Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Segurança e escalabilidade são uma prioridade para implantar as Operações do Azure IoT. Este artigo descreve diretrizes que você deve levar em consideração ao configurar o Azure IoT Operations para produção.
Decida se você está implantando o Azure IoT Operations em um cluster de nó único ou de vários nós antes de considerar a configuração apropriada. Muitas das diretrizes neste artigo se aplicam independentemente do tipo de cluster, mas quando há uma diferença, ela é destacada especificamente.
Plataforma
Atualmente, o K3s no Ubuntu 24.04 é a única plataforma geralmente disponível para implantar o Azure IoT Operations em produção.
Configuração do cluster
Certifique-se de que a configuração de hardware é suficiente para o cenário e que você começa com um ambiente seguro.
Configuração do sistema
Crie um cluster K3s habilitado para Arc que atenda aos requisitos do sistema.
- Use um ambiente com suporte para Operações do Azure IoT.
- Configure o cluster de acordo com a documentação.
- Se você espera conectividade intermitente para seu cluster, certifique-se de alocar espaço em disco suficiente para o cluster armazenar em cache dados e mensagens enquanto o cluster estiver offline. As Operações IoT do Azure podem operar offline por um máximo de 72 horas.
- Se possível, tenha um segundo cluster como área de preparação para testar novas alterações antes de implantar no cluster de produção primária.
- Desative a atualização automática para o Azure Arc para ter controle total sobre quando novas atualizações são aplicadas ao seu cluster. Em vez disso, atualize manualmente os agentes conforme necessário.
- Para clusters de vários nós: configure clusters com Volumes de Borda para se preparar para habilitar a tolerância a falhas durante a implantação.
Segurança
Considere as seguintes medidas para garantir que a configuração do cluster seja segura antes da implantação.
- Valide as imagens para garantir que estão assinadas pela Microsoft.
- Ao fazer criptografia TLS, traga seu próprio emissor e integre-se a uma PKI corporativa.
- Use segredos para autenticação local.
- Use identidades gerenciadas atribuídas pelo usuário para conexões de nuvem.
- Mantenha seu cluster e a implantação das Operações IoT do Azure atualizadas com os patches e versões secundárias mais recentes para obter todas as correções de segurança e bugs disponíveis.
Rede
Se usar firewalls empresariais ou proxies, adicione os endereços Azure IoT Operations à sua lista de permissões.
Observabilidade
Para implantações de produção, implante recursos de observabilidade em seu cluster antes de implantar as Operações do Azure IoT. Também recomendamos configurar alertas do Prometheus no Azure Monitor.
Implementação
Para uma implantação pronta para produção, inclua as seguintes configurações durante a implantação do Azure IoT Operations.
Broker MQTT
No assistente de implantação do portal do Azure, o recurso de agente é configurado na guia Configuração .
Configure as configurações de cardinalidade com base no perfil de memória e nas necessidades para lidar com conexões e mensagens. Por exemplo, as seguintes configurações podem oferecer suporte a um cluster de nó único ou de vários nós:
Definição Nó único Vários nós frontendRéplicas 1 5 frontendTrabalhadores 4 8 backendRedundancyFactor 2 2 backendTrabalhadores 1 4 backendPartições 1 5 Perfil de memória Baixa Alta Criptografe o tráfego interno.
Defina o buffer de mensagens com backup de disco com um tamanho máximo que impede o estouro de RAM.
Registro e armazenamento de esquema
No assistente de implantação do portal do Azure, o registro de esquema e sua conta de armazenamento necessária são configurados na guia Gerenciamento de dependência.
- A conta de armazenamento deve ter o namespace hierárquico habilitado.
- A identidade gerenciada do registro de esquema deve ter permissões de colaborador para a conta de armazenamento.
- A conta de armazenamento só é suportada com o acesso à rede pública ativado.
Para implantações de produção, defina o escopo do acesso à rede pública da conta de armazenamento para permitir o tráfego somente de serviços confiáveis do Azure. Por exemplo:
- No portal do Azure, navegue até a conta de armazenamento usada pelo registro do esquema.
- Selecione Segurança + rede > Rede no menu de navegação.
- Para a configuração de acesso à rede pública, selecione Habilitado em redes virtuais e endereços IP selecionados.
- Na seção Exceções da página de rede, verifique se a opção Permitir que serviços confiáveis da Microsoft acessem este recurso está selecionada.
- Selecione Guardar para aplicar as alterações.
Para obter mais informações, consulte Configurar firewalls de armazenamento do Azure e redes > virtuais Conceder acesso a serviços confiáveis do Azure.
Tolerância a falhas
Clusters de vários nós: a tolerância a falhas pode ser habilitada na guia Gerenciamento de dependência do assistente de implantação do portal do Azure. Ele só é suportado em clusters de vários nós e é recomendado para implantação de produção.
Configurações seguras
Durante a implantação, você tem a opção de usar configurações de teste ou configurações seguras. Para implantações de produção, escolha configurações seguras. Se você estiver atualizando uma implantação de configurações de teste existente para produção, siga as etapas em Habilitar configurações seguras.
Pós-implementação
Depois de implantar as Operações do Azure IoT, tenha as seguintes configurações em vigor para um cenário de produção.
Broker MQTT
Após a implantação, você pode editar os recursos do BrokerListener:
- Configure o TLS com o gerenciamento automático de certificados para ouvintes.
Você também pode editar recursos BrokerAuthentication.
- Use certificados X.509 ou tokens de conta de serviço Kubernetes para autenticação.
- Não use no-auth.
Ao criar um novo recurso, gerencie sua autorização:
- Crie um recurso BrokerAuthorization e forneça o menor privilégio necessário para o ativo de tópico.
Corretor OPC UA
Para se conectar a ativos na produção, configure a autenticação OPC UA:
- Não use no-auth. A conectividade com servidores OPC UA não é suportada sem autenticação.
- Configure uma conexão segura com o servidor OPC UA. Use uma PKI de produção e configure certificados de aplicativo e lista de confiança.
Fluxos de dados
Ao usar fluxos de dados na produção:
- Use a autenticação de token de conta de serviço (SAT) com o broker MQTT (padrão).
- Sempre usou autenticação de identidade gerenciada. Sempre que possível, use a identidade gerenciada atribuída pelo usuário em pontos de extremidade de fluxo de dados para flexibilidade e auditabilidade.
- Dimensione perfis de fluxo de dados para melhorar a taxa de transferência e ter alta disponibilidade.
- Agrupe vários fluxos de dados em perfis de fluxo de dados e personalize o dimensionamento para cada perfil de acordo.