Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Configurazione e risoluzione dei problemi di AWS IoT Greengrass con dispositivi client
*Marouane Sefiani e Akalanka De Silva, Amazon Web Services*
## Riepilogo
AWS IoT Greengrass è un servizio cloud e di runtime edge open source per la creazione, la distribuzione e la gestione di software Internet of Things (IoT) su dispositivi edge. I casi d'uso per AWS IoT Greengrass includono:
+ Case intelligenti in cui un gateway AWS IoT Greengrass viene utilizzato come hub per l'automazione domestica
+ Fabbriche intelligenti in cui AWS IoT Greengrass può facilitare l'acquisizione e l'elaborazione locale dei dati dall'officina
AWS IoT Greengrass può fungere da endpoint di connessione MQTT sicuro e autenticato per altri dispositivi edge (noti anche come *dispositivi client*), che altrimenti si connetterebbero direttamente ad AWS IoT Core. Questa funzionalità è utile quando i dispositivi client non hanno accesso diretto alla rete all'endpoint AWS IoT Core.
Puoi configurare AWS IoT Greengrass per l'uso con i dispositivi client per i seguenti casi d'uso:
+ Per consentire ai dispositivi client di inviare dati ad AWS IoT Greengrass
+ Per l'inoltro dei dati ad AWS IoT Core da parte di AWS IoT Greengrass
+ Per sfruttare le funzionalità avanzate del motore di regole AWS IoT Core
Queste funzionalità richiedono l'installazione e la configurazione dei seguenti componenti sul dispositivo AWS IoT Greengrass:
+ Broker MQTT
+ Ponte MQTT
+ Autenticazione del dispositivo client
+ Rilevatore IP
Inoltre, i messaggi pubblicati dai dispositivi client devono essere in formato JSON o in formato [Protocol Buffers (protobuf](https://protobuf.dev/)).
Questo modello descrive come installare e configurare questi componenti richiesti e fornisce suggerimenti e best practice per la risoluzione dei problemi.
## Prerequisiti e limitazioni
**Prerequisiti**
+ Un account AWS attivo
+ [AWS Command Line Interface (AWS CLI) versione 2](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-getting-started.html)
+ Due dispositivi client che eseguono Python 3.7 o versione successiva
+ Un dispositivo principale che esegue Java Runtime Environment (JRE) versione 8 o successiva e [Amazon Corretto 11](https://aws.amazon.com/corretto/) o [OpenJDK](https://openjdk.java.net/) 11
**Limitazioni**
+ Devi scegliere una regione AWS in cui è disponibile AWS IoT Core. Per l'elenco aggiornato delle regioni per AWS IoT Core, consulta [Servizi AWS per regione](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/).
+ Il dispositivo principale deve avere almeno 172 MB di RAM e 512 MB di spazio su disco.
## Architecture
Il diagramma seguente mostra l'architettura della soluzione per questo modello.
L'architettura include:
+ Due dispositivi client. Ogni dispositivo contiene una chiave privata, un certificato del dispositivo e un certificato di autorità di certificazione (CA) principale. L'SDK per dispositivi AWS IoT, che contiene un client MQTT, è installato anche su ogni dispositivo client.
+ Un dispositivo principale su cui è distribuito AWS IoT Greengrass con i seguenti componenti:
+ Broker MQTT
+ Ponte MQTT
+ Autenticazione del dispositivo client
+ Rilevatore IP
Questa architettura supporta i seguenti scenari:
+ I dispositivi client possono utilizzare il proprio client MQTT per comunicare tra loro tramite il broker MQTT del dispositivo principale.
+ I dispositivi client possono anche comunicare con AWS IoT Core nel cloud tramite il broker MQTT del dispositivo principale e il bridge MQTT.
+ AWS IoT Core nel cloud può inviare messaggi ai dispositivi client tramite il client di test MQTT e il bridge MQTT e il broker MQTT del dispositivo principale.
Per ulteriori informazioni sulle comunicazioni tra i dispositivi client e il dispositivo principale, consulta la sezione Informazioni [aggiuntive](#set-up-and-troubleshoot-aws-iot-greengrass-with-client-devices-additional).
## Tools (Strumenti)
**Servizi AWS**
+ [AWS IoT Greengrass](https://docs.aws.amazon.com/greengrass/v2/developerguide/what-is-iot-greengrass.html) è un servizio cloud e di runtime edge open source per l'Internet of Things (IoT) che ti aiuta a creare, distribuire e gestire applicazioni IoT sui tuoi dispositivi.
+ [AWS IoT Core](https://docs.aws.amazon.com/iot/latest/developerguide/what-is-aws-iot.html) fornisce comunicazioni sicure e bidirezionali per i dispositivi connessi a Internet per connettersi al cloud AWS.
+ [AWS IoT Device SDK](https://boto3.amazonaws.com/v1/documentation/api/latest/guide/quickstart.html) è un kit di sviluppo software che include librerie open source, guide per sviluppatori con esempi e guide al porting per creare prodotti o soluzioni IoT innovativi su piattaforme hardware a tua scelta.
+ [AWS Identity and Access Management (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) ti aiuta a gestire in modo sicuro l'accesso alle tue risorse AWS controllando chi è autenticato e autorizzato a utilizzarle.
## Best practice
+ Il payload dei messaggi dai dispositivi client deve essere in formato JSON o Protobuf per sfruttare le funzionalità avanzate del motore di regole AWS IoT Core, come la trasformazione e le azioni condizionali.
+ Configura il bridge MQTT per consentire la comunicazione bidirezionale.
+ Configura e distribuisci il componente del rilevatore IP in AWS IoT Greengrass per garantire che gli indirizzi IP del dispositivo principale siano inclusi nel campo Subject Alternative Name (SAN) del certificato broker MQTT.
## Epiche
### Configura il dispositivo principale
| Operazione | Description | Competenze richieste |
| --- | --- | --- |
| Configura AWS IoT Greengrass sul tuo dispositivo principale. | Installa il software AWS IoT Greengrass Core seguendo le istruzioni nella guida per [sviluppatori](https://docs.aws.amazon.com/greengrass/v2/developerguide/install-greengrass-core-v2.html). | AWS IoT Greengrass |
| Controlla lo stato dell'installazione. | Utilizza il seguente comando per verificare lo stato del servizio AWS IoT Greengrass sul tuo dispositivo principale:sudo systemctl status greengrass.service
L'output previsto del comando è:Launched Nucleus successfully
| Informazioni generali su AWS |
| Imposta una policy IAM e collegala al ruolo di servizio Greengrass. | [See the AWS documentation website for more details](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/set-up-and-troubleshoot-aws-iot-greengrass-with-client-devices.html) | Informazioni generali su AWS |
| Configura e distribuisci i componenti richiesti nel dispositivo principale di AWS IoT Greengrass. | Configura e distribuisci i seguenti componenti:[See the AWS documentation website for more details](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/set-up-and-troubleshoot-aws-iot-greengrass-with-client-devices.html) | AWS IoT Greengrass |
| Verificate che il bridge MQTT consenta la comunicazione bidirezionale. | Per inoltrare messaggi MQTT tra dispositivi client e AWS IoT Core, configura e distribuisci il componente bridge MQTT e specifica gli argomenti da inoltrare. Ecco un esempio:{
"mqttTopicMapping": {
"ClientDevicesToCloud": {
"topic": "dt/#",
"source": "LocalMqtt",
"target": "IotCore"
},
"CloudToClientDevices": {
"topic": "cmd/#",
"source": "IotCore",
"target": "LocalMqtt"
}
}
} | AWS IoT Greengrass |
| Verifica che il componente di autenticazione consenta ai dispositivi client di connettersi e pubblicare o sottoscrivere argomenti. | La seguente `aws.greengrass.clientdevices.Auth` configurazione consente a tutti i dispositivi client di connettersi, pubblicare messaggi e sottoscrivere tutti gli argomenti.{
"deviceGroups": {
"formatVersion": "2021-03-05",
"definitions": {
"MyPermissiveDeviceGroup": {
"selectionRule": "thingName: *",
"policyName": "MyPermissivePolicy"
}
},
"policies": {
"MyPermissivePolicy": {
"AllowAll": {
"statementDescription": "Allow client devices to perform all actions.",
"operations": [
"*"
],
"resources": [
"*"
]
}
}
}
}
} | AWS IoT Greengrass |
### Configurare i dispositivi client
| Operazione | Description | Competenze richieste |
| --- | --- | --- |
| Installa l'SDK per dispositivi AWS IoT. | Installa l'SDK per dispositivi AWS IoT sui dispositivi client. Per un elenco completo delle lingue supportate e associate SDKs, consulta la [documentazione di AWS IoT Core](https://docs.aws.amazon.com/iot/latest/developerguide/iot-sdks.html).
[Ad esempio, l'SDK per dispositivi AWS IoT per Python si trova su. GitHub](https://github.com/aws/aws-iot-device-sdk-python-v2) Per installare questo SDK:[See the AWS documentation website for more details](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/set-up-and-troubleshoot-aws-iot-greengrass-with-client-devices.html)
In alternativa, puoi installare l'SDK dal repository di origine:# Create a workspace directory to hold all the SDK files
mkdir sdk-workspace
cd sdk-workspace
# Clone the repository
git clone https://github.com/aws/aws-iot-device-sdk-python-v2.git
# Install using Pip (use 'python' instead of 'python3' on Windows)
python3 -m pip install ./aws-iot-device-sdk-python-v2
| Informazioni generali su AWS IoT |
| Crea una cosa. | [See the AWS documentation website for more details](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/set-up-and-troubleshoot-aws-iot-greengrass-with-client-devices.html) | AWS IoT Core |
| Scarica il certificato CA dal dispositivo principale Greengrass. | Se si prevede che il dispositivo core Greengrass funzioni in ambienti offline, è necessario rendere disponibile il certificato CA di base Greengrass al dispositivo client in modo che possa verificare il certificato del broker MQTT (rilasciato dalla CA principale di Greengrass). Pertanto, è importante ottenere una copia di questo certificato. Utilizza uno dei seguenti approcci per scaricare il certificato CA:[See the AWS documentation website for more details](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/set-up-and-troubleshoot-aws-iot-greengrass-with-client-devices.html) | Informazioni generali su AWS |
| Copia le credenziali nei dispositivi client. | Copia il certificato CA di base Greengrass, il certificato del dispositivo e la chiave privata nei dispositivi client. | Informazioni generali su AWS |
| Associa i dispositivi client al dispositivo principale. | Associa i dispositivi client a un dispositivo principale in modo che possano scoprire il dispositivo principale. I dispositivi client possono quindi utilizzare l'[API di scoperta Greengrass](https://docs.aws.amazon.com/greengrass/v2/developerguide/greengrass-discover-api.html) per recuperare le informazioni di connettività e i certificati per i dispositivi principali associati. Per ulteriori informazioni, consulta [Associare i dispositivi client](https://docs.aws.amazon.com/greengrass/v2/developerguide/associate-client-devices.html) nella documentazione di AWS IoT Greengrass.[See the AWS documentation website for more details](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/set-up-and-troubleshoot-aws-iot-greengrass-with-client-devices.html)
I dispositivi client che hai associato possono ora utilizzare l'API di scoperta Greengrass per scoprire questo dispositivo principale. | AWS IoT Greengrass |
### Inviare e ricevere dati
| Operazione | Description | Competenze richieste |
| --- | --- | --- |
| Invia dati da un dispositivo client a un altro dispositivo client. | Utilizzate il client MQTT del vostro dispositivo per pubblicare un messaggio sull'`dt/client1/sensor`argomento. | Informazioni generali su AWS |
| Invia dati dal dispositivo client ad AWS IoT Core. | Usa il client MQTT sul tuo dispositivo per pubblicare un messaggio sull'`dt/client1/sensor`argomento.
Nel client di test MQTT, sottoscrivete l'argomento su cui il dispositivo invia i messaggi oppure abbonatevi a **\#** per tutti gli argomenti (consultate i [dettagli](https://docs.aws.amazon.com/iot/latest/developerguide/view-mqtt-messages.html)). | Informazioni generali su AWS |
| Invia messaggi da AWS IoT Core ai dispositivi client. | Nella pagina del client di test MQTT, nella scheda **Pubblica su un argomento**, nel campo **Nome argomento**, inserisci il nome dell'argomento del messaggio. In questo esempio, utilizzare `cmd/client1` per l'argomento. | Informazioni generali su AWS |
## risoluzione dei problemi
| Problema | Soluzione |
| --- | --- |
| **Impossibile verificare l'errore del certificato del server** | Questo errore si verifica quando il client MQTT non è in grado di verificare il certificato presentato dal broker MQTT durante l'handshake TLS. Il motivo più comune è che il client MQTT non dispone del certificato CA. Segui questi passaggi per assicurarti che il certificato CA venga fornito al client MQTT.[See the AWS documentation website for more details](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/set-up-and-troubleshoot-aws-iot-greengrass-with-client-devices.html) |
| **Impossibile verificare l'errore relativo al nome del server** | Questo errore si verifica quando il client MQTT non è in grado di verificare che si stia connettendo al server corretto. Il motivo più comune è che l'indirizzo IP del dispositivo Greengrass non è elencato nel campo SAN del certificato.
Segui le istruzioni della soluzione precedente per ottenere il certificato del broker MQTT e verifica che il campo SAN contenga l'indirizzo IP del dispositivo AWS IoT Greengrass, come spiegato [nella sezione Informazioni aggiuntive](#set-up-and-troubleshoot-aws-iot-greengrass-with-client-devices-additional). In caso contrario, verifica che il componente del rilevatore IP sia installato correttamente e riavvia il dispositivo principale. |
| **Impossibile verificare il nome del server solo durante la connessione da un dispositivo client integrato** | Mbed TLS, che è una popolare libreria TLS utilizzata nei dispositivi integrati, attualmente supporta la verifica dei nomi DNS solo nel campo SAN del certificato, come mostrato nel codice della libreria Mbed TLS. Poiché il dispositivo principale non ha un nome di dominio proprio e dipende dall'indirizzo IP, i client TLS che utilizzano Mbed TLS non riusciranno a verificare il nome del server durante l'handshake TLS, causando un errore di connessione. [Ti consigliamo di aggiungere la verifica dell'indirizzo IP SAN alla tua libreria TLS Mbed con la funzione x509\_crt\_check\_san.](https://github.com/Mbed-TLS/mbedtls/blob/6a327a5fdc2786cb50b4dbe5e3a75884a1f8435a/library/x509_crt.c#L2548) |
## Risorse correlate
+ [Documentazione di AWS IoT Greengrass](https://docs.aws.amazon.com/greengrass/v2/developerguide/what-is-iot-greengrass.html)
+ [Documentazione di AWS IoT Core](https://docs.aws.amazon.com/iot/latest/developerguide/what-is-aws-iot.html)
+ [Componente del broker MQTT](https://docs.aws.amazon.com/greengrass/v2/developerguide/mqtt-broker-moquette-component.html)
+ [Componente bridge MQTT](https://docs.aws.amazon.com/greengrass/v2/developerguide/mqtt-bridge-component.html)
+ [Componente di autenticazione del dispositivo client](https://docs.aws.amazon.com/greengrass/v2/developerguide/client-device-auth-component.html)
+ [Componente del rilevatore IP](https://docs.aws.amazon.com/greengrass/v2/developerguide/ip-detector-component.html)
+ [SDK per dispositivi AWS IoT](https://docs.aws.amazon.com/iot/latest/developerguide/iot-sdks.html)
+ [Implementazione di dispositivi client locali con AWS IoT Greengrass](https://aws.amazon.com/blogs/iot/implementing-local-client-devices-with-aws-iot-greengrass/) (post sul blog AWS)
+ [RFC 5280 — Certificato dell'infrastruttura a chiave pubblica Internet X.509 e profilo dell'elenco di revoca dei certificati (CRL)](https://www.rfc-editor.org/rfc/rfc5280)
## Informazioni aggiuntive
Questa sezione fornisce informazioni aggiuntive sulle comunicazioni tra i dispositivi client e il dispositivo principale.
Il broker MQTT ascolta sulla porta 8883 del dispositivo principale un tentativo di connessione al client TLS. L'illustrazione seguente mostra un esempio di certificato server del broker MQTT.
Il certificato di esempio mostra i seguenti dettagli:
+ Il certificato è rilasciato dalla CA AWS IoT Greengrass Core, che è locale e specifica per il dispositivo principale, ovvero funge da CA locale.
+ Questo certificato viene ruotato automaticamente ogni settimana dal componente di autenticazione del client, come mostrato nella figura seguente. È possibile impostare questo intervallo nella configurazione del componente client auth.
+ Il nome alternativo del soggetto (SAN) svolge un ruolo fondamentale nella verifica del nome del server sul lato client TLS. Aiuta il client TLS a garantire la connessione al server corretto e aiuta a evitare man-in-the-middle attacchi durante la configurazione della sessione TLS. Nel certificato di esempio, il campo SAN indica che questo server è in ascolto su localhost (il socket del dominio Unix locale) e l'interfaccia di rete ha l'indirizzo IP 192.168.1.12.
Il client TLS utilizza il campo SAN nel certificato per verificare che si stia connettendo a un server legittimo durante la verifica del server. Al contrario, durante un tipico handshake TLS tra un server HTTP e un browser, il nome di dominio nel campo Common Name (CN) o nel campo SAN viene utilizzato per verificare il dominio a cui il browser si sta effettivamente connettendo durante il processo di verifica del server. Se il dispositivo principale non ha un nome di dominio, l'indirizzo IP incluso nel campo SAN ha lo stesso scopo. Per ulteriori informazioni, vedere la [sezione Subject Alternative Name](https://www.rfc-editor.org/rfc/rfc5280#section-4.2.1.6) di *RFC 5280 — Profilo del certificato e dell'elenco di revoca dei certificati (CRL) dell'infrastruttura a chiave pubblica Internet X.509*.
Il componente del rilevatore IP in AWS IoT Greengrass assicura che gli indirizzi IP corretti siano inclusi nel campo SAN del certificato.
Il certificato nell'esempio è firmato dal dispositivo AWS IoT Greengrass che funge da CA locale. Il client TLS (client MQTT) non è a conoscenza di questa CA, quindi dobbiamo fornire un certificato CA simile al seguente.
