云边端协同的智能视频方案研究报告 2023

11编写组很荣幸能够为您呈上这份方案文档，探讨了解我们在需求分析、技术框架、关键技术细节以及实际案例等多个方面所积累的知识和经验。本文档旨在为您呈现一个全面而深入的视角，带您深入了解随着信息技术的飞速发展，我们面临着新的挑战和机遇。在这个数字化时代，边缘计算作为一项前沿技术，已经引领着各行各业的变革。从智能设备到数据处理，从实时决策到安全性保障，边缘计算为我们开启了崭新的可能性。而本方案正是在这一背景下应运在这份方案文档中，您将深入了解我们所构建的技术框架，以及涵盖数据传输、设备管理、云边协同调度、安全性保障等多个关键技术的详细解释。我们不仅关注技术的内在，更注重技术在实际场景中的应用。因此，您还将在文档中找到丰富的案例分享，这些案例涵盖了从音视频领域到智慧校园、零售等多个领域的实际应用，本方案的完成离不开团队的共同努力和合作，同时也得益于众多合作伙伴和专家的支持与建议。在此，我要对他们的付出表示深希望这份方案文档能够为您提供有益的信息和视角，帮助您更好地理解边缘计算领域的发展动向以及我们的创新成果。如果您在祝愿本文档能够为您带来价值，启发您在未来的技术探索中取由于时间仓促，水平所限，错误和不足之处在所难免，欢迎各I I II III 1 3 5（一）数据传输和存储技术 5 5 6 9 12 14 14 23 27 32 37 37 48 55 55 56V 58 59 59 61 62 63 63 75 89 95 95 97 100 102V云边端协同的智能视频方案研究报告随着人们对视频需求的不断增加，视频应用场景也不断扩大，包括监控、视频会议、在线教育、智慧城市、智能家居等领域，使得对视频处理能力的要求越来越高。云计算技术的快速发展为实现云边端协同的智能视频方案提供了技术支持，可以大大提高视频处理效率和准确性，并实现分布式计算和存储。物联网技术的广泛应用使得设备之间的连接更加紧密，也为云边端协同的智能视频方案提供了技术支持，可以实现设备之间的信息传递和互操作。人工智能技术的不断进步和发展，尤其是深度学习等技术的应用，使得智能视频处理更加智能化和高效化，提高了视频处理的准确性和自动随着安全和隐私需求的提高，对视频处理的要求也越来越高，特别是在监控和安全领域。云边端协同的智能视频方案可以更好地综上所述，云边端协同的智能视频需求背景主要源于视频应用场景的扩大、云计算技术的快速发展、物联网技术的广泛应用、人工智能技术的进步以及安全和隐私需求的提高等因素。主要可以概1.数据传输和存储需求：智能视频应用需要大量的数据传输和存储，而边缘设备的处理能力有限，无法满足这些需求。因此，需1要将数据传输到云端进行存储和处理，并将处理结果传回边缘设备，2.实时性需求：智能视频应用通常需要实时处理视频数据，对于一些需要及时反馈的应用场景，如智能监控、智能交通等，要求对视频数据进行实时处理和分析。因此，需要边缘设备和云端之间3.算法优化需求：智能视频处理通常需要复杂的算法支持，而边缘设备的计算能力有限，无法支持较为复杂的算法，因此需要将算法部分放在云端进行处理。同时，为了降低传输延迟和减少网络带宽的消耗，需要对算法进行优化，使其能够在边缘设备上运行，4.安全性需求：智能视频处理涉及到大量的敏感信息，需要采取一系列的安全措施来保障数据的安全性，如数据加密、身份认证等。同时，需要建立完善的安全管理机制，包括安全审计、漏洞修5.可扩展性需求：随着智能视频应用的不断发展和普及，需要6.用户体验需求：智能视频处理的最终目的是为用户提供高质量的服务体验，因此需要关注用户体验的各个方面，包括响应速度、图像清晰度、交互方式等，以满足用户的需求和期望。同时，需要进行用户调研和反馈，不断改进和优化系统的功能和性能，提高用27.成本效益需求：在智能视频处理中，云端和边缘设备的资源使用需要考虑成本效益，如网络带宽、存储、计算资源等，需要根端边云协同的智能视频系统需具备高效的视频采集和传输、端边智能分析、灵活的存储与检索、安全与隐私保护、可扩展性与兼容性、用户界面与交互、系统稳定性与可靠性等关键功能和性能。通过满足这些需求，智能视频系统能够提供高质量、可靠的监控和1.数据传输和存储技术：包括数据压缩、加密传输、云端存储、边缘存储等技术，以确保数据的安全传输和存储，并提高数据传输2.实时性处理技术：包括流媒体传输技术、低延迟编码技术、并行处理技术等，以保证视频数据的实时处理和及时反馈处理结果。3.智能视频处理算法技术：包括目标检测、行为识别、人脸识4.云边端协同调度技术：包括任务分配、资源调度、动态负载35.安全性保障技术：包括身份认证、数据加密、安全审计、漏6.用户交互界面技术：包括用户界面设计、交互方式设计等技基于以上技术，云边端协同的智能视频方案技术框架可以分为1.应用层：用户通过界面操作，完成对智能视频处理的需求定2.云边端协同处理层：通过任务调度和资源分配等机制，将任3.基础设施层：提供数据传输和存储、实时处理、安全性保障4在该技术框架下，云端和边缘端协同处理任务，利用分布式计算资源和算法实现视频数据的智能处理和分析，提高了视频处理效云边端协同的智能视频方案中，涉及到多种关键技术，以下对（一）数据传输和存储技术数据传输和存储技术是保证云边端协同的智能视频方案稳定和高效运行的关键技术。其中，数据压缩技术可以降低数据传输时的带宽占用和传输延迟，加密传输技术可以保证数据的安全性，云端存储技术可以提高数据存储利用率和容错性，边缘存储技术则可以设备和应用管理技术是保证端边云协同的智能视频解决方案能够正常运行的基础技术。该技术包括边缘和端设备的统一管控、应用管理和可观测性等关键技术，可以实现对边缘和端设备的有效管下图是设备和应用管理的架构图。通过在传统的云端两层架构5之间添加边缘站点这一物理层，使得每个边缘节点由最近的站点进行管理，从而降低云端中心的负载、服务时延，并提高边缘节点的在端边云协同的智能视频解决方案中，设备统一管控技术起着至关重要的作用，该技术涉及对边缘计算节点和端侧摄像头的管理和监控，包括但不限于设备的激活注册、配置、状态检测、软硬件边缘计算节点主要负责承担边缘计算任务。设备统一管控技术61.部署在边缘节点中的agent组件，会定期汇报心跳到云端控2.从云端控制中心对该节点注册激活，后端会根据心跳信息依至此，该边缘节点便成功纳管至该系统里。在中心控制中心将可以管理和操作该边缘节点，包括但不限于在线状态查看、资源监群，以提供应用多副本、容灾互备的能力。比如，同属于在况等，以便及时进行故障排查和性能优化。状态监测主要分为设备状态检测和应用状态检测。其中，设备检测主要包括7节点的在线状态（设备与网络的连接是否正常）、运行状态），则是对各个应用程序的实时监测，包括但不限于应用的运行新以修复漏洞、添加新功能或改进性能，每个软件组件都有唯一的版本号，管理员可以在中心控制台上查看到边端侧摄像头是智能视频解决方案中负责采集图像或视频数据的设备，采集到数据可结合模型算法应用实现视频内容分析和智能识的接入，屏蔽底层异构，对端侧摄像头进行统一管理，并提供以下8应用管理是端边云协同的智能视频解决方案中的另一重要组成部分，它涉及到对各种应用程序的管理和部署。每个应用采用合一算法这几类。此外，还可以将这些应用组成一体机应用进行统官方应用是一系列与智能视频解决方案相关的应用，也是本方等元信息组成。在智能视频领域里，这些应用可以是关于视频编解码的应用、也可以是对应场景的目标检测和跟踪算法应用。根据不同的场景和需求，通过云边通道，用户可以将应用下发到具体的边当应用成功部署到边缘节点后，应用的实例状态会上报回中心，9此外，官方应用可以在边缘节点出厂时便内置进去，以减少应用部署时镜像拉取的时间，从而实现应用秒级别的启动。这些预置的信息同样会记录在中心控制中心里，用户可以通过中心查看预置自定义应用则是由用户自定义创建的容器应用，由用户自行管不同场景需求并不相同，比如智慧交通和智慧园区场景里所需要的算法并不相同。为了赋予用户更高的自由度，以满足个性化、场景化需求，本方案设计了多合一算法的功能。该功能可根据不同在使用多合一算法前，需要事先在中心定义好单个算子的名称、运行架构、所需的运行资源以及模型文件地址。当部署一个多合一算法时，将会将这些信息整合在一起，通过模板创建实际的部署取。同时，算子内部会挂载一个宿主机的目录，用于存储存储下来为避免旧版本带来的脏数据，每次启动时，都需要清空，并且从进程将会读取该路径下数据。完成进程初始化工作，监听端口，建为了加速标品交付速度，本方案提出了一体机套件的功能，实现对于边缘节点的"一键装机"，标品快速交付，即支持将多款官方应用、官方算法等捆绑到一起，作为一个一体机套件包。从而用户可观测性是端边云协同的智能视频解决方案中的重要技术之一。它涉及对系统的运行状态和性能进行实时监测和分析，以便及时发架构，从而实现监测指标收集和数据存储和查询，架构如下图所示：每个边缘节点都会部署一个vm-agent，用于实时收集系统中各系统资源利用率、应用性能指标、网络状况等。采集到的数据除了机版组件里，以便在边缘控制台上直接查看到当前节点的运行状态。特定的监测指标进行实时查询、数据聚合和分析，并结合grafana此外，管理员或用户还可以设置报警规则，当监测指标超出设定的阈值或发生异常时，系统将自动触发报警通知，以便及时采取边缘侧的应用程序，容器运行底座，拥有控制面能上。边缘计算由云中心的延伸逐步演变为云-边-端一体化的基础设施，这个过程也会越发触及更靠近用户侧的边缘环境，这就使得越来越多边缘侧的小型机器或机房、盒子设备、甚至是单片机设备需要作为边缘侧算力节点纳入到边缘计算管理范畴。管理这些边缘设备难点在于克服异构性、设备资源极端限制、边缘网络质量差等主要因素。目前云原K8S生已经被广泛用于云计算领域，完成应用到基础设施的敏捷CI/CD，但其设计针对的领域更多是对数据中心的成群节点的管理，对于边缘零散设备管理的技术配套仍然没跟上，所由于边缘计算业务场景充斥着大量的异构、小规格的边缘算力，像各种智能终端、设备，它们对资源的约束是极致的，无法接受额对已有框架的轻量化改造、容器引擎的轻量化实现，有效提升边缘业务并发启动速度，大幅降低稳态下的内存占用，满足用户的基本（1）独立性：单机与中心无任何依赖关系；单机之间的资源（4）功能的有限性：单机仅满足基本的容器管理需求，包括用来管理所有依赖子模块的集成问题，同时取消数据库存储，直接口，设计了server模块，为了能够被标准k8s管理，将云相应裁剪完成kubelet、kube-proxy、containerd裁剪统一集成到同一个可执行文件可以作为不同的进程使用，例如，当文件名样一来，只需要一份代码和一个进程，就能包含多个服务。令管理的命令行工具，“/docker/docker/pkg/reexec”包作为进程管理工具。当二进制以指定名称命名时，则对应启动相应名称的进程。例如，edgelite的代码编译出来的二进制包含了containerd、kubectl、crictl、ctr进程。如果编译的二进制命名规范一致，使得与k8s相关的kubectl、client-go可以正常调用（2）Server对接收到请求，对请求进行解析，解析出请求的（3）根据请求的资源类型和操作类型（CREATE、UPDATE、（5）对于更新事件的操作类型（CREATE、UPDATE、PATCH、），完成资源对象的存储。为了确保写一致性，该模块维护本地文件存储模块相较于单纯的读写本地文件，主要增加了以现灵活调整。目前，该模块对接server资源接口，按照目录地址+文件名的方式来存放和索引资源。如果其他模块（如promlite）需要向本地存储迁移，可在初始化时自定（2）增加了读取缓存，可以减少访问相同资源的内存写操作都先在临时目录下进行，没有错误后，再拷贝到正常的进程中，因此组件之间的资源同步可以通过进程内的消息通信来完在EdgeLite中，需要进行资源同步的场景主要是：当存储的于消息订阅/发布的模式。目前，模块与模块之间没有相互传输消息的需求，即只有一对多的消息单向传递，而没有多对多或双向的消dispatcher模块采用消息订阅发布的模式，每个客户端作为消存储对象发生变更时，将消息通知给每个监听此对1.4Edgelite-PodController设计再支持Deployment、DaemonSet高阶应用部署。因此，单机版不再具备保证指定实例个数的Pod运行的能力。如果单机因为资源达到配置的使用上限，造成Pod被驱逐删除，即使机器资源恢复到可用此，单机版需要在保证轻量化的同时，也需要提供自动恢复被驱逐会更新为Failed状态，此外，当机器可用资源小于临界值时，基于以上的特点，我们可以设置一个简单的controller，仅对被驱在边缘计算场景下，许多边缘节点都位于私有网络中。由于节等服务。这导致常用的运维操作如日志查询、远程命令执行、指标数据查询等无法实现。因此，我们需要开辟一条云端与边缘侧的通提供一个能够跨越局域网屏障，实现稳定可靠的数据传输，支持多种协议代理的云边协同通道。通过这种方式，我们可以构建出云-边-端一体化的请求通道解决方案，从而将中心云、边缘云、私有现场IDC和边缘盒子设备等整合成一个资源混合云，实现容器化在云边传递云端请求2）如何拦截云端请求3）边缘如何处理云端请求4）高可用性的问题。2.1使用websocket构建云边通道，传递云端请求递消息。Cloud-Tunnel使用Edge-Serv的云边通道连接，Edge-Tunnel则使用Tunnel-Client模块与Cloud-责将http客户端的请求代理转发到边缘进行处理。它包括proxy（1）ProxyServer（2）TunnelServer端可以使用这个DNS解析，将请求发送给与目标边缘设备建立有云边通道的cloud-tunnel。同时，如果HTTP客户端无法直接使用edge-tunnel是云边通道的边端组件，负责将云端下发的请求消（1）tunnelclienttunnelclient是云边通道websocket连接的客户端。edge-（2）httpclientcloud-tunnel路由请求实现高可用性每个边缘节点都会运行一个名为edge-tunnel的模块，而这里署多份。在云端维护一个名为CloudTunnel的configmap，cloud-我们希望不仅能够在边缘侧直接访问轻量化单机平台，而且能在边缘离线的场景下，边缘控制面可以作为一个独立的系统，直接调度本地的资源，实现本地业务的运行。与此同时，当边缘设备需要连接到中心时，可以通过中心统一管理边缘设备，实现完整全局的资源统一调度。这种模式可以保证边缘设备在离线的情况下仍然能够独立运行，并且当需要连接到中心时，可以实现资源的统一调度和管理。这种模式可以适用于一些需要实时响应的场景，例如智能制造、智能交通等。在智能制造中，边缘设备可以实时采集数据，并进行本地的处理和分析，从而实现对生产过程的实时监控和调整。在智能交通中，边缘设备可以实时感知交通流量和路况，并做出相应的调度和指挥，从而实现交通的畅通和安全。因此，边缘控制面结合中心统一管理的方式，可以有效地实现边缘设备资源在Cloudlite架构中，为了实现对边缘单机的统一纳管和K8s这些controller主要负责以下两个任务1）从边缘单机拉取资到边缘单机。其中，Cloudlite模块与边缘单机同步资源的通道是云边通道。该通道能够实时感知中心资源的变化，并将这些变化的信息主动下发到边缘单机中，从而实现对边缘资源的实时更新和同步。总的来说，Cloudlite模块的设计实现了对边缘单机的统一纳管提供了对边缘节点进行管理和调度的能力。在cloud需要关注Pod、Node、Service、Endpoint、ConfigMap、Secret六动该节点的同步任务；当节点被从中心删除时，停止并删除同步任syncer是执行节点资源同步任务的模块。当启动之后，会周期值（资源namespace+name）添加到工作队列WorkQueue中。行工作队列中的任务。syncResourceHandler的主要工作过程如下：（1）查询中心和边缘是否存在资源。如果两者都不存在，则（2）如果中心存在资源，而边缘不存在，则（3）如果中心不存在资源，而边缘存在，则（4）如果中心和边缘都存在该资源，则需要以中心版本为主，（5）如果以上步骤在边缘执行失败，则需要将任务重新加入（2）Pod非强制删除时，Pod会设置DeleteTimeStamp，Pod（2）中心没有、边缘有，（检查资源是否有使用），若没有心sync-controller提供同步资源接口（约定只同步pod和node（3）中心有，边缘没有，在边缘创建资源（添加中心创建注kubernetes.io/owner.by.cloud=true）通过同步创建的资平面，但由于资源异构、机器的运营商、云供应商不同，逻辑上自案通过给node打标签、划分逻辑组，并使用nodeSelector或址，则需要手动更新每个所需的deployment，管理困难且维护成本可达或者访问效率低下的问题。有些服务我们希望每个区域中都运以节点池的视角对不同边缘区域下的主机进行统一管理和运维，通过使用新的单元化部署模型，将用户的工作负载部署在不同的节点池中，业务的实例数和版本都可以按照节点池的维度进行统一管随着Kubernetes（k8s）的不断发展，自定义资源（Custom自定义资源，用户可以扩展k8s的功能场景。而在许多场景中，需要对节点进行分组管理，这就用到了自据特定的需求将节点分组，从而更好地利用和管理节点资源。在Nodepool中，通过指定标签来实现节点的分组。义的节点池指定特定的标签，从而将具有相似属性的节点归为一类。它负责帮助用户维护节点标签，并保证对应节点池的三类信息实时定义和节点的标签，将节点添加或从对应的节点池中移除。此外，当节点池中的节点数量超过或不足预设阈值时，NodepoolHandler4.2节点分组网络互通前由于每个单机是作为一个独立的节点，每个节点之间的资源完全隔离，因此单机节点之间的容器网络也无法互通。为了对齐普通节子网分配：在目前的方案中，每个单机初始运行时使用参数“-相同的。因此，一个想法是每个单机节点可以当作独立的集群来看待，不考虑单机的子网分配问题，而是考虑如何实现集群之间的容器网络互通。但是，目前业界实现的集群之间容器网络互通的方案因此，要实现不同节点之间的容器网络互通，就需要确保不同节点分配一个不冲突的子网网段。分配子网的策略可以自定义，也点对服务实例的访问。我们可以采用在云端Cloudlite组件中对Pod（即设置Endpoints的su），NodePool中的后端Pod，最后调用EdgeLite创建或者更新Endpoints。智能视频处理涉及视频编解码及算法识别，这部分工作对算力的有很高的要求。如果将这部分工作完全放在云端进行处理，那么云端服务将除了需要提供极大的算力支持，还需要考虑网络传输延迟及带宽费用等高昂的成本。为此，我们充分利用了边缘计算的能力，将任务分解并下放到边缘，最终实现在边缘节点上面的设计了（1）视频处理模块：提供保存、抽帧、渲染合成等常见的视（2）算法推理模块：提供目标检测、跟踪、人脸识别等算法（3）事件管理模块：用于接收来自算法模块的事件信息，并（2）视频处理模块就会从视频地址获取视频，经过解码后，将抽帧出来的图片发给算法模块进行识别。算法模块识别之后，再把了全面的工具集，支持用户自定义模型和算法，以适应不同的推理（2）可配置性：服务内部支持自定义流水线，允许用户根据个算法的推理结果，实现更复杂的推理能力。这样可以帮助（3）跨平台性：本服务支持多种不同的硬件平台，包括：（3）图片预处理：将原始图片并转化成推理模型需要的格式。（5）算法后处理：根据用户需求，补全模型推理无法完成的上面只是最简单的推理流程。在实际业务中，我们会遇到更加例如：在一张图片内指定一个入侵区域，在这区域内如果发现有车辆或行人，就会判定为入侵并触发告警。车辆检测和行人检测例如：识别图片里面所有员工。人脸特征提取模型，要求先用其他模型提取出人脸位置，再取出对应位置的人脸作为输入提取特（1）将模型推理、前后处理等逻辑拆解成互相独立的处理器。（2）使用有向图将处理器连接在一起，构建出一套复杂的处（3）使用流水线调度策略：基于消息队列，对数据有序管理，作为EdgeInfer最重要的器官，处理器用于处理不同的工作，类型一个函数，对输入数据进行处理，然后输出结果。其基本包括括将图像分辨率缩放、图像颜色增强等操作。常用于推理前（3）逻辑封装：根据模型推理结果，实现用户需要的业务功处理器需要处理复杂的功能，因此其需要有一个固定且较为宽每个任务都是一个字典型的结构，键是处理器的名字，值是处理器的输出结果。每个处理器都可以获取得到当前任务的全部信息，在保证了统一的输入输出格式之后，还可以进一步地封装成动1)处理器插件可以随意替换。根据不同的硬件环境，项目需求，每个处理器都可能会有多种实现方式，此时只要2)动态插件可以扩展功能，而不需要修改主干代码。只要3)在编译时不需要考虑其他处理器。例如：编译图片解码大多数开发者来说都是容易的事。但处理器有时受到底层实现的影响，在处理任务时可能会有一些约束，例如：例如中间有一些处理器只能同时处理一个任务，那大多数人都会直接在函数F里面加上这种模式处理逻辑简单，但因为等待解锁会有任务执行时间长的问题，容易堆积任务，严重时甚至会打满内存而崩溃。更好的方因为所有处理器都是互相解耦的，所以允许不同的处理器进行同时，考虑到有些处理器无法同时处理多个任务，所以需要在不论来了多少个任务，都会按顺序放入队列中，再慢慢被处理当如果消费速度小于添加速度时，会导致任务队列被打满。为避免这种情况，我们还可以对任务队列加一些处理策略，例如：按在实际业务中，我们会遇到复杂的处理逻辑，要求处理好：串行和并行需求，同步和异步限制。要写出高效、简洁的代码，非常考验开发者。此外，开发者可能为了追求高效率，代码逻辑过于特如上图所示，基于有向图，我们可以非常直观地看出员工着装接下来，我们就需要使用图式计算引擎来执行任务。这部分需数据源：按一定规律产生任务。比如：从Http协议接口接收到请（2）有向图(Graph)会根据当前任务的状态，选择对应的处理器(Processor)，并且放入对应的任务队列(Qu（4）处理器处理完任务后，再次交给有向图(Graph)决定去向。（5）有向图(Graph)如果判断当前任务已经执行完时，会触发除了直接在计算节点上部署算法外，端边云协同的智能视频解情况动态调整应用的部署，在算力资源紧张的情况下，通过减少低优应用的副本数来腾出可用资源给高优应用来使用，该能力同样可如上图所示，弹性调度系统主要由云边数据通道、弹性计算调同步：根据接收来自中心的消息执行对应的操作，如创建应用部署；边侧统计数据通过通道上报到中心，由中心进行信整部署，确保在有限资源下最大化完成利用算力，主要实现优先级、应用工作负载等信息，同时引入节点组能力实现云成流量调度和输入输出转换。同时每个应用的请求访问数据持弹性计算调度层的算法调度逻辑处理。service-topology组件会为xds组件提供每个应用在当前节点分组下实际节点组粒度调度与整个集群调度的不同之处在于，不同节点组的运行情况是完全隔离的，同时应用的实际访问情况也会受到一些外在因素的影响，比如地域，这些将会导致各个应用在不同节点池里的实际访问情况各不相同。有些应用在某节点池甚至可能完全没有访问流量，或是被其他更高优的应用占去所需部署资源而导致完此外，本方案还定义了关于节点组的CRD资源（该资源记录了节点组及其关联的一系列的边缘节点间的关系。而节点部署组则是由多个节点组组成。AIDeployment控制器会监听不管有多少节点组，Service也只会部署一份。service-该service-topology组件后，网关便只会获取到该节点组对应的由于该系统调度部署的应用，需要统一使用网关代理访问。在QPS，以便更新调度。应用的实际QPS指标数据是通过通过网关的网关数据拉取时对数据来源加上节点池标记，以便区分应用在各节而当实际QPS降低后，副本数也会缩回到相应的数值。这里使用的资源监控模块会定时监控智能应用在各个节点池部署的Deployment的运行情况，并将其告知给流程调度模块，最后由流程调度模块统一更新智能应用的对应的运行状态status.state，以及增加，这可能会导致节点池资源不足，部分实例无法正常启动。此件，并将该事件告知流程调度模块。流程调度模块收到通知后，将会启动低优任务抢占的工作：高级优先级任务发现算力不足可以抢占低级优先级和更低的高级优先级。低级优先级不能抢占其他任务。前高优应用QPS开始下降，实例数也跟着减少后，节点组可用资源一旦节点组的可用资源充足，流程调度模块将会按优先级从大到小的顺序开始恢复被抢占的应用。流程调度模块的具体实现如下（1）流程调度模块监听AIDeploymentCRD，转化数据结构并源（3）流程调度模块根据优先级、资源情况控制该应用在节点（4）动态启停模块则根据流程调度的信号进行智能应用的启（6）应用副本数的变化导致资源使用的变化将被资源监控模（7）流程调度模块接收到资源变化信号，重端侧数据采集技术是指采集算法推理所需的各种数据，以及将该技术包括图片、音视频以及结构化数据、元数据等各种形式数据文件的搜集整理，分类归集，存储传输，以及可扩展的多维度别结果存证数据等，由主流数据库或文件系统进行分类、处通过对多种形式数据的搜集保存，为算法推理、结果存证、数据展示分析等提供基础能力支撑，同时通数据云边端归集可以支持算法迭代和升级，不断优化和改进算法，提高算法的准确性和效率，端侧推理任务平台是指工作在端侧硬件上，主要功能为绑定视频与算法，设定任务规则，生成算法任务的核心平台能力。该平台果通过把结构化数据，元数据等单独或与图片、视频流数据分析，并将算法结果存储分析存证的核心关键技术，其具有易运维能力动态负载均衡扩缩容等，通过端边侧联合的力，可以实现轻量分析放端侧，重量分析放云边端，对海量和展示。存证数据包含多种消息处理和数据库技术，如消息可以快速存储和分析。此外，存证数据还具备数据聚合分析技术，如数据挖掘、数据仓库、数据湖等，以实现对数据的在边缘计算场景中，容器安全是一个非常重要的问题。由于边缘计算的环境相对较为复杂，因此需要采取一些特殊的措施来确保容器的安全性。以下是基于云原生k8s应用的边缘计算容器安全方（1）使用可靠的镜像仓库：在边缘计算环境中，由于网络带耗时，因此建议使用可靠的镜像仓库，以确保镜像的安全性（3）使用自签名证书：在边缘计算环境中证书来验证容器的身份和完整性。我们通过在容器中安装自（4）部署容器网络：容器网络是一种将容器与外部网络隔离开的技术。在边缘计算环境中，建议使用容器网络来限制容（6）强化准入和退出机制：在边缘计算环境中，应该建立严格的准入和退出机制，确保容器在进入和退出环境时都经过（7）利用容器安全扫描工具：使用容器安全扫描工具可以帮综上所述，基于云原生k8s应用的边缘计算容器安全方案应该从多个方面来确保容器的安全性和可用性，包括使用可靠的镜像仓库、限制容器的权限、使用自签名证书、部署容器网络、监控和日志记录、强化准入和退出机制、利用容器安全扫描工具、实施容器在当今的数字化时代，鉴权加密方案是保护边端固件和应用的重要手段之一。本文会部署一套边缘鉴权服务器实现边缘节点的鉴权和密钥托管能力，可用于确保设备运行的软件组件是合法的和未在该鉴权加密方案中，中心会为可信的边缘盒子进行预授权操作。当边缘设备需要部署应用时，中心后台服务重新更新预授权信息，并下发命令使边缘鉴权服务器重新获取鉴权信息，包含包括授务器发送授权应用名申请验证，并由该服务器验证器授权的合法性和有效性。仅当验证通过后，应用组件才能正常运行。组件与该服务器之间的通信采用了强大的加密算法和非对称密钥技术，确保了授权信息的安全性和完整性，防止信息被篡改或盗用。同时鉴权服（1）提供的接口包括获取授权信息、验证授权信息、设置环（2）提供日志记录和审计功能，可以记录边缘设备的操作和上述鉴权加密方案为边缘设备的软件组件提供了安全、可靠、边缘的每个证书都会使用密钥进行加密，加密后的文件会存放在边缘主机的指定的一个加密数据目录里。同时，这些密钥也会托管在3.6.2所描述的鉴权服务器里，并关联指定的一些业务应用，当边缘主机安装的解密文件系统启动后，会将上述加密数据目都会转发到解密文件系统里，由该系统进行解析。在解密文件系统打开文件请求前，会先向鉴权服务器验证业务程序是否可信，以及对于可信进程来说，对解密文件系统的文件的读操作，读取的是明文，而对于非可信的进程，读取的则是密文。基于该解密文件验证进程和索要密钥等方式来保护文件的安全性，从而为云边通讯硬件平台支持技术是保证云边端协同的智能视频方案能够高效化技术，可以提高计算资源的利用效率和处理能力。同时，还包括硬件设备的稳定性、可靠性等技术，以确保整个系统的稳定性和可随着“云-边-端”架构的快速发展，算力需要下沉到边缘侧来满足边缘对日益增长的算力需求，特别是对实时数据的处理。同时，边缘侧算力系统需要和云算力系统保持协同工作，从而可以实现各尽管云和边缘侧对算力的需求相同，但是由于各自所处环境也不相同。云一般采用大型数据中心来实现，处理的是巨型同构数据，因此云服务器的架构大体相同，数量众多，但是种类较少，可以快速批量生产。边缘侧的应用场景五花八门，少量多样，且所处环境针对云与边各自不同的特点，硬件模块化设计是一种很好地解决方案。工业富联基于《ODCC-2021-04003-边缘计算小型化边缘服务器系统参考架构及技术规范》规范要求进行设计，采用深度模块以计算模块为核心，根据不同的应用场景，可以快速满足从数针对室内边缘视频技术，工业富联基于模块化服务器架构概念，视频流数据往往需要实时存储。工业富联通过模块复用，基于采用4NVMe模块实现，可根据具体的应用场景按需安装相应的存储边缘视频技术除了在室内场景被应用之外，在室外场景也被广泛使用，比如智能交通、智慧灯杆、智能驾驶等。相比于室内场景，室外场景更加恶劣，包括宽温高湿、粉尘、盐雾等各种情形都有可工业富联针对室外边缘场景的特点，采用模块复用的概念，基于Intel第四代至强可扩展处理器设计相应的高性能室外云边服务输，支持8口RJ端口+2x2光口，可以接收多路视频信号。支持当边缘算力需求进一步提升时，或者在特别恶劣的环境，采用风冷边缘服务器将不再受欢迎。一是因为风扇属于易损元件，二是噪声问题，三是可维护性等问题。因此，采用浸没式单相液冷边缘浸没式液冷边缘服务器系统采用自然对流为主，水冷散热为辅的方式进行散热，不需要额外配置庞大的冷却塔或干冷机进行散热，能力、更低的维护需求、提升能效。采用环保的介电液体减少对环境的污染，满足多元化系统部署的场景。针对高功耗元件，如CPU（左））箱内采用模块复用的概念，基于Intel第四代至强可扩展处理器，内机箱所承载的边缘服务器系统放置在密闭的外机箱腔体内，通过对流的方式将组件的热量传递至液体，液体再将其导到腔体表为了更有效地增加系统内对流，提升系统与环境间的热传能力，在系统内部将高功率或低温度规范的组件放置在底部，低功率或高成冷却液体对空气散热的CDU架构，满足最小空间要求和独立运转2U边缘液冷系统具有相同的均匀流场设计和模块化可扩展功能，不锈钢制成，提供防锈和防腐蚀保护。机柜的翻盖顶盖可以密封以被加热的冷却液在热浮力作用的带动下向上运动并通过CDU泵从水箱顶部抽吸进入板式换热器与冷水机、干冷器等冷却系统进行热交可以远程轻松实现对节点的管理。通过模块化的灵活布局，实现最佳的基于热设计的摆位。监控系统提供两种操作模式，通过传感器综上所述，云边端协同的智能视频方案中，涉及到多种关键技术，这些技术相互协作，共同保障系统的高效稳定运行和智能视频在计算中，数据以三种状态存在：传输中、静止和使用中。通过网络的数据是“传输中”的，存储中的数据是“静止的”，正在处理的数据是“正在使用的”。在我们不断存储、消费和共享敏感数据（从信用卡数据到医疗记录，从防火墙配置到我们的地理位置数据）的世界中，保护所有状态下的敏感数据比以往任何时候都更加重要。加密现在通常用于提供数据机密性（阻止未经授权的查看）和数据完整性（防止或检测未经授权的更改）。虽然现在普遍部署保护传输中和静态数据的技术，但第三种状态-保护正在使用的数据-是新的前沿。此外，随着越来越多的数据被转移到云端，网络和物理边界安全在抵御攻击方面的能力越来越有限。虽然以前的保护措施（保护传输中和静态数据）仍然是重要组成部分，但它们已机密计算通过在基于硬件、经过验证的可信执行环境中执行计算来保护使用中的数据。这些安全且隔离的环境可防止在使用应用程序和数据时对其进行未经授权的访问或修改，从而提高管理敏感数据机密性和代码完整性保证的环境。基于硬件的TEE使用硬件支在机密计算的上下文中，未经授权的实体可能包括主机上的其他应用程序、主机操作系统和虚拟机管理程序、系统管理员、服务提供商和基础设施所有者——或任何其他可以物理访问硬件的人。实体替换或修改。总之，这些属性不仅保证了数据的机密性，而且还保证了所执行的计算实际上是正确的计算，从而使人们也可以信2.1英特尔信任域扩展（英特尔®TDX）种体系结构技术，用于部署硬件隔离的虚拟机（VM称为信任域供商（CSP）提供托管云服务的能力，而不会将租户数据暴露给对MK)技术和CPU认证软件模块构建的。英特尔信任域扩展能够提供工作负载数据免受大多数基于软件的攻击和许多基于硬件的攻击。安全性、调试和其他技术的更安全访问。工作负载现在可以具有此远程证明使依赖方（工作负载的所有者或工作负载提供的服务消费者以数字方式确定他们所依赖的TCB版本，以帮助保护他们的密的安全服务模块。Intel-TDX模块托管在由SEAM范围寄存器(SEAMRR)标识的保留内存空间中。在这种设计下，CPU只允许在模式下运行以实现内存完整性保护（以启用各种内存配置）。内存完整性可以通过（默认的）密码完整性保护方案或逻辑完整性保护自软件和一些硬件的状态篡改的攻击。逻辑完整性保护方案旨在仅在创建TD时，该模块旨在为每个TD分配一个唯一的私有TD虚拟机中传递中断和异常的传递是基于VMX-APIC虚拟化和VMX-APIC虚拟化和虚拟中断架构的使用将有效地将中断传递到请从Intel®TrustDomainExtensions下载英特尔®TDX相关（1）启动英特尔®TDX来宾虚拟机以运（3）在IaaS主机上使用基于英特尔®SoftwareGuard成功构建包后，将生成两个存储库。一个是主机存储库，其中FV（固件卷）中。相反，开发了一个来自tdx-tools的新工具另一方可以验证证据，并且可以通过编程或手动方式来决定是否信通常很重要，这样检查证据的一方就可以强有力地保证它不是由恶意软件或其他未授权方生成的。远程方在成功验证证据后允许将秘及OVMF、引导加载程序（shim/grub）和内核等来宾组件。QEMU（平台配置寄存器）。来自多个安全寄存器的值构建为一个报告，GuardExtensionsData不同的上层业务对底层硬件平台提出不同的技术需求，具体包应尽量采用统一的设计和部件选型。否则型号众多的服务器3.1适应边缘机房环境挑战边缘机房与核心机房相比条件较为恶劣，很多方面无法满足通边缘机房条件难以与大型数据中心等同，且数量庞大，所以单纯的改造机房并不现实，其中既有改造难度大造价高的原因，也有机房作为“战略资源”，很难自由扩展空间的因素，因此对服务器边缘服务器承载大量电信级业务，并部署在较为恶劣的边缘机提高运维效率。因此，服务器需要支持前维护，建议采用统3.3边缘计算服务器硬件方案边缘服务器不但需要适应边缘机房的环境，还需要满足各类边一般计算型服务器2U高度即可，存储型服务器可宽；但考虑边缘业务未来交付方便，可能会考虑“机框+多速卡配置，方案要求最高密度、最低成本、超低延迟、最低能耗、可计算存储架构,可直接用于现有服务器硬件接口，易使用，易维护等特性。由于采用视频加速卡方案，从功耗、空间和性能需求等多方面考虑，倾向于单路低功耗方案。同时考虑到边缘异构计算等在部件规格方面，一是对网卡的性能、兼容性等有较高要求，强对部件的选型要求或者形成比较严格的认证部件列表；二是对于网卡加速功能要求比较迫切，需将部分功能卸载至网卡，以提高网OTII项目将与服务器、BMC及FW厂商合作，开发统一的针对元设计为独立模块，缩小了服务器的机箱长度，可根据不同需求灵的机房环境，可以支持在边缘网络机柜上架安装，该方案具备如下该方案采用密闭的浸没式液冷箱设计方案，具有被动散热、外VPU（VideoProcessingUnit）加速卡服务器方案国内某泛娱乐直播龙头企业，在直播业务尤其是音视频通信方面有很强的技术积累，近年来自身的直播业务覆盖音乐、脱口秀、舞蹈、户外、体育、游戏等多个细分品类，其强大的音视频能力也对其他ToB企业开放，同时积极尝试采用新的技术手段优化其自身在音视频的业务中，对实时性有极高的要求，如游戏语音、直播等。这类业务需要对音频、视频内容的分发保证超低延，从而保证终端用户的极致体验。但是，如何能够在不增加业务成本的同时，保证用户的低延时体验，成为音视频厂商必须解决的难题。通过与在进行架构升级之前，客户将音视频直播架构部署在中心云，将视频数据在中心云处理完成之后，再通过CDN节点分发到终端用户。基于中心云的直播架构有几点劣势：带宽成本方面相对较高、分散在全国的终端用户直播体验欠佳。基于以上几点劣势，在充分了解边缘云各项优势的前提下，客户考虑将基于百度智能云BEC升流、转码、渲染，面向本地用户实现就近分发，实现本地化视频链在这一案例中，百度智能云BEC为客户提供了遍布全国的边缘算力资源和带宽资源，帮助客户完成了音视频架构升级。客户实现了带宽成本降低，并且同时大幅提升了终端用户的使用体验，实现2．边云协同的视频分析技术在智慧校园之明厨亮灶中应用大中小学幼儿园的食品安全监管面临量大、面广、操作环节多的问题，靠现有的以上门抽检和人工视频巡查的监管方式难以实现有效的监管，迫切地需要通过视频监控、人脸识别、视频智能分析、物联感知等先进技术对餐饮后厨人员持证情况、穿戴情况、四害防治情况、卫生消毒环境等各方面进行远程智能监管，从而进一步落采用“云-边-端”架构带动区域智慧校园系统的技术升级，根据业务需要分级处理，云边协同，为各校区、各辖区的分级管理提以物联网平台为基础，建设辖区智慧校园监管平台，针对校园明厨亮灶分系统提供测感知平台和视频感知平台，采用微服务架构解耦业务和数据，解决异构系统架构和数据统一管理。作为城市及地区及的智慧校园行业平台，承担各级建设的所有视频站的统一数据的接收、解析、存储与服务，实现与各级所有感知相关数据的统物联网平台北向通过开放的API接口和主站应用进行对接。通过物联网平台实现了感知层的物联网设备和上层应用之间的解耦，加快了上层应用的迭代速度。业务功能软件微服务化后，多业务部门的微服务都可运行在物联网平台上，可实现充分的信息共享，打将业务应用部署至距离数据源头最近的边缘节点，帮助智慧校园行（2）边缘硬件：开发适用于智慧校园分级建设、统一监督体系的边缘网关设备，将高带宽、低时延、本地化的业务下沉到网络边缘，解决时延过长、汇聚流量过大等问题，从