Modules gardiens

Un module gardien est un module matériel complémentaire qui incorpore une puce Azure Sphere et se branche physiquement sur un port d’un appareil « brownfield », c’est-à-dire un appareil existant pouvant être déjà en cours d’utilisation.

À l’aide d’un module gardien, vous pouvez ajouter des fonctionnalités IoT sécurisées à des équipements qui ne prennent pas en charge la connectivité Internet ou qui ne la prennent pas en charge de manière sécurisée. En bref, un module gardien offre un moyen d’implémenter une connectivité sécurisée sur des appareils existants sans exposer ces appareils à Internet. Étant donné qu’il s’agit d’un appareil Azure Sphere, toutes les fonctionnalités de sécurité et de connectivité Azure Sphere sont disponibles : toutes les données sont chiffrées, les mises à jour du système d’exploitation et des applications sont fournies de manière sécurisée et l’authentification garantit que le module communique uniquement avec des hôtes approuvés.

Voici comment fonctionne un module gardien :

• Le module guardian se connecte à un appareil brownfield, comme décrit dans la section Connectivité de cette rubrique. L’appareil brownfield lui-même n’est pas connecté au réseau.

• Le système d’exploitation Azure Sphere s’exécute sur le module gardien, ainsi qu’une application générale personnalisée et d’autres applications Azure Sphere nécessaires à votre scénario.

• Le module gardien utilise le service de sécurité Azure Sphere pour l’authentification basée sur les certificats, les rapports d’échec et les mises à jour logicielles OTA (over-the-air).

• L’appareil brownfield communique avec le module gardien, qui peut répondre en effectuant une action locale ou en signalant sa présence à un cloud comme Azure IoT Central.

Vous pouvez acheter des modules gardiens auprès d’un fournisseur et les personnaliser selon votre scénario d’usage, ou bien vous pouvez concevoir votre propre module gardien, éventuellement en collaboration avec un fabricant de matériel partenaire. Pour plus d’informations sur les fournisseurs de matériel, consultez le site web Azure Sphere.

Usages d’un module gardien

Un module guardian peut effectuer n’importe quel autre appareil Azure Sphere, tout en agissant comme une interface sécurisée entre l’équipement existant et un réseau externe. Les utilisations possibles pour un module guardian sont les suivantes :

• Collecte de données à partir de l’appareil brownfield, traitement des données et transmission sécurisée des données à un point de terminaison cloud
• Envoi de données à plusieurs points de terminaison, à condition qu’elles puissent authentifier chaque point de terminaison
• Collecte de données supplémentaires qui ne sont pas disponibles à partir de l’appareil brownfield ; par exemple, les capteurs sur le module guardian peuvent fournir des données environnementales à utiliser avec des données d’exploitation à partir de l’appareil brownfield
• Enregistrement de données à partir de l’appareil brownfield en cas de perte de connectivité

Le référentiel d’exemples Azure Sphere comprend deux exemples qui montrent comment un appareil Azure Sphere peut être utilisé comme module guardian :

• Device to Cloud montre comment un appareil Azure Sphere peut être utilisé pour la collecte de données tout en fournissant un accès Internet sécurisé pour un appareil brownfield connecté à celui-ci via une interface série.
• Les services de réseau privé montrent comment un appareil Azure Sphere peut fournir un accès Internet sécurisé pour un appareil brownfield connecté via une interface TCP/IP.

Connectivité

Il existe plusieurs mécanismes de connectivité pris en charge entre le module guardian et le réseau, et entre le module guardian et l’appareil brownfield. Pour obtenir des informations générales sur les solutions de connectivité Azure Sphere, consultez la vue d’ensemble de la connectivité et les exigences de mise en réseau.

L’application générale d’un module guardian communique en amont avec le réseau, y compris le service de sécurité Azure Sphere et d’autres services cloud, et en aval avec l’appareil brownfield :

• Pour les connexions en amont entre le module guardian et le réseau, vous pouvez utiliser Ethernet, Wi-Fi ou cellulaire.

• Pour les connexions en aval entre le module guardian et l’équipement brownfield, vous pouvez utiliser les éléments suivants :

  • Toute interface série, telle que UART, RS-485 ou SPI, que l’appareil brownfield expose
  • Ethernet privé, qui n’expose pas l’appareil brownfield au réseau public
  • Sans fil, comme Bluetooth ou ZigBee

Développement et déploiement d’applications

Le développement et le déploiement d’une application pour un module guardian ne diffèrent pas du développement et du déploiement d’une application pour tout autre appareil Azure Sphere. Pour plus d’informations, consultez vue d’ensemble des applications Et déploiement Azure Sphere. Comme pour n’importe quel appareil Azure Sphere, un module guardian doit avoir au moins une application Azure Sphere de haut niveau et peut également avoir des applications compatibles en temps réel.

Vous aurez besoin d’accéder à l’UART du service, qui est l’interface principale de programmation et de débogage entre le MT3620 et l’environnement de développement s’exécutant sur un ordinateur hôte. Si vous concevez votre propre module guardian, vous devez vous assurer que les signaux UART de service sont exposés et que vous prenez en charge un moyen d’interface avec le service UART sur le module guardian lui-même ou sur un élément de matériel distinct. Si vous achetez des modules auprès d’un fournisseur, celui-ci doit fournir une solution qui permet cette connexion.

Si votre fournisseur ou un autre tiers crée l’application, vous aurez peut-être besoin de fournir l’accès à votre locataire Azure Sphere pour que le développeur puisse la charger et la tester afin de créer un déploiement.

Applications générales

Une application de haut niveau du module guardian doit être écrite de manière personnalisée pour les appareils brownfield de chaque organisation. Si votre fournisseur de module guardian fournit une application, veillez à recevoir le code source et les bibliothèques sources de l’application de haut niveau afin de pouvoir modifier ou mettre à jour l’application si nécessaire.

Comme pour toute application d’appareil Azure Sphere, les détails spécifiques à l’appareil et spécifiques à l’application doivent être répertoriés dans le manifeste de l’application. Par exemple, les connexions du module guardian sont des détails spécifiques à l’appareil qui doivent être inclus dans le manifeste.

Une application de haut niveau qui s’exécute sur un module guardian est responsable des éléments suivants :

• Établir et maintenir la connectivité avec l’équipement brownfield
• Établissement et maintenance de la connectivité avec Internet, y compris le service de sécurité Azure Sphere et d’autres services cloud
• Gestion des données reçues de l’appareil brownfield : décompresser et stocker des données, le cas échéant, et communiquer avec les hôtes Internet selon les besoins
• Gestion des données reçues d’un hôte Internet : décompresser et stocker des données, le cas échéant, et communiquer avec l’équipement brownfield selon les besoins

Les données envoyées en amont peuvent inclure des rapports d’erreurs, des paramètres de fonctionnement ou des données de télémétrie globales. Azure Sphere garantit que toutes ces données sont chiffrées. L’application peut se connecter aux services web et utiliser l’authentification mutuelle pour ces connexions.

Les données envoyées en aval peuvent inclure des logiciels mis à jour ou des modifications apportées aux paramètres ou aux réglages des appareils brownfield. Pour éviter les violations de sécurité potentielles, l’application doit valider les données entrantes avant de les transmettre en aval à l’appareil brownfield.

Considérations relatives à l'application

Lors de la création d’une application, vous devez prendre en compte les périphériques disponibles, les exigences de stockage et la consommation d’énergie.

Périphériques

Comme d’autres appareils Azure Sphere, les modules gardiens diffèrent dans les périphériques qu’ils exposent. Choisissez un module gardien qui fournit les fonctionnalités de connectivité et de captage nécessaires à votre scénario.

Selon l’architecture matérielle du module gardien, c’est-à-dire la manière dont il expose les composants de la puce Azure Sphere, vous pouvez déterminer si le logiciel permettant d’accéder à des fonctionnalités individuelles doit être implémenté en tant qu’application générale ou en temps réel.

Exigences de stockage

Azure Sphere dispose d’un stockage limité. Réfléchissez donc soigneusement à la quantité de mémoire nécessaire pour les applications et les données. Pour plus d’informations, consultez La mémoire disponible.

Lorsque vous envoyez des données en aval du cloud à l’appareil brownfield, assurez-vous que le module guardian dispose d’un espace suffisant pour contenir les données. Vous devrez peut-être envoyer des données en blocs, comme illustré par l’exemple HTTPS_Curl_Multi dans le référentiel d’exemples GitHub Azure Sphere.

Lorsque vous envoyez des données en amont à partir de l’appareil brownfield au module guardian, assurez-vous que votre application peut gérer les défaillances de connectivité en amont. Si l’appareil brownfield fournit des données de télémétrie en cours, vous devez prendre en compte les données et la quantité de données à conserver et à envoyer ultérieurement au cloud lors de la restauration de la connectivité. Consultez l’exemple de galerie store-and-forward, qui montre comment utiliser le stockage local pour mettre temporairement en cache les données avant leur chargement.

Consommation énergétique

Il existe de nombreuses applications dans lesquelles le module guardian est inactif la plupart du temps. Par exemple, considérez un appareil Azure Sphere qui, une fois par heure, collecte des données à partir d’un réseau de capteurs et charge ces données dans le cloud, une opération qui peut prendre une minute ou deux. Dans ce cas, la plupart de l’alimentation consommée par l’appareil est perdue.

Vous pouvez réduire considérablement la consommation d’énergie et ainsi augmenter la durée de vie de la batterie en plaçant l’appareil dans l’état de mise sous tension lorsqu’il est inactif ou en définissant un profil d’alimentation. Pour plus d’informations, consultez Gérer l’état de power Down et définir des profils d’alimentation.