Preparar seu cluster Kubernetes habilitado para Azure Arc

Para preparar um cluster Kubernetes habilitado para Azure Arc, você precisa:

• Uma assinatura do Azure com a função Proprietário ou uma combinação de funções de Colaborador e Administrador de Acesso de Usuário. Pode verificar o seu nível de acesso navegando até à sua subscrição, selecionando Controlo de acesso (IAM) no lado esquerdo do portal do Azure e, em seguida, selecionando Ver o meu acesso. Se você não tiver uma assinatura do Azure, crie uma gratuitamente antes de começar.

• Um grupo de recursos do Azure. Apenas uma instância do Azure IoT Operations é suportada por grupo de recursos. Para criar um novo grupo de recursos, use o comando az group create . Para obter a lista de regiões do Azure atualmente suportadas, consulte Regiões suportadas.

  az group create --location <REGION> --resource-group <RESOURCE_GROUP> --subscription <SUBSCRIPTION_ID>
  

• Azure CLI versão 2.62.0 ou mais recente instalada em sua máquina de cluster. Utilize az --version para verificar a sua versão e az upgrade para atualizar, se necessário. Para obter mais informações, consulte Como instalar a CLI do Azure.

• A versão mais recente da extensão connectedk8s para a CLI do Azure:

  az extension add --upgrade --name connectedk8s
  

• Hardware que atende aos requisitos do sistema:

  • Ambientes suportados pelas Operações IoT do Azure.
  • Requisitos de sistema do Kubernetes habilitado para Azure Arc.
  • Requisitos K3s.

• Se você vai implantar o Azure IoT Operations em um cluster de vários nós com tolerância a falhas habilitada, revise os requisitos de hardware e armazenamento em Preparar Linux para Volumes de Borda.

Para preparar um cluster Kubernetes habilitado para Azure Arc, você precisa:

• Uma assinatura do Azure. Se você não tiver uma assinatura do Azure, crie uma gratuitamente antes de começar.

• Hardware que atende aos requisitos do sistema:

  • Ambientes suportados pelas Operações IoT do Azure.
  • Requisitos de sistema do Kubernetes habilitado para Azure Arc.
  • Matriz de suporte e requisitos do AKS Edge Essentials.
  • Orientação de rede do AKS Edge Essentials.

Para preparar um cluster Kubernetes habilitado para Azure Arc, você precisa:

• Uma assinatura do Azure. Se você não tiver uma assinatura do Azure, crie uma gratuitamente antes de começar.

• Um servidor ou cluster Local do Azure.

• Hardware que atende aos requisitos do sistema:

  • Ambientes suportados pelas Operações IoT do Azure.
  • Requisitos de sistema do Kubernetes habilitado para Azure Arc.

Para preparar um cluster de carga de trabalho TKG, você precisa:

• Uma assinatura do Azure com a função Proprietário ou uma combinação de funções de Colaborador e Administrador de Acesso de Usuário. Pode verificar o seu nível de acesso navegando até à sua subscrição, selecionando Controlo de acesso (IAM) no lado esquerdo do portal do Azure e, em seguida, selecionando Ver o meu acesso. Se você não tiver uma assinatura do Azure, crie uma gratuitamente antes de começar.

• Um grupo de recursos do Azure. Apenas uma instância do Azure IoT Operations é suportada por grupo de recursos. Para criar um novo grupo de recursos, use o comando az group create . Para obter a lista de regiões do Azure atualmente suportadas, consulte Regiões suportadas.

  az group create --location <REGION> --resource-group <RESOURCE_GROUP> --subscription <SUBSCRIPTION_ID>
  

• Azure CLI versão 2.62.0 ou mais recente instalada em sua máquina de cluster. Utilize az --version para verificar a sua versão e az upgrade para atualizar, se necessário. Para obter mais informações, consulte Como instalar a CLI do Azure.

• A versão mais recente da extensão connectedk8s para a CLI do Azure:

  az extension add --upgrade --name connectedk8s
  

• TKG com um cluster de gerenciamento autônomo.

• Hardware que atende aos requisitos do sistema:

  • Ambientes suportados pelas Operações IoT do Azure.

  • Requisitos de sistema do Kubernetes habilitado para Azure Arc.

  • Requisitos do cluster de gerenciamento autônomo TKG.

Para preparar um cluster K3s Kubernetes no Ubuntu:

1. Crie um cluster K3s de nó único ou de vários nós. Para exemplos, consulte o guia de início rápido do K3s ou projetos relacionados ao K3s.

2. Verifique se o kubectl foi instalado como parte do K3s. Caso contrário, siga as instruções para Instalar o kubectl no Linux.

   kubectl version --client
   

3. Siga as instruções para instalar o Helm.

4. Crie um arquivo yaml de configuração do K3s em .kube/config:

   mkdir ~/.kube
   sudo KUBECONFIG=~/.kube/config:/etc/rancher/k3s/k3s.yaml kubectl config view --flatten > ~/.kube/merged
   mv ~/.kube/merged ~/.kube/config
   chmod  0600 ~/.kube/config
   export KUBECONFIG=~/.kube/config
   #switch to k3s context
   kubectl config use-context default
   sudo chmod 644 /etc/rancher/k3s/k3s.yaml
   

5. Execute o seguinte comando para aumentar os limites de observação/instância do usuário.

   echo fs.inotify.max_user_instances=8192 | sudo tee -a /etc/sysctl.conf
   echo fs.inotify.max_user_watches=524288 | sudo tee -a /etc/sysctl.conf
   
   sudo sysctl -p
   

6. Para um melhor desempenho, aumente o limite do descritor de ficheiros:

   echo fs.file-max = 100000 | sudo tee -a /etc/sysctl.conf
   
   sudo sysctl -p
   

Ativar Arc no seu cluster

Conecte seu cluster ao Azure Arc para que ele possa ser gerenciado remotamente.

1. Em uma máquina que tenha kubectl acesso ao cluster, entre na CLI do Azure com sua conta de usuário do Microsoft Entra que tem a(s) função(ões) necessária(s) para a assinatura do Azure:

   az login
   

   Se, em algum momento, você receber um erro dizendo que seu dispositivo precisa ser gerenciado para acessar seu recurso, execute az login novamente e certifique-se de entrar interativamente com um navegador.

2. Depois de entrar, a CLI do Azure exibe todas as suas assinaturas e indica sua assinatura padrão com um asterisco *. Para continuar com sua assinatura padrão, selecione Enter. Caso contrário, digite o número da assinatura do Azure que você deseja usar.

3. Registe os fornecedores de recursos necessários na sua subscrição.

   Observação

   Esta etapa só precisa ser executada uma vez por assinatura. Para registar provedores de recursos, é necessário ter permissão para executar a /register/action operação, que está incluída nos papéis de Colaborador e Proprietário da subscrição. Para obter mais informações, consulte Tipos e provedores de recursos do Azure.

   az provider register -n "Microsoft.ExtendedLocation"
   az provider register -n "Microsoft.Kubernetes"
   az provider register -n "Microsoft.KubernetesConfiguration"
   az provider register -n "Microsoft.IoTOperations"
   az provider register -n "Microsoft.DeviceRegistry"
   az provider register -n "Microsoft.SecretSyncController"
   

4. Use o comando az connectedk8s connect para habilitar seu cluster Kubernetes e gerenciá-lo como parte do seu grupo de recursos do Azure.

   az connectedk8s connect --name <CLUSTER_NAME> -l <REGION> --resource-group <RESOURCE_GROUP> --subscription <SUBSCRIPTION_ID> --enable-oidc-issuer --enable-workload-identity --disable-auto-upgrade
   

   Para evitar atualizações não planejadas para o Azure Arc e as extensões de arco do sistema que o Azure IoT Operations usa como dependências, este comando desabilita a atualização automática. Em vez disso, atualize manualmente os agentes conforme necessário.

   Importante

   Se seu ambiente usa um servidor proxy ou o Azure Arc Gateway, modifique o comando com suas informações de az connectedk8s connect proxy:

   1. Siga as instruções em Conectar usando um servidor proxy de saída ou Integrar clusters Kubernetes ao Azure Arc com o Azure Arc Gateway.
   2. Adicione 169.254.169.254 ao --proxy-skip-range parâmetro do az connectedk8s connect comando. O Registro de Dispositivo do Azure usa esse ponto de extremidade local para obter tokens de acesso para autorização.

   O Azure IoT Operations não oferece suporte a servidores proxy que exigem um certificado confiável.

5. Obtenha a URL do emissor do cluster.

   az connectedk8s show --resource-group <RESOURCE_GROUP> --name <CLUSTER_NAME> --query oidcIssuerProfile.issuerUrl --output tsv
   

   Salve a saída deste comando para usar nas próximas etapas.

6. Crie um arquivo de configuração do k3s.

   sudo nano /etc/rancher/k3s/config.yaml
   

7. Adicione o seguinte conteúdo ao arquivo config.yaml, substituindo o marcador de posição <SERVICE_ACCOUNT_ISSUER> pela URL do emissor do cluster.

   kube-apiserver-arg:
    - service-account-issuer=<SERVICE_ACCOUNT_ISSUER>
    - service-account-max-token-expiration=24h
   

8. Salve o arquivo e saia do editor nano.

9. Prepare-se para habilitar o serviço Azure Arc, local personalizado, em seu cluster Arc obtendo a ID do objeto de local personalizado e salvando-a como a variável de ambiente, OBJECT_ID. Você deve estar conectado à CLI do Azure com uma conta de usuário do Microsoft Entra para executar o comando com sucesso, não um principal de serviço. Execute o seguinte comando exatamente como escrito, sem alterar o valor do GUID.

   export OBJECT_ID=$(az ad sp show --id bc313c14-388c-4e7d-a58e-70017303ee3b --query id -o tsv)
   

   Observação

   Se receberes o erro: "Não é possível obter o oid da aplicação 'custom-locations'. Prosseguindo sem ativar o recurso. Privilégios insuficientes para concluir a operação", então sua entidade de serviço pode não ter as permissões necessárias para recuperar a ID do objeto do local personalizado. Faça logon na CLI do Azure com uma conta de usuário do Microsoft Entra que atenda aos pré-requisitos. Para obter mais informações, consulte Criar e gerenciar locais personalizados.

10. Use o comando az connectedk8s enable-features para habilitar o recurso de localização personalizada em seu cluster Arc. Este comando usa a variável de ambiente OBJECT_ID salva da etapa anterior para definir o valor para o parâmetro custom-locations-oid. Execute este comando na máquina onde você implantou o cluster Kubernetes:

    az connectedk8s enable-features -n <CLUSTER_NAME> -g <RESOURCE_GROUP> --custom-locations-oid $OBJECT_ID --features cluster-connect custom-locations
    

11. Reinicie o K3s.

    systemctl restart k3s
    

Configure clusters de múltiplos nós para o Azure Container Storage ativado pelo Azure Arc

Funcionalidades como o fluxo de dados, endpoints de armazenamento local e o conector de media utilizam opcionalmente o Azure Container Storage ativado pelo Azure Arc (ACSA) para sincronizar dados locais para a cloud. O ACSA não está instalado como parte do Azure IoT Operations, por isso deve instalá-lo separadamente.

Em clusters Ubuntu com vários nós e pelo menos três nós, pode ativar a tolerância a falhas para armazenamento ACSA. Para habilitar a tolerância a falhas durante o desdobramento, siga os passos em Preparar Linux para Volumes de Borda usando um cluster multi-nós do Ubuntu para configurar o seu cluster.

Se você estiver executando seu cluster em uma distribuição Kubernetes diferente do k3s, revise as orientações para Preparar o Linux com outras plataformas.

O Azure Kubernetes Service Edge Essentials é uma implementação Kubernetes local do Serviço Kubernetes do Azure (AKS) que automatiza a execução de aplicativos em contêineres em escala. O AKS Edge Essentials inclui uma plataforma Kubernetes suportada pela Microsoft que inclui uma distribuição Kubernetes leve com uma pegada pequena e uma experiência de instalação simples que suporta hardware de borda "leve" ou de classe PC.

O script AksEdgeQuickStartForAio.ps1 automatiza o processo de criação e conexão de um cluster e é o caminho recomendado para implantar as Operações do Azure IoT no AKS Edge Essentials.

Para obter instruções sobre como executar o script, consulte Configurar um cluster do AKS Edge Essentials para Operações IoT do Azure.

• Para obter instruções sobre como criar e habilitar um cluster AKS no Azure Local, consulte Criar clusters Kubernetes usando a CLI do Azure.
• Para obter instruções sobre como implantar um cluster AKS no Azure Local com a identidade da carga de trabalho (visualização) habilitada para segurança aprimorada, consulte Implantar e configurar a identidade da carga de trabalho em um cluster AKS. O recurso de identidade da carga de trabalho pode ser habilitado somente durante a criação do cluster. A execução das Operações do Azure IoT com configurações seguras requer identidade de carga de trabalho.

Por padrão, um cluster Kubernetes é criado com um pool de nós que pode executar contêineres Linux. Se você adicionar mais pools de nós após a criação, verifique se o sistema operacional está configurado para Linux. O Azure IoT Operations não oferece suporte à implantação em nós do Windows.

Em seguida, depois de ter um cluster Kubernetes habilitado para Azure Arc, você pode implantar as Operações IoT do Azure.

Para preparar um cluster de carga de trabalho TKG, você precisa:

• Um cluster de carga de trabalho TKG de nó único ou de vários nós. Para obter orientação, consulte a documentação do Tanzu.

Atualizar configurações de autorização de segurança dos pods

Antes de implantar as Operações do Azure IoT, você precisará atualizar as configurações de Admissão de Segurança do Pod em seu cluster TKG. A aplicação desse arquivo pré-criará rótulos de namespace e definirá a segurança do pod como privileged.

kubectl apply -f https://raw.githubusercontent.com/Azure-Samples/explore-iot-operations/main/samples/tanzu-config/psa.yaml

Ativar Arc no seu cluster

Conecte seu cluster ao Azure Arc para que ele possa ser gerenciado remotamente.

1. Na máquina onde você implantou o cluster Kubernetes, entre na CLI do Azure com sua conta de usuário do Microsoft Entra que tem a(s) função(ões) necessária(s) para a assinatura do Azure:

   az login
   

2. Depois de entrar, a CLI do Azure exibe todas as suas assinaturas e indica sua assinatura padrão com um asterisco *. Para continuar com sua assinatura padrão, selecione Enter. Caso contrário, digite o número da assinatura do Azure que você deseja usar.

3. Registe os fornecedores de recursos necessários na sua subscrição.

   Observação

   Esta etapa só precisa ser executada uma vez por assinatura. Para registar provedores de recursos, é necessário ter permissão para executar a /register/action operação, que está incluída nos papéis de Colaborador e Proprietário da subscrição. Para obter mais informações, consulte Tipos e provedores de recursos do Azure.

   az provider register -n "Microsoft.ExtendedLocation"
   az provider register -n "Microsoft.Kubernetes"
   az provider register -n "Microsoft.KubernetesConfiguration"
   az provider register -n "Microsoft.IoTOperations"
   az provider register -n "Microsoft.DeviceRegistry"
   az provider register -n "Microsoft.SecretSyncController"
   

4. Use o comando az connectedk8s connect para habilitar seu cluster Kubernetes e gerenciá-lo como parte do seu grupo de recursos do Azure.

   az connectedk8s connect --name <CLUSTER_NAME> -l <REGION> --resource-group <RESOURCE_GROUP> --subscription <SUBSCRIPTION_ID> --enable-oidc-issuer --enable-workload-identity --disable-auto-upgrade
   

   Para evitar atualizações não planejadas para o Azure Arc e as extensões de arco do sistema que o Azure IoT Operations usa como dependências, este comando desabilita a atualização automática. Em vez disso, atualize manualmente os agentes conforme necessário.

   Importante

   Se seu ambiente usa um servidor proxy ou o Azure Arc Gateway, modifique o comando com suas informações de az connectedk8s connect proxy:

   1. Siga as instruções em Conectar usando um servidor proxy de saída ou Integrar clusters Kubernetes ao Azure Arc com o Azure Arc Gateway.
   2. Adicione 169.254.169.254 ao --proxy-skip-range parâmetro do az connectedk8s connect comando. O Registro de Dispositivo do Azure usa esse ponto de extremidade local para obter tokens de acesso para autorização.

   O Azure IoT Operations não oferece suporte a servidores proxy que exigem um certificado confiável.

5. Obtenha a URL do emissor do cluster.

   az connectedk8s show --resource-group <RESOURCE_GROUP> --name <CLUSTER_NAME> --query oidcIssuerProfile.issuerUrl --output tsv
   

Salve a saída deste comando para usar nas próximas etapas.

1. Conecte-se ao cluster de gerenciamento TKG. Edite o recurso personalizado para o agrupamento de carga com a URL da entidade emissora da etapa anterior.

   kubectl edit cluster <CLUSTER_NAME> 
   

2. Adicione o seguinte conteúdo ao config.yaml arquivo, substituindo o espaço reservado OIDC_ISSUER_URL <> pela URL do emissor do cluster.

   Observação

   O URL deve ser copiado exatamente como impresso pelo comando anterior, incluindo quaisquer caracteres como /.

   - name: apiServerExtraArgs
     value: {"service-account-issuer":"<OIDC_ISSUER_URL>"}
   

3. Prepare-se para habilitar o serviço Azure Arc, local personalizado, em seu cluster Arc obtendo a ID do objeto de local personalizado e salvando-a como a variável de ambiente, OBJECT_ID. Você deve estar conectado à CLI do Azure com uma conta de usuário do Microsoft Entra para executar o comando com sucesso, não um principal de serviço. Execute o seguinte comando exatamente como escrito, sem alterar o valor do GUID.

   export OBJECT_ID=$(az ad sp show --id bc313c14-388c-4e7d-a58e-70017303ee3b --query id -o tsv)
   

   Observação

   Se receberes o erro: "Não é possível obter o oid da aplicação 'custom-locations'. Prosseguindo sem ativar o recurso. Privilégios insuficientes para concluir a operação", então sua entidade de serviço pode não ter as permissões necessárias para recuperar a ID do objeto do local personalizado. Faça logon na CLI do Azure com uma conta de usuário do Microsoft Entra que atenda aos pré-requisitos. Para obter mais informações, consulte Criar e gerenciar locais personalizados.

4. Use o comando az connectedk8s enable-features para habilitar o recurso de localização personalizada em seu cluster Arc. Este comando usa a variável de ambiente OBJECT_ID salva da etapa anterior para definir o valor para o parâmetro custom-locations-oid. Execute este comando na máquina onde você implantou o cluster Kubernetes:

   az connectedk8s enable-features -n <CLUSTER_NAME> -g <RESOURCE_GROUP> --custom-locations-oid $OBJECT_ID --features cluster-connect custom-locations