物联网云能力图
物联网云能力图
Section titled “物联网云能力图”权威来源:AetherCloud。此页面镜像到统一的 AetherIoT 文档中。
AetherCloud 是 IoT 队列、数据、工件和受管工作控制平面。多云基础设施融合是一种相邻功能,而不是这些物联网环境的组织模型。 AetherCloud 协调不可靠的广域工作,无需加入硬实时控制循环。
当前实施审核
Section titled “当前实施审核”- Node.js 24、TypeScript 5.9、ESM、pnpm 工作区、严格类型检查、linting、格式化、测试和覆盖门
- 边缘/云/提供商权威值和测试
- 能力驱动的云提供商描述符、目录、云连接和只读发现基础,以及内存一致性基础设施
- 一个HTTP组合根,包含公共卫生/平台路由和经过身份验证的审计JSON/有限可恢复SSE查询路由
- 代理文档索引、清单、技能、不变量、 ADR 和契约测试
- 网关身份和注册中描述的网关身份和注册域/应用程序基础
- 传输中立CloudLink会话/心跳域/应用程序基础,具有纪元防护、游标恢复、凭据验证端口和内存适配器
- AetherEdge运行时清单v1 报告/查询域/应用程序基础,具有规范校验和验证、单调历史记录和内存适配器
- 重放安全物联网遥测批量摄取/历史域/应用程序基础,具有无损位置、冲突/间隙/重新排序处理和原子内存收件箱/历史记录/审核/发件箱证据
- 边缘权威警报事实摄取和云工作流程投影基础,具有生成/序列排序、可见间隙、仅云确认和原子内存适配器
- 可选的 OpenTelemetry 适配器基础,具有默认无操作操作、内存中和 OTLP 模式、有界导出、W3C 上下文提取、低基数摄取信号和导出器故障隔离
- 不可变的 Artifact Revision 发布/查询基础,具有摘要/内容验证、签名验证器抽象、兼容性元数据、发布通道冲突保护和原子内存审计/发件箱证据
- 单目标所需/报告/应用的部署基础,具有已发布的工件先决条件、无损生成、暂停/恢复/取消/回滚、显式未知结果、经过身份验证的边缘观察和内存审计/发件箱
- 治理功能具有声明派生权限/风险、显式确认、队列/报价控制、未知和取消意图、有序身份验证收据和原子内存审计/发件箱的作业基础证据
- 租户/项目范围的审计搜索、webhook 订阅、有界交付/重试/死信/重新驱动以及带有内存适配器的异步数据导出基础;审核搜索通过 HTTP/SSE 公开
- 传输中立的 MCP 功能/审核资源以及调用相同应用程序用例的受控数据导出/作业工具
设计或规划,未实施
Section titled “设计或规划,未实施”- 租户、用户、服务帐户、RBAC/ABAC、API 凭据和持久审核
- 运行时之外的站点、实例、点、拓扑和动态组清单/功能基础
- CloudLink可执行流程、协议消息、生产凭证、PostgreSQL会话/游标、持久收件箱/发件箱和背压
- 生产遥测/警报PostgreSQL持久性、CloudLink有线适配器、公共历史记录/搜索API、下采样、导出、分配和注释
- 生产工件存储/上传/API和多目标部署调度、持久性、连接和公共接口
- 生产管理的作业分类帐/收件箱、CloudLink交付、运行时清单声明来源、工作进程、公共接口和AetherEdge对应项
- PostgreSQL、对象存储、时间序列、持久发件箱、集成/导出工作进程、生产 Webhook 发送方/目标机密/签名、实时 SSE、WebSocket、MCP 线路/根和剩余工具、队列操作、配额或成本适配器
- 生产网关 CA、KMS 令牌服务、证书吊销、恢复或注册 HTTP 端点
以下计划项目是契约和交付方向,不可用端点或协议消息。此摘要背后的证据保留在当前实施审核中。
| 有界上下文 | 用户价值和核心聚合 | 权限 | 查询/命令 | 存储需求 | AetherEdge交互 | 主要安全风险 | 阶段 |
|---|---|---|---|---|---|---|---|
| 身份和访问 | 隔离并委派与Tenant、Project、User、ServiceAccount、Role、Grant、Policy和ApiCredential |
AetherCloud拥有会员资格和授权;外部 IdP 可以证明登录身份 | 问:主体、授权、有效权限。 C:邀请、授予、撤销、轮换凭证 | PostgreSQL;仅散列或秘密引用;同一交易中的审计和发件箱 | 提供有界授权证据; Edge 仍然应用本地策略 | 伪造租户上下文、跨租户 IDOR、过于广泛的服务帐户、泄露密钥 | 最小参与者上下文从第 1 阶段开始;公共租户API |
| 队列身份和注册 | 建立并恢复受信任的运行时身份,其中 Site、GatewayIdentity、EnrollmentClaim、CredentialBinding 和 RecoveryAttempt |
AetherCloud 拥有队列成员资格;网关拥有自己的私钥;颁发者拥有证书有效性 | 问:网关和注册状态。 C:立即注册、发出声明、声明、暂停、撤销、恢复 | 内存一致性; PostgreSQL 和稍后的秘密/KMS 支持的令牌服务 | 一次性引导程序声明,然后凭证绑定 CloudLink 身份验证 | 令牌用作长期凭证、重播、跨租户恢复、撤销的凭证复活 | 第 1 阶段 |
| 队列拓扑和运行时目录 | 搜索站点并了解与 Site、Gateway、Instance、PointMetadata、Group、TopologyEdge、RuntimeManifest 和 CapabilityCatalog |
云拥有分组的运行时兼容性;边缘报告实际实例、点、运行时和支持的功能 | 问:拓扑、动态组、版本分布。 C:编辑站点/组/标签;经过身份验证的清单摄取 | PostgreSQL,用于元数据/最新投影;如果需要,可用于大型历史清单的对象存储 | 边缘发送版本化清单和功能快照 | 通用关系模型会擦除生命周期;陈旧的清单被视为当前清单;云重写委托通道 | 第 3 阶段 |
| CloudLink 会话和交付 | 维护与 Session、SessionEpoch、ProtocolNegotiation、StreamCursor、Inbox 和 Inbox 的可恢复、可观察的云边缘连接OutboundMailbox |
云拥有持久的光标和连接投影;边缘拥有其未确认的有界缓冲区 | 问:会话、滞后、版本。 C:认证、协商、恢复、心跳、持久摄取;绝不任意 RPC | PostgreSQL session/cursor/inbox/outbox;活动套接字仅在 CloudLink 内存中 | 版本协商、每流顺序、确认、重新连接和流量控制 | 裂脑会话、持久之前确认、间隙、不安全 int64 转换、无界队列 | 第 2 阶段 |
| 物联网遥测投影 | 查询重放安全点和TelemetryStream、TelemetryBatch、PointSample、DeviceEvent、IngestionReceipt 和 RetentionClass |
edge 的事件历史记录拥有实时值;云拥有持久的历史事实、保留和新鲜度标记的预测 | 问:历史、聚合、光标/间隙。 C:原子地摄取批次并设置保留 | PostgreSQL元数据/收件箱/光标和初始历史记录;对象存储原始/冷批次;可替换的分析存储 | 边缘重放流位置;云仅在持久接受后确认 | 以实时状态、静默间隙、冲突重放、不安全 int64 转换表示的历史记录 | 第 4 阶段 |
| 警报投影 | 搜索边缘警报事实并使用 AlarmOccurrence、AlarmProjection、Acknowledgement、Assignment 和 Assignment 管理云工作流程Comment |
边缘拥有警报事实;云拥有重播安全投影和操作员工作流程覆盖层 | 问:警报搜索/时间线。 C:摄取事实并更改仅云工作流程;云无法清除边缘警报 | PostgreSQL收件箱、警报事实、预测、工作流程、审计和发件箱 | 边缘重放警报生成/序列;云保留陈旧/间隙状态 | 云确认与边缘清晰混淆;晚清失去前任;断开连接清除警报 | 第 5 阶段 |
| 工件注册和发布 | 发布可验证的不可变 Pack、配置、模型、规则和应用程序修订版,包括 Artifact、Revision、Digest、Signature、Compatibility 和Channel |
AetherCloud 拥有出版物和渠道引用;边缘拥有经过验证的本地缓存 | 问:元数据、兼容性、出处。 C:上传、验证、签名、发布、弃用、撤回、移动频道 | PostgreSQL 元数据;对象存储 blob、签名、SBOM、出处 | 在本地接受之前通过摘要进行边缘下载并进行验证 | 可变 blob、供应链注入、缺少兼容性、证据删除 | 第 6 阶段 |
| 部署和所需状态 | 使用 Deployment 推出、暂停、恢复和回滚工件, Rollout、Target、DesiredGeneration、ReportedRevision 和 AppliedEvidence |
云拥有所需的生成和部署;边缘拥有报告和应用的事实 | 问:期望/报告/应用的分歧。 C:启动、暂停、恢复、取消请求、回滚 | PostgreSQL事务状态和发件箱;用于大量证据的对象存储 | 发送不可变的修订参考;边缘接受/拒绝/下载/验证/应用和报告 | 下载已应用推断,迟到的报告回滚投影,隐藏部分故障 | 第 7 阶段 |
| 受控功能作业 | 安全请求诊断并稍后控制与 CapabilityDeclaration、Job、Confirmation 的工作, Precondition、Attempt 和 Receipt |
云拥有意图/策略/确认;边缘拥有接受/拒绝/过期/执行/结果 | 问:作业和收据。 C:创建、确认、报价、请求取消;每个命令都有治理元数据 | PostgreSQL ledger/audit/inbox/outbox;用于大型证据的对象存储 | 仅版本化功能作业;从不直接指向、SHM 或寄存器写入 | 在未知物理结果、任意 RPC 目录、陈旧前提条件、确认旁路后盲目重试 | 第 8 阶段 |
| 审核、集成和交付 | 跟踪操作并通过 AuditEvent、Subscription、WebhookEndpoint 交付数据, ExportJob、DeliveryAttempt 和 DeadLetter |
云拥有其审核和交付状态;消费者拥有下游加工 | 问:审核和交付状态。 C:创建订阅/webhook/导出,重新驱动死信 | PostgreSQL审核/发件箱/交付;对象存储导出;仅在证据之后 | 在CloudLink摄取后使用应用程序事件,从不直接套接字 | SSRF、弱Webhook签名、PII泄漏、重复交付、从业务提交中拆分审计 | 审计元数据开始阶段1;持久集成阶段 9 |
| 运营和成本护栏 | 通过 FleetHealthProjection、Backlog、VersionDistribution、Quota 和 RetentionBudget |
观察队列运行状况、滞后、版本、部署、漂移、配额、保留和成本,每个源事实均保持其权威;操作视图是带有新鲜度标签的预测;云拥有配额政策 | 问:健康、滞后、版本、漂移、成本。 C:设置配额、速率和保留策略 | PostgreSQL配置/摘要和分析 | 结合了心跳、清单、摄取延迟、部署和作业证据 | 以事实或配额形式呈现的陈旧运行状况会导致无声损失 | 增量;统一阶段 9 |
| 操作可观察性 | 通过跟踪、低基数指标和相关结构化日志诊断 API、CloudLink、摄取、数据库、工作进程和交付行为 | 每个产品上下文都拥有其事实; OpenTelemetry 信号仅采样操作证据 | 无业务命令/查询;组合根配置无操作或 OTLP 适配器 | 通过 OTLP 可选的可观察性后端;无事务或审计角色 | 仅可选 W3C 跟踪上下文;行李绝不授权 | 高基数或秘密泄露;出口商失败改变了经营结果;审计错误的跟踪 | 适配器基础开始第 2 阶段,并通过第 9 阶段进行扩展 |
| AI 原生合约和 MCP | 让代理发现真相并使用 DocsManifest、CapabilityDefinition、权限/错误/事件架构和黄金路径安全调用现有功能 |
版本化仓库合约和应用程序功能定义是权威; AI 输出不是 | 问:文档、能力元数据、预测。 C:MCP工具仅代理实现的应用程序命令 | Git Markdown和清单;运行时调用使用正常的审核持久性 | 没有备用CloudLink或控制路径 | 计划功能呈现为可调用,工具忽略风险/确认,代理绕过授权 | 每个阶段的文档; MCP 第 10 阶段 |
| 提供商和基础设施融合 | 通过现有提供商适配器和基础设施决策放置云工作负载 | 请参阅 ADR-0004 | 在此 IoT 功能扩展之外 | 独立部署堆栈状态 | 仅通过放置和受管基础设施相关作业 | 物联网核心获得固定供应商枚举或全局状态 | 相邻现有轨道 |
跨上下文依赖关系
Section titled “跨上下文依赖关系”Identity and Access -> authorization decisionsFleet Identity -> CloudLink credential verification and session fencingRuntime Catalog -> artifact compatibility and Job eligibilityArtifact Registry -> immutable deployment revision referencesCloudLink adapter -> telemetry/deployment/Job application ingestionAll command contexts -> audit + transactional outboxOutbox -> projections, notifications, webhooks, exports, and SSE/WebSocket上下文交换有意的契约或事件,而不是内部数据库行。共享代码仅限于稳定的身份、时间、参与者、相关性和能力定义值。
治理、失败和实施补充
Section titled “治理、失败和实施补充”上面的能力表包含用户价值、聚合、权限、用例、存储、边缘交互、风险和阶段。该补充将权限、命令策略、离线结果、当前可执行层明确化。确切的名称和层在 ai/application-contracts.json 中是机器可读的。
| 上下文 | 代表权限 | 命令风险/确认 | 离线、重试或失败结果 | 当前状态 |
|---|---|---|---|---|
| 身份和访问 | identity.grant.manage |
高/显式 | 授权失败关闭;凭证轮换是幂等 | 计划 |
| 队列身份 | fleet.gateway.create、fleet.gateway.enrollment.issue |
低或高/无或显式 | 过期令牌、无效令牌、幂等冲突、并发修改 | 已实施域/应用程序/内存注册基础;计划生产水面 |
| 舰队运行时目录 | fleet.runtime-manifest.report,fleet.runtime-manifest.read |
低/无 | 保留老一代;校验和或生成冲突失败关闭 | 域/应用程序/内存清单基础已实现;已计划的生产表面 |
| CloudLink | cloudlink.session.open、cloudlink.session.heartbeat |
低/无 | 拒绝版本、隔离纪元、陈旧心跳、重新连接恢复 | 已实施域/应用程序/内存会话基础;计划的线路/根/耐用性 |
| 物联网遥测 | telemetry.batch.ingest、telemetry.history.query |
低/无 | 重复退货收据;冲突隔离;间隙请求重播 | 部分:域/应用程序/内存收件箱-历史记录-发件箱和 OTel 装饰器实现 |
| 警报投影 | alarm.fact.ingest,alarm.workflow.acknowledge |
低/无 | 重复事实是安全的;间隙/陈旧保持可见 | 部分:已实施域/应用程序/内存投影和工作流程 |
| 工件注册表 | artifact.revision.publish、artifact.revision.read |
高/显式 | 摘要冲突、修订/通道竞争或签名失败 | 部分:域/应用程序/内存已实现内容签名元数据适配器;生产存储/API计划 |
| 部署 | deployment.rollout.start、控制、观察和读取 |
高/显式启动/回滚 | 断开连接变得未知;迟来的证据一致;取消是意图 | 部分:实现了单目标域/应用程序/内存审计发件箱基础;目标调度程序/线路/存储/API计划 |
| 受控作业 | 特定于功能的加上edge.job.create |
按功能声明/需要时显式 | 边缘拒绝/过期、超时未知、延迟接收解决 | 部分:已实现域/应用程序/内存审核发件箱基础;生产分类帐/交付/电汇/API计划 |
| 审核和集成 | audit.event.read、integration.webhook.subscription.create、data.export.create |
高/显式订阅、导出或重新驱动 | 交付重试、可见死信、幂等重新驱动、不可变导出引用 | 部分:审核HTTP/SSE 加上域/应用程序/内存订阅、交付和导出基础;计划的生产持久性/发送/工人 |
| 操作 | operations.read、operations.quota.manage |
中等/明确配额减少 | 过时的预测和配额拒绝是明确的 | 计划 |
| 操作可观察性 | 部署配置仅 | 不是产品命令 | 有限的信号损失;永远不会改变业务成果 | 实现可选适配器和遥测装饰器;计划更广泛的根检测/部署 |
| AI 原生/MCP | 与底层用例相同的权限 | 与底层命令相同的风险和确认 | 计划的功能被拒绝,从不模拟 | 部分:功能/审核资源和数据导出/作业工具接口已实现;线路/根、生产身份和计划的剩余暴露 |
阅读架构了解进程和持久性边界,阅读CloudLink和核心状态机了解故障语义,阅读交付路线图了解可执行切片。