Skapa och etablera IoT Edge-enheter i stor skala i Linux med hjälp av symmetriska nycklar

2025-05-16

Gäller för: IoT Edge 1.5

Viktigt!

IoT Edge 1.5 LTS är den version som stöds. IoT Edge 1.4 LTS upphör från och med den 12 november 2024. Om du har en tidigare version läser du Uppdatera IoT Edge.

Den här artikeln innehåller stegvisa instruktioner för hur du konfigurerar en eller flera Linux IoT Edge-enheter med symmetriska nycklar. Konfigurera Azure IoT Edge-enheter automatiskt med Azure IoT Hub-enhetsetableringstjänsten (DPS). Om du inte är bekant med processen för automatisk provisionering läser du provisioneringsöversikten innan du fortsätter.

Här är de viktigaste uppgifterna:

Skapa en enskild registrering för en enskild enhet eller en gruppregistrering för en uppsättning enheter.
Installera IoT Edge-körningen och anslut till IoT Hub.

Dricks

För en förenklad upplevelse kan du prova konfigurationsverktyget för Azure IoT Edge. Det här kommandoradsverktyget, som för närvarande är i offentlig förhandsversion, installerar IoT Edge på din enhet och etablerar det med DPS och symmetrisk nyckelattestering.

Symmetrisk nyckelattestering är ett enkelt sätt att autentisera en enhet med en instans av enhetsetableringstjänsten. Den här metoden är en "Hello World"-upplevelse för utvecklare som är nybörjare på enhetsetablering eller inte har strikta säkerhetskrav. Enhetsattestering med ett TPM - eller X.509-certifikat är säkrare och du bör använda det för strängare säkerhetsbehov.

Förutsättningar

Molnresurser

En aktiv IoT-hubb
En instans av IoT Hub-enhetsetableringstjänsten i Azure, länkad till din IoT-hubb
- Om du inte har någon instans av enhetsetableringstjänsten kan du följa anvisningarna i snabbstarten Skapa en ny IoT Hub-enhetsetableringstjänst och Länka IoT-hubben och enhetsetableringstjänsten i snabbstarten för enhetsetableringstjänsten i IoT Hub.
- När du har kört enhetsetableringstjänsten kopierar du värdet för ID-omfånget från översiktssidan. Du använder det här värdet när du konfigurerar IoT Edge-körningen.

Enhetskrav

Använd en fysisk eller virtuell Linux-enhet som IoT Edge-enhet.

Definiera ett uniktregistrerings-ID för att identifiera varje enhet. Använd MAC-adress, serienummer eller unik information från enheten. Du kan till exempel kombinera en MAC-adress och ett serienummer för att bilda ett registrerings-ID som sn-007-888-abc-mac-a1-b2-c3-d4-e5-f6. Giltiga tecken är alfanumeriska gemener och bindestreck (-).

Skapa en DPS-registrering

Skapa en registrering för att etablera en eller flera enheter via DPS.

Om du vill etablera en enda IoT Edge-enhet skapar du en enskild registrering. Om du behöver flera etablerade enheter följer du stegen för att skapa en DPS-gruppregistrering.

När du skapar en registrering i DPS har du möjlighet att deklarera ett initialt enhetstvillingtillstånd. I enhetstvillingen kan du ange taggar för att gruppera enheter efter mått som du behöver i din lösning, till exempel region, miljö, plats eller enhetstyp. Dessa taggar används för att skapa automatiska distributioner.

Mer information om registreringar i enhetsetableringstjänsten finns i Hantera enhetsregistreringar.

Individuell registrering
Gruppregistrering

Skapa en individuell DPS-registrering

Dricks

Stegen i den här artikeln gäller för Azure Portal, men du kan också skapa enskilda registreringar med hjälp av Azure CLI. Mer information finns i az iot dps-registrering. Som en del av CLI-kommandot använder du flaggan edge-aktiverad för att ange att registreringen är för en IoT Edge-enhet.

I Azure Portal navigerar du till din instans av IoT Hub-enhetsetableringstjänsten.
Under Inställningar väljer du Hantera registreringar.
Välj Lägg till enskild registrering och slutför sedan följande steg för att konfigurera registreringen:
1. För Mekanism väljer du Symmetrisk nyckel.
2. Ange ett unikt registrerings-ID för din enhet.
3. Du kan också ange ett IoT Hub-enhets-ID för din enhet. Du kan använda enhets-ID:n för att rikta in dig på en enskild enhet för moduldistribution. Om du inte anger något enhets-ID används registrerings-ID:t.
4. Välj Sant för att deklarera att registreringen gäller för en IoT Edge-enhet.
5. Du kan också lägga till ett taggvärde i det inledande enhetstvillingtillståndet. Du kan använda taggar till målgrupper med enheter för moduldistribution. Till exempel:
```
{
   "tags": {
      "environment": "test"
   },
   "properties": {
      "desired": {}
   }
}
```
6. Välj Spara.
Kopiera den enskilda registreringens primärnyckelvärde som ska användas när du installerar IoT Edge-körningen.

Nu när det finns en registrering för den här enheten kan IoT Edge-körningen automatiskt etablera enheten under installationen.

Skapa en DPS-gruppregistrering

Dricks

Stegen i den här artikeln gäller för Azure Portal, men du kan också skapa gruppregistreringar med hjälp av Azure CLI. Mer information finns i az iot dps enrollment-group. Som en del av CLI-kommandot använder du flaggan edge-aktiverad för att ange att registreringen gäller för IoT Edge-enheter. För en gruppregistrering måste alla enheter vara IoT Edge-enheter eller så kan ingen av dem vara det.

I Azure Portal navigerar du till din instans av IoT Hub-enhetsetableringstjänsten.
Under Inställningar väljer du Hantera registreringar.
Välj Lägg till enskild registrering och slutför sedan följande steg för att konfigurera registreringen:
1. Ange ett gruppnamn.
2. Välj Symmetrisk nyckel som attesteringstyp.
3. Välj Sant för att deklarera att registreringen gäller för en IoT Edge-enhet. För en gruppregistrering måste alla enheter vara IoT Edge-enheter eller så kan ingen av dem vara det.
4. Du kan också lägga till ett taggvärde i det inledande enhetstvillingtillståndet. Du kan använda taggar till målgrupper med enheter för moduldistribution. Till exempel:
```
{
   "tags": {
      "environment": "test"
   },
   "properties": {
      "desired": {}
   }
}
```
5. Välj Spara.
Kopiera registreringsgruppens primärnyckelvärde som ska användas när du skapar enhetsnycklar för användning med en gruppregistrering.

Nu när det finns en registreringsgrupp kan IoT Edge-körningen automatiskt etablera enheter under installationen.

Härled en enhetsnyckel

Varje enhet som etableras som en del av en gruppregistrering behöver en härledd enhetsnyckel för att utföra symmetrisk nyckelattestering med registreringen under etableringen.

Om du vill generera en enhetsnyckel använder du nyckeln som du kopierade från dps-registreringsgruppen för att beräkna ett HMAC-SHA256 av enhetens unika registrerings-ID och konvertera resultatet till Base64-format.

Viktigt!

Inkludera inte registreringens primära eller sekundära nyckel i enhetskoden.

I Windows kan du använda PowerShell för att generera din härledda enhetsnyckel enligt följande exempel.

Ersätt värdet för KEY med den primärnyckel som du antecknade tidigare.

Ersätt värdet för REG_ID med enhetens registrerings-ID.

$KEY='PASTE_YOUR_ENROLLMENT_KEY_HERE'
$REG_ID='PASTE_YOUR_REGISTRATION_ID_HERE'

$hmacsha256 = New-Object System.Security.Cryptography.HMACSHA256
$hmacsha256.key = [Convert]::FromBase64String($KEY)
$sig = $hmacsha256.ComputeHash([Text.Encoding]::ASCII.GetBytes($REG_ID))
$derivedkey = [Convert]::ToBase64String($sig)
echo "`n$derivedkey`n"

Nedan visas ett exempel på utdata från en härledd enhetsnyckel:

Jsm0lyGpjaVYVP2g3FnmnmG9dI/9qU24wNoykUmermc=

Installera IoT Edge

I det här avsnittet förbereder du din virtuella Linux-dator eller fysiska enhet för IoT Edge. Sedan installerar du IoT Edge.

Kör följande kommandon för att lägga till paketlagringsplatsen och lägg sedan till Signeringsnyckeln för Microsoft-paketet i listan över betrodda nycklar.

Viktigt!

Den 30 juni 2022 drogs Raspberry Pi OS Stretch tillbaka från supportlistan för operativsystemet tier 1. För att undvika potentiella säkerhetsrisker uppdaterar du värdoperativsystemet till Bullseye.

För plattformsoperativsystem på nivå 2 görs installationspaket tillgängliga i Azure IoT Edge-versioner. Se installationsstegen i Offline eller specifik version (valfritt).

Installationen kan utföras med några få kommandon. Öppna en terminal och kör följande kommandon:

24.04:

wget https://packages.microsoft.com/config/ubuntu/24.04/packages-microsoft-prod.deb -O packages-microsoft-prod.deb
sudo dpkg -i packages-microsoft-prod.deb
rm packages-microsoft-prod.deb

22.04:

wget https://packages.microsoft.com/config/ubuntu/22.04/packages-microsoft-prod.deb -O packages-microsoft-prod.deb
sudo dpkg -i packages-microsoft-prod.deb
rm packages-microsoft-prod.deb

20.04:

wget https://packages.microsoft.com/config/ubuntu/20.04/packages-microsoft-prod.deb -O packages-microsoft-prod.deb
sudo dpkg -i packages-microsoft-prod.deb
rm packages-microsoft-prod.deb

Du kan installera med APT med några få kommandon. Öppna en terminal och kör följande kommandon:

12 - Bookworm (arm32v7):

curl https://packages.microsoft.com/config/debian/12/packages-microsoft-prod.deb > ./packages-microsoft-prod.deb
sudo apt install ./packages-microsoft-prod.deb

11 - Bullseye (arm32v7):

curl https://packages.microsoft.com/config/debian/11/packages-microsoft-prod.deb > ./packages-microsoft-prod.deb
sudo apt install ./packages-microsoft-prod.deb

Dricks

Om du gav rotkontot ett lösenord under os-installationen behöver du inte sudo och kan köra föregående kommando genom att börja med "apt".

Installationen kan utföras med några få kommandon. Öppna en terminal och kör följande kommandon:

9.x (amd64):

  wget https://packages.microsoft.com/config/rhel/9.0/packages-microsoft-prod.rpm -O packages-microsoft-prod.rpm
  sudo yum localinstall packages-microsoft-prod.rpm
  rm packages-microsoft-prod.rpm

8.x (amd64):

  wget https://packages.microsoft.com/config/rhel/8/packages-microsoft-prod.rpm -O packages-microsoft-prod.rpm
  sudo yum localinstall packages-microsoft-prod.rpm
  rm packages-microsoft-prod.rpm

Mer information om operativsystemversioner finns i Plattformar som stöds av Azure IoT Edge.

Kommentar

Azure IoT Edge-programvarupaket omfattas av licensvillkoren som finns i varje paket (usr/share/doc/{package-name} eller LICENSE katalogen). Läs licensvillkoren innan du använder ett paket. Din installation och användning av ett paket utgör ditt godkännande av dessa villkor. Om du inte godkänner licensvillkoren ska du inte använda det paketet.

Installera en containermotor

Azure IoT Edge förlitar sig på en OCI-kompatibel containerkörning. För produktionsscenarier rekommenderar vi att du använder Moby-motorn. Moby-motorn är containermotorn som stöds officiellt med IoT Edge. Docker CE/EE-containeravbildningar är kompatibla med Moby-körningen. Om du använder Ubuntu Core-snappar hanteras Docker-snapen av Canonical och stöds för produktionsscenarier.

Installera Moby-motorn.

sudo apt-get update; \
  sudo apt-get install moby-engine

Installera Moby-motorn.

sudo apt-get update; \
  sudo apt-get install moby-engine

Installera Moby-motorn och CLI.

sudo yum install moby-engine moby-cli

Dricks

Om du får fel när du installerar Moby-containermotorn kontrollerar du Linux-kerneln för Moby-kompatibilitet. Vissa inbäddade enhetstillverkare skickar enhetsavbildningar som innehåller anpassade Linux-kärnor utan de funktioner som krävs för containermotorns kompatibilitet. Kör följande kommando, som använder check-config-skriptet som tillhandahålls av Moby, för att kontrollera kernelkonfigurationen:

curl -ssl https://raw.githubusercontent.com/moby/moby/master/contrib/check-config.sh -o check-config.sh
chmod +x check-config.sh
./check-config.sh

Kontrollera att alla objekt under Generally Necessary och Network Drivers är aktiverade i skriptets utdata. Om du saknar funktioner aktiverar du dem genom att återskapa kerneln från källan och välja de associerade modulerna som ska ingå i lämplig kernelkonfiguration. På samma sätt, om du använder en kernelkonfigurationsgenerator som defconfig eller menuconfig, letar du upp och aktiverar respektive funktioner och återskapar kerneln i enlighet med detta. När du har distribuerat den nyligen ändrade kerneln kör du check-config-skriptet igen för att kontrollera att alla nödvändiga funktioner har aktiverats.

IoT Edge har beroenden för Docker och IoT Identity Service. Installera beroendena med hjälp av följande kommandon:

sudo snap install docker
sudo snap install azure-iot-identity

Docker snap hanteras av Canonical och stöds för produktionsscenarier.

Som standard anger containermotorn inte storleksbegränsningar för containerloggar. Med tiden kan den här situationen leda till att enheten fylls med loggar och att diskutrymmet börjar ta slut. Du kan dock konfigurera loggen så att den visas lokalt, även om den är valfri. Mer information om loggningskonfiguration finns i Förbereda distributionen av din IoT Edge-lösning i produktion.

Följande steg visar hur du konfigurerar containern så att den använder local loggningsdrivrutinen som loggningsmekanism.

Ubuntu/Debian/RHEL
Ubuntu Core snappar

Skapa eller redigera den befintliga Docker-daemonens konfigurationsfil
```
sudo nano /etc/docker/daemon.json
```
Ange loggningsdrivrutinen som standard till local loggningsdrivrutinen enligt exemplet.
```
   {
      "log-driver": "local"
   }
```
Starta om containermotorn för att ändringarna ska börja gälla.
```
sudo systemctl restart docker
```

Installera IoT Edge-körningen

IoT Edge-tjänsten tillhandahåller och upprätthåller säkerhetsstandarder på IoT Edge-enheten. Tjänsten startar vid varje start och startar enheten genom att starta resten av IoT Edge-körningen.

Kommentar

Från och med version 1.2 hanterar Azure IoT-identitetstjänsten identitetsetablering och hantering för IoT Edge och för andra enhetskomponenter som behöver kommunicera med IoT Hub.

Stegen i det här avsnittet representerar den typiska processen för att installera den senaste IoT Edge-versionen på en enhet som har internetanslutning. Om du behöver installera en viss version, t.ex. en förhandsversion, eller om du behöver installera offline följer du installationsstegen offline eller specifik version senare i den här artikeln.

Dricks

Om du redan har en IoT Edge-enhet som kör en äldre version och vill uppgradera till den senaste versionen använder du stegen i Uppdatera IoT Edge. Senare versioner skiljer sig tillräckligt från tidigare versioner av IoT Edge för att specifika steg krävs för att uppgradera.

Installera den senaste versionen av IoT Edge och IoT-identitetstjänstpaketet (om du inte redan är uppdaterad):

22.04:

sudo apt-get update; \
   sudo apt-get install aziot-edge

20.04:

sudo apt-get update; \
   sudo apt-get install aziot-edge

Installera den senaste versionen av IoT Edge och IoT-identitetstjänstpaketet (om du inte redan är uppdaterad):

sudo apt-get update; \
  sudo apt-get install aziot-edge

Installera den senaste versionen av IoT Edge och IoT-identitetstjänstpaketet (om du inte redan är uppdaterad):

sudo yum install aziot-edge

Installera IoT Edge från snaplagringsplatsen:

sudo snap install azure-iot-edge

Ansluta fästen

Som standard är snappar beroendefria, obetrodda och strikt begränsade. Därför måste fästen anslutas till andra fästen och systemresurser efter installationen. Använd följande kommandon för att ansluta IoT Identity Service och IoT Edge till varandra och till systemresurser. För att komma igång måste fästen vara manuellt anslutna. För produktionsdistributioner kan de konfigureras för att automatiskt ansluta för att minska etableringsarbetsbelastningen.

#------------------------
#  IoT Identity Service
#------------------------

# Connect the Identity Service snap to the logging system
# and grant permission to query system info

sudo snap connect azure-iot-identity:log-observe
sudo snap connect azure-iot-identity:mount-observe
sudo snap connect azure-iot-identity:system-observe
sudo snap connect azure-iot-identity:hostname-control

# If using a TPM, enable TPM access

sudo snap connect azure-iot-identity:tpm

#------------
#  IoT Edge
#------------

# Connect to your /home directory to enable writing support bundles

sudo snap connect azure-iot-edge:home

# Connect to logging and grant permission to query system info

sudo snap connect azure-iot-edge:log-observe
sudo snap connect azure-iot-edge:mount-observe
sudo snap connect azure-iot-edge:system-observe
sudo snap connect azure-iot-edge:hostname-control
# Allow IoT Edge to connect to the /var/run/iotedge folder and use sockets

sudo snap connect azure-iot-edge:run-iotedge

# Connect IoT Edge to Docker

sudo snap connect azure-iot-edge:docker docker:docker-daemon

Etablera enheten med dess molnidentitet

När körningen har installerats på enheten konfigurerar du enheten med den information den använder för att ansluta till enhetsetableringstjänsten och IoT Hub.

Ha följande information klar:

DPS ID-omfångsvärdet
Enhetsregistrerings-ID :t som du skapade
Antingen primärnyckeln från en enskild registrering eller en härledd nyckel för enheter som använder en gruppregistrering.

Skapa en konfigurationsfil för enheten baserat på en mallfil som tillhandahålls som en del av IoT Edge-installationen.

Ubuntu/Debian/RHEL
Ubuntu Core snappar

sudo cp /etc/aziot/config.toml.edge.template /etc/aziot/config.toml

Öppna konfigurationsfilen på IoT Edge-enheten.

sudo nano /etc/aziot/config.toml

Om du använder en snapinstallation av IoT Edge finns mallfilen på /snap/azure-iot-edge/current/etc/aziot/config.toml.edge.template. Kopiera mallfilen till din hemkatalog och ge den namnet config.toml. Till exempel:

cp /snap/azure-iot-edge/current/etc/aziot/config.toml.edge.template ~/config.toml

Öppna konfigurationsfilen i hemkatalogen på IoT Edge-enheten.

nano ~/config.toml

Leta reda på avsnittet Etablering i filen. Avkommentera raderna för DPS-konfigurering med symmetrisk nyckel och se till att alla andra konfigureringsrader kommenteras bort.

# DPS provisioning with symmetric key
[provisioning]
source = "dps"
global_endpoint = "https://global.azure-devices-provisioning.net"
id_scope = "PASTE_YOUR_SCOPE_ID_HERE"

# Uncomment to send a custom payload during DPS registration
# payload = { uri = "PATH_TO_JSON_FILE" }

[provisioning.attestation]
method = "symmetric_key"
registration_id = "PASTE_YOUR_REGISTRATION_ID_HERE"

symmetric_key = { value = "PASTE_YOUR_PRIMARY_KEY_OR_DERIVED_KEY_HERE" }

# auto_reprovisioning_mode = Dynamic

Uppdatera värdena id_scopeför , registration_idoch symmetric_key med din DPS- och enhetsinformation.

Parametern symmetrisk nyckel kan acceptera en infogad nyckel, en fil-URI eller en PKCS#11-URI. Avkommentar endast en symmetrisk nyckellinje, baserat på det format du använder. Om du använder en infogad nyckel använder du en base64-kodad nyckel som exemplet. Om du använder en fil-URI måste filen innehålla nyckelns råa byte.

Om du använder PKCS#11-URI:er hittar du avsnittet PKCS#11 i konfigurationsfilen och anger konfigurationsinformationen för PKCS#11.

Mer information om konfigurationsinställningar för etablering finns i Konfigurera IoT Edge-enhetsinställningar.
Du kan också hitta avsnittet för automatisk ometableringsläge i filen. Använd parametern auto_reprovisioning_mode för att ange enhetens återetableringsbeteende. Dynamisk – Omkonfigurera när enheten upptäcker att den kan flyttas från en IoT Hub till en annan. Det här är standardinställningen. AlwaysOnStartup – Ometablering när enheten startas om eller en krasch gör att daemonerna startas om. OnErrorOnly – Utlös aldrig enhetens ometablering automatiskt. Varje läge har en implicit omkonfigurering av enheten om enheten inte kan ansluta till IoT Hub under identitetsfördelning på grund av anslutningsfel. Mer information finns i Begrepp för ometablering av IoT Hub-enheter.
Du kan också avkommentera parametern payload för att ange sökvägen till en lokal JSON-fil. Innehållet i filen skickas till DPS som ytterligare data när enheten registreras. Detta är användbart för anpassad allokering. Om du till exempel vill allokera dina enheter baserat på ett IoT Plug and Play-modell-ID utan mänsklig inblandning.
Spara och stäng filen.
Tillämpa de konfigurationsändringar som du har gjort på enheten.
- Ubuntu/Debian/RHEL
- Ubuntu Core snappar
```
sudo iotedge config apply
```
```
sudo snap set azure-iot-edge raw-config="$(cat ~/config.toml)"
```

Kontrollera att installationen har slutförts

Om runtime startar framgångsrikt går du till din IoT Hub och börjar distribuera IoT Edge-moduler till din enhet.

Individuell registrering
Gruppregistrering

Kontrollera att den enskilda registrering som du skapade i enhetsetableringstjänsten används. Gå till din instans av enhetsetableringstjänsten i Azure-portalen. Öppna registreringsinformationen för den enskilda registrering som du skapade. Status för registreringen är tilldelad och enhets-ID är listad.

Kör dessa kommandon på enheten för att kontrollera att IoT Edge har installerats och startats.

Kontrollera status för IoT Edge-tjänsten.
```
sudo iotedge system status
```
Visa tjänstloggar.
```
sudo iotedge system logs
```
Visa en lista över moduler som körs.
```
sudo iotedge list
```

Nästa steg

Med registreringsprocessen för enhetsprovisioneringstjänsten kan du ställa in enhets-ID och enhetstvillingtaggar när du konfigurerar en ny enhet. Använd dessa värden för att rikta in dig på enskilda enheter eller grupper av enheter med automatisk enhetshantering. Lär dig hur du distribuerar och övervakar IoT Edge-moduler i stor skala med hjälp av Azure-portalen eller med Hjälp av Azure CLI.

Feedback

Var den här sidan till hjälp?

Dela via

Skapa och etablera IoT Edge-enheter i stor skala i Linux med hjälp av symmetriska nycklar

Förutsättningar

Molnresurser

Enhetskrav

Skapa en DPS-registrering

Skapa en individuell DPS-registrering

Installera IoT Edge

Installera en containermotor

Installera IoT Edge-körningen

Etablera enheten med dess molnidentitet

Kontrollera att installationen har slutförts

Nästa steg

Feedback

Ytterligare resurser