云边协同物联网平台系统架构文档
1. 执行摘要
-
目的与范围:
- 面向数百万设备的云边协同平台,提供设备注册/认证、在线状态管理、命令下发、遥测采集、规则处理、OTA 升级、告警/工单、报表与监控。
- 支持多协议接入(MQTT/CoAP),设备直连或经网关接入;边缘具备轻量代理、规则引擎与离线缓冲;云端基于 Kubernetes 的微服务架构。
-
关键架构决策:
- 接入与传输:统一采用双向 TLS 与设备证书进行认证;MQTT/CoAP 接入按协议与地域水平扩展。
- 流处理与一致性:Kafka + 流式计算框架(支持恰好一次语义);按设备粘性分区与序列号保证消息顺序与幂等。
- 时序存储:高吞吐时序数据库(压缩与冷热分层),对象存储用于固件和遥测归档。
- 规则引擎:支持条件、阈值与风控,云边协同执行;P95 延迟 < 500ms。
- 安全与合规:TLS1.2+ 强制启用,命令/固件签名校验,设备证书周期轮换;数据最小留存、脱敏及审计。
- 运维与治理:统一 API 网关提供租户隔离、鉴权与速率限制;集中审计与准入控制;变更窗口与灰度发布。
-
规模与性能目标:
- 单集群支持 500 万设备;峰值写入 200 万条/分钟;边缘断网缓冲 24 小时;云端 RPO ≤ 10 分钟。
2. 系统概述
-
高层级描述:
- 设备端/边缘侧:轻量代理与规则引擎,支持本地缓存与断点续传。
- 接入层:MQTT Broker 集群、CoAP 网关,统一接入与设备会话管理。
- 云端微服务:设备管理、身份与密钥、遥测采集、时序存储、规则处理、OTA 升级、告警与工单、地理围栏、报表。
- 数据层:Kafka、时序数据库、对象存储、关系型元数据仓库、缓存(Redis)。
- 外部网关:统一 API 网关(租户隔离、鉴权/授权、速率限制)。
- 监控:设备在线率、消息堆积、边缘健康、规则执行指标。
-
高层架构图:
flowchart LR
subgraph Edge["边缘侧"]
EA[边缘代理/规则引擎]
LC[本地缓存/断点续传]
GW[现场网关]
Dev[设备群]
Dev --> GW --> EA -->|MQTT/CoAP+mTLS| Ingest
EA --> LC
end
subgraph Ingress["接入层"]
Ingest[协议接入集群(MQTT/CoAP)]
ConnMgr[连接/会话管理]
Ingest --> ConnMgr
end
subgraph Cloud["云端微服务(Kubernetes)"]
APIGW[统一API网关(租户隔离/鉴权/限流)]
DM[设备管理]
IK[身份与密钥]
TI[遥测采集]
RE[规则处理]
OTA[OTA升级]
ALR[告警与工单]
GF[地理围栏]
RPT[报表/查询]
APIGW --> DM
APIGW --> OTA
APIGW --> ALR
APIGW --> RPT
end
subgraph Data["数据层"]
KFK[Kafka/流处理]
TSDB[时序数据库(冷热分层)]
OBJ[对象存储(固件/归档)]
RDB[元数据数据库]
REDIS[缓存/会话]
TI --> KFK --> RE
RE --> ALR
KFK --> TSDB
OTA --> OBJ
DM --> RDB
ConnMgr --> REDIS
end
Ingest --> TI
APIGW --- Ingest
3. 架构目标与约束
-
关键目标:
- 高并发接入与吞吐;低延迟规则处理;云边协同;多租户隔离与计费。
- 离线容忍与断点续传;消息顺序与幂等;可观测性与可运营性。
-
性能与扩展:
- 单集群 500 万设备;200 万条/分钟峰值写入;规则处理 P95 < 500ms。
- 多区域部署,接入层按照协议与地域水平扩展;TSDB 分区与分层存储。
-
安全与合规:
- TLS1.2+ 强制;设备证书定期轮换;命令/固件签名校验。
- 数据最小留存、脱敏;遵循当地物联网安全与隐私法规。
-
可靠性与灾备:
- 边缘断网缓冲 24 小时;云端 RPO ≤ 10 分钟;支持灾备切换演练。
-
技术栈约束:
- 流处理具备恰好一次语义(Kafka 事务 + 流引擎);时序库支持压缩与冷热分层;OTA 支持灰度、暂停与回滚。
-
运维与治理:
- 集中审计、准入控制与变更窗口;统一 API 网关限流与计费;SLO/SLI 报告。
-
假设:
- 设备支持客户端证书与心跳;网关具备本地存储;设备可报告序列号或递增计数用于去重。
4. 架构模式与风格
- 微服务架构:按领域拆分(设备管理、身份密钥、遥测采集、规则处理、OTA、告警工单、报表)。
- 事件驱动与流式处理:Kafka 作为事实事件总线,使用恰好一次语义;规则引擎与告警基于流计算。
- CQRS:命令/控制与遥测读写分离;写入路径与查询路径独立优化。
- 云边协同:边缘代理执行部分规则,云端统一编排与下发。
- API 网关 + 多租户隔离:统一入口进行鉴权授权、限流、审计与计费。
- 可靠交付与幂等:Outbox/事务消息、设备级序列号、粘性分区、幂等消费者。
- 弹性与容错:按协议与地域水平扩展;断网缓冲与断点续传;回压与自适应心跳。
- 安全内生:mTLS、密钥轮换、签名校验、零信任网络分段。
5. 系统组件
5.1 边缘代理与规则引擎(Edge Agent)
- 责任与特性:
- 协议适配(Modbus/OPC-UA/自定义)到 MQTT/CoAP。
- 本地规则执行(阈值、简单条件、预聚合);断网缓冲(≥24h)。
- 本地缓存与断点续传,包序与去重;带宽/功耗优化(批处理、心跳动态)。
- 交互:
- 与设备/网关交互采集数据;与云接入层进行 mTLS 通信;接收云下发边缘任务/规则。
- 内部结构图:
flowchart LR
SA[采集适配器] --> RP[规则处理器(边缘)]
RP --> PQ[持久化队列/缓存]
PQ --> UPL[上传管道(断点续传)]
CFG[配置/策略管理] --> SA
CFG --> RP
5.2 协议接入集群(MQTT/CoAP)
- 责任与特性:
- 处理设备连接、会话、订阅、心跳与消息收发;双向 TLS;设备证书认证。
- 支持 LWT(最后遗言)报告离线;低功耗心跳优化(可变 KeepAlive、ACK 聚合)。
- 交互:
- 向遥测采集服务转发消息;与连接管理共享会话状态;与 API 网关互通命令通道。
- 内部结构:
flowchart LR
LB[接入负载均衡] --> MB[MQTT Broker Shards]
LB2[接入负载均衡] --> COAP[CoAP 网关]
MB --> CM[连接/会话管理]
COAP --> CM
MB --> TI[遥测采集]
COAP --> TI
5.3 连接/会话管理(Connection Manager)
- 责任与特性:
- 维护设备在线状态、心跳、最后活动时间;提供在线率指标。
- 会话粘性分配;支持 LWT 触发告警;租户/分组维度统计。
- 交互:
- 从接入集群获取会话事件;写入缓存(Redis);向设备管理上报状态;暴露查询接口。
5.4 设备管理(Device Management)
- 责任与特性:
- 设备注册/分组/标签;拓扑(设备-网关);租户隔离与配额。
- 设备元数据、影子文档(Desired/Reported);审计日志。
- 交互:
- 与身份与密钥服务协作完成入网与证书发放;为命令/OTA/规则提供设备选择。
- 内部结构:
flowchart LR
API[管理API] --> REG[注册/入网]
API --> META[元数据/影子]
REG --> IK[身份与密钥]
META --> RDB[(RDB)]
5.5 身份与密钥(Identity & Key)
- 责任与特性:
- 设备证书颁发与轮换;命令与固件签名校验;租户与用户身份(OIDC/OAuth2)。
- 与 KMS/HSM 集成,保证密钥安全。
- 交互:
- 与接入层进行证书校验;与 OTA/命令服务进行签名验证;与 API 网关进行用户鉴权。
5.6 遥测采集(Telemetry Ingestor)
- 责任与特性:
- 接收来自接入层的遥测数据;进行轻量校验、结构化、打标签(设备/租户/时间)。
- 通过 Kafka 写入流处理与时序数据库(Exactly-once)。
- 交互:
- 生产 telemetry_raw 主题;触发规则处理;归档至 TSDB。
- 内部结构:
flowchart LR
RX[接收器] --> VAL[校验/规范化]
VAL --> OUTBOX[事务Outbox]
OUTBOX --> KFK[(Kafka)]
KFK --> TSDB[TSDB 写入器]
5.7 规则处理(Rule Engine)
- 责任与特性:
- 可视化规则编排;条件、阈值、风控;云边协同下发。
- P95 延迟 < 500ms;支持状态ful计算、窗口与地理围栏。
- 交互:
- 消费 Kafka 遥测流;触发告警与工单;可下发命令或边缘任务。
- 内部结构:
flowchart LR
CFG[规则配置/编排] --> DIST[规则发布(云/边缘)]
KFK[(telemetry_enriched)] --> ENG[流式计算引擎]
ENG --> EVT[规则事件/告警]
EVT --> ALR[告警/工单]
EVT --> CMD[命令下发]
5.8 OTA 升级(OTA Service)
- 责任与特性:
- 灰度发布、分批、暂停与回滚;固件签名校验;下载断点续传;进度与失败分析。
- 交互:
- 与对象存储管理固件;向设备/边缘下发升级指令;与规则/告警联动。
5.9 告警与工单(Alert & Ticketing)
- 责任与特性:
- 多级告警(信息/警告/严重);地理围栏触发;工单闭环(创建、派发、处理、归档)。
- 交互:
- 接收规则事件;通知渠道(短信/邮件/Webhook);与设备管理、报表集成。
5.10 地理围栏(Geofence)
- 责任与特性:
- 定义区域、边界策略;检测设备位置与越界事件;与规则引擎结合。
- 交互:
5.11 报表与查询(Reporting)
- 责任与特性:
- 实时/离线报表;设备在线率、消息堆积、规则执行指标;租户级计费/用量。
- 交互:
- 查询 TSDB 与归档;汇总 Kafka 指标;输出到 API 与可视化。
5.12 数据层(Kafka/TSDB/Object/RDB/Redis)
- Kafka:主题分区按租户/设备键;Exactly-once 生产/消费;DLQ 与重试。
- TSDB:压缩、分区、冷热分层;写入批量与时间窗口优化;索引设备/租户。
- 对象存储:固件与历史归档;生命周期策略;加密存储。
- RDB:设备元数据、规则配置、工单、审计日志;主从与读写分离。
- Redis:会话状态、速率限制、短期缓存;TTL 与淘汰策略。
5.13 统一 API 网关(API Gateway)
- 责任与特性:
- 鉴权(OIDC/OAuth2/API Key)、授权(RBAC/ABAC)、租户隔离、速率限制与配额、审计。
- 交互:
- 北向 API 暴露;南向命令通道与接入层协同;与监控集成。
5.14 监控与可观测性
- 指标:设备在线率、消息堆积(队列滞留)、边缘健康(CPU/内存/缓存使用)、规则执行延迟与失败率、OTA 成功率、TSDB 写入延迟、API 网关拒绝率。
- 日志与追踪:集中日志(结构化)、分布式追踪(TraceID 贯穿接入→处理→存储)。
- 告警:基于阈值与异常检测;演练与抑制策略。
6. 数据模型与流
6.1 关键实体与关系(选摘)
| 实体 |
关键字段 |
说明 |
关系 |
| Tenant |
id, name, quota, billingPlan |
租户信息与配额 |
1:N Device, 1:N User |
| Device |
id, tenantId, gatewayId?, tags, shadowDesired, shadowReported, status |
设备元数据与影子 |
N:1 Tenant, N:1 Gateway |
| Certificate |
id, deviceId, serial, notBefore/After, status |
设备证书与轮换 |
1:1 Device |
| TelemetryPoint |
deviceId, ts, metric, value, seq, attrs |
遥测数据点 |
N:1 Device |
| Command |
id, deviceId, payload, signature, status, retries |
下发命令 |
N:1 Device |
| Rule |
id, tenantId, dsl, targets, version, enabled |
规则定义 |
N:1 Tenant |
| Alert |
id, ruleId, deviceId, severity, status |
告警事件 |
N:1 Rule |
| Ticket |
id, alertId, assignee, state, sla |
工单 |
N:1 Alert |
| Firmware |
id, version, checksum, signature, uri |
固件元数据 |
与 OTA Job 关联 |
| OTAJob |
id, firmwareId, targetSelector, rolloutPlan, state |
升级任务 |
N:1 Firmware |
| Geofence |
id, tenantId, polygon, policy |
地理围栏 |
N:1 Tenant |
| AuditLog |
id, actor, action, target, ts |
审计 |
全局 |
| Usage |
tenantId, metric, period, value |
计费/用量 |
N:1 Tenant |
- 存储映射:
- TSDB:TelemetryPoint 按 tenantId/deviceId/metric/ts 分区。
- RDB:Device/Rule/Alert/Ticket/Firmware/OTAJob/Geofence/AuditLog。
- Redis:会话状态与速率限制;命令短期状态。
- Object:Firmware 二进制、遥测归档(压缩 Parquet/ORC)。
6.2 数据流动路径
sequenceDiagram
participant Dev as 设备/边缘
participant Ingest as 接入(MQTT/CoAP)
participant TI as 遥测采集
participant KFK as Kafka
participant RE as 规则引擎
participant TSDB as TSDB
Dev->>Ingest: Telemetry(mTLS, seq)
Ingest->>TI: 标准化消息
TI->>KFK: telemetry_raw(事务/幂等)
KFK->>RE: 消费/富化(设备/租户标签)
RE->>TSDB: 指标写入(批量)
RE->>KFK: rules_events(触发告警/命令)
sequenceDiagram
participant API as API网关
participant CMD as 命令服务
participant Ingest as 接入(MQTT)
participant Dev as 设备
API->>CMD: POST /devices/{id}/commands
CMD->>Ingest: 下行消息(mTLS, 签名)
Ingest->>Dev: 命令交付
Dev-->>Ingest: ACK/Result(seq, signature)
Ingest-->>CMD: 回执
CMD-->>API: 状态更新
sequenceDiagram
participant API as 控制台/API
participant OTA as OTA服务
participant OBJ as 对象存储
participant Dev as 设备/边缘
API->>OTA: 创建OTAJob(灰度策略)
OTA->>Dev: 下发升级指令
Dev->>OBJ: 断点续传下载(校验/签名)
Dev-->>OTA: 进度/结果上报
OTA-->>API: 报告/可回滚
7. 集成与接口
7.1 组件间通信
- 内部通信:
- gRPC/HTTP2(服务间低延迟调用)。
- Kafka(异步事件/流处理)。
- Redis(会话/限流)。
- 接入与云:
- MQTT 3.1.1/5,CoAP;mTLS 双向认证。
- API 网关:
- OAuth2/OIDC 用户认证;RBAC/ABAC 授权;租户隔离;速率限制与配额。
7.2 外部接口与 API(示例)
| API |
方法 |
路径 |
说明 |
鉴权 |
| Device 注册 |
POST |
/api/v1/devices |
注册设备/标签/组 |
OAuth2/RBAC |
| 查询设备 |
GET |
/api/v1/devices/{id} |
获取元数据/影子 |
OAuth2/RBAC |
| 命令下发 |
POST |
/api/v1/devices/{id}/commands |
下发命令(签名) |
OAuth2/RBAC |
| 规则管理 |
POST/PUT/GET |
/api/v1/rules |
创建/更新/查询规则 |
OAuth2/RBAC |
| OTA 任务 |
POST |
/api/v1/ota/jobs |
创建升级任务 |
OAuth2/RBAC |
| 告警查询 |
GET |
/api/v1/alerts |
过滤查找告警 |
OAuth2/RBAC |
| 工单操作 |
POST/PUT |
/api/v1/tickets |
创建/更新工单 |
OAuth2/RBAC |
| 遥测查询 |
GET |
/api/v1/telemetry |
TSDB 查询 |
OAuth2/RBAC |
| Webhook 配置 |
POST |
/api/v1/integrations/webhooks |
订阅规则事件 |
OAuth2/RBAC |
- MQTT 主题约定(示例):
- 上行:tenant/{t}/device/{d}/telemetry
- 下行命令:tenant/{t}/device/{d}/cmd
- 回执:tenant/{t}/device/{d}/cmd/ack
7.3 集成架构图
flowchart LR
APIGW[API网关] --> DM[设备管理]
APIGW --> RE[规则管理]
APIGW --> OTA[OTA服务]
APIGW --> RPT[报表]
RE --> ALR[告警/工单]
ALR --> WH[Webhook/通知]
OTA --> OBJ[对象存储]
TI[遥测采集] --> KFK[(Kafka)]
KFK --> RE
KFK --> TSDB[时序库]
8. 安全架构
-
认证:
- 设备:mTLS(双向 TLS1.2+),设备证书(X.509),证书吊销/轮换;接入层验证证书与 CRL/OCSP。
- 用户与第三方:OIDC/OAuth2;API Key;多因素认证(可选)。
-
授权:
- RBAC(角色)、ABAC(属性:租户、设备组、标签);细粒度资源权限。
- API 网关实施策略;服务内二次校验。
-
数据保护:
- 在途:TLS;命令与固件签名校验(防篡改)。
- 在静:TSDB/RDB/Object 加密;KMS/HSM 管理密钥;最小留存与脱敏(PII、位置数据)。
- 审计:所有敏感操作写入不可变审计日志;合规报告。
-
安全运营:
- 秘钥轮换策略(设备证书、服务令牌);漏洞扫描与镜像签名;供应链安全。
- 网络分段与零信任:接入层、应用层、数据层隔离;安全组与策略。
- 租户隔离:命名空间/资源配额;数据与主题分区隔离;速率限制与配额。
9. 可扩展性与性能
- 水平扩展:
- 接入层按协议与地域扩展;Kafka/TSDB 分片与分区;微服务无状态化水平扩容。
- 分区与粘性:
- Kafka 按租户/设备键进行粘性分区,保证设备消息顺序;消费者组扩展以吞吐。
- 恰好一次与幂等:
- Kafka 事务 + Idempotent Producer;Outbox 模式;设备级序列号/幂等键。
- 缓存与批处理:
- 边缘批量上传与断点续传;云端批写 TSDB;规则引擎窗口聚合。
- 低功耗优化:
- 动态心跳;ACK 合并;命令合并与优先级;重传退避。
- 回压与限流:
- 网关/接入对高负载施加回压;租户级速率限制;DLQ 与重试策略。
- 容量规划(示例):
- 接入层:每节点 50k 并发连接目标;集群 100 节点支撑 5M。
- Kafka:每主题按 1k 分区规划;磁盘 IO 与网络冗余。
- TSDB:冷热分层策略(7-30 天热数据,归档/压缩)与索引规划。
10. 部署与基础设施
flowchart TB
subgraph Region A
K8S_A[Kubernetes Cluster]
MQTT_A[MQTT Broker Cluster]
COAP_A[CoAP Gateways]
KFK_A[Kafka Cluster]
TSDB_A[TSDB Cluster]
RDB_A[RDB HA]
REDIS_A[Redis]
OBJ_A[对象存储(区域化)]
K8S_A --- MQTT_A
K8S_A --- COAP_A
K8S_A --- KFK_A
K8S_A --- TSDB_A
K8S_A --- RDB_A
K8S_A --- REDIS_A
K8S_A --- OBJ_A
end
subgraph Region B
K8S_B[Kubernetes Cluster]
MQTT_B[MQTT Broker Cluster]
KFK_B[Kafka Cluster]
TSDB_B[TSDB Cluster]
end
KFK_A <--> KFK_B
TSDB_A <--> TSDB_B
-
部署原则:
- 基于 IaC(Terraform)与 GitOps(ArgoCD)管理;蓝绿/金丝雀发布;有状态组件滚动升级与读写分离。
- 多区域容灾:Kafka Mirror/Replicator;TSDB 异步复制;对象存储跨区域冗余。
- 运维:集中审计与准入控制;变更窗口;演练剧本。
-
部署流程(简要):
- 基础设施:VPC/子网/安全组 → K8S 集群 → 存储集群(Kafka/TSDB/Redis/RDB)。
- 平台服务:API 网关 → 身份与密钥 → 设备管理 → 接入层(MQTT/CoAP)。
- 数据管道:遥测采集 → 规则引擎 → 告警/工单 → 报表。
- 边缘侧:代理安装与注册 → 策略/规则下发。
- 观测:Prometheus/Grafana/Logging → SLO 校准。
- 演练:故障注入、切换、回滚测试。
11. 附录
11.1 Kafka 主题与分区建议
| 主题 |
分区键 |
事务 |
说明 |
| telemetry_raw |
tenantId+deviceId |
是 |
原始遥测 |
| telemetry_enriched |
tenantId+deviceId |
是 |
富化后 |
| rules_events |
tenantId |
否/是 |
规则触发事件 |
| commands_out |
deviceId |
是 |
下行命令 |
| commands_ack |
deviceId |
是 |
命令回执 |
| ota_jobs |
tenantId |
否 |
OTA 任务 |
| alerts |
tenantId |
否 |
告警 |
11.2 规则 DSL 示例(简要)
WHEN telemetry.metric == "temp" AND telemetry.value > 80
THEN alert(severity="high", message="Overheat")
AND sendCommand(deviceId, "reduce_power", {"level": "medium"})
11.3 SLI/SLO
- 接入可用性 ≥ 99.95%
- 规则处理 P95 延迟 < 500ms
- TSDB 写入成功率 ≥ 99.9%
- OTA 成功率 ≥ 99%
- 云端 RPO ≤ 10 分钟;边缘缓冲 ≥ 24h
11.4 监控指标(部分)
- 设备在线率:在线设备数/总设备数
- MQTT/CoAP 队列滞留:每分区滞留消息
- 边缘健康:CPU、内存、缓存利用率、上传失败率
- 规则执行:处理吞吐、延迟、失败率
- OTA:下载失败率、校验失败率、回滚率
- TSDB:写入延迟、批量大小、压缩比
- API 网关:拒绝率、限流命中率、延迟
总结
本架构通过云边协同、事件驱动与微服务拆分,满足海量设备接入、低延迟规则处理与高吞吐存储的需求。以 mTLS 与签名保障端到端安全,以 Kafka 与 TSDB 实现可靠与可扩展的数据管道。统一 API 网关实现多租户治理与运营能力,配合完善的监控审计,确保平台在性能、可靠性、安全与合规方面达到既定目标。
