Guardian-Module
Ein Guardian-Modul ist Add-On-Hardware, die einen Azure Sphere-Chip enthält und physisch an einen Port eines "Brownfield"-Geräts angeschlossen wird, d. h. ein vorhandenes Gerät, das möglicherweise bereits verwendet wird.
Mithilfe eines Überwachungsmoduls können Sie Sichere IoT-Funktionen zu Geräten hinzufügen, die entweder keine Internetverbindung oder nicht sicher unterstützen. Kurz gesagt, ein Überwachungsmodul bietet eine Möglichkeit, sichere Konnektivität auf vorhandenen Geräten zu implementieren, ohne diese Geräte für das Internet verfügbar zu machen. Da es sich um ein Azure Sphere-Gerät handelt, sind alle Azure Sphere-Sicherheits- und Konnektivitätsfeatures verfügbar: Alle Daten werden verschlüsselt, Betriebssystem- und Anwendungsupdates werden sicher bereitgestellt, und die Authentifizierung stellt sicher, dass das Modul nur mit vertrauenswürdigen Hosts kommuniziert.
So funktioniert ein Wächtermodul:
Das Guardian-Modul stellt eine Verbindung mit einem Brownfield-Gerät her, wie im Abschnitt Konnektivität dieses Themas beschrieben. Das Brownfield-Gerät selbst ist nicht mit dem Netzwerk verbunden.
Das Azure Sphere-Betriebssystem wird im Guardian-Modul zusammen mit einer benutzerdefinierten allgemeinen Anwendung und allen anderen Azure Sphere-Anwendungen ausgeführt, die Für Ihr Szenario erforderlich sind.
Das Überwachungsmodul verwendet den Azure Sphere-Sicherheitsdienst für zertifikatbasierte Authentifizierung, Fehlerberichterstattung und Over-the-Air-Softwareupdates.
Das Brownfield-Gerät kommuniziert mit dem Wächtermodul, das reagieren kann, indem es eine lokale Aktion durchführt oder eine Meldung an eine Cloudpräsenz wie Azure IoT Central sendet.
Sie können Schutzmodule von einem Anbieter kaufen und sie für Ihr Nutzungsszenario weiter anpassen, oder Sie können Ihr eigenes Schutzmodul entwerfen und möglicherweise mit einem Hardwarepartner zusammenarbeiten. Informationen zu Hardwareanbietern finden Sie auf der Azure Sphere-Website .
Verwendungen für ein Wächtermodul
Ein Wächtermodul kann alles tun, was jedes andere Azure Sphere-Gerät tun kann, und fungiert gleichzeitig als sichere Schnittstelle zwischen vorhandenen Geräten und einem externen Netzwerk. Mögliche Verwendungsmöglichkeiten für ein Wächtermodul sind:
- Sammeln von Daten vom Brownfield-Gerät, Verarbeiten der Daten und sicheres Übertragen der Daten an einen Cloudendpunkt
- Senden von Daten an mehrere Endpunkte, vorausgesetzt, dass jeder Endpunkt authentifiziert werden kann
- Sammeln zusätzlicher Daten, die vom Brownfield-Gerät nicht verfügbar sind; Sensoren im Guardian-Modul könnten beispielsweise Umgebungsdaten für die Verwendung mit Betriebsdaten des Brownfield-Geräts bereitstellen.
- Speichern von Daten vom Brownfield-Gerät für den Fall, dass die Konnektivität verloren geht
Das Azure Sphere-Beispielrepository enthält zwei Beispiele, die veranschaulichen, wie ein Azure Sphere-Gerät als Wächtermodul verwendet werden kann:
- Gerät zu Cloud zeigt, wie ein Azure Sphere-Gerät für die Datenerfassung verwendet werden kann und gleichzeitig einen sicheren Internetzugriff für ein Brownfield-Gerät bietet, das über eine serielle Schnittstelle mit dem Gerät verbunden ist.
- Private Netzwerkdienste zeigen, wie ein Azure Sphere-Gerät sicheren Internetzugriff für ein Brownfield-Gerät bereitstellen kann, das über eine TCP/IP-Schnittstelle mit dem Gerät verbunden ist.
Verbindung
Es gibt mehrere unterstützte Mechanismen für die Konnektivität zwischen dem Wächtermodul und dem Netzwerk sowie zwischen dem Wächtermodul und dem Brownfield-Gerät. Allgemeine Informationen zu Azure Sphere-Konnektivitätslösungen finden Sie unter Konnektivitätsübersicht und Netzwerkanforderungen.
Die allgemeine Anwendung eines Wächtermoduls kommuniziert Upstream mit dem Netzwerk, einschließlich des Azure Sphere-Sicherheitsdiensts und anderer Clouddienste, sowie downstream mit dem Brownfield-Gerät:
Für Upstream Verbindungen zwischen dem Schutzmodul und dem Netzwerk können Sie Ethernet, WLAN oder Mobilfunk verwenden.
Für downstream-Verbindungen zwischen dem Schutzmodul und der Brownfield-Ausrüstung können Sie Folgendes verwenden:
- Jede serielle Schnittstelle wie UART, RS-485 oder SPI, die das Brownfield-Gerät verfügbar macht
- Privates Ethernet, das das Brownfield-Gerät nicht für das öffentliche Netzwerk verfügbar macht
- Drahtlos, z. B. Bluetooth oder ZigBee
Anwendungsentwicklung und -bereitstellung
Das Entwickeln und Bereitstellen einer Anwendung für ein Überwachungsmodul unterscheidet sich nicht von der Entwicklung und Bereitstellung einer Anwendung für ein anderes Azure Sphere-Gerät. Weitere Informationen finden Sie unter Übersicht über Azure Sphere-Anwendungen und Bereitstellungsgrundlagen . Wie bei jedem Azure Sphere-Gerät muss ein Wächtermodul über mindestens eine allgemeine Azure Sphere-Anwendung und möglicherweise auch echtzeitfähige Anwendungen verfügen.
Sie benötigen Zugriff auf den Dienst-UART, der Standard Programmier- und Debugschnittstelle zwischen mt3620 und der Entwicklungsumgebung, die auf einem Hostcomputer ausgeführt wird. Wenn Sie Ihr eigenes Schutzmodul entwerfen, müssen Sie sicherstellen, dass die UART-Signale des Diensts verfügbar gemacht werden und dass Sie eine Möglichkeit unterstützen, eine Schnittstelle mit dem Dienst-UART entweder auf dem Überwachungsmodul selbst oder auf einem separaten Hardwareteil zu erstellen. Wenn Sie Module von einem Anbieter erwerben, sollte der Anbieter eine Lösung bereitstellen, die diese Verbindung ermöglicht.
Wenn Ihr Lieferant oder ein anderer Drittanbieter die Anwendung erstellt, müssen Sie möglicherweise Zugriff auf Ihren Azure Sphere-Katalog bereitstellen, damit der Anwendungsentwickler die Anwendung laden und testen und eine Bereitstellung erstellen kann.
Allgemeine Anwendungen
Eine allgemeine Anwendung des Wächtermoduls muss für die Brownfield-Geräte jedes organization benutzerdefinierte Geschrieben werden. Wenn Ihr Wächtermodulanbieter eine Anwendung bereitstellt, stellen Sie sicher, dass Sie den Quellcode und die Bibliotheken der allgemeinen Anwendung erhalten, damit Sie die Anwendung nach Bedarf ändern oder aktualisieren können.
Wie bei jeder Azure Sphere-Geräteanwendung müssen gerätespezifische und anwendungsspezifische Details im Anwendungsmanifest aufgeführt werden. Beispielsweise handelt es sich bei den Verbindungen des Überwachungsmoduls um gerätespezifische Details, die im Manifest enthalten sein müssen.
Eine allgemeine Anwendung, die auf einem Überwachungsmodul ausgeführt wird, ist für Folgendes verantwortlich:
- Aufbau und Aufrechterhaltung der Konnektivität mit der Brownfield-Ausrüstung
- Herstellen und Aufrechterhalten der Konnektivität mit dem Internet, einschließlich des Azure Sphere-Sicherheitsdiensts und anderer Clouddienste
- Behandeln von Daten, die vom Brownfield-Gerät empfangen werden– Entpacken und Speichern von Daten bei Bedarf und Kommunikation mit den Internethosts
- Behandeln von Daten, die von einem Internethost empfangen werden– Entpacken und Speichern von Daten, falls erforderlich, und Kommunikation mit den Brownfield-Geräten nach Bedarf
Die Upstream gesendeten Daten können Fehlerberichte, Betriebsparameter oder allgemeine Telemetriedaten enthalten. Azure Sphere stellt sicher, dass alle daten verschlüsselt sind. Die Anwendung kann eine Verbindung mit Webdiensten herstellen und für solche Verbindungen die gegenseitige Authentifizierung verwenden.
Nachgeschaltete Daten können aktualisierte Software oder Änderungen an Einstellungen oder Parametern für das Brownfield-Gerät enthalten. Um potenzielle Sicherheitsverletzungen zu vermeiden, sollte die Anwendung eingehende Daten überprüfen, bevor sie nachgeschaltet an das Brownfield-Gerät übergeben werden.
Anwendungsüberlegungen
Beim Erstellen einer Anwendung sollten Sie die verfügbaren Peripheriegeräte, die Speicheranforderungen und den Stromverbrauch berücksichtigen.
Peripheriegeräte
Wie andere Azure Sphere-Geräte unterscheiden sich die Überwachungsmodule in den Peripheriegeräten, die sie verfügbar machen. Wählen Sie ein Schutzmodul aus, das die Konnektivitäts- und Sensorfunktionen bereitstellt, die Für Ihr Szenario erforderlich sind.
Abhängig von der Hardwarearchitektur des Guardian-Moduls , d. h. wie es die Funktionen des Azure Sphere-Chips verfügbar macht, können Sie bestimmen, ob die Software für den Zugriff auf einzelne Features als allgemeine oder echtzeitfähige Anwendung implementiert werden muss.
Speicheranforderungen
Azure Sphere verfügt über begrenzten Speicher. Überlegen Sie daher sorgfältig, wie viel Arbeitsspeicher für Anwendungen und Daten benötigt wird. Weitere Informationen finden Sie unter Verfügbarer Arbeitsspeicher .
Wenn Sie Daten aus der Cloud an das Brownfield-Gerät senden, stellen Sie sicher, dass das Überwachungsmodul über genügend Speicherplatz für die Daten verfügt. Möglicherweise müssen Sie Daten in Blöcken senden, wie im HTTPS_Curl_Multi Beispiel im GitHub-Beispielrepository für Azure Sphere veranschaulicht wird.
Wenn Sie Daten Upstream vom Brownfield-Gerät an das Überwachungsmodul senden, stellen Sie sicher, dass Ihre Anwendung Upstream Konnektivitätsfehler behandeln kann. Wenn das Brownfield-Gerät laufende Telemetriedaten bereitstellt, müssen Sie berücksichtigen, welche Daten und wie viel davon aufbewahrt und später an die Cloud gesendet werden sollen, wenn die Konnektivität wiederhergestellt wird. Sehen Sie sich das Beispiel für den Store-and-Forward-Katalog an, in dem gezeigt wird, wie Sie den lokalen Speicher verwenden, um Daten vorübergehend zwischenzuspeichern, bevor sie hochgeladen werden.
Stromverbrauch
Es gibt zahlreiche Anwendungen, in denen das Wächtermodul die meiste Zeit inaktiv ist. Betrachten Sie beispielsweise ein Azure Sphere-Gerät, das einmal pro Stunde Daten aus einem Netzwerk von Sensoren sammelt und diese Daten in die Cloud hochlädt – ein Vorgang, der ein oder zwei Minuten dauern kann. In diesem Fall wird der größte Teil der vom Gerät verbrauchten Energie verschwendet.
Sie können den Stromverbrauch erheblich reduzieren und so die Akkulaufzeit erhöhen, indem Sie das Gerät entweder in den Herunterschaltzustand versetzen, wenn es inaktiv ist, oder indem Sie ein Energieprofil festlegen. Weitere Informationen finden Sie unter Verwalten des Herunterschaltzustands und Festlegen von Energieprofilen .