Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
La seguridad y la escalabilidad son una prioridad para implementar Operaciones de IoT de Azure. En este artículo, se describen las directrices que debe tener en cuenta al configurar Operaciones de IoT de Azure para producción.
Decida si va a implementar Operaciones de IoT de Azure en un clúster de un solo nodo o de varios nodos antes de considerar la configuración adecuada. Muchas de las directrices de este artículo se aplican independientemente del tipo de clúster, pero cuando hay una diferencia, se destaca específicamente.
Plataforma
Actualmente, K3s en Ubuntu 24.04 es la única plataforma disponible con carácter general para implementar Operaciones de IoT de Azure en producción.
Configuración del clúster
Asegúrese de que la configuración de hardware sea suficiente para su escenario y que comience con un entorno seguro.
Configuración del sistema
Cree un clúster K3s habilitado para Arc que cumpla los requisitos del sistema.
- Use un entorno compatible para Operaciones de IoT de Azure.
- Configure el clúster según la documentación.
- Si espera conectividad intermitente para el clúster, asegúrese de asignar suficiente espacio en disco a los datos y mensajes de caché del clúster mientras el clúster está sin conexión.
- Si es posible, tenga un segundo clúster como área de almacenamiento provisional para probar nuevos cambios antes de realizar la implementación en el clúster de producción principal.
- Desactive la actualización automática de Azure Arc para tener un control completo sobre cuándo se aplican nuevas actualizaciones al clúster. En su lugar, actualice manualmente los agentes según sea necesario.
- Para clústeres de varios nodos: configure clústeres con volúmenes perimetrales para prepararse para habilitar la tolerancia a errores durante la implementación.
Seguridad
Tenga en cuenta las siguientes medidas para asegurarse de que la configuración del clúster es segura antes de la implementación.
- Valide las imágenes para asegurarse de que están firmadas por Microsoft.
- Al realizar el cifrado TLS, traiga su propio emisor e intégrelo con una PKI empresarial.
- Use secretos para la autenticación local.
- Use identidades administradas asignadas por el usuario para conexiones en la nube
- Mantenga el clúster y la implementación de Operaciones de IoT de Azure actualizadas con las últimas revisiones y versiones secundarias para obtener todas las correcciones de errores y seguridad disponibles.
Redes
Si usa firewalls de empresa o servidores proxy, agregue los puntos de conexión de Operaciones de IoT de Azure a la lista de permitidos.
Observabilidad
En el caso de las implementaciones de producción, implemente recursos de observabilidad en el clúster antes de implementar Operaciones de IoT de Azure. También se recomienda configurar alertas de Prometheus en Azure Monitor.
Implementación
Para una implementación lista para producción, incluya las siguientes configuraciones durante la implementación de Operaciones de IoT de Azure.
Agente de MQTT
En el Asistente para la implementación de Azure Portal, el recurso de agente se configura en la pestaña Configuración.
Configure las opciones de cardinalidad en función del perfil de memoria y las necesidades para controlar las conexiones y los mensajes. Por ejemplo, la siguiente configuración podría admitir un clúster de un solo nodo o de varios nodos:
Configuración Nodo único Varios nodos frontendReplicas 1 5 trabajadores de interfaz 4 8 backendRedundancyFactor 2 2 trabajadores de backend 1 4 backendPartitions 1 5 Perfil de memoria Bajo Alto Establezca el búfer de mensajes respaldados por disco con un tamaño máximo que impida el desbordamiento de RAM.
Registro y almacenamiento de esquemas
En el Asistente para la implementación de Azure Portal, el registro de esquema y su cuenta de almacenamiento necesaria se configuran en la pestaña Administración de dependencias.
- Las cuentas de almacenamiento deben tener habilitado un espacio de nombres jerárquico.
- La identidad administrada del registro de esquema debe tener permisos de colaborador para la cuenta de almacenamiento.
- La cuenta de almacenamiento solo se admite con el acceso a la red pública habilitado.
En el caso de las implementaciones de producción, establezca el ámbito del acceso a la red pública de la cuenta de almacenamiento para permitir el tráfico solo desde servicios de Azure de confianza. Por ejemplo:
- En el portal de Azure, vaya a la cuenta de almacenamiento que utiliza el registro de esquemas.
- Seleccione Seguridad y redes de redes > en el menú de navegación.
- Para la configuración de acceso a la red pública, seleccione Habilitado en redes virtuales seleccionadas y direcciones IP.
- En la sección Excepciones de la página de redes, asegúrese de que está seleccionada la opción Permitir que los servicios de Microsoft de confianza accedan a este recurso .
- Seleccione Guardar para aplicar los cambios.
Para más información, consulte Configuración de firewalls y redes > virtuales de Azure Storage Conceda acceso a servicios de Azure de confianza.
Tolerancia a errores
Clústeres de varios nodos: la tolerancia a errores se puede habilitar en la pestaña Administración de dependencias del Asistente para la implementación de Azure Portal. Solo se admite en clústeres de varios nodos y se recomienda para la implementación de producción.
Configuración segura
Durante la implementación, tiene la opción de usar la configuración de prueba o la configuración segura. Para las implementaciones de producción, elija configuración segura. Si va a actualizar una implementación de configuración de prueba existente para producción, siga los pasos descritos en Habilitación de la configuración segura.
Posterior a la implementación
Después de implementar Operaciones de IoT de Azure, tenga implementadas las siguientes configuraciones para un escenario de producción.
Agente de MQTT
Después de la implementación, puede editar los recursos de BrokerListener:
- Configuración de TLS con administración automática de certificados para agentes de escucha.
También puede editar los recursos BrokerAuthentication.
- Use certificados X.509 o tokens de cuenta de servicio de Kubernetes para la autenticación.
- No use no-auth.
Al crear un nuevo recurso, administre su autorización:
- Cree un recurso BrokerAuthorization y proporcione los privilegios mínimos necesarios para el recurso de tema.
Agente de OPC UA
Para conectarse a recursos en producción, configure la autenticación de OPC UA:
- No use un método sin autenticación. No se admite la conectividad con servidores OPC UA sin autenticación.
- Configure una conexión segura al servidor OPC UA. Use una PKI de producción y configure certificados de aplicación y lista de confianza.
Flujos de datos
Al usar flujos de datos en producción:
- Use la autenticación de token de cuenta de servicio (SAT) con el corredor MQTT (valor predeterminado).
- Autenticación de identidad administrada siempre usada. Cuando sea posible, use la identidad administrada asignada por el usuario en los puntos de conexión de flujo de datos para lograr flexibilidad y auditabilidad.
- Escale perfiles de flujo de datos para mejorar el rendimiento y tener alta disponibilidad.
- Agrupe varios flujos de datos en perfiles de flujo de datos y personalice el escalado de cada perfil en consecuencia.