CN115373795A - 基于地理围栏的边缘服务控制和认证 - Google Patents

基于地理围栏的边缘服务控制和认证 Download PDF

Info

Publication number
CN115373795A
CN115373795A CN202110870692.5A CN202110870692A CN115373795A CN 115373795 A CN115373795 A CN 115373795A CN 202110870692 A CN202110870692 A CN 202110870692A CN 115373795 A CN115373795 A CN 115373795A
Authority
CN
China
Prior art keywords
edge
geo
services
nodes
node
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202110870692.5A
Other languages
English (en)
Inventor
F·圭姆伯纳特
K·A·杜什
N·M·史密斯
B·麦卡希尔
M·菲利浦
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Intel Corp
Original Assignee
Intel Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Intel Corp filed Critical Intel Corp
Publication of CN115373795A publication Critical patent/CN115373795A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3239Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving non-keyed hash functions, e.g. modification detection codes [MDCs], MD5, SHA or RIPEMD
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/107Network architectures or network communication protocols for network security for controlling access to devices or network resources wherein the security policies are location-dependent, e.g. entities privileges depend on current location or allowing specific operations only from locally connected terminals
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/46Multiprogramming arrangements
    • G06F9/50Allocation of resources, e.g. of the central processing unit [CPU]
    • G06F9/5005Allocation of resources, e.g. of the central processing unit [CPU] to service a request
    • G06F9/5027Allocation of resources, e.g. of the central processing unit [CPU] to service a request the resource being a machine, e.g. CPUs, Servers, Terminals
    • G06F9/5038Allocation of resources, e.g. of the central processing unit [CPU] to service a request the resource being a machine, e.g. CPUs, Servers, Terminals considering the execution order of a plurality of tasks, e.g. taking priority or time dependency constraints into consideration
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/46Multiprogramming arrangements
    • G06F9/50Allocation of resources, e.g. of the central processing unit [CPU]
    • G06F9/5061Partitioning or combining of resources
    • G06F9/5072Grid computing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0643Hash functions, e.g. MD5, SHA, HMAC or f9 MAC
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/50Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using hash chains, e.g. blockchains or hash trees
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/009Security arrangements; Authentication; Protecting privacy or anonymity specially adapted for networks, e.g. wireless sensor networks, ad-hoc networks, RFID networks or cloud networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • H04W12/088Access security using filters or firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/30Security of mobile devices; Security of mobile applications
    • H04W12/37Managing security policies for mobile devices or for controlling mobile applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/63Location-dependent; Proximity-dependent
    • H04W12/64Location-dependent; Proximity-dependent using geofenced areas
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/02Services making use of location information
    • H04W4/021Services related to particular areas, e.g. point of interest [POI] services, venue services or geofences
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45562Creating, deleting, cloning virtual machine instances
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/4557Distribution of virtual machine instances; Migration and load balancing
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45595Network integration; Enabling network access in virtual machine instances
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/10Integrity
    • H04W12/104Location integrity, e.g. secure geotagging

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Power Engineering (AREA)
  • Mathematical Physics (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

讨论了基于地理围栏边缘服务控制和认证的方法、系统和用例,包括具有存储器和耦合到存储器的至少一个处理电路系统的编排系统。处理电路系统被配置成用于执行操作以从提供边缘服务的多个连接节点获得与多个连接节点中的每一个相关联的物理位置信息和资源可用性信息。基于物理位置信息和资源可用性信息来生成边缘到边缘位置图(ELG),该ELG指示可用于执行与边缘工作负荷相关联的多个服务的多个连接节点的子集。为连接节点提供ELG和工作流执行计划以执行多个服务,工作流执行计划包括具有地理围栏策略的元数据。地理围栏策略指定与多个服务中的每一个相关联的地理围栏限制。

Description

基于地理围栏的边缘服务控制和认证
背景技术
一般来说,边缘计算是指对处于较靠近于网络的“边缘”或网络的“边缘”的集合的计算和资源的实现、协调和使用。此种布置的目的在于改善总拥有成本,减少应用和网络等待时间,减少网络回程通信量和相关联的能耗,改善服务能力,并且改善与安全性或数据隐私性要求的顺应性(尤其相较于常规云计算)。可以执行边缘计算操作的组件(“边缘节点”)可以驻留在系统架构或自组织服务所需要的任何位置中(例如,在高性能计算数据中心或云安装中;在规定的边缘节点服务器、企业服务器、路边服务器、电信中央局中;或在消耗边缘服务而被服务的本地或对等的边缘处设备中)。
适于进行边缘计算的应用包括但不限于:传统网络功能的虚拟化(例如,用以操作电信或互联网服务)以及下一代特征和服务的引入(例如,用以支持5G网络服务)。预计广泛地利用边缘计算的用例包括:连接的自驾驶汽车、监测、物联网(IoT)设备数据分析、视频编码和分析、位置知晓的服务、智慧城市中的设备感测、以及许多其他网络和计算密集型服务。
在一些场景中,边缘计算可提供或主控类云分布式服务,该类云分布式服务可为应用和经协调的服务实例提供在许多类型的存储和计算资源之间的编排和管理。随着端点设备、客户端和网关尝试接入更靠近于网络边缘的位置处的网络资源和应用,还预期边缘计算与针对IoT和雾/分布式联网配置开发的现有用例和技术紧密集成。
发生在网络边缘及其附近的若干高级用例和场景也引入了与安全性、处理和网络资源、服务可用性和效率等等许多其他问题有关的数个相对应的技术挑战。一个此类挑战是关于服务控制和选择边缘设备的子集来执行工作负荷以及认证边缘设备以执行与工作负荷相关的服务。
附图说明
在附图中(这些附图不一定是按比例绘制的),同样的数字可描述不同视图中的类似组件。具有不同的字母后缀的相同的数字可表示类似组件的不同实例。在所附附图的图中通过示例的方式而非限制性地图示出一些实施例,其中:
图1示出了针对边缘计算的边缘云配置的概览;
图2示出了端点、边缘云和云计算环境之间的操作层;
图3示出了用于边缘计算系统中的联网和服务的示例方法;
图4示出了在多个边缘节点和多个租户之间操作的边缘计算系统中的虚拟边缘配置的部署;
图5示出了在边缘计算系统中部署容器的各种计算布置;
图6示出了涉及对边缘计算系统中的应用的移动接入的计算和通信用例;
图7A提供用于边缘计算系统中的计算节点处所部署的计算的示例组件的概览;
图7B提供边缘计算系统中的计算设备内的示例组件的进一步的概览;
图8示出了根据示例的使用基于地理围栏的控制和认证(GBCA)管理器执行GBCA功能的边缘即服务(EaaS)架构的框图;
图9示出了根据示例的诸如可以在区块链中实现的分布式账本系统的图;
图10示出了根据示例的被配置成用于执行GBCA功能的多层边缘;
图11示出了根据示例的被配置成用于执行GBCA功能的边缘设备的地理围栏受信任域;
图12示出了根据示例的具有GBCA管理器的边缘设备;
图13示出了根据示例的由边缘节点用于确定地理位置信息的通信链路;
图14示出了根据示例的具有工作负荷执行的示例边缘工作流,该工作负荷执行使用GBCA功能对工作负荷实施地理围栏策略;
图15是根据示例的由编排系统执行的基于GBCA功能的方法的流程图;以及
图16是由边缘计算设备执行的基于GBCA功能的方法的流程图。
具体实施方式
以下实施例一般涉及分布式边缘计算环境中的基于地理围栏的控制和认证(GBCA)管理功能。更具体地,本文讨论的技术使用基于地理围栏的机制来将地理围栏策略与工作负荷而不是与托管环境相关联,以及使用基于地理围栏的机制来认证连接节点以处理数据并执行具有基于地理围栏的限制的服务。网络管理实体(例如,诸如边缘编排器或元编排器之类的网络编排系统)被配置为基于与可用于执行与边缘工作负荷相关联的服务的多个连接节点相关联的物理位置信息和资源可用性信息来生成边缘到边缘位置图(ELG)。在这方面,地理位置信息用于选择连接节点的子集以执行服务来执行边缘工作负荷。此外,将ELG和用于执行服务的工作流执行计划提供给连接节点,其中工作流执行计划包括具有地理围栏策略的元数据,该策略为每个服务指定了地理围栏限制。在这方面,当节点的地理位置信息满足服务的地理围栏限制(例如,地理围栏限制可用于限制某个地理围栏内服务的执行)时,可以认证每个连接节点以执行一个或多个服务。下文至少结合图8-图16提供GBCA功能的附加描述。
图1是示出用于边缘计算的配置的概览的框图100,该配置包括在以下许多示例中被称为“边缘云”的处理层。如图所示,边缘云110共同定位在边缘位置(诸如接入点或基站140、本地处理中枢150、或中央局120),并且因此可以包括多个实体、设备、和装备实例。与云数据中心130相比,边缘云110被定位成更靠近端点(消费者和生产者)数据源160(例如,自主车辆161、用户装备162、商业和工业装备163、视频捕获设备164、无人机165、智能城市和建筑设备166、传感器和IoT设备167等)。在边缘云110中的边缘处提供的计算、存储器、和存储资源对于为由端点数据源160使用的服务和功能提供超低等待时间的响应时间以及减少从边缘云110朝向云数据中心130的网络回程通信量(由此改善能耗和整体网络使用等益处)至关重要。
计算、存储器、和存储是稀缺资源,并且通常根据边缘位置而减少(例如,在消费者端点设备上可用的处理资源比在基站上、在中央局处可用的处理资源更少)。然而,边缘位置越靠近端点(例如,用户装备(UE)),空间和功率通常就越受限。因此,边缘计算尝试通过分配被定位成既在地理上更靠近又在网络接入时间上更靠近的更多的资源来减少网络服务所需的资源量。以该方式,边缘计算尝试在适当的情况下将计算资源带到工作负荷数据,或者,将工作负荷数据带到计算资源。
以下描述了边缘云架构的各方面,该架构涵盖多种潜在的部署,并解决了一些网络运营商或服务提供商在其基础设施中可能具有的限制。这些包括基于边缘位置的各种配置(例如,因为处于基站级别的边缘在多租户场景中可能具有更受限制的性能和能力);基于边缘位置、位置的层、或位置的组可用的计算、存储器、存储、结构、加速等资源的类型的配置;服务、安全性、以及管理和编排能力;以及实现端服务的可用性和性能的相关目标。这些部署可以在网络层中完成处理,取决于等待时间、距离、和定时特征,这些网络层可以被视为“接近边缘”、“靠近边缘”、“本地边缘”、“中间边缘”、或“远边缘”层。
边缘计算是一种开发范式,其中计算在网络的“边缘”处或靠近于网络的“边缘”被执行,典型地通过使用在基站、网关、网络路由器、或更靠近于产生和消耗数据的端点设备的其他设备处实现的计算平台(例如,x86或ARM计算硬件架构)来执行。例如,边缘网关服务器可装配有存储器池和存储资源,以针对连接的客户端设备的低等待时间用例(例如,自主驾驶或视频监测)实时地执行计算。或者作为示例,基站可被扩充有计算和加速资源,以直接为连接的用户装备处理服务工作负荷,而无需进一步经由回程网络传输数据。或者作为另一示例,可用执行虚拟化网络功能并为服务的执行提供计算资源并且为连接的设备提供消费者功能的标准化计算硬件来代替中央局网络管理硬件。在边缘计算网络内,可能存在计算资源“被移动”到数据的服务中的场景,以及其中数据“被移动”到计算资源的场景。或者作为示例,基站计算、加速和网络资源可以提供服务,以通过激活休眠容量(订阅、按需容量)来根据需要扩展工作负荷需求,以管理极端情况、紧急情况或为部署的资源在显著更长的实现的生命周期中提供长寿命。
在一些方面,边缘云110和云数据中心130可以配置有GBCA管理功能111。例如,边缘云110和云数据中心130内的网络管理实体可以配置有GBCA管理器,其使用基于地理围栏的机制将地理围栏策略与工作负荷而不是托管环境相关联,以及使用基于地理围栏的机制认证连接节点以处理数据并执行具有基于地理围栏限制的服务。在一些方面,GBCA管理器可以被配置为在边缘云110和云数据中心130内操作的连接节点(例如,边缘连接节点或诸如通信卫星的非地面连接节点)的一部分。例如,连接节点内的GBCA管理器可以被配置成用于执行以下GBCA管理功能的一项或多项:使用不同技术定期确定地理位置信息(例如,如结合图13所讨论的);解码来自网络管理实体的配置消息,其中配置消息包括具有地理围栏策略的工作流执行计划(例如,指定与服务执行相关联的地理围栏限制以完成边缘工作负荷的地理围栏策略);基于与到其他连接节点的通信链路相关联的多个等待时间模式,确定连接节点的当前地理位置是否违反地理围栏限制;当连接节点的当前地理位置违反地理围栏策略指定的地理围栏限制时,向网络管理实体生成通知并夺取服务的执行。与GBCA管理器相关联的附加功能和技术将结合图8-图16进行讨论。
图2示出了端点、边缘云和云计算环境之间的操作层。具体而言,图2描绘了在网络计算的多个说明性层之间利用边缘云110的计算用例205的示例。这些层从端点(设备和事物)层200开始,该层200访问边缘云110以进行数据创建、分析和数据消费活动。边缘云110可以跨越多个网络层(诸如具有网关、内部(on-premise)服务器、或位于物理上邻近边缘系统中的网络设备(节点215)的边缘设备层210);网络接入层220,该网络接入层220涵盖基站、无线电处理单元、网络中枢、区域数据中心(DC)、或本地网络装备(装备225);以及位于它们之间的任何装备、设备或节点(在层212中,未详细图示出)。边缘云110内和各层之间的网络通信可以经由任何数量的有线或无线介质来实现,包括经由未描绘出的连接性架构和技术。任何通信用例205都可以基于GBCA管理功能111进行配置,该GBCA管理功能111可以由GBCA管理器执行,如结合图8-图16所讨论的。
由于网络通信距离和处理时间约束而导致的等待时间的示例的范围可以从在端点层200之间时的小于一毫秒(ms),在边缘设备层210处的低于5ms到当与网络接入层220处的节点通信时的10到40ms之间。在边缘云110之外是核心网络230层和云数据中心240层,每个层均具有增加的等待时间(例如,在核心网络层230处的50-60ms,在云数据中心层处的100ms或更多ms)。因此,在核心网络数据中心235或云数据中心245处的、具有至少为50至100ms或更多的等待时间的操作将无法完成用例205的许多时间关键的功能。出于说明和对比的目的,提供这些等待时间值中的每一个等待时间值;应当理解,使用其他接入网络介质和技术可以进一步降低等待时间。在一些示例中,相对于网络源和目的地,网络的各个部分可以被分类为“靠近边缘”、“本地边缘”、“接近边缘”、“中间边缘”或“远边缘”层。例如,从核心网络数据中心235或云数据中心245的角度来看,中央局或内容数据网络可以被视为位于“接近边缘”层内(“接近”云,具有在与用例205的设备和端点通信时的高等待时间值),而接入点、基站、内部服务器或网络网关可以被视为位于“远边缘”层内(“远”离云,具有在与用例205的设备和端点通信时的低等待时间值)。应当理解,构成“靠近”、“本地”、“接近”、“中间”或“远”边缘的特定网络层的其他分类可以基于等待时间、距离、网络跳数或其他可测量的特性,如从网络层200-240中的任一层中的源测量的。
由于多个服务利用边缘云,各种用例205可以在来自传入流的使用压力下访问资源。为了实现低等待时间的结果,在边缘云110内执行的服务在以下方面平衡不同的需求:(a)优先级(吞吐量或等待时间,也指服务水平目标或SLO)和服务质量(QoS)(例如,在响应时间需求方面,自主汽车的通信量可能比温度传感器具有更高的优先级;或者,取决于应用,性能敏感度/瓶颈可能存在于计算/加速器、存储器、存储、或网络资源上);(b)可靠性和复原性(例如,取决于应用,一些输入流需要被作用并且以任务关键型可靠性来路由通信量,而一些其他输入流可以容忍偶尔的故障;以及(c)物理约束(例如,功率、冷却和形状因子)。
这些用例的端到端服务视图涉及服务流的概念,并与事务相关联。事务详细说明了消费服务的实体的整体服务需求,以及资源、工作负荷、工作流、以及业务功能和业务级别需求的相关联的服务。利用所描述的“方面(term)”执行的服务能以某种方式在每层处进行管理,以确保在服务的生命周期期间事务的实时和运行时合同合规性。当事务中的组件缺失其约定的SLA时,系统作为整体(事务中的组件)可以提供以下能力:(1)理解SLA违规的影响,以及(2)增强系统中的其他组件以恢复整体事务SLA,以及(3)实现补救的步骤。
因此,考虑到这些变化和服务特征,边缘云110内的边缘计算能以实时或接近实时的方式向用例205的多个应用(例如,对象跟踪、视频监视、连接的汽车等)提供提供服务和作出响应的能力,并满足这些多个应用的超低等待时间需求。这些优势使全新类别的应用(虚拟网络功能(VNF)、功能即服务(FaaS)、边缘即服务(EaaS)、标准过程等)得以实现,这些应用由于等待时间或其他限制而无法利用传统的云计算。
然而,随着边缘计算的优势,有以下注意事项。位于边缘处的设备通常是资源受约束的,并且因此存在对边缘资源的使用的压力。通常,这是通过对供多个用户(租户)和设备使用的存储器和存储资源的池化来解决的。边缘可能是功率和冷却受约束的,并且因此需要由消耗最多功率的应用来负责功率使用。在这些经池化的存储器资源中可能存在固有的功率性能权衡,因为它们中的许多可能使用新兴的存储器技术,在这些技术中,更多的功率需要更大的存储器带宽。同样,还需要改善的硬件安全性和信任根受信任的功能,因为边缘位置可以是无人(控制)的,并且可能甚至需要经许可的访问(例如,当被容纳在第三方位置时)。在多租户、多所有者、或多访问设置中,此类问题在边缘云110中被放大,此类设置中,由许多用户请求服务和应用,特别是当网络使用动态地波动以及多个利益相关者、用例、和服务的组成改变时。
在更一般的级别上,边缘计算系统可以被描述为涵盖在先前讨论的、在边缘云110(网络层200-240)中操作的层处的任意数量的部署,这些层提供来自客户端和分布式计算设备的协调。一个或多个边缘网关节点、一个或多个边缘聚合节点和一个或多个核心数据中心可以分布在网络的各个层上,以由电信服务提供商(“telco”或“TSP”)、物联网服务提供商、云服务提供商(CSP)、企业实体或任何其他数量的实体或者代表其提供边缘计算系统的实现。可以动态地提供边缘计算系统的各种实现方式和配置,诸如当被编排以满足服务目标时。
与本文提供的示例一致,客户端计算节点可以被具体化为任何类型的端点组件、设备、装置或能够作为数据的生产者或消费者进行通信的另一事物。进一步地,如边缘计算系统中所使用的标签“节点”或“设备”不一定意指此类节点或设备以客户端或代理/仆从/跟随者角色操作;相反,边缘计算系统中的节点或设备中的任一者指代包括分立的和/或连接的硬件或软件配置以促进和/或使用边缘云110的个体实体、节点、或子系统。
由此,边缘云110由网络层210-230中的边缘网关节点、边缘聚合节点或其他边缘计算节点操作并在网络层210-230中的边缘网关节点、边缘聚合节点或其他边缘计算节点内被操作的网络组件和功能特征形成。因此,边缘云110可被具体化为提供边缘计算和/或存储资源的任何类型的网络,这些边缘计算和/或存储资源被定位成接近支持无线电接入网络(RAN)的端点设备(例如,移动计算设备、IoT设备、智能设备等),其在本文中所讨论。换言之,边缘云110可被预想为连接端点设备和传统网络接入点、同时还提供存储和/或计算能力的“边缘”,该“边缘”充当进入到包括移动运营商网络(例如,全球移动通信系统(GSM)网络、长期演进(LTE)网络、5G/6G网络等)的服务提供商核心网络中的入口点。其他类型和形式的网络接入(例如,Wi-Fi、长程无线、包括光学网络的有线网络)也可替代此类3GPP运营商网络被利用或与此类3GPP运营商网络组合来利用。
边缘云110的联网组件可以是服务器、多租户服务器、设备计算设备和/或任何其他类型的计算设备。例如,边缘云110可以是设备计算设备,这些设备计算设备是包括壳体(housing)、箱(case)或外壳(shell)的自包含处理系统。在一些情况下,边缘设备是为特定目的(例如,红绿灯)而呈现在网络中的设备,但是其具有可用于其他目的的处理或其他能力。此类边缘设备可以独立于其他联网设备,并且设置有具有适合其主要目的的形状因子的壳体;但它仍然是可用于不干扰其主要任务的其他计算任务。边缘设备包括物联网设备。设备计算设备可包括用于管理诸如设备温度、振动、资源利用率、更新、功率问题、物理和网络安全之类的本地问题的硬件和软件组件。结合图7B描述用于实现设备计算设备的示例硬件。边缘云110还可以包括一个或多个服务器和/或一个或多个多租户服务器。此类服务器可以实现虚拟计算环境,诸如用于部署虚拟机的管理程序、实现容器的操作系统等。此类虚拟计算环境提供执行环境,在该执行环境中一个或多个应用可以在与一个或多个其他应用隔离的同时执行。
在图3中,(以移动设备、计算机、自主车辆、业务计算装备、工业处理装备的形式的)各种客户端端点310交换特定于端点网络聚合类型的请求和响应。例如,客户端端点310可以通过交换通过内部网络系统332的请求和响应322,经由有线宽带网络获得网络接入。一些客户端端点310(诸如移动计算设备)可以通过交换通过接入点(例如,蜂窝网络塔)334的请求和响应,经由无线宽带网络获得网络接入。一些客户端端点310(诸如自主车辆)可通过街道定位网络系统336经由无线车辆网络获得请求和响应326的网络接入。然而,无论网络接入的类型如何,TSP可以在边缘云110内部署聚合点342、344来聚合通信量和请求。因此,在边缘云110内,TSP可以(诸如在边缘聚合节点340处)部署各种计算和存储资源以提供请求的内容。边缘聚合节点340和边缘云110的其他系统被连接至云或数据中心360,该云或数据中心360使用回程网络350来满足来自云/数据中心对网站、应用、数据库服务器等的更高等待时间请求。边缘聚合节点340和聚合点342、344的附加或合并的实例(包括部署在单个服务器框架上的那些实例)也可以存在于边缘云110或TSP基础设施的其他区域内。在示例实施例中,边缘云110和云或数据中心360结合所公开的技术利用GBCA管理功能111。如结合图8-图16所讨论的,可以由至少一个GBCA管理器执行GBCA管理功能。
图4示出了跨在多个边缘节点和多个租户之间操作的边缘计算系统的虚拟边缘配置的部署和编排。具体而言,图4描绘了边缘计算系统400中的第一边缘节点422和第二边缘节点424的协调,以完成对接入各种虚拟边缘实例的各种客户端端点410(例如,智能城市/建筑系统、移动设备、计算设备、商业/物流系统、工业系统等)的请求和响应。在此,虚拟边缘实例432、434通过接入云/数据中心440(对网站、应用、数据库服务器等有更高等待时间请求)来提供边缘云中的边缘计算能力和处理。然而,边缘云能够协调多个租户或实体的多个边缘节点之间的处理。
在图4的示例中,这些虚拟边缘实例包括:提供给第一租户(租户1)的第一虚拟边缘432,该第一虚拟边缘432提供边缘存储、计算、和服务的第一组合;以及第二虚拟边缘434,提供边缘存储、计算、和服务的第二组合。虚拟边缘实例432、434分布在边缘节点422、424之间,并且可以包括其中从相同或不同的边缘节点满足请求和响应的场景。用于以分布式但协调的方式操作的边缘节点422、424的配置基于边缘供应功能450来发生。用于在多个租户之间为应用和服务提供协调的操作的边缘节点422、424的功能基于编排功能460来发生。在示例实施例中,边缘供应功能450和编排功能可以结合所公开的技术利用GBCA管理功能111。如结合图8-图16所讨论的,可以由GBCA管理器执行GBCA管理功能111。
应当理解,410中的设备中的一些设备是多租户设备,其中租户1可以在租户1‘片’内运行,而租户2可以在租户2片内运行(并且,在进一步的示例中,可能存在附加的租户或子租户;并且每个租户甚至可以对特定特征组具体地享有权利并且在事务上被绑定至特定特征组,一直到对特定的硬件特征具体地享有权利并且在事务上被绑定至特定的硬件特征)。受信任的多租户设备可以进一步包含租户专用的加密密钥,使得密钥和片的组合可以被视为“信任根”(RoT)或租户专用的RoT。可以进一步使用DICE(设备标识组合引擎)架构组成动态计算的RoT,使得单个DICE硬件构建块可用于构造用于对设备能力(诸如现场可编程门阵列(FPGA))进行分层的分层受信任的计算基础上下文。RoT进一步可用于受信任计算上下文,以启用对支持多租赁有用的“扇出”。在多租户环境内,相应的边缘节点422、424可以作为分配给每节点多个租户的本地资源的安全性特征实施点。附加地,租户运行时和应用执行(例如,在实例432、434中)可以用作安全性特征的实施点,该安全性特征创建跨越潜在多个物理主管平台的资源的虚拟边缘抽象。最后,编排实体处的编排功能460可以作为用于沿着租户边界对资源进行列队(marshaling)的安全性特征实施点来操作。
边缘计算节点可划分资源(存储器、中央处理单元(CPU)、图形处理单元(GPU)、中断控制器、输入/输出(I/O)控制器、存储器控制器、总线控制器等),其中,相应的分区可包含RoT能力,并且其中根据DICE模型的扇出和分层可进一步应用于边缘节点。由容器、FaaS引擎、小型服务程序、服务器、或其他计算抽象组成的云计算节点可以根据DICE分层和扇出结构进行分区,以支持每个节点的RoT上下文。因此,跨越设备410、422和440的相应的RoT可以协调分布式受信任计算基础(DTCB)的建立,使得可以建立端到端链接所有要素的租户专用的虚拟受信任安全信道。
此外,应当理解,容器可以具有保护其内容不受先前边缘节点影响的数据或工作负荷特定的密钥。作为容器迁移的一部分,源边缘节点处的舱(pod)控制器可以从目标边缘节点舱控制器获得迁移密钥,其中迁移密钥用于包装容器特定的密钥。当容器/舱迁移到目标边缘节点时,解包裹密钥被暴露给舱控制器,然后舱控制器解密经包裹的密钥。密钥现在可用于对容器特定的数据执行操作。迁移功能可以由适当认证的边缘节点和舱管理器(如上所述)进行选通(gate)。
在进一步的示例中,边缘计算系统被扩展以通过在多所有者、多租户环境中使用容器(提供代码和所需依赖关系的被容纳的、可部署的软件单元)来提供多个应用的编排。多租户编排器可用于执行密钥管理、信任锚管理以及与图4中的受信任的‘片’概念的供应和生命周期相关的其他安全性功能。例如,边缘计算系统可被配置成用于满足来自多个虚拟边缘实例(以及,来自云或远程数据中心)的各种客户端端点的请求和响应。这些虚拟边缘实例的使用可以同时支持多个租户和多个应用(例如,增强现实(AR)/虚拟现实(VR)、企业应用、内容交付、游戏、计算迁移)。此外,虚拟边缘实例内可能存在多种类型的应用(例如,普通应用;等待时间敏感型应用;等待时间关键型应用;用户平面应用;联网应用等)。虚拟边缘实例还可以横跨处于不同地理位置的多个所有者的系统(或,由多个所有者共同拥有或共同管理的相应的计算系统和资源)。
例如,每个边缘节点422、424可以实现容器的使用,诸如使用提供一个或多个容器的组的容器“舱”426、428。在使用一个或多个容器舱的设置中,舱控制器或编排器负责舱中容器的本地控制和编排。根据每个容器的需要对为相应边缘片432、434提供的各种边缘节点资源(例如,存储、计算、服务,用六边形描绘)进行分区。
使用容器舱后,舱控制器监督容器和资源的分区和分配。舱控制器从编排器(例如,编排器460)接收指令,该编排器指示控制器如何最佳地对物理资源进行分区以及在什么持续时间内,诸如通过基于SLA合同接收关键性能指标(KPI)目标。舱控制器确定哪个容器需要哪些资源,以及完成工作负荷和满足SLA需要多久。舱控制器还管理容器生命周期操作,诸如:创建容器、为容器提供资源和应用、协调在分布式应用上一起工作的多个容器之间的中间结果、工作负荷完成时拆除容器等。此外,舱控制器可以充当安全角色,阻止资源分配,直到正确的租户验证或阻止向容器提供数据或工作负荷,直到满足认证结果。
此外,通过使用容器舱,租户边界仍然可以存在,但在容器的每一个舱的上下文中。如果每个租户特定的舱都有租户特定的舱控制器,则将有一个共享舱控制器,该共享舱控制器将合并资源分配请求,以避免典型的资源短缺情况。可提供进一步的控制,以确保舱和舱控制器的认证和可信。例如,编排器460可以向执行认证验证的本地舱控制器提供认证验证策略。如果认证满足第一租户舱控制器而不是第二租户舱控制器的策略,则第二舱可以迁移到确实满足该策略的不同边缘节点。或者,可以允许第一舱执行,并且在第二舱执行之前安装和调用不同的共享舱控制器。
图5示出了在边缘计算系统中部署容器的附加计算布置。作为简化示例,系统布置510、520描述了其中舱控制器(例如,容器管理器511、521和容器编排器531)适于通过经由计算节点(布置510中的520)的执行来启动容器化舱、功能、和功能即服务实例,或适于通过经由计算节点(布置520中的523)的执行来单独地执行容器化虚拟化的网络功能。该布置适于在(使用计算节点537的)系统布置530中使用多个租户,其中容器化舱(例如,舱512)、功能(例如,功能513、VNF 522、VNF 536)、和功能即服务实例(例如,FaaS实例514)在专用于相应的租户的虚拟机(例如,用于租户532的VM 534、用于租户533的VM 535)内被启动(除了执行虚拟化网络功能)。该布置进一步适于在系统布置540中使用,该系统布置540提供容器542、543,或在计算节点544上执行各种功能、应用和功能,如由基于容器的编排系统541所协调。
图5中描绘的系统布置提供了在应用组成方面平等地对待VM、容器和功能的架构(并且得到的应用是这三种组成部分的组合)。每个组成部分可能涉及使用一个或多个加速器(FPGA、ASIC)组件作为本地后端。以此方式,应用可以在多个边缘所有者之间被分割,如由编排器进行协调。
在图5的上下文中,舱控制器/容器管理器、容器编排器和各个节点可以提供安全性实施点。然而,可以编排租户隔离,其中分配给一租户的资源与分配给第二租户的资源是不同的,但是边缘所有者合作以确保资源分配不跨租户边界被共享。或者,资源分配可以跨租户边界而被隔离,因为租户可以允许经由订阅或事务/合同基础的“使用”。在这些上下文中,边缘所有者可以使用虚拟化、容器化、飞地和硬件分区方案来强制执行租赁。其他隔离环境可包括:裸金属(专用)装备、虚拟机、容器、容器上的虚拟机或其组合。
在进一步的示例中,软件定义的或受控的硅硬件以及其他可配置的硬件的各方面可以与边缘计算系统的应用、功能、和服务整合。软件定义的硅可用于基于某一资源或硬件组成部分(例如,通过升级、重新配置或在硬件配置本身内提供新的特征)修复自身或工作负荷的一部分的能力、来确保该组成部分履行合同或服务级别协议的能力。
应当领会,本文讨论的边缘计算系统和布置可适用于涉及移动性的各种解决方案、服务和/或用例。作为示例,图6示出涉及对实现边缘云110的边缘计算系统600中的应用进行的移动访问的简化的车辆计算和通信用例。在该用例中,相应的客户端计算节点610可以被具体化为位于相对应车辆中的车载计算系统(例如,车载导航和/或信息娱乐系统),该车载计算系统在横越道路期间与边缘网关节点620通信。例如,边缘网关节点620可以位于路边机柜中或位于被内置到具有其他的、分开的、机械公共设施的结构中的其他外壳中,路边机柜或其他外壳可以沿着道路、在道路的交叉路口处、或在道路附近的其他位置放置。当相应的车辆沿着道路行驶时,其客户端计算节点610与特定边缘网关设备620之间的连接可以传播,以便为客户端计算节点610保持一致的连接和上下文。同样,移动边缘节点可以在高优先级服务处或根据(多个)底层服务(例如,在无人机的情况下)的吞吐量或等待时间分辨率需求进行聚合。相应的边缘网关设备620包括一定量的处理和存储能力,并且由此,客户端计算节点610的数据的一些处理和/或存储可以在边缘网关设备620的一个或多个边缘网关设备上执行。
边缘网关设备620可以与一个或多个边缘资源节点640通信,这些边缘资源节点被说明性地具体化为位于通信基站642(例如,蜂窝网络的基站)处或在通信基站642(例如,蜂窝网络的基站)中的计算服务器、设备或组件。如上文所讨论,相应的边缘资源节点640包括一定量的处理和存储能力,并且由此,客户端计算节点610的数据的一些处理和/或存储可以在边缘资源节点640上执行。例如,不太紧急或不太重要的数据处理可以由边缘资源节点640执行,而更高的紧急性或重要性的数据处理可以由边缘网关设备620执行(例如,取决于每个组件的能力,或请求中指示紧急性或重要性的信息)。基于数据访问、数据位置或等待时间,当处理活动期间的处理优先级改变时,可在边缘资源节点上继续工作。同样,可配置的系统或硬件资源本身可以(例如,通过本地编排器)被激活,以提供附加的资源来满足新的需求(例如,使计算资源适配到工作负荷数据)。
(多个)边缘资源节点640还与核心数据中心650通信,核心数据中心650可以包括位于中心位置(例如,蜂窝通信网络的中央局)的计算服务器、设备和/或其他组件。核心数据中心650可以为由(多个)边缘资源节点640和边缘网关设备620形成的边缘云110操作提供到全球网络云660(例如,互联网)的网关。另外,在一些示例中,核心数据中心650可以包括一定量的处理和存储能力,并且因此,可以在核心数据中心650上执行用于客户端计算设备的一些数据处理和/或存储(例如,低紧急性或重要性或高复杂性的处理)。
边缘网关节点620或边缘资源节点640可以提供状态型的应用632和地理分布式数据库634的使用。虽然应用632和数据库634被图示出为在边缘云110的层处横向地分布,但将理解,应用的资源、服务、或其他组件可以在整个边缘云中竖直地分布(包括,在客户端计算节点610处执行的应用的一部分,在边缘网关节点620处或边缘资源节点640等处的其他部分)。另外,如前所述,可以存在任何级别上的对等关系以满足服务目标和义务。进一步地,特定客户端或应用的数据可以基于变化的条件(例如,基于加速资源的可用性、跟随汽车移动等)从边缘移动到边缘。例如,基于访问的“衰减率”,可以进行预测,以标识要继续的下一个所有者,或者数据或计算访问何时将不再可行。可以利用这些服务和其他服务来完成保持事务合规性和无损性所需的工作。
在进一步的场景中,容器636(或容器的舱)可以从边缘节点620灵活地迁移到其他边缘节点(例如,620、640等),使得具有应用和工作负荷的容器不需要被重组、重新编译、重新解释以迁移到工作中。但是,在此类设置中,可能应用一些补救或“混乱”的翻译操作。例如,节点640处的物理硬件可能不同于边缘网关节点620,因此,构成容器底部边缘的硬件抽象层(HAL)将被重新映射到目标边缘节点的物理层。这可能涉及某种形式的后期绑定技术,诸如HAL从容器原生格式到物理硬件格式的二进制转换,或者可能涉及映射接口和操作。舱控制器可用于驱动接口映射,作为容器生命周期的一部分,其中包括迁移到不同的硬件环境/从不同的硬件环境迁移。
图6所涵盖的场景可以利用各种类型的移动边缘节点(诸如在车辆(汽车/卡车/电车/火车)或其他移动单元中主管的边缘节点),因为边缘节点将沿着主管它的平台移动到其他地理位置。在车辆对车辆通信的情况下,单个车辆甚至可以充当其他车辆的网络边缘节点,(例如,以执行高速缓存、报告、数据聚合等)。因此,将理解,在各种边缘节点中提供的应用组件可以分布在静态或移动设置中,包括在各个端点设备或边缘网关节点620处的一些功能或操作、在边缘资源节点640处的一些其他功能或操作、以及在核心数据中心650或全球网络云660中的其他功能或操作之间的协调。
在示例实施例中,边缘云110结合所公开的技术利用GBCA管理功能111。GBCA管理功能可以由至少一个GBCA管理器(例如,如边缘资源节点640、边缘网关节点620和核心数据中心650内存在的)执行,如结合图8-图16所讨论的。
在进一步的配置中,边缘计算系统可以通过使用相应的可执行应用和功能来实现FaaS计算能力。在示例中,开发者编写表示一个或多个计算机功能的功能代码(例如,本文中的“计算机代码”),并且该功能代码被上传到由例如边缘节点或数据中心提供的FaaS平台。触发器(诸如例如,服务用例或边缘处理事件)发起利用FaaS平台执行功能代码。
在FaaS的示例中,容器用于提供一个环境,在该环境中执行功能代码(例如,可能由第三方提供的应用)。容器可以是任何隔离执行的实体,诸如进程、Docker容器或Kubernetes容器、虚拟机等。在边缘计算系统内,各种数据中心、边缘、和端点(包括移动)设备被用于按需扩展的“旋转加速(spin up)”功能(例如,激活和/或分配功能动作)。功能代码在物理基础设施(例如,边缘计算节点)设备和底层虚拟化容器上得到执行。最后,容器响应于执行被完成而在基础设施上被“旋转减速”(例如,去激活和/或解除分配)。
FaaS的其他方面可以使边缘功能以服务方式进行部署,包括对支持边缘计算即服务(边缘即服务或“EaaS”)的相应功能的支持。FaaS的附加特征可包括:使客户(例如,计算机代码开发者)仅在其代码被执行时进行支付的粒度计费组件;用于存储数据以供一个或多个功能重新使用的通用数据存储;各个功能之间的编排和管理;功能执行管理、并行性和合并;容器和功能存储器空间的管理;功能可用的加速资源的协调;以及功能在容器之间的分布(包括已经部署或操作的“暖”容器,相对于需要初始化、部署、或配置的“冷”容器)。
边缘计算系统600可包括边缘供应节点644或与边缘供应节点644通信。边缘供应节点644可以将诸如图7B的示例计算机可读指令782的软件,分发到实施本文所述的任何方法的各个接收方。示例边缘供应节点644可以由能够存储软件指令和/或向其他计算设备传输软件指令(例如,代码、脚本、可执行二进制文件、容器、包、压缩文件和/或其衍生物)的以下各项来实现:任何计算机服务器、家庭服务器、内容交付网络、虚拟服务器、软件分发系统、中央设施、存储设备、存储节点、数据设施、云服务等。示例边缘供应节点644的(多个)组件可以位于云中、局域网中、边缘网络中、广域网中、因特网上和/或与(多个)接收方通信耦合的任何其他位置。接收方可以是拥有和/或操作边缘供应节点644的实体的客户、客户端、合作伙伴、用户等。例如,拥有和/或操作边缘供应节点644的实体可以是软件指令(诸如图7B的示例计算机可读指令782)的开发者、销售者和/或许可者(或其客户和/或消费者)。接收方可以是消费者、服务提供商、用户、零售商、OEM等,他们购买和/或许可软件指令以用于使用和/或转售和/或分许可。
在示例中,边缘供应节点644包括一个或多个服务器和一个或多个存储设备。存储设备主控计算机可读指令,诸如图7B的示例计算机可读指令782,如下所述。类似于上述边缘网关设备620,边缘供应节点644的一个或多个服务器与基站642或其他网络通信实体通信。在一些示例中,作为商业事务的一部分,一个或多个服务器响应于将软件指令传送到请求方的请求。可以由软件分发平台的一个或多个服务器和/或经由第三方支付实体来处理对软件指令的交付、销售、和/或许可的支付。服务器使购买者和/或许可者能够从边缘供应节点644下载计算机可读指令782。例如,可以与图7B的示例计算机可读指令782相对应的软件指令可以被下载到示例处理器平台700,该示例处理器平台700用于执行计算机可读指令782以实现本文所描述的方法。
在一些示例中,执行计算机可读指令782的(多个)处理器平台可以物理地位于不同的地理位置、法律管辖区等。在一些示例中,边缘供应节点644的一个或多个服务器周期性地提供、传送和/或强制进行软件指令(例如,图7B的示例计算机可读指令782)的更新以确保改善、补丁、更新等被分发并应用于终端用户设备处实现的软件指令。在一些示例中,计算机可读指令782的不同组件可以从不同的源和/或不同的处理器平台分发;例如,不同的库、插件、组件和其他类型的计算模块,无论是经编译的还是经解释的,都可以从不同的源和/或向不同的处理器平台分发。例如,软件指令的一部分(例如,本身不可执行的脚本)可以从第一源分发,而(能够执行脚本的)解释器可以从第二源分发。
在进一步的示例中,参考当前的边缘计算系统和环境讨论的计算节点或设备中的任一者可以基于图7A和图7B所描绘的组件来实现。相应的边缘计算节点可以被具体化为能够与其他边缘组件、联网组件或端点组件进行通信的设备、装置、计算机或其他“事物”的类型。例如,边缘计算设备可以具体化为个人计算机、服务器、智能手机、移动计算设备、智能设备、车载计算系统(例如,导航系统)、具有外箱、外壳等的自包含设备,或能够执行所述功能的其他设备或系统。
在图7A中描绘的简化示例中,边缘计算节点700包括计算引擎(本文中也称为“计算电路系统”)702、输入/输出(I/O)子系统708、数据存储710、通信电路子系统712,以及任选地,一个或多个外围设备714。在其他示例中,相应的计算设备可以包括其他或附加组件,诸如通常在计算机中发现的那些组件(例如,显示器、外围设备等)。另外,在一些示例中,说明性组件中的一个或多个可被结合到另一组件中,或以其他方式形成另一组件的部分。
计算节点700可被具体化为能够执行各种计算功能的任何类型的引擎、设备、或设备集合。在一些示例中,计算节点700可被具体化为单个设备,诸如集成电路、嵌入式系统、现场可编程门阵列(FPGA)、片上系统(SOC)或其他集成系统或设备。在说明性示例中,计算节点700包括或被具体化为处理器704和存储器706。处理器704可被具体化为能够执行本文中所描述的功能(例如,执行应用)的任何类型的处理器。例如,处理器704可被具体化为(多个)多核处理器、微控制器、处理单元、专门或专用处理单元、或其他处理器或处理/控制电路。
在一些示例中,处理器704可被具体化为、包括或耦合到FPGA、专用集成电路(ASIC)、可重新配置的硬件或硬件电路系统、或用于促进本文中所描述的功能的执行的其他专用硬件。同样在一些示例中,处理器704可以具体化为专用x处理单元(xPU)(也称为数据处理单元(DPU))、基础设施处理单元(IPU)或网络处理单元(NPU)。此类xPU可具体化为独立电路或电路封装、集成在SOC内或与联网电路系统(例如,在智能NIC或增强型智能NIC中)集成、加速电路系统、存储设备或AI硬件(例如,GPU或编程FPGA)。此类xPU可设计成用于接收编程以在CPU或通用处理硬件之外处理一个或多个数据流并执行数据流的特定任务和动作(诸如托管微服务、执行服务管理或编排、组织或管理服务器或数据中心硬件、管理服务网格,或收集和分发遥测数据)。然而,将理解的是,xPU、SOC、CPU和处理器704的其他变体可以彼此协调工作以在计算节点700内并代表计算节点700执行多种类型的操作和指令。
存储器706可被具体化为能够执行本文中所述的功能的任何类型的易失性(例如,动态随机存取存储器(DRAM)等)或非易失性存储器或数据存储。易失性存储器可以是需要维持由该介质存储的数据状态的能力的存储介质。易失性存储器的非限制性示例可包括各种类型的随机存取存储器(RAM),诸如DRAM或静态随机存取存储器(SRAM)。可以在存储模块中使用的一个特定类型的DRAM是同步动态随机存取存储器(SDRAM)。
在示例中,存储器设备是块可寻址存储器设备,诸如基于NAND或NOR技术的那些存储器设备。存储器设备还可包括三维交叉点存储器设备(例如,
Figure BDA0003189013670000191
3D XPointTM存储器)或其他字节可寻址的就地写入非易失性存储器设备。存储器设备可指代管芯本身和/或指代封装的存储器产品。在一些示例中,3D交叉点存储器(例如,
Figure BDA0003189013670000192
3D XPointTM存储器)可包括无晶体管的可堆叠的交叉点架构,其中存储单元位于字线和位线的交点处,并且可单独寻址,并且其中位存储基于体电阻的变化。在一些示例中,存储器706的全部或一部分可以被集成到处理器704中。存储器706可以存储在操作期间使用的各种软件和数据,诸如一个或多个应用、通过(多个)应用、库以及驱动程序操作的数据。
计算电路系统702经由I/O子系统708通信地耦合到计算节点700的其他组件,该I/O子系统708可被具体化为用于促进与计算电路系统702(例如,与处理器704和/或主存储器706)以及计算电路系统702的其他组件的输入/输出操作的电路系统和/或组件。例如,I/O子系统708可被具体化为或以其他方式包括存储器控制器中枢、输入/输出控制中枢、集成传感器中枢、固件设备、通信链路(即,点对点链路、总线链路、线路、电缆、光导、印刷电路板迹线等)和/或用于促进输入/输出操作的其他组件和子系统。在一些示例中,I/O子系统708可以形成片上系统(SoC)的部分,并可与计算电路系统702的处理器704、存储器706、和其他组件中的一个或多个一起被合并到计算电路系统702中。
一个或多个说明性数据存储设备710可被具体化为被配置成用于数据的短期或长期存储的任何类型的设备,诸如例如,存储器设备和电路、存储器卡、硬盘驱动器、固态驱动器或其他数据存储设备。各个数据存储设备710可包括存储数据存储设备710的数据以及固件代码的系统分区。各个数据存储设备710还可以包括一个或多个操作系统分区,该操作系统分区根据例如计算节点700的类型来存储操作系统的数据文件和可执行文件。
通信电路系统712可被具体化为能够实现通过网络在计算电路系统712与其他计算设备(例如,边缘计算系统的边缘网关)之间的进行通信的任何通信电路、设备或其集合。通信电路系统712可以被配置成使用任何一种或多种通信技术(例如,有线或无线通信)和相关联的协议(例如,蜂窝联网协议(诸如3GPP 4G或5G标准)、无线局域网协议(诸如IEEE802.11/
Figure BDA0003189013670000201
)、无线广域网协议,以太网、
Figure BDA0003189013670000202
蓝牙低能量、IoT协议(诸如IEEE802.15.4或
Figure BDA0003189013670000203
)、低功率广域网(LPWAN)或低功率广域网(LPWA)协议等)来实行此类通信。
说明性通信电路系统712包括网络接口控制器(NIC)720,其也被称为主机结构接口(HFI)。NIC 720可被具体化为一个或多个插入式板、子卡、网络接口卡、控制器芯片、芯片组或可由计算节点700用来与另一计算设备(例如,边缘网关节点)连接的其他设备。在一些示例中,NIC 720可被具体化为包括一个或多个处理器的片上系统(SoC)的一部分,或NIC720可被包括在也包含一个或多个处理器的多芯片封装上。在一些示例中,NIC 720可包括均位于NIC 720本地的本地处理器(未示出)和/或本地存储器(未示出)。在此类示例中,NIC720的本地处理器可能能够执行本文中描述的计算电路系统702的功能中的一个或多个功能。附加地,或者在此类示例中,NIC 720的本地存储器可以在板级、插座级、芯片级和/或其他层级上被集成到客户端计算节点的一个或多个组件中。
另外,在一些示例中,相应的计算节点700可以包括一个或多个外围设备714。取决于计算节点700的特定类型,此类外围设备714可包括通常在计算设备或服务器中发现的任何类型的外围设备,诸如音频输入设备、显示器、其他输入/输出设备、接口设备和/或其他外围设备。在进一步的示例中,计算节点700可以由相应的边缘计算节点(无论是客户端、网关或聚合节点)在边缘计算系统或类似形式的设备、计算机、子系统、电路系统或其他组件中。
在更详细的示例中,图7B图示出可以存在于边缘计算节点750中的组件的示例的框图,该组件用于实现本文所描述的技术(例如,操作、过程、方法和方法论)。该边缘计算节点750在被实现为计算设备(例如,移动设备、基站、服务器、网关等)或计算设备(例如,移动设备、基站、服务器、网关等)的一部分时提供节点700的相应组件的更靠近的视图。边缘计算节点750可以包括本文中所引用的硬件或逻辑组件的任何组合,并且该边缘计算节点750可以包括或耦合可用于边缘通信网络或此类网络的组合的任何设备。这些组件可被实现为集成电路(IC)、IC的部分、分立电子器件,或其他模块、指令集、可编程逻辑或算法、硬件、硬件加速器、软件、固件或其适用于边缘计算节点750中的组合,或作为以其他方式被并入在更大的系统的机架内的组件。
边缘计算设备750可包括处理器752形式的处理电路系统,该处理电路系统可以是微处理器、多核处理器、多线程处理器、超低电压处理器、嵌入式处理器、xPU/DPU/IPU/NPU、专用处理单元、专门处理单元,或其他已知的处理元件。处理器752可以是芯片上系统(SoC)的部分,在该SoC中,处理器752和其他组件形成到单个集成电路或单个封装中,诸如,来自加利福尼亚州圣克拉拉市的英特尔公司的爱迪生TM(EdisonTM)或伽利略TM(GalileoTM)SoC板。作为示例,处理器752可包括基于
Figure BDA0003189013670000211
架构酷睿TM(CoreTM)的CPU处理器(诸如QuarkTM、AtomTM、i3、i5、i7、i9或MCU级处理器)、或可从
Figure BDA0003189013670000212
获得的另一此类处理器。然而,可使用任何数量的其他处理器,诸如,可从加利福尼亚州桑尼威尔市的超微半导体公司
Figure BDA0003189013670000213
获得的处理器、来自加利福尼亚州桑尼威尔市的MIPS技术公司的基于
Figure BDA0003189013670000214
的设计、许可自ARM控股有限公司的基于
Figure BDA0003189013670000215
的设计,或从上述各公司的客户、被许可方或采纳方获得的处理器。处理器可包括诸如以下单元:来自
Figure BDA0003189013670000216
公司的A5-A13处理器、来自
Figure BDA0003189013670000217
技术公司的骁龙TM(SnapdragonTM)处理器或来自德州仪器公司的OMAPTM处理器。处理器752和伴随的电路系统可以以单插座形状因子、多插座形状因子或各种其他格式提供,包括有限的硬件配置或包括少于图7B中所示的所有元件的配置。
处理器752可通过互连756(例如,总线)来与系统存储器754通信。可使用任何数量的存储器设备来提供给定量的系统存储器。作为示例,存储器754可以是根据联合电子器件工程委员会(JEDEC)设计的随机存取存储器(RAM),诸如DDR或移动DDR标准(例如,LPDDR、LPDDR2、LPDDR3或LPDDR4)。在特定示例中,存储器组件可符合JEDEC颁布的标准,诸如DDRSDRAM的JESD79F、DDR2 SDRAM的JESD79-2F、DDR3 SDRAM的JESD79-3F、DDR4 SDRAM的JESD79-4A、低功率DDR(LPDDR)的JESD209、LPDDR2的JESD209-2、LPDDR3的JESD209-3和LPDDR4的JESD209-4。此类标准(和类似的标准)可被称为基于DDR的标准,而存储设备的实现此类标准的通信接口可被称为基于DDR的接口。在各种实现方式中,单独的存储器设备可以是任何数量的不同封装类型,诸如单管芯封装(SDP)、双管芯封装(DDP)或四管芯封装(Q17P)。在一些示例中,这些设备可以直接焊接到主板上,以提供较低轮廓的解决方案,而在其他示例中,设备被配置为一个或多个存储器模块,这些存储器模块进而通过给定的连接器耦合至主板。可使用任何数量的其他存储器实现方式,诸如其他类型的存储器模块,例如,不同种类的双列直插存储器模块(DIMM),包括但不限于microDIMM(微DIMM)或MiniDIMM(迷你DIMM)。
为了提供对信息(诸如数据、应用、操作系统等)的持久性存储,存储758还可经由互连756而耦合至处理器752。在示例中,存储758可经由固态盘驱动器(SSDD)来实现。可用于存储758的其他设备包括闪存卡(诸如安全数字(SD)卡、microSD卡、极限数字(xD)图片卡,等等)和通用串行总线(USB)闪存驱动器。在示例中,存储器设备可以是或者可以包括使用硫属化物玻璃的存储器设备、多阈值级别NAND闪存、NOR闪存、单级或多级相变存储器(PCM)、电阻式存储器、纳米线存储器、铁电晶体管随机存取存储器(FeTRAM)、反铁电存储器、包含忆阻器技术的磁阻随机存取存储器(MRAM)、包括金属氧化物基底、氧空位基底和导电桥随机存取存储器(CB-RAM)的电阻式存储器、或自旋转移力矩(STT)-MRAM、基于自旋电子磁结存储器的设备、基于磁隧穿结(MTJ)的设备、基于DW(畴壁)和SOT(自旋轨道转移)的设备、基于晶闸管的存储器设备、或者任何上述或其他存储器的组合。
在低功率实现中,存储758可以是与处理器752相关联的管芯上存储器或寄存器。然而,在一些示例中,存储758可使用微硬盘驱动器(HDD)来实现。此外,附加于或替代所描述的技术,可将任何数量的新技术用于存储758,诸如阻变存储器、相变存储器、全息存储器或化学存储器,等等。
组件可通过互连756进行通信。互连756可包括任何数量的技术,包括工业标准架构(ISA)、扩展ISA(EISA)、外围组件互连(PCI)、外围组件互连扩展(PCIx)、PCI快速(PCIe)或任何数量的其他技术。互连756可以是例如在基于SoC的系统中使用的专有总线。其他总线系统可被包括,诸如内部集成电路(I2C)接口、串行外围设备接口(SPI)接口、点对点接口、以及功率总线,等等。
互连756可将处理器752耦合至收发机766,以便例如与连接的边缘设备762通信。收发机766可使用任何数量的频率和协议,诸如,IEEE 802.15.4标准下的2.4千兆赫兹(GHz)传输,使用如由
Figure BDA0003189013670000231
特别兴趣小组定义的
Figure BDA0003189013670000232
低能量(BLE)标准、或
Figure BDA0003189013670000233
标准,等等。为特定的无线通信协议配置的任何数量的无线电可用于到连接的边缘设备762的连接。例如,无限局域网(WLAN)单元可用于根据电气和电子工程师协会(IEEE)802.11标准实现
Figure BDA0003189013670000234
通信。另外,例如根据蜂窝或其他无线广域协议的无线广域通信可经由无线广域网(WWAN)单元发生。
无线网络收发机766(或多个收发机)可以使用用于不同范围的通信的多种标准或无线电来进行通信。例如,边缘计算节点750可使用基于蓝牙低能量(BLE)或另一低功率无线电的本地收发机与接近的(例如,在约10米内的)设备通信以节省功率。更远的(例如,在约50米内的)连接的边缘设备762可通过
Figure BDA0003189013670000235
或其他中间功率的无线电而联络到。这两种通信技术能以不同的功率水平通过单个无线电发生,或者可通过分开的收发机而发生,分开的收发机例如使用BLE的本地收发机和分开的使用
Figure BDA0003189013670000236
的网格收发机。
无线网络收发机766(例如,无线电收发机)可被包括,以经由局域网协议或广域网协议来与边缘云795中的设备或服务通信。无线网络收发机766可以是遵循IEEE 802.15.4或IEEE 802.15.4g标准等的低功率广域(LPWA)收发机。边缘计算节点750可使用由Semtech和LoRa联盟开发的LoRaWANTM(长距离广域网)在广域上通信。本文中描述的技术不限于这些技术,而使可与实现长距离、低带宽通信(诸如,Sigfox和其他技术)的任何数量的其他云收发机一起使用。进一步地,可使用其他通信技术,诸如在IEEE 802.15.4e规范中描述的时分信道跳。
除了针对如本文中所描述的无线网络收发机766而提及的系统之外,还可使用任何数量的其他无线电通信和协议。例如,收发机766可包括使用扩展频谱(SPA/SAS)通信以实现高速通信的蜂窝收发机。进一步地,可使用任何数量的其他协议,诸如用于中速通信和供应网络通信的
Figure BDA0003189013670000237
网络。收发机766可包括与任何数量的3GPP(第三代合作伙伴计划)规范(诸如在本公开的末尾处进一步详细讨论的长期演进(LTE)和第五代(5G)通信系统)兼容的无线电。网络接口控制器(NIC)768可被包括以提供到边缘云795的节点或到其他设备(诸如(例如,在网格中操作的)连接的边缘设备762)的有线通信。有线通信可提供以太网连接,或可基于其他类型的网络,诸如控制器区域网(CAN)、本地互连网(LIN)、设备网络(DeviceNet)、控制网络(ControlNet)、数据高速路+、现场总线(PROFIBUS)或工业以太网(PROFINET),等等。附加的NIC 768可被包括以实现到第二网络的连接,例如,第一NIC 768通过以太网提供到云的通信,并且第二NIC 768通过另一类型的网络提供到其他设备的通信。
鉴于从设备到另一组件或网络的适用通信类型的多样性,设备使用的适用通信电路可以包括组件764、766、768或770中的任何一个或多个或由组件764、766、768或770中的任何一个或多个来具体化。因此,在各个示例中,用于通信(例如,接收、传送等)的适用装置可由此类通信电路系统来具体化。
边缘计算节点750可以包括或被耦合到加速电路系统764,该加速电路系统764可以由一个或多个人工智能(AI)加速器、神经计算棒、神经形态硬件、FPGA、GPU的布置、一个或多个SoC、一个或多个CPU、一个或多个数字信号处理器、专用ASIC、或被设计用于完成一个或多个专有任务的其他形式的专用处理器或电路系统来具体化。这些任务可以包括AI处理(包括机器学习、训练、推断、和分类操作)、视觉数据处理、网络数据处理、对象检测、规则分析等。这些任务还可包括用于本文档中其他地方讨论的服务管理和服务操作的特定边缘计算任务。
互连756可将处理器752耦合至用于连接附加的设备或子系统的传感器中枢或外部接口770。外部设备可包括传感器772,诸如加速度计、水平传感器、流量传感器、光学光传感器、相机传感器、温度传感器、全球定位系统(GPS)传感器、压力传感器、气压传感器,等等。中枢或接口770可进一步用于将边缘计算节点750连接至致动器774,诸如功率开关、阀致动器、可听声音发生器、视觉警告设备等。
在一些任选的示例中,各种输入/输出(I/O)设备可存在于边缘计算节点750内,或可连接至边缘计算节点750。例如,显示器或其他输出设备784可被包括以显示信息,诸如传感器读数或致动器位置。输入设备786(诸如触摸屏或键区)可被包括以接受输入。输出设备784可包括任何数量的音频或视觉显示形式,包括:简单视觉输出,诸如,二进制状态指示器(例如,发光二极管(LED));多字符视觉输出;或更复杂的输出,诸如,显示屏(例如,液晶显示器(LCD)屏),其具有从边缘计算节点750的操作生成或产生的字符、图形、多媒体对象等的输出。在本系统的上下文中,显示器或控制台硬件可:用于提供边缘计算系统的输出和接收边缘计算系统的输入;用于管理边缘计算系统的组件或服务;标识边缘计算组件或服务的状态、或用于进行任何其他数量的管理或管理功能或服务用例。
电池776可为边缘计算节点750供电,但是在其中边缘计算节点750被安装在固定位置的示例中,该边缘计算节点750可具有耦合至电网的电源,或者电池可以用作备用或用于临时功能。电池776可以是锂离子电池、金属-空气电池(诸如锌-空气电池、铝-空气电池、锂-空气电池),等等。
电池监测器/充电器778可被包括在边缘计算节点750中以跟踪电池776(如果包括的话)的充电状态(SoCh)。电池监测器/充电器778可用于监测电池776的其他参数以提供失效预测,诸如电池776的健康状态(SoH)和功能状态(SoF)。电池监测器/充电器778可包括电池监测集成电路,诸如来自线性技术公司(Linear Technologies)的LTC4020或LTC2990、来自亚利桑那州的凤凰城的安森美半导体公司(ON Semiconductor)的ADT7488A、或来自德克萨斯州达拉斯的德州仪器公司的UCD90xxx族的IC。电池监测器/充电器778可通过互连756将关于电池776的信息传递至处理器752。电池监测器/充电器778也可包括使处理器752能够直接监测电池776的电压或来自电池776的电流的模数(ADC)转换器。电池参数可被用于确定边缘计算节点750可执行的动作,诸如传输频率、网格网络操作、感测频率,等等。
功率块780或耦合至电网的其他电源可与电池监测器/充电器778耦合以对电池776充电。在一些示例中,功率块780可用无线功率接收机代替,以便例如通过边缘计算节点750中的环形天线来无线地获得功率。无线电池充电电路(诸如来自加利福尼亚州的苗比达市的线性技术公司的LTC4020芯片,等等)可被包括在电池监测器/充电器778中。可以基于电池776的尺寸并且因此基于所要求的电流来选择特定的充电电路。可使用由无线充电联盟(Airfuel Alliance)颁布的Airfuel标准、由无线电力协会(Wireless PowerConsortium)颁布的Qi无线充电标准、或由无线电力联盟(Alliance for Wireless Power)颁布的Rezence充电标准等等来执行充电。
存储758可包括用于实现本文中公开的技术的软件、固件或硬件命令形式的指令782。虽然此类指令782被示出为被包括在存储器754和存储758中的代码块,但是可以理解,可用例如被建立到专用集成电路(ASIC)中的硬连线电路替换代码块中的任一个。
也在特定示例中,处理器752上的指令782(单独地或与机器可读介质760的指令782结合)可以配置受信任执行环境(TEE)790的执行或操作。在示例中,TEE 790作为处理器752可访问的保护区域来操作,以用于指令的安全执行和对数据的安全访问。例如,可以通过使用
Figure BDA0003189013670000262
软件防护扩展(SGX)或
Figure BDA0003189013670000261
硬件安全扩展、
Figure BDA0003189013670000263
管理引擎(ME)或
Figure BDA0003189013670000264
融合安全可管理性引擎(CSME)来提供TEE 790的各种实现方式以及处理器752或存储器754中伴随的安全区域。安全强化、硬件信任根、和受信任或受保护操作的其他方面可以通过TEE 790和处理器752在设备750中实现。
在示例中,经由存储器754、存储758或处理器752提供的指令782可被具体化为非暂态机器可读介质760,该非暂态机器可读介质760包括用于指导处理器752执行边缘计算节点750中的电子操作的代码。处理器752可通过互连756访问非暂态机器可读介质760。例如,非暂态机器可读介质760可由针对存储758所描述的设备来具体化,或者可包括特定的存储单元,诸如光盘、闪存驱动器或任何数量的其他硬件设备。非暂态机器可读介质760可包括用于指示处理器752执行例如像参照上文中描绘的操作和功能的(多个)流程图和(多个)框图而描述的特定的动作序列或动作流的指令。如本文所适用,术语“机器可读介质”和“计算机可读介质”是可互换的。
在进一步的示例中,机器可读介质也包括任何有形介质,该有形介质能够存储、编码或携带供由机器执行并且使机器执行本公开方法中的任何一种或多种方法的指令,或者该有形介质能够储存、编码或携带由此类指令利用或与此类指令相关联的数据结构。“机器可读介质”因此可包括但不限于固态存储器、光学介质和磁介质。机器可读介质的特定示例包括非易失性存储器,作为示例,包括但不限于:半导体存储器设备(例如,电可编程只读存储器(EPROM)、电可擦除可编程只读存储器(EEPROM)和闪存设备);诸如内部硬盘及可移除盘之类的磁盘;磁光盘;以及CD-ROM和DVD-ROM盘。可使用传输介质,经由网络接口设备,利用若干传输协议中的任何一种协议(例如,超文本传输协议(HTTP)),进一步通过通信网络来传送或接收由机器可读介质具体化的指令。
机器可读介质可以由能够以非暂态格式主管数据的存储设备或其他装置提供。在示例中,存储在机器可读介质上或以其他方式提供在机器可读介质上的信息可以表示指令,诸如指令本身或者可以从中导出指令的格式。可以从中导出指令的该格式可以包括源代码、经编码的指令(例如,以压缩或加密的形式)、经封装的指令(例如,分成多个封装)等。表示机器可读介质中的指令的信息可以通过处理电路系统处理成指令来实现本文所讨论的任何操作。例如,从(例如,由处理电路系统进行的处理的)信息中导出指令可以包括:(例如,从源代码、目标代码等)编译、解释、加载、组织(例如,动态地或静态地进行链接)、编码、解码、加密、解密、打包、拆包,或者以其他方式将信息操纵到指令中。
在示例中,指令的推导可以包括(例如,通过处理电路系统)对信息进行汇编、编译、或解释,以从机器可读介质提供的一些中间或预处理的格式创建指令。当信息以多个部分提供时,可以对其进行组合、拆包和修改以创建指令。例如,信息可以处于一个或若干远程服务器上的多个经压缩的源代码封装(或目标代码、或二进制可执行代码等)中。源代码封装可以在通过网络传输时被加密,并且可以在本地机器处被解密、被解压缩、(如果必要的话)被汇编(例如,被链接),并且被编译或被解释(例如被编译或被解释成库、独立的可执行文件等),并且由本地机器执行。
基于地理围栏的边缘服务控制和认证
本文讨论的技术使用基于地理围栏的机制来执行GBCA管理功能(诸如将地理围栏策略与工作负荷而不是与托管环境相关联),以及用于认证连接节点以处理数据并执行具有基于地理围栏的限制的服务(例如,处理数据)。网络管理实体(例如,诸如边缘编排器或元编排器之类的网络编排系统)被配置为基于与可用于执行与边缘工作负荷相关联的服务的多个连接节点相关联的物理位置信息和资源可用性信息来生成ELG。在这方面,地理位置信息用于选择连接节点的子集以执行一个或多个边缘服务来执行边缘工作负荷。此外,将ELG和执行服务的工作流执行计划提供给连接节点,其中工作流执行计划包括具有地理围栏策略的元数据,该策略为每个服务指定了地理围栏限制。在这方面,当节点的地理位置信息满足服务的地理围栏限制(例如,地理围栏限制可用于限制某个地理围栏内服务的执行)时,可以认证每个连接节点以执行一个或多个服务。类似地,先前已被认证以执行具有基于地理围栏限制的服务的连接节点可以持续监控地理位置信息并在节点的地理位置信息不再满足与服务相关联的地理围栏限制时停止执行服务。结合图8-图16提供了被配置成执行GBCA管理功能的GBCA管理器的进一步描述。
图8示出了根据示例的使用至少一个GBCA管理器(GBCAM)816来执行GBCA功能的边缘即服务(EaaS)架构的框图。EaaS架构800包括客户端计算节点802、804、……、806,其与作为不同边缘层中的节点集群的一部分操作的多个边缘设备(或节点)通信。例如,节点集群808包括与边缘设备层相关联的边缘设备。节点集群810包括与网络接入层相关联的边缘设备,并且节点集群812包括与核心网络层相关联的边缘设备。核心服务器(例如,与核心数据中心相关联的服务器)可以是节点集群812的一部分。全球网络云814可以位于云数据中心层处。GBCAM的更详细的图结合图12示出。
虽然图8中示出了说明性数量的客户端计算节点802、804、……、806、节点集群808、810、812中的边缘设备和全球网络云814,应当理解,EaaS架构800可以在每一层处包括更多或更少的组件、设备或系统。此外,每一层(例如,节点集群808、810和812的层)的组件数量可以在每个较低级别(即,当移近端点时)增加。
与本文提供的示例一致,客户端计算节点802、804、……、806中的每一个可以被具体化为任何类型的端点组件、设备、装置或能够作为数据的生产者或消费者进行通信的“事物”。进一步地,如EaaS架构800中所使用的标签“节点”或“设备”不一定意指此类节点或设备以客户端(主要)角色或另一(次要)角色操作;相反,EaaS架构800中的节点或设备中的任一者指代包括分立的和/或连接的硬件或软件配置以促进或使用边缘云110的各个实体、节点、或子系统。客户端计算节点802、804、……、806可包括在端点(设备和事物)层的计算设备,其访问节点集群808、810、812以进行数据创建、分析和数据消费活动。
在示例实施例中,EaaS架构800可以包括至少一个GBCA管理器816,该GBCA管理器816被配置成用于结合所公开的技术来执行利用GBCA管理功能111。GBCA管理功能可以由如在一个或多个管理节点(例如,节点集群808-812中任一者内的边缘编排器节点或元编排器节点)内和/或一个或多个连接节点(例如,节点集群808-812中任一者内的边缘连接节点或非地面连接节点,如图8所示)内配置的至少一个GBCA管理器来执行,如结合图10-图16所讨论的。
图9示出了根据示例的区块链系统实现900。如所理解的,区块链是一种类型的分布式账本,其维护不断增长的数据记录列表,这些数据记录经过了强化以对抗篡改和修改。“超级账本”通常是指一种基于开源区块链的实现,它定义了区块链节点之间的角色和事务。还可以结合所公开的技术使用其他形式的分布式账本和区块链系统。
如图9所示,公共区块链实现被构造为跟踪区块链910中的块,其中块保存数据或数据和程序。每个块保存区块链参与者921、922、923和924之间的一批单独的“事务”。每个块包括时间戳和将当前块链接到前一个块的链接信息(通常是散列值);该链接信息允许遍历区块链(在任一方向)。因此,由于多个事务的分布式特性和验证,由这些或其他参与者进行的区块链事务930向区块链的添加可被确保具有可追溯性、不变性、可证明性和可靠性。
区块链事务使用分布式散列算法进行完整性保护,该算法要求每个事务处理器(例如,“挖掘器”)同意区块链中的下一块。通过多个挖掘器的共识来实现完整性,每个挖掘器可以访问其账本副本。如果大多数挖掘器同意账本的内容,那么这些同意的内容就成为账本的“真理”;不同意的挖掘器将接受大多数挖掘器的真理(否则,他们将无法运作)。由于攻击者必须危害大多数挖掘器并修改他们的账本副本,因此完整性是可证明的;这是非常困难的(如果不是不可能的话)。
在示例实施例中,区块链参与者921、922、923、924可以是EaaS通信节点(诸如图8中的节点集群808、810和812中的任何节点),以及网络管理实体(诸如边缘编排器或元编排器)。此外,与GBCA管理功能相关联的通信可以作为区块链记录由每个区块链参与者存储或检索。例如,工作流执行计划可以作为区块链记录进行存储、检索和更新,该工作流执行计划包括指定与可以执行以完成边缘工作负荷的多个服务相关联的地理围栏限制的地理围栏策略。
在示例实施例中,区块链事务930由区块链参与者921存储为区块链910的一部分,该区块链参与者921可以是网络管理实体,诸如使用GBCAM来执行本文所讨论的GBCA功能的边缘编排器或元编排器。区块链事务930可以包括边缘到边缘位置图(ELG)932,其可以基于与提供边缘服务的多个连接节点中的每一个相关联并从其接收的资源可用性信息中的物理位置信息来生成(例如,剩余的区块链参与者922、923和924)。区块链参与者921生成ELG932以指示可用于执行与边缘工作负荷相关联的多个服务的多个连接节点的子集。区块链事务930进一步包括工作流执行计划(WEP)934,其指定必须被执行以执行边缘工作负荷的多个服务。在示例实施例中,WEP934包括用于多个服务中的每一个的一个或多个散列值936以及具有地理围栏策略938的元数据。地理围栏策略938可以被配置成用于指定与多个服务中的每一个相关联的地理围栏限制、与和多个服务中的每一个相关地通信的数据相关联的地理围栏限制、用于执行多个服务中的每一个的边缘平台标识等。在示例实施例中,区块链参与者922-924中的每一个都可以读取区块链事务930并使用认证逻辑和一个或多个散列值936来验证记录。在成功验证散列并且确定连接节点在ELG 932内后,此类连接节点可以进一步确定连接节点是否满足由地理围栏策略938指定的地理围栏限制。更具体地,连接节点可以确定其地理位置以及此类地理位置是否满足地理围栏策略938中的地理围栏限制。在成功确定满足地理围栏限制后,连接节点可以继续执行由WEP 934指定的一个或多个服务。
尽管图9示出了区块链系统实现,本公开在该方面不受限制并且也可以使用其他类型的分布式账本架构(例如,超级账本结构或其他类型的私有分布式账本)。
图10示出了根据示例的被配置成用于执行GBCA管理功能的多层边缘1000。参考图10,多层边缘1000可以包括组织在不同边缘中的不同类型的连接节点,类似于图8的EaaS架构800。例如,多层边缘1000包括网络层,诸如内部边缘1004、外部边缘1006、近边缘1008和中央局或区域云1010。多层边缘1000的网络层中的每一个与诸如边缘编排器(EO)之类的网络管理实体相关联。例如,内部边缘1004、外部边缘1006、近边缘1008和中央局或区域云1010包括一个或多个具有相对应GBCAM 1020、1022、1024和1026的连接节点。在一些方面,内部边缘1004、外部边缘1006、近边缘1008和中央局或区域云1010内的每个连接节点包括各自的GBCAM。此外,相对应的边缘编排器1012、1014、1016和1018也配置有相对应的GBCAM1028、1030、1032和1034。
在示例实施例中,边缘编排器1012、1014、1016和1018中的每一个可以由元编排器(MO)1002配置和管理。元编排器1002可以配置有GBCAM 1036。在示例实施例中,边缘编排器以及图10中所示的元编排器可以配置成由多个网络管理节点执行的分布式编排器功能。
在示例实施例中,边缘编排器1012-1018和元编排器1002内的GBCAM被配置成用于执行GBCA管理功能,诸如结合图15讨论的功能。在示例实施例中,内部边缘1004、外部边缘1006、近边缘1008和中央局或区域云1010内的连接节点内的GBCAM被配置成用于执行GBCA管理功能,诸如结合图16讨论的功能。结合图12、图13和图14讨论了它可以执行的GBCAM和GBCA功能的更详细说明。
图11示出了根据示例的被配置成用于执行GBCA功能的边缘设备的地理围栏受信任域。参考图11,地理围栏受信任域1100包括提供边缘服务的多个连接节点,诸如与信任覆盖1107(例如,基于安全有线或无线通信链路)相关联的边缘设备1102、1104和1106。信任覆盖1107还可以基于边缘设备1102-1106中的每一个采用的公共地理围栏限制。
在示例实施例中,边缘设备1102-1106中的每一个包括多种类型的天线,诸如用于与地面连接节点(例如,固定无线设备)1120以及非地面连接节点1116和1118通信的天线1114。在示例实施例中,非地面连接节点1116和1118分别包括低地球轨道(LEO)卫星和地球同步赤道轨道(GEO)卫星。
在示例实施例中,边缘设备1102、1104和1106可以分别包括GBCAM 1108、GBCAM1110和GBCAM 1112。用于执行GBCA管理功能的GBCAM的更详细的图结合图12示出。
地面连接节点1120、非地面连接节点1116和1118、边缘设备1102-1106都可以与地理围栏受信任域1100相关联。更具体地,连接节点1120、非地面连接节点1116和1118以及边缘设备1102-1106中的每一个可以具有在预配置地理围栏内的地理位置。此外,地理围栏受信任域1100内的每个设备可以存储受信任伙伴表,该表具有到地理围栏受信任域1100内的一个或多个其他设备的访问等待时间。结合图12讨论了示例受信任伙伴表1217及其用于定期验证设备地理位置的用途。存储在受信任伙伴表中的访问等待时间基于预配置的设备地理位置(例如,在地理围栏受信任域1100由网络管理实体(诸如编排器)配置时)。在这方面,如果设备更改其地理位置,则存储在由此类设备的GBCAM管理的受信任伙伴表中的访问等待时间将与设备更改其地理位置后测量的等待时间不相对应。因此,连接节点可以测量到受信任域内其他节点的等待时间,并将这些等待时间与存储在受信任伙伴表中的等待时间进行比较,以确认设备的初始地理位置并确定设备是否已移出地理围栏的受信任域。此类信息将有助于确定设备是否可以执行具有地理围栏策略(例如,如与工作流执行计划一起接收的)指定的地理围栏限制的服务。
在示例实施例中,可以通过根据多个位置源获得共识协议(与区块链共识算法相关联)使用区块链来建立/提高设备地理位置的可信度。可以通过多个LEO卫星和/或通过多个GEO卫星和/或通过多个基站三角测量和/或通过多个LAN/MAN/WAN或其他RAN技术,使用在具有已知和受信任位置的节点之间的三角测量来建立位置,边缘节点从该节点进行三角测量。区块链共识算法确保存在多个位置的商定阈值,该商定阈值证实一个位置,使得攻击者很难或不可能同时或几乎同时欺骗坐标数据/信号来就欺骗的位置说服大多数区块链节点。任何因此已经确定其位置并被输入到受信任伙伴表中的边缘节点可以是合适的锚节点,从该锚节点为第二边缘节点建立三角测量服务,该第二边缘节点尝试建立位置坐标并且同样地寻求进入可信伙伴表的准入,因为该位置是准许进入所需的。
图12示出了根据示例的具有GBCA管理器的边缘设备。参考图12,边缘设备1200包括具有存储器1204、CPU 1206、地理围栏管理电路1208、卫星连接器1210、GPS定位电路1212、地理围栏验证电路1214、等待时间管理电路1216、阻塞和过滤逻辑1218和网络输入/输出(I/O)电路1220的GBCAM 1202。
存储器1204可以是地理围栏感知存储器,包括用于存储具有地理围栏限制的数据的单独存储器范围(例如,在边缘设备1200的GBCAM 1202与编排器GBCAM 1240之间通信的地理围栏感知数据1236)。此类地理围栏感知数据1236可以包括作为元数据的地理围栏标签或另一种类型的地理围栏限制,其可以与为(例如,如与区块链记录1234一起接收的)工作负荷执行计划内的服务配置的地理围栏限制相对应。例如,地理围栏标签可以指定可以处理数据的特定地理位置或地理位置范围。
地理围栏管理电路1208包括合适的电路系统、逻辑、接口和/或代码,并且被配置成用于基于随工作负荷执行计划接收的散列来执行服务验证以及验证边缘设备1200以执行具有地理围栏限制的服务。卫星连接器1210可用于与对等连接节点通信,诸如非地面连接节点(例如,图11中的LEO或GEO卫星)。GPS定位电路1212包括用于为边缘设备1200提供地理位置信息的电路系统。
地理围栏验证电路1214包括合适的电路系统、逻辑、接口和/或代码,并且被配置成用于确定当前地理位置并验证边缘设备1200的当前地理位置是否满足先前建立的地理围栏限制(例如,为地理围栏受信任域内的多个边缘设备配置的地理围栏限制,如图11所示)。更具体地,地理围栏验证电路1214使用等待时间管理电路1216来访问可存储在存储器1204中的受信任伙伴表1217。如图12中所示,受信任伙伴表1217标识受信任连接节点和相对应的访问等待时间,如果边缘设备1200保持其原始地理位置并且没有移动,则满足这些访问等待时间。地理围栏验证电路1214可以经由网络I/O 1220将测试分组传送到由受信任伙伴表1217标识的受信任连接节点,并确定到此类节点的通信链路上的当前等待时间。如果当前等待时间与受信任伙伴表1217中的等待时间相对应,则地理围栏验证电路1214使用卫星连接器1210与非地面连接节点通信以获得地理位置信息或从GPS定位电路1212获得地理位置信息。地理围栏验证电路1214然后向地理围栏管理电路1208提供边缘设备1200的当前地理位置以及此类地理位置满足来自受信任伙伴表1217的等待时间的指示。
如果当前等待时间不与受信任伙伴表1217中的等待时间相对应,则将相对应的通知连同当前地理位置信息一起提供给地理围栏管理电路1208。地理围栏管理电路1208验证边缘设备1200的当前地理位置仍然满足与服务相关联的地理围栏限制,并且如果满足地理围栏限制则允许执行此类服务。
阻塞和过滤逻辑1218包括合适的电路系统、逻辑、接口和/或代码并且被配置成用于为经由网络I/O 1220或经由地理围栏验证电路1214传送的传入和传出数据提供额外的数据过滤规则(例如,基于地理围栏的数据阻塞和过滤规则)。
在操作中,边缘设备1200可以经由网络I/O 1220与编排器GBCAM 1240通信。例如,与边缘设备1200相关联的地理位置信息1230和资源可用性信息1232被传送到(例如,如结合图15所讨论的)编排器GBCAM 1240或生成ELG的目的。边缘设备1200可以检索(或从编排器GBCAM 1240接收)区块链记录1234,其包括ELG(指示可用于执行与边缘工作负荷相关联的多个服务的多个连接节点的子集)和具有指定与多个服务相关联的地理围栏限制的地理围栏策略的散列和元数据的工作负荷执行计划(WEP)。地理围栏管理电路1208可以使用证明逻辑1222来验证随WEP接收的散列并验证WEP。地理围栏管理电路1208还验证与边缘设备1200的地理位置相关联的任何先前地理围栏限制(例如,验证边缘设备1200尚未移动)以及验证边缘设备1200的地理位置满足与多个服务的一个或多个相关联的地理围栏限制。在成功验证后,CPU 1206可以启动与边缘设备1200满足的地理围栏限制相关联的服务的执行。
周期性地(例如,在服务执行期间动态地),地理围栏管理电路1208可以执行边缘设备1200的当前地理位置的验证以确定该设备是否已经移动以及它是否仍然满足正在被执行的服务的地理围栏限制。如果设备没有移动,则可以继续执行服务,并且可以将成功完成服务的通知1238传送到编排器GBCAM 1240。如果设备已经移动并且不再满足服务的地理围栏限制,边缘设备1200可以停止服务的执行,并且相对应的通知1238被传送到编排器GBCAM 1240。一个示例实施例,边缘设备1200可以通过记录服务执行结果的新区块链记录来更新原始区块链记录1234(例如,由于违反服务地理围栏限制而完成并成功执行服务中断/停止执行服务)。在示例实施例中,地理围栏管理电路1208可以执行边缘设备1200的当前地理位置的验证以确定设备是否已经移动并且基于失败的地理位置验证次数的阈值采取纠正措施(例如,停止服务执行并生成通知)(换句话说,如果地理位置验证在y次验证中至少失败了x次,则执行纠正措施,x和y是正整数)。
图13示出了根据示例的由边缘节点用于确定地理位置信息的通信链路。图13中所示的用于确定地理位置信息的示例技术可由图12中的地理围栏验证电路1214用于确定边缘设备1200的当前地理位置。
参考图13,边缘节点1200可以包括通信天线1301,卫星连接器1210和GPS定位电路1212可以使用该通信天线1301来确定边缘节点1200的当前地理位置。第一地理位置确定技术使用连接节点1302和1304的陆地位置。例如,连接节点1302和1304可以是通信塔并且塔的陆地位置的三角测量(例如,基于塔的固定位置的知识)用于确定边缘节点1200的地理位置。在一些方面,连接节点1302、1304可用于在平面上提供两种可能的结果。如果对象(例如,边缘节点1200)正在移动,则可以使用向量来求解两个可能结果中的哪一个是实际位置。或者,如果设备的位置先前已知并在随后与计算的范围进行比较,则可以使用地面真理来求解实际位置。
第二地理位置确定技术使用由GEO卫星1310提供的地理位置信息或由多个GEO卫星提供的地理位置信息的三角测量。第三地理位置确定技术是由LEO卫星1308提供的地理位置信息或由LEO卫星提供的地理位置信息的三角测量。
第四地理位置确定技术可以使用诸如节点1306的固定连接节点的地理位置信息。到固定节点的通信链路的已知等待时间模式可以用于验证边缘节点1200的位置尚未改变。在一些方面,边缘节点1200可以是具有不改变的已知地理位置信息的固定节点。
图14示出了根据示例的具有工作负荷执行的示例边缘工作流1400,该工作负荷执行使用GBCA管理功能对工作负荷实施地理围栏策略。参考图14,边缘工作流1400可由编排器GBCAM 1412配置以由连接节点1414、1416、1418、1420、1422、1424和1426中的一个或多个执行。如图14所示,连接节点可以位于不同的边缘/集群中,包括内部边缘、访问边缘、近边缘等。
边缘地理围栏面临的挑战之一是了解工作负荷所在的位置。在一些方面,边缘工作负荷可以被划分成许多工作负荷并且分布以供使用许多边缘节点服务来执行。工作流可以在具有多个地面地理位置的多个边缘连接点之间传输,或者可以使用非地面连接点(例如,卫星),这些非地面连接点或者悬停在具有固定地理集合的广谱上(例如,GEO卫星),或者可以将地球覆盖(canvas)在无法轻易避开在地理围栏政策执行方面被视为不可接受的地面位置的低地球轨道上(例如,LEO卫星)。
在一些方面,边缘基础设施(例如,使用编排器GBCAM 1412)基于所公开的技术和操作1402-1410来建立逻辑位置而不是依赖于物理位置。在边缘工作流1400的地理围栏机制的操作1402处,编排器GBCAM 1412收集可用于处理、缓存或传输工作负荷的所有连接节点的物理位置和资源利用信息。编排器GBCAM 1412基于工作负荷执行计划来构建这些点的位置图(例如,蜘蛛图),该工作负荷执行计划估计伴随工作流的实际工作流执行计划(例如,端到端位置图或ELG)的物理性(例如,操作1404)。
在操作1406,编排器GBCAM 1412向可以包括在工作流执行计划中的每个连接节点(例如,包括在ELG中的节点)提供地理围栏访问控制策略。这可能包括连接点、卫星和其他地面位置,它们可以传输、缓存或操作与工作负荷相关联的数据。在操作1408,通过调度工作负荷的各个部分(例如,可被执行以完成工作负荷的各种服务)来在各种连接节点上执行来执行工作流,这些连接节点可涉及各种连接点的利用和工作流的部分的“在线”处理(例如,应用到LEO卫星阵列的FaaS)。在操作1410,地理围栏策略被应用于ELG中的节点以确定是否可以在节点中的至少一个上执行工作负荷的剩余部分。例如,如果“在线”FaaS是工作负荷执行计划的一部分,则操作1410可以应用于在线的每个LEO卫星。在一些方面,地理围栏策略导致无法在连接节点处执行工作负荷,这导致工作负荷调度寻找替代边缘位置和替代连接节点以继续服务的执行来执行工作负荷并且还满足与此类服务相关联的地理围栏限制。由网络管理实体和由连接节点执行的GBCA功能的更详细描述将分别结合图15和图16进行讨论。
在一些方面,地理围栏策略可由对工作流执行计划感兴趣但不直接控制它的第三方使用。通过将地理围栏策略合并到执行计划中,第三方可以定义对可能的工作负荷执行计划的限制。
图15是根据示例的由编排系统执行的基于GBCA管理功能的方法1500的流程图。方法1500可以由诸如边缘编排器或元编排器(例如,图12中的编排器GBCAM 1240)之类的网络管理实体的GBCAM来执行。在操作1502,编排器GBCAM从提供边缘服务的多个连接节点(例如,可以包括节点1200的节点1108-1112)获得与多个连接节点中的每一个相关联的物理位置信息和资源可用性信息。在操作1504,编排器GBCAM基于物理位置信息和资源可用性信息来生成边缘到边缘位置图(ELG)(例如,ELG 932)。ELG指示可用于执行与边缘工作负荷相关联的多个服务的多个连接节点的子集。在操作1506,编排器GBCAM为多个连接节点提供ELG(例如,ELG 932)和工作流执行计划(例如,WEP 934)以执行多个服务。在示例方面,ELG和WEP可以作为一个或多个区块链记录被提供/通信到连接节点。工作流执行计划包括具有地理围栏策略(例如,地理围栏策略938)的元数据。地理围栏策略指定与多个服务中的每一个相关联的地理围栏限制。
在一些方面,多个连接节点包括形成多个节点集群的多个边缘连接节点和多个非地面连接节点。非地面连接节点中的至少一个是被配置成用于接收、传输、存储或处理与多个服务中的至少一个相关联的数据的低地球轨道(LEO)卫星或地球同步赤道轨道(GEO)卫星。
在一些方面,工作流执行计划进一步包括密码散列(例如,散列936)。密码散列可以被配置成用于将多个服务中的至少一个与地理围栏策略绑定。编排器GBCAM进一步被配置成用于执行操作以将工作流执行计划和ELG存储在多个连接节点可访问的分布式账本记录中(例如,如图9所示)。
在一些方面,编排器GBCAM进一步被配置成用于选择由ELG指示的多个连接节点的子集中的连接节点来执行与工作流执行计划相关联的多个服务中的服务,并验证所选连接节点满足地理围栏限制中与服务相对应的地理围栏限制(例如,如结合图12所讨论的)。
为了验证地理围栏限制得到满足,编排器GBCAM 1240进一步被配置成用于使用证明逻辑(例如,证明逻辑1222)来验证工作流执行计划内的密码散列。
在一些方面,编排器GBCAM进一步被配置成用于基于对密码散列的成功验证和对所选连接节点满足与服务相对应的地理围栏限制的成功验证来调度所选连接节点对服务的执行。在一些方面,编排器GBCAM进一步被配置成用于解码所选连接节点完成服务执行的通知,基于该通知来更新分布式账本记录,并基于地理围栏策略来选择多个服务的后续服务以供由多个连接节点的子集中的至少第二连接节点执行。
在一些方面,编排器GBCAM进一步被配置成用于基于以下中的至少一项来暂停所选连接节点对服务的执行:密码散列的不成功验证;所选连接节点满足与服务相对应的地理围栏限制的失败验证,或者来自所选连接节点的、当前地理位置不再与和地理围栏限制相关联的准许地理位置相对应的通知。
图16是由边缘计算设备执行的基于GBCA管理功能的方法1600的流程图。方法1600可以由诸如边缘计算设备(例如,图12中的边缘设备GBCAM 1202,其中GBCAM也可以实现为NIC)之类的连接节点的GBCAM执行。在操作1602,GBCAM对边缘设备1200的当前地理位置信息进行编码以经由网络接口卡(NIC)(例如,图7B中的网络接口768和图12中的网络I/O1220)传输到网络管理设备(例如,编排器GBCAM 1240))。在操作1604,GBCAM对经由NIC从网络管理设备接收的具有用于边缘工作负荷的工作流执行计划(例如,WEP 934)和边缘到边缘位置图(ELG)(例如,ELG 932)的配置消息(例如,区块链记录930或1234)进行解码。ELG基于地理位置信息并指示边缘计算系统内提供边缘服务的多个连接节点(例如,如图11所示的地理围栏受信任域中的边缘设备),该多个连接节点可用于执行与边缘工作负荷相关联的多个服务。在操作1606,GBCAM在工作流执行计划的元数据内检索地理围栏策略(例如,策略938),该地理围栏策略指定与多个服务中的每一个相关联的地理围栏限制。在操作1608,GBCAM基于边缘计算设备在ELG内以及由地理围栏策略为所选服务指定的地理围栏限制中的地理围栏限制被边缘计算设备的地理位置信息满足的成功验证,来选择多个服务中的服务来执行。
在一些方面,多个连接节点包括形成多个节点集群的多个边缘连接节点和多个非地面连接节点。在一些方面,非地面连接节点中的至少一个是被配置成用于接收、传输、存储或处理与多个服务中的至少一个相关联的数据的LEO卫星或GEO卫星。
在一些方面,GBCAM进一步被配置成用于执行操作,以使用从LEO卫星或GEO卫星接收的地理位置信息来确定边缘计算设备的当前地理位置信息。在一些方面,GBCAM被进一步配置成用于使用来自多个边缘连接节点的子集的地面定位信息来确定边缘计算设备的当前地理位置信息。工作流执行计划进一步包括密码散列,该密码散列至少将所选服务与地理围栏策略绑定。
在一些方面,为了验证地理围栏限制被满足,GBCAM被进一步配置成用于使用证明逻辑来验证工作流执行计划内的密码散列。在一些方面,GBCAM被进一步配置成用于基于密码散列的成功验证和边缘计算设备的地理位置信息满足与服务相对应的地理围栏限制的成功验证来执行服务。
在一些方面,GBCAM被进一步配置成用于检索与从边缘计算设备到边缘计算系统内的多个连接节点的子集的通信链路相关联的多个等待时间模式,并验证与通信链路相关联的等待时间匹配多个等待时间模式。在一些方面,GBCAM被进一步配置成用于在与通信链路相关联的等待时间未能与多个等待时间模式匹配时对用于传输到网络管理设备的、边缘计算设备的当前地理位置信息违反地理围栏限制的通知进行编码。然后GBCAM停止服务的执行,以便编排器GBCAM可以选择另一个节点来继续执行具有地理围栏限制的服务。
应当理解,在本说明书中所描述的功能单元或能力可被称为或标记为组件、电路或模块,从而特别强调其实现方式的独立性。此类组件可由任何数量的软件或硬件形式来具体化。例如,组件或模块可以被实现成硬件电路,该硬件电路包括定制的超大规模集成(VLSI)电路或门阵列、诸如逻辑芯片、晶体管之类的现成的半导体,或其他分立的组件。组件或模块也可被实现在可编程硬件设备中,诸如现场可编程门阵列、可编程阵列逻辑、可编程逻辑器件等。组件或模块也可被实现在由各种类型的处理器所执行的软件中。可执行代码的所标识的组件或模块可以例如包括计算机指令的一个或多个物理或逻辑框,其可被组织成例如对象、过程、或函数。然而,所标识的组件或模块的可执行码不必在物理上在一起,而是可包括存储在不同位置处的不同指令,当这些指令在逻辑上结合在一起时,构成组件或模块,并且为该组件或模块实现所声称的目的。
实际上,可执行代码的组件或模块可以是单条指令或许多指令,并且甚至可以分布在若干不同的代码段上,分布在不同的程序之间以及跨若干存储器设备或处理系统分布。具体而言,所描述的过程的一些方面(诸如代码重写和代码分析)可能在与在其中部署代码的处理系统(例如,在嵌入在传感器或机器人的计算机中)不同的处理系统(例如,在数据中心中的计算机中)上进行。类似地,操作数据在此可被标识并示出在组件或模块内,并且能以任何合适的形式被具体化以及可以被组织在在任何合适类型的数据结构内。操作数据可作为单个数据集被收集,或者可被分布不同的位置上(包括在不同存储设备上),并且可以至少部分地仅作为系统或网络上的电子信号存在。组件或模块可以是无源或有源的,包括可操作以执行期望功能的代理。
当前所描述的方法、系统和设备实施例的附加示例包括下列非限制性实现方式。下列非限制性示例中的每一个示例可以独立存在,或可以与以下所提供的或遍及本公开的其他示例中的一个或更多示例按照任何排列或组合进行结合。
附加示例和方面
示例1是一种编排系统,包括:存储器;以及耦合到存储器的至少一个处理电路系统,该至少一个处理电路系统被配置成用于执行操作以从提供边缘服务的多个连接节点获得与多个连接节点中的每一个相关联的物理位置信息和资源可用性信息;基于物理位置信息和资源可用性信息来生成边缘到边缘位置图(ELG),该ELG指示可用于执行与边缘工作负荷相关联的多个服务的多个连接节点的子集;以及为多个连接节点提供ELG和工作流执行计划以执行多个服务,工作流执行计划包括具有地理围栏策略的元数据,其中地理围栏策略指定与多个服务中的每一个相关联的地理围栏限制。
在示例2中,示例1的主题包括一种主题,其中多个连接节点包括形成多个节点集群的多个边缘连接节点中的至少一个;以及多个非地面连接节点。
在示例3中,示例2的主题包括一种主题,其中非地面连接节点中的至少一个是被配置成用于接收、传输、存储或处理与多个服务中的至少一个相关联的数据的低地球轨道(LEO)卫星或地球同步赤道轨道(GEO)卫星。
在示例4中,示例1-3的主题包括一种主题,其中工作流执行计划进一步包括密码散列,密码散列将多个服务中的至少一个与地理围栏策略绑定。
在示例5中,示例4的主题包括一种主题,其中至少一个处理电路系统被进一步配置成用于执行操作,以将工作流执行计划和ELG存储在多个连接节点可访问的分布式账本记录中。
在示例6中,示例5的主题包括主题,其中至少一个处理电路系统被进一步配置成用于执行操作,以选择由ELG指示的多个连接节点的子集中的连接节点来执行与工作流执行计划相关联的多个服务中的服务;以及验证所选连接节点满足地理围栏限制中与服务相对应的地理围栏限制。
在示例7中,示例6的主题包括一种主题,其中为了验证地理围栏限制被满足,至少一个处理电路系统被进一步配置成用于使用证明逻辑来验证工作流执行计划内的密码散列。
在示例8中,示例7的主题包括一种主题,其中至少一个处理电路系统进一步被配置成用于执行操作,以基于密码散列的成功验证和所选连接节点满足与服务相对应的地理围栏限制的成功验证来调度所选连接节点对服务的执行。
在示例9中,示例8的主题包括一种主题,其中至少一个处理电路系统进一步被配置成用于执行操作,以解码所选连接节点完成对服务的执行的通知;基于该通知来更新分布式账本记录;以及基于地理围栏策略来选择多个服务中的后继服务以供由多个连接节点的子集中的至少第二连接节点执行。
示例10中,示例7-9的主题包括一种主题,其中至少一个处理电路系统进一步被配置成用于执行操作,以基于以下中的至少一项来暂停所选连接节点对服务的执行:密码散列的不成功验证;所选连接节点满足与服务相对应的地理围栏限制的失败验证;或者来自所选连接节点的、当前地理位置不再与和地理围栏限制相关联的准许地理位置相对应的通知。
在示例11中,示例1-10的主题包括一种主题,其中至少一个处理电路系统位于边缘即服务(EaaS)边缘编排器节点或EaaS元编排器节点之一内。
示例12是一种包括指令的非暂态机器可读存储介质,其中指令在由编排系统的处理电路系统部署和执行时,使处理电路系统执行操作:从提供边缘服务的多个连接节点获得与多个连接节点中的每一个相关联的物理位置信息和资源可用性信息;基于物理位置信息和资源可用性信息来生成边缘到边缘位置图(ELG),该ELG指示可用于执行与边缘工作负荷相关联的多个服务的多个连接节点的子集;以及为多个连接节点提供ELG和工作流执行计划以执行多个服务,工作流执行计划包括具有地理围栏策略的元数据,其中地理围栏策略指定与多个服务中的每一个相关联的地理围栏限制。
在示例13中,示例12的主题包括一种主题,其中多个连接节点包括形成多个节点集群的多个边缘连接节点中的至少一个;以及多个非地面连接节点。
在示例14中,示例13的主题包括一种主题,其中非地面连接节点中的至少一个是被配置成用于接收、传输、存储或处理与多个服务中的至少一个相关联的数据的低地球轨道(LEO)卫星或地球同步赤道轨道(GEO)卫星。
在示例15中,示例12-14的主题包括一种主题,其中工作流执行计划进一步包括密码散列,密码散列将多个服务中的至少一个与地理围栏策略绑定。
在示例16中,示例15的主题包括一种主题,其中指令进一步使处理电路系统执行操作:将工作流执行计划和ELG存储在多个连接节点可访问的分布式账本记录中。
在示例17中,示例16的主题包括主题,其中指令进一步使处理电路系统执行操作:选择由ELG指示的多个连接节点的子集中的连接节点来执行与工作流执行计划相关联的多个服务中的服务;以及验证所选连接节点满足地理围栏限制中与服务相对应的地理围栏限制。
在示例18中,示例17的主题包括一种主题,其中为了验证地理围栏限制被满足,指令进一步使处理电路系统执行操作:使用证明逻辑来验证工作流执行计划内的密码散列。
在示例19中,示例18的主题包括一种主题,其中指令进一步使处理电路系统执行操作:基于密码散列的成功验证和所选连接节点满足与服务相对应的地理围栏限制的成功验证来调度所选连接节点对服务的执行。
在示例20中,示例19的主题包括一种主题,其中指令进一步使处理电路系统执行操作:解码所选连接节点完成对服务的执行的通知;基于该通知来更新分布式账本记录;以及基于地理围栏策略来选择多个服务的后继服务以供由多个连接节点的子集中的至少第二连接节点执行。
示例21中,示例18-20的主题包括一种主题,其中指令进一步使处理电路系统执行操作:基于以下中的至少一项来暂停所选连接节点对服务的执行:密码散列的不成功验证;所选连接节点满足与服务相对应的地理围栏限制的失败验证,或者来自所选连接节点的、当前地理位置不再与和地理围栏限制相关联的准许地理位置相对应的通知。
在示例22中,示例12-21的主题包括一种主题,其中处理电路系统位于边缘即服务(EaaS)边缘编排器节点或EaaS元编排器节点之一内。
示例23是一种由可在边缘计算系统中操作的网络管理设备执行的方法,该方法包括:从提供边缘服务的多个连接节点获得与多个连接节点中的每一个相关联的物理位置信息和资源可用性信息;基于物理位置信息和资源可用性信息来生成边缘到边缘位置图(ELG),该ELG指示可用于执行与边缘工作负荷相关联的多个服务的多个连接节点的子集;以及为多个连接节点提供ELG和工作流执行计划以执行多个服务,工作流执行计划包括具有地理围栏策略的元数据,其中地理围栏策略指定与多个服务中的每一个相关联的地理围栏限制。
在示例24中,示例23的主题包括一种主题,其中多个连接节点包括形成多个节点集群的多个边缘连接节点中的至少一个;以及多个非地面连接节点。
在示例25中,示例24的主题包括一种主题,其中非地面连接节点中的至少一个是被配置成用于接收、传输、存储或处理与多个服务中的至少一个相关联的数据的低地球轨道(LEO)卫星或地球同步赤道轨道(GEO)卫星。
在示例26中,示例23-25的主题包括一种主题,其中工作流执行计划进一步包括密码散列,密码散列将多个服务中的至少一个与地理围栏策略绑定。
在示例27中,示例26的主题包括,将工作流执行计划和ELG存储在多个连接节点可访问的分布式账本记录中。
在示例28中,示例27的主题包括:选择由ELG指示的多个连接节点的子集中的连接节点来执行与工作流执行计划相关联的多个服务中的服务;以及验证所选连接节点满足地理围栏限制中与服务相对应的地理围栏限制。
在示例29中,示例28的主题包括一种主题,其中验证地理围栏限制被满足包括使用证明逻辑来验证工作流执行计划内的密码散列。
在示例30中,示例29的主题包括,基于密码散列的成功验证和所选连接节点满足与服务相对应的地理围栏限制的成功验证来调度所选连接节点对服务的执行。
在示例31中,示例30的主题包括,解码所选连接节点完成对服务的执行的通知;基于该通知来更新分布式账本记录;以及基于地理围栏策略来选择多个服务的后继服务以供由多个连接节点的子集中的至少第二连接节点执行。
在示例32中,示例29-31的主题包括,基于以下中的至少一项来暂停所选连接节点对服务的执行:密码散列的不成功验证;所选连接节点满足与服务相对应的地理围栏限制的失败验证,或者来自所选连接节点的、当前地理位置不再与和地理围栏限制相关联的准许地理位置相对应的通知。
在示例33中,示例23-32的主题包括一种主题,其中至少一个处理电路系统位于边缘即服务(EaaS)边缘编排器节点或EaaS元编排器节点之一内。
示例34是可在边缘计算系统中操作的边缘计算设备,该边缘计算设备包括:网络接口卡(NIC);以及耦合到NIC的处理电路系统,该处理电路系统被配置成用于执行操作以:对边缘计算设备的当前地理位置信息进行编码,以经由NIC传输到网络管理设备;对经由NIC从网络管理设备接收的具有用于边缘工作负荷的工作流执行计划和边缘到边缘位置图(ELG)的配置消息进行解码,ELG基于地理位置信息并指示边缘计算系统内的多个连接节点,该边缘计算系统可用于执行与边缘工作负荷相关联的多个服务;在工作流执行计划的元数据内检索地理围栏策略,该地理围栏策略指定与多个服务中的每一个相关联的地理围栏限制;以及基于边缘计算设备在ELG内以及边缘计算设备的地理位置信息满足由地理围栏策略为所选服务指定的地理围栏限制中的地理围栏限制的成功验证,来选择多个服务中的服务来执行。
在示例35中,示例34的主题包括一种主题,其中多个连接节点包括形成多个节点集群的多个边缘连接节点中的至少一个;以及多个非地面连接节点。
在示例36中,示例35的主题包括一种主题,其中非地面连接节点中的至少一个是被配置成用于接收、传输、存储或处理与多个服务中的至少一个相关联的数据的低地球轨道(LEO)卫星或地球同步赤道轨道(GEO)卫星。
在示例37中,示例36的主题包括一种主题,其中处理电路系统进一步被配置成用于执行操作,以使用从LEO卫星或GEO卫星接收的地理位置信息来确定边缘计算设备的当前地理位置信息。
在示例38中,示例36-37的主题包括一种主题,其中处理电路系统进一步被配置成用于执行操作,以使用来自多个边缘连接节点的子集的地面定位信息来确定边缘计算设备的当前地理位置信息。
在示例39中,示例34-38的主题包括一种主题,其中工作流执行计划进一步包括密码散列,密码散列至少将所选服务与地理围栏策略绑定。
在示例40中,示例39的主题包括一种主题,其中为了验证地理围栏限制被满足,处理电路系统被进一步配置成用于使用证明逻辑来验证工作流执行计划内的密码散列。
在示例41中,示例40的主题包括一种主题,其中处理电路系统被进一步配置成用于执行操作,以基于密码散列的成功验证和边缘计算设备的地理位置信息满足与服务相对应的地理围栏限制的成功验证来执行服务。
在示例42中,示例34-41的主题包括一种主题,其中处理电路系统被进一步配置成用于执行操作,以检索与从边缘计算设备到边缘计算系统内的多个连接节点的子集的通信链路相关联的多个等待时间模式;以及验证与通信链路相关联的等待时间匹配多个等待时间模式。
在示例43中,示例42的主题包括一种主题,其中处理电路系统被进一步配置成用于执行操作,以在与通信链路相关联的等待时间未能与多个等待时间模式匹配时对用于传输到网络管理设备的、边缘计算设备的当前地理位置信息违反地理围栏限制的通知进行编码;以及停止服务的执行。
示例44是包括指令的非暂态机器可读存储介质,其中指令在由可在边缘计算系统中操作的边缘计算设备的处理电路系统部署和执行时,使处理电路系统执行操作:对边缘计算设备的当前地理位置信息进行编码,以经由NIC传输到网络管理设备;对经由NIC从网络管理设备接收的具有用于边缘工作负荷的工作流执行计划和边缘到边缘位置图(ELG)的配置消息进行解码,ELG基于地理位置信息并指示边缘计算系统内的多个连接节点,该边缘计算系统可用于执行与边缘工作负荷相关联的多个服务;在工作流执行计划的元数据内检索地理围栏策略,该地理围栏策略指定与多个服务中的每一个相关联的地理围栏限制;以及基于边缘计算设备在ELG内以及边缘计算设备的地理位置信息满足由地理围栏策略为所选服务指定的地理围栏限制中的地理围栏限制的成功验证,来选择多个服务中的服务来执行。
在示例45中,示例44的主题包括一种主题,其中多个连接节点包括形成多个节点集群的多个边缘连接节点中的至少一个;以及多个非地面连接节点。
在示例46中,示例45的主题包括一种主题,其中非地面连接节点中的至少一个是被配置成用于接收、传输、存储或处理与多个服务中的至少一个相关联的数据的低地球轨道(LEO)卫星或地球同步赤道轨道(GEO)卫星。
在示例47中,示例46的主题包括一种主题,其中指令进一步使处理电路系统执行操作:使用从LEO卫星或GEO卫星接收的地理位置信息来确定边缘计算设备的当前地理位置信息。
在示例48中,示例46-47的主题包括一种主题,其中指令进一步使处理电路系统执行操作:使用来自多个边缘连接节点的子集的地面定位信息来确定边缘计算设备的当前地理位置信息。
在示例49中,示例44-48的主题包括一种主题,其中工作流执行计划进一步包括密码散列,密码散列至少将所选服务与地理围栏策略绑定。
在示例50中,示例49的主题包括一种主题,其中为了验证地理围栏限制被满足,指令进一步使处理电路系统执行操作:使用证明逻辑来验证工作流执行计划内的密码散列。
在示例51中,示例50的主题包括一种主题,其中指令进一步使处理电路系统执行操作:基于密码散列的成功验证和边缘计算设备的地理位置信息满足与服务相对应的地理围栏限制的成功验证来执行服务。
在示例52中,示例44-51的主题包括一种主题,其中指令进一步使处理电路系统执行操作以:检索与从边缘计算设备到边缘计算系统内的多个连接节点的子集的通信链路相关联的多个等待时间模式;以及验证与通信链路相关联的等待时间匹配多个等待时间模式。
在示例53中,示例52的主题包括一种主题,其中指令进一步使处理电路系统执行操作以:在与通信链路相关联的等待时间未能与多个等待时间模式匹配时对用于传输到网络管理设备的、边缘计算设备的当前地理位置信息违反地理围栏限制的通知进行编码;以及停止服务的执行。
示例54是一种由可在边缘计算系统中操作的边缘计算设备执行的方法,该方法包括:对边缘计算设备的当前地理位置信息进行编码,以经由NIC传输到网络管理设备;对经由NIC从网络管理设备接收的具有用于边缘工作负荷的工作流执行计划和边缘到边缘位置图(ELG)的配置消息进行解码,ELG基于地理位置信息并指示边缘计算系统内的多个连接节点,该边缘计算系统可用于执行与边缘工作负荷相关联的多个服务;在工作流执行计划的元数据内检索地理围栏策略,该地理围栏策略指定与多个服务中的每一个相关联的地理围栏限制;以及基于边缘计算设备在ELG内以及边缘计算设备的地理位置信息满足由地理围栏策略为所选服务指定的地理围栏限制中的地理围栏限制的成功验证,来选择多个服务中的服务来执行。
在示例55中,示例54的主题包括一种主题,其中多个连接节点包括形成多个节点集群的多个边缘连接节点中的至少一个;以及多个非地面连接节点。
在示例56中,示例55的主题包括一种主题,其中非地面连接节点中的至少一个是被配置成用于接收、传输、存储或处理与多个服务中的至少一个相关联的数据的低地球轨道(LEO)卫星或地球同步赤道轨道(GEO)卫星。
在示例57中,示例56的主题包括,使用从LEO卫星或GEO卫星接收的地理位置信息来确定边缘计算设备的当前地理位置信息。
在示例58中,示例56-57的主题包括,使用来自多个边缘连接节点的子集的地面定位信息来确定边缘计算设备的当前地理位置信息。
在示例59中,示例54-58的主题包括一种主题,其中工作流执行计划进一步包括密码散列,密码散列至少将所选服务与地理围栏策略绑定。
在示例60中,示例59的主题包括一种主题,其中验证地理围栏限制被满足包括使用证明逻辑来验证工作流执行计划内的密码散列。
在示例61中,示例60的主题包括,基于密码散列的成功验证和边缘计算设备的地理位置信息满足与服务相对应的地理围栏限制的成功验证来执行服务。
在示例62中,示例54-61的主题包括:检索与从边缘计算设备到边缘计算系统内的多个连接节点的子集的通信链路相关联的多个等待时间模式;以及验证与通信链路相关联的等待时间匹配多个等待时间模式。
在示例63中,示例62的主题包括:在与通信链路相关联的等待时间未能与多个等待时间模式匹配时对用于传输到网络管理设备的、边缘计算设备的当前地理位置信息违反地理围栏限制的通知进行编码;以及停止服务的执行。
示例64是包括指令的至少一种机器可读介质,该指令在被处理电路系统部署和执行时,使得该处理电路系统执行操作以实现示例1-63中的任一项。
示例65是一种设备,包括用于实现示例1-63中的任一项的装置。
示例66是一种用于实现示例1-63中的任一项的系统。
示例67是一种用于实现示例1-63中的任一项的方法。
另一种示例实现方式是一种边缘计算系统,该边缘计算系统包括用于调用或执行示例1-63的操作的相应边缘处理设备和节点、或者本文中所描述的其他主题。
另一示例实现方式是一种客户端端点节点,该客户端端点节点可操作以用于调用或执行示例1-63的操作、或者本文中所描述的其他主题。
另一示例实现方式是一种处于边缘计算系统内或耦合至边缘计算系统的聚合节点、网络中枢节点、网关节点、或核心数据处理节点,该聚合节点、网络中枢节点、网关节点、或核心数据处理节点可操作以用于调用或执行示例1-63的操作、或者本文中所描述的其他主题。
另一示例实现方式是一种处于边缘计算系统内或耦合至边缘计算系统的接入点、基站、路边单元、或内部单元,该接入点、基站、路边单元、或内部单元可操作以用于调用或执行示例1-63的操作、或者本文中所描述的其他主题。
另一示例实现方式是一种处于边缘计算系统内或耦合至边缘计算系统的边缘供应节点、服务编排节点、应用编排节点、或多租户管理节点,该边缘供应节点、服务编排节点、应用编排节点、或多租户管理节点可操作以用于调用或执行示例1-63的操作、或者本文中所描述的其他主题。
另一示例实现方式是一种处于边缘计算系统内或耦合至边缘计算系统的边缘节点,该边缘节点操作边缘供应服务、应用或服务编排服务、虚拟机部署、容器部署、功能部署、以及计算管理,该边缘节点可操作以用于调用或执行示例1-63的操作、或者本文中所描述的其他主题。
另一示例实现方式是一种边缘计算系统,该边缘计算系统包括网络功能、加速功能、加速硬件、存储硬件、或计算硬件资源的各方面,该边缘计算系统可操作以使用示例1-63或本文中所描述的其他主题来调用或执行本文中所讨论的用例。
另一示例实现方式是一种边缘计算系统,该边缘计算系统适于支持客户端移动性、车辆对车辆(V2V)、车辆对外界(V2X)、或车辆对基础设施(V2I)场景,并且任选地根据欧洲电信标准协会(ETSI)多接入边缘计算(MEC)规范来进行操作,该边缘计算系统可操作以使用示例1-63或本文中所描述的其他主题来调用或执行本文中所讨论的用例。
另一示例实现方式是一种边缘计算系统,该边缘计算系统适于移动无线通信,包括根据3GPP 4G/LTE或5G网络能力的配置,该边缘计算系统可操作以使用示例1-63或本文中所描述的其他主题来调用或执行本文中所讨论的用例。
另一示例实现方式是一种边缘计算节点,该边缘计算节点可在边缘计算网络的层中或在边缘计算系统中作为聚合节点、网络中枢节点、网关节点、或核心数据处理节点操作,可在靠近边缘、本地边缘、企业边缘、内部边缘、接近边缘、中间、边缘、或远边缘网络层中操作,或者可在具有共同等待时间、定时、或距离特性的节点集合中操作,该边缘计算节点可操作以使用示例1-63或本文中所描述的其他主题来调用或执行本文中所讨论的用例。
另一示例实现方式是一种联网硬件、加速硬件、存储硬件、或计算硬件,具有在其上实现的能力,该联网硬件、加速硬件、存储硬件、或计算硬件可在边缘计算系统中操作以使用示例1-63或本文中所描述的其他主题来调用或执行本文中所讨论的用例。
另一示例实现方式是一种边缘计算环境,被配置成使用示例1-63或本文中所描述的其他主题来执行从以下各项中的一项或多项提供的用例:计算迁移、数据高速缓存、视频处理、网络功能虚拟化、无线电接入网络管理、增强现实、虚拟现实、工业自动化、零售服务、制造操作、智慧建筑、能源管理、自主驾驶、车辆辅助、车辆通信、物联网操作、对象检测、语音识别、医疗保健应用、游戏应用、或加速的内容处理。
另一示例实现方式是一种边缘计算系统的设备,包括:一个或多个处理器、以及一种或多种计算机可读介质,该一种或多种计算机可读介质包括指令,这些指令在由一个或多个处理器部署和执行时使得该一个或多个处理器使用示例1-63或本文中所描述的其他主题来执行本文中所讨论的用例。
另一示例实现方式是一种或多种计算机可读存储介质,包括指令,这些指令用于在由电子设备的一个或多个处理器对这些指令执行时使得边缘计算系统的电子设备用于使用示例1-63或本文中所描述的其他主题来调用或执行本文中所讨论的用例。
另一示例实现方式是一种边缘计算系统的设备,包括用于使用示例1-63或本文中所描述的其他主题来调用或执行本文中所讨论的用例的装置、逻辑、模块或电路系统。
虽然已经参考特定示例性方面描述了这些实现方式,但将显而易见的是,可在不背离本发明的较宽范围的情况下对这些方面作出各种修改和改变。本文中所描述的布置和过程中的许多布置和过程可以与用于提供更大的带宽/吞吐量的实现方式以及用于支持可以使其可用于被服务的边缘系统的边缘服务选择的实现方式组合或并行地使用。相应地,说明书和附图应当被认为是说明性的,而不是限制性意义的。形成本文的部分的所附附图以说明性而并非限制性方式示出主题可在其中被实施的特定方面。足够详细地描述了所图示的方面以使本领域的技术人员能够实施本文中所公开的教导。可利用并由此推导出其他方面,以使得可在不背离本公开的范围的情况下作出结构的和逻辑的替换和改变。因此,该具体实施方式不是在限制性的意义上进行的,并且各个方面的范围仅由所附权利要求书以及此类权利要求书所授权的等效方案完整范围来限定。
可在本文中单独地和/或共同地引用发明性主题的此类方面,如果公开了多于一个方面或发明性概念,则这仅仅是为方便起见而并不旨在主动将本申请的范围限于任何单个方面或发明性概念。由此,虽然在本文中已经图示并描述了特定方面,但应当领会,预计能够实现相同目的的任何布置可替换所示的特定方面。本公开旨在涵盖各个方面的任何修改或变体。在回顾以上描述时,以上各方面和本文中未具体描述的其他方面的组合就对于本领域内技术人员而言将是显而易见的。

Claims (20)

1.一种编排系统,包括:
存储器;以及
耦合到所述存储器的至少一个处理电路系统,所述至少一个处理电路系统被配置成用于执行操作以:
从多个连接节点获得与所述多个连接节点中的每一个相关联的物理位置信息和资源可用性信息;
基于所述物理位置信息和所述资源可用性信息来生成边缘到边缘位置图ELG,所述ELG指示能用于执行与边缘工作负荷相关联的多个服务的所述多个连接节点的子集;以及
为所述多个连接节点提供所述ELG和工作流执行计划以执行所述多个服务,所述工作流执行计划包括具有地理围栏策略的元数据,其中所述地理围栏策略指定与所述多个服务中的每一个相关联的地理围栏限制。
2.如权利要求1所述的编排系统,其特征在于,所述多个连接节点包括:
形成多个节点集群的多个边缘连接节点;以及
多个非地面连接节点。
3.如权利要求2所述的编排系统,其特征在于,所述非地面连接节点中的至少一个是被配置成用于接收、传输、存储或处理与所述多个服务中的至少一个相关联的数据的低地球轨道LEO卫星或地球同步赤道轨道GEO卫星。
4.如权利要求1所述的编排系统,其特征在于,所述工作流执行计划进一步包括密码散列,所述密码散列将所述多个服务中的至少一个与所述地理围栏策略绑定。
5.如权利要求4所述的编排系统,其特征在于,所述至少一个处理电路系统被进一步配置成用于执行操作以:
将所述工作流执行计划和所述ELG存储在所述多个连接节点能访问的分布式账本记录中。
6.如权利要求5所述的编排系统,其特征在于,所述至少一个处理电路系统被进一步配置成用于执行操作以:
选择由所述ELG指示的所述多个连接节点的子集中的连接节点来执行与所述工作流执行计划相关联的多个服务中的服务;以及
验证所选连接节点满足地理围栏限制中与服务相对应的地理围栏限制。
7.如权利要求6所述的编排系统,其特征在于,为了验证所述地理围栏限制被满足,所述至少一个处理电路系统被进一步配置成用于:
使用证明逻辑来验证所述工作流执行计划内的所述密码散列。
8.如权利要求7所述的编排系统,其特征在于,所述至少一个处理电路系统被进一步配置成用于执行操作以:
基于所述密码散列的成功验证和所选连接节点满足与服务相对应的所述地理围栏限制的成功验证来调度所选连接节点对所述服务的执行。
9.如权利要求8所述的编排系统,其特征在于,所述至少一个处理电路系统被进一步配置成用于执行操作以:
解码所选连接节点完成对所述服务的执行的通知;
基于所述通知来更新分布式账本记录;以及
基于所述地理围栏策略来选择所述多个服务中的后继服务以供由所述多个连接节点的子集中的至少第二连接节点执行。
10.如权利要求7所述的编排系统,其特征在于,所述至少一个处理电路系统被进一步配置成用于执行操作以:
基于以下中的至少一项来暂停所选连接节点对所述服务的执行:
所述密码散列的不成功验证;
所选连接节点满足与所述服务相对应的所述地理围栏限制的失败验证,或者
来自所选连接节点的、当前地理位置不再与和所述地理围栏限制相关联的准许地理位置相对应的通知。
11.一种非暂态机器可读存储介质,包括指令,当由编排系统的处理电路系统执行所述指令时,使得所述处理电路系统执行操作:
从多个连接节点获得与所述多个连接节点中的每一个相关联的物理位置信息和资源可用性信息;
基于所述物理位置信息和所述资源可用性信息来生成边缘到边缘位置图ELG,所述ELG指示能用于执行与边缘工作负荷相关联的多个服务的所述多个连接节点的子集;以及
为所述多个连接节点提供所述ELG和工作流执行计划以执行所述多个服务,所述工作流执行计划包括具有地理围栏策略的元数据,其中所述地理围栏策略指定与所述多个服务中的每一个相关联的地理围栏限制。
12.如权利要求11所述的机器可读存储介质,其特征在于,所述多个连接节点包括:
形成多个节点集群的多个边缘连接节点;以及
多个非地面连接节点。
13.如权利要求12所述的机器可读存储介质,其特征在于,所述非地面连接节点中的至少一个是被配置成用于接收、传输、存储或处理与所述多个服务中的至少一个相关联的数据的低地球轨道LEO卫星或地球同步赤道轨道GEO卫星。
14.如权利要求11所述的机器可读存储介质,其特征在于,所述工作流执行计划进一步包括密码散列,所述密码散列将所述多个服务中的至少一个与所述地理围栏策略绑定。
15.如权利要求14所述的机器可读存储介质,其特征在于,所述指令进一步使所述处理电路系统用于执行操作:
将所述工作流执行计划和所述ELG存储在所述多个连接节点能访问的分布式账本记录中。
16.如权利要求15所述的机器可读存储介质,其特征在于,所述指令进一步使所述处理电路系统用于执行操作:
选择由所述ELG指示的所述多个连接节点的子集中的连接节点来执行与所述工作流执行计划相关联的多个服务中的服务;以及
验证所选连接节点满足地理围栏限制中与服务相对应的地理围栏限制。
17.一种能在边缘计算系统中操作的边缘计算设备,所述边缘计算设备包括:
网络接口卡NIC;以及
耦合至所述NIC的处理电路系统,所述处理电路被配置成用于执行操作以:
对所述边缘计算设备的当前地理位置信息进行编码,以经由所述NIC传输到网络管理设备;
对经由所述NIC从所述网络管理设备接收的具有用于边缘工作负荷的工作流执行计划和边缘到边缘位置图ELG的配置消息进行解码,所述ELG基于所述地理位置信息并指示所述边缘计算系统内的多个连接节点,所述多个连接节点能用于执行与边缘工作负荷相关联的多个服务;
在所述工作流执行计划的元数据内检索地理围栏策略,所述地理围栏策略指定与所述多个服务中的每一个相关联的地理围栏限制;以及
基于所述边缘计算设备在所述ELG内以及所述边缘计算设备的所述地理位置信息满足由所述地理围栏策略为所选服务指定的地理围栏限制中的地理围栏限制的成功验证,来选择所述多个服务中的服务来执行。
18.如权利要求17所述的边缘计算设备,其特征在于,所述多个连接节点包括:
形成多个节点集群的多个边缘连接节点;以及
多个非地面连接节点。
19.如权利要求18所述的边缘计算设备,其特征在于,所述非地面连接节点中的至少一个是被配置成用于接收、传输、存储或处理与所述多个服务中的至少一个相关联的数据的低地球轨道LEO卫星或地球同步赤道轨道GEO卫星。
20.如权利要求19所述的边缘计算设备,其特征在于,所述处理电路系统进一步被配置成用于执行操作以:
使用从所述LEO卫星或所述GEO卫星接收的地理位置信息来确定所述边缘计算设备的当前地理位置信息。
CN202110870692.5A 2020-09-18 2021-07-30 基于地理围栏的边缘服务控制和认证 Pending CN115373795A (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US17/025,519 US20210006972A1 (en) 2020-09-18 2020-09-18 Geofence-based edge service control and authentication
US17/025,519 2020-09-18

Publications (1)

Publication Number Publication Date
CN115373795A true CN115373795A (zh) 2022-11-22

Family

ID=74065281

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110870692.5A Pending CN115373795A (zh) 2020-09-18 2021-07-30 基于地理围栏的边缘服务控制和认证

Country Status (4)

Country Link
US (1) US20210006972A1 (zh)
EP (1) EP3972295B1 (zh)
KR (1) KR20220038272A (zh)
CN (1) CN115373795A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115952237A (zh) * 2023-01-28 2023-04-11 北京星途探索科技有限公司 一种多端数据融合系统

Families Citing this family (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10235726B2 (en) 2013-09-24 2019-03-19 GeoFrenzy, Inc. Systems and methods for secure encryption of real estate titles and permissions
US9906902B2 (en) 2015-06-02 2018-02-27 GeoFrenzy, Inc. Geofence information delivery systems and methods
US9906609B2 (en) 2015-06-02 2018-02-27 GeoFrenzy, Inc. Geofence information delivery systems and methods
US9363638B1 (en) 2015-06-02 2016-06-07 GeoFrenzy, Inc. Registrar mapping toolkit for geofences
US11240628B2 (en) 2014-07-29 2022-02-01 GeoFrenzy, Inc. Systems and methods for decoupling and delivering geofence geometries to maps
US10932084B2 (en) 2014-07-29 2021-02-23 GeoFrenzy, Inc. Systems, methods and apparatus for geofence networks
US9986378B2 (en) 2014-07-29 2018-05-29 GeoFrenzy, Inc. Systems and methods for defining and implementing rules for three dimensional geofences
US10979849B2 (en) 2015-06-02 2021-04-13 GeoFrenzy, Inc. Systems, methods and apparatus for geofence networks
US11606666B2 (en) 2014-07-29 2023-03-14 GeoFrenzy, Inc. Global registration system for aerial vehicles
US11838744B2 (en) 2014-07-29 2023-12-05 GeoFrenzy, Inc. Systems, methods and apparatus for geofence networks
US10582333B2 (en) * 2014-07-29 2020-03-03 GeoFrenzy, Inc. Systems and methods for geofence security
WO2016196496A1 (en) 2015-06-02 2016-12-08 GeoFrenzy, Inc. Geofence information delivery systems and methods
CN114760316B (zh) * 2020-12-28 2023-09-26 富泰华工业(深圳)有限公司 区块链构建方法及相关设备
US11758476B2 (en) * 2021-02-05 2023-09-12 Dell Products L.P. Network and context aware AP and band switching
US11477719B1 (en) * 2021-03-05 2022-10-18 Sprint Communications Company L.P. Wireless communication service responsive to an artificial intelligence (AI) network
CN113836564A (zh) * 2021-09-30 2021-12-24 中汽创智科技有限公司 一种基于区块链的网联汽车信息安全系统
CN114283583B (zh) * 2021-12-28 2023-08-29 阿波罗智联(北京)科技有限公司 用于车路协同的方法、车载智能终端、云控平台和系统
CN114518908B (zh) * 2022-02-17 2024-03-22 杭州网易云音乐科技有限公司 服务编排方法、介质、装置和计算设备

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9788154B2 (en) * 2014-04-30 2017-10-10 Aruba Networks, Inc. Precise and custom location based service discovery application for wired and wireless devices
US9866552B2 (en) * 2015-05-08 2018-01-09 International Business Machines Corporation Network authentication of a geo-fenced volume
US9622277B1 (en) * 2015-06-22 2017-04-11 X Development Llc Coordinating backhaul links between ground stations and airborne backhaul network
US10924890B2 (en) * 2017-10-20 2021-02-16 Hewlett-Packard Development Company, L.P. Device policy enforcement
KR20190083091A (ko) * 2018-01-03 2019-07-11 주식회사 케이티 분산 자원 할당 방법 및 그 장치
US11102087B2 (en) * 2019-04-05 2021-08-24 At&T Intellectual Property I, L.P. Service deployment for geo-distributed edge clouds
EP4018709A4 (en) * 2019-08-19 2023-09-20 Q Networks, LLC METHODS, SYSTEMS, KITS AND APPARATUS FOR PROVIDING SECURE AND DEDICATED FIFTH GENERATION TELECOMMUNICATION, END-TO-END
US11159609B2 (en) * 2020-03-27 2021-10-26 Intel Corporation Method, system and product to implement deterministic on-boarding and scheduling of virtualized workloads for edge computing

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115952237A (zh) * 2023-01-28 2023-04-11 北京星途探索科技有限公司 一种多端数据融合系统
CN115952237B (zh) * 2023-01-28 2023-06-09 北京星途探索科技有限公司 一种多端数据融合系统

Also Published As

Publication number Publication date
EP3972295B1 (en) 2023-12-27
EP3972295A1 (en) 2022-03-23
US20210006972A1 (en) 2021-01-07
KR20220038272A (ko) 2022-03-28

Similar Documents

Publication Publication Date Title
EP3972295B1 (en) Geofence-based edge service control and authentication
NL2029029B1 (en) Methods and apparatus to coordinate edge platforms
US20210014114A1 (en) Methods, apparatus, and articles of manufacture for workload placement in an edge environment
US20210021619A1 (en) Trust-based orchestration of an edge node
EP4180953A1 (en) Orchestrator execution planning using a distributed ledger
US20210021609A1 (en) Calculus for trust in edge computing and named function networks
CN114253659A (zh) 网格的编排
CN114661455A (zh) 用于验证边缘环境中的经训练模型的方法和设备
US20210021431A1 (en) Methods, apparatus and systems to share compute resources among edge compute nodes using an overlay manager
EP4155933A1 (en) Network supported low latency security-based orchestration
CN114679449A (zh) 中立主机边缘服务
CN114338680A (zh) 用于在计算设备中相对于服务水平协议来管理服务质量的方法和装置
CN115525421A (zh) 用于促进服务代理的方法和装置
KR20220042043A (ko) 에지 환경에서의 데이터 라이프사이클 관리를 위한 장치, 시스템, 제조 물품, 및 방법
US20210152543A1 (en) Automatic escalation of trust credentials
US20210044646A1 (en) Methods and apparatus for re-use of a container in an edge computing environment
EP3975028A1 (en) One-touch inline cryptographic data processing
KR20220065670A (ko) 에지 네트워킹을 이용한 확장 피어-투-피어(p2p)
CN114253658A (zh) 边缘计算的持续测试、集成和部署管理
US20210014047A1 (en) Methods, systems, apparatus, and articles of manufacture to manage access to decentralized data lakes
US20210326763A1 (en) Model propagation in edge architectures
US20230344804A1 (en) Methods and apparatus to increase privacy for follow-me services
EP4202669A1 (en) Methods and apparatus for secure execution on smart network interface cards
US20230045110A1 (en) Import of deployable containers and source code in cloud development environment
CN115525138A (zh) 设备上基于功率的自适应硬件可靠性

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination