Axis Cloud Connect

Axis Cloud Connect 让您能够高效地使用安讯士设备、管理视频监控和提高商业绩效。它是一个开放式混合云平台，可与安讯士设备一起启用视频操作、用户和访问管理以及设备管理等互联服务。它旨在提供安全、灵活和可扩展的安全解决方案。

作为一个混合平台，它允许同时在现场和云端进行数据处理，因此，无论系统设置如何，都能以更优的方式使用云。

云计算发展迅速，目前已被大多数企业采用。它允许用户通过互联网访问和使用服务器和数据库等计算资源，而不是依赖本地资源。云计算有很多好处，让您能够访问人工智能、存储、分析工具等诸多服务。云计算不将数据和应用程序存储在个人电脑或服务器上，而是允许用户远程存储和处理数据。

Axis Cloud Connect 是一个基于云端的平台，利用云计算提供对安讯士设备的安全远程访问。用户可以在随时随地对设备进行配置、监视和管理。Cloud Connect 允许开发人员远程访问 VAPIX®。

Cloud Connect 提供基于云端的 API 集，能够从一个基于云端的入口点同时支持云端和设备端功能。它采用分布式架构，将数据分割成小块，存储在全球多台云服务器上。这种方法能够带来较高的耐久性、可用性和性能，让您能够快速高效地访问数据。您可以使用云服务器来存储和检索来自监控系统的视频、音频和元数据。这些服务器中的数据分为系统数据和用户数据。系统数据会根据设备的位置自动存储在安讯士选择的区域内。

虽然基于云端的解决方案在安全性、隐私性和合规性方面有着许多重要的考虑因素，但安讯士解决了这些问题，并增强了用户信任。我们通过采用稳健加密方法、安全身份验证协议和定期软件更新，评估并实施了良好的安全措施。

从 2022 年 10 月起，安讯士通过了 ISO 27001 认证，这是在我们的产品和工作单工作流 (WoW) 中履行网络安全标准的承诺。AXIS 的 Axis Cloud Connect 还通过了 SOC 2 类型 1 认证。

Cloud Connect 是一个开放式混合云平台，可启用互联服务，实现高效的设备管理、视频和数据传输。这些服务由安讯士管理，更充分地利用了 AXIS OS 以及安讯士在分析、图像可用性和网络安全方面的专业知识。

有了这个云平台，我们与合作伙伴可以快速开发基于云端的解决方案，同时根据客户的需求量身定制解决方案。为基于云端的解决方案使用 Cloud Connect 意味着，您可以随时随地通过网页浏览器或移动应用程序在大多数设备上远程访问安讯士设备。通过将视频存储在云端，可提高存储效率、可访问性、以及设备群的远程管理。

Cloud Connect 扩展了开放式 VAPIX® API 集，使其包含诸如与安讯士设备远程交互等服务，同时又保持便利性并保障系统的网络安全。在摄像机作为消费性服务且网络安全威胁和担忧与日俱增的现代社会中，它使 AXIS OS 成为更好、更适合的选择。

云平台通过企业、设备群管理以及用户访问和身份验证，来提供独立的客户租赁。管理设备群包括 AXIS OS 更新、AXIS OS 设备配置、媒体流处理和媒体存储。

企业是这一云解决方案的重要基石。企业定义特定客户的云租赁。对于每个企业，为使用服务和管理用户访问及资源组提供了相关许可证。资源组由一个设备群组成。

每个企业都有一个设备群。它是您通过搭载过程添加的所有设备的列表。

随着越来越多的企业考虑将其运营从传统的现场系统转型为基于云端的基础设施，或者考虑为其当前系统增添云功能，向基于云端的解决方案的转变正在改变全球各行各业。

传统的现场系统要求所有硬件和软件都位于企业内部，并由企业进行进步管理。你无法将其托管到云端或对其进行远程访问。基于云端的解决方案可提供更灵活、更可扩展的系统，在此系统中，您可以通过网页界面远程管理系统和存储数据。通过基于云端的解决方案，您可以轻松地缩减或增加云资源，以满足企业不断变化的需求。您可以在大多数地方通过大多数网页浏览器或适用的移动应用程序访问您的数据。云提供商为您的企业处理软件更新和维护，同时通过网络安全措施保护您的数据。

Axis Cloud Connect 是一个混合云平台，为希望尽可能利用云的企业提供强大的解决方案，同时保持对其宝贵资产的控制和安全级别。

利用混合云平台，您可以同时在现场和云中处理数据。它的成本效益好，而且允许数据和应用程序在这两种解决方案之间转移，从而提供了更好的灵活性。它提供两种云服务：私有云和公共云。

私有云和公共云服务主要在安全功能和访问控制上有所不同。私有云服务提供更具个性化和限制性的访问控制、及加密和防火墙等额外的安全措施，以保护高度敏感或受监管的数据。相比之下，公共云服务通常提供标准化的安全功能和门禁控制。特定企业和政府在处理极其敏感的数据时，可能会特别要求使用私有云服务。

网络安全对安讯士非常重要，Axis Cloud Connect 也不例外。我们在开发 Cloud Connect 时采用了 Axis Security Development Model，确保网络安全是解决方案的首要和核心要素。它采用稳健加密方法、安全身份验证协议和定期软件更新来防范潜在威胁。

在云计算中，多租户和租户分离方法优化了平台的效率、可扩展性和灵活性。这种方法将云系统内的用户分别归类，并将其数据分别存储在每个用户的租户中，从而增强了数据的隐私性。

Cloud Connect 让您轻松访问云服务并远程控制设备。我们采用强有力的安全措施来保护我们的应用可编程接口 (API)，包括对每次呼叫进行身份验证和授权。这可确保只有经授权的用户和应用程序才能访问您的设备。通过我们的 API，您可以安全地将我们的服务集成到应用程序和解决方案中。

通过 Cloud Connect，安讯士开发合作伙伴可以将应用程序和解决方案集成到系统中，并在多个应用程序中使用云系统功能，以满足客户的具体需求。我们提供了一套高效、连贯的工具和应用程序，在整个系统生命周期内为系统集成商和所有者提供支持。这些工具包括 AXIS Site Designer、AXIS Installer、AXIS License Manager、安讯士设备管理软件和安讯士视频管理软件。

最终客户在 My Systems 中代表企业。创建企业后，您可以按不同的集成级别将设备集成到 Cloud Connect 基础设施中。

• 照明设备集成：通过这种集成方式，您可以在 Cloud Connect 中将设备注册为逻辑实体。My Systems 只提供集成设备的静态信息，如序列号、设备型号、保修期、支持结束时间、推荐的 AXIS OS 版本等。

• 深度设备集成：在这里，您可以通过一键式设备搭载或本地发现搭载，来启用设备到云的连接，从而进一步实现集成。您的设备可进行远程配置、直接通信以及与云平台交换数据。系统提供已搭载设备的相关动态信息，如设备的搭载状态、当前的 AXIS OS 版本、连接状态等，还支持 AXIS OS 更新。

  在搭载过程中，您可以设置一个设备配置文件，它决定了设备应配置的系统组成和管理服务。

• • 一键式设备搭载： 要将设备添加到系统中，您可以单击设备的控制按钮，扫描安讯士设备上的二维码，或在 AXIS Installer 应用程序中输入序列号和所有者身份验证密钥代码。之后，设备就会成为 Cloud Connect 设备清单的一部分，并允许您使用 Cloud Connect 服务。

  • 本地发现搭载： 设备到云的连接通过与企业相连的 AXIS Device Manager Extend 来路由。您需要在 AXIS Device Manager Extend 上安装 EdgeHost，然后才能找到并搭载与 EdgeHost 安装在同一本地网络上的安讯士设备。

将设备集成到云系统后，需要为设备选择管理模式。该模式决定多项功能，包括系统应如何配置设备和更新软件：AXIS OS 和 ACAP 应用程序。在 Cloud Connect 中，设备可以在以下任一种管理模式下工作：

• 管理模式： 在此模式下，安讯士管理设备的系统组成，包括如何使用凭证来执行基于证书的身份验证、本地用户限制、访问权限和软件更新。虽然由安讯士管理，但您可以通过现场 VMS 访问本地设备。处于管理模式的设备在没有 AXIS OS 活跃更新或最新长期支持 (LTS) 时，会自动切换到连接模式。可能导致此切换的其他情况包括：上传不属于设备配置文件所定义的系统组成的 ACAP 应用程序、以及访问设备的本地管理员账户，这意味着，可以在安讯士管理之外更改系统组成。

  要在此模式下更新系统组成，可以选择让安讯士决定何时进行更新，也可以设置安讯士可以进行更新的时间窗口。能否选择设置时间窗口取决于企业的具体情况。

  管理模式下的设备可通过四种不同方式与云系统进行交互：通过 EdgeLink 的 VAPIX®呼叫、使用 Task Manager 的异步设备配置、Remote Axis Device Assistant (ADA) 以及 WebRTC 视频和数据通道。

• 连接模式： 在管理模式和连接模式下，设备的搭载过程是一样的，但它们的设备配置文件不同。设备所有者（也称为用户）使用 Cloud Connect API 或 AXIS Device Manager 来决定、更新和管理系统组成。设备所有者拥有设备的本地管理员访问权限，并负责设备账户凭证。某些功能（如 WebRTC 视频和数据通道）不可用。

• 独立模式： 当设备已在 Cloud Connect 中注册，但尚未搭载到系统时，该设备处于独立模式。例如，如果您在 Cloud Connect 中注册了安讯士设备，但由于未连接互联网，该设备只能在现场 VMS 系统中工作，则该设备处于独立模式。您需要将设备搭载到 Cloud Connect，以便将设备管理模式更改为连接模式或管理模式。

这些前端设备分为一级设备和二级设备。一级设备是 AXIS OS 设备，本机托管默认的 Cloud Connect 前端服务，从而实现设备到云的解决方案。

二级设备无法本机托管 Cloud Connect 前端服务，因为它们在安装或更新软件方面存在限制，并且存在技术不兼容的情况或其他限制。不过，您可以使用安讯士录像机来获得设备到云的解决方案。

在您的企业中，您需要搭载并激活由安讯士或安讯士集成合作伙伴开发的应用程序。您可以在以下任一过程中搭载应用程序：

• 创建企业。

• 从应用程序客户端选择一个现有企业。

• 允许应用程序的客户端通过 OAuth 访问企业。

Cloud Connect 具有设备软件部署功能，可以远程管理和更新设备软件。这种基于云端的功能可检索与可用的 AXIS OS 和 ACAP 有关的信息，并将这些信息反馈给 EdgeHost 和 DeviceHost。它们每隔一小时就会检查是否发布新的适用版本。

• AXIS OS 更新：

  对于管理模式下的设备，您可以在搭载过程中定义其 AXIS OS 的升级流程。例如，您可以选择以最新发布的 AXIS OS 版本为目标，这意味着，系统会立即或在指定的时间窗口内自动更新 AXIS OS。

  在连接模式下，系统向用户推荐相关 AXIS OS 信息，以便用户选择部署、升级或降级哪个版本。

设备软件部署系统的云部分被称为任务管理器服务 (TMS)，保存着企业所有任务的汇总信息。EdgeHost 和 DeviceHost 中的系统部分称为任务引擎。它运行任务指令并修改设备。

任务是一小捆信息，包含需要在设备上完成或应用的操作或设置。例如，您可以为选定设备的文本叠加配置或软件升级设置一个任务。TMS 会创建任务或任务集合，并将其分派给 EdgeHost 或 DeviceHost，具体取决于哪一方管理设备。任务引擎自己进行本地分配，将任务分配给运行程序，运行程序在相应的设备中执行任务。最后，任务引擎会将结果报告给云端，以便显示给用户。

除了客户端创建的任务外，EdgeHost 和 DeviceHost 也可以创建任务。例如，当您向 EdgeHost 添加设备时。它发生在本地环境中，无需涉及云。EdgeHost 直接创建任务并将其发送到云中的 TMS。TMS 通过常规通道发送与添加到云中的实际设备有关的信息，这些信息与任务是分开的。这些任务对您来说也可见，因此您可以跟踪进度，如成功添加到 EdgeHost 的设备数量。

对于联合同步设备配置，EdgeLink 允许经授权的用户通过 Cloud Connect API 从大多数地方向本地网络上的 API 发出 HTTPS 请求。这些请求可以到达以下 API：AXIS 摄像机和录像机上的 VAPIX®、AXIS Camera Station Server VMS API 以及 EdgeHost 和 DeviceHost GraphQL API。

EdgeLink 是 EdgeHost 和 DeviceHost 的一个组件，它与 WebRTC 一样使用带有 SignalingServer 的安全 WebSocket。它使用 WebSocket 在 Cloud Connect API 与 EdgeHost 或 DeviceHost 之间传输 HTTPS 请求。

为了确保正确的网络安全监视和操作，Cloud Connect 采用了 Axis Security Development Model (ASDM) 和 Information Security Management System (ISMS)。

ASDM 是一个框架，它定义了安讯士用于开发软件的流程和工具，在整个产品生命周期（从开创到退役）中内置了安全功能。我们授权安讯士的软件开发以及安讯士产品和解决方案中包含的安讯士软件都使用 ASDM。

ISMS 是一种系统方法，有助于识别和管理公司的敏感信息，确保其保密性和完整性。

• 数据存储： Cloud Connect 分区域存储数据，以减少延迟，使系统更贴近最终用户。它可在多个区域中部署时间关键型用例，如视频流的信号传输服务。它使用多个端点分区域地或全局地存储系统数据。该系统将某些服务的数据计算与数据存储分离开来。这意味着数据库是全局性的，而数据处理则在一个或多个区域中完成。

  在 Cloud Connect 中，系统将数据分为系统数据和各企业的用户数据。

• • 系统数据：它允许系统运行，并且包含用户、企业、资源组、设备、订阅通知等信息。它将与初始设备配置和软件更新相关的信息保存在设备管理中，将个人身份信息保存在 My Axis Identity Provider (IDP) 或 Axis Cloud Connect IDP for Active Directory (AD) 用户中。

  • 用户数据：它是指某人登录系统时，系统收集、存储和处理的个人和可识别数据。其中包括受“一般数据保护条例”(GDPR) 管控的电子邮件地址、姓名或 IP 地址。例子包括云存储中的包含个人身份信息 (PII) 的视频数据、录像或审计日志。

• 访问管理： 在云系统中创建企业的人被称为用户，并被公认为新成立实体的所有者。该用户有权通过电子邮件邀请新用户、分配角色、将设备集成到系统中以及删除企业。云系统有三个主要角色，它们定义了用户可以获得的不同访问级别和权限。这些角色分别是管理员、操作员和观察员。

• • 管理员控制整个系统；他们管理用户、设备、许可证和视频。

  • 操作员监视实时视频流、操作集成设备并有权访问录像。

  • 观察员只能访问监视器实时视频流。

Cloud Connect 采用 WebRTC 标准，向网页浏览器和移动设备提供摄像机视频的实时媒体流处理，从而为视频的远程访问和查看提供无缝且安全的方式。网页浏览器和许多开放源代码库都支持这一标准，从而简化了合作伙伴的集成开发。它还支持视频和双向音频的低延迟实时流处理、应用程序和摄像机之间的对等连接、以及强制性端到端加密。即使在受限和动态变化的网络条件下，系统也能自动调整视频比特率，提供更好的观看体验。

对等连接还可实现低延迟 PTZ 控制、设备中本地存储的视频录像的回放或导出、HTTP 通信隧道、设备中的 VAPIX® 和 ONVIF API 公开，并为设备提供通用远程访问解决方案。

WebRTC 非常灵活，可在摄像机与客户端之间找到理想的网络路由，必要时可穿过防火墙，并通过云中的 TURN 或中继服务器作为备用路由。TURN 服务器既可由安讯士操作，也可由合作伙伴自行操作，确保媒体流无需经过安讯士服务器。

利用对象存储录像 (OSR) 功能，设备可以将媒体和实时视频作为 HTTP 请求直接推送到云存储端点，这是本地防火墙或网络地址转换 (NAT) 所广泛支持的方式。否则，云服务就无法直接访问摄像机，从而无法方便地获取媒体流。您还可以将录像保存到摄像机的 SD 卡中，在需要回放或导出时，再上传到云端。

另一个功能是，摄像机中发生的事件，例如移动侦测，可被直接发送到合作伙伴的服务，从而启用处理报警的系统。您还可以通过类似方式从分析工具上传元数据。

• 设备内诊断

  为了改进我们的产品、提供主动支持、并收集产品使用情况的遥测信息，设备内诊断 (IDD) 在云端收集并存储匿名系统数据。这种收集需征得用户同意。My Systems 的系统数据是“设备洞察”服务的基础，我们利用这些数据为客户提供建议，帮助他们解决某些问题，如设备过载、SD 卡更换以及更多潜在问题。我们收集与日志、数据记录和崩溃有关的匿名运行时数据。IDD 可以在对已连接设备的主动维护和实时故障诊断中触发 AXIS OS 更新。

  安讯士全年全天24小时不间断监视云服务，确保快速查明警报和异常事件。安讯士云服务更新的目标是零停机，这意味着 API 的潜在停机时间将大大降低

• 1. 视频管理软件 (VMS)
  2. Axis Cloud Connect
  3. Axis Cloud Connect API
  4. 设备内诊断
  5. 安讯士
  6. 设备内诊断代理

• Axis Cloud Connect 基础设施功能

• • 事件总线：  事件总线是一个集中式消息传送系统，可实现连接到 Cloud Connect 的各设备和应用程序之间的实时通信和自动化工作流程。通过发布和订阅特定事件，设备和应用程序可以交换信息，并根据不断变化的情况触发相关操作。

    当设备或应用程序向事件总线发布事件时，会发送包含相关数据（如移动侦测、开门或温度变化）的信息。然后，这些信息会被发送到订阅了该特定事件类型的所有设备和应用程序。订阅的设备和应用程序收到通知后会立即采取行动，如发送警报、触发录像或调整设置。

    例如，如果摄像机监测到运动，就可以向事件总线发布“侦测到运动”事件。附近的扬声器订阅了这一事件后，就能接收到通知并播放警告信息，以威慑入侵者。与此类似，同样订阅了同一事件的视频管理软件也能收到通知，并触发对事件的录像。

    事件总线为设备和应用程序之间的交互提供了一种可扩展且灵活的方式，让您能够实现高级自动化场景并提高系统整体效率。通过利用事件总线，客户可以创建对特定事件做出响应的自定义工作流，从而提升其安保、安全和运营能力。

  • 通知： 它允许用户接收警报、设备更新和系统状态。您可以对其进行自定义，以获知特定事件，如移动侦测、摄像机篡改或系统错误。通知形式可以是电子邮件、移动推送或网络钩子。

  • 审计日志： 审计日志是托管事件总线事件的账户，它有特定的主题，并指明这些主题是用于审计的。它保留这些审计日志事件，并通过 API 提供搜索功能。

• 设备能力： 它提供了一种特定功能，让您能够启用应用程序中的功能。设备能力可能需要云服务、现场服务、设备上运行的服务或这些服务的组合中的功能。一种能力为不同的应用提供功能，这些功能在设备配置文件中定义。

• DeviceHost： 一种 Cloud Connect 代理，负责在设备到云的直接设置中，在设备与 Cloud Connect 后端之间进行通信。

• 设备清单： 设备在搭载后即成为设备清单的一部分。您可以通过 Cloud Connect API 访问清单，获取设备的相关静态和动态信息。

• 设备配置文件： 设备配置文件是一种预先配置的功能，它定义了设备的系统组成、设置和功能。它连接到应用程序，并指定设备上需要启用的功能，以便与应用程序协同工作。在设备搭载过程中选择设备配置文件时，会根据推荐设置配置设备，确保理想性能，减少手动配置。如果在搭载过程中没有设置设备配置文件，设备就会使用企业的默认配置文件。

• EdgeHost： 一种本地 Cloud Connect 设备群管理代理，负责在代理设备到云的设置中路由设备与 Cloud Connect 后端之间的通信。

• 逻辑实体： 在云环境中提供特定功能或服务的虚拟组件。

• 管理型服务： 一种软件服务，除销售实物产品外，公司还通过提供远程系统升级等服务，来对客户承担更多责任。管理型服务可以提高产品质量，增强网络安全。

• 拥有人身份验证密钥： 购买安讯士设备时提供的密钥。有了它，您就可以在 Cloud Connect 中注册设备时声明设备所有权。

• 运行程序： 在设备上执行特定功能的专用程序，允许更灵活地自定义设备行为。

• 系统组成： 系统组成包括 AXIS OS、支持的 AXIS 摄像机应用平台 (ACAP) 应用程序和配置。

• 租赁： 指在多租户环境中分配资源和服务。这关系到多个客户（也称为租户）如何共享相同的云基础设施，且与此同时保持各自独立和安全的环境。

• VAPIX®：安讯士开放式应用可编程接口 (API)，可允许将种类广泛的解决方案和平台集成到安讯士产品中。有关更多信息，请参见VAPIX 库。

• WoW：工作单工作流的缩写，指企业管理和控制信息安全管理系统 (ISMS) 变更的流程和程序。