Configurazione e risoluzione dei problemi di AWS IoT Greengrass con dispositivi client - Prontuario AWS
RiepilogoPrerequisiti e limitazioniArchitetturaStrumentiBest practiceEpicheRisoluzione dei problemiRisorse correlateInformazioni aggiuntive

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configurazione e risoluzione dei problemi di AWS IoT Greengrass con dispositivi client

Creato da Marouane Sefiani e Akalanka De Silva (AWS)

Ambiente: PoC o pilota

Tecnologie: IoT

Servizi AWS: AWS IoT Greengrass; AWS IoT Core

Riepilogo

AWS IoT Greengrass è un servizio cloud e di runtime edge open source per la creazione, la distribuzione e la gestione di software Internet of Things (IoT) su dispositivi edge. I casi d'uso per AWS IoT Greengrass includono:

  • Case intelligenti in cui un gateway AWS IoT Greengrass viene utilizzato come hub per l'automazione domestica

  • Fabbriche intelligenti in cui AWS IoT Greengrass può facilitare l'acquisizione e l'elaborazione locale dei dati dall'officina

AWS IoT Greengrass può fungere da endpoint di connessione MQTT sicuro e autenticato per altri dispositivi edge (noti anche come dispositivi client), che altrimenti si connetterebbero direttamente ad AWS IoT Core. Questa funzionalità è utile quando i dispositivi client non hanno accesso diretto alla rete all'endpoint AWS IoT Core.

Puoi configurare AWS IoT Greengrass per l'uso con i dispositivi client per i seguenti casi d'uso:

  • Per consentire ai dispositivi client di inviare dati ad AWS IoT Greengrass

  • Per l'inoltro dei dati ad AWS IoT Core da parte di AWS IoT Greengrass

  • Per sfruttare le funzionalità avanzate del motore di regole AWS IoT Core

Queste funzionalità richiedono l'installazione e la configurazione dei seguenti componenti sul dispositivo AWS IoT Greengrass:

  • Broker MQTT

  • Ponte MQTT

  • Autenticazione del dispositivo client

  • Rilevatore IP

Inoltre, i messaggi pubblicati dai dispositivi client devono essere in formato JSON o in formato Protocol Buffers (protobuf).

Questo modello descrive come installare e configurare questi componenti richiesti e fornisce suggerimenti e best practice per la risoluzione dei problemi.

Prerequisiti e limitazioni

Prerequisiti

Limitazioni

  • Devi scegliere una regione AWS in cui è disponibile AWS IoT Core. Per l'elenco aggiornato delle regioni per AWS IoT Core, consulta Servizi AWS per regione.

  • Il dispositivo principale deve avere almeno 172 MB di RAM e 512 MB di spazio su disco.

Architettura

Il diagramma seguente mostra l'architettura della soluzione per questo modello.

Architettura della soluzione per la configurazione di AWS IoT Greengrass con dispositivi client

L'architettura include:

  • Due dispositivi client. Ogni dispositivo contiene una chiave privata, un certificato del dispositivo e un certificato di autorità di certificazione (CA) principale. L'SDK per dispositivi AWS IoT, che contiene un client MQTT, è installato anche su ogni dispositivo client.

  • Un dispositivo principale su cui è distribuito AWS IoT Greengrass con i seguenti componenti:

    • Broker MQTT

    • Ponte MQTT

    • Autenticazione del dispositivo client

    • Rilevatore IP

Questa architettura supporta i seguenti scenari:

  • I dispositivi client possono utilizzare il proprio client MQTT per comunicare tra loro tramite il broker MQTT del dispositivo principale.

  • I dispositivi client possono anche comunicare con AWS IoT Core nel cloud tramite il broker MQTT del dispositivo principale e il bridge MQTT.

  • AWS IoT Core nel cloud può inviare messaggi ai dispositivi client tramite il client di test MQTT e il bridge MQTT e il broker MQTT del dispositivo principale.

Per ulteriori informazioni sulle comunicazioni tra i dispositivi client e il dispositivo principale, consulta la sezione Informazioni aggiuntive.

Strumenti

Servizi AWS

  • AWS IoT Greengrass è un servizio cloud e di runtime edge open source per l'Internet of Things (IoT) che ti aiuta a creare, distribuire e gestire applicazioni IoT sui tuoi dispositivi.

  • AWS IoT Core fornisce comunicazioni sicure e bidirezionali per i dispositivi connessi a Internet per connettersi al cloud AWS.

  • AWS IoT Device SDK è un kit di sviluppo software che include librerie open source, guide per sviluppatori con esempi e guide al porting per creare prodotti o soluzioni IoT innovativi su piattaforme hardware a tua scelta.

  • AWS Identity and Access Management (IAM) ti aiuta a gestire in modo sicuro l'accesso alle tue risorse AWS controllando chi è autenticato e autorizzato a utilizzarle.

Best practice

  • Il payload dei messaggi dai dispositivi client deve essere in formato JSON o Protobuf per sfruttare le funzionalità avanzate del motore di regole AWS IoT Core, come la trasformazione e le azioni condizionali.

  • Configura il bridge MQTT per consentire la comunicazione bidirezionale.

  • Configura e distribuisci il componente del rilevatore IP in AWS IoT Greengrass per garantire che gli indirizzi IP del dispositivo principale siano inclusi nel campo Subject Alternative Name (SAN) del certificato broker MQTT.

Epiche

AttivitàDescrizioneCompetenze richieste

Configura AWS IoT Greengrass sul tuo dispositivo principale.

Installa il software AWS IoT Greengrass Core seguendo le istruzioni nella guida per sviluppatori.

AWS IoT Greengrass

Controlla lo stato dell'installazione.

Utilizza il seguente comando per verificare lo stato del servizio AWS IoT Greengrass sul tuo dispositivo principale:

sudo systemctl status greengrass.service

L'output previsto del comando è:

Launched Nucleus successfully
Informazioni generali su AWS

Imposta una policy IAM e collegala al ruolo di servizio Greengrass.

  1. Crea una policy IAM per consentire le comunicazioni da e verso il bridge MQTT. Ecco un esempio di policy:

    {
    "Version": "2012-10-17",
    "Statement": [

        {
            "Effect": "Allow",
            "Action": [
                "iot:*"
            ],
            "Resource": "*"
        },
        {
            "Sid": "GreengrassActions",
            "Effect": "Allow",
            "Action": [
                "greengrass:*"
            ],
            "Resource": "*"
        }
    ]
}

  2. Associa la policy al ruolo di servizio Greengrass. Per ottenere il ruolo di servizio, usa il comando:

    aws greengrassv2 get-service-role-for-account --region <region>

    dove <region> si riferisce alla tua regione AWS.

Informazioni generali su AWS

Configura e distribuisci i componenti richiesti nel dispositivo principale di AWS IoT Greengrass.

Configura e distribuisci i seguenti componenti:

AWS IoT Greengrass

Verificate che il bridge MQTT consenta la comunicazione bidirezionale.

Per inoltrare messaggi MQTT tra dispositivi client e AWS IoT Core, configura e distribuisci il componente bridge MQTT e specifica gli argomenti da inoltrare. Ecco un esempio:

{
  "mqttTopicMapping": {
    "ClientDevicesToCloud": {
      "topic": "dt/#",
      "source": "LocalMqtt",
      "target": "IotCore"
    },
    "CloudToClientDevices": {
      "topic": "cmd/#",
      "source": "IotCore",
      "target": "LocalMqtt"
    }
  }
}
AWS IoT Greengrass

Verifica che il componente di autenticazione consenta ai dispositivi client di connettersi e pubblicare o sottoscrivere argomenti.

La seguente aws.greengrass.clientdevices.Auth configurazione consente a tutti i dispositivi client di connettersi, pubblicare messaggi e sottoscrivere tutti gli argomenti.

{
  "deviceGroups": {
    "formatVersion": "2021-03-05",
    "definitions": {
      "MyPermissiveDeviceGroup": {
        "selectionRule": "thingName: *",
        "policyName": "MyPermissivePolicy"
      }
    },
    "policies": {
      "MyPermissivePolicy": {
        "AllowAll": {
          "statementDescription": "Allow client devices to perform all actions.",
          "operations": [
            "*"
          ],
          "resources": [
            "*"
          ]
        }
      }
    }
  }
}
AWS IoT Greengrass
AttivitàDescrizioneCompetenze richieste

Installa l'SDK per dispositivi AWS IoT.

Installa l'SDK per dispositivi AWS IoT sui dispositivi client. Per un elenco completo delle lingue supportate e degli SDK associati, consulta la documentazione di AWS IoT Core.

Ad esempio, l'SDK per dispositivi AWS IoT per Python si trova su. GitHub Per installare questo SDK:

  1. Verifica che Python 3.7 o versione successiva sia installato, come indicato nella pagina Prerequisiti del repository. GitHub

  2. Usa il comando pip per installare l'SDK.

    Per macOS e Linux:

    python3 -m pip install awsiotsdk

    Per Windows:

    python -m pip install awsiotsdk

In alternativa, puoi installare l'SDK dal repository di origine:

# Create a workspace directory to hold all the SDK files
mkdir sdk-workspace
cd sdk-workspace
# Clone the repository
git clone https://github.com/aws/aws-iot-device-sdk-python-v2.git
# Install using Pip (use 'python' instead of 'python3' on Windows)
python3 -m pip install ./aws-iot-device-sdk-python-v2
Informazioni generali su AWS IoT

Crea una cosa.

  1. Nella console AWS IoT, se viene visualizzato un pulsante Get started, selezionalo. Altrimenti, nel pannello di navigazione, scegli Sicurezza, Politiche.

  2. Se viene visualizzata la finestra di dialogo Non hai ancora alcuna politica, scegli Crea una politica. In caso contrario, scegliere Create (Crea).

  3. Inserisci un nome per la policy di AWS IoT (ad esempio,ClientDevicePolicy).

  4. Nella sezione Aggiungi dichiarazioni, sostituisci la policy esistente con il seguente codice JSON. Sostituisci <region> e <account> inserisci la tua regione AWS e il numero di account AWS.

    {
   "Version": "2012-10-17",
   "Statement": [{
         "Effect": "Allow",
         "Action": "iot:Connect",
         "Resource": "arn:aws:iot:region:account:client/*"
      },
      {
         "Effect": "Allow",
         "Action": "iot:Publish",
         "Resource": "*"
      },
      {
         "Effect": "Allow",
         "Action": "iot:Receive",
         "Resource": "*"
      },
      {
         "Effect": "Allow",
         "Action": "iot:Subscribe",
         "Resource": "*"
      },
      {
         "Effect": "Allow",
         "Action": [
            "iot:GetThingShadow",
            "iot:UpdateThingShadow",
            "iot:DeleteThingShadow"
         ],
         "Resource": "arn:aws:iot:region:account:thing/*"

      }
   ]
}

  5. Scegli Crea.

  6. Nella console AWS IoT, nel pannello di navigazione, scegli Manage, Things.

  7. Se viene visualizzata la finestra di dialogo Non hai ancora nulla, scegli Registra un oggetto. In caso contrario, scegliere Create (Crea).

  8. Nella pagina Creating AWS IoT things (Creazione di oggetti AWS IoT), scegli Create a single thing (Crea singolo oggetto).

  9. Nella pagina Add your device to the device registry (Aggiungi il tuo dispositivo al registro dei dispositivi), immettere un nome per l'oggetto IoT, ad esempio ClientDevice1, quindi scegliere Next (Avanti).

    Nota: non puoi cambiare il nome di un oggetto dopo averlo creato. Per cambiare il nome, devi creare un nuovo elemento, assegnargli il nuovo nome e quindi eliminare quello vecchio.

  10. Nella pagina Add a certificate for your thing (Aggiungi un certificato per l'oggetto), scegli Create certificate (Crea certificato).

  11. Scegliere i collegamenti Download (Scarica) per scaricare il certificato, la chiave privata e il certificato CA root.

    Importante: questa è l'unica opportunità per scaricare il certificato e la chiave privata.

  12. Scegli Activate (Attiva) per attivare il certificato. Il certificato deve essere attivo affinché un dispositivo possa connettersi ad AWS IoT.

  13. Scegliere Attach a policy (Collega policy).

  14. Per Aggiungi una policy per il tuo oggetto ClientDevicePolicy, scegli Register Thing.

AWS IoT Core

Scarica il certificato CA dal dispositivo principale Greengrass.

Se si prevede che il dispositivo core Greengrass funzioni in ambienti offline, è necessario rendere disponibile il certificato CA di base Greengrass al dispositivo client in modo che possa verificare il certificato del broker MQTT (rilasciato dalla CA principale di Greengrass). Pertanto, è importante ottenere una copia di questo certificato. Utilizza uno dei seguenti approcci per scaricare il certificato CA:

  • Se hai accesso di rete al dispositivo AWS IoT Greengrass dal tuo PC, accedi https://<device IP>:8883 al tuo browser Web e visualizza il certificato del broker MQTT e il certificato CA. Puoi anche salvare il certificato CA sul dispositivo client.

  • In alternativa, puoi usare la riga di comando OpenSSL:

    openssl s_client -showcerts -connect <device IP>:8883
Informazioni generali su AWS

Copia le credenziali nei dispositivi client.

Copia il certificato CA di base Greengrass, il certificato del dispositivo e la chiave privata nei dispositivi client.

Informazioni generali su AWS

Associa i dispositivi client al dispositivo principale.

Associa i dispositivi client a un dispositivo principale in modo che possano scoprire il dispositivo principale. I dispositivi client possono quindi utilizzare l'API di scoperta Greengrass per recuperare le informazioni di connettività e i certificati per i dispositivi principali associati. Per ulteriori informazioni, consulta Associare i dispositivi client nella documentazione di AWS IoT Greengrass.

  1. Nella console AWS IoT Greengrass, scegli i dispositivi Core.

  2. Scegli il dispositivo principale da gestire.

  3. Nella pagina dei dettagli del dispositivo principale, scegli la scheda Dispositivi client.

  4. Nella sezione Dispositivi client associati, scegli Associa dispositivi client.

  5. Nella modalità Associa i dispositivi client al dispositivo principale, procedi come segue per ogni dispositivo client da associare:

    1. Inserisci il nome dell'oggetto AWS IoT da associare come dispositivo client.

    2. Scegli Aggiungi.

  6. Selezionare Associate (Associa).

I dispositivi client che hai associato possono ora utilizzare l'API di scoperta Greengrass per scoprire questo dispositivo principale.

AWS IoT Greengrass
AttivitàDescrizioneCompetenze richieste

Invia dati da un dispositivo client a un altro dispositivo client.

Utilizzate il client MQTT del vostro dispositivo per pubblicare un messaggio sull'dt/client1/sensorargomento.

Informazioni generali su AWS

Invia dati dal dispositivo client ad AWS IoT Core.

Usa il client MQTT sul tuo dispositivo per pubblicare un messaggio sull'dt/client1/sensorargomento.

Nel client di test MQTT, sottoscrivete l'argomento su cui il dispositivo invia i messaggi oppure abbonatevi a # per tutti gli argomenti (consultate i dettagli).

Informazioni generali su AWS

Invia messaggi da AWS IoT Core ai dispositivi client.

Nella pagina del client di test MQTT, nella scheda Pubblica su un argomento, nel campo Nome argomento, inserisci il nome dell'argomento del messaggio. In questo esempio, usa cmd/client1 per l'argomento.

Informazioni generali su AWS

Risoluzione dei problemi

ProblemaSoluzione

Impossibile verificare l'errore del certificato del server

Questo errore si verifica quando il client MQTT non è in grado di verificare il certificato presentato dal broker MQTT durante l'handshake TLS. Il motivo più comune è che il client MQTT non dispone del certificato CA. Segui questi passaggi per assicurarti che il certificato CA venga fornito al client MQTT.

  1. Se hai accesso di rete al dispositivo AWS IoT Greengrass dal tuo PC, accedi https://<device IP>:8883 in una finestra del browser per visualizzare il certificato del broker MQTT e il certificato CA. Puoi anche salvare il certificato CA sul dispositivo client.

    In alternativa, usa la riga di comando OpenSSL:

    openssl s_client -showcerts -connect <device IP>:8883

  2. Salva il contenuto dei certificati Moquette CA e Greengrass Core CA in file, quindi visualizza il contenuto decodificato utilizzando il comando:

    openssl x509 -in <Name of CA>.pem -text

    Il certificato Moquette CA dovrebbe mostrare il campo SAN come in questo esempio:

     X509v3 Subject Alternative Name:  IP Address:XXX.XXX.XXX.XXX, IP Address:127.0.0.1, DNS:localhost

Impossibile verificare l'errore relativo al nome del server

Questo errore si verifica quando il client MQTT non è in grado di verificare che si stia connettendo al server corretto. Il motivo più comune è che l'indirizzo IP del dispositivo Greengrass non è elencato nel campo SAN del certificato.

Segui le istruzioni della soluzione precedente per ottenere il certificato del broker MQTT e verifica che il campo SAN contenga l'indirizzo IP del dispositivo AWS IoT Greengrass, come spiegato nella sezione Informazioni aggiuntive. In caso contrario, verifica che il componente del rilevatore IP sia installato correttamente e riavvia il dispositivo principale.

Impossibile verificare il nome del server solo quando ci si connette da un dispositivo client integrato

Mbed TLS, che è una popolare libreria TLS utilizzata nei dispositivi integrati, attualmente supporta la verifica dei nomi DNS solo nel campo SAN del certificato, come mostrato nel codice della libreria Mbed TLS. Poiché il dispositivo principale non ha un nome di dominio proprio e dipende dall'indirizzo IP, i client TLS che utilizzano Mbed TLS non riusciranno a verificare il nome del server durante l'handshake TLS, causando un errore di connessione. Ti consigliamo di aggiungere la verifica dell'indirizzo IP SAN alla tua libreria TLS Mbed con la funzione x509_crt_check_san.

Risorse correlate

Informazioni aggiuntive

Questa sezione fornisce informazioni aggiuntive sulle comunicazioni tra i dispositivi client e il dispositivo principale.

Il broker MQTT ascolta sulla porta 8883 del dispositivo principale un tentativo di connessione al client TLS. L'illustrazione seguente mostra un esempio di certificato server del broker MQTT.

Esempio di certificato del server del broker MQTT

Il certificato di esempio mostra i seguenti dettagli:

  • Il certificato è rilasciato dalla CA AWS IoT Greengrass Core, che è locale e specifica per il dispositivo principale, ovvero funge da CA locale.

  • Questo certificato viene ruotato automaticamente ogni settimana dal componente di autenticazione del client, come mostrato nella figura seguente. È possibile impostare questo intervallo nella configurazione del componente client auth.

Rotazione del certificato del server del broker MQTT

  • Il nome alternativo del soggetto (SAN) svolge un ruolo fondamentale nella verifica del nome del server sul lato client TLS. Aiuta il client TLS a garantire la connessione al server corretto e aiuta a evitare man-in-the-middle attacchi durante la configurazione della sessione TLS. Nel certificato di esempio, il campo SAN indica che questo server è in ascolto su localhost (il socket del dominio Unix locale) e l'interfaccia di rete ha l'indirizzo IP 192.168.1.12.

Il client TLS utilizza il campo SAN nel certificato per verificare che si stia connettendo a un server legittimo durante la verifica del server. Al contrario, durante un tipico handshake TLS tra un server HTTP e un browser, il nome di dominio nel campo Common Name (CN) o nel campo SAN viene utilizzato per verificare il dominio a cui il browser si sta effettivamente connettendo durante il processo di verifica del server. Se il dispositivo principale non ha un nome di dominio, l'indirizzo IP incluso nel campo SAN ha lo stesso scopo. Per ulteriori informazioni, vedere la sezione Subject Alternative Name di RFC 5280 — Profilo del certificato e dell'elenco di revoca dei certificati (CRL) dell'infrastruttura a chiave pubblica Internet X.509.

Il componente del rilevatore IP in AWS IoT Greengrass assicura che gli indirizzi IP corretti siano inclusi nel campo SAN del certificato.

Il certificato nell'esempio è firmato dal dispositivo AWS IoT Greengrass che funge da CA locale. Il client TLS (client MQTT) non è a conoscenza di questa CA, quindi dobbiamo fornire un certificato CA simile al seguente.

Esempio di certificato CA