Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Segurança e escalabilidade são uma prioridade para implantar Operações de IoT do Azure. Este artigo descreve as diretrizes que você deve levar em consideração ao configurar Operações de IoT do Azure para produção.
Decida se você está implantando as Operações do Azure IoT em um cluster de nó único ou de vários nós antes de considerar a configuração apropriada. Muitas das diretrizes neste artigo se aplicam independentemente do tipo de cluster, mas quando há uma diferença, ela é chamada especificamente.
Plataforma
Atualmente, o K3s no Ubuntu 24.04 é a única plataforma em disponibilidade geral para implantar as Operações do Azure IoT em produção.
Configuração do cluster
Verifique se a configuração de hardware é suficiente para seu cenário e se você começa com um ambiente seguro.
Configuração do sistema
Crie um cluster do K3s habilitado para Arc que atenda aos requisitos do sistema.
- Use um ambiente com suporte para as Operações do Azure IoT.
- Configure o cluster de acordo com a documentação.
- Se você espera conectividade intermitente para o cluster, aloque espaço em disco suficiente para as mensagens e os dados de cache do cluster enquanto o cluster estiver offline. As Operações do Azure IoT podem operar offline por no máximo 72 horas.
- Se possível, tenha um segundo cluster como uma área de preparo para testar novas alterações antes de implantar no cluster de produção primário.
- Desative a atualização automática do Azure Arc para ter controle total sobre quando novas atualizações são aplicadas ao seu cluster. Em vez disso, atualize manualmente os agentes conforme necessário.
- Para clusters de vários nós: configure clusters com Volumes de Borda para se preparar para habilitar a tolerância a falhas durante a implantação.
Segurança
Considere as medidas a seguir para garantir que a configuração do cluster esteja segura antes da implantação.
- Valide as imagens para garantir que elas sejam assinadas pela Microsoft.
- Ao fazer criptografia TLS, traga seu próprio emissor e integre-se a uma PKI corporativa.
- Use segredos para autenticação local.
- Use identidades gerenciadas atribuídas pelo usuário para conexões de nuvem.
- Mantenha sua implantação de cluster e das Operações do Azure IoT atualizadas com os últimos patches e versões secundárias para obter todas as correções de segurança e bug disponíveis.
Rede
Se você usar firewalls ou proxies corporativos, adicione os pontos de extremidade de Operações do Azure IoT à sua lista de permissões.
Observabilidade
Para implantações de produção, implante recursos de observabilidade no seu cluster antes de implantar as Operações do Azure IoT. Também recomendamos configurar alertas do Prometheus no Azure Monitor.
Implantação
Para uma implantação pronta para produção, inclua as configurações a seguir durante a implantação das Operações do Azure IoT.
Agente MQTT
No assistente de implantação do portal do Azure, o recurso do agente é configurado na guia Configuração.
Defina as configurações de cardinalidade com base no perfil de memória e nas necessidades para lidar com conexões e mensagens. Por exemplo, as seguintes configurações podem dar suporte a um cluster de nó único ou de vários nós:
Configuração Nó único Vários nós frontendReplicas 1 5 trabalhadores de frontend 4 oito backendRedundancyFactor 2 2 trabalhadores do backend 1 4 backendPartitions 1 5 Perfil de memória Baixo Alto Defina buffer de mensagens com backup de disco com um tamanho máximo que impede o estouro da RAM.
Registro e armazenamento de esquema
No assistente de implantação do portal do Azure, o registro de esquema e sua conta de armazenamento necessária são configurados na guia Gerenciamento de Dependências.
- A conta de armazenamento precisa ter o namespace hierárquico habilitado.
- A identidade gerenciada do registro de esquema precisa ter permissões de colaborador na conta de armazenamento.
- Só há suporte para a conta de armazenamento com o acesso à rede pública habilitado.
Para implantações de produção, restrinja o acesso à rede pública da conta de armazenamento para permitir tráfego somente de serviços confiáveis do Azure. Por exemplo:
- No portal do Azure, navegue até a conta de armazenamento que o registro de esquema usa.
- Selecione Segurança + Rede de rede > no menu de navegação.
- Para a configuração de acesso à rede pública, selecione Habilitado em redes virtuais selecionadas e endereços IP.
- Na seção Exceções da página de rede, verifique se a opção Permitir que serviços confiáveis da Microsoft acessem este recurso está selecionada.
- Selecione Salvar para aplicar as alterações.
Para obter mais informações, consulte Configurar firewalls do Armazenamento do Azure e redes virtuais > Conceder acesso a serviços confiáveis do Azure.
Tolerância a falhas
Clusters de vários nós: a tolerância a falhas pode ser habilitada na guia Gerenciamento de dependências do assistente de implantação do portal do Azure. Só há suporte para ele em clusters de vários nós, e ele é recomendado para implantação de produção.
Configurações seguras
Durante a implantação, você tem a opção de usar configurações de teste ou configurações seguras. Para implantações de produção, escolha configurações seguras. Se você estiver atualizando uma implantação de configurações de teste existente para produção, siga as etapas descritas em Habilitar configurações seguras.
Pós-implantação
Depois de implantar as Operações do Azure IoT, tenha as seguintes configurações em vigor para um cenário de produção.
Agente MQTT
Após a implantação, você pode editar recursos do BrokerListener:
Você também pode editar recursos do BrokerAuthentication.
- Use certificados X.509 ou tokens de conta de serviço do Kubernetes para autenticação.
- Não use nenhuma autenticação.
Ao criar um recurso, gerencie a autorização dele:
- Criar um recurso BrokerAuthorization e fornecer o privilégio mínimo necessário para o ativo de tópico.
Agente OPC UA
Para se conectar a ativos em produção, configure a autenticação OPC UA:
- Não use a opção Sem autenticação. Não há suporte para conectividade com servidores OPC UA sem autenticação.
- Configure uma conexão segura com o servidor OPC UA. Use uma PKI de produção e configurar os certificados de aplicativo e a lista de certificados confiáveis.
Fluxos de dados
Ao usar fluxos de dados em produção:
- Usar a autenticação SAT (token da conta de serviço) com o Agente MQTT (padrão).
- Sempre usado com a autenticação de identidade gerenciada. Quando possível, use a identidade gerenciada atribuída pelo usuário em pontos de extremidade do fluxo de dados para ter flexibilidade e capacidade de auditoria.
- Perfis de fluxo de dados de escala para melhorar a taxa de transferência e ter alta disponibilidade.
- Agrupe vários fluxos de dados em perfis de fluxo de dados e personalize a escala para cada perfil de acordo.