Azure IoT Operationsをデプロイするときは、Azure Arc対応 Kubernetes クラスターに一連のサービスをインストールします。 この記事では、シナリオで考慮すべきさまざまなデプロイ オプションの概要について説明します。
サポートされている環境
サポートされているWindows環境
Microsoft では、WindowsでのAzure IoT Operations展開に関して、次の Kubernetes ディストリビューションをサポートしています。 次の表では、サポート レベルと、Microsoft が展開の検証に使用するバージョンについて詳しく説明します。
| Kubernetes ディストリビューション | Architecture | サポート レベル | 検証済みの最小バージョン |
|---|---|---|---|
| AKS Edge Essentials | x86_64 | パブリック プレビュー | AksEdge-K3s-1.29.6-1.8.202.0 |
| Azure Local 上の AKS | x86_64 | パブリック プレビュー | Azure Stack HCI OS バージョン 23H2、ビルド 2411 |
- minimum 検証済みバージョン は、Azure IoT Operations展開を検証するために Microsoft が使用する Kubernetes ディストリビューションの最小バージョンです。
サポートされている Linux 環境
Microsoft では、Linux 環境でのAzure IoT Operationsデプロイに対して、次の Kubernetes ディストリビューションをサポートしています。 次の表に、サポート レベルと、Microsoft が展開の検証に使用するバージョンを示します。
| Kubernetes ディストリビューション | Architecture | サポート レベル | 検証済みの最小バージョン | 検証済みの最小 OS |
|---|---|---|---|---|
| K3s | x86_64 | 一般公開 | 1.31.1 |
Ubuntu 24.04、 Red Hat Enterprise Linux (RHEL) 9.x |
| Tanzu Kubernetes リリース (TKr) | x86_64 | 一般公開 | 1.28.11 | Tanzu Kubernetes Grid 2.5.2 |
- minimum 検証済みバージョン は、Azure IoT Operations展開を検証するために Microsoft が使用する Kubernetes ディストリビューションの最小バージョンです。
- 検証済みの最小 OS は、Microsoft が展開の検証に使用するオペレーティング システムの最小バージョンです。
Von Bedeutung
Azure IoT Operationsデプロイのサポートは、TKr のバージョン 1.28.11 でのみ使用できます。
注
課金の使用状況レコードは、サポートレベルや可用性レベルに関係なく、Azure IoT Operationsをインストールするすべての環境で収集されます。
Azure IoT Operationsをインストールするには、次のハードウェア要件を使用できる必要があります。 フォールト トレランスを有効にするマルチノード クラスターを使用している場合は、推奨される容量にスケールアップしてパフォーマンスを向上させます。
| 仕様 | 最小 | 推奨 |
|---|---|---|
| ハードウェア メモリ容量 (RAM) | 16 GB | 32 GB |
| Azure IoT Operations (RAM) で使用可能なメモリ | 10 GB | 使用状況によって異なる |
| CPU | 4 つの vCPU | 8 つの vCPU |
注
最小構成は、Azure IoT Operationsのみを実行する場合に適しています。
機能を選択する
Azure IoT Operationsには、2 つのデプロイ モードが用意されています。 "テスト設定" (評価シナリオの場合に作業を開始しやすい、基本的な機能のサブセット) を使用してデプロイすることを選択できます。 または、完全な機能セットである "セキュリティで保護された設定" を使用してデプロイすることもできます。
テスト設定のデプロイ
テスト設定のみを使用するデプロイには、次の特性があります。
- シークレットまたはユーザー割り当てマネージド ID 機能は構成しません。
- これは、評価目的でエンドツーエンドのクイック スタート サンプルを有効にするように設計されているため、OPC PLC シミュレーターをサポートし、システム割り当てマネージド ID を使用してクラウド リソースに接続します。
- セキュリティで保護された設定を使用するようにアップグレードできます。
クイック スタート エクスペリエンスでは、Quickstart: GitHub Codespaces で K3s シナリオでAzure IoT Operationsを実行します。 このシナリオでは、軽量の Kubernetes ディストリビューション (K3s) を使用し、GitHub Codespaces で実行されるため、クラスターを設定したり、ツールをローカルにインストールしたりする必要はありません。
テスト設定でAzure IoT Operationsを展開するには、次の記事に従います。
- Azure Arc 対応の Kubernetes クラスターを準備し、クラスターを構成して Arc 対応にするには、ここから開始します。
- 次に、テスト クラスターにAzure IoT Operationsをデプロイするの手順に従います。
ヒント
Azure IoT Operations インスタンスをアップグレードしてセキュリティで保護された設定を使用するには、セキュリティで保護された設定の手順に従います。
セキュリティで保護された設定のデプロイ
セキュリティで保護された設定を使用するデプロイには、次の特性があります。
- 運用環境に対応したシナリオ向けに設計されています。
- これにより、シークレットとユーザー割り当てマネージド ID が有効になり、どちらも運用環境対応のシナリオを開発するための重要な機能です。 シークレットは、Azure IoT Operationsコンポーネントが OPC UA サーバーやデータ フロー エンドポイントなど、クラスターの外部のリソースに接続するたびに使用されます。
セキュリティで保護された設定でAzure IoT Operationsを展開するには、次の記事に従います。
- まず、Azure Arc 対応の Kubernetes クラスターを準備してクラスターを構成し、Arc に対応させます。
- 次に、運用クラスターにAzure IoT Operationsをデプロイするの手順に従います。
AKS でセキュリティで保護された設定を使用してAzure IoT Operationsをデプロイする場合、Azure インスタンス メタデータ サービス エンドポイントへのポッド アクセスをブロックすることをお勧めします。 この機能を有効にする方法については、「Block ポッドから Azure Instance Metadata Service (IMDS) エンドポイントへのアクセスをブロックするを参照してください。
必要なアクセス許可
次の表では、Azure IoT Operations の展開タスクおよび管理タスクのうち、昇格されたアクセス許可が必要なものについて説明します。 ユーザーへのロールの割り当ての詳細については、Azureロールを割り当てる手順を参照してください。
| タスク | 必要なアクセス許可 | コメント |
|---|---|---|
| Azure IoT Operationsをデプロイする | Azure IoT Operations オンボーディング ロール | このロールには、Azure IoT操作とAzure デバイス レジストリ リソースの読み取りと書き込みに必要なすべてのアクセス許可があります。 このロールには Microsoft.Authorization/roleAssignments/write アクセス許可があります。 |
| リソース プロバイダーを登録する | サブスクリプション レベルでの共同作成者ロール | サブスクリプションごとに 1 回行うだけで済みます。 次のリソース プロバイダーを登録する必要があります: Microsoft.ExtendedLocation、Microsoft.SecretSyncController、Microsoft.Kubernetes、Microsoft.KubernetesConfiguration、Microsoft.IoTOperations、Microsoft.DeviceRegistry。 |
| Key Vaultでシークレットを作成する | リソース レベルでKey Vaultシークレットオフィサーロール | Azure Key Vaultからシークレットを同期するためにセキュリティで保護された設定の展開にのみ必要です。 |
| ストレージ アカウントの作成と管理 | ストレージ アカウント共同作成者ロール | Azure IoT Operations展開に必要です。 |
| リソース グループを作成する | リソース グループ共同作成者ロール | Azure IoT Operationsリソースを格納するためのリソース グループを作成するために必要です。 |
| クラスターをAzure Arcにオンボードする | Kubernetes クラスター - Azure Arc オンボーディング ロール | Azure IoT Operationsをデプロイするには、Arc 対応クラスターが必要です。 |
| Azure リソース ブリッジのデプロイを管理する | Azure Resource Bridge デプロイ 役割 | Azure IoT Operationsをデプロイするために必要です。 |
| デプロイにアクセス許可を付与する | Azure Arc により有効化された Kubernetes クラスター ユーザー ロール | Azure Arc対応 Kubernetes クラスターにデプロイのアクセス許可を付与するために必要です。 |
ヒント
Akri サービスの自動資産検出機能を使用するには、Azure IoT Operations インスタンスでリソース同期を有効にする必要があります。 詳細については、「OPC UA 資産検出とは」を参照してください。
Azure CLIを使用してロールを割り当てる場合は、az role assignment create コマンドを使用してアクセス許可を付与します。 たとえば、az role assignment create --assignee sp_name --role "Role Based Access Control Administrator" --scope subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/MyResourceGroup
Azure ポータルを使用して特権管理者ロールをユーザーまたはプリンシパルに割り当てる場合は、条件を使用してアクセスを制限するように求められます。 このシナリオでは、[ロールの割り当ての追加] ページで [Allow user to assign all roles] (ユーザーがすべてのロールを割り当てることを許可する) という条件を選択します。
サイトを使用してインスタンスを整理する
Azure IoT Operationsでは、インスタンスを整理するためのAzure Arc サイトがサポートされます。 site はリソース グループのようなAzureのクラスター リソースですが、サイトは通常、物理的な場所でインスタンスをグループ化し、OT ユーザーが資産を見つけて管理しやすくします。 IT 管理者がサイトを作成し、サブスクリプションまたはリソース グループにスコープを設定します。 その後、Arc 対応クラスターにデプロイされたAzure IoT Operationsは、そのサブスクリプションまたはリソース グループに関連付けられているサイトに自動的に収集されます。
詳細については、「Azure Arc サイト マネージャー (プレビュー) とは何か」を参照してください。
Azure IoT Operations エンドポイント
エンタープライズ ファイアウォールまたはプロキシを使用して送信トラフィックを管理する場合は、Azure IoT Operationsをデプロイする前に、次のエンドポイントを構成します。
Azure Arc 対応 Kubernetes エンドポイント内のエンドポイント。
注
Azure Arc Gateway を使用してクラスターを Arc に接続する場合は、Arc Gateway ガイダンスに基づいて、より小さなエンドポイント セットを構成できます。
Azure CLIエンドポイントのエンドポイント。
このエンドポイントの一覧から
graph.windows.net、*.azurecr.io、*.blob.core.windows.net、および*.vault.azure.netが必要です。データをクラウドにプッシュするには、選択したデータ プラットフォームに基づいて次のエンドポイントを有効にします。
- Microsoft Fabric OneLake: Fabric URL を許可リストに追加。
- Event Hubs: 接続の問題 - Azure Event Hubs。
- Event Grid: 接続の問題 - Azure Event Grid。
- Azure Data Lake Storage Gen 2: Storage アカウントの標準エンドポイント。
Azure IoT Operationsは、顧客が提供するAzure Blob Storage コンテナーへのアクセスを必要とするクラウドベースのスキーマ レジストリを使用します。 スキーマ レジストリがコンテナーにアクセスするには、コンテナーでパブリック エンドポイントを公開するか、Azure Device Registry スキーマ レジストリ (
Microsoft.DeviceRegistry/schemaRegistries) を信頼されたAzure サービスとして指定する必要があります。 これは、エッジでの顧客のファイアウォールまたはプロキシ構成には影響しません。 詳細については、「 スキーマ レジストリとストレージ」を参照してください。エンドポイント (DNS) 説明 <customer-specific>.blob.core.windows.netスキーマ レジストリのストレージ。 エンドポイントのお客様固有のサブドメインを特定するには、「ストレージ アカウント エンドポイント」を参照してください。
データの保存場所
Azure Resource Managerでは、Azure ポータルまたはAzure CLIを使用して、クラウドから Kubernetes クラスター内のAzure IoT Operations インスタンスを管理および制御できます。 Azure IoT Operations用のAzure Resource Manager リソースを現在サポートされているリージョンにデプロイする必要がある場合は、運用ワークロードとデータが物理的に存在する場所を選択します。 Azure IoT Operations ランタイムとコンピュートは、お客様の施設内にあり、管理を続けることができます。
このアーキテクチャにより、デプロイの次の特性が保証されます。
- すべての運用プロセスとワークロードは、独自のローカル インフラストラクチャで実行されます。
- データ所在地の要件を満たすには、ソリューションで使用するデータ ストレージまたはデータ処理リソースのAzureリージョンを選択します。
- ローカル インフラストラクチャとAzureストレージと処理リソースの間でデータが直接転送されます。 データは、クラウド内のAzure IoT Operations リソースを通過しません。
- Azure IoT Operations インスタンスのAzure Resource Managerの場所は、管理とオーケストレーションの論理参照です。
- 顧客の運用データは再配置されません。 サービスの改善やインフラストラクチャの問題のプロアクティブな識別に使用されるメトリックやログなどの一部のシステム テレメトリは、Azure IoT Operations リソースが配置されているAzure リージョンに流れる場合があります。
次の図は、ローカル インフラストラクチャでデータ主権を維持しながら、必要に応じて別のAzure リージョンを使用してデータの保存と処理を行う方法を示すデプロイの例を示しています。 この例では:
- Azure IoT Operations管理リソースは、US West リージョンにデプロイされます。 このリージョンは、Azure IoT Operationsでサポートされているリージョンの 1 つです。
- 運用ワークロードとデータは、データの所在とデータ主権を確保するために、完全な管理のもと、ネットワークのエッジにおけるオンプレミスに残ります。
- データストレージと処理リソースは、特定の地域データ所在地の要件を満たすために カナダ中部 リージョンにデプロイされます。
次のステップ
Azure Arc対応の Kubernetes クラスターを準備して、Azure IoT Operationsのクラスターを構成して Arc 対応にします。