Detalhes de implantação
Ao implantar as Operações do Azure IoT, você instala um conjunto de serviços em um cluster do Kubernetes habilitado para Azure Arc. Este artigo apresenta uma visão geral das diferentes opções de implantação a serem consideradas para seu cenário.
Ambientes com suporte
A Microsoft dá suporte aos ambientes a seguir para implantações das Operações do Azure IoT.
| Ambiente | Versão mínima | Disponibilidade |
|---|---|---|
| K3s no Ubuntu 24.04 | K3s versão 1.31.1 | Disponibilidade Geral |
| AKS (Serviço de Kubernetes do Azure) Edge Essentials no Windows 11 IoT Enterprise | AksEdge-K3s-1.29.6-1.8.202.0 | Versão preliminar pública |
| AKS (Serviço de Kubernetes do Azure) no Azure local | Sistema operacional do Azure Stack HCI, versão 23H2, build 2411 | Versão preliminar pública |
Observação
Os registros de uso de cobrança são coletados em qualquer ambiente em que as Operações do Azure IoT estejam instaladas, sejam quais forem os níveis de suporte ou disponibilidade.
Para instalar as Operações do Azure IoT, tenha os requisitos de hardware a seguir disponíveis para as Operações do Azure IoT. Se você estiver usando um cluster de vários nós que habilita a tolerância a falhas, escale verticalmente até a capacidade recomendada para aprimorar o desempenho.
| Spec | Mínimo | Recomendadas |
|---|---|---|
| Capacidade de memória do hardware (RAM) | 16 GB | 32 GB |
| Memória disponível para Operações do Azure IoT (RAM) | 10 GB | Depende do uso |
| CPU | 4 vCPUs | 8 vCPUs |
Escolha seus recursos
As Operações do Azure IoT oferecem dois modos de implantação. Você pode optar por implantar com as configurações de teste, um subconjunto básico de recursos que simplifica o uso inicial dos cenários de avaliação. Ou você pode optar por implantar com configurações seguras, o conjunto completo de recursos.
Implantação das configurações de teste
Uma implantação com apenas configurações de teste habilitadas:
- Não configura segredos ou funcionalidades de identidade gerenciada atribuída pelo usuário.
- O objetivo é habilitar o exemplo de início rápido de ponta a ponta para fins de avaliação, assim como o suporte ao simulador de PLC OPC e se conectar aos recursos de nuvem usando a identidade gerenciada atribuída pelo sistema.
- Pode ser atualizada para usar configurações seguras.
O cenário de início rápido, Início Rápido: Executar as Operações do Azure IoT no GitHub Codespaces, usa as configurações de teste.
A qualquer momento, você pode atualizar uma instância de Operações IoT do Azure para usar configurações seguras seguindo as etapas em Habilitar configurações seguras.
Implantação das configurações seguras
Uma implantação com configurações seguras habilitadas:
- Habilita segredos e identidade gerenciada de atribuição de usuário, ambos recursos importantes para desenvolver um cenário pronto para produção. Os segredos são usados sempre que os componentes das Operações do Azure IoT se conectam a um recurso fora do cluster; por exemplo, um servidor OPC UA ou um ponto de extremidade do fluxo de dados.
Para implantar as Operações do Azure IoT com configurações seguras, siga estes artigos:
- Comece com Preparar o cluster do Kubernetes habilitado para Azure Arc para configurar e habilitar o cluster para o Arc.
- Em seguida, Implantar as Operações do Azure IoT.
Permissões necessárias
A tabela a seguir descreveu as tarefas de implantação e gerenciamento das Operações do Azure IoT que exigem permissões elevadas. Para obter informações sobre atribuição de funções a usuários, consulte Etapas para atribuir uma função do Azure.
| Tarefa | Permissão necessária | Comentários |
|---|---|---|
| Implantar as Operações do Azure IoT | Função Colaborador no grupo de recursos. | |
| Registrar provedores de recursos | Microsoft.ExtendedLocation/register/action Microsoft.SecretSyncController/register/action Microsoft.Kubernetes/register/action Microsoft.KubernetesConfiguration/register/action Microsoft.IoTOperations/register/action Microsoft.DeviceRegistry/register/action | É preciso ser feito apenas uma vez por assinatura. |
| Criar um registro de esquema | Permissões Microsoft/Authorization/roleAssignments/write no nível do grupo de recursos. | |
| Criar segredos no Key Vault | Função do Responsável pelos Segredos do Key Vault no nível do recurso. | Necessário apenas para a implantação das configurações seguras. |
| Habilitar regras de sincronização de recursos em uma instância de Operações do Azure IoT | Permissões Microsoft/Authorization/roleAssignments/write no nível do grupo de recursos. | As regras de sincronização de recursos estão desabilitadas por padrão, mas podem ser habilitadas como parte do comando az iot ops create. |
Se você usar a CLI do Azure para atribuir funções, use o comando az role assignment create para conceder permissões. Por exemplo, az role assignment create --assignee sp_name --role "Role Based Access Control Administrator" --scope subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/MyResourceGroup
Se você usar o portal do Azure para atribuir funções de administrador com privilégios a um usuário ou entidade de segurança, será solicitado que você restrinja o acesso usando condições. Para esse cenário, selecione a condição Permitir que o usuário atribua todas as funções na página Adicionar atribuição de função.
Organizar instâncias usando sites
As Operações do Azure IoT dá suporte a sites do Azure Arc para organizar instâncias. Um site é um recurso de cluster no Azure como um grupo de recursos, mas os sites geralmente agrupam instâncias por local físico e facilitam a localização e gerenciamento de ativos pelos usuários do OT. Um administrador de TI cria sites e os coloca em escopo para uma assinatura ou grupo de recursos. Em seguida, todas as Operações do Azure IoT implantadas em um cluster habilitado para Arc são coletadas automaticamente no site associado à sua assinatura ou grupo de recursos
Para obter mais informações, confira O que é o gerenciador de sites do Azure Arc (versão prévia)?
Pontos de extremidade das Operações do Azure IoT
Se você usar firewalls ou proxies corporativos para gerenciar o tráfego de saída, configure os pontos de extremidade a seguir antes de implantar as Operações do Azure IoT.
Pontos de extremidade nos pontos de extremidade do Kubernetes habilitados para Azure Arc.
Observação
Se você usar o Gateway do Azure Arc para conectar seu cluster ao Arc, configure um conjunto menor de pontos de extremidade com base nas diretrizes do Gateway do Arc.
Pontos de extremidade nos pontos de extremidade da CLI do Azure.
Você precisa de
graph.windows.net,*.azurecr.io,*.blob.core.windows.nete*.vault.azure.netdessa lista de pontos de extremidade.Os seguintes pontos de extremidade são especificamente necessários para as Operações do Azure IoT:
Pontos de extremidade (DNS) Descrição <customer-specific>.blob.storage.azure.netArmazenamento para registro de esquema. Veja Pontos de extremidade da conta de armazenamento para identificar o subdomínio específico do cliente do ponto de extremidade. Para enviar dados por push para a nuvem, habilite os pontos de extremidade a seguir com base na sua escolha de plataforma de dados.
- Microsoft Fabric OneLake: Adicionar URLs do Fabric à sua lista de permitidos.
- Hubs de Eventos: Solução de problemas de conectividade – Hubs de Eventos do Azure.
- Grade de Eventos: Solução de problemas de conectividade – Grade de Eventos do Azure.
- Azure Data Lake Storage Gen2: pontos de extremidade padrão da conta de armazenamento.
Próximas etapas
Prepare seu cluster do Kubernetes habilitado para Azure Arc para configurar e habilitar um cluster para Operações do Azure IoT.