対称キーを使用して IoT Edge for Linux on Windows デバイスを大規模に作成してプロビジョニングする

PowerShell を使用する場合は、次の手順に従って、Azure IoT Edge for Linux on Windows のインストールと Linux 仮想マシンのデプロイ用にターゲット デバイスを準備します。

1. ターゲット デバイスの実行ポリシーを AllSigned に設定します。 現在の実行ポリシーは、管理者特権の PowerShell プロンプトで次のコマンドを使用して確認できます。

   Get-ExecutionPolicy -List
   

   local machine の実行ポリシーが AllSigned になっていない場合は、次のようにして実行ポリシーを設定できます。

   Set-ExecutionPolicy -ExecutionPolicy AllSigned -Force
   

Azure IoT Edge for Linux on Windows PowerShell モジュールの詳細については、 PowerShell 関数リファレンスを参照してください。

Windows Admin Center を使用する場合は、次の手順に従って Windows Admin Center をダウンロードしてインストールし、Windows Admin Center Azure IoT Edge 拡張機能をインストールします。

1. Windows Admin Center インストーラーをダウンロードして実行します。 インストール ウィザードの指示に従って、Windows Admin Center をインストールします。

2. インストールが完了したら、サポートされているブラウザーを使用して Windows Admin Center を開きます。 サポートされているブラウザーには、Microsoft Edge (Windows 10 バージョン 1709 以降)、Google Chrome、Microsoft Edge Insider が含まれます。

3. Windows Admin Center を初めて使用すると、使用する証明書を選択するように求められます。 証明書として Windows Admin Center クライアント 選択します。

4. Azure IoT Edge 拡張機能をインストールします。 Windows Admin Center ダッシュボードの右上にある歯車アイコンを選択します。

   

5. [ 設定] メニューの [ ゲートウェイ] で、[ 拡張機能] を選択します。

6. [ 使用可能な拡張機能 ] タブで、拡張機能の一覧から Azure IoT Edge を見つけます。 それを選択し、拡張機能の一覧の上にある インストール プロンプトを選択します。

7. インストールが完了すると、[インストールされている拡張機能] タブのインストールされている拡張機能の一覧に Azure IoT Edge が表示されます 。

DPS 個別登録を作成する

1. Azure portal で、IoT Hub デバイス プロビジョニング サービスのインスタンスに移動します。

2. [ 設定] で、[ 登録の管理] を選択します。

3. [ 個々の登録の追加] を選択し、次の手順を実行して登録を構成します。

   1. [ メカニズム] で、[ 対称キー] を選択します。

   2. デバイスの一意の 登録 ID を 指定します。

   3. 必要に応じて、 デバイスの IoT Hub デバイス ID を 指定します。 デバイス ID を使用して、個々のデバイスをモジュール展開のターゲットにすることができます。 デバイス ID を指定しなかった場合は、登録 ID が使用されます。

   4. 登録が IoT Edge デバイス用であることを宣言するには 、[True] を 選択します。

   5. 必要に応じて、 初期デバイス ツイン状態にタグ値を追加します。 タグを使用して、デバイス グループをモジュール展開のターゲットにすることができます。 例えば次が挙げられます。

      {
         "tags": {
            "environment": "test"
         },
         "properties": {
            "desired": {}
         }
      }
      

   6. [保存] を選択します。

4. IoT Edge ランタイムをインストールするときに使用する個々の登録の 主キー の値をコピーします。

これで、このデバイスの登録が存在しているので、IoT Edge ランタイムによってインストール時にデバイスを自動的にプロビジョニングできます。

DPS グループ登録を作成する

1. Azure portal で、IoT Hub デバイス プロビジョニング サービスのインスタンスに移動します。

2. [ 設定] で、[ 登録の管理] を選択します。

3. [ 個々の登録の追加] を選択し、次の手順を実行して登録を構成します。

   1. グループ名を指定します。

   2. 構成証明の種類として [対称キー ] を選択します。

   3. 登録が IoT Edge デバイス用であることを宣言するには 、[True] を 選択します。 グループ登録の場合、すべてのデバイスを IoT Edge デバイスにする必要があります。そうしない場合、いずれも IoT Edge デバイスにすることはできません。

   4. 必要に応じて、 初期デバイス ツイン状態にタグ値を追加します。 タグを使用して、デバイス グループをモジュール展開のターゲットにすることができます。 例えば次が挙げられます。

      {
         "tags": {
            "environment": "test"
         },
         "properties": {
            "desired": {}
         }
      }
      

   5. [保存] を選択します。

4. グループ登録で使用するデバイス キー を作成するときに使用する登録グループの主キーの値をコピーします。

これで、登録グループが存在しているので、IoT Edge ランタイムによってインストール時にデバイスを自動的にプロビジョニングできます。

デバイス キーを派生させる

グループ登録の一部としてプロビジョニングされる各デバイスには、プロビジョニング中に登録で対称キー構成証明を実行するために、派生デバイス キーが必要です。

デバイス キーを生成するには、DPS 登録グループからコピーしたキーを使用して、デバイスの一意の登録 ID の HMAC-SHA256 を計算し、結果を Base64 形式に変換します。

Windows では、次の例に示すように、PowerShell を使用して派生デバイス キーを生成することができます。

KEY の値を、前に説明した主キーに置き換えます。

REG_IDの値をデバイスの登録 ID に置き換えます。

$KEY='PASTE_YOUR_ENROLLMENT_KEY_HERE'
$REG_ID='PASTE_YOUR_REGISTRATION_ID_HERE'

$hmacsha256 = New-Object System.Security.Cryptography.HMACSHA256
$hmacsha256.key = [Convert]::FromBase64String($KEY)
$sig = $hmacsha256.ComputeHash([Text.Encoding]::ASCII.GetBytes($REG_ID))
$derivedkey = [Convert]::ToBase64String($sig)
echo "`n$derivedkey`n"

派生デバイス キーの出力例を次に示します。

Jsm0lyGpjaVYVP2g3FnmnmG9dI/9qU24wNoykUmermc=

ターゲット デバイスに Windows に IoT Edge for Linux をインストールします。

1. 管理者特権の PowerShell セッションで、次の各コマンドを実行し、IoT Edge for Linux on Windows をダウンロードします。

   $msiPath = $([io.Path]::Combine($env:TEMP, 'AzureIoTEdge.msi'))
   $ProgressPreference = 'SilentlyContinue'
   Invoke-WebRequest "https://aka.ms/AzEflowMSI" -OutFile $msiPath
   

2. IoT Edge for Linux on Windows をデバイスにインストールします。

   Start-Process -Wait msiexec -ArgumentList "/i","$([io.Path]::Combine($env:TEMP, 'AzureIoTEdge.msi'))","/qn"
   

   インストール コマンドに INSTALLDIR="<FULLY_QUALIFIED_PATH>" パラメーターと VHDXDIR="<FULLY_QUALIFIED_PATH>" パラメーターを追加することで、IoT Edge for Linux on Windows のカスタム インストールと VHDX ディレクトリを指定できます。 たとえば、 インストールに D:\EFLOW フォルダーを使用し、 VHDX に D:\EFLOW-VHDX を使用する場合は、次の PowerShell コマンドレットを使用できます。

   Start-Process -Wait msiexec -ArgumentList "/i","$([io.Path]::Combine($env:TEMP, 'AzureIoTEdge.msi'))","/qn","INSTALLDIR=D:\EFLOW", "VHDXDIR=D:\EFLOW-VHDX"
   

3. ターゲット デバイスの実行ポリシーがまだ AllSigned に設定されていない場合、これを設定します。 最新の実行ポリシーをチェックしたり実行ポリシーを AllSigned に設定したりするためのコマンドについては、PowerShell の前提条件を参照してください。

4. IoT Edge for Linux on Windows のデプロイを設定します。 このデプロイによって Linux 仮想マシンが作成され、IoT Edge ランタイムが自動的にインストールされます。

   Deploy-Eflow
   

   ヒント

   既定では Deploy-Eflow コマンドを実行すると、1 GB の RAM、1 つの仮想 CPU コア、16 GB のディスク領域を持つ Linux 仮想マシンを作成します。 ですが、VM に必要なリソースは、デプロイするワークロードに大きく左右されます。 ワークロードを処理するのに十分なメモリがなければ、VM は起動に失敗します。

   Deploy-Eflow コマンドのオプションでパラメーターを指定することで、仮想マシンで使用できるリソースをカスタマイズできます。

   たとえば、次のコマンドでは、4 つの vCPU コア、4 GB の RAM (MB 単位)、20 GB のディスク領域を持つ仮想マシンが作成されます。

   Deploy-Eflow -cpuCount 4 -memoryInMB 4096 -vmDiskSize 20
   

   使用可能なすべての省略可能なパラメーターについては、 Windows 上の IoT Edge for Linux 用 PowerShell 関数に関する記事を参照してください。

   警告

   既定では、EFLOW の Linux 仮想マシンには DNS 構成がありません。 DHCP を使用したデプロイでは、DHCP サーバーによって伝達された DNS 構成の取得が試みられます。 DNS の構成を確認して、インターネット接続を確保してください。 詳細については、「 AzEFLOW-DNS」を参照してください。

   GPU をデプロイに割り当てて、GPU アクセラレーション対応の Linux モジュールを有効にできます。 これらの機能にアクセスするには、 Windows 上の Azure IoT Edge for Linux の GPU アクセラレーションに関する詳細な前提条件をインストールする必要があります。

   GPU パススルーを使用するには、 gpuName、 gpuPassthroughType、 および gpuCount パラメーターを Deploy-Eflow コマンドに追加します。 使用可能なすべての省略可能なパラメーターについては、 Windows 上の IoT Edge for Linux 用 PowerShell 関数に関する記事を参照してください。

   警告

   ハードウェア デバイスのパススルーを有効にすると、セキュリティ リスクが高まる可能性があります。 該当する場合は、GPU ベンダーが提供する、デバイスのリスク軽減ドライバーをお勧めします。 詳細については、「 個別のデバイス割り当てを使用してグラフィックス デバイスを展開する」を参照してください。

5. ライセンス条項に同意するには、「Y」と入力します。

6. 設定に応じて、オプションの 診断データ のオンとオフを切り替えるには、「O」または「R」と入力します。

7. デプロイが完了すると、PowerShell ウィンドウで デプロイが成功したと報告されます。

   

   デプロイが正常に完了したら、デバイスをプロビジョニングする準備が整いました。

1. をインストールし、Windows Admin Center を開きます。

   Windows Admin Center のスタート ページの接続の一覧に、Windows Admin Center を実行している PC を表すローカル ホスト接続が表示されます。 管理する追加のサーバー、PC、またはクラスターもここに表示されます。

   Windows Admin Center を使用して、ローカル デバイスまたはリモートマネージド デバイスで Windows 上の Linux 用 Azure IoT Edge を管理できます。 このガイドでは、ローカル ホスト接続が、Windows 上の Linux 用 Azure IoT Edge のデプロイのターゲット デバイスとして機能します。

2. 次に示すように、ローカル デバイスが [すべての接続] に一覧表示されていることを確認します。

   

   ローカル デバイスではなくリモート ターゲット デバイスに展開する場合に、目的のターゲット デバイスが一覧に表示されない場合は、 指示に従ってデバイスを追加します。

3. [+ 追加] を選択してデプロイの作成を開始します。 このデプロイによって Linux 仮想マシンが作成され、IoT Edge ランタイムが自動的にインストールされます。

4. [ リソースの追加または作成 ] ウィンドウで、 Azure IoT Edge タイルを見つけます。 [ 新規作成] を選択して、Windows 上の Azure IoT Edge for Linux の新しいインスタンスをデバイスにインストールします。

   デバイスで実行されている Windows 上の IoT Edge for Linux が既にある場合は、[ 追加 ] を選択して既存の IoT Edge デバイスに接続し、Windows Admin Center で管理できます。

   

5. Azure IoT Edge for Linux on Windows デプロイの作成ペインが開きます。 1. [はじめに ] タブで、最小要件を確認し、[ 次へ] を選択します。

6. ライセンス条項を確認し、[ 同意する] をオンにして、[ 次へ] を選択します。

7. 設定に応じて、 オプションの診断データ のオンとオフを切り替えることができます。

8. [ 次へ: デプロイ] を選択します。

   

9. 2. [展開 ] タブの [ ターゲット デバイスの選択] で、表示されているデバイスをクリックして、最小要件を満たしていることを検証します。 サポートされている状態が確認されたら、[次 ] を選択します。

   

10. [2.2 設定] タブで、展開の構成設定を確認します。 次の表は、設定とその既定値を示しています。

    設定	既定値
    仮想ディスク サイズ (GB)	16
    MB単位のメモリ (偶数)	1024
    コア数	2
    Azure IoT Edge のバージョン	1.1 (LTS)

    注

    Windows 上の Linux 用 IoT Edge では、Linux 仮想マシンに内部 IP アドレスを割り当てる既定のスイッチが使用されます。 この内部 IP アドレスは、Windows コンピューターの外部からは到達できません。 Windows マシンにログオンしている間は、仮想マシンにローカルで接続できます。

    Windows Server を使用している場合は、Windows に IoT Edge for Linux をデプロイする前に 、既定のスイッチを設定 します。

    GPU をデプロイに割り当てて、GPU アクセラレーション対応の Linux モジュールを有効にできます。 これらの機能にアクセスするには、 Windows 上の Azure IoT Edge for Linux の GPU アクセラレーションに関する詳細な前提条件をインストールする必要があります。 展開プロセスのこの時点でこれらの前提条件のみをインストールする場合は、最初からもう一度開始する必要があります。

    GPU パススルーには、デプロイに割り当てる GPU アダプターに応じて、 ダイレクト デバイス割り当て (DDA) と GPU 準仮想化 (GPU-PV) の 2 つのオプションがあります。

    ダイレクト デバイス割り当て方法では、Linux 仮想マシンに割り当てる GPU プロセッサの数を選択します。

    準仮想化メソッドの場合、追加の設定は必要ありません。

    警告

    ハードウェア デバイスのパススルーを有効にすると、セキュリティ リスクが高まる可能性があります。 該当する場合は、GPU ベンダーが提供する、デバイスのリスク軽減ドライバーをお勧めします。 詳細については、「 個別のデバイス割り当てを使用してグラフィックス デバイスを展開する」を参照してください。

    設定に問題がなければ、[ 次へ] を選択します。

11. [2.3 デプロイ] タブでは、デプロイの進行状況を確認できます。 完全なプロセスには、Azure IoT Edge for Linux on Windows パッケージのダウンロード、パッケージのインストール、ホスト デバイスの構成、Linux 仮想マシンの設定が含まれます。 このプロセスの完了には数分かかる場合があります。 デプロイが成功したときの表示を次に示します。

    

12. デプロイが完了したら、デバイスをプロビジョニングする準備が整います。 [ 次へ: 接続 ] を選択して 、3 に進みます。 Azure IoT Edge デバイスのプロビジョニングを処理する [接続] タブ。

PowerShell の場合は、プレースホルダーの値を独自の値で更新して、次のコマンドを実行します。

Provision-EflowVm -provisioningType DpsSymmetricKey -​scopeId PASTE_YOUR_ID_SCOPE_HERE -registrationId PASTE_YOUR_REGISTRATION_ID_HERE -symmKey PASTE_YOUR_PRIMARY_KEY_OR_DERIVED_KEY_HERE

Windows Admin Center の場合は、次の手順を使用します。

1. Azure IoT Edge デバイス プロビジョニング ウィンドウで、プロビジョニング方法のドロップダウンから対称キー (DPS) を選択します。

2. Azure portal で、DPS インスタンスに移動します。

3. [Windows Admin Center] フィールドに、DPS スコープ ID、デバイス登録 ID、登録主キーまたは派生キーを指定します。

4. 選択 した方法で [プロビジョニング] を選択します。

   

5. プロビジョニングが完了したら、[ 完了] を選択します。 メイン ダッシュボードに戻ります。 これで、種類がIoT Edge Devicesという新しいデバイスがリストに表示されます。 接続する IoT Edge デバイスを選択できます。 [ 概要 ] ページで、デバイスの IoT Edge モジュールの一覧 と IoT Edge の状態 を確認できます。

デバイス プロビジョニング サービスで作成した個々の登録が使用されたことを確認できます。 Azure portal でデバイス プロビジョニング サービス インスタンスに移動します。 作成した個々の登録の詳細を開きます。 登録の状態が 割り当てられ 、デバイス ID が一覧表示されていることに注意してください。

デバイス プロビジョニング サービスで作成したグループ登録が使用されたことを確認できます。 Azure portal でデバイス プロビジョニング サービス インスタンスに移動します。 作成したグループ登録の詳細を開きます。 [ 登録レコード ] タブに移動して、そのグループに登録されているすべてのデバイスを表示します。

1. PowerShell セッションで次のコマンドを使用して、お使いの IoT Edge for Linux on Windows 仮想マシンにログインします。

   Connect-EflowVm
   

   注

   仮想マシンへの SSH 接続が許可されるアカウントは、それを作成したユーザーだけです。

2. ログインすると、次の Linux コマンドを使用して、実行中の IoT Edge モジュールの一覧を確認できます。

   sudo iotedge list
   

3. IoT Edge サービスのトラブルシューティングを行う必要がある場合は、次の Linux コマンドを使用します。

   1. サービスのログを取得します。

      sudo journalctl -u iotedge
      

   2. check ツールを使用して、デバイスの構成と接続の状態を確認します。

      sudo iotedge check
      

   注

   新しくプロビジョニングされたデバイスでは、IoT Edge ハブに関連するエラーが表示される場合があります。

   ×運用環境の準備: Edge Hub のストレージ ディレクトリがホスト ファイル システムに保持される - エラー

   edgeHub コンテナーの現在の状態を確認できませんでした

   このエラーは、IoT Edge ハブ モジュールが実行されていないために、新しくプロビジョニングされたデバイスで発生します。 このエラーを解決するには、IoT Hub でデバイスのモジュールを設定し、デプロイを作成します。 デバイスのデプロイを作成することで、IoT Edge ハブ モジュールを含むモジュールがデバイス上で開始されます。

1. Windows Admin Center で接続されているデバイスの一覧から IoT Edge デバイスを選択して接続します。

2. デバイスの概要ページには、デバイスに関するいくつかの情報が表示されます。

   • IoT Edge モジュールの一覧セクションには、デバイスで実行中のモジュールが表示されます。 IoT Edge サービスが初めて開始されると、 edgeAgent モジュールのみが実行されていることがわかります。 edgeAgent モジュールが既定で実行され、デバイスにデプロイする追加モジュールのインストールと起動を支援します。

   • [IoT Edge の状態] セクションにサービスの状態が表示され、アクティブ (実行中) を報告している必要があります。