适用于:
IoT Edge 1.5 IoT Edge 1.4
重要
IoT Edge 1.5 LTS 和 IoT Edge 1.4 LTS 是受支持的版本。 IoT Edge 1.4 LTS 的生命周期结束日期为 2024 年 11 月 12 日。 如果你使用的是较低的版本,请参阅更新 IoT Edge。
本文提供有关使用对称密钥自动预配一个或多个 Linux IoT Edge 设备的详尽说明。 可以通过 Azure IoT 中心设备预配服务 (DPS) 自动预配 Azure IoT Edge 设备。 如果你不熟悉自动预配过程,请在继续操作之前查看预配概述。
任务如下:
- 为单个设备创建单个注册,或为一组设备创建组注册。
- 安装 IoT Edge 运行时并连接到 IoT 中心。
提示
为了简单起见,请尝试使用 Azure IoT Edge 配置工具。 此命令行工具目前以公共预览版提供,可在设备上安装 IoT Edge,并使用 DPS 和对称密钥证明来预配它。
对称密钥证明是一种通过设备预配服务实例对设备进行身份验证的简单方法。 此证明方法表示不熟悉设备预配或不具备严格安全要求的开发人员的“Hello world”体验。 使用 X.509 证书的设备证明更加安全,且应该用于更严格的安全要求。
- 一个活动的 IoT 中心
- Azure 中的一个 IoT 中心设备预配服务实例,该实例已链接到 IoT 中心
- 如果没有设备预配服务实例,则可按照 IoT 中心设备预配服务快速入门的创建新的 IoT 中心设备预配服务和将 IoT 中心和设备预配服务相链接部分的说明进行操作。
- 运行设备预配服务后,从概述页复制“ID 范围”的值。 配置 IoT Edge 运行时时,需要使用此值。
一个充当 IoT Edge 设备的物理设备或虚拟 Linux 设备。
您需要定义一个唯一的注册 ID 来标识每个设备。 可以使用 MAC 地址、序列号或设备中的任何唯一信息。 例如,可以使用 MAC 地址和序列号的组合,构成以下注册 ID 字符串:sn-007-888-abc-mac-a1-b2-c3-d4-e5-f6。 有效字符为小写字母数字和短划线 (-)。
创建注册以通过 DPS 预配一个或多个设备。
如果要预配单个 IoT Edge 设备,请创建单个注册。 如果需要预配多个设备,请按照创建 DPS 组注册的步骤进行操作。
在 DPS 中创建注册时,可以声明“初始设备孪生状态”。 在设备孪生中可以设置标记,以便按解决方案中所需的任何指标(例如区域、环境、位置或设备类型)将设备分组。 这些标记用于创建自动部署。
有关设备预配服务中的注册的详细信息,请参阅如何管理设备注册。
提示
本文中的步骤适用于 Azure 门户,但你也可使用 Azure CLI 创建单个注册。 有关详细信息,请参阅 az iot dps enrollment。 作为 CLI 命令的一部分,使用 edge-enabled 标志指定注册适用于单个 IoT Edge设备。
在 Azure 门户中,导航到 IoT 中心设备预配服务实例。
在“设置”下,选择“管理注册”。
选择“添加个人注册”,然后完成以下步骤以配置注册:
对于“机制”,请选择“对称密钥”。
为设备提供一个唯一的注册 ID。
(可选)为设备提供一个 IoT 中心设备 ID。 可以使用设备 ID 将单个设备指定为模块部署的目标。 如果未提供设备 ID,则会使用注册 ID。
选择“True”,声明该注册适用于 IoT Edge 设备。
(可选)向“初始设备孪生状态”添加一个标记值。 可以使用标记将设备组指定为模块部署的目标。 例如:
{ "tags": { "environment": "test" }, "properties": { "desired": {} } }选择“保存” 。
复制个人注册的“主密钥”值,以便在安装 IoT Edge 运行时的情况下使用。
既然此设备已存在注册,IoT Edge 运行时在安装期间可以自动预配设备。
在本部分,你将准备 IoT Edge 的 Linux 虚拟机或物理设备。 然后安装 IoT Edge。
运行以下命令以添加包存储库,然后将 Azure 包签名密钥添加到你的受信任密钥列表中。
重要
2022 年 6 月 30 日,Raspberry Pi OS Stretch 将在第 1 层 OS 支持列表中停用。 为避免潜在的安全漏洞,请将主机 OS 更新为 Bullseye。
对于支持第 2 层的平台操作系统,Azure IoT Edge 版本中提供了安装包。 请参阅脱机或特定版本安装中的安装步骤。
安装可通过几个命令来完成。 打开终端并运行以下命令:
24.04:
wget https://packages.microsoft.com/config/ubuntu/24.04/packages-microsoft-prod.deb -O packages-microsoft-prod.deb sudo dpkg -i packages-microsoft-prod.deb rm packages-microsoft-prod.deb
22.04:
wget https://packages.microsoft.com/config/ubuntu/22.04/packages-microsoft-prod.deb -O packages-microsoft-prod.deb sudo dpkg -i packages-microsoft-prod.deb rm packages-microsoft-prod.deb20.04:
wget https://packages.microsoft.com/config/ubuntu/20.04/packages-microsoft-prod.deb -O packages-microsoft-prod.deb sudo dpkg -i packages-microsoft-prod.deb rm packages-microsoft-prod.deb
有关操作系统版本的详细信息,请参阅 Azure IoT Edge 支持的平台。
备注
Azure IoT Edge 软件包受制于每个包(usr/share/doc/{package-name} 或 LICENSE 目录)中的许可条款。 请在使用包之前阅读许可条款。 安装和使用包即表示你接受这些条款。 如果你不同意许可条款,请不要使用该包。
Azure IoT Edge 依赖于 OCI 兼容的容器运行时。 对于生产方案,建议使用 Moby 引擎。 Moby 引擎是官方支持用于 IoT Edge 的容器引擎。 Docker CE/EE 容器映像与 Moby 运行时兼容。 如果你使用的是 Ubuntu Core snap,则 Docker snap 由 Canonical 提供服务,并支持将其用于生产场景中。
安装 Moby 引擎。
sudo apt-get update; \
sudo apt-get install moby-engine
默认情况下,容器引擎不会设置容器日志大小限制。 一段时间后,这可能会导致设备中填满了日志,因此出现磁盘空间不足的情况。 但是,你可以将日志配置为在本地显示,不过这是可选操作。 若要了解有关日志记录配置的详细信息,请参阅生产部署清单。
以下步骤说明如何将容器配置为使用 local 日志记录驱动程序作为日志记录机制。
创建或编辑现有 Docker 守护程序的配置文件
sudo nano /etc/docker/daemon.json将默认日志记录驱动程序设置为
local日志记录驱动程序,如示例中所示。{ "log-driver": "local" }重启容器引擎以使更改生效。
sudo systemctl restart docker
IoT Edge 服务在 IoT Edge 设备上提供并维护安全标准。 该服务在每次开机时启动,并通过启动 IoT Edge 运行时的其余部分来启动设备。
备注
从版本 1.2 开始,IoT 标识服务会处理 IoT Edge 以及需要与 IoT 中心通信的其他设备组件的标识预配和管理。
本部分中的步骤表示在可连接 Internet 的设备上安装最新 IoT Edge 版本的典型过程。 如果需要安装特定版本(如预发行版)或需要在脱机状态下安装,请按照本文后面的脱机或特定版本安装步骤进行操作。
提示
如果你已经有运行旧版本的 IoT Edge 设备并想要升级到最新版本,请按照更新 IoT Edge 安全守护程序和运行时中的步骤操作。 最新版本与先前的 IoT Edge 版本有很大不同,因此需要采取特定的步骤进行升级。
安装最新版本的 IoT Edge 和 IoT 标识服务包(如果不是最新版本):
22.04:
sudo apt-get update; \ sudo apt-get install aziot-edge20.04:
sudo apt-get update; \ sudo apt-get install aziot-edge
在设备上安装运行时后,请使用供设备用来连接到设备预配服务和 IoT 中心的信息来配置该设备。
准备好以下信息:
- DPS 的“ID 范围”值
- 为设备创建的“注册 ID”
- 个人注册的主密钥,或者使用组注册时设备的派生密钥。
基于在安装 IoT Edge 的过程中提供的模板文件为你的设备创建配置文件。
sudo cp /etc/aziot/config.toml.edge.template /etc/aziot/config.toml
在 IoT Edge 设备上打开配置文件。
sudo nano /etc/aziot/config.toml
找到文件的 Provisioning 节。 取消注释 DPS 对称密钥预配的行,并确保注释掉任何其他预配行。
# DPS provisioning with symmetric key [provisioning] source = "dps" global_endpoint = "https://global.azure-devices-provisioning.net" id_scope = "PASTE_YOUR_SCOPE_ID_HERE" # Uncomment to send a custom payload during DPS registration # payload = { uri = "PATH_TO_JSON_FILE" } [provisioning.attestation] method = "symmetric_key" registration_id = "PASTE_YOUR_REGISTRATION_ID_HERE" symmetric_key = { value = "PASTE_YOUR_PRIMARY_KEY_OR_DERIVED_KEY_HERE" } # auto_reprovisioning_mode = Dynamic将
id_scope、registration_id和symmetric_key的值更新为你的 DPS 和设备信息。对称密钥参数可以接受内联密钥、文件 URI 或 PKCS#11 URI 的值。 根据所使用的格式,取消注释一条对称密钥行。 使用内联密钥时,请使用 base64 编码的密钥,如示例所示。 使用文件 URI 时,文件应包含密钥的原始字节。
如果使用任何 PKCS#11 URI,请在配置文件中找到 PKCS#11 节,并提供有关 PKCS#11 配置的信息。
有关预配配置设置的详细信息,请参阅配置 IoT Edge 设备设置。
(可选)找到文件的自动重新预配模式部分。 使用
auto_reprovisioning_mode参数来配置设备的重新预配行为。 Dynamic - 设备在检测到它可能已从一个 IoT 中心移动到另一个时进行重新预配。 这是默认情况。 AlwaysOnStartup - 设备在重新启动时或在故障导致守护程序重启时进行重新预配。 OnErrorOnly - 从不自动触发设备重新预配。 如果设备在标识预配过程中由于连接错误而无法连接到 IoT 中心,则每个模式都有隐式设备重新预配回退。 有关详细信息,请参阅 IoT 中心设备重新预配概念。(可选)取消注释
payload参数以指定本地 JSON 文件的路径。 设备注册时,文件的内容将作为附加数据发送到 DPS。 这对于自定义分配很有用。 例如,如果要根据 IoT 即插即用模型 ID 分配设备而无需人工干预。保存并关闭该文件。
应用在设备上所做的配置更改。
sudo iotedge config apply
如果运行时成功启动,则可以进入 IoT 中心,开始将 IoT Edge 模块部署到你的设备。
可以验证是否使用了在设备预配服务中创建的单独注册。 在 Azure 门户中导航到你的设备预配服务实例。 打开创建的个人注册的注册详细信息。 注意注册状态是否为“已分配”并且设备 ID 已列出。
在设备上,使用以下命令验证是否已成功安装并启动 IoT Edge。
检查 IoT Edge 服务的状态。
sudo iotedge system status
检查服务日志。
sudo iotedge system logs
列出正在运行的模块。
sudo iotedge list
使用设备预配服务注册过程可以在预配新设备的同时,设置设备 ID 和设备孪生标记。 可以在自动设备管理中,使用这些值将单个设备或设备组指定为目标。 了解如何使用 Azure 门户大规模部署和监视 IoT Edge 模块,或使用 Azure CLI 执行此操作。