマンドが正常に完了したら、Azure IoT Operations のインストール ウィザードは閉じてかまいません。

以前に既にサインインしている場合も、ブラウザーを使って対話操作で Azure CLI にサインインします。
```
az login
```
任意の時点で "リソースにアクセスするにはデバイスを管理対象にする必要があります" というエラーが表示された場合、az login を再度実行し、ブラウザーに対話式で確実にサインインします。

ストレージアカウントとスキーマレジストリを作成する

Azure IoT Operations には、クラスター上のスキーマレジストリが必要です。スキーマレジストリには、クラウドとエッジの間でスキーマ情報を同期できるように、Azure ストレージアカウントが必要です。

階層型名前空間を有効にしてストレージアカウントを作成します。

az storage account create --name <NEW_STORAGE_ACCOUNT_NAME> --resource-group <RESOURCE_GROUP> --enable-hierarchical-namespace

ストレージアカウントに接続するスキーマレジストリを作成します。

az iot ops schema registry create --name <NEW_SCHEMA_REGISTRY_NAME> --resource-group <RESOURCE_GROUP> --registry-namespace <NEW_SCHEMA_REGISTRY_NAMESPACE> --sa-resource-id $(az storage account show --name <STORAGE_ACCOUNT_NAME> --resource-group <RESOURCE_GROUP> -o tsv --query id)

Note

このコマンドを使用するには、ロールの割り当て書き込みアクセス許可が必要です。理由は、このコマンドを使用すると、スキーマレジストリへのアクセス権をストレージアカウントに付与するロールが割り当てられるからです。既定では、そのロールは組み込みのストレージ BLOB データ共同作成者ロールですが、代わりに割り当てるためのアクセス許可が制限されたカスタムロールを作成することもできます。

次のような省略可能なパラメーターを使用して、スキーマレジストリをカスタマイズします。

省略可能なパラメーター	Value	説明
`--custom-role-id`	ロール定義 ID	既定のストレージ BLOB データ共同作成者ロールの代わりにスキーマレジストリに割り当てるカスタムロールの ID を指定します。このロールには、少なくとも BLOB 読み取りおよび書き込みアクセス許可が必要です。形式: `/subscriptions/<SUBSCRIPTION_ID>/providers/Microsoft.Authorization/roleDefinitions/<ROLE_ID>`。
`--sa-container`	string	スキーマを保存するためのストレージアカウントコンテナー。このコンテナーが存在しない場合は、このコマンドによって作成されます。既定のコンテナー名は schemas です。

次のセクションで使用するために、スキーマレジストリ作成コマンドの出力からリソース ID をコピーします。

Azure IoT Operations をデプロイする

Azure IoT Operations で必要とされる依存関係を使用してクラスターを準備するには、az iot ops init を実行します。

ヒント

init コマンドは、クラスターごとに 1 回実行するだけでかまいません。 Azure IoT Operations バージョン 0.7.0 が既にデプロイされているクラスターを再利用する場合は、この手順をスキップできます。

az iot ops init --cluster <CLUSTER_NAME> --resource-group <RESOURCE_GROUP> --sr-resource-id <SCHEMA_REGISTRY_RESOURCE_ID>

このコマンドは、完了までに数分かかる場合があります。ターミナルのデプロイの進行状況の表示で進行状況を確認できます。

次のような省略可能なパラメーターを使用して、クラスターをカスタマイズします。

省略可能なパラメーター	Value	説明
`--no-progress`		ターミナルでのデプロイの進捗の表示を無効にします。
`--enable-fault-tolerance`	`false`、`true`	Azure Arc コンテナーストレージのフォールトトレランスを有効にします。少なくとも 3 つのクラスターノードが必要です。
`--ops-config`	`observability.metrics.openTelemetryCollectorAddress=<FULLNAMEOVERRIDE>.azure-iot-operations.svc.cluster.local:<GRPC_ENDPOINT>`	オプションの前提条件に従ってクラスターを監視用に準備した場合は、otel-collector-values.yaml ファイルで構成した OpenTelemetry (OTel) コレクターアドレスを指定します。監視の構成に関するページで使用されているサンプル値は、fullnameOverride=aio-otel-collector と grpc.enpoint=4317 です。
`--ops-config`	`observability.metrics.exportInternalSeconds=<CHECK_INTERVAL>`	オプションの前提条件に従ってクラスターを監視用に準備した場合は、otel-collector-values.yaml ファイルで構成した check_interval 値を指定します。監視の構成に関するページで使用されているサンプル値は、check_interval=60 です。

Azure IoT Operations をデプロイします。このコマンドは、完了するまでに数分かかります。

az iot ops create --name <NEW_INSTANCE_NAME> --cluster <CLUSTER_NAME> --resource-group <RESOURCE_GROUP>

このコマンドは、完了までに数分かかる場合があります。ターミナルのデプロイの進行状況の表示で進行状況を確認できます。

次のような省略可能なパラメーターを使用して、インスタンスをカスタマイズします。

省略可能なパラメーター	Value	説明
`--no-progress`		ターミナルでのデプロイの進捗の表示を無効にします。
`--enable-rsync`		インスタンスのリソース同期規則を有効にして、エッジからクラウドにリソースを投影します。
`--add-insecure-listener`		既定のリスナーに安全でない 1883 ポート構成を追加します。運用環境向けではありません。
`--custom-location`	String	クラスター用に作成されたカスタムの場所の名前を指定します。既定値は location-{hash(5)} です。
`--broker-config-file`	JSON ファイルへのパス	MQTT ブローカー用の構成ファイルを提供します。詳細については、「高度な MQTT ブローカー構成」と「MQTT ブローカーのコア設定を構成する」を参照してください。

create コマンドが正常に完了すると、クラスターで動作する Azure IoT Operations インスタンスが実行されます。この時点で、インスタンスはほとんどのテストおよび評価シナリオ用に構成されています。実稼働シナリオ用にインスタンスを準備する場合は、次のセクションに進み、セキュリティで保護された設定を有効にします。

シークレット管理とユーザー割り当てマネージド ID を設定する (省略可能)

Azure IoT Operations のシークレット管理は、Azure シークレットストアを使って Azure キーコンテナーからシークレットを同期し、Kubernetes シークレットとしてエッジに保存します。

Azure のシークレットには、シークレットが保存されている Azure Key Vault へのアクセス権を持つユーザー割り当てマネージド ID が必要です。データフローにも、クラウド接続を認証するためにユーザー割り当てマネージド ID が必要です。

使用可能な Azure キーコンテナーがない場合は、作成します。 az keyvault create コマンドを使用します。

az keyvault create --resource-group "<RESOURCE_GROUP>" --location "<LOCATION>" --name "<KEYVAULT_NAME>" --enable-rbac-authorization

その Azure キーコンテナーへのアクセス権が割り当てられるユーザー割り当てマネージド ID を作成します。

az identity create --name "<USER_ASSIGNED_IDENTITY_NAME>" --resource-group "<RESOURCE_GROUP>" --location "<LOCATION>" --subscription "<SUBSCRIPTION>"

シークレット同期用に Azure IoT Operations インスタンスを構成します。このコマンドは、次の操作を行います。
- ユーザー割り当てマネージド ID を使用してフェデレーション ID 資格情報を作成します。
- Azure Key Vault にアクセスするために、ユーザー割り当てマネージド ID にロールの割り当てを追加します。
- Azure IoT Operations インスタンスに関連付けられている最小シークレットプロバイダークラスを追加します。
```
az iot ops secretsync enable --name <INSTANCE_NAME> --resource-group <RESOURCE_GROUP> --mi-user-assigned <USER_ASSIGNED_MI_RESOURCE_ID> --kv-resource-id <KEYVAULT_RESOURCE_ID>
```

クラウド接続に使用できるユーザー割り当てマネージド ID を作成します。シークレット管理の設定に使用したものと同じ ID を使用しないでください。

az identity create --name "<USER_ASSIGNED_IDENTITY_NAME>" --resource-group "<RESOURCE_GROUP>" --location "<LOCATION>" --subscription "<SUBSCRIPTION>" 

You will need to grant the identity permission to whichever cloud resource this will be used for.

次のコマンドを実行して、Azure IoT Operations インスタンスに ID を割り当てます。このコマンドでは、指定された接続クラスターの OIDC 発行者と Azure IoT Operations サービスアカウントを使用して、フェデレーション ID 資格情報も作成されます。
```
az iot ops identity assign --name <INSTANCE_NAME> --resource-group <RESOURCE_GROUP> --mi-user-assigned <USER_ASSIGNED_MI_RESOURCE_ID>
```

デプロイの進行中は、クラスターに適用されているリソースを監視できます。ターミナルでサポートされている場合は、 init および create コマンドでデプロイの進行状況が表示されます。

それ以外の場合、またはコマンドに --no-progress を追加して進行状況インターフェイスを無効にする場合は、kubectl コマンドを使用してクラスター上のポッドを表示できます。

kubectl get pods -n azure-iot-operations

デプロイが完了するまでに数分かかる場合があります。ビューを更新するには get pods コマンドを再実行します。

デプロイが完了した後は、az iot ops check を使って、IoT Operations サービスのデプロイの正常性、構成、使いやすさを評価します。 check コマンドは、デプロイと構成の問題を見つけるのに役立ちます。

az iot ops check

--detail-level 2 パラメーターを追加して詳細ビューを表示すれば、トピックマップ、QoS、メッセージルートの構成を確認することもできます。

次のステップ

コンポーネントを SQL や Fabric などの Azure エンドポイントに接続する必要がある場合は、Azure IoT Operations プレビューのデプロイのシークレットを管理する方法を確認してください。

次の方法で共有