通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

部署详细信息

在部署 Azure IoT 操作之前,在已启用 Azure Arc 的 Kubernetes 群集上安装一套服务。 本文概述了针对你的场景需要考虑的不同部署选项。

支持的环境

支持的 Windows 环境

Microsoft支持在 Windows 上进行 Azure IoT操作部署的以下 Kubernetes 发行版。 下表详细介绍了其支持级别以及Microsoft用于验证部署的版本:

Kubernetes 发行版 Architecture 支持级别 最低验证版本
AKS 边缘软件包 x86_64 公共预览版 AksEdge-K3s-1.29.6-1.8.202.0
Azure Local 上的 AKS x86_64 公共预览版 Azure Stack HCI 操作系统 版本 23H2,版本号 2411
  • 最低验证版本是 Microsoft 用于验证 Azure IoT 操作部署的 Kubernetes 分发的最低版本。

支持的 Linux 环境

Microsoft 支持在 Linux 环境中部署 Azure IoT 操作的以下 Kubernetes 发行版。 下表列出了其支持级别以及用于验证部署Microsoft的版本:

Kubernetes 发行版 Architecture 支持级别 最低验证版本 最低验证的操作系统
K3s x86_64 正式版 1.31.1 Ubuntu 24.04
Tanzu Kubernetes 发行版 (TKr) x86_64 正式版 1.28.11 Tanzu Kubernetes Grid 2.5.2
  • 最低验证版本是 Microsoft 用于验证 Azure IoT 操作部署的 Kubernetes 分发的最低版本。
  • 经过验证的最低作系统版本是Microsoft用于验证部署的最低作系统版本。

重要

对 Azure IoT作部署的支持仅适用于 TKr 版本 1.28.11。

注意

无论支持或可用性级别如何,只要安装了 Azure IoT 操作,任何环境都可收集计费使用情况记录。

要安装 Azure IoT 操作,请满足 Azure IoT 操作的以下硬件要求。 如果使用的是支持容错的多节点群集,请纵向扩展到建议的容量,以提高性能。

规范 最小值 建议
硬件内存容量 (RAM) 16 GB 32 GB
Azure IoT 操作的可用内存 (RAM) 10 GB 取决于使用情况
CPU 4 个 vCPU 8 个 vCPU

注意

仅运行 AIO 时,最小配置是合适的。

选择你的功能

Azure IoT 操作提供两种部署模式。 可以选择使用测试设置进行部署,这是对于评估方案入门来说较为简单的基本功能子集。 或者,可以选择使用安全设置(完整功能集)进行部署。

测试设置部署

只有测试设置的部署具有以下特征:

  • 不配置机密或用户分配的托管标识功能。
  • 旨在为评估目的启用端到端快速入门示例,因此支持 OPC PLC 模拟器,并使用系统分配的托管标识连接到云资源。
  • 可以升级为使用安全设置。

为了获取快速入门体验,可以使用“快速入门:使用 K3s 在 GitHub Codespaces 中运行 Azure IoT 操作”场景。 此场景使用轻量级 Kubernetes 发行版 (K3s) 并在 GitHub Codespaces 中运行,因此无需在本地设置群集或安装任何工具。

若要使用测试设置部署 Azure IoT 操作,请按照以下文章操作:

  1. 首先是准备已启用 Azure Arc 的 Kubernetes 群集,配置并 Arc 启用你的群集。
  2. 然后,按照将 Azure IoT 操作部署到测试群集中的步骤进行操作。

小窍门

可以随时按照“启用安全设置”中的步骤将 Azure IoT 操作实例升级为使用安全设置。

安全设置部署

具有安全设置的部署具有以下特征:

  • 适用于生产就绪方案。
  • 启用机密和用户分配托管标识,它们都是开发生产就绪方案的重要功能。 每当 Azure IoT 操作组件连接到群集外部的资源时,都会使用机密;例如,OPC UA 服务器或数据流终结点。

若要使用安全设置部署 Azure IoT 操作,请按照以下文章操作:

  1. 首先是准备已启用 Azure Arc 的 Kubernetes 群集,配置并 Arc 启用你的群集。
  2. 然后,按照将 Azure IoT 操作部署到生产群集中的步骤进行操作。

所需的权限

下表介绍了需要提升权限的 Azure IoT 操作部署和管理任务。 有关向用户分配角色的信息,请参阅分配 Azure 角色的步骤

任务 必需的权限 注释
部署 Azure IoT 操作 Azure IoT 操作载入角色 此角色具有读取和写入 Azure IoT 操作和 Azure 设备注册表资源所需的所有权限。 此角色具有 Microsoft.Authorization/roleAssignments/write 权限。
注册资源提供程序 订阅级别的参与者角色 每个订阅只需执行一次。 需要注册以下资源提供程序:Microsoft.ExtendedLocationMicrosoft.SecretSyncControllerMicrosoft.KubernetesMicrosoft.KubernetesConfigurationMicrosoft.IoTOperationsMicrosoft.DeviceRegistry
在 Key Vault 中创建机密 资源级别的密钥保管库机密主管角色 仅在进行安全设置部署、用于从 Azure 密钥保管库同步机密时才为必要项。
创建和管理存储帐户 存储帐户参与者角色 对于 Azure IoT 操作部署为必要项。
创建资源组 资源组参与者角色 创建用于存储 Azure IoT 操作资源的资源组的必要项。
将群集加入 Azure Arc Kubernetes 群集 - Azure Arc 加入角色 部署 Azure IoT 操作需要已启用 Arc 的群集。
管理 Azure 资源网桥的部署 Azure 资源网桥部署角色 部署 Azure IoT 操作的必要项。
提供部署权限 已启用 Azure Arc 的 Kubernetes 群集用户角色 向已启用 Azure Arc 的 Kubernetes 群集授予部署权限的必要项。

小窍门

必须在 Azure IoT作实例上启用资源同步规则,才能使用 Akri 服务的自动资产发现功能。 若要了解详细信息,请参阅 什么是 OPC UA 资产发现(预览版)?

如果使用 Azure CLI 分配角色,请使用 az role assignment create 命令授予权限。 例如:az role assignment create --assignee sp_name --role "Role Based Access Control Administrator" --scope subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/MyResourceGroup

如果使用 Azure 门户向用户或主体分配特权管理角色,系统会提示你使用条件来限制访问。 对于这种情况,请在“添加角色分配”页中选择“允许用户分配所有角色”条件

显示在 Azure 门户中为用户分配高特权角色访问权限的屏幕截图。

使用站点整理实例

Azure IoT 操作支持使用 Azure Arc 站点整理实例。 站点 是 Azure 中的一种群集资源,就像资源组,但站点通常按物理位置对实例进行分组,并使 OT 用户更容易找到和管理资产。 IT 管理员创建站点并将其范围限定为订阅或资源组。 然后,部署到已启用 Arc 的群集的任何 Azure IoT 操作会自动收集到与其订阅或资源组关联的站点中

有关详细信息,请参阅什么是 Azure Arc 站点管理员(预览版)?

Azure IoT 操作终结点

如果使用企业防火墙或代理来管理出站流量,请在部署 Azure IoT 操作之前配置以下终结点。

后续步骤

准备已启用 Azure Arc 的 Kubernetes 群集,为 Azure IoT 操作配置并 Arc 启用群集。