跳转到内容

物联网云能力图

权威来源:AetherCloud。此页面镜像到统一的 AetherIoT 文档中。

AetherCloud 是 IoT 队列、数据、工件和受管工作控制平面。多云基础设施融合是一种相邻功能,而不是这些物联网环境的组织模型。 AetherCloud 协调不可靠的广域工作,无需加入硬实时控制循环。

  • Node.js 24、TypeScript 5.9、ESM、pnpm 工作区、严格类型检查、linting、格式化、测试和覆盖门
  • 边缘/云/提供商权威值和测试
  • 能力驱动的云提供商描述符、目录、云连接和只读发现基础,以及内存一致性基础设施
  • 一个HTTP组合根,包含公共卫生/平台路由和经过身份验证的审计JSON/有限可恢复SSE查询路由
  • 代理文档索引、清单、技能、不变量、 ADR 和契约测试
  • 网关身份和注册中描述的网关身份和注册域/应用程序基础
  • 传输中立CloudLink会话/心跳域/应用程序基础,具有纪元防护、游标恢复、凭据验证端口和内存适配器
  • AetherEdge运行时清单v1 报告/查询域/应用程序基础,具有规范校验和验证、单调历史记录和内存适配器
  • 重放安全物联网遥测批量摄取/历史域/应用程序基础,具有无损位置、冲突/间隙/重新排序处理和原子内存收件箱/历史记录/审核/发件箱证据
  • 边缘权威警报事实摄取和云工作流程投影基础,具有生成/序列排序、可见间隙、仅云确认和原子内存适配器
  • 可选的 OpenTelemetry 适配器基础,具有默认无操作操作、内存中和 OTLP 模式、有界导出、W3C 上下文提取、低基数摄取信号和导出器故障隔离
  • 不可变的 Artifact Revision 发布/查询基础,具有摘要/内容验证、签名验证器抽象、兼容性元数据、发布通道冲突保护和原子内存审计/发件箱证据
  • 单目标所需/报告/应用的部署基础,具有已发布的工件先决条件、无损生成、暂停/恢复/取消/回滚、显式未知结果、经过身份验证的边缘观察和内存审计/发件箱
  • 治理功能具有声明派生权限/风险、显式确认、队列/报价控制、未知和取消意图、有序身份验证收据和原子内存审计/发件箱的作业基础证据
  • 租户/项目范围的审计搜索、webhook 订阅、有界交付/重试/死信/重新驱动以及带有内存适配器的异步数据导出基础;审核搜索通过 HTTP/SSE 公开
  • 传输中立的 MCP 功能/审核资源以及调用相同应用程序用例的受控数据导出/作业工具
  • 租户、用户、服务帐户、RBAC/ABAC、API 凭据和持久审核
  • 运行时之外的站点、实例、点、拓扑和动态组清单/功能基础
  • CloudLink可执行流程、协议消息、生产凭证、PostgreSQL会话/游标、持久收件箱/发件箱和背压
  • 生产遥测/警报PostgreSQL持久性、CloudLink有线适配器、公共历史记录/搜索API、下采样、导出、分配和注释
  • 生产工件存储/上传/API和多目标部署调度、持久性、连接和公共接口
  • 生产管理的作业分类帐/收件箱、CloudLink交付、运行时清单声明来源、工作进程、公共接口和AetherEdge对应项
  • PostgreSQL、对象存储、时间序列、持久发件箱、集成/导出工作进程、生产 Webhook 发送方/目标机密/签名、实时 SSE、WebSocket、MCP 线路/根和剩余工具、队列操作、配额或成本适配器
  • 生产网关 CA、KMS 令牌服务、证书吊销、恢复或注册 HTTP 端点

以下计划项目是契约和交付方向,不可用端点或协议消息。此摘要背后的证据保留在当前实施审核中。

有界上下文 用户价值和核心聚合 权限 查询/命令 存储需求 AetherEdge交互 主要安全风险 阶段
身份和访问 隔离并委派与TenantProjectUserServiceAccountRoleGrantPolicyApiCredential AetherCloud拥有会员资格和授权;外部 IdP 可以证明登录身份 问:主体、授权、有效权限。 C:邀请、授予、撤销、轮换凭证 PostgreSQL;仅散列或秘密引用;同一交易中的审计和发件箱 提供有界授权证据; Edge 仍然应用本地策略 伪造租户上下文、跨租户 IDOR、过于广泛的服务帐户、泄露密钥 最小参与者上下文从第 1 阶段开始;公共租户API
队列身份和注册 建立并恢复受信任的运行时身份,其中 SiteGatewayIdentityEnrollmentClaimCredentialBindingRecoveryAttempt AetherCloud 拥有队列成员资格;网关拥有自己的私钥;颁发者拥有证书有效性 问:网关和注册状态。 C:立即注册、发出声明、声明、暂停、撤销、恢复 内存一致性; PostgreSQL 和稍后的秘密/KMS 支持的令牌服务 一次性引导程序声明,然后凭证绑定 CloudLink 身份验证 令牌用作长期凭证、重播、跨租户恢复、撤销的凭证复活 第 1 阶段
队列拓扑和运行时目录 搜索站点并了解与 SiteGatewayInstancePointMetadataGroupTopologyEdgeRuntimeManifestCapabilityCatalog 云拥有分组的运行时兼容性;边缘报告实际实例、点、运行时和支持的功能 问:拓扑、动态组、版本分布。 C:编辑站点/组/标签;经过身份验证的清单摄取 PostgreSQL,用于元数据/最新投影;如果需要,可用于大型历史清单的对象存储 边缘发送版本化清单和功能快照 通用关系模型会擦除生命周期;陈旧的清单被视为当前清单;云重写委托通道 第 3 阶段
CloudLink 会话和交付 维护与 SessionSessionEpochProtocolNegotiationStreamCursorInboxInbox 的可恢复、可观察的云边缘连接OutboundMailbox 云拥有持久的光标和连接投影;边缘拥有其未确认的有界缓冲区 问:会话、滞后、版本。 C:认证、协商、恢复、心跳、持久摄取;绝不任意 RPC PostgreSQL session/cursor/inbox/outbox;活动套接字仅在 CloudLink 内存中 版本协商、每流顺序、确认、重新连接和流量控制 裂脑会话、持久之前确认、间隙、不安全 int64 转换、无界队列 第 2 阶段
物联网遥测投影 查询重放安全点和TelemetryStreamTelemetryBatchPointSampleDeviceEventIngestionReceiptRetentionClass edge 的事件历史记录拥有实时值;云拥有持久的历史事实、保留和新鲜度标记的预测 问:历史、聚合、光标/间隙。 C:原子地摄取批次并设置保留 PostgreSQL元数据/收件箱/光标和初始历史记录;对象存储原始/冷批次;可替换的分析存储 边缘重放流位置;云仅在持久接受后确认 以实时状态、静默间隙、冲突重放、不安全 int64 转换表示的历史记录 第 4 阶段
警报投影 搜索边缘警报事实并使用 AlarmOccurrenceAlarmProjectionAcknowledgementAssignmentAssignment 管理云工作流程Comment 边缘拥有警报事实;云拥有重播安全投影和操作员工作流程覆盖层 问:警报搜索/时间线。 C:摄取事实并更改仅云工作流程;云无法清除边缘警报 PostgreSQL收件箱、警报事实、预测、工作流程、审计和发件箱 边缘重放警报生成/序列;云保留陈旧/间隙状态 云确认与边缘清晰混淆;晚清失去前任;断开连接清除警报 第 5 阶段
工件注册和发布 发布可验证的不可变 Pack、配置、模型、规则和应用程序修订版,包括 ArtifactRevisionDigestSignatureCompatibilityChannel AetherCloud 拥有出版物和渠道引用;边缘拥有经过验证的本地缓存 问:元数据、兼容性、出处。 C:上传、验证、签名、发布、弃用、撤回、移动频道 PostgreSQL 元数据;对象存储 blob、签名、SBOM、出处 在本地接受之前通过摘要进行边缘下载并进行验证 可变 blob、供应链注入、缺少兼容性、证据删除 第 6 阶段
部署和所需状态 使用 Deployment 推出、暂停、恢复和回滚工件, RolloutTargetDesiredGenerationReportedRevisionAppliedEvidence 云拥有所需的生成和部署;边缘拥有报告和应用的事实 问:期望/报告/应用的分歧。 C:启动、暂停、恢复、取消请求、回滚 PostgreSQL事务状态和发件箱;用于大量证据的对象存储 发送不可变的修订参考;边缘接受/拒绝/下载/验证/应用和报告 下载已应用推断,迟到的报告回滚投影,隐藏部分故障 第 7 阶段
受控功能作业 安全请求诊断并稍后控制与 CapabilityDeclarationJobConfirmation 的工作, PreconditionAttemptReceipt 云拥有意图/策略/确认;边缘拥有接受/拒绝/过期/执行/结果 问:作业和收据。 C:创建、确认、报价、请求取消;每个命令都有治理元数据 PostgreSQL ledger/audit/inbox/outbox;用于大型证据的对象存储 仅版本化功能作业;从不直接指向、SHM 或寄存器写入 在未知物理结果、任意 RPC 目录、陈旧前提条件、确认旁路后盲目重试 第 8 阶段
审核、集成和交付 跟踪操作并通过 AuditEventSubscriptionWebhookEndpoint 交付数据, ExportJobDeliveryAttemptDeadLetter 云拥有其审核和交付状态;消费者拥有下游加工 问:审核和交付状态。 C:创建订阅/webhook/导出,重新驱动死信 PostgreSQL审核/发件箱/交付;对象存储导出;仅在证据之后 在CloudLink摄取后使用应用程序事件,从不直接套接字 SSRF、弱Webhook签名、PII泄漏、重复交付、从业务提交中拆分审计 审计元数据开始阶段1;持久集成阶段 9
运营和成本护栏 通过 FleetHealthProjectionBacklogVersionDistributionQuotaRetentionBudget 观察​​队列运行状况、滞后、版本、部署、漂移、配额、保留和成本,每个源事实均保持其权威;操作视图是带有新鲜度标签的预测;云拥有配额政策 问:健康、滞后、版本、漂移、成本。 C:设置配额、速率和保留策略 PostgreSQL配置/摘要和分析 结合了心跳、清单、摄取延迟、部署和作业证据 以事实或配额形式呈现的陈旧运行状况会导致无声损失 增量;统一阶段 9
操作可观察性 通过跟踪、低基数指标和相关结构化日志诊断 API、CloudLink、摄取、数据库、工作进程和交付行为 每个产品上下文都拥有其事实; OpenTelemetry 信号仅采样操作证据 无业务命令/查询;组合根配置无操作或 OTLP 适配器 通过 OTLP 可选的可观察性后端;无事务或审计角色 仅可选 W3C 跟踪上下文;行李绝不授权 高基数或秘密泄露;出口商失败改变了经营结果;审计错误的跟踪 适配器基础开始第 2 阶段,并通过第 9 阶段进行扩展
AI 原生合约和 MCP 让代理发现真相并使用 DocsManifestCapabilityDefinition、权限/错误/事件架构和黄金路径安全调用现有功能 版本化仓库合约和应用程序功能定义是权威; AI 输出不是 问:文档、能力元数据、预测。 C:MCP工具仅代理实现的应用程序命令 Git Markdown和清单;运行时调用使用正常的审核持久性 没有备用CloudLink或控制路径 计划功能呈现为可调用,工具忽略风险/确认,代理绕过授权 每个阶段的文档; MCP 第 10 阶段
提供商和基础设施融合 通过现有提供商适配器和基础设施决策放置云工作负载 请参阅 ADR-0004 在此 IoT 功能扩展之外 独立部署堆栈状态 仅通过放置和受管基础设施相关作业 物联网核心获得固定供应商枚举或全局状态 相邻现有轨道
Identity and Access -> authorization decisions
Fleet Identity -> CloudLink credential verification and session fencing
Runtime Catalog -> artifact compatibility and Job eligibility
Artifact Registry -> immutable deployment revision references
CloudLink adapter -> telemetry/deployment/Job application ingestion
All command contexts -> audit + transactional outbox
Outbox -> projections, notifications, webhooks, exports, and SSE/WebSocket

上下文交换有意的契约或事件,而不是内部数据库行。共享代码仅限于稳定的身份、时间、参与者、相关性和能力定义值。

上面的能力表包含用户价值、聚合、权限、用例、存储、边缘交互、风险和阶段。该补充将权限、命令策略、离线结果、当前可执行层明确化。确切的名称和层在 ai/application-contracts.json 中是机器可读的。

上下文 代表权限 命令风险/确认 离线、重试或失败结果 当前状态
身份和访问 identity.grant.manage 高/显式 授权失败关闭;凭证轮换是幂等 计划
队列身份 fleet.gateway.createfleet.gateway.enrollment.issue 低或高/无或显式 过期令牌、无效令牌、幂等冲突、并发修改 已实施域/应用程序/内存注册基础;计划生产水面
舰队运行时目录 fleet.runtime-manifest.reportfleet.runtime-manifest.read 低/无 保留老一代;校验和或生成冲突失败关闭 域/应用程序/内存清单基础已实现;已计划的生产表面
CloudLink cloudlink.session.opencloudlink.session.heartbeat 低/无 拒绝版本、隔离纪元、陈旧心跳、重新连接恢复 已实施域/应用程序/内存会话基础;计划的线路/根/耐用性
物联网遥测 telemetry.batch.ingesttelemetry.history.query 低/无 重复退货收据;冲突隔离;间隙请求重播 部分:域/应用程序/内存收件箱-历史记录-发件箱和 OTel 装饰器实现
警报投影 alarm.fact.ingestalarm.workflow.acknowledge 低/无 重复事实是安全的;间隙/陈旧保持可见 部分:已实施域/应用程序/内存投影和工作流程
工件注册表 artifact.revision.publishartifact.revision.read 高/显式 摘要冲突、修订/通道竞争或签名失败 部分:域/应用程序/内存已实现内容签名元数据适配器;生产存储/API计划
部署 deployment.rollout.start、控制、观察和读取 高/显式启动/回滚 断开连接变得未知;迟来的证据一致;取消是意图 部分:实现了单目标域/应用程序/内存审计发件箱基础;目标调度程序/线路/存储/API计划
受控作业 特定于功能的加上edge.job.create 按功能声明/需要时显式 边缘拒绝/过期、超时未知、延迟接收解决 部分:已实现域/应用程序/内存审核发件箱基础;生产分类帐/交付/电汇/API计划
审核和集成 audit.event.readintegration.webhook.subscription.createdata.export.create 高/显式订阅、导出或重新驱动 交付重试、可见死信、幂等重新驱动、不可变导出引用 部分:审核HTTP/SSE 加上域/应用程序/内存订阅、交付和导出基础;计划的生产持久性/发送/工人
操作 operations.readoperations.quota.manage 中等/明确配额减少 过时的预测和配额拒绝是明确的 计划
操作可观察性 部署配置仅 不是产品命令 有限的信号损失;永远不会改变业务成果 实现可选适配器和遥测装饰器;计划更广泛的根检测/部署
AI 原生/MCP 与底层用例相同的权限 与底层命令相同的风险和确认 计划的功能被拒绝,从不模拟 部分:功能/审核资源和数据导出/作业工具接口已实现;线路/根、生产身份和计划的剩余暴露

阅读架构了解进程和持久性边界,阅读CloudLink和核心状态机了解故障语义,阅读交付路线图了解可执行切片。