Guardian-modules
Een guardian-module is invoegtoepassingshardware die een Azure Sphere-chip bevat en fysiek wordt gekoppeld aan een poort op een 'brownfield'-apparaat, een bestaand apparaat dat mogelijk al in gebruik is.
Met behulp van een guardian-module kunt u beveiligde IoT-mogelijkheden toevoegen aan apparatuur die geen internetverbinding ondersteunt of deze niet veilig ondersteunt. Kortom, een guardian-module biedt een manier om beveiligde connectiviteit op bestaande apparaten te implementeren zonder deze apparaten bloot te stellen aan internet. Omdat het een Azure Sphere-apparaat is, zijn alle beveiligings- en connectiviteitsfuncties van Azure Sphere beschikbaar: alle gegevens worden versleuteld, besturingssysteem- en toepassingsupdates worden veilig geleverd en verificatie zorgt ervoor dat de module alleen communiceert met vertrouwde hosts.
Een guardian-module werkt als volgt:
De guardian-module maakt verbinding met een brownfield-apparaat, zoals beschreven in de sectie Connectiviteit van dit onderwerp. Het brownfield-apparaat zelf is niet verbonden met het netwerk.
Het Azure Sphere-besturingssysteem wordt uitgevoerd op de guardian-module, samen met een aangepaste toepassing op hoog niveau en alle andere Azure Sphere-toepassingen die voor uw scenario vereist zijn.
De guardian-module maakt gebruik van de Azure Sphere Security Service voor verificatie op basis van certificaten, foutrapportage en over-the-air software-updates.
Het brownfield-apparaat communiceert met de guardian-module, die kan reageren door een lokale actie te ondernemen of door te rapporteren aan een aanwezigheid in de cloud, zoals Azure IoT Central.
U kunt guardian-modules kopen bij een leverancier en deze verder aanpassen voor uw gebruiksscenario, of u kunt uw eigen guardian-module ontwerpen, mogelijk in samenwerking met een hardwarepartner. Zie de Website van Azure Sphere voor informatie over hardwareleveranciers.
Gebruikt voor een guardian-module
Een guardian-module kan alles doen wat elk ander Azure Sphere-apparaat kan doen, terwijl het ook fungeert als een veilige interface tussen bestaande apparatuur en een extern netwerk. Mogelijke toepassingen voor een guardian-module zijn:
- Gegevens verzamelen van het brownfield-apparaat, de gegevens verwerken en de gegevens veilig verzenden naar een cloudeindpunt
- Gegevens verzenden naar meerdere eindpunten, op voorwaarde dat elk eindpunt kan worden geverifieerd
- Aanvullende gegevens verzamelen die niet beschikbaar zijn vanaf het brownfield-apparaat; Sensoren op de guardian-module kunnen bijvoorbeeld omgevingsgegevens leveren voor gebruik met gebruiksgegevens van het brownfield-apparaat
- Gegevens van het brownfield-apparaat opslaan voor het geval de verbinding verloren gaat
De opslagplaats met Azure Sphere-voorbeelden bevat twee voorbeelden die laten zien hoe een Azure Sphere-apparaat kan worden gebruikt als een bewakingsmodule:
- Apparaat naar cloud laat zien hoe een Azure Sphere-apparaat kan worden gebruikt voor het verzamelen van gegevens en tegelijkertijd beveiligde internettoegang biedt voor een brownfield-apparaat dat ermee is verbonden via een seriële interface.
- Privénetwerkservices laat zien hoe een Azure Sphere-apparaat beveiligde internettoegang kan bieden voor een brownfield-apparaat dat ermee is verbonden via een TCP/IP-interface.
Connectiviteit
Er zijn verschillende ondersteunde mechanismen voor connectiviteit tussen de guardian-module en het netwerk, en tussen de guardian-module en het brownfield-apparaat. Zie Connectiviteitsoverzicht en Netwerkvereisten voor algemene informatie over Azure Sphere-connectiviteitsoplossingen.
De toepassing op hoog niveau van een Guardian-module communiceert upstream met het netwerk, inclusief de Azure Sphere-beveiligingsservice en andere cloudservices, en downstream met het brownfield-apparaat:
Voor upstream-verbindingen tussen de guardian-module en het netwerk kunt u Ethernet, Wi-Fi of mobiel gebruiken.
Voor downstreamverbindingen tussen de guardian-module en de brownfield-apparatuur kunt u het volgende gebruiken:
- Elke seriële interface, zoals UART, RS-485 of SPI, die door het brownfield-apparaat wordt weergegeven
- Private Ethernet, waardoor het brownfield-apparaat niet beschikbaar is voor het openbare netwerk
- Draadloos, zoals Bluetooth of ZigBee
Toepassingsontwikkeling en -implementatie
Het ontwikkelen en implementeren van een toepassing voor een guardian-module verschilt niet van het ontwikkelen en implementeren van een toepassing voor een ander Azure Sphere-apparaat. Zie Overzicht van Azure Sphere-toepassingen en Basisprincipes van implementatie voor meer informatie. Net als bij elk Azure Sphere-apparaat moet een guardian-module ten minste één Azure Sphere-toepassing op hoog niveau hebben en ook realtime compatibele toepassingen hebben.
U hebt toegang nodig tot de service UART, de belangrijkste programmeer- en foutopsporingsinterface tussen de MT3620 en de ontwikkelomgeving die wordt uitgevoerd op een hostcomputer. Als u uw eigen guardian-module ontwerpt, moet u ervoor zorgen dat de UART-signalen van de service worden weergegeven en dat u een manier ondersteunt om te interfacen met de service-UART op de guardian-module zelf of op een afzonderlijk stuk hardware. Als u modules van een leverancier koopt, moet de leverancier een oplossing bieden waarmee deze verbinding wordt ingeschakeld.
Als uw leverancier of een andere derde partij de toepassing maakt, moet u mogelijk toegang verlenen tot uw Azure Sphere-catalogus, zodat de ontwikkelaar van de toepassing de toepassing kan laden en testen en een implementatie kan maken.
Toepassingen op hoog niveau
Een toepassing op hoog niveau van de guardian-module moet op maat worden geschreven voor de brownfield-apparaten van elke organisatie. Als uw leverancier van de guardian-module een toepassing levert, moet u ervoor zorgen dat u de broncode en bibliotheken van de toepassing op hoog niveau ontvangt, zodat u de toepassing indien nodig kunt wijzigen of bijwerken.
Net als bij elke Azure Sphere-apparaattoepassing moeten apparaatspecifieke en toepassingsspecifieke details worden vermeld in het toepassingsmanifest. De verbindingen van de guardian-module zijn bijvoorbeeld apparaatspecifieke gegevens die moeten worden opgenomen in het manifest.
Een toepassing op hoog niveau die wordt uitgevoerd op een guardian-module is verantwoordelijk voor het volgende:
- Connectiviteit met de brownfield-apparatuur tot stand brengen en onderhouden
- Verbinding met internet tot stand brengen en onderhouden, met inbegrip van de Azure Sphere-beveiligingsservice en andere cloudservices
- Gegevens verwerken die zijn ontvangen van het brownfield-apparaat, gegevens uitpakken en opslaan, indien nodig, en communiceren met de internethosts, indien nodig
- Gegevens verwerken die zijn ontvangen van een internethost: gegevens uitpakken en opslaan, indien nodig, en communiceren met de brownfield-apparatuur, indien nodig
Gegevens die upstream worden verzonden, kunnen foutenrapporten, operationele parameters of algemene telemetrie bevatten. Azure Sphere zorgt ervoor dat al deze gegevens worden versleuteld. De toepassing kan verbinding maken met webservices en wederzijdse verificatie gebruiken voor dergelijke verbindingen.
Stroomafwaarts verzonden gegevens kunnen bijgewerkte software of wijzigingen in instellingen of parameters voor het brownfield-apparaat bevatten. Om mogelijke beveiligingsschendingen te voorkomen, moet de toepassing binnenkomende gegevens valideren voordat deze stroomafwaarts worden doorgegeven aan het brownfield-apparaat.
Toepassingsoverwegingen
Wanneer u een toepassing maakt, moet u rekening houden met de beschikbare randapparatuur, opslagvereisten en energieverbruik.
Randapparaten
Net als andere Azure Sphere-apparaten verschillen guardian-modules in de randapparatuur die ze beschikbaar maken. Kies een guardian-module die de connectiviteits- en detectiemogelijkheden biedt die uw scenario vereist.
Afhankelijk van de hardwarearchitectuur van de guardian-module, dat wil weten hoe deze mogelijkheden van de Azure Sphere-chip beschikbaar maakt, kunt u bepalen of de software voor toegang tot afzonderlijke functies moet worden geïmplementeerd als een toepassing op hoog niveau of als een realtime-compatibele toepassing.
Opslagvereisten
Azure Sphere heeft beperkte opslag, dus overweeg zorgvuldig hoeveel geheugen er nodig is voor toepassingen en gegevens. Zie Beschikbaar geheugen voor meer informatie.
Wanneer u gegevens stroomafwaarts van de cloud naar het brownfield-apparaat verzendt, moet u ervoor zorgen dat de guardian-module voldoende ruimte heeft om de gegevens te bewaren. Mogelijk moet u gegevens in segmenten verzenden, zoals blijkt uit het HTTPS_Curl_Multi voorbeeld in de opslagplaats met GitHub-voorbeelden van Azure Sphere.
Wanneer u gegevens upstream verzendt van het brownfield-apparaat naar de guardian-module, moet u ervoor zorgen dat uw toepassing upstream-connectiviteitsfouten kan verwerken. Als het brownfield-apparaat doorlopende telemetrie biedt, moet u overwegen welke gegevens en hoeveel ervan u wilt bewaren en later naar de cloud wilt verzenden wanneer de verbinding wordt hersteld. Zie het voorbeeld van de galerie opslaan en doorsturen, waarin u ziet hoe u lokale opslag gebruikt om gegevens tijdelijk in de cache op te slaan voordat deze worden geüpload.
Stroomverbruik
Er zijn talloze toepassingen waarin de guardian-module meestal inactief is. Denk bijvoorbeeld aan een Azure Sphere-apparaat dat eenmaal per uur gegevens verzamelt uit een netwerk van sensoren en die gegevens uploadt naar de cloud, een bewerking die een paar minuten kan duren. In dit geval wordt het meeste vermogen dat door het apparaat wordt verbruikt, verspild.
U kunt het energieverbruik aanzienlijk verminderen en zo de levensduur van de batterij verlengen door het apparaat in de status Uitschakelen te plaatsen wanneer het inactief is of door een energieprofiel in te stellen. Zie Power Down-status beheren en Energieprofielen instellen voor meer informatie.