CN114285738A - 边缘节点的基于信任的编排 - Google Patents

Abstract

边缘节点基于信任的编排的方法、系统和用例的各个方面。一种被配置成用于边缘计算环境中的基于信任编排的边缘节点，其中边缘节点包括：收发机，用于接收用于执行工作负荷的指令，该指令来自边缘编排器，该边缘节点位于用账本管理的边缘节点组中；以及处理器，用于在该边缘节点处执行工作负荷以产生结果，其中工作负荷的执行由边缘节点组中的其他边缘节点评估以产生边缘节点的信誉分数，其中该收发机将结果提供给边缘编排器。

Description

边缘节点的基于信任的编排

背景技术

一般来说，边缘计算是指对处于较靠近于网络的“边缘”或网络的“边缘”的集合的计算和资源的实现、协调和使用。此种布置的目的在于改善总拥有成本，减少应用和网络等待时间，减少网络回程通信量和相关联的能耗，改善服务能力，并且改善与安全性或数据隐私性要求的顺应性(尤其相较于常规云计算)。可以执行边缘计算操作的组件(“边缘节点”)可以驻留在系统架构或自组织服务所需要的任何位置中(例如，在高性能计算数据中心或云安装中；在规定的边缘节点服务器、企业服务器、路边服务器、电信中央局中；或在消耗边缘服务而被服务的本地或对等的边缘处设备中)。

适于进行边缘计算的应用包括但不限于：传统网络功能的虚拟化(例如，用以操作电信或互联网服务)以及下一代特征和服务的引入(例如，用以支持5G网络服务)。预计广泛地利用边缘计算的用例包括：连接的自驾驶汽车、监测、物联网(IoT)设备数据分析、视频编码和分析、位置知晓的服务、智慧城市中的设备感测、以及许多其他网络和计算密集型服务。

在一些场景中，边缘计算可提供或主控类云分布式服务，该类云分布式服务可为应用和经协调的服务实例提供在许多类型的存储和计算资源之间的编排和管理。随着端点设备、客户端和网关尝试接入更靠近于网络边缘的位置处的网络资源和应用，还预期边缘计算与针对IoT和雾/分布式联网配置开发的现有用例和技术紧密集成。

附图说明

在附图中(这些附图不一定是按比例绘制的)，同样的数字可描述不同视图中的类似组件。具有不同的字母后缀的相同的数字可表示类似组件的不同实例。在所附附图的图中通过示例的方式而非限制性地图示出一些实施例，其中：

图1示出了针对边缘计算的边缘云配置的概览。

图2示出了端点、边缘云和云计算环境之间的操作层。

图3示出了用于边缘计算系统中的联网和服务的示例方法。

图4示出了在多个边缘节点和多个租户之间操作的边缘计算系统中的虚拟边缘配置的部署。

图5示出了在边缘计算系统中部署容器的各种计算布置。

图6示出了涉及对边缘计算系统中的应用的移动接入的计算和通信用例。

图7A提供用于边缘计算系统中的计算节点处所部署的计算的示例组件的概览。

图7B提供边缘计算系统中的计算设备内的示例组件的进一步的概览。

图8是图示出根据实施例的操作环境的图。

图9示出了根据实施例的提供边缘节点的组件的边缘节点装备供应商，其中每个供应商产生描述所产生的组件的清单。

图10示出了根据实施例的包含向边缘信任验证者安全地报告证明证据的证明者功能的边缘节点。

图11示出了根据实施例的边缘节点和边缘节点的供应商都可以断言为制造和部署的边缘节点的特性的示例声明。

图12示出了根据实施例的示例信誉日志，针对边缘节点的特定实例，该示例信誉日志包含与影响可信度的边缘节点有关的事件的历史。

图13示出了根据实施例的示例信誉加权方案，该示例信誉加权方案向信誉日志中的每个条目分配权重，使得确定该事件相对于其他事件的相对重要性。

图14示出了根据实施例的从各种边缘节点收集信誉日志的ETV节点，其中边缘节点可以具有相似和不同的声明集。

图15示出了根据实施例的包含边缘节点的区块链网络的边缘网络，其中至少一些节点是ETV节点并且其中ETV节点计算边缘网络中其他边缘节点的信誉分数。

图16是图示出根据实施例的控制和数据流程的流程图。

图17是图示出根据实施例的用于边缘计算环境中的基于信任的编排的方法的流程图。

具体实施方式

以下实施例一般涉及边缘节点之间的编排。边缘节点之间的编排对于提供最佳工作负荷性能和服务质量越来越重要。传统的编排模型专注于编排资源，诸如计算、高速缓存、存储器、网络带宽、加速器、输入/输出等。在本公开中，编排基于信任模型。基于信任的编排不是查看边缘节点的物理、软件和其他资源，而是使用边缘节点或边缘节点组的定义的信任因素来标识和评估风险因素并降低风险。

证明被用作操作环境中信任的基础。证明建立对设备或组件的信任。证明可以通过设备级信任根机制、安全数字签名或通过让其他受信任设备证明被测设备的可信度来实现。

风险评估是动态的，因此如果注意到任何变化，则需要重新证明。事件驱动的证明可以是运行时确定。证明可包括身份代理，其中可以动态创建虚拟身份。

物理边缘节点端点和身份的证明可能是动态的，以应对动态负荷平衡、服务水平协议(SLA)变化、工作负荷迁移、边缘节点的移动性等。边缘节点位置、配置和生命周期的变化事件可触发重新证明。与信任相关的服务水平协议(SLA)可影响计费。例如，可以根据边缘节点硬件、固件和软件的不同保护程度以及物理位置的差异来定义不同的信任级别。这些边缘节点变化和证明可用于监管目的、管理地理定位或设置数据主权和安全监测目的。

该系统可用于增强现有平台资源引导器技术(RDT)，使其具有安全属性作为服务类别(CLOS)，可通过依赖于平台受信任执行环境(TEE)与边缘计算中的应用动态地协商该服务类别(CLOS)。这些和其他细节将在下面进一步描述。

图1是示出用于边缘计算的配置的概览的框图100，该配置包括在以下许多示例中被称为“边缘云”的处理层。如图所示，边缘云110共同定位在边缘位置(诸如接入点或基站140、本地处理中枢150、或中央局120)，并且因此可以包括多个实体、设备、和装备实例。与云数据中心130相比，边缘云110被定位成更靠近端点(消费者和生产者)数据源160(例如，自主车辆161、用户装备162、商业和工业装备163、视频捕获设备164、无人机165、智能城市和建筑设备166、传感器和IoT设备167等)。在边缘云110中的边缘处提供的计算、存储器、和存储资源对于为由端点数据源160使用的服务和功能提供超低等待时间的响应时间以及减少从边缘云110朝向云数据中心130的网络回程通信量(由此改善能耗和整体网络使用等益处)至关重要。

计算、存储器、和存储是稀缺资源，并且通常根据边缘位置而减少(例如，在消费者端点设备上可用的处理资源比在基站上、在中央局处可用的处理资源更少)。然而，边缘位置越靠近端点(例如，用户装备(UE))，空间和功率通常就越受限。因此，边缘计算尝试通过分配被定位成既在地理上更靠近又在网络接入时间上更靠近的更多的资源来减少网络服务所需的资源量。以该方式，边缘计算尝试在适当的情况下将计算资源带到工作负荷数据，或者，将工作负荷数据带到计算资源。

以下描述了边缘云架构的各方面，该架构涵盖多种潜在的部署，并解决了一些网络运营商或服务提供商在其本身的基础设施中可能具有的限制。这些包括以下的变体：基于边缘位置的各种配置(例如，因为处于基站级别的边缘在多租户场景中可能具有更受限制的性能和能力)；基于边缘位置、位置的层、或位置的组可用的计算、存储器、存储、结构、加速等资源的类型的配置；服务、安全性、以及管理和编排能力；以及实现端服务的可用性和性能的相关目标。这些部署可以在网络层中完成处理，取决于等待时间、距离、和定时特征，这些网络层可以被视为“接近边缘”、“靠近边缘”、“本地边缘”、“中间边缘”、或“远边缘”层。

边缘计算是一种开发范式，其中计算在网络的“边缘”处或靠近于网络的“边缘”被执行，典型地通过使用在基站、网关、网络路由器、或更靠近于产生和消耗数据的端点设备的其他设备处实现的计算平台(例如，x86或ARM计算硬件架构)来执行。例如，边缘网关服务器可装配有存储器池和存储资源，以针对连接的客户端设备的低等待时间用例(例如，自主驾驶或视频监测)实时地执行计算。或者作为示例，基站可被扩充有计算和加速资源，以直接为连接的用户装备处理服务工作负荷，而无需进一步经由回程网络传输数据。或者作为另一示例，可用执行虚拟化网络功能并为服务的执行提供计算资源并且为连接的设备提供消费者功能的标准化计算硬件来代替中央局网络管理硬件。在边缘计算网络内，可能存在计算资源“被移动”到数据的服务中的场景，以及其中数据“被移动”到计算资源的场景。或者作为示例，基站计算、加速和网络资源可以提供服务，以便通过激活休眠容量(订阅、按需容量)来根据需要扩展工作负荷需求，以便管理极端情况、紧急情况或为部署的资源在显著更长的实现的生命周期中提供长寿命。

图2示出了端点、边缘云和云计算环境之间的操作层。具体而言，图2描绘了在网络计算的多个说明性层之间利用边缘云110的计算用例205的示例。这些层从端点(设备和事物)层200开始，该层200访问边缘云110以进行数据创建、分析和数据消费活动。边缘云110可以跨越多个网络层(诸如具有网关、内部(on-premise)服务器、或位于物理上邻近边缘系统中的网络设备(节点215)的边缘设备层210)；网络接入层220，该网络接入层220涵盖基站、无线电处理单元、网络中枢、区域数据中心(DC)、或本地网络装备(装备225)；以及位于它们之间的任何装备、设备或节点(在层212中，未详细图示出)。边缘云110内和各层之间的网络通信可以经由任何数量的有线或无线介质来实现，包括经由未描绘出的连接性架构和技术。

由于网络通信距离和处理时间约束而导致的等待时间的示例的范围可以从在端点层200之间时的小于一毫秒(ms)，在边缘设备层210处的低于5ms到当与网络接入层220处的节点通信时的10到40ms之间。在边缘云110之外是核心网络230层和云数据中心240层，每个层均具有增加的等待时间(例如，在核心网络层230处的50-60ms，在云数据中心层处的100ms或更多ms)。因此，在核心网络数据中心235或云数据中心245处的、具有至少为50至100ms或更多的等待时间的操作将无法完成用例205的许多时间关键的功能。出于说明和对比的目的，提供这些等待时间值中的每一个等待时间值；应当理解，使用其他接入网络介质和技术可以进一步降低等待时间。在一些示例中，相对于网络源和目的地，网络的各个部分可以被分类为“靠近边缘”、“本地边缘”、“接近边缘”、“中间边缘”或“远边缘”层。例如，从核心网络数据中心235或云数据中心245的角度来看，中央局或内容数据网络可以被视为位于“接近边缘”层内(“接近”云，具有在与用例205的设备和端点通信时的高等待时间值)，而接入点、基站、内部服务器或网络网关可以被视为位于“远边缘”层内(“远”离云，具有在与用例205的设备和端点通信时的低等待时间值)。应当理解，构成“靠近”、“本地”、“接近”、“中间”或“远”边缘的特定网络层的其他分类可以基于等待时间、距离、网络跳数或其他可测量的特性，如从网络层200-240中的任一层中的源测量的。

由于多个服务利用边缘云，各种用例205可以在来自传入流的使用压力下访问资源。为了实现低等待时间的结果，在边缘云110内执行的服务在以下方面平衡不同的需求：(a)优先级(吞吐量或等待时间)和服务质量(QoS)(例如，在响应时间需求方面，自主汽车的通信量可能比温度传感器具有更高的优先级；或者，取决于应用，性能敏感度/瓶颈可能存在于计算/加速器、存储器、存储、或网络资源上)；(b)可靠性和复原性(例如，取决于应用，一些输入流需要被作用并且以任务关键型可靠性来路由通信量，而一些其他输入流可以容忍偶尔的故障；以及(c)物理约束(例如，功率、冷却和形状因子)。

这些用例的端到端服务视图涉及服务流的概念，并与事务相关联。事务详细说明了消费服务的实体的整体服务需求，以及资源、工作负荷、工作流、以及业务功能和业务级别需求的相关联的服务。利用所描述的“方面(term)”执行的服务能以某种方式在每层处进行管理，以确保在服务的生命周期期间事务的实时和运行时合同合规性。当事务中的组件缺失其约定的SLA时，系统作为整体(事务中的组件)可以提供以下能力：(1)理解SLA违规的影响，以及(2)增强系统中的其他组件以恢复整体事务SLA，以及(3)实现补救的步骤。

因此，考虑到这些变化和服务特征，边缘云110内的边缘计算能以实时或接近实时的方式向用例205的多个应用(例如，对象跟踪、视频监视、连接的汽车等)提供提供服务和作出响应的能力，并满足这些多个应用的超低等待时间需求。这些优势使全新类别的应用(虚拟网络功能(VNF)、功能即服务(FaaS)、边缘即服务(EaaS)、标准过程等)得以实现，这些应用由于等待时间或其他限制而无法利用传统的云计算。

然而，随着边缘计算的优势，有以下注意事项。位于边缘处的设备通常是资源受约束的，并且因此存在对边缘资源的使用的压力。通常，这是通过对供多个用户(租户)和设备使用的存储器和存储资源的池化来解决的。边缘可能是功率和冷却受约束的，并且因此需要由消耗最多功率的应用来负责功率使用。在这些经池化的存储器资源中可能存在固有的功率性能权衡，因为它们中的许多可能使用新兴的存储器技术，在这些技术中，更多的功率需要更大的存储器带宽。同样，还需要改善的硬件安全性和信任根受信任的功能，因为边缘位置可以是无人(控制)的，并且可能甚至需要经许可的访问(例如，当被容纳在第三方位置时)。在多租户、多所有者、或多访问设置中，此类问题在边缘云110中被放大，此类设置中，由许多用户请求服务和应用，特别是当网络使用动态地波动以及多个利益相关者、用例、和服务的组成改变时。

在更一般的级别上，边缘计算系统可以被描述为涵盖在先前讨论的、在边缘云110(网络层200-240)中操作的层处的任意数量的部署，这些层提供来自客户端和分布式计算设备的协调。一个或多个边缘网关节点、一个或多个边缘聚合节点和一个或多个核心数据中心可以分布在网络的各个层上，以由电信服务提供商(“telco”或“TSP”)、物联网服务提供商、云服务提供商(CSP)、企业实体或任何其他数量的实体或者代表其提供边缘计算系统的实现。可以动态地提供边缘计算系统的各种实现方式和配置，诸如当被编排以满足服务目标时。

与本文提供的示例一致，客户端计算节点可以被具体化为任何类型的端点组件、设备、装置或能够作为数据的生产者或消费者进行通信的其他事物。进一步地，如边缘计算系统中所使用的标签“节点”或“设备”不一定意指此类节点或设备以客户端或代理/仆从/跟随者角色操作；相反，边缘计算系统中的节点或设备中的任一者指代包括分立的和/或连接的硬件或软件配置以促进和/或使用边缘云110的个体实体、节点、或子系统。

由此，边缘云110由网络层210-230中的边缘网关节点、边缘聚合节点或其他边缘计算节点操作并在网络层210-230中的边缘网关节点、边缘聚合节点或其他边缘计算节点内被操作的网络组件和功能特征形成。因此，边缘云110可被具体化为提供边缘计算和/或存储资源的任何类型的网络，这些边缘计算和/或存储资源被定位成接近支持无线电接入网络(RAN)的端点设备(例如，移动计算设备、IoT设备、智能设备等)，其在本文中所讨论。换言之，边缘云110可被预想为连接端点设备和传统网络接入点、同时还提供存储和/或计算能力的“边缘”，该“边缘”充当进入到包括移动运营商网络(例如，全球移动通信系统(GSM)网络、长期演进(LTE)网络、5G/6G网络等)的服务提供商核心网络中的入口点。其他类型和形式的网络接入(例如，Wi-Fi、长程无线、包括光学网络的有线网络)也可替代此类3GPP运营商网络被利用或与此类3GPP运营商网络组合来利用。

边缘云110的网络组件可以是服务器、多租户服务器、装置计算设备和/或任何其他类型的计算设备。例如，边缘云110可以包括包含壳体、底盘、机箱或外壳的自包含电子设备的装置计算设备。在一些情况下，可以针对可携带性来确定壳体尺寸，以使得其可由人类携载和/或被运输。示例壳体可包括形成一个或多个外表面的材料，该一个或多个外表面部分地或完整地保护装置的内容物，其中，保护可包括天气保护、危险环境保护(例如，EMI、振动、极端温度)和/或使得能够浸入水中。示例壳体可包括用于为固定和/或便携式实现方式提供功率的功率电路系统，诸如，AC功率输入、DC功率输入、(多个)AC/DC或DC/AC转换器、功率调节器、变压器、充电电路、电池、有线输入和/或无线功率输入。示例壳体和/或其表面可包括或连接至安装硬件，以实现到诸如建筑物、电信结构(例如，杆、天线结构等)和/或机架(例如，服务器机架、刀片支架等)之类的结构的附接。示例壳体和/或其表面可支持一个或多个传感器(例如，温度传感器、振动传感器、光传感器、声学传感器、电容传感器、接近度传感器等)。一个或多个此类传感器可被包含在装置的表面中、由装置的表面携载、或以其他方式被嵌入在装置的表面中和/或被安装至装置的表面。示例壳体和/或其表面可支持机械连接，诸如推进硬件(例如，轮子、螺旋桨等)和/或铰接硬件(例如，机械臂、可枢转附件等)。在一些情况下，传感器可包括任何类型的输入设备，诸如用户接口硬件(例如，按键、开关、拨号盘、滑块等)。在一些情况下，示例壳体包括包含在其中、由其携载、嵌入其中和/或附接于此的输出设备。输出设备可包括显示器、触摸屏、灯、LED、扬声器、I/O端口(例如，USB)等。在一些情况下，边缘设备是为特定目的而存在于网络中、但是可具有可用于其他目的的处理或其他能力的的设备(例如，红绿灯)。此类边缘设备可以独立于其他联网设备，并且设置有具有适合其主要目的的形状因子的壳体；但对于不干扰其主要任务的其他计算任务，它仍然是可用的。边缘设备包括物联网设备。装置计算设备可包括用于管理诸如设备温度、振动、资源利用率、更新、功率问题、物理和网络安全之类的本地问题的硬件和软件组件。结合图7B描述用于实现装置计算设备的示例硬件。边缘云110还可以包括一个或多个服务器和/或一个或多个多租户服务器。此类服务器可包括操作系统和虚拟计算环境。虚拟计算环境可包括管理(生成、部署、损毁等)一个或多个虚拟机、一个或多个容器等的管理程序。此类虚拟计算环境提供其中一个或多个应用和/或其他软件、代码或脚本可在与一个或多个其他应用、软件、代码或脚本隔离的同时进行执行的执行环境。

在图3中，(以移动设备、计算机、自主车辆、业务计算装备、工业处理装备的形式的)各种客户端端点310交换特定于端点网络聚合类型的请求和响应。例如，客户端端点310可以通过交换通过内部网络系统332的请求和响应322，经由有线宽带网络获得网络接入。一些客户端端点310(诸如移动计算设备)可以通过交换通过接入点(例如，蜂窝网络塔)334的请求和响应，经由无线宽带网络获得网络接入。一些客户端端点310(诸如自主车辆)可通过街道定位网络系统336经由无线车辆网络获得请求和响应326的网络接入。然而，无论网络接入的类型如何，TSP可以在边缘云110内部署聚合点342、344来聚合通信量和请求。因此，在边缘云110内，TSP可以(诸如在边缘聚合节点340处)部署各种计算和存储资源以提供请求的内容。边缘聚合节点340和边缘云110的其他系统被连接至云或数据中心360，该云或数据中心360使用回程网络350来满足来自云/数据中心对网站、应用、数据库服务器等的更高等待时间请求。边缘聚合节点340和聚合点342、344的附加或合并的实例(包括部署在单个服务器框架上的那些实例)也可以存在于边缘云110或TSP基础设施的其他区域内。

图4示出了跨在多个边缘节点和多个租户之间操作的边缘计算系统的虚拟边缘配置的部署和编排。具体而言，图4描绘了边缘计算系统400中的第一边缘节点422和第二边缘节点424的协调，以完成对接入各种虚拟边缘实例的各种客户端端点410(例如，智能城市/建筑系统、移动设备、计算设备、商业/物流系统、工业系统等)的请求和响应。在此，虚拟边缘实例432、434通过接入云/数据中心440(对网站、应用、数据库服务器等有更高等待时间请求)来提供边缘云中的边缘计算能力和处理。然而，边缘云能够协调多个租户或实体的多个边缘节点之间的处理。

在图4的示例中，这些虚拟边缘实例包括：提供给第一租户(租户1)的第一虚拟边缘432，该第一虚拟边缘432提供边缘存储、计算、和服务的第一组合；以及第二虚拟边缘434，提供边缘存储、计算、和服务的第二组合。虚拟边缘实例432、434分布在边缘节点422、424之间，并且可以包括其中从相同或不同的边缘节点满足请求和响应的场景。用于以分布式但协调的方式操作的边缘节点422、424的配置基于边缘供应功能450来发生。用于在多个租户之间为应用和服务提供协调的操作的边缘节点422、424的功能基于编排功能460来发生。

应当理解，410中的设备中的一些设备是多租户设备，其中租户1可以在租户1‘片’内运行，而租户2可以在租户2片内运行(并且，在进一步的示例中，可能存在附加的租户或子租户；并且每个租户甚至可以对特定特征组具体地享有权利并且在事务上被绑定至特定特征组，一直到对特定的硬件特征具体地享有权利并且在事务上被绑定至特定的硬件特征)。受信任的多租户设备可以进一步包含租户专用的加密密钥，使得密钥和片的组合可以被视为“信任根”(RoT)或租户专用的RoT。可以进一步使用DICE(设备标识组合引擎)架构组成动态计算的RoT，使得单个DICE硬件构建块可用于构造用于对设备能力(诸如现场可编程门阵列(FPGA))进行分层的分层受信任的计算基础上下文。RoT进一步可用于受信任计算上下文，以启用对支持多租赁有用的“扇出”。在多租户环境内，相应的边缘节点422、424可以作为分配给每节点多个租户的本地资源的安全性特征实施点。附加地，租户运行时和应用执行(例如，在实例432、434中)可以用作安全性特征的实施点，该安全性特征创建跨越潜在多个物理主管平台的资源的虚拟边缘抽象。最后，编排实体处的编排功能460可以作为用于沿着租户边界对资源进行列队(marshalling)的安全性特征实施点来操作。

边缘计算节点可划分资源(存储器、中央处理单元(CPU)、图形处理单元(GPU)、中断控制器、输入/输出(I/O)控制器、存储器控制器、总线控制器等)，其中，相应的分区可包含RoT能力，并且其中根据DICE模型的扇出和分层可进一步应用于边缘节点。由容器、FaaS引擎、小型服务程序、服务器、或其他计算抽象组成的云计算节点可以根据DICE分层和扇出结构进行分区，以支持每个节点的RoT上下文。因此，跨越设备410、422和440的相应的RoT可以协调分布式受信任计算基础(DTCB)的建立，使得可以建立端到端链接所有要素的租户专用的虚拟受信任安全信道。

此外，应当理解，容器可以具有保护其内容不受先前边缘节点影响的数据或工作负荷特定的密钥。作为容器迁移的一部分，源边缘节点处的舱(pod)控制器可以从目标边缘节点舱控制器获得迁移密钥，其中迁移密钥用于包装容器特定的密钥。当容器/舱迁移到目标边缘节点时，解包裹密钥被暴露给舱控制器，然后舱控制器解密经包裹的密钥。密钥现在可用于对容器特定的数据执行操作。迁移功能可以由适当认证的边缘节点和舱管理器(如上所述)进行选通(gate)。

在进一步的示例中，边缘计算系统被扩展以通过在多所有者、多租户环境中使用容器(提供代码和所需依赖关系的被容纳的、可部署的软件单元)来提供多个应用的编排。多租户编排器可用于执行密钥管理、信任锚管理以及与图4中的受信任的‘片’概念的供应和生命周期相关的其他安全性功能。例如，边缘计算系统可被配置成用于满足来自多个虚拟边缘实例(以及，来自云或远程数据中心)的各种客户端端点的请求和响应。这些虚拟边缘实例的使用可以同时支持多个租户和多个应用(例如，增强现实(AR)/虚拟现实(VR)、企业应用、内容交付、游戏、计算迁移)。此外，虚拟边缘实例内可能存在多种类型的应用(例如，普通应用；等待时间敏感型应用；等待时间关键型应用；用户平面应用；联网应用等)。虚拟边缘实例还可以横跨处于不同地理位置的多个所有者的系统(或，由多个所有者共同拥有或共同管理的相应的计算系统和资源)。

例如，每个边缘节点422、424可以实现容器的使用，诸如使用提供一个或多个容器的组的容器“舱”426、428。在使用一个或多个容器舱的设置中，舱控制器或编排器负责舱中容器的本地控制和编排。根据每个容器的需要对为相应边缘片432、434提供的各种边缘节点资源(例如，存储、计算、服务，用六边形描绘)进行分区。

使用容器舱后，舱控制器监督容器和资源的分区和分配。舱控制器从编排器(例如，编排器460)接收指令，该编排器指示控制器如何最佳地对物理资源进行分区以及在什么持续时间内，诸如通过基于SLA合同接收关键性能指标(KPI)目标。舱控制器确定哪个容器需要哪些资源，以及完成工作负荷和满足SLA需要多久。舱控制器还管理容器生命周期操作，诸如：创建容器、为容器提供资源和应用、协调在分布式应用上一起工作的多个容器之间的中间结果、工作负荷完成时拆除容器等。此外，舱控制器可以充当安全角色，阻止资源分配，直到正确的租户验证或阻止向容器提供数据或工作负荷，直到满足认证结果。

此外，通过使用容器舱，租户边界仍然可以存在，但在容器的每一个舱的上下文中。如果每个租户特定的舱都有租户特定的舱控制器，则将有一个共享舱控制器，该共享舱控制器将合并资源分配请求，以避免典型的资源短缺情况。可提供进一步的控制，以确保舱和舱控制器的认证和可信。例如，编排器460可以向执行认证验证的本地舱控制器提供认证验证策略。如果认证满足第一租户舱控制器而不是第二租户舱控制器的策略，则第二舱可以迁移到确实满足该策略的不同边缘节点。或者，可以允许第一舱执行，并且在第二舱执行之前安装和调用不同的共享舱控制器。

图5示出了在边缘计算系统中部署容器的附加计算布置。作为简化示例，系统布置510、520描述了其中舱控制器(例如，容器管理器511、521和容器编排器531)适于通过经由计算节点(布置510中的520)的执行来启动容器化舱、功能、和功能即服务实例，或适于通过经由计算节点(布置520中的523)的执行来单独地执行容器化虚拟化的网络功能。该布置适于在(使用计算节点537的)系统布置530中使用多个租户，其中容器化舱(例如，舱512)、功能(例如，功能513、VNF 522、VNF 536)、和功能即服务实例(例如，FaaS实例514)在专用于相应的租户的虚拟机(例如，用于租户532的VM 534、用于租户533的VM 535)内被启动(除了执行虚拟化网络功能)。该布置进一步适于在系统布置540中使用，该系统布置540提供容器542、543，或在计算节点544上执行各种功能、应用和功能，如由基于容器的编排系统541所协调。

图5中描绘的系统布置提供了在应用组成方面平等地对待VM、容器和功能的架构(并且得到的应用是这三种组成部分的组合)。每个组成部分可能涉及使用一个或多个加速器(FPGA、ASIC)组件作为本地后端。以此方式，应用可以在多个边缘所有者之间被分割，如由编排器进行协调。

在图5的上下文中，舱控制器/容器管理器、容器编排器和各个节点可以提供安全性实施点。然而，可以编排租户隔离，其中分配给一租户的资源与分配给第二租户的资源是不同的，但是边缘所有者合作以确保资源分配不跨租户边界被共享。或者，资源分配可以跨租户边界而被隔离，因为租户可以允许经由订阅或事务/合同基础的“使用”。在这些上下文中，边缘所有者可以使用虚拟化、容器化、飞地和硬件分区方案来强制执行租赁。其他隔离环境可包括：裸金属(专用)装备、虚拟机、容器、容器上的虚拟机或其组合。

在进一步的示例中，软件定义的或受控的硅硬件以及其他可配置的硬件的各方面可以与边缘计算系统的应用、功能、和服务整合。软件定义的硅可用于基于某一资源或硬件组成部分(例如，通过升级、重新配置或在硬件配置本身内提供新的特征)修复自身或工作负荷的一部分的能力、来确保该组成部分履行合同或服务级别协议的能力。

应当领会，本文讨论的边缘计算系统和布置可适用于涉及移动性的各种解决方案、服务和/或用例。作为示例，图6示出涉及对实现边缘云110的边缘计算系统600中的应用进行的移动访问的简化的车辆计算和通信用例。在该用例中，相应的客户端计算节点610可以被具体化为位于相对应车辆中的车载计算系统(例如，车载导航和/或信息娱乐系统)，该车载计算系统在横越道路期间与边缘网关节点620通信。例如，边缘网关节点620可以位于路边机柜中或位于被内置到具有其他的、分开的、机械公共设施的结构中的其他外壳中，路边机柜或其他外壳可以沿着道路、在道路的交叉路口处、或在道路附近的其他位置放置。当相应的车辆沿着道路行驶时，其客户端计算节点610与特定边缘网关设备620之间的连接可以传播，以便为客户端计算节点610保持一致的连接和上下文。同样，移动边缘节点可以在高优先级服务处或根据(多个)底层服务(例如，在无人机的情况下)的吞吐量或等待时间分辨率需求进行聚合。相应的边缘网关设备620包括一定量的处理和存储能力，并且由此，客户端计算节点610的数据的一些处理和/或存储可以在边缘网关设备620的一个或多个边缘网关设备上执行。

边缘网关设备620可以与一个或多个边缘资源节点640通信，这些边缘资源节点被说明性地具体化为位于通信基站642(例如，蜂窝网络的基站)处或在通信基站642(例如，蜂窝网络的基站)中的计算服务器、设备或组件。如上文所讨论，相应的边缘资源节点640包括一定量的处理和存储能力，并且由此，客户端计算节点610的数据的一些处理和/或存储可以在边缘资源节点640上执行。例如，不太紧急或不太重要的数据处理可以由边缘资源节点640执行，而更高的紧急性或重要性的数据处理可以由边缘网关设备620执行(例如，取决于每个组件的能力，或请求中指示紧急性或重要性的信息)。基于数据访问、数据位置或等待时间，当处理活动期间的处理优先级改变时，可在边缘资源节点上继续工作。同样，可配置的系统或硬件资源本身可以(例如，通过本地编排器)被激活，以提供附加的资源来满足新的需求(例如，使计算资源适配到工作负荷数据)。

(多个)边缘资源节点640还与核心数据中心650通信，核心数据中心650可以包括位于中心位置(例如，蜂窝通信网络的中央局)的计算服务器、设备和/或其他组件。核心数据中心650可以为由(多个)边缘资源节点640和边缘网关设备620形成的边缘云110操作提供到全球网络云660(例如，互联网)的网关。另外，在一些示例中，核心数据中心650可以包括一定量的处理和存储能力，并且因此，可以在核心数据中心650上执行用于客户端计算设备的一些数据处理和/或存储(例如，低紧急性或重要性或高复杂性的处理)。

边缘网关节点620或边缘资源节点640可以提供状态型的应用632和地理分布式数据库634的使用。虽然应用632和数据库634被图示出为在边缘云110的层处横向地分布，但将理解，应用的资源、服务、或其他组件可以在整个边缘云中竖直地分布(包括，在客户端计算节点610处执行的应用的一部分，在边缘网关节点620处或边缘资源节点640等处的其他部分)。另外，如前所述，可以存在任何级别上的对等关系以满足服务目标和义务。进一步地，特定客户端或应用的数据可以基于变化的条件(例如，基于加速资源的可用性、跟随汽车移动等)从边缘移动到边缘。例如，基于访问的“衰减率”，可以进行预测，以标识要继续的下一个所有者，或者数据或计算访问何时将不再可行。可以利用这些服务和其他服务来完成保持事务合规性和无损性所需的工作。

在进一步的场景中，容器636(或容器的舱)可以从边缘节点620灵活地迁移到其他边缘节点(例如，620、640等)，使得具有应用和工作负荷的容器不需要被重组、重新编译、重新解释以迁移到工作中。但是，在此类设置中，可能应用一些补救或“混乱”的翻译操作。例如，节点640处的物理硬件可能不同于边缘网关节点620，因此，构成容器底部边缘的硬件抽象层(HAL)将被重新映射到目标边缘节点的物理层。这可能涉及某种形式的后期绑定技术，诸如HAL从容器原生格式到物理硬件格式的二进制转换，或者可能涉及映射接口和操作。舱控制器可用于驱动接口映射，作为容器生命周期的一部分，其中包括迁移到不同的硬件环境/从不同的硬件环境迁移。

图6所涵盖的场景可以利用各种类型的移动边缘节点(诸如在车辆(汽车/卡车/电车/火车)或其他移动单元中主管的边缘节点)，因为边缘节点将沿着主管它的平台移动到其他地理位置。在车辆对车辆通信的情况下，单个车辆甚至可以充当其他车辆的网络边缘节点，(例如，以执行高速缓存、报告、数据聚合等)。因此，将理解，在各种边缘节点中提供的应用组件可以分布在静态或移动设置中，包括在各个端点设备或边缘网关节点620处的一些功能或操作、在边缘资源节点640处的一些其他功能或操作、以及在核心数据中心650或全球网络云660中的其他功能或操作之间的协调。

在进一步的配置中，边缘计算系统可以通过使用相应的可执行应用和功能来实现FaaS计算能力。在示例中，开发者编写表示一个或多个计算机功能的功能代码(例如，本文中的“计算机代码”)，并且该功能代码被上传到由例如边缘节点或数据中心提供的FaaS平台。触发器(诸如例如，服务用例或边缘处理事件)发起利用FaaS平台执行功能代码。

在FaaS的示例中，容器用于提供一个环境，在该环境中执行功能代码(例如，可能由第三方提供的应用)。容器可以是任何隔离执行的实体，诸如进程、Docker容器或Kubernetes容器、虚拟机等。在边缘计算系统内，各种数据中心、边缘、和端点(包括移动)设备被用于按需扩展的“旋转加速(spin up)”功能(例如，激活和/或分配功能动作)。功能代码在物理基础设施(例如，边缘计算节点)设备和底层虚拟化容器上得到执行。最后，容器响应于执行被完成而在基础设施上被“旋转减速”(例如，去激活和/或解除分配)。

FaaS的其他方面可以使边缘功能以服务方式进行部署，包括对支持边缘计算即服务(边缘即服务或“EaaS”)的相应功能的支持。FaaS的附加特征可包括：使客户(例如，计算机代码开发者)仅在其代码被执行时进行支付的粒度计费组件；用于存储数据以供一个或多个功能重新使用的通用数据存储；各个功能之间的编排和管理；功能执行管理、并行性和合并；容器和功能存储器空间的管理；功能可用的加速资源的协调；以及功能在容器之间的分布(包括已经部署或操作的“暖”容器，相对于需要初始化、部署、或配置的“冷”容器)。

边缘计算系统600可包括边缘供应节点644或与边缘供应节点644通信。边缘供应节点644可以将诸如图7B的示例计算机可读指令782的软件，分发到实施本文所述的任何方法的各个接收方。示例边缘供应节点644可以由能够存储软件指令和/或向其他计算设备传输软件指令(例如，代码、脚本、可执行二进制文件、容器、包、压缩文件和/或其衍生物)的以下各项来实现：任何计算机服务器、家庭服务器、内容交付网络、虚拟服务器、软件分发系统、中央设施、存储设备、存储节点、数据设施、云服务等。示例边缘供应节点644的(多个)组件可以位于云中、局域网中、边缘网络中、广域网中、因特网上和/或与(多个)接收方通信耦合的任何其他位置。接收方可以是拥有和/或操作边缘供应节点644的实体的客户、客户端、合作伙伴、用户等。例如，拥有和/或操作边缘供应节点644的实体可以是软件指令(诸如图7B的示例计算机可读指令782)的开发者、销售者和/或许可者(或其客户和/或消费者)。接收方可以是消费者、服务提供商、用户、零售商、OEM等，他们购买和/或许可软件指令以用于使用和/或转售和/或分许可。

在示例中，边缘供应节点644包括一个或多个服务器和一个或多个存储设备。存储设备主控计算机可读指令，诸如图7B的示例计算机可读指令782，如下所述。类似于上述边缘网关设备620，边缘供应节点644的一个或多个服务器与基站642或其他网络通信实体通信。在一些示例中，作为商业事务的一部分，一个或多个服务器响应于将软件指令传送到请求方的请求。可以由软件分发平台的一个或多个服务器和/或经由第三方支付实体来处理对软件指令的交付、销售、和/或许可的支付。服务器使购买者和/或许可者能够从边缘供应节点644下载计算机可读指令782。例如，可以与图7B的示例计算机可读指令782相对应的软件指令可以被下载到示例处理器平台700，该示例处理器平台700用于执行计算机可读指令782以实现本文所描述的方法。

在一些示例中，执行计算机可读指令782的(多个)处理器平台可以物理地位于不同的地理位置、法律管辖区等。在一些示例中，边缘供应节点644的一个或多个服务器周期性地提供、传送和/或强制进行软件指令(例如，图7B的示例计算机可读指令782)的更新以确保改善、补丁、更新等被分发并应用于终端用户设备处实现的软件指令。在一些示例中，计算机可读指令782的不同组件可以从不同的源和/或不同的处理器平台分发；例如，不同的库、插件、组件和其他类型的计算模块，无论是经编译的还是经解释的，都可以从不同的源和/或向不同的处理器平台分发。例如，软件指令的一部分(例如，本身不可执行的脚本)可以从第一源分发，而(能够执行脚本的)解释器可以从第二源分发。

在进一步的示例中，参考当前的边缘计算系统和环境讨论的计算节点或设备中的任一者可以基于图7A和图7B所描绘的组件来实现。相应的边缘计算节点可以被具体化为能够与其他边缘组件、联网组件或端点组件进行通信的设备、装置、计算机或其他“事物”的类型。例如，边缘计算设备可以具体化为个人计算机、服务器、智能手机、移动计算设备、智能设备、车载计算系统(例如，导航系统)、具有外箱、外壳等的自包含设备，或能够执行所述功能的其他设备或系统。

在图7A中描绘的简化示例中，边缘计算节点700包括计算引擎(本文中也称为“计算电路系统”)702、输入/输出(I/O)子系统708、数据存储710、通信电路子系统712，以及任选地，一个或多个外围设备714。在其他示例中，相应的计算设备可以包括其他或附加组件，诸如通常在计算机中发现的那些组件(例如，显示器、外围设备等)。另外，在一些示例中，说明性组件中的一个或多个可被结合到另一组件中，或以其他方式形成另一组件的部分。

计算节点700可被具体化为能够执行各种计算功能的任何类型的引擎、设备、或设备集合。在一些示例中，计算节点700可被具体化为单个设备，诸如集成电路、嵌入式系统、现场可编程门阵列(FPGA)、片上系统(SOC)或其他集成系统或设备。在说明性示例中，计算节点700包括或被具体化为处理器704和存储器706。处理器704可被具体化为能够执行本文中所描述的功能(例如，执行应用)的任何类型的处理器。例如，处理器704可被具体化为(多个)多核处理器、微控制器、处理单元、专门或专用处理单元、或其他处理器或处理/控制电路。

在一些示例中，处理器704可被具体化为、包括或耦合到FPGA、专用集成电路(ASIC)、可重新配置的硬件或硬件电路系统、或用于促进本文中所描述的功能的执行的其他专用硬件。同样在一些示例中，处理器704可以具体化为专用x处理单元(xPU)(也称为数据处理单元(DPU))、基础设施处理单元(IPU)或网络处理单元(NPU)。此类xPU可具体化为独立电路或电路封装、集成在SOC内或与联网电路系统(例如，在智能NIC或增强型智能NIC中)集成、加速电路系统、存储设备或AI硬件(例如，GPU或编程FPGA)。此类xPU可设计成用于接收编程以在CPU或通用处理硬件之外处理一个或多个数据流并执行数据流的特定任务和动作(诸如托管微服务、执行服务管理或编排、组织或管理服务器或数据中心硬件、管理服务网格，或收集和分发遥测数据)。然而，将理解的是，xPU、SOC、CPU和处理器704的其他变体可以彼此协调工作以在计算节点700内并代表计算节点700执行多种类型的操作和指令。

存储器706可被具体化为能够执行本文中所述的功能的任何类型的易失性(例如，动态随机存取存储器(DRAM)等)或非易失性存储器或数据存储。易失性存储器可以是需要维持由该介质存储的数据状态的能力的存储介质。易失性存储器的非限制性示例可包括各种类型的随机存取存储器(RAM)，诸如DRAM或静态随机存取存储器(SRAM)。可以在存储模块中使用的一个特定类型的DRAM是同步动态随机存取存储器(SDRAM)。

在示例中，存储器设备是块可寻址存储器设备，诸如基于NAND或NOR技术的那些存储器设备。存储器设备还可包括三维交叉点存储器设备(例如，

3D XPoint^TM存储器)或其他字节可寻址的就地写入非易失性存储器设备。存储器设备可指代管芯本身和/或指代封装的存储器产品。在一些示例中，3D交叉点存储器(例如，

3D XPoint^TM存储器)可包括无晶体管的可堆叠的交叉点架构，其中存储单元位于字线和位线的交点处，并且可单独寻址，并且其中位存储基于体电阻的变化。在一些示例中，存储器706的全部或一部分可以被集成到处理器704中。存储器706可以存储在操作期间使用的各种软件和数据，诸如一个或多个应用、通过(多个)应用、库以及驱动程序操作的数据。

计算电路系统702经由I/O子系统708通信地耦合到计算节点700的其他组件，该I/O子系统708可被具体化为用于促进与计算电路系统702(例如，与处理器704和/或主存储器706)以及计算电路系统702的其他组件的输入/输出操作的电路系统和/或组件。例如，I/O子系统708可被具体化为或以其他方式包括存储器控制器中枢、输入/输出控制中枢、集成传感器中枢、固件设备、通信链路(即，点对点链路、总线链路、线路、电缆、光导、印刷电路板迹线等)和/或用于促进输入/输出操作的其他组件和子系统。在一些示例中，I/O子系统708可以形成片上系统(SoC)的部分，并可与计算电路系统702的处理器704、存储器706、和其他组件中的一个或多个一起被合并到计算电路系统702中。

一个或多个说明性数据存储设备710可被具体化为被配置成用于数据的短期或长期存储的任何类型的设备，诸如例如，存储器设备和电路、存储器卡、硬盘驱动器、固态驱动器或其他数据存储设备。各个数据存储设备710可包括存储数据存储设备710的数据以及固件代码的系统分区。各个数据存储设备710还可以包括一个或多个操作系统分区，该操作系统分区根据例如计算节点700的类型来存储操作系统的数据文件和可执行文件。

通信电路系统712可被具体化为能够实现通过网络在计算电路系统712与其他计算设备(例如，边缘计算系统的边缘网关)之间的进行通信的任何通信电路、设备或其集合。通信电路系统712可以被配置成使用任何一种或多种通信技术(例如，有线或无线通信)和相关联的协议(例如，蜂窝联网协议(诸如3GPP 4G或5G标准)、无线局域网协议(诸如IEEE

)、无线广域网协议，以太网、

蓝牙低能量、IoT协议(诸如IEEE802.15.4或

)、低功率广域网(LPWAN)或低功率广域网(LPWA)协议等)来实行此类通信。

说明性通信电路系统712包括网络接口控制器(NIC)720，其也被称为主机结构接口(HFI)。NIC 720可被具体化为一个或多个插入式板、子卡、网络接口卡、控制器芯片、芯片组或可由计算节点700用来与另一计算设备(例如，边缘网关节点)连接的其他设备。在一些示例中，NIC 720可被具体化为包括一个或多个处理器的片上系统(SoC)的一部分，或NIC720可被包括在也包含一个或多个处理器的多芯片封装上。在一些示例中，NIC 720可包括均位于NIC 720本地的本地处理器(未示出)和/或本地存储器(未示出)。在此类示例中，NIC720的本地处理器可能能够执行本文中描述的计算电路系统702的功能中的一个或多个功能。附加地，或者替代地，在此类示例中，NIC720的本地存储器可以在板级、插座级、芯片级和/或其他层级上被集成到客户端计算节点的一个或多个组件中。

另外，在一些示例中，相应的计算节点700可以包括一个或多个外围设备714。取决于计算节点700的特定类型，此类外围设备714可包括通常在计算设备或服务器中发现的任何类型的外围设备，诸如音频输入设备、显示器、其他输入/输出设备、接口设备和/或其他外围设备。在进一步的示例中，计算节点700可以由相应的边缘计算节点(无论是客户端、网关或聚合节点)在边缘计算系统或类似形式的设备、计算机、子系统、电路系统或其他组件中。

在更详细的示例中，图7B图示出可以存在于边缘计算节点750中的组件的示例的框图，该组件用于实现本文所描述的技术(例如，操作、过程、方法和方法论)。该边缘计算节点750在被实现为计算设备(例如，移动设备、基站、服务器、网关等)或计算设备(例如，移动设备、基站、服务器、网关等)的一部分时提供节点700的相应组件的更靠近的视图。边缘计算节点750可以包括本文中所引用的硬件或逻辑组件的任何组合，并且该边缘计算节点750可以包括或耦合可用于边缘通信网络或此类网络的组合的任何设备。这些组件可被实现为集成电路(IC)、IC的部分、分立电子器件，或其他模块、指令集、可编程逻辑或算法、硬件、硬件加速器、软件、固件或其适用于边缘计算节点750中的组合，或作为以其他方式被并入在更大的系统的机架内的组件。

边缘计算设备750可包括处理器752形式的处理电路系统，该处理电路系统可以是微处理器、多核处理器、多线程处理器、超低电压处理器、嵌入式处理器、xPU/DPU/IPU/NPU、专用处理单元、专门处理单元，或其他已知的处理元件。处理器752可以是芯片上系统(SoC)的部分，在该SoC中，处理器752和其他组件形成到单个集成电路或单个封装中，诸如，来自加利福尼亚州圣克拉拉市的英特尔公司的爱迪生^TM(Edison^TM)或伽利略^TM(Galileo^TM)SoC板。作为示例，处理器752可包括基于

架构酷睿^TM(Core^TM)的CPU处理器(诸如Quark^TM、Atom^TM、i3、i5、i7、i9或MCU级处理器)、或可从

获得的另一此类处理器。然而，可使用任何数量的其他处理器，诸如，可从加利福尼亚州桑尼威尔市的超微半导体公司

获得的处理器、来自加利福尼亚州桑尼威尔市的MIPS技术公司的基于

的设计、许可自ARM控股有限公司的基于

的设计，或从上述各公司的客户、被许可方或采纳方获得的处理器。处理器可包括诸如以下单元：来自

公司的A5-A13处理器、来自

技术公司的骁龙^TM(Snapdragon^TM)处理器或来自德州仪器公司的OMAP^TM处理器。处理器752和伴随的电路系统可以以单插座形状因子、多插座形状因子或各种其他格式提供，包括有限的硬件配置或包括少于图7B中所示的所有元件的配置。

处理器752可通过互连756(例如，总线)来与系统存储器754通信。可使用任何数量的存储器设备来提供给定量的系统存储器。作为示例，存储器754可以是根据联合电子器件工程委员会(JEDEC)设计的随机存取存储器(RAM)，诸如DDR或移动DDR标准(例如，LPDDR、LPDDR2、LPDDR3或LPDDR4)。在特定示例中，存储器组件可符合JEDEC颁布的标准，诸如DDRSDRAM的JESD79F、DDR2 SDRAM的JESD79-2F、DDR3 SDRAM的JESD79-3F、DDR4 SDRAM的JESD79-4A、低功率DDR(LPDDR)的JESD209、LPDDR2的JESD209-2、LPDDR3的JESD209-3和LPDDR4的JESD209-4。此类标准(和类似的标准)可被称为基于DDR的标准，而存储设备的实现此类标准的通信接口可被称为基于DDR的接口。在各种实现方式中，单独的存储器设备可以是任何数量的不同封装类型，诸如单管芯封装(SDP)、双管芯封装(DDP)或四管芯封装(Q17P)。在一些示例中，这些设备可以直接焊接到主板上，以提供较低轮廓的解决方案，而在其他示例中，设备被配置为一个或多个存储器模块，这些存储器模块进而通过给定的连接器耦合至主板。可使用任何数量的其他存储器实现方式，诸如其他类型的存储器模块，例如，不同种类的双列直插存储器模块(DIMM)，包括但不限于microDIMM(微DIMM)或MiniDIMM(迷你DIMM)。

为了提供对信息(诸如数据、应用、操作系统等)的持久性存储，存储758还可经由互连756而耦合至处理器752。在示例中，存储758可经由固态盘驱动器(SSDD)来实现。可用于存储758的其他设备包括闪存卡(诸如安全数字(SD)卡、microSD卡、极限数字(xD)图片卡，等等)和通用串行总线(USB)闪存驱动器。在示例中，存储器设备可以是或者可以包括使用硫属化物玻璃的存储器设备、多阈值级别NAND闪存、NOR闪存、单级或多级相变存储器(PCM)、电阻式存储器、纳米线存储器、铁电晶体管随机存取存储器(FeTRAM)、反铁电存储器、包含忆阻器技术的磁阻随机存取存储器(MRAM)、包括金属氧化物基底、氧空位基底和导电桥随机存取存储器(CB-RAM)的电阻式存储器、或自旋转移力矩(STT)-MRAM、基于自旋电子磁结存储器的设备、基于磁隧穿结(MTJ)的设备、基于DW(畴壁)和SOT(自旋轨道转移)的设备、基于晶闸管的存储器设备、或者任何上述或其他存储器的组合。

在低功率实现中，存储758可以是与处理器752相关联的管芯上存储器或寄存器。然而，在一些示例中，存储758可使用微硬盘驱动器(HDD)来实现。此外，附加于或替代所描述的技术，可将任何数量的新技术用于存储758，诸如阻变存储器、相变存储器、全息存储器或化学存储器，等等。

组件可通过互连756进行通信。互连756可包括任何数量的技术，包括工业标准架构(ISA)、扩展ISA(EISA)、外围组件互连(PCI)、外围组件互连扩展(PCIx)、PCI快速(PCIe)或任何数量的其他技术。互连756可以是例如在基于SoC的系统中使用的专有总线。其他总线系统可被包括，诸如内部集成电路(I2C)接口、串行外围设备接口(SPI)接口、点对点接口、以及功率总线，等等。

互连756可将处理器752耦合至收发机766，以便例如与连接的边缘设备762通信。收发机766可使用任何数量的频率和协议，诸如，IEEE802.15.4标准下的2.4千兆赫兹(GHz)传输，使用如由

特别兴趣小组定义的

低能量(BLE)标准、或

标准，等等。为特定的无线通信协议配置的任何数量的无线电可用于到连接的边缘设备762的连接。例如，无限局域网(WLAN)单元可用于根据电气和电子工程师协会(IEEE)802.11标准实现

通信。另外，例如根据蜂窝或其他无线广域协议的无线广域通信可经由无线广域网(WWAN)单元发生。

无线网络收发机766(或多个收发机)可以使用用于不同范围的通信的多种标准或无线电来进行通信。例如，边缘计算节点750可使用基于蓝牙低能量(BLE)或另一低功率无线电的本地收发机与接近的(例如，在约10米内的)设备通信以节省功率。更远的(例如，在约50米内的)连接的边缘设备762可通过

或其他中间功率的无线电而联络到。这两种通信技术能以不同的功率水平通过单个无线电发生，或者可通过分开的收发机而发生，分开的收发机例如使用BLE的本地收发机和分开的使用

的网格收发机。

无线网络收发机766(例如，无线电收发机)可被包括，以经由局域网协议或广域网协议来与边缘云795中的设备或服务通信。无线网络收发机766可以是遵循IEEE 802.15.4或IEEE 802.15.4g标准等的低功率广域(LPWA)收发机。边缘计算节点750可使用由Semtech和LoRa联盟开发的LoRaWAN^TM(长距离广域网)在广域上通信。本文中描述的技术不限于这些技术，而使可与实现长距离、低带宽通信(诸如，Sigfox和其他技术)的任何数量的其他云收发机一起使用。进一步地，可使用其他通信技术，诸如在IEEE802.15.4e规范中描述的时分信道跳。

除了针对如本文中所描述的无线网络收发机766而提及的系统之外，还可使用任何数量的其他无线电通信和协议。例如，收发机766可包括使用扩展频谱(SPA/SAS)通信以实现高速通信的蜂窝收发机。进一步地，可使用任何数量的其他协议，诸如用于中速通信和供应网络通信的

网络。收发机766可包括与任何数量的3GPP(第三代合作伙伴计划)规范(诸如在本公开的末尾处进一步详细讨论的长期演进(LTE)和第五代(5G)通信系统)兼容的无线电。网络接口控制器(NIC)768可被包括以提供到边缘云795的节点或到其他设备(诸如(例如，在网格中操作的)连接的边缘设备762)的有线通信。有线通信可提供以太网连接，或可基于其他类型的网络，诸如控制器区域网(CAN)、本地互连网(LIN)、设备网络(DeviceNet)、控制网络(ControlNet)、数据高速路+、现场总线(PROFIBUS)或工业以太网(PROFINET)，等等。附加的NIC 768可被包括以实现到第二网络的连接，例如，第一NIC 768通过以太网提供到云的通信，并且第二NIC 768通过另一类型的网络提供到其他设备的通信。

鉴于从设备到另一组件或网络的适用通信类型的多样性，设备使用的适用通信电路可以包括组件764、766、768或770中的任何一个或多个或由组件764、766、768或770中的任何一个或多个来具体化。因此，在各个示例中，用于通信(例如，接收、传送等)的适用装置可由此类通信电路系统来具体化。

边缘计算节点750可以包括或被耦合到加速电路系统764，该加速电路系统764可以由一个或多个人工智能(AI)加速器、神经计算棒、神经形态硬件、FPGA、GPU的布置、一个或多个SoC、一个或多个CPU、一个或多个数字信号处理器、专用ASIC、或被设计用于完成一个或多个专有任务的其他形式的专用处理器或电路系统来具体化。这些任务可以包括AI处理(包括机器学习、训练、推断、和分类操作)、视觉数据处理、网络数据处理、对象检测、规则分析等。这些任务还可包括用于本文档中其他地方讨论的服务管理和服务操作的特定边缘计算任务。

互连756可将处理器752耦合至用于连接附加的设备或子系统的传感器中枢或外部接口770。外部设备可包括传感器772，诸如加速度计、水平传感器、流量传感器、光学光传感器、相机传感器、温度传感器、全球定位系统(GPS)传感器、压力传感器、气压传感器，等等。中枢或接口770可进一步用于将边缘计算节点750连接至致动器774，诸如功率开关、阀致动器、可听声音发生器、视觉警告设备等。

在一些任选的示例中，各种输入/输出(I/O)设备可存在于边缘计算节点750内，或可连接至边缘计算节点750。例如，显示器或其他输出设备784可被包括以显示信息，诸如传感器读数或致动器位置。输入设备786(诸如触摸屏或键区)可被包括以接受输入。输出设备784可包括任何数量的音频或视觉显示形式，包括：简单视觉输出，诸如，二进制状态指示器(例如，发光二极管(LED))；多字符视觉输出；或更复杂的输出，诸如，显示屏(例如，液晶显示器(LCD)屏)，其具有从边缘计算节点750的操作生成或产生的字符、图形、多媒体对象等的输出。在本系统的上下文中，显示器或控制台硬件可：用于提供边缘计算系统的输出和接收边缘计算系统的输入；用于管理边缘计算系统的组件或服务；标识边缘计算组件或服务的状态、或用于进行任何其他数量的管理或管理功能或服务用例。

电池776可为边缘计算节点750供电，但是在其中边缘计算节点750被安装在固定位置的示例中，该边缘计算节点750可具有耦合至电网的电源，或者电池可以用作备用或用于临时功能。电池776可以是锂离子电池、金属-空气电池(诸如锌-空气电池、铝-空气电池、锂-空气电池)，等等。

电池监测器/充电器778可被包括在边缘计算节点750中以跟踪电池776(如果包括的话)的充电状态(SoCh)。电池监测器/充电器778可用于监测电池776的其他参数以提供失效预测，诸如电池776的健康状态(SoH)和功能状态(SoF)。电池监测器/充电器778可包括电池监测集成电路，诸如来自线性技术公司(Linear Technologies)的LTC4020或LTC2990、来自亚利桑那州的凤凰城的安森美半导体公司(ON Semiconductor)的ADT7488A、或来自德克萨斯州达拉斯的德州仪器公司的UCD90xxx族的IC。电池监测器/充电器778可通过互连756将关于电池776的信息传递至处理器752。电池监测器/充电器778也可包括使处理器752能够直接监测电池776的电压或来自电池776的电流的模数(ADC)转换器。电池参数可被用于确定边缘计算节点750可执行的动作，诸如传输频率、网格网络操作、感测频率，等等。

功率块780或耦合至电网的其他电源可与电池监测器/充电器778耦合以对电池776充电。在一些示例中，功率块780可用无线功率接收机代替，以便例如通过边缘计算节点750中的环形天线来无线地获得功率。无线电池充电电路(诸如来自加利福尼亚州的苗比达市的线性技术公司的LTC4020芯片，等等)可被包括在电池监测器/充电器778中。可以基于电池776的尺寸并且因此基于所要求的电流来选择特定的充电电路。可使用由无线充电联盟(Airfuel Alliance)颁布的Airfuel标准、由无线电力协会(Wireless PowerConsortium)颁布的Qi无线充电标准、或由无线电力联盟(Alliance for Wireless Power)颁布的Rezence充电标准等等来执行充电。

存储758可包括用于实现本文中公开的技术的软件、固件或硬件命令形式的指令782。虽然此类指令782被示出为被包括在存储器754和存储758中的代码块，但是可以理解，可用例如被建立到专用集成电路(ASIC)中的硬连线电路替换代码块中的任一个。

在示例中，经由存储器754、存储758或处理器752提供的指令782可被具体化为非暂态机器可读介质760，该非暂态机器可读介质760包括用于指导处理器752执行边缘计算节点750中的电子操作的代码。处理器752可通过互连756访问非暂态机器可读介质760。例如，非暂态机器可读介质760可由针对存储758所描述的设备来具体化，或者可包括特定的存储单元，诸如光盘、闪存驱动器或任何数量的其他硬件设备。非暂态机器可读介质760可包括用于指示处理器752执行例如像参照上文中描绘的操作和功能的(多个)流程图和(多个)框图而描述的特定的动作序列或动作流的指令。如本文所适用，术语“机器可读介质”和“计算机可读介质”是可互换的。

而且，在特定示例中，处理器752上的指令782(单独地或与机器可读介质760的指令782结合)可以配置受信任执行环境(TEE)790的执行或操作。在示例中，TEE 790作为处理器752可访问的保护区域来操作，以用于指令的安全执行和对数据的安全访问。例如，可以通过使用

软件防护扩展(SGX)或

硬件安全扩展、

管理引擎(ME)或

融合安全可管理性引擎(CSME)来提供TEE 790的各种实现方式以及处理器752或存储器754中伴随的安全区域。安全强化、硬件信任根、和受信任或受保护操作的其他方面可以通过TEE 790和处理器752在设备750中实现。

在进一步的示例中，机器可读介质也包括任何有形介质，该有形介质能够存储、编码或携带供由机器执行并且使机器执行本公开方法中的任何一种或多种方法的指令，或者该有形介质能够储存、编码或携带由此类指令利用或与此类指令相关联的数据结构。“机器可读介质”因此可包括但不限于固态存储器、光学介质和磁介质。机器可读介质的特定示例包括非易失性存储器，作为示例，包括但不限于：半导体存储器设备(例如，电可编程只读存储器(EPROM)、电可擦除可编程只读存储器(EEPROM)和闪存设备)；诸如内部硬盘及可移除盘之类的磁盘；磁光盘；以及CD-ROM和DVD-ROM盘。可使用传输介质，经由网络接口设备，利用若干传输协议中的任何一种协议(例如，超文本传输协议(HTTP))，进一步通过通信网络来传送或接收由机器可读介质具体化的指令。

机器可读介质可以由能够以非暂态格式主管数据的存储设备或其他装置提供。在示例中，存储在机器可读介质上或以其他方式提供在机器可读介质上的信息可以表示指令，诸如指令本身或者可以从中导出指令的格式。可以从中导出指令的该格式可以包括源代码、经编码的指令(例如，以压缩或加密的形式)、经封装的指令(例如，分成多个封装)等。表示机器可读介质中的指令的信息可以通过处理电路系统处理成指令来实现本文所讨论的任何操作。例如，从(例如，由处理电路系统进行的处理的)信息中导出指令可以包括：(例如，从源代码、目标代码等)编译、解释、加载、组织(例如，动态地或静态地进行链接)、编码、解码、加密、解密、打包、拆包，或者以其他方式将信息操纵到指令中。

在示例中，指令的推导可以包括(例如，通过处理电路系统)对信息进行汇编、编译、或解释，以从机器可读介质提供的一些中间或预处理的格式创建指令。当信息以多个部分提供时，可以对其进行组合、拆包和修改以创建指令。例如，信息可以处于一个或若干远程服务器上的多个经压缩的源代码封装(或目标代码、或二进制可执行代码等)中。源代码封装可以在通过网络传输时被加密，并且可以在本地机器处被解密、被解压缩、(如果必要的话)被汇编(例如，被链接)，并且被编译或被解释(例如被编译或被解释成库、独立的可执行文件等)，并且由本地机器执行。

图8是图示出根据实施例的操作环境800的图。环境800包括编排器802，其管理边缘节点A 804A和边缘节点B 804B上的工作负荷。每个边缘节点804A、804B可以具有信誉分数。编排器802使用信誉分数来调度工作负荷。

边缘节点804A是一组节点的一部分，这些节点在区块链(区块链BC1)中跟踪彼此的信誉分数。类似地，边缘节点804B是不同组节点的一部分，该不同组节点使用区块链BC2来维护作为区块链成员的节点的信誉分数。区块链组中的每个节点都有信誉分数。

信誉可以基于一个或多个因素，一个或多个因素包括工作负荷的过去性能、性能期间使用的资源遥测、安全评估或反馈。例如，边缘节点可以基于工作负荷执行的跟踪记录来构建信誉分数，这些工作负荷执行落入预期的SLA或KPI参数内，诸如等待时间、抖动、热和使用的功率(瓦特)。除了SLA或KPI参数之外，信誉分数可以反映收集的遥测。遥测可以基于资源利用率(例如，存储器、网络、存储、DMA、指令、高速缓存使用/未命中/命中等)。信誉分数还可以反映经由安全性评估(诸如证明、防病毒扫描等)获得的安全性和弹性特性。弹性特性可能与软件更新、错误检测和回滚、重置和重启行为有关。信誉分数可能与已经由特定的编排调度并已感知到给定的质量的服务或边缘用户提供的反馈有关。该反馈可以基于服务或服务租户的信誉来进行加权。

信誉分数可用于管理与使用特定边缘节点相关联的风险，该特定边缘节点可托管特定服务以处理工作负荷。编排器802可以使用信誉分数来智能地选择用于托管服务或执行特定工作负荷的边缘节点。

托管在边缘节点804A、804B上的服务可能具有信任差异，这取决于评价证明证据并获得类似结果的“验证者”的数量。这些验证者节点在本文中被称为边缘信任验证者(ETV)节点806A、806B、……、806N(统称为806)。每个ETV节点806可以具有基于所发现的安全性漏洞数量的跟踪记录的信誉分数。因此，ETV节点806基于它们的可靠性和跟踪记录而被信任。此外，边缘节点的位置可能影响其信任级别。

总之，边缘节点804A、804B可以具有信誉分数，其可以至少部分地由ETV节点806确定。边缘节点804A和804B可以充当与区块链相关联的组中的其他节点的ETV节点。ETV节点806中的每一个可以各自具有它们自己的信誉分数，这可以影响边缘节点804A、804B的信誉分数。注意，ETV节点806的信任级别和数量可以根据可用服务随时间演变。区块链可以由特定边缘节点804A、804B的ETV节点806创建和管理。由于对于给定的边缘节点804A、804B，ETV节点806的数量可以随时间改变，因此对于特定边缘位置，相对应的区块链可以随时间演变。

例如，边缘节点A 804A和边缘节点B 804B可以提供相同的服务S1。边缘节点804A可取决于具有ETV节点806(ETVA1–ETVA10)的10节点区块链，其评价并验证边缘节点A 804A处的S1服务。边缘节点804B可取决于具有ETV节点806(ETVA1–ETVA500)的500节点区块链，其评价并验证边缘节点B 804B处的S1服务。

每一个ETV 806可以具有信誉分数，其中信誉用于确定相对应ETV区块链中的成员资格。例如，区块链成员政策可能要求ETV信誉分数阈值>0.98(范围0到1)。对于对共识多数做出贡献的边缘节点804A、804B的每次成功证明评价，提高区块链组中节点的信誉分数。当证明结果未被大多数对等ETV 806证实时，该分数减少。如果信誉分数低于阈值，则ETV节点806可以从区块链中移除。在移除之后，可以调度ETV节点806进行维护或安全性评估。

例如，区块链阈值分数(例如，0.75)建立了置信度值，该置信度值可以与托管站点(例如，边缘节点A 804A)处的服务(S1)相关联。第二区块链可以具有第二阈值分数(例如，0.99)，第二边缘节点B 804B使用该第二阈值分数来建立置信度值。因此，边缘网络服务可以基于证明评价的共识评估而被赋予置信度值。

因此，特定的边缘编排器802可以在边缘节点A 804A处执行请求的服务S1与在边缘节点B 804B处使用相同的服务S1之间进行选择，这取决于哪个提供最合适的成本和风险权衡。运营500节点区块链的成本可能是10节点区块链成本的50倍。但是0.99的置信度分数可以抵消风险的较大部分。例如，如果边缘工作负荷事务的价值为100万美元，那么在0.99置信度下只有10,000美元的风险。但是0.75的置信度分数导致250,000美元的风险；这是240,000美元的差异。如果工作负荷事务的机会成本超过240,000美元，边缘编排器802在边缘节点A 804A上调度工作负荷可能是有益的。

图9示出了提供边缘节点的组件的边缘节点装备供应商，其中每个供应商产生描述所产生的组件的清单。供应商断言声明可能有助于评估包含这些组件的边缘节点的受信任度和信誉。清单被提供给边缘网络部署中的边缘信任验证者(ETV)节点(例如，边缘节点A804A和B 804B)。

图10示出了边缘节点(例如，边缘节点A 804A和B 804B)包含向边缘信任验证者安全地报告证明证据的证明者功能。证明者功能1002可以使用ASIC、FPGA或被配置成用于执行证明的其他硬件来实现。证据包括证明者断言为真的一组声明(与边缘节点的这个实例相关)。

图11示出了边缘节点和边缘节点的供应商都可以断言为制造和部署的边缘节点(例如，边缘节点A 804A和B 804B)的特性的示例声明。一些声明可能对标识制造和部署的组件类别特别有用，诸如供应商、组件类型和版本。其他声明对于将证明者断言的声明与供应商断言的声明进行比较以确定值是否不同有用。根据其制造商的声明，不同的值可能是对部署的边缘节点的未经授权的更改的指示。证明者声明还可包含对生成证据时边缘节点所处的实际状态的断言，并且可指示对于特定边缘工作负荷或SLA(诸如“调试模式”操作)可能更安全或更不安全的操作配置文件。

图12示出了示例信誉日志，针对边缘节点(例如，边缘节点A 804A和B 804B)的特定实例，其包含与影响可信度的边缘节点有关的事件的历史。例如，固件错误、拒绝服务攻击或未能通过合规性检查。

图13示出了示例信誉加权方案，其向信誉日志中的每个条目分配权重，使得确定该事件相对于其他事件的相对重要性。权重的总和等于1，使得特定事件的百分比值被量化。信誉日志是在一段时间内收集的，诸如从1月1日到1月31日。这允许在同一时间段内比较其他边缘节点信誉日志。可以通过将归一化分数W除以归一化分数的绝对值减去时间段(N)期间的事件数来计算设备特定的信誉分数。结果是特定于已部署边缘节点的实例的值。不同的部署节点可能基于它们接收的使用量、暴露给攻击者的程度、接收的资源利用率等而具有不同的值。如果未找到事件，则该值保持为1。如果找到了许多事件，则该值接近于零。

图14示出了从各种边缘节点收集信誉日志的ETV节点，其中边缘节点可以具有相似和不同的声明集。可以根据诸如供应商、固件版本等的各种声明对记录的事件进行分组。应用于组件类别的特定组件的信誉日志事件可用于获得组件或组件类别的信誉分数。ETV可以对多个边缘节点进行采样以获得适合特定组件或组件类别的信誉日志条目。可以通过对来自特定类别的离散边缘节点的分数求平均来找到组件类别的归一化分数。

图15示出了包含边缘节点的区块链网络的边缘网络，其中至少一些节点是ETV节点并且其中ETV节点计算边缘网络中其他边缘节点的信誉分数。ETV节点可以使用分布式共识算法来商定归属于每个边缘节点、边缘节点的组件或组件类别(诸如边缘节点组件的供应商)的分数。商定可包括完全匹配(例如，如果大多数ETV达到相同的分数，诸如0.98，则实现共识)。或者，可以通过将可被聚集在一起的不同分数括起来或装桶化(bucket)的一系列分数来实现共识。例如，ETV1–10可产生分数(0.99、0.98、0.97、0.98、0.97、0.99、0.78、0.69、0.99、0.10)。在该示例中，七个分数彼此在0.02以内，而三个分数差别很大。可以应用允许分数方差(诸如+/-0.02)的阈值策略，如果大多数ETV区块链节点在可容忍的方差内，则ETV将分数发布到区块链。

确保生成日志文件的过程在ETV之间相似的策略还进行了其他考虑。例如，如果ETV-1每天执行一次证明，而ETV-2每小时执行一次，那么将有可能导致分数偏斜的不同数量的日志条目。ETV将同意并一致地应用导致记录事件的流程来解决偏斜。

信誉分数可以基于不同的因素来计算，这些不同的因素包括工作负荷的过去性能、性能期间使用的资源遥测、安全评估、或来自请求者或用户的反馈。当将基于一个因素子集计算的信誉分数与基于不同因素子集计算的信誉分数进行比较时，信誉分数可以被归一化以使得它是可移植且兼容的。在实施例中，信誉分数可以不被归一化，而是替代地使用“安全带”，从而可以公平地比较不同边缘节点或边缘节点组的信誉分数。例如，在分析信誉分数时可以使用+/-0.01的安全带。可以使用安全带的其他值，诸如+/-0.03、+/-0.005等。另外，安全带可以关于阈值对称。例如，安全带可以是+0.01、-0.005。

信任编排可能涉及评估与多个利益相关者相关联的风险，尤其是在不同利益相关者共享或参与共同工作负荷的情况下。信任编排可能需要信任协商，其中参与者相互了解并同意遵守信任评估和缓解措施。信任特性可以与租户相关联，其中编排可以通过跨若干边缘节点804A、804B分配租户特定的资源切片、执行租户特定的操作来创建租户信任上下文(TTC)。

此外，编排器可以提供新接口，该新接口允许应用(“app”)通过经由依靠平台受信任执行环境(TEE)来增加现有平台资源引导器技术(RDT)与边缘计算中的应用的协商，来协商使用安全性作为属性或服务等级(CLOS)的SLA。这允许编排器802动态地划分或管理资源并做出基于策略的决定以分配满足应用SLA的资源。英特尔RDT提供了具有用于高速缓存和存储器监控和分配功能的若干组件特征的框架，包括高速缓存监控技术(CMT)、高速缓存分配技术(CAT)、代码和数据优先级(CDP)、存储器带宽监控(MBM)和存储器带宽分配(MBA)。这些技术使得能够跟踪并控制平台上并发运行的许多应用、容器或VM使用的共享资源，诸如最后一级高速缓存(LLC)和主存储器(DRAM)带宽。RDT可能有助于“嘈杂邻居”检测并有助于减少性能干扰，从而确保复杂环境中关键工作负荷的性能。可以使用安全性特性的粒度，以便允许系统的某些部分基于与应用商定的SLA进行操作(例如，没有加速器的CPU)，并且当工作负荷迁移发生在边缘或云时，这些特性可以适用。

CMT用于通过监控单个线程、应用或VM的最后一级高速缓存(LLC)利用率来提供新的洞察力，CMT改进了工作负荷特征、启用高级资源感知调度决策、帮助“嘈杂邻居”检测并提高性能调试。

CAT提供软件引导的高速缓存容量重新分配，从而使重要的数据中心VM、容器或应用能够从改进的高速缓存容量和减少的高速缓存争用中受益。CAT可用于增强运行时确定性并将重要应用(诸如虚拟交换机或数据平面开发套件(DPDK)数据分组处理应用)从跨工作负荷的各种优先级类别的资源争用中列入优先级。

CDP是CAT的专门扩展。CDP实现对最后一级(L3)高速缓存中的代码和数据放置的单独控制。某些特殊类型的工作负荷可能受益于增加的运行时确定性，从而提高应用性能的可预测性。

可以经由存储器带宽监控(MBM)独立跟踪多个VM或应用，它同时为每个正在运行的线程提供存储器带宽监控。益处包括检测嘈杂邻居、表征和调试带宽敏感应用的性能，以及更有效的非均匀存储器访问(NUMA)感知调度。

MBA能够对工作负荷可用的存储器带宽进行近似和间接控制，从而为系统上存在的“嘈杂邻居”实现新的干扰缓解和带宽整形水平。

与高速缓存监控技术(CMT)、高速缓存分配技术(CAT)、代码和数据优先级(CDP)、存储器带宽监控(MBM)和存储器带宽分配(MBA)类似的其他技术可用于协调、列入优先级，并管理工作负荷。

除了TEE之外，还有其他潜在的工作负荷托管环境，诸如具有DICE(设备身份组合引擎)或其他信任根的FPGA，并且能够将FPGA安全地引导到提供与TEE类似的保护的FPGA安全设备管理器(SDM)中。类似地，GPU、IPU、NPU和通常的xPU可具有安全微控制器、安全引擎或类似的SDM，该类似的SDM使用硬件信任根来引导到安全设备管理器。

图16是图示出根据实施例的控制和数据流程的流程图。在1602，具有区块链能力的边缘节点被划分为各种规模的区块链社区。社区中的边缘节点称为边缘信任验证者(ETV)。

边缘节点可以根据各种策略进行分组。例如，边缘FaaS风格集群可能组织一组节点来专门从事特定功能的分布式计算，诸如视频编码或AI模型训练，或者更传统的蒙特卡罗(Monte Carlo)分析、傅立叶分析等。组节点的其他配置可基于存储位置、池化或地理定位。其他节点根据等待时间特性(诸如与基站或RAN的相对位置)分组。其他通过参与LEO卫星或通过GEO卫星和适用的应用(诸如GPS和时间信标)进行分组。其他分组基于边缘服务(诸如IoT传感器网络)的位置。

在1604，ETV与其对等方合作以使用证明、遥测收集、防病毒扫描等来评估其对等方的信任和信誉。作为另一个示例，ETV可以定期扫描另一ETV的恶意病毒。扫描结果可指示被测ETV由于感染而不太值得信赖。ETV基于他们的评估来建立信誉分数。

存在证明框架，诸如由IETF提供并在https://datatracker.ietf.org/doc/draft-ietf-rats-architecture/中描述的框架。在此类框架中，证明者向验证者报告声明，验证者根据认可(Endorsement)或也包含声明的参考测量来评估证据(包含这些声明)。通过将背书声明与证据声明进行比较，差异确定了与预期值相差的△。可以以统计分布(诸如泊松曲线或显示方差模式的其他分布)的形式理解△。通过获取样本参考遥测并将后续样本与第一样本或参考样本进行比较，可以根据统计分布来理解遥测扫描。安全扫描(例如，防病毒扫描)可以通过比较时间序列上的感染率并观察该感染率的变化来类似地显示统计分布。可以类似地执行并理解性能监控和其他“扫描”。

其他扫描可应用于安全处理器生成的事件日志，从而根据密钥生命周期模型详细说明密钥的状态变化。日志的评估可导致确定密钥生命周期是否遵循预期的动作过程。通过观察一段时间内的动作模式，可以如上所述计算统计分布。

通过对每个离散形式应用中值、平均或加权平均函数来获得可称为边缘节点“信誉”的复合分布，可以理解多个分布的组合。验证者通过随时间收集一系列信誉分数(值)以确定分数的变化是否遵循预期模式来实现对边缘节点的信任。例如，在高度静态的环境中，分数没有变化可能是所预期的。与无变化的偏差(在统计上)决定了验证者在边缘节点或边缘节点集群或网络中具有的“信任”。

ETV社区可以共享对一个或多个“信誉”流的观察，并寻找来自同一边缘节点(被扫描)但由不同ETV观察的差异。该差异可以是代表被扫描节点的双重行为的指示。重复性(不同ETV观察到的关于同一边缘节点的行为差异程度)是可以影响整体信誉分数的另一种信誉收集形式。

在1606处，ETV使用分布式共识方法来商定评估和分数。如上所述，当测试特定ETV的大多数ETV同意结果时，特定ETV的信誉分数基于多数意见来增加或减少。

在1608，区块链策略确定评分阈值，其中评分反映可接受的ETV。阈值是指定分数的预期分布的策略。例如，一段时间内没有变化，或者发生了标准分布的0.5％的变化等。边缘系统操作员可观察操作中的系统一段时间，然后确定特定曲线，根据该曲线评估偏差。表明某事不寻常的偏差点是阈值。

ETV可以将其单个分数贡献给区块链节点，并使用区块链共识算法，建立该值的多个副本，使得攻击者必须妥协并逆转共识以便提供攻击分数。

在1610处，等于或高于阈值的ETV的结果区块链建立了与区块链中所有ETV一致的信誉分数，使得区块链可以广告其集体信誉分数，并高度确信它是区块链中节点行为的实际指示。在更多节点比更少节点更安全的理念下，多个节点的区块链相比更少节点的区块链，可提高其信誉分数。更多的节点可以提供冗余服务、故障转移、分布式处理、地理冗余等。

在1612，边缘节点(例如，ETV节点)可以托管边缘服务S＝(S1,S2,…,Sn)，其中Sx的信誉由区块链信誉分数确定。例如，这些信誉分数可以通过目录或其他服务广告或获得。

在1614，边缘编排器然后可以获得边缘节点信誉作为工作负荷调度计划的一部分。包含适用于工作负荷的信誉范围的SLA然后可以与具有必要信誉的边缘节点匹配。

在1616，编排器调度工作负荷以使用SLA信誉范围内的ETV节点运行工作负荷服务。编排器可以调度同一区块链内的ETV节点或跨多个区块链调度ETV节点。其他性能因素可能有利于在同一区块链ETV社区内进行调度。

在1618，根据SLA执行计划执行工作负荷中的服务。

在1620，ETV在执行日志中记录执行统计(使用的资源、花费的时间、输入/输出参数、进入/退出的状态等)，这可以依靠ETV区块链来确保执行日志的完整性。由于ETV提供有关执行工作负荷的节点的信誉分数的反馈，因此投票、信誉分数、遥测、分析数据或其他信息可以存储在区块链中。

各个ETV可以记录它们各自观察到的关于各个节点的信誉分数。它们可以从多种类型的扫描(遥测、证明、密钥日志等)中记录复合分数。它们可以记录来自多个边缘节点(直到包括区块链或网络中的所有边缘节点)的汇总分数。它们还可以记录一段时间内的一系列分数，并且它们可以记录应用策略的结果，该结果显示随时间与预期分数的偏差。所有记录的值使用区块链共识算法进行完整性保护。通常，这要求大多数节点在将错误值提交到链之前进行妥协。

在1622，工作负荷结果被返回给用户(可能通过返回给编排器)。

图17是图示出根据实施例的用于边缘计算环境中的基于信任的编排的方法1700的流程图。方法1700可以由边缘云中的边缘节点执行，如上面在图1中所讨论的。

在1702，边缘计算环境中的边缘节点接收用于执行工作负荷的指令，该指令来自边缘编排器，边缘节点在用账本管理的边缘节点组中。在实施例中，账本是区块链。在实施例中，边缘节点组与阈值信誉分数相关联，其中边缘节点组中的每个边缘节点要求至少具有阈值信誉分数。

在实施例中，边缘编排器基于边缘节点的信誉分数来选择边缘节点。在进一步的实施例中，边缘编排器将边缘节点与要求最小信誉分数的服务水平协议相匹配，边缘节点信誉分数至少是最小信誉分数。

在1704，在边缘节点处执行工作负荷以产生结果，其中由边缘节点组中的其他边缘节点评估工作负荷的执行以产生边缘节点的信誉分数。

在实施例中，为了产生边缘节点的信誉，其他边缘节点对边缘节点执行证明并且将边缘节点的信誉基于证明。在进一步的实施例中，当其他边缘节点中的大多数同意证明时，增加边缘节点的信誉。

在实施例中，为了产生边缘节点的信誉，其他边缘节点收集边缘节点上的遥测，并且边缘节点的信誉基于收集的遥测。在进一步的实施例中，当其他边缘节点中的大多数同意收集的遥测时，边缘节点的信誉增加。

在实施例中，为了产生边缘节点的信誉，其他边缘节点对边缘节点执行安全扫描并且边缘节点的信誉基于防病毒扫描。在进一步的实施例中，当其他边缘节点中的大多数同意安全扫描时，增加边缘节点的信誉。

在1706，结果被提供给边缘编排器。

在实施例中，方法1700包括当边缘节点的信誉分数低于阈值时从边缘节点组驱逐边缘节点。在进一步的实施例中，阈值被用作边缘节点组中的所有边缘节点的阈值。

应当理解，在本说明书中所描述的功能单元或能力可被称为或标记为组件或模块，从而特别强调其实现方式的独立性。此类组件可由任何数量的软件或硬件形式来具体化。例如，组件或模块可以被实现成硬件电路，该硬件电路包括定制的超大规模集成(VLSI)电路或门阵列、诸如逻辑芯片、晶体管之类的现成的半导体，或其他分立的组件。组件或模块也可被实现在可编程硬件设备中，诸如现场可编程门阵列、可编程阵列逻辑、可编程逻辑器件等。组件或模块也可被实现在由各种类型的处理器所执行的软件中。可执行代码的所标识的组件或模块可以例如包括计算机指令的一个或多个物理或逻辑框，其可被组织成例如对象、过程、或函数。然而，所标识的组件或模块的可执行码不必在物理上在一起，而是可包括存储在不同位置处的不同指令，当这些指令在逻辑上结合在一起时，构成组件或模块，并且为该组件或模块实现所声称的目的。

实际上，可执行代码的组件或模块可以是单条指令或许多指令，并且甚至可以分布在若干不同的代码段上，分布在不同的程序之间以及跨若干存储器设备或处理系统分布。具体而言，所描述的过程的一些方面(诸如代码重写和代码分析)可能在与在其中部署代码的处理系统(例如，在嵌入在传感器或机器人的计算机中)不同的处理系统(例如，在数据中心中的计算机中)上进行。类似地，操作数据在此可被标识并示出在组件或模块内，并且能以任何合适的形式被具体化以及可以被组织在在任何合适类型的数据结构内。操作数据可作为单个数据集被收集，或者可被分布不同的位置上(包括在不同存储设备上)，并且可以至少部分地仅作为系统或网络上的电子信号存在。组件或模块可以是无源或有源的，包括可操作以执行期望功能的代理。

当前所描述的方法、系统和设备实施例的附加示例包括下列非限制性实现方式。下列非限制性示例中的每一个示例可以独立存在，或可以与以下所提供的或遍及本公开的其他示例中的一个或更多示例按照任何排列或组合进行结合。

附加注解与示例

示例1是用于边缘计算环境中的基于信任编排的方法，包括：在边缘计算环境中的边缘节点处接收用于执行工作负荷的指令，该指令来自边缘编排器，该边缘节点位于用账本管理的边缘节点组中；在该边缘节点处执行工作负荷以产生结果，其中工作负荷的执行由边缘节点组中的其他边缘节点评估以产生边缘节点的信誉分数；以及将结果提供给边缘编排器。

在示例2中，示例1的主题包括，其中为了产生边缘节点的信誉，其他边缘节点对边缘节点执行证明并且将边缘节点的信誉基于证明。

在示例3中，示例2的主题包括，其中当其他边缘节点中的大多数同意证明时，增加边缘节点的信誉。

在示例4中，示例1-3的主题包括，其中为了产生边缘节点的信誉，其他边缘节点收集边缘节点上的遥测，并且边缘节点的信誉基于收集的遥测。

在示例5中，示例4的主题包括，其中当其他边缘节点中的大多数同意收集的遥测时，增加边缘节点的信誉。

在示例6中，示例1-5的主题包括，其中为了产生边缘节点的信誉，其他边缘节点对边缘节点执行安全扫描并且将边缘节点的信誉基于防病毒扫描。

在示例7中，示例6的主题包括，其中当其他边缘节点中的大多数同意安全扫描时，增加边缘节点的信誉。

在示例8中，示例1-7的主题包括，其中边缘节点组与阈值信誉分数相关联，其中边缘节点组中的每个边缘节点被要求至少具有阈值信誉分数。

在示例9中，示例1-8的主题包括：当边缘节点的信誉分数低于阈值时，从边缘节点组中驱逐边缘节点。

在示例10中，示例9的主题包括，其中阈值被用作边缘节点组中的所有边缘节点的阈值。

示例11中，示例1-10的主题包括，其中账本是区块链。

在示例12中，示例1-11的主题包括，其中边缘编排器基于边缘节点的信誉分数来选择边缘节点。

在示例13中，示例12的主题包括，其中边缘编排器将边缘节点与要求最小信誉分数的服务水平协议相匹配，边缘节点信誉分数至少是最小信誉分数。

示例14是一种边缘计算系统，包括多个边缘计算节点，该多个边缘计算节点被配置成用于执行示例1至13的方法中的任一方法。

示例15是一种边缘计算节点，能在边缘计算系统中操作，该边缘计算节点包括被配置成用于实现示例1至13的方法中的任一方法的处理电路系统。

示例16是一种边缘计算节点，能作为服务器在边缘计算系统中操作，该边缘计算节点被配置成用于执行示例1至13的方法中的任一方法。

示例17是一种边缘计算节点，能作为客户端在边缘计算系统中操作，该边缘计算节点被配置成用于执行示例1至13的方法中的任一方法。

示例18是一种边缘计算节点，能在边缘计算网络的层中作为聚合节点、网络中枢节点、网关节点或核心数据处理节点来操作，该边缘计算节点被配置成用于执行示例1至13的方法中的任一方法。

示例19是一种边缘计算网络，包括联网组件和处理组件，这些组件被配置成用于提供或操作通信网络，以启用边缘计算系统，从而实现示例1至13的方法中的任一方法。

示例20是一种接入点，包括联网组件和处理组件，这些组件被配置成用于提供或操作通信网络，以启用边缘计算系统，从而实现示例1至13的方法中的任一方法。

示例21是一种基站，包括联网组件和处理组件，这些组件被配置成用于提供或操作通信网络，以启用边缘计算系统，从而实现示例1至13的方法中的任一方法。

示例22是一种路边单元，包括联网组件，该联网组件被配置成用于提供或操作通信网络，以启用边缘计算系统，从而实现示例1至13的方法中的任一方法。

示例23是一种内部服务器，能在不同于公共边缘计算网络的私有通信网络中操作，该服务器被配置成用于启用边缘计算系统，以实现示例1至13的方法中的任一方法。

示例24是一种3GPP 4G/LTE移动无线通信系统，包括联网组件和处理组件，该联网组件和处理组件被配置成用于启用边缘计算系统，以实现示例1至13的方法中的任一方法。

示例25是一种5G网络移动无线通信系统，包括联网组件和处理组件，该联网组件和处理组件被配置成用于启用边缘计算系统，以实现示例1至13的方法中的任一方法。

示例26是一种用户装备设备，包括联网电路系统和处理电路系统，该联网电路系统和处理电路系统被配置成与边缘计算系统连接，该边缘计算系统被配置成用于实现示例1至13的方法中的任一方法。

示例27是一种客户端计算设备，包括处理电路系统，该处理电路系统被配置成用于协调与边缘计算系统的计算操作，该边缘计算系统被配置成用于实现示例1至13的方法中的任一方法。

示例28是一种边缘供应节点，能在边缘计算系统中操作，该边缘计算节点被配置成用于实现示例1至13的方法中的任一方法。

示例29是一种服务编排节点，能在边缘计算系统中操作，该边缘计算节点被配置成用于实现示例1至13的方法中的任一方法。

示例30是一种应用编排节点，能在边缘计算系统中操作，该边缘计算节点被配置成用于实现示例1至13的方法中的任一方法。

示例31是一种多租户管理节点，能在边缘计算系统中操作，该边缘计算节点被配置成用于实现示例1至13的方法中的任一方法。

示例32是一种边缘计算系统，包括处理电路系统，该边缘计算系统被配置成用于操作一个或多个功能和服务以实现示例1至13的方法中的任一方法。

示例33是一种联网硬件，具有实现于其上的网络功能，该联网硬件能在边缘计算系统内操作，该网络功能被配置成用于实现示例1至13的方法中的任一方法。

示例34是一种加速硬件，具有实现于其上的加速功能，该加速硬件能在边缘计算系统中操作，该加速功能被配置成用于实现示例1至13的方法中的任一方法。

示例35是一种存储硬件，具有实现于其上的存储功能，该存储硬件能在边缘计算系统中操作，该存储硬件被配置成用于实现示例1至13的方法中的任一方法。

示例36是一种计算硬件，具有实现于其上的计算功能，该计算硬件能在边缘计算系统中操作，该计算硬件被配置成用于实现示例1至13的方法中的任一方法。

示例37是一种边缘计算系统，适于支持车辆对车辆(V2V)、车辆对外界(V2X)或车辆对基础设施(V2I)场景，该边缘计算系统被配置成用于实现示例1至13的方法中的任一方法。

示例38是一种边缘计算系统，适于根据一种或多种欧洲电信标准协会(ETSI)多接入边缘计算(MEC)规范来进行操作，该边缘计算系统被配置成用于实现示例1至13的方法中的任一方法。

示例39是一种边缘计算系统，适于操作一个或多个多接入边缘计算(MEC)组件，该MEC组件根据欧洲电信标准协会(ETSI)多接入边缘计算(MEC)配置从以下各项中的一项或多项被提供：MEC代理、MEC应用编排器、MEC应用、MEC平台或MEC服务，该MEC组件被配置成用于实现示例1至13的方法中的任一方法。

示例40是一种边缘计算系统，被配置为边缘网格，该边缘计算系统被提供有微服务集群、具有边车的微服务集群、或具有边车的链接的微服务集群，该边缘计算系统被配置成用于实现示例1至13的方法中的任一方法。

示例41是一种边缘计算系统，包括被配置成用于实现在专用硬件、虚拟机、容器、容器上的虚拟机之间提供的一个或多个隔离环境，该边缘计算系统被配置成用于实现示例1至13的方法中的任一方法。

示例42是一种边缘计算服务器，被配置成用于作为企业服务器、路边服务器、街道机柜服务器或电信服务器来操作，该边缘计算服务器被配置成用于实现示例1至13的方法中的任一方法。

示例43是一种边缘计算环境，被配置成利用从以下各项中的一项或多项提供的用例来实现示例1至13的方法中的任一方法：计算迁移、数据高速缓存、视频处理、网络功能虚拟化、无线电接入网络管理、增强现实、虚拟现实、自主驾驶、车辆辅助、车辆通信、工业自动化、零售服务、制造操作、智慧建筑、能源管理、物联网操作、对象检测、语音识别、医疗保健应用、游戏应用或加速的内容处理。

示例44是一种边缘计算系统，包括由多个所有者在不同的地理位置处操作的计算节点，该边缘计算系统被配置成用于实现示例1至13的方法中的任一方法。

示例45是一种云计算系统，包括操作相应的云服务的数据服务器，该相应的云服务被配置成用于与边缘计算系统协调，以用于实现示例1至13的方法中的任一方法。

示例46是一种服务器，包括用于操作微云、微边缘或微应用服务的硬件，该服务被配置成与边缘计算系统协调，以实现示例1至13的方法中的任一方法。

示例47是一种边缘计算系统中的边缘节点，包括具有至少一个处理器和存储器的一个或多个设备，以实现示例1至13的方法中的任一方法。

示例48是一种边缘计算环境中的边缘节点，该边缘节点操作从以下各项之间提供的一个或多个服务：管理控制台服务、遥测服务、供应服务、应用或服务编排服务、虚拟机服务、容器服务、功能部署服务或计算部署服务或者加速管理服务，该一个或多个服务被配置成用于实现示例1至13的方法中的任一方法。

示例49是一组分布式边缘节点，分布在边缘计算系统的网络层之间，该网络层包括靠近边缘、本地边缘、企业边缘、内部边缘、接近边缘、中间边缘或远边缘网络层，该一组分布式边缘节点被配置成用于实现示例1至13的方法中的任一方法。

示例50是一种边缘计算系统的装置，包括：一个或多个处理器、以及包括指令的一个或多个计算机可读介质，该指令在由一个或多个处理器执行时使得一个或多个处理器执行示例1至13的方法中的任一方法。

示例51是一种或多种计算机可读存储介质，包括指令，该指令用于在指令由边缘计算系统的电子设备的一个或多个处理器执行时使得电子设备执行示例1至13的方法中的任一方法。

示例52是一种在边缘计算系统中传输的通信信号，该通信信号用于执行示例1至13的方法中的任一方法。

示例53是一种在边缘计算系统中传输的数据结构，该数据结构包括数据报、分组、帧、片段、协议数据单元(PDU)或消息，该数据结构用于执行示例1至13的方法中的任一方法。

示例54是一种在边缘计算系统中传输的信号，该信号被编码有数据报、分组、帧、片段、协议数据单元(PDU)、消息或数据，该信号用于执行如示例1至13的方法中的任一方法。

示例55是一种在边缘计算系统中传输的电磁信号，该电磁信号携载计算机可读指令，其中，该计算机可读指令由一个或多个处理器的执行使得该一个或多个处理器执行示例1至13的方法中的任一方法。

示例56是一种用于边缘计算系统中的计算机程序，该计算机程序包括指令，其中，程序由边缘计算系统中的处理元件的执行用于使得处理元件执行示例1至13的方法中的任一方法。

示例57是一种边缘计算系统的设备，包括用于执行示例1至13的方法中的任一方法的装置。

示例58是一种边缘计算系统的设备，该边缘计算系统包括用于执行示例1至13的方法中的任一方法的逻辑、模块或电路系统。

示例59是一种被配置成用于边缘计算环境中的基于信任编排的边缘节点，该边缘节点包括：收发机，用于接收用于执行工作负荷的指令，该指令来自边缘编排器，该边缘节点位于用账本管理的边缘节点组中；以及处理器，用于在该边缘节点处执行工作负荷以产生结果，其中工作负荷的执行由边缘节点组中的其他边缘节点评估以产生边缘节点的信誉分数，其中该收发机将结果提供给边缘编排器。

在示例60中，示例59的主题包括，其中为了产生边缘节点的信誉，其他边缘节点对边缘节点执行证明并且将边缘节点的信誉基于证明。

在示例61中，示例60的主题包括，其中当其他边缘节点中的大多数同意证明时，增加边缘节点的信誉。

在示例62中，示例59-61的主题包括，其中为了产生边缘节点的信誉，其他边缘节点收集边缘节点上的遥测，并且边缘节点的信誉基于收集的遥测。

在示例63中，示例62的主题包括，其中当其他边缘节点中的大多数同意收集的遥测时，增加边缘节点的信誉。

在示例64中，示例59-63的主题包括，其中为了产生边缘节点的信誉，其他边缘节点对边缘节点执行安全扫描并且将边缘节点的信誉基于防病毒扫描。

在示例65中，示例64的主题包括，其中当其他边缘节点中的大多数同意安全扫描时，增加边缘节点的信誉。

在示例66中，示例59-65的主题包括，其中边缘节点组与阈值信誉分数相关联，其中边缘节点组中的每个边缘节点被要求至少具有阈值信誉分数。

在示例67中，示例59-66的主题包括，其中当边缘节点的信誉分数低于阈值时，从边缘节点组中驱逐边缘节点。

在示例68中，示例67的主题包括，其中阈值被用作边缘节点组中的所有边缘节点的阈值。

示例69中，示例59-68的主题包括，其中账本是区块链。

在示例70中，示例59-69的主题包括，其中边缘编排器基于边缘节点的信誉分数来选择边缘节点。

在示例71中，示例70的主题包括，其中边缘编排器将边缘节点与要求最小信誉分数的服务水平协议相匹配，边缘节点信誉分数至少是最小信誉分数。

示例72是用于边缘计算环境中的基于信任编排的至少一种机器可读介质，包括指令，该指令在由机器执行时使得机器执行操作，该操作包括：在边缘计算环境中的边缘节点处接收用于执行工作负荷的指令，该指令来自边缘编排器，该边缘节点位于用账本管理的边缘节点组中；在该边缘节点处执行工作负荷以产生结果，其中工作负荷的执行由边缘节点组中的其他边缘节点评估以产生边缘节点的信誉分数；以及将结果提供给边缘编排器。

在示例73中，示例72的主题包括，其中为了产生边缘节点的信誉，其他边缘节点对边缘节点执行证明并且将边缘节点的信誉基于证明。

在示例74中，示例73的主题包括，其中当其他边缘节点中的大多数同意证明时，增加边缘节点的信誉。

在示例75中，示例72-74的主题包括，其中为了产生边缘节点的信誉，其他边缘节点收集边缘节点上的遥测，并且边缘节点的信誉基于收集的遥测。

在示例76中，示例75的主题包括，其中当其他边缘节点中的大多数同意收集的遥测时，增加边缘节点的信誉。

在示例77中，示例72-76的主题包括，其中为了产生边缘节点的信誉，其他边缘节点对边缘节点执行安全扫描并且将边缘节点的信誉基于防病毒扫描。

在示例78中，示例77的主题包括，其中当其他边缘节点中的大多数同意安全扫描时，增加边缘节点的信誉。

在示例79中，示例72-78的主题包括，其中边缘节点组与阈值信誉分数相关联，其中边缘节点组中的每个边缘节点被要求至少具有阈值信誉分数。

在示例80中，示例72-79的主题包括指令，该指令用于：当边缘节点的信誉分数低于阈值时，从边缘节点组中驱逐边缘节点。

在示例81中，示例80的主题包括，其中阈值被用作边缘节点组中的所有边缘节点的阈值。

示例82中，示例72-81的主题包括，其中账本是区块链。

在示例83中，示例72-82的主题包括，其中边缘编排器基于边缘节点的信誉分数来选择边缘节点。

在示例84中，示例83的主题包括，其中边缘编排器将边缘节点与被要求最小信誉分数的服务水平协议相匹配，边缘节点信誉分数至少是最小信誉分数。

示例85是用于边缘计算环境中的基于信任编排的系统，包括：处理器；以及包括指令的存储器，该指令在由处理器执行时使得处理器执行操作，该操作包括：在边缘计算环境中的边缘节点处接收用于执行工作负荷的指令，该指令来自边缘编排器，该边缘节点位于用账本管理的边缘节点组中；在该边缘节点处执行工作负荷以产生结果，其中工作负荷的执行由边缘节点组中的其他边缘节点评估以产生边缘节点的信誉分数；以及将结果提供给边缘编排器。

在示例86中，示例85的主题包括，其中为了产生边缘节点的信誉，其他边缘节点对边缘节点执行证明并且将边缘节点的信誉基于证明。

在示例87中，示例86的主题包括，其中当其他边缘节点中的大多数同意证明时，增加边缘节点的信誉。

在示例88中，示例85-87的主题包括，其中为了产生边缘节点的信誉，其他边缘节点收集边缘节点上的遥测，并且边缘节点的信誉基于收集的遥测。

在示例89中，示例88的主题包括，其中当其他边缘节点中的大多数同意收集的遥测时，增加边缘节点的信誉。

在示例90中，示例85-89的主题包括，其中为了产生边缘节点的信誉，其他边缘节点对边缘节点执行安全扫描并且将边缘节点的信誉基于防病毒扫描。

在示例91中，示例90的主题包括，其中当其他边缘节点中的大多数同意安全扫描时，增加边缘节点的信誉。

在示例92中，示例85-91的主题包括，其中边缘节点组与阈值信誉分数相关联，其中边缘节点组中的每个边缘节点被要求至少具有阈值信誉分数。

在示例93中，示例85-92的主题包括，其中当边缘节点的信誉分数低于阈值时，从边缘节点组中驱逐边缘节点。

在示例94中，示例93的主题包括，其中阈值被用作边缘节点组中的所有边缘节点的阈值。

示例95中，示例85-94的主题包括，其中账本是区块链。

在示例96中，示例85-95的主题包括，其中边缘编排器基于边缘节点的信誉分数来选择边缘节点。

在示例97中，示例96的主题包括，其中边缘编排器将边缘节点与要求最小信誉分数的服务水平协议相匹配，边缘节点信誉分数至少是最小信誉分数。

示例98是用于边缘计算环境中的基于信任编排的设备，该设备包括：用于在边缘计算环境中的边缘节点处接收用于执行工作负荷的指令的装置，该指令来自边缘编排器，该边缘节点位于用账本管理的边缘节点组中；用于在该边缘节点处执行工作负荷以产生结果的装置，其中工作负荷的执行由边缘节点组中的其他边缘节点评估以产生边缘节点的信誉分数；以及用于将结果提供给边缘编排器的装置。

在示例99中，示例98的主题包括，其中为了产生边缘节点的信誉，其他边缘节点对边缘节点执行证明并且将边缘节点的信誉基于证明。

在示例100中，示例99的主题包括，其中当其他边缘节点中的大多数同意证明时，增加边缘节点的信誉。

在示例101中，示例98-100的主题包括，其中为了产生边缘节点的信誉，其他边缘节点收集边缘节点上的遥测，并且边缘节点的信誉基于收集的遥测。

在示例102中，示例101的主题包括，其中当其他边缘节点中的大多数同意收集的遥测时，增加边缘节点的信誉。

在示例103中，示例98-102的主题包括，其中为了产生边缘节点的信誉，其他边缘节点对边缘节点执行安全扫描并且将边缘节点的信誉基于防病毒扫描。

在示例104中，示例103的主题包括，其中当其他边缘节点中的大多数同意安全扫描时，增加边缘节点的信誉。

在示例105中，示例98-104的主题包括，其中边缘节点组与阈值信誉分数相关联，其中边缘节点组中的每个边缘节点被要求至少具有阈值信誉分数。

在示例106中，示例98-105的主题包括，用于当边缘节点的信誉分数低于阈值时，从边缘节点组中驱逐边缘节点的装置。

在示例107中，示例106的主题包括，其中阈值被用作边缘节点组中的所有边缘节点的阈值。

示例108中，示例98-107的主题包括，其中账本是区块链。

在示例109中，示例98-108的主题包括，其中边缘编排器基于边缘节点的信誉分数来选择边缘节点。

在示例110中，示例109的主题包括，其中边缘编排器将边缘节点与要求最小信誉分数的服务水平协议相匹配，边缘节点信誉分数至少是最小信誉分数。

示例111是包括指令的至少一种机器可读介质，该指令在被处理电路系统执行时，使得该处理电路系统执行操作以实现示例1-110中的任一项。

示例112是一种设备，包括用于实现示例1-110中的任一项的装置。

示例113是一种用于实现示例1-110中的任一项的系统。

示例114是一种用于实现示例1-110中的任一项的方法。

另一种示例实现方式是一种边缘计算系统，该边缘计算系统包括用于调用或执行示例1-13的操作的相应边缘处理设备和节点、或者本文中所描述的其他主题。

另一示例实现方式是一种客户端端点节点，该客户端端点节点可操作以用于调用或执行示例1-13的操作、或者本文中所描述的其他主题。

另一示例实现方式是一种处于边缘计算系统内或耦合至边缘计算系统的聚合节点、网络中枢节点、网关节点、或核心数据处理节点，该聚合节点、网络中枢节点、网关节点、或核心数据处理节点可操作以用于调用或执行示例1-13的操作、或者本文中所描述的其他主题。

另一示例实现方式是一种处于边缘计算系统内或耦合至边缘计算系统的接入点、基站、路边单元、或内部单元，该接入点、基站、路边单元、或内部单元可操作以用于调用或执行示例1-13的操作、或者本文中所描述的其他主题。

另一示例实现方式是一种处于边缘计算系统内或耦合至边缘计算系统的边缘供应节点、服务编排节点、应用编排节点、或多租户管理节点，该边缘供应节点、服务编排节点、应用编排节点、或多租户管理节点可操作以用于调用或执行示例1-13的操作、或者本文中所描述的其他主题。

另一示例实现方式是一种处于边缘计算系统内或耦合至边缘计算系统的边缘节点，该边缘节点操作边缘供应服务、应用或服务编排服务、虚拟机部署、容器部署、功能部署、以及计算管理，该边缘节点可操作以用于调用或执行示例1-13的操作、或者本文中所描述的其他主题。

另一示例实现方式是一种边缘计算系统，该边缘计算系统包括网络功能、加速功能、加速硬件、存储硬件、或计算硬件资源的各方面，该边缘计算系统可操作以使用示例1-13或本文中所描述的其他主题来调用或执行本文中所讨论的用例。

另一示例实现方式是一种边缘计算系统，该边缘计算系统适于支持客户端移动性、车辆对车辆(V2V)、车辆对外界(V2X)、或车辆对基础设施(V2I)场景，并且任选地根据欧洲电信标准协会(ETSI)多接入边缘计算(MEC)规范来进行操作，该边缘计算系统可操作以使用示例1-13或本文中所描述的其他主题来调用或执行本文中所讨论的用例。

另一示例实现方式是一种边缘计算系统，该边缘计算系统适于移动无线通信，包括根据3GPP 4G/LTE或5G网络能力的配置，该边缘计算系统可操作以使用示例1-13或本文中所描述的其他主题来调用或执行本文中所讨论的用例。

另一示例实现方式是一种边缘计算节点，该边缘计算节点可在边缘计算网络的层中或在边缘计算系统中作为聚合节点、网络中枢节点、网关节点、或核心数据处理节点操作，可在靠近边缘、本地边缘、企业边缘、内部边缘、接近边缘、中间、边缘、或远边缘网络层中操作，或者可在具有共同等待时间、定时、或距离特性的节点集合中操作，该边缘计算节点可操作以使用示例1-13或本文中所描述的其他主题来调用或执行本文中所讨论的用例。

另一示例实现方式是一种联网硬件、加速硬件、存储硬件、或计算硬件，具有在其上实现的能力，该联网硬件、加速硬件、存储硬件、或计算硬件可在边缘计算系统中操作以使用示例1-13或本文中所描述的其他主题来调用或执行本文中所讨论的用例。

另一示例实现方式是一种边缘计算环境，被配置成使用示例1-13或本文中所描述的其他主题来执行从以下各项中的一项或多项提供的用例：计算迁移、数据高速缓存、视频处理、网络功能虚拟化、无线电接入网络管理、增强现实、虚拟现实、工业自动化、零售服务、制造操作、智慧建筑、能源管理、自主驾驶、车辆辅助、车辆通信、物联网操作、对象检测、语音识别、医疗保健应用、游戏应用、或加速的内容处理。

另一示例实现方式是一种边缘计算系统的设备，包括：一个或多个处理器、以及一种或多种计算机可读介质，该一种或多种计算机可读介质包括指令，这些指令在由一个或多个处理器执行时使得该一个或多个处理器使用示例1-13或本文中所描述的其他主题来执行本文中所讨论的用例。

另一示例实现方式是一种或多种计算机可读存储介质，包括指令，这些指令用于在由电子设备的一个或多个处理器对这些指令执行时使得边缘计算系统的电子设备用于使用示例1-13或本文中所描述的其他主题来调用或执行本文中所讨论的用例。

另一示例实现方式是一种边缘计算系统的设备，包括用于使用示例1-13或本文中所描述的其他主题来调用或执行本文中所讨论的用例的装置、逻辑、模块或电路系统。

虽然已经参考特定示例性方面描述了这些实现方式，但将显而易见的是，可在不背离本发明的较宽范围的情况下对这些方面作出各种修改和改变。本文中所描述的布置和过程中的许多布置和过程可以与用于提供更大的带宽/吞吐量的实现方式以及用于支持可以使其可用于被服务的边缘系统的边缘服务选择的实现方式组合或并行地使用。相应地，说明书和附图应当被认为是说明性的，而不是限制性意义的。形成本文的部分的所附附图以说明性而并非限制性方式示出主题可在其中被实施的特定方面。足够详细地描述了所图示的方面以使本领域的技术人员能够实施本文中所公开的教导。可利用并由此推导出其他方面，以使得可在不背离本公开的范围的情况下作出结构的和逻辑的替换和改变。因此，该具体实施方式不是在限制性的意义上进行的，并且各个方面的范围仅由所附权利要求书以及此类权利要求书所授权的等效方案完整范围来限定。

可在本文中单独地和/或共同地引用发明性主题的此类方面，如果实际上公开了多于一个方面或发明性概念，则这仅仅是为方便起见而并不旨在主动将本申请的范围限于任何单个方面或发明性概念。由此，虽然在本文中已经图示并描述了特定方面，但应当领会，预计能够实现相同目的的任何布置可替换所示的特定方面。本公开旨在涵盖各个方面的任何以及全部修改或变体。在回顾以上描述时，以上各方面和本文中未具体描述的其他方面的组合就对于本领域内技术人员而言将是显而易见的。

Claims (24)

1.一种被配置成用于边缘计算环境中的基于信任编排的边缘节点，所述边缘节点包括：

收发机，用于接收用于执行工作负荷的指令，所述指令来自边缘编排器，所述边缘节点位于用账本管理的边缘节点组中；以及

处理器，用于在所述边缘节点处执行所述工作负荷以产生结果，其中所述工作负荷的执行由所述边缘节点组中的其他边缘节点评估以产生所述边缘节点的信誉分数，

其中所述收发机用于将所述结果提供给所述边缘编排器。

2.如权利要求1所述的边缘节点，其特征在于，为了产生所述边缘节点的信誉，所述其他边缘节点对所述边缘节点执行证明并且将所述边缘节点的信誉基于所述证明。

3.如权利要求2所述的边缘节点，其特征在于，当所述其他边缘节点中的大多数同意所述证明时，增加所述边缘节点的信誉。

4.如权利要求1所述的边缘节点，其特征在于，为了产生所述边缘节点的信誉，所述其他边缘节点收集所述边缘节点上的遥测，并且所述边缘节点的信誉基于收集的遥测。

5.如权利要求4所述的边缘节点，其特征在于，当所述其他边缘节点中的大多数同意所述收集的遥测时，增加所述边缘节点的信誉。

6.如权利要求1所述的边缘节点，其特征在于，为了产生所述边缘节点的信誉，所述其他边缘节点对所述边缘节点执行安全扫描并且将所述边缘节点的信誉基于防病毒扫描。

7.如权利要求6所述的边缘节点，其特征在于，当所述其他边缘节点中的大多数同意所述安全扫描时，增加所述边缘节点的信誉。

8.如权利要求1所述的边缘节点，其特征在于，所述边缘节点组与阈值信誉分数相关联，其中所述边缘节点组中的每个边缘节点被要求至少具有所述阈值信誉分数。

9.如权利要求1所述的边缘节点，其特征在于，当所述边缘节点的信誉分数低于阈值时，从所述边缘节点组中驱逐所述边缘节点。

10.如权利要求9所述的边缘节点，其特征在于，所述阈值被用作所述边缘节点组中的所有边缘节点的阈值。

11.如权利要求1所述的边缘节点，其特征在于，所述账本是区块链。

12.如权利要求1所述的边缘节点，其特征在于，所述边缘编排器基于所述边缘节点的信誉分数来选择边缘节点。

13.如权利要求12所述的边缘节点，其特征在于，所述边缘编排器将所述边缘节点与要求最小信誉分数的服务水平协议相匹配，边缘节点信誉分数至少是所述最小信誉分数。

14.一种用于边缘计算环境中的基于信任编排的系统，包括：

处理器；以及

包括指令的存储器，所述指令在由所述处理器执行时使得所述处理器执行操作，所述操作包括：

在所述边缘计算环境中的边缘节点处接收用于执行工作负荷的指令，所述指令来自边缘编排器，所述边缘节点位于用账本管理的边缘节点组中；

在所述边缘节点处执行所述工作负荷以产生结果，其中所述工作负荷的执行由所述边缘节点组中的其他边缘节点评估以产生所述边缘节点的信誉分数；以及

将所述结果提供给所述边缘编排器。

15.如权利要求14所述的系统，其特征在于，为了产生所述边缘节点的信誉，所述其他边缘节点对所述边缘节点执行证明并且将所述边缘节点的信誉基于所述证明。

16.如权利要求15所述的系统，其特征在于，当所述其他边缘节点中的大多数同意所述证明时，增加所述边缘节点的信誉。

17.如权利要求14所述的系统，其特征在于，为了产生所述边缘节点的信誉，所述其他边缘节点收集所述边缘节点上的遥测，并且所述边缘节点的信誉基于收集的遥测。

18.如权利要求17所述的系统，其特征在于，当所述其他边缘节点中的大多数同意收集的遥测时，增加所述边缘节点的信誉。

19.如权利要求14所述的系统，其特征在于，为了产生所述边缘节点的信誉，所述其他边缘节点对所述边缘节点执行安全扫描并且将所述边缘节点的信誉基于防病毒扫描。

20.如权利要求19所述的系统，其特征在于，当所述其他边缘节点中的大多数同意所述安全扫描时，增加所述边缘节点的信誉。

21.如权利要求14所述的系统，其特征在于，所述边缘节点组与阈值信誉分数相关联，其中所述边缘节点组中的每个边缘节点被要求至少具有所述阈值信誉分数。

22.如权利要求14所述的系统，其特征在于，当所述边缘节点的信誉分数低于阈值时，从所述边缘节点组中驱逐所述边缘节点。

23.如权利要求22所述的系统，其特征在于，所述阈值被用作所述边缘节点组中的所有边缘节点的阈值。

24.用于边缘计算环境中的基于信任编排的至少一种机器可读介质，包括指令，所述指令在由机器执行时使得所述机器执行操作，所述操作包括：

在所述边缘计算环境中的边缘节点处接收用于执行工作负荷的指令，所述指令来自边缘编排器，所述边缘节点位于用账本管理的边缘节点组中；

在所述边缘节点处执行所述工作负荷以产生结果，其中所述工作负荷的执行由所述边缘节点组中的其他边缘节点评估以产生所述边缘节点的信誉分数；以及

将所述结果提供给所述边缘编排器。

Images