Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Säkerhet och skalbarhet är en prioritet för distribution av Azure IoT-åtgärder. Den här artikeln beskriver riktlinjer som du bör ta hänsyn till när du konfigurerar Azure IoT Operations för produktion.
Bestäm om du distribuerar Azure IoT-åtgärder till ett kluster med en nod eller flera noder innan du överväger lämplig konfiguration. Många av riktlinjerna i den här artikeln gäller oavsett klustertyp, men när det finns en skillnad framhävs det specifikt.
Plattform
För närvarande är K3s på Ubuntu 24.04 den enda allmänt tillgängliga plattformen för distribution av Azure IoT Operations i produktion.
Klusterinstallation
Se till att maskinvarukonfigurationen räcker för ditt scenario och att du börjar med en säker miljö.
Systemkonfiguration
Skapa ett Arc-aktiverat K3s-kluster som uppfyller systemkraven.
- Använd en miljö som stöds för Azure IoT Operations.
- Konfigurera klustret enligt dokumentationen.
- Om du förväntar dig en tillfällig anslutning för klustret kontrollerar du att du allokerar tillräckligt med diskutrymme till klustrets cachedata och meddelanden medan klustret är offline. Azure IoT-åtgärder kan fungera offline i högst 72 timmar.
- Om möjligt ska du ha ett andra kluster som mellanlagringsområde för att testa nya ändringar innan du distribuerar till det primära produktionsklustret.
- Inaktivera autouppdateringar för Azure Arc för att få fullständig kontroll över när nya uppdateringar tillämpas på din kluster. Uppgradera i stället agenter manuellt efter behov.
- För kluster med flera noder: Konfigurera kluster med Edge-volymer för att förbereda för aktivering av feltolerans under distributionen.
Säkerhet
Tänk på följande åtgärder för att säkerställa att klusterkonfigurationen är säker före distributionen.
- Verifiera avbildningar för att säkerställa att de är signerade av Microsoft.
- När du gör TLS-kryptering tar du med din egen utfärdare och integrerar med en företags-PKI.
- Använd hemligheter för lokal autentisering.
- Använd användartilldelade hanterade identiteter för molnanslutningar.
- Håll klustret och Azure IoT Operations-distributionen uppdaterade med de senaste korrigeringarna och mindre versioner för att få alla tillgängliga säkerhets- och buggkorrigeringar.
Nätverk
Om du använder företagsbrandväggar eller proxyservrar lägger du till Azure IoT Operations-slutpunkterna i listan över tillåtna .
Överskådlighet
För produktionsdistributioner distribuerar du observerbarhetsresurser i klustret innan du distribuerar Azure IoT Operations. Vi rekommenderar också att du konfigurerar Prometheus-aviseringar i Azure Monitor.
Distribution
För en produktionsklar distribution inkluderar du följande konfigurationer under Azure IoT Operations-distributionen.
MQTT-asynkron meddelandekö
I guiden Azure Portal distribution konfigureras koordinatorresursen på fliken Konfiguration.
Konfigurera kardinalitetsinställningar baserat på minnesprofil och behov för hantering av anslutningar och meddelanden. Följande inställningar kan till exempel ha stöd för ett kluster med en nod eller flera noder:
Inställning En nod Flera noder frontendReplicas 1 5 frontend-arbetare 4 8 backendRedundancyFactor 2 2 bakgrundsarbetare 1 4 backendPartitions 1 5 Minnesprofil Låg Hög Ange en diskbackad meddelandebuffert med en maximal storlek som förhindrar RAM-spill.
Schemaregister och lagring
I guiden Azure Portal distribution konfigureras schemaregistret och dess nödvändiga lagringskonto på fliken Beroendehantering.
- Lagringskontot måste ha hierarkiskt namnområde aktiverat.
- Schemaregistrets hanterade identitet måste ha deltagarbehörighet för lagringskontot.
- Lagringskontot stöds endast med åtkomst till offentligt nätverk aktiverat.
För produktionsdistributioner omfångsbegränsar du lagringskontots offentliga nätverksåtkomst så att endast trafik tillåts från betrodda Azure-tjänster. Till exempel:
- Gå till det lagringskonto som ditt schemaregister använder i Azure-portalen.
- Välj Säkerhet + nätverk > Nätverk på navigeringsmenyn.
- Som åtkomstinställning för offentligt nätverk väljer du Aktiverad från valda virtuella nätverk och IP-adresser.
- I avsnittet Undantag på nätverkssidan kontrollerar du att alternativet Tillåt betrodda Microsoft-tjänster att komma åt den här resursen är markerat.
- Välj Spara för att tillämpa ändringarna.
Mer information finns i Konfigurera Azure Storage-brandväggar och virtuella nätverk > Bevilja åtkomst till betrodda Azure-tjänster.
Feltolerans
Kluster med flera noder: Feltolerans kan aktiveras på fliken Beroendehantering i distributionsguiden för Azure Portal. Det stöds bara i kluster med flera noder och rekommenderas för produktionsdistribution.
Säkra inställningar
Under distributionen har du möjlighet att använda testinställningar eller säkra inställningar. För produktionsdistributioner väljer du säkra inställningar. Om du uppgraderar en befintlig distribution av testinställningar för produktion följer du stegen i Aktivera säkra inställningar.
Efterdistribution
När du har distribuerat Azure IoT Operations har du följande konfigurationer på plats för ett produktionsscenario.
MQTT-asynkron meddelandekö
Efter distributionen kan du redigera BrokerListener-resurser:
- Konfigurera TLS med automatisk certifikathantering för lyssnare.
Du kan också redigera BrokerAuthentication-resurser.
- Använd X.509-certifikat eller Kubernetes-tjänstkontotoken för autentisering.
- Använd inte no-auth.
När du skapar en ny resurs hanterar du dess auktorisering:
- Skapa en BrokerAuthorization-resurs och ge den lägsta behörighet som krävs för ämnestillgången.
OPC UA-mäklare
Konfigurera OPC UA-autentisering för att ansluta till tillgångar i produktion:
- Använd inte no-auth. Anslutning till OPC UA-servrar stöds inte utan autentisering.
- Konfigurera en säker anslutning till OPC UA-servern. Använd en PKI för produktion och konfigurera programcertifikat och förtroendelista.
Dataflöden
När du använder dataflöden i produktion:
- Använd autentisering med tjänstkontotoken (SAT) med MQTT-koordinatorn (standard).
- Använd alltid hanterad identitetsautentisering. Använd när det är möjligt användartilldelad hanterad identitet i dataflödesslutpunkter för flexibilitet och granskning.
- Skala dataflödesprofiler för att förbättra dataflödet och ha hög tillgänglighet.
- Gruppera flera dataflöden i dataflödesprofiler och anpassa skalning för varje profil i enlighet med detta.