安装具有自动资源配置功能的 Amazon IoT Greengrass Core 软件 - Amazon IoT Greengrass
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

安装具有自动资源配置功能的 Amazon IoT Greengrass Core 软件

Amazon IoT Greengrass核心软件包括一个安装程序,可将您的设备设置为 Greengrass 核心设备。要快速设置设备,安装程序可以预配置核心设备运行所需Amazon IoT的事物、事物组、IAM Amazon IoT 角色和角色别名。Amazon IoT安装程序还可以将本地开发工具部署到核心设备,因此您可以使用该设备开发和测试自定义软件组件。安装程序需要Amazon凭据才能配置这些资源和创建部署。

如果您无法向设备提供Amazon凭据,则可以配置核心设备运行所需的Amazon资源。您也可以将开发工具部署到核心设备上,用作开发设备。这使您能够在运行安装程序时向设备提供更少的权限。有关更多信息,请参阅 使用手动资源配置来安装 Amazon IoT Greengrass Core 软件

重要

在下载Amazon IoT Greengrass核心软件之前,请检查您的核心设备是否满足安装和运行Amazon IoT Greengrass酷睿软件 v2.0 的要求

设置设备环境

按照本节中的步骤设置要用作Amazon IoT Greengrass核心设备的 Linux 或 Windows 设备。

设置 Linux 设备

设置 Linux 设备用于 Amazon IoT Greengrass V2
  1. 安装 Java 运行时,Amazon IoT Greengrass核心软件需要运行该运行时。我们建议您使用 Amazon Cor retto OpenJDK 长期支持版本。需要版本 8 或更高版本。以下命令向您展示了如何在您的设备上安装 OpenJDK。

    • 对于基于 Debian 或基于 Ubuntua 的发行版:

      sudo apt install default-jdk
    • 对于基于 Red Hat 的发行版:

      sudo yum install java-11-openjdk-devel
    • 对于 Amazon Linux 2:

      sudo amazon-linux-extras install java-openjdk11
    • 对于亚马逊 Linux 2023:

      sudo dnf install java-11-amazon-corretto -y

    安装完成后,运行以下命令以验证 Java 是否在您的 Linux 设备上运行。

    java -version

    该命令会打印设备上运行的 Java 版本。例如,在基于 Debian 的发行版上,输出可能与以下示例类似。

    openjdk version "11.0.9.1" 2020-11-04
    OpenJDK Runtime Environment (build 11.0.9.1+1-post-Debian-1deb10u2)
    OpenJDK 64-Bit Server VM (build 11.0.9.1+1-post-Debian-1deb10u2, mixed mode)
  2. (可选)创建在设备上运行组件的默认系统用户和组。您也可以选择让Amazon IoT Greengrass核心软件安装程序在安装过程中使用安装程序参数创建此用户和组。--component-default-user有关更多信息,请参阅 安装程序参数

    sudo useradd --system --create-home ggc_user sudo groupadd --system ggc_group
  3. 验证运行 Amazon IoT Greengrass Core 软件的用户(通常root)是否有权sudo与任何用户和任何组一起运行。

    1. 运行以下命令打开该/etc/sudoers文件。

      sudo visudo
    2. 验证用户的权限是否如以下示例所示。

      root ALL=(ALL:ALL) ALL
  4. (可选)要运行容器化 Lambda 函数,必须启用 c groups v1,并且必须启用并挂载内存和设备 cgroups。如果您不打算运行容器化 Lambda 函数,则可以跳过此步骤。

    要启用这些 cgroups 选项,请使用以下 Linux 内核参数启动设备。

    cgroup_enable=memory cgroup_memory=1 systemd.unified_cgroup_hierarchy=0

    有关查看和设置设备内核参数的信息,请参阅操作系统和启动加载程序的文档。按照说明永久设置内核参数。

  5. 按照中的要求列表所示,在您的设备上安装所有其他必需的依赖项设备要求

设置 Windows 设备

要将 Windows 设备设置为 Amazon IoT Greengrass V2
  1. 安装 Java 运行时,Amazon IoT Greengrass核心软件需要运行该运行时。我们建议您使用 Amazon Cor retto OpenJDK 长期支持版本。需要版本 8 或更高版本。

  2. 检查 PATH 系统变量上是否有 Java 可用,如果没有,请添加它。该 LocalSystem 帐户运行 Amazon IoT Greengrass Core 软件,因此您必须将 Java 添加到 PATH 系统变量中,而不是用户的 PATH 用户变量。执行以下操作:

    1. 按下 Windows 键打开开始菜单。

    2. 键入environment variables以从 “开始” 菜单中搜索系统选项。

    3. 在开始菜单搜索结果中,选择编辑系统环境变量以打开系统属性窗口。

    4. 选择环境变量... 打开 “环境变量” 窗口。

    5. 在 “系统变量” 下,选择 “路径”,然后选择 “编辑”。在 “编辑环境变量” 窗口中,可以在单独的行上查看每个路径。

    6. 检查 Java 安装bin文件夹的路径是否存在。路径可能与以下示例类似。

      C:\\Program Files\\Amazon Corretto\\jdk11.0.13_8\\bin
    7. 如果路径中缺少 Java 安装bin的文件夹,请选择 “新建” 将其添加,然后选择 “确定”

  3. 以管理员身份打开 Windows 命令提示符 (cmd.exe)。

  4. 在 Windows 设备上的 LocalSystem 帐户中创建默认用户。将密码替换为安全密码。

    net user /add ggc_user password
    提示

    根据你的 Windows 配置,用户的密码可能会设置为在将来的某个日期过期。为确保您的 Greengrass 应用程序继续运行,请跟踪密码何时过期,并在密码过期之前对其进行更新。您也可以将用户的密码设置为永不过期。

    • 要检查用户及其密码何时过期,请运行以下命令。

      net user ggc_user | findstr /C:expires
    • 要将用户的密码设置为永不过期,请运行以下命令。

      wmic UserAccount where "Name='ggc_user'" set PasswordExpires=False
    • 如果你使用的是已弃用该wmic命令的 Windows 10 或更高版本,请运行以下 PowerShell 命令。

      Get-CimInstance -Query "SELECT * from Win32_UserAccount WHERE name = 'ggc_user'" | Set-CimInstance -Property @{PasswordExpires="False"}
  5. 从微软下载该PsExec实用程序并将其安装到设备上。

  6. 使用该 PsExec 实用程序将默认用户的用户名和密码存储在 LocalSystem 账户的凭据管理器实例中。将密码替换为您之前设置的用户密码。

    psexec -s cmd /c cmdkey /generic:ggc_user /user:ggc_user /pass:password

    如果PsExec License Agreement打开,Accept请选择同意许可并运行命令。

    注意

    在 Windows 设备上,该 LocalSystem 帐户运行 Greengrass 核心,您必须使用 PsExec 该实用程序在帐户中存储默认用户信息。 LocalSystem 使用凭据管理器应用程序将此信息存储在当前登录用户的 Windows 帐户中,而不是 LocalSystem 帐户中。

为设备提供Amazon凭证

向设备提供您的Amazon凭据,以便安装程序可以配置所需的Amazon资源。有关所需权限的更多信息,请参阅 安装程序配置资源的最低 IAM 策略

为设备提供Amazon凭证
  • 向设备提供您的Amazon证书,以便安装程序可以为您的核心设备配置Amazon IoT和 IAM 资源。为了提高安全性,我们建议您为 IAM 角色获取临时证书,该证书仅允许配置所需的最低权限。有关更多信息,请参阅 安装程序配置资源的最低 IAM 策略

    注意

    安装程序不会保存或存储您的凭据。

    在您的设备上,执行以下任一操作以检索凭证并将其提供给 Amazon IoT Greengrass Core 软件安装程序:

    • (推荐)使用来自的临时凭证 Amazon IAM Identity Center

      1. 提供来自 IAM 身份中心的访问密钥 ID、私有访问密钥和会话令牌。有关更多信息,请参阅 IAM Identity Center 用户指南获取和刷新临时证书中的手动刷新凭证。

      2. 运行以下命令为Amazon IoT Greengrass核心软件提供凭据。

        Linux or Unix
        export AWS_ACCESS_KEY_ID=AKIAIOSFODNN7EXAMPLE export AWS_SECRET_ACCESS_KEY=wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY export AWS_SESSION_TOKEN=AQoDYXdzEJr1K...o5OytwEXAMPLE=
        Windows Command Prompt (CMD)
        set AWS_ACCESS_KEY_ID=AKIAIOSFODNN7EXAMPLE set AWS_SECRET_ACCESS_KEY=wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY set AWS_SESSION_TOKEN=AQoDYXdzEJr1K...o5OytwEXAMPLE=
        PowerShell
        $env:AWS_ACCESS_KEY_ID="AKIAIOSFODNN7EXAMPLE" $env:AWS_SECRET_ACCESS_KEY="wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY" $env:AWS_SESSION_TOKEN="AQoDYXdzEJr1K...o5OytwEXAMPLE="
    • 使用 IAM 角色提供的临时安全证书:

      1. 提供您代入的 IAM 角色的访问密钥 ID、私有访问密钥和会话令牌。有关如何检索这些证书的更多信息,请参阅 IAM 用户指南中的申请临时安全证书

      2. 运行以下命令为Amazon IoT Greengrass核心软件提供凭据。

        Linux or Unix
        export AWS_ACCESS_KEY_ID=AKIAIOSFODNN7EXAMPLE export AWS_SECRET_ACCESS_KEY=wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY export AWS_SESSION_TOKEN=AQoDYXdzEJr1K...o5OytwEXAMPLE=
        Windows Command Prompt (CMD)
        set AWS_ACCESS_KEY_ID=AKIAIOSFODNN7EXAMPLE set AWS_SECRET_ACCESS_KEY=wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY set AWS_SESSION_TOKEN=AQoDYXdzEJr1K...o5OytwEXAMPLE=
        PowerShell
        $env:AWS_ACCESS_KEY_ID="AKIAIOSFODNN7EXAMPLE" $env:AWS_SECRET_ACCESS_KEY="wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY" $env:AWS_SESSION_TOKEN="AQoDYXdzEJr1K...o5OytwEXAMPLE="
    • 使用 IAM 用户的长期证书:

      1. 为您的 IAM 用户提供访问密钥 ID 和私有访问密钥。您可以创建用于预配置的 IAM 用户,稍后再将其删除。有关向用户提供的 IAM 策略,请参阅安装程序配置资源的最低 IAM 策略。有关如何检索长期证书的更多信息,请参阅 IAM 用户指南中的管理 IAM 用户的访问密钥

      2. 运行以下命令为Amazon IoT Greengrass核心软件提供凭据。

        Linux or Unix
        export AWS_ACCESS_KEY_ID=AKIAIOSFODNN7EXAMPLE export AWS_SECRET_ACCESS_KEY=wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
        Windows Command Prompt (CMD)
        set AWS_ACCESS_KEY_ID=AKIAIOSFODNN7EXAMPLE set AWS_SECRET_ACCESS_KEY=wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
        PowerShell
        $env:AWS_ACCESS_KEY_ID="AKIAIOSFODNN7EXAMPLE" $env:AWS_SECRET_ACCESS_KEY="wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY"
      3. (可选)如果您创建了一个 IAM 用户来配置您的 Greengrass 设备,请删除该用户。

      4. (可选)如果您使用了现有 IAM 用户的访问密钥 ID 和私有访问密钥,请更新该用户的密钥,使其不再有效。有关更多信息,请参阅Amazon Identity and Access Management用户指南中的更新访问密钥

下载Amazon IoT Greengrass核心软件

您可以从以下位置下载最新版本的 Amazon IoT Greengrass Core 软件:

注意

您可以从以下位置下载特定版本的 Amazon IoT Greengrass Core 软件。将版本替换为要下载的版本。

https://d2s8p88vqu9w66.cloudfront.net/releases/greengrass-version.zip
下载Amazon IoT Greengrass核心软件
  1. 在您的核心设备上,将 Amazon IoT Greengrass Core 软件下载到名为的文件中greengrass-nucleus-latest.zip

    Linux or Unix
    curl -s https://d2s8p88vqu9w66.cloudfront.net/releases/greengrass-nucleus-latest.zip > greengrass-nucleus-latest.zip
    Windows Command Prompt (CMD)
    curl -s https://d2s8p88vqu9w66.cloudfront.net/releases/greengrass-nucleus-latest.zip > greengrass-nucleus-latest.zip
    PowerShell
    iwr -Uri https://d2s8p88vqu9w66.cloudfront.net/releases/greengrass-nucleus-latest.zip -OutFile greengrass-nucleus-latest.zip

    下载此软件即表示您同意Greengrass Core 软件许可协议

  2. (可选)验证 Greengrass nucleus 软件签名

    注意

    此功能在 Greengrass nucleus 版本 2.9.5 及更高版本中可用。

    1. 使用以下命令验证你的 Greengrass 核工件的签名:

      Linux or Unix
      jarsigner -verify -certs -verbose greengrass-nucleus-latest.zip
      Windows Command Prompt (CMD)

      根据您安装的 JDK 版本,文件名可能有所不同。jdk17.0.6_10替换为您安装的 JDK 版本。

      "C:\\Program Files\\Amazon Corretto\\jdk17.0.6_10\\bin\\jarsigner.exe" -verify -certs -verbose greengrass-nucleus-latest.zip
      PowerShell

      根据您安装的 JDK 版本,文件名可能有所不同。jdk17.0.6_10替换为您安装的 JDK 版本。

      'C:\\Program Files\\Amazon Corretto\\jdk17.0.6_10\\bin\\jarsigner.exe' -verify -certs -verbose greengrass-nucleus-latest.zip
    2. jarsigner调用会产生指示验证结果的输出。

      1. 如果 Greengrass nucleus zip 文件已签名,则输出将包含以下语句:

        jar verified.
      2. 如果 Greengrass nucleus zip 文件未签名,则输出将包含以下语句:

        jar is unsigned.
    3. 如果您提供了 Jarsigner -certs 选项以及-verify-verbose选项,则输出还包括详细的签名者证书信息。

  3. 将 Amazon IoT Greengrass Core 软件解压缩到设备上的某个文件夹。GreengrassInstaller替换为要使用的文件夹。

    Linux or Unix
    unzip greengrass-nucleus-latest.zip -d GreengrassInstaller && rm greengrass-nucleus-latest.zip
    Windows Command Prompt (CMD)
    mkdir GreengrassInstaller && tar -xf greengrass-nucleus-latest.zip -C GreengrassInstaller && del greengrass-nucleus-latest.zip
    PowerShell
    Expand-Archive -Path greengrass-nucleus-latest.zip -DestinationPath .\\GreengrassInstaller rm greengrass-nucleus-latest.zip
  4. (可选)运行以下命令以查看 Amazon IoT Greengrass Core 软件的版本。

    java -jar ./GreengrassInstaller/lib/Greengrass.jar --version
重要

如果您安装了 v2.4.0 之前的 Greengrass nucleus 版本,则在安装 Core 软件后请勿删除此文件夹。Amazon IoT GreengrassC Amazon IoT Greengrass ore 软件使用此文件夹中的文件来运行。

如果您下载的是最新版本的软件,则需要安装 v2.4.0 或更高版本,并且可以在安装 C Amazon IoT Greengrass ore 软件后删除此文件夹。

安装 Amazon IoT Greengrass Core 软件

使用指定执行以下操作的参数运行安装程序:

  • 创建核心设备运行所需的Amazon资源。

  • 指定使用ggc_user系统用户在核心设备上运行软件组件。在 Linux 设备上,此命令还指定使用ggc_group系统组,安装程序会为您创建系统用户和组。

  • 将 Amazon IoT Greengrass Core 软件设置为启动时运行的系统服务。在 Linux 设备上,这需要 Systemd 初始化系统。

    重要

    在 Windows 核心设备上,必须将Amazon IoT Greengrass核心软件设置为系统服务。

要使用本地开发工具设置开发设备,请指定--deploy-dev-tools true参数。安装完成后,部署本地开发工具最多可能需要一分钟。

有关您可以指定的参数的更多信息,请参阅安装程序参数

注意

如果您在内存有限的设备Amazon IoT Greengrass上运行,则可以控制Amazon IoT Greengrass酷睿软件使用的内存量。要控制内存分配,您可以在 nucleus 组件的jvmOptions配置参数中设置 JVM 堆大小选项。有关更多信息,请参阅 使用 JVM 选项控制内存分配

安装 Amazon IoT Greengrass Core 软件
  1. 运行Amazon IoT Greengrass核心安装程序。按如下方式替换命令中的参数值。

    1. /greengrass/v2C:\greengrass\v2:用于安装Amazon IoT Greengrass核心软件的根文件夹的路径。

    2. GreengrassInstaller。您解压缩Amazon IoT Greengrass核心软件安装程序的文件夹的路径。

    3. 区域。Amazon Web Services 区域在其中查找或创建资源。

    4. MyGreengrassCore。你的 Green Amazon IoT grass 核心设备的名称。如果该东西不存在,则安装程序会创建它。安装程序下载证书以进行身份Amazon IoT验证。有关更多信息,请参阅 Amazon IoT Greengrass 的设备身份验证和授权

      注意

      事物名称不能包含冒号 (:) 字符。

    5. MyGreengrassCoreGroup。你的 Greengrass 核心设备Amazon IoT的事物组名称。如果事物组不存在,则安装程序会创建该组并将其添加到其中。如果事物组存在且部署处于活动状态,则核心设备将下载并运行部署指定的软件。

      注意

      事物组名称不能包含冒号 (:) 字符。

    6. GreenGras ThingPolicy sv2IoT。允许 Greengrass 核心设备与和通信的Amazon IoT策略名称。Amazon IoT Amazon IoT Greengrass如果该Amazon IoT策略不存在,则安装程序会使用此名称创建允许Amazon IoT策略。您可以根据自己的用例限制此策略的权限。有关更多信息,请参阅 Amazon IoT Greengrass V2核心设备的最低Amazon IoT政策

    7. GreenGras TokenExchangeRole sV2。允许 Greengrass 核心设备获得临时证书的 IAM 角色的名称。Amazon如果该角色不存在,则安装程序会创建该角色并创建并附加名为的策略GreengrassV2TokenExchangeRoleAccess。有关更多信息,请参阅 授权核心设备与Amazon服务

    8. GreengrassCoreTokenExchangeRoleAlias。IAM 角色的别名,允许 Greengrass 核心设备稍后获得临时证书。如果角色别名不存在,则安装程序会创建该别名并将其指向您指定的 IAM 角色。有关更多信息,请参阅 授权核心设备与Amazon服务

    Linux or Unix
    sudo -E java -Droot="/greengrass/v2" -Dlog.store=FILE \ -jar ./GreengrassInstaller/lib/Greengrass.jar \ --aws-region region \ --thing-name MyGreengrassCore \ --thing-group-name MyGreengrassCoreGroup \ --thing-policy-name GreengrassV2IoTThingPolicy \ --tes-role-name GreengrassV2TokenExchangeRole \ --tes-role-alias-name GreengrassCoreTokenExchangeRoleAlias \ --component-default-user ggc_user:ggc_group \ --provision true \ --setup-system-service true
    Windows Command Prompt (CMD)
    java -Droot="C:\greengrass\v2" "-Dlog.store=FILE" ^ -jar ./GreengrassInstaller/lib/Greengrass.jar ^ --aws-region region ^ --thing-name MyGreengrassCore ^ --thing-group-name MyGreengrassCoreGroup ^ --thing-policy-name GreengrassV2IoTThingPolicy ^ --tes-role-name GreengrassV2TokenExchangeRole ^ --tes-role-alias-name GreengrassCoreTokenExchangeRoleAlias ^ --component-default-user ggc_user ^ --provision true ^ --setup-system-service true
    PowerShell
    java -Droot="C:\greengrass\v2" "-Dlog.store=FILE" ` -jar ./GreengrassInstaller/lib/Greengrass.jar ` --aws-region region ` --thing-name MyGreengrassCore ` --thing-group-name MyGreengrassCoreGroup ` --thing-policy-name GreengrassV2IoTThingPolicy ` --tes-role-name GreengrassV2TokenExchangeRole ` --tes-role-alias-name GreengrassCoreTokenExchangeRoleAlias ` --component-default-user ggc_user ` --provision true ` --setup-system-service true
    重要

    在 Windows 核心设备上,--setup-system-service true必须指定将Amazon IoT Greengrass核心软件设置为系统服务。

    如果安装成功,安装程序会打印以下消息:

    • 如果您指定--provision,则安装程序将在成功配置资源时打印Successfully configured Nucleus with provisioned resource details出来。

    • 如果您指定--deploy-dev-tools,则安装程序将在成功创建部署时打印Configured Nucleus to deploy aws.greengrass.Cli component出来。

    • 如果您指定--setup-system-service true,则安装程序在将软件设置为服务并运行时会打印Successfully set up Nucleus as a system service出来。

    • 如果您未指定--setup-system-service true,则安装程序会打印Launched Nucleus successfully成功并运行软件。

  2. 如果您安装了 Greengrass 核 v2.0.4 或更高版本,请跳过此步骤。如果您下载的是最新版本的软件,则说明您安装了 v2.0.4 或更高版本。

    运行以下命令为Amazon IoT Greengrass核心软件根文件夹设置所需的文件权限。/greengrass/v2替换为您在安装命令中指定的根文件夹,将 /greengrass 替换为根文件夹的父文件夹。

    sudo chmod 755 /greengrass/v2 && sudo chmod 755 /greengrass

如果您将 Amazon IoT Greengrass Core 软件作为系统服务安装,则安装程序会为您运行该软件。否则,必须手动运行该软件。有关更多信息,请参阅 运行Amazon IoT Greengrass核心软件

注意

默认情况下,安装程序创建的 IAM 角色不允许访问 S3 存储桶中的组件项目。要在 Amazon S3 中部署定义构件的自定义组件,您必须向该角色添加权限以允许您的核心设备检索组件工件。有关更多信息,请参阅 允许访问 S3 存储桶以获取组件项目

如果您还没有用于组件工件的 S3 存储桶,则可以在创建存储桶后添加这些权限。

有关如何配置和使用软件的更多信息Amazon IoT Greengrass,请参阅以下内容: