Az IoT-csomópontok gyors csatlakoztatása az Amazon AWS és a Microsoft Azure felhőhöz

Az Amazon AWS és Microsoft Azure felhőhöz hasonló szolgáltatásokat használó felhőkapcsolatokat a dolgok internetének (IoT) számos területén nagyra értékelik, beleértve az ipari és épületautomatizálást, az intelligens orvoslást és a közlekedést, a háztartási készülékeket és az okosvárosokat. Ezeken a területeken a felhőkapcsolat nélkülözhetetlen támogató szolgáltatás, de nem az az érintett eszközök elsődleges funkciója. A számos IoT-hálózat által termelt sok zettabájtnyi (10^21 bájtnyi) adat felhőkben történő tárolása és az IoT-eszközök felhők által lehetővé tett távelérése egyre fontosabbá válik (1. ábra).

1. ábra: Az IoT-hálózatok több típusa igényel hozzáférést a felhőhöz távelérés és adattárolás céljából (kép: AWS)

Az adatvédelem fenntartása, a szükséges biztonsági tanúsítványok megszerzése, a különféle rendszerek együttműködési képességének biztosítása és a kommunikációs késleltetések kezelése mind fontos szempont a hatékony felhőkapcsolati megoldások kifejlesztésében. Fenti kihívások mindegyike kezelhető, de időt és erőforrásokat vonhatnak el az eszközök elsődleges funkcióinak fejlesztésétől.

Ahelyett, hogy a felhőkapcsolatokat a nulláról kiindulva fejlesztenék, a tervezők a folyamat felgyorsítása érdekében használhatnak felhőkapcsolat-fejlesztő készleteket. Ilyen készletek elérhetőek mikrovezérlőn (MCU) és FPGA-n (field programmable gate array, helyben programozható logikai kapumátrix) alapuló eszközökhöz is, és támogatják a a dolgok internetére kapcsolt eszközök (a továbbiakban IoT-eszközök) Amazon AWS- és Microsoft Azure-felhőhöz való gyors csatlakoztatásához szükséges összes elemet.

Ez a cikk áttekinti a felhőkapcsolatok építőelemeit és felépítését, megvizsgálja a nagyméretű érzékelőhálózatokból származó adatok gyűjtésére és kezelésére szolgáló eseményvezérelt felhőarchitektúrákat, és áttekinti az ISO/IEC (International Standards Organization/International Electrotechnical Commission, Nemzetközi Szabványügyi Szervezet/Nemzetközi Elektrotechnikai Bizottság) 27017 és 27018 számú felhőbiztonsági útmutatóját. Ezután bemutatja a Renesas és a Terasic mikrovezérlőn, illetve FPGA-n alapuló IoT-eszközökhöz való felhőkapcsolat-fejlesztő készleteit, valamint egy mikrovezérlőt a Renesas és egy FPGA-t az Intel kínálatából.

A felhőszolgáltatások az internetre kapcsolt elosztott, nagyméretű adatfeldolgozó és adattároló erőforrások. Egy jellegzetes felhőkörnyezet elemei a következők (2. ábra):

• Eszközök és érzékelők: Az eszközök olyan hardverek vagy szoftverek, amely kölcsönhatásba lépnek a közvetlen környezettel, vagy válaszolnak a felhőből érkező kommunikációra. Az eszközök a működtetőelemektől és villanymotoroktól kezdve az ember és gép közötti kommunikációs eszközökig (HMI, human machine interface), azaz adatbeviteli eszközökig és kijelzőkig, például érintőképernyőkig és mobilkészülékeken futó alkalmazásokig terjednek. Az érzékelők bizonyos környezeti paramétereket mérnek, és az adatokat elemzés, tárolás vagy döntéshozatal céljából elküldik a felhőbe. Az eszközök és az érzékelők csatlakozhatnak a felhőhöz közvetlenül az internet segítségével, vagy közvetve egy átjárón keresztül.
• Átjárók: Olyan kommunikációs platformokat biztosítanak, mint a wifi, Ethernet, mobiltelefonos és más vezeték nélküli protokollok, amelyek lehetővé teszik az internetre közvetlenül nem csatlakozó eszközök és érzékelők felhőhöz való hozzáférését és felhőből történő elérését. Az átjárók az adatok felhőbe továbbítása előtt kezdeti szűrést, összesítést és adatfeldolgozást is végezhetnek.
• IoT-felhő: A nagy területen elhelyezkedő eszközök és érzékelők támogatásának, valamint a nagy mennyiségű adat ipari méretű tárolásának, feldolgozásának és elemzésének méretezhető, költségtakarékos módja. Az IoT-felhőszolgáltatások olyan harmadik fél által üzemeltetett infrastruktúrák és platformok, mint az Amazon AWS és a Microsoft Azure. Ezek lehetnek csak hardverszolgáltatások, de gyakran szoftvercsomagok széles skáláját is elérhetővé teszik az adatelemzés, a jelentéskészítés és a döntéshozatal támogatására.

2. ábra: Az IoT-felhőszolgáltatások külön erre a célra szolgáló átjárón keresztül csatlakoztathatók az érzékelőkből és egyéb eszközökből felépülő hálózatokhoz (kép: Renesas)

Eseményvezérelt felhőarchitektúra az IoT-érzékelőkből származó adatokhoz

A gyógyászati eszközök, gépjárműipari rendszerek, épületautomatizálási vezérlőrendszerek és Ipar 4.0-s rendszerek IoT-érzékelőiből származó adatok egy eseményvezérelt felhőarchitektúra segítségével automatikusan elküldhetők a felhőbe gyűjtés, elemzés és döntéshozatal céljából. Az alaparchitektúra több elemet tartalmaz (3. ábra).

1. Az IoT-érzékelők adatait egy helyi számítógépen (más néven peremszámítógépen) futó futásidejű felhőszolgáltatás segítségével gyűjtik, amely összesíti az adatokat, és a forráshoz közel végzi el a kezdeti elemzést. Ez a helyi szolgáltatás (más néven peremszolgáltatás) önállóan reagál, amikor új adatok érkeznek be, megszűri és a megfelelő formátumban összesíti azokat, majd a beállításoknak megfelelően biztonságosan elküldi a felhőbe vagy a helyi hálózati eszközökre.
2. Egy a helyi számítógép és a felhő közti kapcsolatteremtő szolgáltatás továbbítja az adatokat a felhőbe. A kapcsolatteremtő szolgáltatásnak a helyi számítógép kapcsolatának megteremtése mellett biztonságosnak és méretezhetőnek is kell lennie, és adott esetben csatlakoznia kell a felhőben futó alkalmazásokhoz és más eszközökhöz.
3. A felhőbe továbbított adatokat a további feldolgozáshoz szükséges módon átalakítják, valamint tárolhatják is, hogy később is meg lehessen őket tekinteni. Az adatok átalakítása lehet naprakésszé tétel, adatbővítés vagy egyszerű adatformálás a későbbi elemzések és az üzleti adatgyűjtési jelentések támogatása érdekében. A kezdeti elemzés arra is használható, hogy előkészítse az adatokat a következő lépésben a gépi tanuláshoz (ML, machine learning) szükséges adatfeldolgozáshoz. Ezen túlmenően azonosíthatók olyan rendellenes adatok is, amelyek esetleg gyorsított elemzést és döntéshozatalt igényelnek.
4. A gépi tanulás betanítási és elemzési folyamata szünetmentesen zajlik, ahogy egyre több és több adat válik elérhetővé. Az architektúra ezen utolsó blokkjában mobil- vagy üzleti alkalmazások használhatók a nyers adatok közel valós idejű elérésére vagy a gépi tanuláshoz szükséges adatfeldolgozás eredményeinek megtekintésére. Az eredeti érzékelőadatok forrását képező eszközök kézi vagy automatikus kezelésének támogatásához szükséges részletességű adatokat automatikus jelentések és riasztások biztosíthatják.

3. ábra: Az IoT-érzékelőkből származó adatok kezelésére szolgáló eseményvezérelt referenciaarchitektúrát bemutató példa (kép: AWS)

IEC 27017 és IEC 27018 – miért van szükség mindkettőre?

A felhőalapú megoldások fejlesztőinek ismerniük kell az IEC 27017 és az IEC 27018 szabvány előírásait. A 27017 a felhőszolgáltatások adatbiztonsági ellenőrzéseit, a 27018 pedig a felhasználók adatainak felhőben történő védelmét szabja meg. A két szabványt az ISO/IEC JTC 1/SC 27 közös albizottsága dolgozta ki, és az IEC 27002 biztonsági szabványcsalád részét képezik.

Az IEC 27017 ajánlott eljárásokat tartalmaz mind a felhőszolgáltatók, mind a felhőszolgáltatást igénybe vevők számára. Célja, hogy segítsen a felhasználóknak megérteni a felhőhasználat jelentette megosztott felelősséget, valamint azt, hogy mit várhatnak el a felhőszolgáltatóktól. Például hét további intézkedéssel egészíti ki az IEC 27002 alapszabványban a felhőszolgáltatásokra előírt 37 intézkedést. A további intézkedések a következőkre vonatkoznak:

• a felelősség megosztása a felhőszolgáltatók és a felhőszolgáltatást igénybe vevők között
• az eszközök visszaszolgáltatása a felhőszolgáltatási szerződés lejártakor
• a felhasználó virtuális környezetének elkülönítése és védelme
• a virtuális gépek beállításaival kapcsolatos felelősségi körök
• a felhőkörnyezetet támogató adminisztratív eljárások és műveletek
• a felhőben végzett tevékenység nyomon követése és jelentése
• a felhőbeli és virtuális hálózati környezetek összehangolása és koordinálása

Az IEC 27018 szabványt azért dolgozták ki, hogy segítse a felhőszolgáltatókat a kockázatok felmérésében és a felhasználók személyazonosításra alkalmas adatainak (PII, personally identifiable information) védelmét szolgáló intézkedések végrehajtásában. Az IEC 27002-vel kombinálva az IEC 27018 a biztonsági ellenőrzések, kategóriák és intézkedések szabványos készletét határozza meg a személyazonosításra alkalmas adatokat feldolgozó nyilvános felhőalapú számítástechnikai szolgáltatók számára. Az IEC 27018 számos célkitűzése között felvázolja, hogy miként lehet a felhőszolgáltatásokat igénybe vevők számára olyan mechanizmust biztosítani, amely lehetővé teszi az ellenőrzési, valamint a jogszabályi előírásoknak való megfelelés ellenőrzésére irányuló jogaik gyakorlását. Ez a mechanizmus különösen fontos ott, ahol a virtuális kiszolgálókat (más néven szervereket) használó többszereplős felhőkörnyezetben tárolt adatoknak a felhőszolgáltatást igénybe vevő egyedi ügyfelek általi ellenőrzése műszakilag kihívást jelenthet, és növelheti a meglévő fizikai és logikai hálózatra vonatkozóan foganatosított biztonsági intézkedésekkel kapcsolatos kockázatokat. A szabványnak számos előnye van, többek között az alábbiak:

• a felhasználók személyazonosításra alkalmas és egyéb adatainak fokozott védelme
• megbízhatóbb platformok a felhőszolgáltatást igénybe vevő felhasználók és ügyfelek számára
• a globális műveletek végrehajtása felgyorsításának elősegítése
• a felhőszolgáltatók és a felhőszolgáltatást igénybe vevők jogi kötelezettségeinek és védelmének meghatározása

Mikrovezérlőn alapuló felhőkapcsolat-fejlesztő platform

A Renesas RX65N felhőkapcsolat-fejlesztő készlete az ipari és épületautomatizálás, az okosotthonok, az intelligens mérőórák, az irodai automatizálás és a dolgok internetére kapcsolt általános eszközök tervezői számára kínál hasznos platformot az IoT-berendezések prototípusainak elkészítéséhez és kiértékeléséhez. Két változatban kapható: az RTK5RX65N0S01000BE az Amerikai Egyesült Államokban, míg az RTK5RX65N0S00000BE a világ többi részén használt rendszerek fejlesztését támogatja. Mindkettő gyors kapcsolatot biztosít az Amazon AWS és a Microsoft Azure felhővel (4. ábra). Ezekkel a készletekkel azok a tervezők is gyorsan elkezdhetik használni a megoldásukat felhőkapcsolati környezetben, akiknek nincs korábbi tapasztalatuk a dolgok internetére kapcsolt (IoT-) eszközök fejlesztése terén.

4. ábra: A fejlesztők az RX65N felhőkapcsolat-fejlesztő készletben található fejlesztőkártyák segítségével gyorsan fejleszthetnek ki az Amazon AWS és a Microsoft Azure felhőhöz csatlakoztatható IoT-eszközöket (kép: Renesas)

Az RX65N felhőkapcsolat-fejlesztő készlet több érzékelővel, felhasználói felülettel és kommunikációs funkcióval segíti a rugalmas fejlesztést. A készülékfejlesztés felgyorsítása érdekében a készlet mintaprogramokat is tartalmaz. A mintaprogramok szerkeszthetők, és hibakeresés végezhető bennük. A mellékelt felhasználásismertető dokumentumok részletesen ismertetik az eszközök működését. A mintaprogramok az Amazon FreeRTOS operációs rendszeren futtatható formában lettek létrehozva, és az elérhetővé tett forráskódkönyvtáraknak köszönhetően szabadon bővíthetőek, módosíthatóak és törölhetőek. A készlet AWS minősítésű, így biztonságosan tud kommunikálni az AWS felhővel, és az alábbiakat tartalmazza (5. ábra):

• felhőbeállító kártya hőmérséklet- és páratartalom-érzékelővel, fényérzékelővel és 3 tengely menti gyorsulásmérővel, valamint egy USB-porttal a soros kommunikációhoz és egy második USB-porttal a hibakereséshez
• a Silex SX-ULPGN Pmod modulon alapuló wifikommunikációs modul
• minden szükséges energiagazdálkodási lehetőség
• RX65N célkártya, amely tartalmazza az R5F565NEDDFP mikrovezérlőt, és –40 °C és +85 °C közötti a névleges üzemi hőmérséklet-tartománya

5. ábra: Az AWS minősítésű RX65N felhőkapcsolat-fejlesztő készlet mindent tartalmaz, ami az IoT-eszközök biztonságos csatlakoztatásához szükséges (kép: Renesas)

A Renesas RX65N mikrovezérlői jól használhatók a felhő- és érzékelőmegoldások végponti eszközeihez. Főbb jellemzőik:

• működés 120 MHz-en, egyszeres pontosságú lebegőpontos egységgel (FPU)
• 2,7 V és 3,6 V közötti üzemi feszültség
• az összes perifériás funkció támogatásához mindössze 0,19 mA/MHz áramfelvétel szükséges
• négy kis fogyasztású üzemmód a fogyasztás/teljesítmény arány optimalizálása érdekében
• kommunikációs csatlakozók: Ethernet, USB, CAN, SD fő/alárendelt (egyéb elterjedt elnevezésekkel gazda/szolga, illetve az angolból átvett host/slave) csatlakozó (SD-kártyához) és négyszeres sebességű (quad) SPI
• programtároló flashmemória: maximum 2 MB, SRAM maximum 640 kB
• kétblokkos (DualBank) flashmemória-működés az egyszerűsített firmware-frissítések érdekében
• biztonság
  • az NIST FIPS 140-2. pontja szerinti 3. szintű CMVP-tanúsítvány (a Nemzeti Szabványügyi és Műszaki Intézet (National Institute of Standards and Technology, NIST) szövetségi adatfeldolgozási szabványainak (Federal Information Processing Standards, FIPS) 140-2. pontja szerinti 3. szintű titkosítómodul-minősítő program (Cryptographic Module Validation Program, CMVP) előírásainak teljesítését igazoló tanúsítvány)
  • be van építve a Renesas saját fejlesztésű hardveres biztonságos adatfeldolgozása (Trusted Secure IP, megbízható biztonságos adatfeldolgozás), és magas szintű megbízhatósági alappontot (RoT, root of trust) valósít meg
  • választható titkosítómotorok: AES, TRNG, TDES, RSA, ECC, SHA
  • a flashmemóriát a véletlen hozzáféréstől védő funkciókkal ellátva

Felhőkapcsolat FPGA-val

Azok a tervezők, akiknek FPGA-teljesítményre és felhőkapcsolatra van szükségük, használhatják a Terasic FPGA-s felhőkapcsolat-fejlesztő készletét (FPGA Cloud Connectivity Kit), amely az Intel Cyclone V valamelyik egylapkás rendszerként (SoC, system on chip) kialakított FPGA-ját, például az 5CSEBA5U23C8N jelű eszközt ötvözi felhőkapcsolattal. Ez a fejlesztőkészlet megkapta a felhőszolgáltatók, köztük a Microsoft Azure tanúsítványát, és nyílt forráskódú mintaterveket is tartalmaz, amelyek végigvezetik a tervezőket a helyi eszközök felhőhöz csatlakoztatásának folyamatán. Az FPGA-s felhőkapcsolat-fejlesztő készlet a következőket tartalmazza (6. ábra):

• DE10-Nano Cyclone V SoC FPGA kártya
• RFS kiegészítőkártya:
  • az ESP-WROOM-02 modult használó wifi maximum 100 m hatótávolsággal
  • 9 tengelyes érzékelő gyorsulásmérővel, pörgettyűvel (giroszkóp) és magnetométerrel
  • környezetifény-érzékelő
  • páratartalom- és hőmérséklet-érzékelő
  • UART–USB átalakító
  • 2x6 TMD GPIO (2 × 6 érintkezős Terasic mini digitális általános célú be- és kimenet) bővítőcsatlakozó
  • a HC-05 modult használó Bluetooth SPP (soros portos Bluetooth) maximum 10 m hatótávolsággal

6. ábra: A Terasic FPGA-s felhőkapcsolat-fejlesztő készlet a DE10-Nano Cyclone V SoC FPGA kártyát az RFS kiegészítőkártyával együtt használja (kép: Terasic)

Az Intel Cyclone SoC FPGA egy testreszabható, ARM processzorra épülő egylapkás rendszer (SoC), amely kisebb fogyasztást, alacsonyabb költségeket és a nyomtatott áramköri lapon elfoglalt kisebb helyet tesz lehetővé azáltal, hogy a processzorokat, a perifériákat és a memóriavezérlőt tartalmazó hardveres processzorrendszert (HPS, hard processor system) egy nagy sávszélességű összeköttetést használó, kis fogyasztású FPGA eszközzel egyesíti. Ezek az egylapkás rendszerek (ritkábban használt nevükön rendszerlapkák) különösen alkalmasak a dolgok internetére kapcsolt nagy teljesítményű helyi számítógépekhez.

Összegzés

Nem kell, hogy az IoT-eszközök és -érzékelők felhőkapcsolatának megteremtése olyan nehéz feladat legyen, amely erőforrásokat von el az elsődleges eszközfunkciók tervezésétől. A tervezők használhatnak olyan mikrovezérlőn, illetve FPGA-n alapuló környezeteket, amelyek lehetőséget teremtenek az Amazon AWS és a Microsoft Azure felhővel való gyors és jó hatásfokú kapcsolatra. Ezek a fejlesztőkészletek érzékelők, vezetékes és vezeték nélküli kommunikációs lehetőségek, valamint mintaprogramok átfogó készleteit tartalmazzák, amelyek biztonságos és védett felhőkapcsolatot tesznek lehetővé.