Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Al implementar Azure IoT Operations, se instala un conjunto de servicios en un clúster de Kubernetes habilitado para Azure Arc. En este artículo se proporciona información general sobre las distintas opciones de implementación que se deben tener en cuenta para su escenario.
Entornos admitidos
Entornos de Windows admitidos
Microsoft admite las siguientes distribuciones de Kubernetes para Azure IoT Operations implementaciones en Windows. En la tabla siguiente se detallan sus niveles de soporte técnico y las versiones que Usa Microsoft para validar las implementaciones:
| Distribución de Kubernetes | Architecture | Nivel de soporte | Versión mínima validada |
|---|---|---|---|
| AKS Edge Essentials | x86_64 | Versión preliminar pública | AksEdge-K3s-1.29.6-1.8.202.0 |
| AKS en Azure Local | x86_64 | Versión preliminar pública | Azure Stack sistema operativo HCI, versión 23H2, compilación 2411 |
- La versión validada minimum es la versión más baja de la distribución de Kubernetes que Microsoft usa para validar las implementaciones de Azure IoT Operations.
Entornos de Linux admitidos
Microsoft admite las siguientes distribuciones de Kubernetes para las implementaciones de Azure IoT Operations en entornos de Linux. En la tabla siguiente se enumeran sus niveles de soporte técnico y las versiones que Usa Microsoft para validar las implementaciones:
| Distribución de Kubernetes | Architecture | Nivel de soporte | Versión mínima validada | Sistema operativo validado mínimo |
|---|---|---|---|---|
| K3s | x86_64 | Disponibilidad general | 1.31.1 |
Ubuntu 24.04, Red Hat Enterprise Linux (RHEL) 9.x |
| Versión de Tanzu Kubernetes (TKr) | x86_64 | Disponibilidad general | 1.28.11 | Tanzu Kubernetes Grid 2.5.2 |
- La versión validada minimum es la versión más baja de la distribución de Kubernetes que Microsoft usa para validar las implementaciones de Azure IoT Operations.
- El sistema operativo validado mínimo es la versión más baja del sistema operativo que Microsoft usa para validar las implementaciones.
Importante
La compatibilidad con implementaciones de Azure IoT Operations solo está disponible en la versión 1.28.11 de TKr.
Nota
Los registros de uso de facturación se recopilan en cualquier entorno en el que instale Azure IoT Operations, independientemente del soporte técnico o los niveles de disponibilidad.
Para instalar Azure IoT Operations, debe tener disponibles los siguientes requisitos de hardware. Si usa un clúster de varios nodos que habilita la tolerancia a errores, escale verticalmente a la capacidad recomendada para mejorar el rendimiento.
| Especificación | Mínimo | Recomendado |
|---|---|---|
| Capacidad de memoria de hardware (RAM) | 16-GB | 32-GB |
| Memoria disponible para Azure IoT Operations (RAM) | 10-GB | Depende del uso |
| Unidad Central de Procesamiento (CPU) | 4 vCPU | 8 vCPU |
Nota
La configuración mínima es adecuada al ejecutar solo Azure IoT Operations.
Elección de las características
Azure IoT Operations ofrece dos modos de implementación. Puede optar por implementar con la configuración de prueba, un subconjunto básico de características que son más fáciles de empezar a usar para escenarios de evaluación. O bien, puede optar por implementar con la configuración segura, el conjunto de características completo.
Implementación de la configuración de prueba
Una implementación con solo la configuración de prueba tiene las siguientes características:
- No configura secretos ni funcionalidades de identidad administrada asignadas por el usuario.
- Está diseñado para habilitar el ejemplo de inicio rápido de un extremo a otro con fines de evaluación, por lo que admite el simulador de OPC PLC y se conecta a los recursos en la nube mediante la identidad administrada asignada por el sistema.
- Puede actualizarlo para usar la configuración segura.
Para obtener una experiencia de inicio rápido, use el escenario Quickstart: Ejecutar Azure IoT Operations en GitHub Codespaces con K3s. En este escenario se usa una distribución ligera de Kubernetes (K3s) y se ejecuta en GitHub Codespaces, por lo que no es necesario configurar un clúster ni instalar ninguna herramienta localmente.
Para implementar Azure IoT Operations con la configuración de prueba, siga estos artículos:
- Comience con Preparar su clúster de Kubernetes habilitado para Azure Arc para configurar y habilitar Arc en su clúster.
- A continuación, siga los pasos descritos en Deploy Azure IoT Operations en un clúster de prueba.
Sugerencia
En cualquier momento, puede actualizar una instancia de Azure IoT Operations para usar la configuración segura siguiendo los pasos descritos en Configuración segura.
Implementación de la configuración segura
Una implementación con configuración segura tiene las siguientes características:
- Está diseñado para escenarios listos para producción.
- Permite secretos e identidad administrada asignada por el usuario, que son funcionalidades importantes para desarrollar un escenario listo para producción. Los secretos se usan siempre y cuando los componentes de Azure IoT Operations se conectan a un recurso que no están en el clúster, como un servidor OPC UA o un punto de conexión de flujo de datos.
Para implementar Azure IoT Operations con la configuración segura, siga estos artículos:
- Comience con Preparar su clúster de Kubernetes habilitado para Azure Arc para configurarlo y habilitarlo con Arc.
- A continuación, siga los pasos descritos en Deploy Azure IoT Operations en un clúster de producción.
Al implementar Azure IoT Operations con configuraciones seguras en AKS, Microsoft recomienda bloquear el acceso de los pods al punto de conexión del servicio de metadatos de instancia de Azure. Para obtener información sobre cómo habilitar esta característica, consulte Bloquear el acceso del pod al punto de conexión del Servicio de Metadatos de la Instancia de Azure (IMDS).
Permisos necesarios
En la tabla siguiente se describen Azure IoT Operations tareas de implementación y administración que requieren permisos elevados. Para obtener información sobre cómo asignar roles a los usuarios, consulte Steps para asignar un rol de Azure.
| Tarea | Permiso necesario | Comentarios |
|---|---|---|
| Implementación de Azure IoT Operations | Rol de incorporación para operaciones de Azure IoT | Este rol tiene todos los permisos necesarios para leer y escribir operaciones de Azure IoT y Azure recursos del Registro de dispositivos. Este rol tiene permisos Microsoft.Authorization/roleAssignments/write. |
| Registro de proveedores de recursos | Rol Colaborador en el nivel de suscripción | Solo es necesario hacer una vez por suscripción. Debe registrar los siguientes proveedores de recursos: Microsoft.ExtendedLocation, Microsoft.SecretSyncController, Microsoft.Kubernetes, Microsoft.KubernetesConfiguration, Microsoft.IoTOperations y Microsoft.DeviceRegistry. |
| Creación de secretos en Key Vault | Rol de Oficial de Secretos de Key Vault a nivel de recurso | Solo es necesario para la implementación de la configuración segura para sincronizar secretos de Azure Key Vault. |
| Crear y administrar cuentas de almacenamiento | El rol Colaborador de una cuenta de almacenamiento | Necesario para la implementación de Azure IoT Operations. |
| Creación de un grupo de recursos | Rol Colaborador del grupo de recursos | Necesario crear un grupo de recursos para almacenar los recursos de Azure IoT Operations. |
| Incorporación de un clúster a Azure Arc | clúster de Kubernetes - rol de integración de Azure Arc | Los clústeres habilitados para Arc son necesarios para implementar Azure IoT Operations. |
| Administración de la implementación del puente de recursos de Azure | Rol de implementación de Azure Resource Bridge | Necesario para implementar Azure IoT Operations. |
| Proporcionar permisos para la implementación | Rol de usuario del clúster de Kubernetes habilitado por Azure Arc | Se requiere para conceder permiso de implementación al clúster de Kubernetes habilitado para Azure Arc. |
Sugerencia
Debe habilitar la sincronización de recursos en la instancia de Azure IoT Operations para usar las funcionalidades de detección automática de recursos de los servicios de Akri. Para más información, consulte ¿Qué es el descubrimiento de activos de OPC UA?
Si usa el Azure CLI para asignar roles, use el comando az role assignment create para conceder permisos. Por ejemplo, az role assignment create --assignee sp_name --role "Role Based Access Control Administrator" --scope subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/MyResourceGroup
Si usa el portal de Azure para asignar roles de administrador con privilegios a un usuario o principal, se le solicita que restrinja el acceso mediante condiciones. En este escenario, seleccione la condición Permitir al usuario asignar todos los roles en la página Agregar asignación de roles .
Organización de instancias mediante sitios
Azure IoT Operations soporta sitios de Azure Arc para organizar instancias. Un site es un recurso de clúster en Azure como un grupo de recursos, pero los sitios normalmente agrupan instancias por ubicación física y facilitan a los usuarios de OT localizar y administrar recursos. Un administrador de TI crea los sitios y limita su ámbito a una suscripción o grupo de recursos. Las operaciones de Azure IoT implementadas en un clúster con Arc habilitado se recopilan automáticamente en el sitio asociado a su suscripción o grupo de recursos.
Para obtener más información, consulte ¿Qué es Azure Arc administrador de sitios (versión preliminar)?
puntos de conexión de Azure IoT Operations
Si usa firewalls de empresa o servidores proxy para administrar el tráfico saliente, configure los siguientes puntos de conexión antes de implementar Azure IoT Operations.
Puntos de conexión en los puntos de conexión de Kubernetes habilitados para Azure Arc.
Nota
Si usa Azure Arc Gateway para conectar el clúster a Arc, puede configurar un conjunto más pequeño de puntos de conexión basados en la guía de puerta de enlace de Arc.
Puntos de conexión en Azure CLI.
graph.windows.net,*.azurecr.io,*.blob.core.windows.nety*.vault.azure.netson necesarios de esta lista de puntos de conexión.Para enviar datos a la nube, habilite los siguientes puntos de conexión en función de la plataforma de datos que elija.
- Microsoft Fabric OneLake: Add Fabric URL a la lista de permitidos.
- Event Hubs: Solución de problemas de conectividad - Azure Event Hubs.
- Event Grid: Solucionar problemas de conectividad - Azure Event Grid.
- Azure Data Lake Storage Gen 2: puntos de conexión estándar de cuentas de almacenamiento.
Azure IoT Operations usa un registro de esquema basado en la nube que requiere acceso a un contenedor de Azure Blob Storage proporcionado por el cliente. Para que el registro de esquema pueda acceder al contenedor, este debe exponer un punto de conexión público o designar al registro de esquema del Registro de dispositivos de Azure (
Microsoft.DeviceRegistry/schemaRegistries) como un servicio de confianza de Azure. Esto no afecta a ninguna configuración de firewall o proxy de cliente en el borde. Para más información, consulte Registro y almacenamiento de esquemas.Puntos de conexión (DNS) Descripción <customer-specific>.blob.core.windows.netAlmacenamiento para el registro de esquemas. Consulte los puntos de conexión de la cuenta de almacenamiento para identificar el subdominio específico del cliente de su punto de conexión.
Residencia de datos
Azure Resource Manager permite administrar y controlar la instancia de Azure IoT Operations en el clúster de Kubernetes desde la nube mediante el portal de Azure o Azure CLI. Aunque debe implementar los recursos de Azure Resource Manager para Azure IoT Operations en una región actualmente admitida, usted elige dónde residen físicamente las cargas de trabajo operativas y los datos. Azure IoT Operations, el entorno de ejecución y la computación permanecen en el entorno local y bajo tu control.
Esta arquitectura garantiza las siguientes características de la implementación:
- Todos los procesos operativos y las cargas de trabajo se ejecutan en su propia infraestructura local.
- Para cumplir los requisitos de residencia de datos, elija la región de Azure para cualquier recurso de procesamiento de datos o almacenamiento de datos que use la solución.
- Transferencias de datos directamente entre su infraestructura local y su almacenamiento de Azure y sus recursos de procesamiento. Los datos no pasan a través de los recursos de Azure IoT Operations en la nube.
- La ubicación del Azure Resource Manager de la instancia de Azure IoT Operations es una referencia lógica para la administración y la orquestación.
- No se reubica ningún dato de producción del cliente. Algunos datos de telemetría del sistema, como las métricas y los registros, que se usan para la mejora del servicio y la identificación proactiva de problemas de infraestructura pueden fluir a la región de Azure donde se encuentran los recursos de Azure IoT Operations.
En el diagrama siguiente se muestra una implementación de ejemplo que muestra cómo mantener la soberanía de datos en la infraestructura local, mientras que, opcionalmente, usa una región de Azure diferente para el almacenamiento y el procesamiento de datos. En este ejemplo:
- Los recursos de administración de Azure IoT Operations se implementan en la región US West. Esta región es una de las regiones admitidas para Azure IoT Operations.
- Las cargas de trabajo y los datos operativos permanecen en el entorno local y perimetral bajo su control completo para garantizar la residencia de los datos y la soberanía de los datos.
- Los recursos de procesamiento y almacenamiento de datos se implementan en la región Centro de Canadá para cumplir requisitos específicos de residencia de datos regionales.
Pasos siguientes
Prepare el clúster de Kubernetes habilitado para Azure Arc para configurar y habilitar un clúster para las operaciones de Azure IoT.