Moduly Guardian

  • Článek

Modul strážce je doplňkový hardware, který obsahuje čip Azure Sphere a fyzicky se připojuje k portu na zařízení "brownfield" – to znamená existující zařízení, které se už možná používá.

Pomocí modulu strážce můžete přidat zabezpečené funkce IoT do zařízení, která buď nepodporují připojení k internetu, nebo ho nepodporují bezpečně. Stručně řečeno, modul strážce poskytuje způsob, jak implementovat zabezpečené připojení ve stávajících zařízeních bez zpřístupnění těchto zařízení na internetu. Vzhledem k tomu, že se jedná o zařízení Azure Sphere, jsou k dispozici všechny funkce zabezpečení a připojení Azure Sphere: všechna data jsou šifrovaná, aktualizace operačního systému a aplikací se doručují bezpečně a ověřování zajišťuje, že modul komunikuje jenom s důvěryhodnými hostiteli.

Modul strážce funguje takto:

  • Modul strážce se připojuje k zařízení brownfield, jak je popsáno v části Připojení v tomto tématu. Samotné zařízení brownfield není připojené k síti.

  • Operační systém Azure Sphere běží v modulu strážce společně s vlastní aplikací vysoké úrovně a všemi dalšími aplikacemi Azure Sphere , které váš scénář vyžaduje.

  • Modul strážce používá službu Azure Sphere Security Service k ověřování na základě certifikátů, hlášení chyb a k aktualizacím softwaru přes vzduch.

  • Zařízení brownfield komunikuje s modulem guardian, který může reagovat provedením místní akce nebo nahlášením přítomnosti v cloudu, jako je Azure IoT Central.

Moduly strážců si můžete koupit od dodavatele a dále je přizpůsobit vašemu scénáři použití, nebo si můžete navrhnout vlastní modul strážce, případně spolupracovat s hardwarovým partnerem. Informace o dodavatelích hardwaru najdete na webu Azure Sphere .

Použití pro modul strážce

Modul strážce může dělat cokoliv jiného zařízení Azure Sphere a zároveň funguje jako zabezpečené rozhraní mezi stávajícím zařízením a externí sítí. Mezi možné použití modulu strážce patří:

  • Shromažďování dat ze zařízení brownfield, zpracování dat a jejich bezpečný přenos do koncového bodu cloudu
  • Odesílání dat do více koncových bodů za předpokladu, že může ověřit každý koncový bod
  • Shromažďování dalších dat, která nejsou k dispozici ze zařízení brownfield; například senzory v modulu guardian mohou poskytovat údaje o životním prostředí pro použití s provozními daty ze zařízení brownfield
  • Ukládání dat ze zařízení brownfield pro případ ztráty připojení

Úložiště ukázek Azure Sphere obsahuje dvě ukázky, které ukazují, jak se zařízení Azure Sphere může používat jako modul strážce:

  • Device to Cloud ukazuje, jak se dá zařízení Azure Sphere použít ke shromažďování dat a zároveň poskytuje zabezpečený přístup k internetu pro zařízení brownfield, které je k němu připojené přes sériové rozhraní.
  • Služby privátní sítě ukazují, jak může zařízení Azure Sphere poskytovat zabezpečený přístup k internetu pro zařízení brownfield, které je k němu připojené přes rozhraní TCP/IP.

Připojení

Existuje několik podporovaných mechanismů připojení mezi modulem guardian a sítí a mezi modulem strážce a zařízením brownfield. Obecné informace o řešeních připojení Azure Sphere najdete v tématu Přehled připojení a Požadavky na sítě.

Aplikace vysoké úrovně modulu strážce komunikuje upstream se sítí, včetně služby zabezpečení Azure Sphere a dalších cloudových služeb, a podřízeného zařízení s brownfieldem:

  • Pro upstreamová připojení mezi modulem Guardian a sítí můžete použít Ethernet, Wi-Fi nebo mobilní síť.

  • Pro podřízená připojení mezi modulem guardian a vybavením brownfieldu můžete použít následující:

    • Jakékoli sériové rozhraní, například UART, RS-485 nebo SPI, které zařízení brownfield zveřejňuje
    • Privátní ethernet, který nezpřístupňuje zařízení brownfieldu veřejné síti
    • Bezdrátové připojení, například Bluetooth nebo ZigBee

Vývoj a nasazení aplikací

Vývoj a nasazení aplikace pro modul strážce se nijak neliší od vývoje a nasazení aplikace pro jakékoli jiné zařízení Azure Sphere. Podrobnosti najdete v tématu Přehled aplikací Azure Sphere a Základy nasazení . Stejně jako u jakéhokoli zařízení Azure Sphere musí mít modul strážce alespoň jednu aplikaci Azure Sphere vysoké úrovně a také aplikace podporující real-time.

Budete potřebovat přístup ke službě UART, což je hlavní programovací a ladicí rozhraní mezi MT3620 a vývojovým prostředím běžícím na hostitelském počítači. Pokud navrhujete vlastní modul strážce, budete muset zajistit, aby signály UART služby byly vystaveny a že podporujete způsob, jak se službou UART komunikovat buď na samotném modulu strážce, nebo na samostatném hardwaru. Pokud si moduly koupíte od dodavatele, měl by dodavatel poskytnout řešení, které toto připojení umožňuje.

Pokud aplikaci vytvoří váš dodavatel nebo jiná třetí strana, budete možná muset poskytnout přístup ke svému katalogu Azure Sphere, aby vývojář aplikace mohl aplikaci načíst a otestovat a vytvořit nasazení.

Aplikace vysoké úrovně

Aplikace na vysoké úrovni v modulu strážce musí být napsaná na míru pro zařízení brownfieldů každé organizace. Pokud dodavatel modulu opatrovníka poskytuje aplikaci, ujistěte se, že obdržíte zdrojový kód aplikace vysoké úrovně a knihovny, abyste mohli aplikaci podle potřeby upravit nebo aktualizovat.

Stejně jako u všech aplikací zařízení Azure Sphere musí být v manifestu aplikace uvedeny podrobnosti specifické pro konkrétní zařízení a aplikaci. Například připojení modulu strážce jsou podrobnosti specifické pro zařízení, které musí manifest obsahovat.

Aplikace vysoké úrovně, která běží v modulu strážce, zodpovídá za následující:

  • Navázání a údržba připojení s brownfieldovým vybavením
  • Navázání a údržba připojení k internetu, včetně služby zabezpečení Azure Sphere a dalších cloudových služeb
  • Zpracování dat přijatých ze zařízení brownfield – v případě potřeby rozbalení a uložení dat a případná komunikace s internetovými hostiteli
  • Zpracování dat přijatých z internetového hostitele – v případě potřeby rozbalení a uložení dat a případná komunikace s vybavením brownfieldu

Data odesílaná do nadřazeného datového proudu můžou zahrnovat zprávy o chybách, provozní parametry nebo celkovou telemetrii. Azure Sphere zajišťuje šifrování všech těchto dat. Aplikace se může připojit k webovým službám a používat pro taková připojení vzájemné ověřování.

Data odesílaná podřízeným datům můžou zahrnovat aktualizovaný software nebo změny nastavení nebo parametrů zařízení brownfield. Aby se zabránilo potenciálnímu narušení zabezpečení, měla by aplikace ověřit příchozí data před jejich předáním do zařízení brownfield.

Důležité informace o aplikaci

Při vytváření aplikace byste měli zvážit dostupná periferní zařízení, požadavky na úložiště a spotřebu energie.

Periferní zařízení

Podobně jako u jiných zařízení Azure Sphere se moduly Strážce liší v periferních zařízeních, která zveřejňují. Zvolte modul strážce, který poskytuje možnosti připojení a rozpoznávání, které váš scénář vyžaduje.

V závislosti na hardwarové architektuře modulu Guardian – tedy na tom, jak zpřístupňuje funkce čipu Azure Sphere – můžete určit, jestli se software pro přístup k jednotlivým funkcím musí implementovat jako aplikace vysoké úrovně nebo jako aplikace podporující v reálném čase.

Požadavky na úložiště

Azure Sphere má omezené úložiště, proto pečlivě zvažte, kolik paměti je potřeba pro aplikace a data. Další informace najdete v tématu Dostupná paměť .

Při odesílání podřízených dat z cloudu do zařízení brownfield se ujistěte, že modul strážce má dostatek místa pro uložení dat. Možná budete muset odesílat data v blocích, jak ukazuje ukázka HTTPS_Curl_Multi v úložišti ukázek Azure Sphere na GitHubu.

Když odesíláte data z brownfieldu do modulu strážce, ujistěte se, že vaše aplikace dokáže zpracovat selhání připojení upstreamu. Pokud zařízení brownfield poskytuje průběžnou telemetrii, musíte zvážit, která data a kolik z toho se má zachovat a později odeslat do cloudu při obnovení připojení. Podívejte se na ukázku galerie pro ukládání a předávání, která ukazuje, jak použít místní úložiště k dočasnému ukládání dat do mezipaměti před jejich nahráním.

Spotřeba energie

Existuje mnoho aplikací, ve kterých je modul strážce většinu času neaktivní. Představte si například zařízení Azure Sphere, které jednou za hodinu shromažďuje data ze sítě senzorů a nahrává je do cloudu – operace, která může trvat minutu nebo dvě. V tomto případě se většina energie spotřebované zařízením plýtvají.

Můžete výrazně snížit spotřebu energie a tím prodloužit výdrž baterie tím, že zařízení umístíte do stavu vypnutí, když je neaktivní, nebo nastavením profilu napájení. Podrobnosti najdete v tématech Správa stavu vypnutí a Nastavení profilů napájení .