Förbereda distributionen av din IoT Edge-lösning i produktion
Gäller för: IoT Edge 1.1
Viktigt!
IoT Edge 1.1 slutdatum för support var den 13 december 2022. I informationen om Microsoft-produktens livscykel hittar du fler uppgifter om vilken support som gäller för denna produkt, tjänst, teknik eller detta API. Mer information om hur du uppdaterar till den senaste versionen av IoT Edge finns i Uppdatera IoT Edge.
När du är redo att ta din IoT Edge-lösning från utveckling till produktion kontrollerar du att den är konfigurerad för löpande prestanda.
Informationen i den här artikeln är inte lika med. För att hjälpa dig att prioritera börjar varje avsnitt med listor som delar upp arbetet i två avsnitt: viktigt att slutföra innan du går till produktion, eller användbart för dig att veta.
Enhetskonfiguration
IoT Edge-enheter kan vara allt från en Raspberry Pi till en bärbar dator till en virtuell dator som körs på en server. Du kan ha åtkomst till enheten antingen fysiskt eller via en virtuell anslutning, eller så kan den isoleras under längre tidsperioder. Hur som helst vill du se till att det är konfigurerat för att fungera korrekt.
Viktigt
- Installera produktionscertifikat
- Ha en plan för enhetshantering
- Använda Moby som containermotor
Hjälpsam
- Välj uppströmsprotokoll
Installera produktionscertifikat
Varje IoT Edge-enhet i produktion behöver ett certifikat för enhetscertifikatutfärdare (CA) installerat på den. Certifikatutfärdarcertifikatet deklareras sedan till IoT Edge-körningen i konfigurationsfilen. För utvecklings- och testscenarier skapar IoT Edge-körningen tillfälliga certifikat om inga certifikat deklareras i konfigurationsfilen. Dessa tillfälliga certifikat upphör dock att gälla efter tre månader och är inte säkra för produktionsscenarier. För produktionsscenarier bör du ange ett eget certifikat för enhetscertifikatutfärdare, antingen från en självsignerad certifikatutfärdare eller köpt från en kommersiell certifikatutfärdare.
Kommentar
För närvarande förhindrar en begränsning i libiothsm användningen av certifikat som upphör att gälla den 1 januari 2038 eller senare.
Information om rollen för certifikatutfärdarcertifikatet för enheten finns i Hur Azure IoT Edge använder certifikat.
Mer information om hur du installerar certifikat på en IoT Edge-enhet och refererar till dem från konfigurationsfilen finns i Hantera certifikat på en IoT Edge-enhet.
Ha en plan för enhetshantering
Innan du placerar någon enhet i produktion bör du veta hur du ska hantera framtida uppdateringar. För en IoT Edge-enhet kan listan över komponenter som ska uppdateras innehålla:
- Enhetens inbyggda programvara
- Operativsystembibliotek
- Containermotor, som Moby
- IoT Edge
- CA-Certifikat
Enhetsuppdatering för IoT Hub (förhandsversion) är en tjänst som gör att du kan distribuera OTA -uppdateringar (over-the-air) för dina IoT Edge-enheter.
Alternativa metoder för att uppdatera IoT Edge kräver fysisk eller SSH-åtkomst till IoT Edge-enheten. Mer information finns i Uppdatera IoT Edge-körningen. Om du vill uppdatera flera enheter kan du överväga att lägga till uppdateringsstegen i ett skript eller använda ett automatiseringsverktyg som Ansible.
Använda Moby som containermotor
En containermotor är en förutsättning för alla IoT Edge-enheter. Endast moby-engine stöds i produktion. Andra containermotorer, som Docker, fungerar med IoT Edge och det är ok att använda dessa motorer för utveckling. Moby-motorn kan distribueras om när den används med Azure IoT Edge, och Microsoft tillhandahåller service för den här motorn.
Välj uppströmsprotokoll
Du kan konfigurera protokollet (som avgör vilken port som används) för överordnad kommunikation till IoT Hub för både IoT Edge-agenten och IoT Edge-hubben. Standardprotokollet är AMQP, men du kanske vill ändra det beroende på nätverkskonfigurationen.
De två körningsmodulerna har båda en Miljövariabel för UpstreamProtocol . Giltiga värden för variabeln är:
- MQTT
- AMQP
- MQTTWS
- AMQPWS
Konfigurera variabeln UpstreamProtocol för IoT Edge-agenten i konfigurationsfilen på själva enheten. Om din IoT Edge-enhet till exempel finns bakom en proxyserver som blockerar AMQP-portar kan du behöva konfigurera IoT Edge-agenten för att använda AMQP via WebSocket (AMQPWS) för att upprätta den första anslutningen till IoT Hub.
När din IoT Edge-enhet ansluter måste du fortsätta att konfigurera variabeln UpstreamProtocol för båda körningsmodulerna i framtida distributioner. Ett exempel på den här processen finns i Konfigurera en IoT Edge-enhet för kommunikation via en proxyserver.
Distribution
- Hjälpsam
- Vara konsekvent med uppströmsprotokoll
- Konfigurera värdlagring för systemmoduler
- Minska minnesutrymmet som används av IoT Edge-hubben
- Använda rätt modulbilder i distributionsmanifest
- Tänk på storleksbegränsningar för tvilling när du använder anpassade moduler
- Konfigurera hur uppdateringar av moduler tillämpas
Vara konsekvent med uppströmsprotokoll
Om du har konfigurerat IoT Edge-agenten på din IoT Edge-enhet för att använda ett annat protokoll än standard-AMQP bör du deklarera samma protokoll i alla framtida distributioner. Om din IoT Edge-enhet till exempel finns bakom en proxyserver som blockerar AMQP-portar har du förmodligen konfigurerat enheten för att ansluta via AMQP via WebSocket (AMQPWS). När du distribuerar moduler till enheten konfigurerar du samma AMQPWS-protokoll för IoT Edge-agenten och IoT Edge-hubben, annars åsidosätter AMQP standardinställningarna och förhindrar att du ansluter igen.
Du behöver bara konfigurera miljövariabeln UpstreamProtocol för IoT Edge-agenten och IoT Edge-hubbmodulerna. Alla ytterligare moduler antar det protokoll som anges i runtime-modulerna.
Ett exempel på den här processen finns i Konfigurera en IoT Edge-enhet för kommunikation via en proxyserver.
Konfigurera värdlagring för systemmoduler
IoT Edge-hubb- och agentmodulerna använder lokal lagring för att upprätthålla tillstånd och aktivera meddelanden mellan moduler, enheter och molnet. För bättre tillförlitlighet och prestanda konfigurerar du systemmodulerna så att de använder lagring i värdfilsystemet.
Mer information finns i Värdlagring för systemmoduler.
Minska minnesutrymmet som används av IoT Edge-hubben
Om du distribuerar begränsade enheter med begränsat tillgängligt minne kan du konfigurera IoT Edge-hubben så att den körs i en mer strömlinjeformad kapacitet och använder mindre diskutrymme. Dessa konfigurationer begränsar dock IoT Edge-hubbens prestanda, så hitta rätt balans som fungerar för din lösning.
Optimera inte för prestanda på begränsade enheter
IoT Edge-hubben är optimerad för prestanda som standard, så den försöker allokera stora minnessegment. Den här konfigurationen kan orsaka stabilitetsproblem på mindre enheter som Raspberry Pi. Om du distribuerar enheter med begränsade resurser kanske du vill ange miljövariabeln OptimizeForPerformance till false på IoT Edge-hubben.
När OptimizeForPerformance är inställt på true använder MQTT-protokollhuvudet PooledByteBufferAllocator, som har bättre prestanda men allokerar mer minne. Allokeraren fungerar inte bra på 32-bitars operativsystem eller på enheter med lite minne. Dessutom allokerar RocksDb mer minne för sin roll som lokal lagringsprovider när det är optimerat för prestanda.
Mer information finns i Stabilitetsproblem på mindre enheter.
Inaktivera oanvända protokoll
Ett annat sätt att optimera IoT Edge-hubbens prestanda och minska minnesanvändningen är att stänga av protokollhuvudena för protokoll som du inte använder i din lösning.
Protokollhuvuden konfigureras genom att ange booleska miljövariabler för IoT Edge-hubbmodulen i dina distributionsmanifest. De tre variablerna är:
- amqpSettings__enabled
- mqttSettings__enabled
- httpSettings__enabled
Alla tre variablerna har två understreck och kan anges till antingen sant eller falskt.
Minska lagringstiden för meddelanden
IoT Edge-hubbmodulen lagrar meddelanden tillfälligt om de inte kan levereras till IoT Hub av någon anledning. Du kan konfigurera hur länge IoT Edge-hubben ska innehålla meddelanden som inte har levererats innan de upphör att gälla. Om du har minnesproblem på enheten kan du sänka värdet timeToLiveSecs i modultvillingen för IoT Edge-hubben.
Standardvärdet för parametern timeToLiveSecs är 7 200 sekunder, vilket är två timmar.
Använda rätt modulbilder i distributionsmanifest
Om en tom eller fel modulbild används försöker Edge-agenten läsa in avbildningen igen, vilket gör att extra trafik genereras. Lägg till rätt avbildningar i distributionsmanifestet för att undvika att generera onödig trafik.
Använd inte felsökningsversioner av modulbilder
När du flyttar från testscenarier till produktionsscenarier bör du komma ihåg att ta bort felsökningskonfigurationer från distributionsmanifest. Kontrollera att ingen av modulbilderna i distributionsmanifesten har suffixet .debug . Om du har lagt till skapa-alternativ för att exponera portar i modulerna för felsökning tar du även bort dessa alternativ för att skapa.
Tänk på storleksbegränsningar för tvilling när du använder anpassade moduler
Distributionsmanifestet som innehåller anpassade moduler är en del av EdgeAgent-tvillingen. Granska begränsningen för modultvillingstorlek.
Om du distribuerar ett stort antal moduler kan du uttömma den här gränsen för tvillingstorlek. Överväg några vanliga åtgärder för den här hårda gränsen:
- Lagra alla konfigurationer i den anpassade modultvillingen, som har en egen gräns.
- Lagra vissa konfigurationer som pekar på en plats som inte är utrymmesbegränsad (dvs. till ett bloblager).
Hantering av containrar
- Viktigt
- Använda taggar för att hantera versioner
- Hantera volymer
- Hjälpsam
- Lagra körningscontainrar i ditt privata register
- Konfigurera skräpinsamling för avbildningar
Använda taggar för att hantera versioner
En tagg är ett Docker-koncept som du kan använda för att skilja mellan versioner av docker-containrar. Taggar är suffix som 1.1 som finns i slutet av en containerlagringsplats. Till exempel mcr.microsoft.com/azureiotedge-agent:1.1. Taggar är föränderliga och kan ändras så att de pekar på en annan container när som helst, så ditt team bör komma överens om en konvention att följa när du uppdaterar modulavbildningarna framåt.
Taggar hjälper dig också att framtvinga uppdateringar på dina IoT Edge-enheter. När du skickar en uppdaterad version av en modul till containerregistret ökar du taggen. Skicka sedan en ny distribution till dina enheter med taggen inkrementerad. Containermotorn identifierar den inkrementerade taggen som en ny version och hämtar den senaste modulversionen till enheten.
Taggar för IoT Edge-körningen
IoT Edge-agenten och IoT Edge-hubbbilderna taggas med den IoT Edge-version som de är associerade med. Det finns två olika sätt att använda taggar med körningsavbildningarna:
Rullande taggar – Använd endast de två första värdena i versionsnumret för att hämta den senaste bilden som matchar dessa siffror. Till exempel uppdateras 1.1 när det finns en ny version som pekar på den senaste 1.1.x-versionen. Om containerkörningen på IoT Edge-enheten hämtar avbildningen igen uppdateras runtime-modulerna till den senaste versionen. Distributioner från Azure-portalen är standard för löpande taggar. Den här metoden föreslås i utvecklingssyfte.
Specifika taggar – Använd alla tre värdena i versionsnumret för att uttryckligen ange avbildningsversionen. Till exempel ändras inte 1.1.0 efter den första versionen. Du kan deklarera ett nytt versionsnummer i distributionsmanifestet när du är redo att uppdatera. Den här metoden föreslås i produktionssyfte.
Hantera volymer
IoT Edge tar inte bort volymer som är anslutna till modulcontainrar. Det här beteendet är avsiktligt eftersom det gör att data kan bevaras mellan containerinstanser, till exempel uppgraderingsscenarier. Men om dessa volymer lämnas oanvända kan det leda till diskutrymmesöverbelastning och systemfel. Om du använder docker-volymer i ditt scenario rekommenderar vi att du använder docker-verktyg som docker-volymrensning och dockervolym rm för att ta bort de oanvända volymerna, särskilt för produktionsscenarier.
Lagra körningscontainrar i ditt privata register
Du vet hur du lagrar containeravbildningar för anpassade kodmoduler i ditt privata Azure-register, men du kan också använda det för att lagra offentliga containeravbildningar som edgeAgent - och edgeHub-körningsmoduler . Detta kan krävas om du har mycket snäva brandväggsbegränsningar eftersom dessa körningscontainrar lagras i Microsoft Container Registry (MCR).
Följande steg visar hur du hämtar en Docker-avbildning av edgeAgent och edgeHub till din lokala dator, lägger om den, push-överför den till ditt privata register och sedan uppdaterar konfigurationsfilen så att enheterna vet att de ska hämta avbildningen från ditt privata register.
Hämta edgeAgent Docker-avbildningen från Microsoft-registret. Uppdatera versionsnumret om det behövs.
# Pull edgeAgent image docker pull mcr.microsoft.com/azureiotedge-agent:1.1 # Pull edgeHub image docker pull mcr.microsoft.com/azureiotedge-hub:1.1
Visa en lista över alla Docker-avbildningar, hitta edgeAgent - och edgeHub-avbildningarna och kopiera sedan deras bild-ID:n.
docker images
Ändra storlek på dina edgeAgent - och edgeHub-avbildningar . Ersätt värdena inom hakparenteser med dina egna.
# Retag your edgeAgent image docker tag <my-image-id> <registry-name/server>/azureiotedge-agent:1.1 # Retag your edgeHub image docker tag <my-image-id> <registry-name/server>/azureiotedge-hub:1.1
Push-överför edgeAgent- och edgeHub-avbildningar till ditt privata register. Ersätt värdet inom hakparenteser med ditt eget.
# Push your edgeAgent image to your private registry docker push <registry-name/server>/azureiotedge-agent:1.1 # Push your edgeHub image to your private registry docker push <registry-name/server>/azureiotedge-hub:1.1
Uppdatera avbildningsreferenserna i deployment.template.json-filen för systemmodulerna edgeAgent och edgeHub genom att
mcr.microsoft.com
ersätta med ditt eget "registernamn/server" för båda modulerna.Öppna en textredigerare på din IoT Edge-enhet för att ändra konfigurationsfilen så att den känner till din privata registerbild.
sudo nano /etc/aziot/config.toml
I textredigeraren ändrar du dina bildvärden under
[agent.config]
. Ersätt värdena inom hakparenteser med dina egna.[agent.config] image = "<registry-name/server>/azureiotedge-agent:1.1"
Om ditt privata register kräver autentisering anger du autentiseringsparametrarna i
[agent.config.auth]
.[agent.config.auth] serveraddress = "<login-server>" # Almost always equivalent to <registry-name/server> username = "<username>" password = "<password>"
Spara ändringarna och avsluta textredigeraren.
Tillämpa konfigurationsändringen för IoT Edge.
sudo iotedge config apply
IoT Edge-körningen startas om.
Mer information finns i:
Nätverk
- Hjälpsam
- Granska utgående/inkommande konfiguration
- Tillåt anslutningar från IoT Edge-enheter
- Konfigurera kommunikation via en proxy
Granska utgående/inkommande konfiguration
Kommunikationskanaler mellan Azure IoT Hub och IoT Edge är alltid konfigurerade för utgående trafik. För de flesta IoT Edge-scenarier krävs endast tre anslutningar. Containermotorn måste ansluta till containerregistret (eller register) som innehåller modulavbildningarna. IoT Edge-körningen måste ansluta till IoT Hub för att hämta information om enhetskonfiguration och skicka meddelanden och telemetri. Och om du använder automatisk etablering måste IoT Edge ansluta till enhetsetableringstjänsten. Mer information finns i Brandväggs- och portkonfigurationsregler.
Tillåt anslutningar från IoT Edge-enheter
Om nätverkskonfigurationen kräver att du uttryckligen tillåter anslutningar från IoT Edge-enheter läser du följande lista över IoT Edge-komponenter:
- IoT Edge-agenten öppnar en beständig AMQP/MQTT-anslutning till IoT Hub, eventuellt via WebSockets.
- IoT Edge-hubben öppnar en enda beständig AMQP-anslutning eller flera MQTT-anslutningar till IoT Hub, eventuellt via WebSockets.
- IoT Edge-tjänsten gör tillfälliga HTTPS-anrop till IoT Hub.
I alla tre fallen skulle det fullständigt kvalificerade domännamnet (FQDN) matcha mönstret \*.azure-devices.net
.
Dessutom anropar containermotorn containerregister via HTTPS. FQDN är mcr.microsoft.com
för att hämta IoT Edge-körningscontaineravbildningarna . Containermotorn ansluter till andra register som konfigurerats i distributionen.
Den här checklistan är en startpunkt för brandväggsregler:
FQDN (* = jokertecken) |
Utgående TCP-portar | Användning |
---|---|---|
mcr.microsoft.com |
443 | Microsoft Container Registry |
*.data.mcr.microsoft.com |
443 | Dataslutpunkt som tillhandahåller innehållsleverans |
*.cdn.azcr.io |
443 | Distribuera moduler från Marketplace till enheter |
global.azure-devices-provisioning.net |
443 | Åtkomst till enhetsetableringstjänsten (valfritt) |
*.azurecr.io |
443 | Personliga containerregister och containerregister från tredje part |
*.blob.core.windows.net |
443 | Ladda ned Azure Container Registry-avbildningsdelta från Blob Storage |
*.azure-devices.net |
5671, 8883, 4431 | IoT Hub-åtkomst |
*.docker.io |
443 | Docker Hub-åtkomst (valfritt) |
1Öppna port 8883 för säker MQTT eller port 5671 för säker AMQP. Om du bara kan upprätta anslutningar via port 443 kan något av dessa protokoll köras via en WebSocket-tunnel.
Eftersom IP-adressen för en IoT-hubb kan ändras utan förvarning använder du alltid FQDN för att tillåtalistekonfiguration. Mer information finns i Förstå IP-adressen för din IoT Hub.
Vissa av dessa brandväggsregler ärvs från Azure Container Registry. Mer information finns i Konfigurera regler för åtkomst till ett Azure-containerregister bakom en brandvägg.
Du kan aktivera dedikerade dataslutpunkter i Azure Container-registret för att undvika jokertecken för tillåtna *.blob.core.windows.net FQDN. Mer information finns i Aktivera dedikerade dataslutpunkter.
Kommentar
Om du vill tillhandahålla ett konsekvent fullständigt domännamn mellan REST- och dataslutpunkterna ändras dataslutpunkten från och med den 15 juni 2020 från och med den 15 juni 2020 från *.cdn.mscr.io
till *.data.mcr.microsoft.com
Mer information finns i Konfiguration av brandväggsregler för Microsoft Container Registry-klienten
Om du inte vill konfigurera brandväggen så att den tillåter åtkomst till offentliga containerregister kan du lagra avbildningar i ditt privata containerregister enligt beskrivningen i Store Runtime-containrar i ditt privata register.
Konfigurera kommunikation via en proxy
Om dina enheter ska distribueras i ett nätverk som använder en proxyserver måste de kunna kommunicera via proxyn för att nå IoT Hub och containerregister. Mer information finns i Konfigurera en IoT Edge-enhet för kommunikation via en proxyserver.
Lösningshantering
- Hjälpsam
- Konfigurera loggar och diagnostik
- Konfigurera standardloggningsdrivrutin
- Överväg tester och CI/CD-pipelines
Konfigurera loggar och diagnostik
I Linux använder IoT Edge-daemon journaler som standardloggningsdrivrutin. Du kan använda kommandoradsverktyget journalctl
för att köra frågor mot daemonloggarna.
I Windows använder IoT Edge-daemon PowerShell-diagnostik. Använd Get-IoTEdgeLog
för att fråga efter loggar från daemonen. IoT Edge-moduler använder JSON-drivrutinen för loggning, vilket är standardinställningen.
. {Invoke-WebRequest -useb aka.ms/iotedge-win} | Invoke-Expression; Get-IoTEdgeLog
När du testar en IoT Edge-distribution kan du vanligtvis komma åt dina enheter för att hämta loggar och felsöka. I ett distributionsscenario kanske du inte har det alternativet. Fundera på hur du ska samla in information om dina enheter i produktion. Ett alternativ är att använda en loggningsmodul som samlar in information från de andra modulerna och skickar den till molnet. Ett exempel på en loggningsmodul är logspout-loganalytics, eller så kan du utforma din egen.
Konfigurera standardloggningsdrivrutin
Moby-containermotorn anger som standard inte storleksgränser för containerloggar. Med tiden kan detta leda till att enheten fylls med loggar och att diskutrymmet börjar ta slut. Konfigurera containermotorn så att loggningsdrivrutinen local
används som loggningsmekanism. Local
Loggningsdrivrutinen erbjuder en standardgräns för loggstorlek, utför loggrotation som standard och använder ett effektivare filformat som hjälper till att förhindra att diskutrymmet överbelastas. Du kan också välja att använda olika loggningsdrivrutiner och ange olika storleksgränser baserat på dina behov.
Alternativ: Konfigurera standardloggningsdrivrutinen för alla containermoduler
Du kan konfigurera containermotorn så att den använder en specifik loggningsdrivrutin genom att ange värdet log driver
för till namnet på loggdrivrutinen i daemon.json
. I följande exempel anges standardloggningsdrivrutinen till local
loggdrivrutinen (rekommenderas).
{
"log-driver": "local"
}
Du kan också konfigurera dina log-opts
nycklar så att de använder lämpliga värden i daemon.json
filen. I följande exempel anges loggdrivrutinen till local
och alternativen och max-file
angesmax-size
.
{
"log-driver": "local",
"log-opts": {
"max-size": "10m",
"max-file": "3"
}
}
Lägg till (eller lägg till) den här informationen i en fil med namnet daemon.json
och placera den på följande plats:
Plattform | Plats |
---|---|
Linux | /etc/docker/ |
Windows | C:\ProgramData\iotedge-moby\config\ |
Containermotorn måste startas om för att ändringarna ska börja gälla.
Alternativ: Justera logginställningarna för varje containermodul
Du kan göra det i createOptions för varje modul. Till exempel:
"createOptions": {
"HostConfig": {
"LogConfig": {
"Type": "local",
"Config": {
"max-size": "10m",
"max-file": "3"
}
}
}
}
Ytterligare alternativ för Linux-system
Konfigurera containermotorn för att skicka loggar till journal genom att
systemd
angejournald
som standardloggningsdrivrutin.Ta regelbundet bort gamla loggar från enheten genom att installera ett logrotate-verktyg. Använd följande filspecifikation:
/var/lib/docker/containers/*/*-json.log{ copytruncate daily rotate7 delaycompress compress notifempty missingok }
Överväg tester och CI/CD-pipelines
För det mest effektiva IoT Edge-distributionsscenariot bör du överväga att integrera produktionsdistributionen i dina test- och CI/CD-pipelines. Azure IoT Edge stöder flera CI/CD-plattformar, inklusive Azure DevOps. Mer information finns i Kontinuerlig integrering och kontinuerlig distribution till Azure IoT Edge.
Säkerhetsfrågor
- Viktigt
- Hantera åtkomst till ditt containerregister
- Begränsa containeråtkomst till värdresurser
Hantera åtkomst till ditt containerregister
Innan du distribuerar moduler till IoT Edge-produktionsenheter ska du kontrollera åtkomsten till containerregistret så att utomstående inte kan komma åt eller göra ändringar i dina containeravbildningar. Använd ett privat containerregister för att hantera containeravbildningar.
I självstudierna och annan dokumentation instruerar vi dig att använda samma autentiseringsuppgifter för containerregistret på din IoT Edge-enhet som du använder på utvecklingsdatorn. De här instruktionerna är endast avsedda att hjälpa dig att konfigurera test- och utvecklingsmiljöer enklare och bör inte följas i ett produktionsscenario.
Om du vill ha en säkrare åtkomst till registret kan du välja mellan autentiseringsalternativ. En populär och rekommenderad autentisering är att använda ett Active Directory-tjänstens huvudnamn som passar bra för program eller tjänster för att hämta containeravbildningar på ett automatiserat eller på annat sätt obevakat (huvudlöst) sätt, som IoT Edge-enheter gör. Ett annat alternativ är att använda token med lagringsplatsomfattning, vilket gör att du kan skapa långa eller kortlivade identiteter som bara finns i Azure Container Registry som de skapades i och omfångsåtkomst till lagringsplatsnivån.
Om du vill skapa ett huvudnamn för tjänsten kör du de två skripten enligt beskrivningen i skapa ett huvudnamn för tjänsten. Dessa skript utför följande uppgifter:
Det första skriptet skapar tjänstens huvudnamn. Det matar ut tjänstens huvudnamns-ID och lösenordet för tjänstens huvudnamn. Lagra dessa värden på ett säkert sätt i dina poster.
Det andra skriptet skapar rolltilldelningar som ska tilldelas tjänstens huvudnamn, som kan köras senare om det behövs. Vi rekommenderar att du använder acrPull-användarrollen för parametern
role
. En lista över roller finns i Roller och behörigheter för Azure Container Registry.
Om du vill autentisera med ett huvudnamn för tjänsten anger du det ID och lösenord för tjänstens huvudnamn som du fick från det första skriptet. Ange dessa autentiseringsuppgifter i distributionsmanifestet.
För användarnamnet eller klient-ID:t anger du tjänstens huvudnamns-ID.
Ange lösenordet för tjänstens huvudnamn för lösenordet eller klienthemligheten.
Om du vill skapa token med lagringsplatsomfattning följer du skapa en token med lagringsplatsomfattning.
Om du vill autentisera med token med lagringsplatsomfattning anger du det tokennamn och lösenord som du fick när du skapade din token med lagringsplatsomfattning. Ange dessa autentiseringsuppgifter i distributionsmanifestet.
För användarnamnet anger du tokens användarnamn.
För lösenordet anger du ett av tokens lösenord.
Kommentar
När du har implementerat en förbättrad säkerhetsautentisering inaktiverar du inställningen Administratörsanvändare så att standardåtkomsten för användarnamn/lösenord inte längre är tillgänglig. I containerregistret i Azure-portalen går du till menyn i det vänstra fönstret under Inställningar och väljer Åtkomstnycklar.
Begränsa containeråtkomst till värdresurser
Om du vill balansera delade värdresurser mellan moduler rekommenderar vi att du begränsar resursförbrukningen per modul. Dessa gränser säkerställer att en modul inte kan förbruka för mycket minne eller CPU-användning och förhindrar att andra processer körs på enheten. IoT Edge-plattformen begränsar inte resurser för moduler som standard, eftersom det krävs testning för att veta hur mycket resurser en viss modul behöver för att köras optimalt.
Docker innehåller vissa begränsningar som du kan använda för att begränsa resurser som minne och CPU-användning. Mer information finns i Körningsalternativ med minne, processorer och GPU:er.
Dessa begränsningar kan tillämpas på enskilda moduler med hjälp av skapa-alternativ i distributionsmanifest. Mer information finns i Konfigurera alternativ för att skapa containrar för IoT Edge-moduler.
Nästa steg
- Läs mer om automatisk distribution av IoT Edge.
- Se hur IoT Edge stöder kontinuerlig integrering och kontinuerlig distribution.