共用方式為

守護者模組

  • 發行項

重要

這是 Azure Sphere (舊版) 檔。 Azure Sphere(舊版)將於 2027 年 9 月 27 日淘汰,且使用者此時必須移轉至 Azure Sphere(整合式)。 使用位於 TOC 上方的版本選取器來檢視 Azure Sphere (整合式) 檔。

守護者模組是附加硬體,其中包含 Azure Sphere 晶片,並實際連接到「棕色地帶」裝置上的埠,也就是可能已使用的現有裝置。

藉由使用守護者模組,您可以將安全的IoT功能新增至不支援因特網連線或不支援因特網連線的設備。 簡言之,守護者模組提供在現有裝置中實作安全連線的方式,而不需將這些裝置公開至因特網。 因為它是 Azure Sphere 裝置,所以所有 Azure Sphere 安全性和連線功能皆可供使用:所有數據都會加密,OS 和應用程式更新會安全地傳遞,且驗證可確保模組只會與受信任的主機通訊。

以下是守護者模組的運作方式:

  • 守護者模組會連線到棕色地帶裝置,如本主題的連線能力一節所述。 棕色地帶裝置本身未連線到網路。

  • Azure Sphere OS 會在守護者模組上執行,以及自定義高階應用程式,以及您案例所需的任何其他 Azure Sphere 應用程式

  • 守護者模組會使用 Azure Sphere 安全性服務進行憑證式驗證、失敗報告和無線軟體更新。

  • 棕色地帶裝置會與守護者模塊通訊,其可透過採取本機動作或向 Azure IoT Central 等雲端狀態報告來回應。

您可以從廠商購買守護者模組,並進一步為您的使用案例自定義它們,或者您可以設計自己的守護者模組,可能與硬體合作夥伴合作。 如需硬體供應商的相關信息, 請參閱 Azure Sphere 網站

用於守護者模組

守護者模組可以執行任何其他 Azure Sphere 裝置所能執行的動作,同時做為現有設備與外部網路之間的安全介面。 守護者模組的可能用途包括:

  • 從棕色裝置收集數據、處理數據,並將數據安全地傳輸至雲端端點
  • 將數據傳送至多個端點,前提是它可以驗證每個端點
  • 收集棕色地帶裝置無法取得的其他數據;例如,守護者模組上的感測器可以提供環境數據,以用於來自棕色地帶裝置的作業數據
  • 儲存來自棕色地帶裝置的數據,以防連線中斷

Azure Sphere 範例存放庫包含兩個範例,示範如何使用 Azure Sphere 裝置作為守護者模組:

  • 裝置到雲端 顯示 Azure Sphere 裝置如何用於數據收集,同時為透過序列介面連線的棕色地帶裝置提供安全的因特網存取。
  • 專用網服務 示範 Azure Sphere 裝置如何為透過 TCP/IP 介面連線的棕色地帶裝置提供安全的因特網存取。

連線性

守護者模組與網路之間以及守護者模組與棕色地帶裝置之間有數種支援的連線機制。 如需 Azure Sphere 連線解決方案的一般資訊,請參閱 連線概觀網路需求

守護者模組的高階應用程式會與網路進行上游通訊,包括 Azure Sphere 安全性服務和其他雲端服務,以及使用棕色地帶裝置的下游:

  • 針對守護者模組與網路之間的上游連線,您可以使用 乙太網路Wi-Fi行動數據

  • 針對守護者模組與棕色地帶設備之間的下游連線,您可以使用下列專案:

    • 棕色地帶裝置公開的任何序列介面,例如 UART、RS-485 或 SPI
    • 私人乙太網路,不會向公用網路公開棕色地帶裝置
    • 無線,例如藍牙或 ZigBee

應用程式開發和部署

針對守護者模塊開發及部署應用程式,與針對任何其他 Azure Sphere 裝置開發及部署應用程式並無不同。 如需詳細資訊,請參閱 Azure Sphere 應用程式和部署基本概觀。 如同任何 Azure Sphere 裝置,守護者模組必須至少有一個高階 Azure Sphere 應用程式,而且可能也有即時可用的應用程式。

您需要存取服務 UART,這是 MT3620 與主電腦上執行之開發環境之間的主要 程式設計和偵錯介面 。 如果您設計自己的守護者模組,您必須確保服務 UART 訊號已公開,且支援在守護者模組本身或個別硬體上與服務 UART 互動的方式。 如果您從廠商購買模組,廠商應該提供可啟用此連線的解決方案。

如果您的供應商或其他第三方將建立應用程式,您可能需要提供 Azure Sphere 租使用者的存取權,讓應用程式開發人員可以載入及測試應用程式並建立部署。

高階應用程式

守護者模組 高層級應用程式 必須針對每個組織的棕色地帶裝置自定義撰寫。 如果您的守護者模組供應商提供應用程式,請確定您會收到高階應用程式原始碼和連結庫,以便視需要修改或更新應用程式。

如同任何 Azure Sphere 裝置應用程式,裝置特定和應用程式特定詳細數據必須列在應用程式指令清單。 例如, 守護者模組的連線 是必須包含在指令清單中的裝置特定詳細數據。

在守護者模組上執行的高階應用程式負責下列事項:

  • 建立和維護與棕色地帶設備的連線能力
  • 建立和維護與因特網的連線,包括 Azure Sphere 安全性服務和其他雲端服務
  • 處理從棕色地帶裝置接收的數據—必要時解除封裝和儲存數據,並視需要與因特網主機通訊
  • 處理從因特網主機接收的數據—必要時解除封裝和儲存數據,並視需要與棕色地帶設備通訊

傳送上游的數據可能包含錯誤報告、作業參數或整體遙測。 Azure Sphere 可確保所有這類數據都會加密。 應用程式可以 連線到 Web 服務 ,並針對這類連線使用相互驗證。

傳送下游的數據可能包括更新的軟體或對棕色地帶裝置的設定或參數所做的變更。 為了避免潛在的安全性缺口,應用程式應該先驗證傳入的數據,再將其傳遞至棕色地帶裝置。

應用程式考慮

建立應用程式時,您應該考慮可用的周邊、記憶體需求和耗電量。

周邊裝置

如同其他 Azure Sphere 裝置,守護者模組在所公開的外圍設備中有所不同。 選擇一個守護者模組,以提供您案例所需的連線能力和感知能力。

根據守護者模組的硬體架構,也就是它如何公開 Azure Sphere 晶片的功能,您可以判斷軟體是否必須實作為高階或即時可用的應用程式來存取個別功能。

記憶體需求

Azure Sphere 的記憶體有限,因此請仔細考慮應用程式和數據所需的內存量。 如需詳細資訊,請參閱 可用的記憶體

當您將數據從雲端下游傳送至棕色地帶裝置時,請確定守護者模組有足夠的空間來保存數據。 您可能需要以區塊傳送數據,如 Azure Sphere GitHub 範例存放庫中HTTPS_Curl_Multi範例所示

當您將數據從棕色地帶裝置上游傳送至守護者模組時,請確定您的應用程式可以處理上游連線失敗。 如果棕色地帶裝置提供進行中的遙測,您必須考慮要保留哪些數據,並在還原連線時稍後傳送至雲端。 請參閱儲存和轉寄資源庫範例,其中示範如何在上傳數據之前,使用本機記憶體暫時快取數據。

耗電量

有許多應用程式,守護者模組大部分時間都處於非使用中狀態。 例如,假設 Azure Sphere 裝置每小時收集一次感測器網路的數據,並將該數據上傳至雲端,此作業可能需要一兩分鐘的時間。 在此情況下,裝置耗用的大部分電力都會浪費。

您可以大幅降低耗電量,藉由在裝置處於非使用中狀態或設定電源配置檔來增加電池使用時間。 如需詳細資訊,請參閱 管理關閉電源狀態設定電源配置檔