Módulos Guardian
Importante
Esta é a documentação do Azure Sphere (Legado). O Azure Sphere (Legado) será desativado em 27 de setembro de 2027 e os usuários devem migrar para o Azure Sphere (Integrado) até esse momento. Use o seletor de versão localizado acima do sumário para exibir a documentação do Azure Sphere (Integrado).
Um módulo guardião é um hardware complementar que incorpora um chip do Azure Sphere e se conecta fisicamente a uma porta em um dispositivo "brownfield", ou seja, um dispositivo existente que pode já estar em uso.
Usando um módulo guardião, você pode adicionar recursos seguros de IoT a equipamentos que não suportam conectividade com a Internet ou não a suportam com segurança. Em suma, um módulo guardião fornece uma maneira de implementar conectividade segura em dispositivos existentes sem expor esses dispositivos à internet. Por ser um dispositivo do Azure Sphere, todos os recursos de segurança e conectividade do Azure Sphere estão disponíveis: todos os dados são criptografados, as atualizações do sistema operacional e do aplicativo são entregues com segurança e a autenticação garante que o módulo se comunique apenas com hosts confiáveis.
Veja como funciona um módulo guardião:
O módulo guardião se conecta a um dispositivo brownfield, conforme descrito na seção Conectividade deste tópico. O dispositivo brownfield em si não está conectado à rede.
O sistema operacional Azure Sphere é executado no módulo guardião junto com um aplicativo personalizado de alto nível e quaisquer outros aplicativos do Azure Sphere que seu cenário exija.
O módulo guardião usa o Serviço de Segurança do Azure Sphere para autenticação baseada em certificado, relatório de falhas e atualizações de software over-the-air.
O dispositivo brownfield se comunica com o módulo guardião, que pode responder executando uma ação local ou relatando a presença na nuvem, como o Azure IoT Central.
Você pode comprar módulos guardiões de um fornecedor e personalizá-los ainda mais para seu cenário de uso, ou você pode projetar seu próprio módulo guardião, possivelmente trabalhando com um parceiro de hardware. Consulte o site do Azure Sphere para obter informações sobre fornecedores de hardware.
Usos para um módulo guardião
Um módulo guardião pode fazer qualquer coisa que qualquer outro dispositivo do Azure Sphere possa fazer, ao mesmo tempo que atua como uma interface segura entre o equipamento existente e uma rede externa. Os usos possíveis para um módulo guardião incluem:
- Coletando dados do dispositivo brownfield, processando os dados e transmitindo os dados com segurança para um endpoint na nuvem
- Envio de dados para vários pontos de extremidade, desde que possa autenticar cada ponto de extremidade
- Recolha de dados adicionais que não estão disponíveis a partir do dispositivo brownfield; Por exemplo, os sensores no módulo guardião poderiam fornecer dados ambientais para utilização com dados operacionais do dispositivo brownfield
- Guardar dados do dispositivo brownfield em caso de perda de conectividade
O repositório de exemplos do Azure Sphere inclui dois exemplos que demonstram como um dispositivo do Azure Sphere pode ser usado como um módulo guardião:
- Device to Cloud mostra como um dispositivo Azure Sphere pode ser usado para coleta de dados enquanto fornece acesso seguro à Internet para um dispositivo brownfield conectado a ele por meio de uma interface serial.
- Serviços de rede privada mostra como um dispositivo Azure Sphere pode fornecer acesso seguro à Internet para um dispositivo brownfield que está conectado a ele por meio de uma interface TCP/IP.
Conectividade
Existem vários mecanismos suportados de conectividade entre o módulo guardião e a rede, e entre o módulo guardião e o dispositivo brownfield. Para obter informações gerais sobre as soluções de conectividade do Azure Sphere, consulte Visão geral da conectividade e Requisitos de rede.
O aplicativo de alto nível de um módulo guardião se comunica upstream com a rede, incluindo o Serviço de Segurança do Azure Sphere e outros serviços de nuvem, e downstream com o dispositivo brownfield:
Para conexões upstream entre o módulo guardião e a rede, você pode usar Ethernet, Wi-Fi ou celular.
Para conexões a jusante entre o módulo guardião e o equipamento brownfield, você pode usar o seguinte:
- Qualquer interface serial, como UART, RS-485 ou SPI, que o dispositivo brownfield exponha
- Ethernet privada, que não expõe o dispositivo brownfield à rede pública
- Sem fios, como Bluetooth ou ZigBee
Desenvolvimento e implementação de aplicações
Desenvolver e implantar um aplicativo para um módulo guardião não é diferente de desenvolver e implantar um aplicativo para qualquer outro dispositivo do Azure Sphere. Consulte Visão geral dos aplicativos do Azure Sphere e noções básicas de implantação para obter detalhes. Como em qualquer dispositivo Azure Sphere, um módulo guardião deve ter pelo menos um aplicativo Azure Sphere de alto nível e também pode ter aplicativos capazes de tempo real.
Você precisará acessar o serviço UART, que é a principal interface de programação e depuração entre o MT3620 e o ambiente de desenvolvimento em execução em um computador host. Se você projetar seu próprio módulo guardião, precisará garantir que os sinais UART de serviço sejam expostos e que você suporte uma maneira de interagir com o UART de serviço no próprio módulo guardião ou em uma peça separada de hardware. Se você comprar módulos de um fornecedor, o fornecedor deve fornecer uma solução que permita essa conexão.
Se seu fornecedor ou outro terceiro criar o aplicativo, talvez seja necessário fornecer acesso ao locatário do Azure Sphere para que o desenvolvedor do aplicativo possa carregar e testar o aplicativo e criar uma implantação.
Aplicações de alto nível
Um aplicativo de alto nível do módulo guardião deve ser personalizado para os dispositivos brownfield de cada organização. Se o fornecedor do módulo tutor fornecer um aplicativo, certifique-se de receber o código-fonte e as bibliotecas do aplicativo de alto nível para que possa modificar ou atualizar o aplicativo conforme necessário.
Como em qualquer aplicativo de dispositivo do Azure Sphere, detalhes específicos do dispositivo e do aplicativo devem ser listados no manifesto do aplicativo. Por exemplo, as conexões do módulo guardião são detalhes específicos do dispositivo que devem ser incluídos no manifesto.
Um aplicativo de alto nível que é executado em um módulo guardião é responsável pelo seguinte:
- Estabelecer e manter a conectividade com os equipamentos brownfield
- Estabelecer e manter a conectividade com a Internet, incluindo o Serviço de Segurança do Azure Sphere e outros serviços na nuvem
- Tratamento de dados recebidos do dispositivo brownfield — descompactação e armazenamento de dados, se necessário, e comunicação com os hosts da Internet, conforme apropriado
- Tratamento de dados recebidos de um host da Internet — descompactação e armazenamento de dados, se necessário, e comunicação com o equipamento brownfield, conforme apropriado
Os dados enviados a montante podem incluir relatórios de erros, parâmetros operacionais ou telemetria geral. O Azure Sphere garante que todos esses dados sejam criptografados. O aplicativo pode se conectar a serviços Web e usar autenticação mútua para essas conexões.
Os dados enviados a jusante podem incluir software atualizado ou alterações nas configurações ou parâmetros do dispositivo brownfield. Para evitar possíveis violações de segurança, o aplicativo deve validar os dados recebidos antes de passá-los a jusante para o dispositivo brownfield.
Considerações sobre o aplicativo
Ao criar um aplicativo, você deve considerar os periféricos disponíveis, os requisitos de armazenamento e o consumo de energia.
Dispositivos periféricos
Como outros dispositivos do Azure Sphere, os módulos guardiões diferem nos periféricos que expõem. Escolha um módulo guardião que forneça os recursos de conectividade e deteção que seu cenário exige.
Dependendo da arquitetura de hardware do módulo guardião, ou seja, como ele expõe os recursos do chip Azure Sphere, você pode determinar se o software para acessar recursos individuais deve ser implementado como um aplicativo de alto nível ou capaz de tempo real.
Requisitos de armazenamento
O Azure Sphere tem armazenamento limitado, portanto, considere cuidadosamente a quantidade de memória necessária para aplicativos e dados. Consulte Memória disponível para obter mais informações.
Quando você enviar dados downstream da nuvem para o dispositivo brownfield, certifique-se de que o módulo guardião tenha espaço suficiente para armazenar os dados. Talvez seja necessário enviar dados em partes, conforme demonstrado pelo exemplo de HTTPS_Curl_Multi no repositório de exemplos do GitHub do Azure Sphere.
Ao enviar dados upstream do dispositivo brownfield para o módulo guardião, certifique-se de que seu aplicativo possa lidar com falhas de conectividade upstream. Se o dispositivo brownfield fornecer telemetria contínua, você deve considerar quais dados e quanto deles reter e, posteriormente, enviar para a nuvem quando a conectividade for restaurada. Veja o exemplo de galeria de armazenamento e encaminhamento, que mostra como usar o armazenamento local para armazenar temporariamente em cache os dados antes que eles sejam carregados.
Consumo energético
Existem inúmeras aplicações em que o módulo guardião está inativo na maioria das vezes. Por exemplo, considere um dispositivo Azure Sphere que, uma vez a cada hora, coleta dados de uma rede de sensores e carrega esses dados na nuvem — uma operação que pode levar um ou dois minutos. Neste caso, a maior parte da energia consumida pelo dispositivo é desperdiçada.
Você pode reduzir significativamente o consumo de energia e, assim, aumentar a vida útil da bateria colocando o dispositivo no estado de desligamento quando está inativo ou definindo um perfil de energia. Consulte Gerenciar estado de desligamento e Definir perfis de energia para obter detalhes.