Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
La sécurité et la scalabilité sont essentielles pour le déploiement d’Opérations Azure IoT. Cet article décrit les instructions que vous devez suivre lors de la configuration d’Opérations Azure IoT pour la production.
Avant d’envisager la configuration appropriée, déterminez si vous déployez Opérations Azure IoT sur un cluster à nœud unique ou à plusieurs nœuds. La plupart des directives de cet article s'appliquent indépendamment du type de cluster, mais lorsque des différences existent, elles sont spécifiquement indiquées.
Plateforme
Actuellement, K3s sur Ubuntu 24.04 est la seule plateforme généralement disponible pour le déploiement d’Opérations Azure IoT en production.
Configuration des clusters
Vérifiez que votre configuration matérielle est suffisante pour votre scénario et que vous commencez avec un environnement sécurisé.
Configuration système
Créez un cluster K3s avec Arc qui répond aux conditions minimales concernant le système.
- Utilisez un environnement pris en charge pour les opérations Azure IoT.
- Configurez le cluster en fonction de la documentation.
- Si vous attendez une connectivité intermittente pour votre cluster, veillez à allouer suffisamment d’espace disque aux données et messages du cache du cluster pendant que le cluster est hors connexion. Les opérations Azure IoT peuvent fonctionner hors connexion pendant un maximum de 72 heures.
- Si possible, prévoyez un deuxième cluster en tant que zone de transit pour tester les nouvelles modifications avant le déploiement sur le cluster de production principal.
- Désactivez la mise à niveau automatique pour Qu’Azure Arc dispose d’un contrôle total sur le moment où de nouvelles mises à jour sont appliquées à votre cluster. Au lieu de cela, mettez à niveau manuellement les agents selon les besoins.
- Pour les clusters à plusieurs nœuds : configurez des clusters avec des volumes Edge pour préparer l’activation de la tolérance de panne pendant le déploiement.
Sécurité
Tenez compte des mesures suivantes pour vous assurer que la configuration de votre cluster est sécurisée avant le déploiement.
- Validez les images pour vous assurer qu’elles sont signées par Microsoft.
- Lorsque vous effectuez un chiffrement TLS, apportez votre propre émetteur et intégrez-le à une infrastructure à clé publique d’entreprise.
- Utilisez des secrets pour l’authentification locale.
- Utilisez des identités gérées par l'utilisateur pour les connexions au cloud.
- Maintenez votre cluster et votre déploiement Opérations Azure IoT à jour avec les derniers correctifs et les dernières versions mineures pour obtenir tous les correctifs de sécurité et de bogues disponibles.
Réseau
Si vous utilisez des pare-feu d’entreprise ou des proxys, ajoutez les points de terminaison Azure IoT Operations à votre liste d'autorisation.
Observabilité
Pour les déploiements de production, déployez des ressources d’observabilité sur votre cluster avant de déployer Azure IoT Operations. Nous vous recommandons également de configurer des alertes Prometheus dans Azure Monitor.
Déploiement
Pour un déploiement prêt pour la production, incluez les configurations suivantes lors du déploiement d’Opérations Azure IoT.
Répartiteur MQTT
Dans l’Assistant Déploiement du portail Azure, la ressource broker est configurée dans l’onglet Configuration .
Configurez les paramètres de cardinalité en fonction du profil mémoire et des besoins en matière de gestion des connexions et des messages. Par exemple, les paramètres suivants peuvent prendre en charge un cluster à nœud unique ou à plusieurs nœuds :
Réglage Nœud unique Nœud multiple frontendReplicas 1 5 Travailleurs du front-end 4 8 backendRedundancyFactor 2 2 travailleurs en arrière-plan 1 4 backendPartitions 1 5 Profil de mémoire Faible Élevé Définissez la mémoire tampon de message sauvegardée sur disque avec une taille maximale qui empêche le dépassement de mémoire ram.
Registre de schémas et stockage
Dans l’Assistant Déploiement du portail Azure, le registre de schémas et son compte de stockage requis sont configurés dans l’onglet Gestion des dépendances .
- L’espace de noms hiérarchique doit être activé pour les comptes de stockage.
- L’identité managée du registre de schémas doit avoir des autorisations de contributeur pour le compte de stockage.
- Le compte de stockage est uniquement pris en charge avec l’accès réseau public activé.
Pour les déploiements de production, étendez l’accès au réseau public du compte de stockage pour autoriser le trafic uniquement à partir de services Azure approuvés. Par exemple:
- Dans le portail Azure, accédez au compte de stockage que votre registre de schémas utilise.
- Sélectionnez Sécurité + mise en réseau > dans le menu de navigation.
- Pour le paramètre d’accès au réseau public, sélectionnez Activé à partir de réseaux virtuels et d’adresses IP sélectionnés.
- Dans la section Exceptions de la page réseau, vérifiez que l’option Autoriser les services Microsoft approuvés à accéder à cette option de ressource est sélectionnée.
- Sélectionnez Enregistrer pour appliquer les modifications.
Pour plus d’informations, consultez >. Accordez l’accès aux services Azure approuvés.
Tolérance de panne
Clusters à plusieurs nœuds : la tolérance de panne peut être activée dans l’onglet Gestion des dépendances de l’Assistant Déploiement du portail Azure. Elle est uniquement prise en charge sur les clusters à plusieurs nœuds et est recommandée pour le déploiement en production.
Paramètres sécurisés
Pendant le déploiement, vous avez la possibilité d’utiliser des paramètres de test ou des paramètres sécurisés. Pour les déploiements de production, choisissez les paramètres sécurisés. Si vous mettez à niveau un déploiement de paramètres de test existant pour la production, suivez les étapes décrites dans Activer les paramètres sécurisés.
Postdéploiement
Après avoir déployé Opérations Azure IoT, effectuez les configurations suivantes pour un scénario de production.
Répartiteur MQTT
Après le déploiement, vous pouvez modifier les ressources BrokerListener :
- Configurez TLS avec la gestion automatique des certificats pour les écouteurs.
Vous pouvez également modifier les ressources BrokerAuthentication.
- Utilisez des certificats X.509 ou des jetons de compte de service Kubernetes pour l’authentification.
- N’utilisez pas le mode sans authentification.
Lorsque vous créez une ressource, gérez son autorisation :
- Créez une ressource BrokerAuthorization et accordez uniquement les autorisations minimales nécessaires pour l'actif de la rubrique.
Agent OPC UA
Pour la connexion aux ressources en production, configurez l’authentification OPC UA :
- Ne l’utilisez pas sans authentification. La connectivité aux serveurs OPC UA n’est pas prise en charge sans authentification.
- Configurez une connexion sécurisée au serveur OPC UA. Utilisez une infrastructure à clé publique de production et configurez des certificats d’application et une liste d’approbations.
Flux de données
Lors de l’utilisation de flux de données en production :
- Utilisez l’authentification par jeton de compte de service (SAT) avec le répartiteur MQTT (par défaut).
- Utilisez toujours l’authentification par identité managée. Si possible, utilisez l’identité managée affectée par l’utilisateur dans les points de terminaison de flux de données pour la flexibilité et l’audit.
- Mettre à l’échelle des profils de flux de données pour améliorer le débit et disposer d’une haute disponibilité.
- Regroupez plusieurs flux de données dans des profils de flux de données et personnalisez la mise à l’échelle en conséquence pour chaque profil.