Configuración de un dispositivo de IoT Edge para que se comunique a través de un servidor proxy

2022-07-26

Se aplica a: IoT Edge 1.1

Importante

IoT Edge 1.1 fecha de finalización del soporte técnico fue el 13 de diciembre de 2022. Consulte la página del ciclo de vida de productos de Microsoft para obtener información sobre cómo se admite este producto, servicio, tecnología o API. Para obtener más información sobre cómo actualizar a la versión más reciente de IoT Edge, consulte Update IoT Edge.

Los dispositivos de IoT Edge envían solicitudes HTTPS para comunicarse con IoT Hub. Si el dispositivo está conectado a una red que usa un servidor proxy, debe configurar el entorno de ejecución de IoT Edge para comunicarse a través del servidor. Los servidores proxy también pueden afectar a módulos individuales de IoT Edge si realizan solicitudes HTTP o HTTPS que no se enrutan a través del centro de IoT Edge.

Este artículo le guiará por los cuatro pasos que se describen a continuación para configurar y administrar un dispositivo de IoT Edge situado detrás de un servidor proxy:

Instale el entorno de ejecución de Azure IoT Edge en el dispositivo.

Los scripts de instalación de IoT Edge extraen paquetes y archivos de Internet, por lo que es necesario que la comunicación con el dispositivo pueda atravesar el servidor proxy para realizar esas solicitudes. En el caso de los dispositivos Windows, el script de instalación también dispone de una opción de instalación sin conexión.

Este paso es un proceso que solamente tiene que realizarse una vez para configurar el dispositivo de IoT Edge al establecer la configuración inicial. También se requieren las mismas conexiones al actualizar el entorno de ejecución de IoT Edge.
Configuración de IoT Edge y el tiempo de ejecución de contenedor en el dispositivo

IoT Edge es responsable de las comunicaciones con IoT Hub. El entorno de ejecución de contenedores es responsable de la administración de contenedores y se comunica con registros de contenedores. Ambos componentes deben hacer las solicitudes web a través del servidor proxy.

Este paso es un proceso que solamente tiene que realizarse una vez para configurar el dispositivo de IoT Edge al establecer la configuración inicial.
Configuración de las propiedades del agente de IoT Edge en el archivo de configuración del dispositivo

El demonio de IoT Edge inicia el módulo edgeAgent inicialmente. Después, el módulo edgeAgent recupera el manifiesto de implementación de IoT Hub e inicia todos los demás módulos. Para que el agente de IoT Edge realice la conexión inicial a IoT Hub, configure las variables de entorno del módulo edgeAgent manualmente en el propio dispositivo. Una vez establecida la conexión inicial, puede configurar el módulo de edgeAgent de forma remota.

Este paso es un proceso que solamente tiene que realizarse una vez para configurar el dispositivo de IoT Edge al establecer la configuración inicial.
En el futuro, siempre que implemente un módulo, defina las variables de entorno de todos los módulos que se comuniquen a través del proxy.

Una vez configurado y conectado el dispositivo IoT Edge a IoT Hub a través del servidor proxy, debe mantener la conexión en todas las implementaciones futuras de módulos.

Este paso es un proceso continuo que se realiza de forma remota para que, con cada nueva actualización del módulo o la implementación, el dispositivo conserve su capacidad para comunicarse a través del servidor proxy.

Conozca su dirección URL de proxy

Para poder comenzar los pasos que se describen en este artículo, debe conocer la dirección URL del proxy.

Las direcciones URL de proxy tienen el formato siguiente: protocolo://proxy host:proxy port.

El protocolo es HTTP o HTTPS. El demonio de Docker puede usar cualquier protocolo, depende de la configuración de su registro de contenedores, pero el demonio y los contenedores en ejecución de IoT Edge deben utilizar siempre HTTP para conectarse al proxy.
El host_proxy es una dirección para el servidor proxy. Si el servidor proxy requiere autenticación, puede proporcionar sus credenciales como parte del host proxy utilizando el siguiente formato: usuario:contraseña@host_proxy.
El puerto_proxy es el puerto de red en el que el proxy responde al tráfico de red.

Instalación de IoT Edge a través de un proxy

Tanto si el dispositivo de IoT Edge se ejecuta en Windows como si se ejecuta en Linux, debe obtener acceso a los paquetes de instalación a través del servidor proxy. En función del sistema operativo, siga el procedimiento que corresponda para instalar el entorno de ejecución de IoT Edge a través de un servidor proxy.

Dispositivos Linux

Si va a instalar el entorno de ejecución de Azure IoT Edge en un dispositivo Linux, configure el administrador de paquetes para que pase por el servidor proxy para acceder al paquete de instalación. Por ejemplo, configure apt-get para usar un http-proxy. Una vez configurado el administrador de paquetes, siga las instrucciones de Instalación del entorno de ejecución de Azure IoT Edge como de costumbre.

Dispositivos de Windows con IoT Edge para Linux en Windows.

Si va a instalar el entorno de ejecución de IoT Edge mediante IoT Edge para Linux en Windows, IoT Edge se instala de forma predeterminada en la máquina virtual de Linux. No se requieren pasos de instalación ni actualización adicionales.

Dispositivos de Windows con contenedores de Windows

Si va a instalar el entorno de ejecución de Azure IoT Edge en un dispositivo Windows, debe pasar por el servidor proxy dos veces. La primera conexión descarga el archivo del script de instalación. La segunda conexión se produce durante la instalación para descargar los componentes necesarios. Puede especificar la información del proxy en la configuración de Windows o incluirla directamente en los comandos de PowerShell.

Los siguientes pasos son un ejemplo de una instalación de Windows con el argumento -proxy:

El comando Invoke-WebRequest necesita información del proxy para poder acceder al script de instalación. A continuación, el comando Deploy-IoTEdge necesita la información del proxy para poder descargar los archivos de instalación.
```
. {Invoke-WebRequest -proxy <proxy URL> -useb aka.ms/iotedge-win} | Invoke-Expression; Deploy-IoTEdge -proxy <proxy URL>
```
El comando Initialize-IoTEdge no tiene que atravesar el proxy, por lo que el segundo paso solo necesita la información del proxy para Invoke-WebRequest.
```
. {Invoke-WebRequest -proxy <proxy URL> -useb aka.ms/iotedge-win} | Invoke-Expression; Initialize-IoTEdge
```

Si tiene credenciales complicadas para el servidor proxy que no se puede incluir en la dirección URL, use el -ProxyCredential parámetro dentro de -InvokeWebRequestParameters. Por ejemplo

$proxyCredential = (Get-Credential).GetNetworkCredential()
. {Invoke-WebRequest -proxy <proxy URL> -ProxyCredential $proxyCredential -useb aka.ms/iotedge-win} | Invoke-Expression; `
Deploy-IoTEdge -InvokeWebRequestParameters @{ '-Proxy' = '<proxy URL>'; '-ProxyCredential' = $proxyCredential }

Para obtener más información acerca de los parámetros de proxy, consulte Invoke-WebRequest. Para obtener más información sobre los parámetros de instalación de Windows, visite scripts de PowerShell para IoT Edge en Windows.

Configuración de IoT Edge y Moby

IoT Edge utiliza dos demonios que se ejecutan en el dispositivo de IoT Edge. El demonio Moby realiza solicitudes web para extraer imágenes de contenedor desde los registros de contenedores. El demonio de IoT Edge realiza solicitudes web para comunicarse con IoT Hub.

Tanto Moby como los demonios de IoT Edge deben configurarse para usar el servidor proxy para el funcionamiento continuo del dispositivo. Este paso tiene lugar en el dispositivo de IoT Edge durante la instalación inicial del dispositivo.

Demonio Moby

Como Moby se basa en Docker, consulte la documentación de Docker para configurar el demonio Moby con variables de entorno. La mayoría de los registros de contenedor (incluidos los de DockerHub y Azure Container) admiten solicitudes HTTPS, por lo que el parámetro que se debe establecer es HTTPS_PROXY. Si va a extraer imágenes de un registro que no admite la seguridad de la capa de transporte (TLS), debe establecer el parámetro HTTP_PROXY.

Elija el artículo que corresponda al sistema operativo del dispositivo de IoT Edge:

Configure Docker daemon on Linux (Configuración del demonio de Docker en Linux). El demonio Moby en Linux mantiene el nombre Docker.
Configurar el daemon de Docker en Windows El daemon Moby en dispositivos Windows se llama iotedge-moby. Los nombres son diferentes porque, en los dispositivos Windows, Docker Desktop y Moby se pueden ejecutar a la vez.

Demonio de IoT Edge

El demonio de IoT Edge se configura de forma similar al demonio de Moby. Utilice los pasos siguientes para establecer una variable de entorno para el servicio según su sistema operativo.

El servicio IoT Edge siempre utiliza HTTPS para enviar solicitudes a IoT Hub.

Linux

Abra un editor en el terminal para configurar el servicio de IoT Edge.

sudo systemctl edit iotedge

Escriba el texto siguiente, y reemplace la <dirección URL del proxy> por la dirección del servidor proxy y el puerto. A continuación, guarde y salga.

[Service]
Environment=https_proxy=<proxy URL>

Actualice el administrador de servicios para seleccionar la nueva configuración de IoT Edge.

sudo systemctl daemon-reload

Reinicie IoT Edge para que los cambios surtan efecto.

sudo systemctl restart iotedge

Compruebe que se creó la variable de entorno y que se cargó la nueva configuración.

systemctl show --property=Environment iotedge

Windows con IoT Edge para Linux en Windows.

Inicie sesión en su instancia de IoT Edge para Linux en la máquina virtual Windows:

Connect-EflowVm

Siga los mismos pasos que la sección anterior de Linux para configurar el demonio de IoT Edge.

Windows con contenedores de Windows

Abra una ventana de PowerShell como administrador y ejecute el comando siguiente para editar el registro con la nueva variable de entorno. Reemplace la <dirección URL del proxy> por la dirección del servidor proxy y el puerto.

reg add HKLM\SYSTEM\CurrentControlSet\Services\iotedge /v Environment /t REG_MULTI_SZ /d https_proxy=<proxy URL>

Reinicie IoT Edge para que los cambios surtan efecto.

Restart-Service iotedge

Configuración del agente de IoT Edge

El agente de IoT Edge es el primer módulo que se inicia en cualquier dispositivo de IoT Edge. Se inicia inicialmente según la información del archivo de configuración de IoT Edge. Después, el agente de IoT Edge se conecta a IoT Hub para recuperar manifiestos de implementación, que declaran qué otros módulos se deben implementar en el dispositivo.

Este paso se realiza una sola vez en el dispositivo de IoT Edge durante la instalación inicial del dispositivo.

Abra el archivo config.yaml en el dispositivo IoT Edge. En los sistemas Linux, este archivo se encuentra en /etc/iotedge/config.yaml. En los sistemas Windows, este archivo se encuentra en C:\ProgramData\iotedge\config.yaml. El archivo de configuración está protegido, por lo que necesita privilegios administrativos para acceder a él. En los sistemas Linux, utilice el comando sudo antes de abrir el archivo en el editor de texto que prefiera. En Windows, abra un editor de texto como Bloc de notas como administrador y, a continuación, abra el archivo.
En el archivo config.yaml, busque la sección de especificaciones del módulo de agente perimetral. La definición del agente de IoT Edge incluye un parámetro env donde puede agregar variables de entorno.
Quite los corchetes que son marcadores de posición para el parámetro env y agregue la nueva variable en una nueva línea. Recuerde que las sangrías en YAML son dos espacios.
```
https_proxy: "<proxy URL>"
```
El runtime de IoT Edge usa AMQP de forma predeterminada para comunicarse con IoT Hub. Algunos servidores proxy bloquean los puertos AMQP. Si es así, también debe configurar edgeAgent para que use AMQP sobre WebSocket. Agregue una segunda variable de entorno.
```
UpstreamProtocol: "AmqpWs"
```
Guarde los cambios en config.yaml y cierre el editor. Reinicie IoT Edge para que los cambios surtan efecto.
- Linux e IoT Edge para Linux en Windows:
```
sudo systemctl restart iotedge
```
- Windows con contenedores de Windows:
```
Restart-Service iotedge
```

Agregue el parámetro https_proxy a la sección de variables de entorno y establezca la dirección URL del proxy como su valor.

[agent]
name = "edgeAgent"
type = "docker"

[agent.config]
image = "mcr.microsoft.com/azureiotedge-agent:1.4"

[agent.env]
# "RuntimeLogLevel" = "debug"
# "UpstreamProtocol" = "AmqpWs"
"https_proxy" = "<proxy URL>"

El runtime de IoT Edge usa AMQP de forma predeterminada para comunicarse con IoT Hub. Algunos servidores proxy bloquean los puertos AMQP. Si es así, también debe configurar edgeAgent para que use AMQP sobre WebSocket. Descomente el parámetro UpstreamProtocol.
```
[agent.config]
image = "mcr.microsoft.com/azureiotedge-agent:1.4"

[agent.env]
# "RuntimeLogLevel" = "debug"
"UpstreamProtocol" = "AmqpWs"
"https_proxy" = "<proxy URL>"
```
Guarde los cambios y cierre el editor. Aplique los cambios más recientes.
```
sudo iotedge config apply
```
Compruebe que la configuración del proxy se propaga mediante docker inspect edgeAgent en la sección Env. Si no es así, se debe volver a crear el contenedor.
```
sudo docker rm -f edgeAgent
```
El entorno de ejecución de Azure IoT Edge debe volver a crear edgeAgent en un minuto. Una vez que edgeAgent el contenedor esté en ejecución de nuevo, verifique que la configuración del proxy coincida con el archivo de configuración.

Configuración de manifiestos de implementación

Una vez configurado el dispositivo IoT Edge para que funcione con el servidor proxy, debe seguir declarando la variable de entorno HTTPS_PROXY en los manifiestos de implementación futuros. Puede editar los manifiestos de implementación utilizando el asistente de Azure Portal o editando el archivo JSON de un manifiesto de implementación.

Configure siempre los dos módulos en tiempo de ejecución (edgeAgent y edgeHub) para que se comuniquen a través del servidor proxy con el fin de que puedan mantener una conexión con IoT Hub. Si quita la información de proxy del módulo edgeAgent, la única forma de restablecer la conexión es editando el archivo de configuración en el dispositivo, tal como se describe en la sección anterior.

Además de los módulos edgeAgent y edgeHub, es posible que otros módulos necesiten la configuración del proxy. Los módulos que necesitan acceder a recursos de Azure además de IoT Hub, como el almacenamiento de blobs, deben tener la variable HTTPS_PROXY especificada en el archivo de manifiesto de implementación.

El siguiente procedimiento es aplicable a lo largo de la vida del dispositivo IoT Edge.

Portal de Azure

Cuando usa el asistente de Establecimiento de módulos para crear implementaciones para dispositivos de IoT Edge, todos los módulos tienen una sección Variables de entorno donde puede configurar las conexiones con el servidor proxy.

Para configurar el agente de IoT Edge y los módulos del centro de IoT Edge, seleccione Configuración del entorno de ejecución en el primer paso del asistente.

Configuración avanzada del entorno de ejecución de Edge

Agregue la variable de entorno https_proxy tanto al agente de IoT Edge como a las definiciones de módulo del centro de IoT Edge. Si incluyó la variable de entorno UpstreamProtocol en el archivo de configuración del dispositivo IoT Edge, agréguela también a la definición del módulo del agente de IoT Edge.

Establecer la variable de entorno https_proxy

Todos los demás módulos que agregue a un manifiesto de implementación seguirán el mismo patrón.

Archivos JSON del manifiesto de implementación

Si va a crear implementaciones para dispositivos IoT Edge mediante las plantillas de Visual Studio Code o mediante la creación manual de archivos JSON, puede agregar las variables de entorno directamente a cada definición del módulo.

Use el siguiente formato JSON:

"env": {
    "https_proxy": {
        "value": "<proxy URL>"
    }
}

Con las variables de entorno incluidas, la definición del módulo debería ser similar al siguiente ejemplo de edgeHub:

"edgeHub": {
    "type": "docker",
    "settings": {
        "image": "mcr.microsoft.com/azureiotedge-hub:1.1",
        "createOptions": "{}"
    },
    "env": {
        "https_proxy": {
            "value": "http://proxy.example.com:3128"
        }
    },
    "status": "running",
    "restartPolicy": "always"
}

Si incluyó la variable de entorno UpstreamProtocol en el archivo confige.yaml del dispositivo de IoT Edge, agréguela también a la definición del módulo del agente de IoT Edge.

"env": {
    "https_proxy": {
        "value": "<proxy URL>"
    },
    "UpstreamProtocol": {
        "value": "AmqpWs"
    }
}

Trabajar con proxies que inspeccionan el tráfico

Algunos servidores proxy, como Zscaler, pueden inspeccionar el tráfico cifrado con TLS. Durante la inspección del tráfico TLS, el certificado devuelto por el proxy no es el certificado del servidor de destino, sino el certificado firmado por el propio certificado raíz del proxy. De forma predeterminada, el certificado de este proxy no es de confianza para los módulos de IoT Edge (incluidos edgeAgent y edgeHub) y se produce un error en el protocolo de enlace TLS.

Para resolver esto, el certificado raíz del proxy debe ser de confianza tanto para el sistema operativo como para los módulos de IoT Edge.

Configure el certificado proxy en el almacén de certificados raíz de confianza del sistema operativo del host. Para obtener más información sobre cómo instalar un certificado raíz, consulte Instale la CA raíz en el almacén de certificados del sistema operativo.
Configure el dispositivo IoT Edge para comunicarse a través de un servidor proxy haciendo referencia al certificado en la agrupación de confianza. Para obtener más información sobre cómo configurar la agrupación de confianza, consulte Administración de una entidad de certificación raíz de confianza (agrupación de confianza).

Para configurar la compatibilidad del proxy de inspección de tráfico con contenedores no administrados por IoT Edge, póngase en contacto con el proveedor del proxy en cuestión.

Nombres de dominio completos (FQDN) de destinos con los que se comunica IoT Edge

Si el proxy tiene un firewall que requiere que permita todos los FQDN para la conectividad a Internet, revise la lista de Permitir conexiones desde dispositivos IoT Edge para determinar qué FQDN agregar.

Pasos siguientes

Más información sobre los roles del entorno de ejecución de Azure IoT Edge.

Solución de errores de instalación y configuración con Problemas habituales y soluciones para Azure IoT Edge

Compartir a través de