5G、物联网、AI 等技术的实践应用,推动边缘计算从云计算的补 位角色走向主流,在技术方面有创新性探索与发展,边缘计算正在加 速迈向广泛普及和深度应用的新阶段。
为应对业务发展而带来的服务和用户数量增加,边缘计算需要满 足快速灵活部署需求。软硬一体边缘基础设施利用超融合等软硬一体 技术切实做到将计算能力扩展到生产现场,将算力下沉至极端边缘和 用户所需的任何位置,并且无需传统意义上的大型数据中心环境,对 生产侧环境要求友好。 边缘软硬一体基础设施整体呈现高度集成的架构。软硬一体技术 能够集成各类服务器、交换机等硬件设备,结合厂商自身的云管理或 轻量级虚拟化技术,根据业务需要进行功能裁剪或轻量化定制,提供 适度定制化交付能力的边缘服务,直接在靠近数据产生的源头侧构建 便捷、可扩展、随需使用的边缘计算服务,如下图 2 所示。因此,在面向不同的应用场景时,可以灵活集成不同的硬件设备以提供多种计 算形态,例如通过软件定义的方式实现 ARM 、X86 等异构架构的资 源池化,提高资源利用率与灵活性。
软硬一体边缘基础设施,例如边缘一体机、边缘网关等,可按用 户需求提供定制化边缘服务能力,包括不同规格和模式的计算、存储、 网络、安全基础设施服务,以及中间件、数据库、场景化软件等上层 服务和应用。软硬一体边缘基础设施还可根据业务需求设计出尺寸小、 功耗低、计算密度高等不同特点的硬件设备,快速接入现有环境,为 边缘业务快速部署和铺开提供便利,同时,业务发展后的扩容、升级 和维护也得以快速实现。
在边缘计算场景持续丰富、多样化的场景下,边缘软硬一体技术 会向着深度场景化定制方向发展。例如可编程网络硬件能够有效进行 功能卸载,实现提供 TB 级流量汇聚能力;异构硬件通过对硬件规模、 物理环境、性能、安全等需求定制化定制化满足不同应用场景的高性能需求;智能网卡网络加速和数据处理能力,不仅能够卸载边缘网络 处理任务,还可以通过其内置的计算能力直接参与数据计算和处理, 从而大幅提升边缘设备的计算能力和网络效率。未来,通过面向高性 能场景的裸金属硬件设备定制、面向终端云化场景的高性能设备定制、 面向大流量场景的网络设备定制等方案,满足高性能、大流量、广域 物联、边缘 AI 推理等不同场景业务需求。
数字经济时代,物联网正在加速成为虚拟世界和现实世界的融合 媒介。边缘计算伴随着物联网技术的发展展现出迅猛扩张的态势,一 方面,边缘计算能够为物联网提供成本更低、效率更高的算力资源; 另一方面,边缘计算能够实现数据便捷接入、汇聚、流转,帮助物联 网应用快速落地实践。作为中间层平台,边缘计算在终端设备和中心 云之间起到承上启下的作用,让物联网系统能够更加高效和灵活的运 转。
中心云物联网平台对所有边端进行集中式管理,这种架构在海量 终端设备存在的场景下存在巨大的管理挑战,当物联网设备达到一定 数量时,管理平面遇到难以逾越的瓶颈,在很多中大型企业中很难适 用。边缘云物联网平台在客户现场能够具备独立的集群管理能力,中 心云的断连不会影响到边缘云的自运行、业务处理,基于 Kubernetes 构建的集群管理,管理节点和工作节点都是可以下沉部署到边缘云上, 云边断连不影响集群管理调度。而传统的云边协同架构,将管理节点 部署在中心云,工作节点部署在边缘云,这样云边断连时会导致集群调度等能力的丢失。
边缘网关最靠近客户的业务现场,与生产设备、传感器、仪器仪 表等终端设备通过串口或网口实现连接,利用 AIoT 的技术把端侧数 据提取,与边缘云或中心云进行数据协同。云边端数据协同方式,能 够有效采集生产数据,通过边缘云减少直接云端的数据传输压力,边 缘云可以直接在客户现场就近管理端,不依赖中心云,实现边端自治。
物联网与边缘计算融合技术在探索中不断创新发展。终端设备由 于地理位置分散、网络环境复杂,接入和管理面临各种问题,面向物 联网的边缘计算平台则致力于解决终端设备的异构连接场景难点。物 联网设备类型众多,包括各类摄像头、传感器,接入方式包括 IP 和 非 IP 连接协议,国内外企业和开源组织近年来陆续发起不同垂直领 域的物联网边缘计算开源项目,例如,EdgeX Foundry 是由戴尔/EMC 和 VMware 发起、在 LF Edge 发展的、面向工业物联网边缘计算开发 的微服务框架,支持多种连接协议、多节点管理,可以部署在网关设 备上,为各种物联网设备和传感器提供连接并管理能力;Apache Edgent 是一个实时流数据处理框架,由 IBM 捐赠给 Apache 软件基金 会,同样可以嵌入到网关设备中,能够对终端设备和传感器采集的连 续数据流进行实时分析,有效降低数据传输成本和数据反馈时间; eKuiper 是轻量级物联网边缘分析、流式处理开源软件,能够部署在 极端边缘设备上,提供数据实时分析能力。
云原生理念自引入国内以来,对云计算产业带来了深远的影响, 改善了我国云服务简单粗暴的供应方式、增加了企业的用云深度和科 学性。随着计算能力从中心下沉到边缘,节点数量剧增、单节点能力 减弱、覆盖范围增加,轻量、灵活的云原生技术体系天然匹配以上边 缘场景,屏蔽不同架构的底层基础设施,提供全局资源的统一管理和 应用协同,得以在边缘计算中深度应用。边缘云原生技术是将云原生 概念和相关技术适配至边缘场景,从而形成区别于中心云云原生的新 框架,其中技术体现以边缘容器为主,为边缘算力扩展、云边协同运 算、边端设备管理提供独到的解决方案。
边缘容器相比于中心云容器技术通常表现出三个特点,第一,组 件有所裁剪,实现容器管理组件和管理通道的轻量化和敏捷化,以“最 小化”交付适应边缘受限的物理条件,使其能够构筑在极端紧张的边缘基础设施之上,提供不影响性能的同时保证资源利用率的容器集群 能力;第二,研制云边协同技术,通常实现中心管控、边缘作业的工 作模式,将管理能力上载至云端,充分利用边缘资源的全部计算能力, 同时,实现边缘适度自治和边缘单元化管理,提升系统的可靠性和可 扩展性;第三,在原生 K8s 基础上继续开发适配大规模边缘节点的容 器管理组件,提升规模化边缘节点的管理效率和运维效率,以适应爆 发式增长的边缘接入节点,同时,也在边缘进行大规模的应用分发、 流量治理等层面进行技术探索和实践。 边缘函数服务是近年来各边缘服务提供商加大研发投入的领域 之一,是 Serverless 架构的一种服务形态,能够让边缘用户无需关注 基础设施,仅聚焦于业务代码实现。利用 Serverless 的技术,可以实 现不同功能的脚本编写,复用相同的运行模块,减少资源的消耗。 可以预见,边缘云原生通过容器、函数等技术持续降低用户使用 和运维边缘算力复杂度,帮助用户专注于业务,将在智能制造、智慧 城市、医疗健康、金融科技、游戏娱乐等领域得到广泛应用。
伴随着边缘计算应用范围逐渐扩展,也带来了新的安全挑战。如 何提供覆盖全边侧范围的安全防护体系是边缘计算提供商和安全厂 商持续关注的问题,因此,需要建立完善的安全管理体系和标准,加 强边缘数据和网络的安全管理和保护,同时,需要不断加强边缘安全 技术的研发和创新,包括数据加密、访问控制、安全审计等方面。 相比于中心云侧,边缘侧面临着多种异构服务器、复杂网络环境、关节点薄弱、终端设备大量接入等多维度的风险因素。在网络安全 层面,将 DDoS、Web 、CC、Bot 等安全防护功能直接从数据中心下 沉到边缘,一方面保护了部署在边缘的服务高效稳定运行,另一方面, 充分利用边缘节点分布式特性,大量的攻击流量在边缘节点被清洗和 过滤,大幅减少各种攻击流量对于主干网络的冲击;在数据安全层面, 数据加密传输、数据安全存储、敏感数据处理和敏感数据监测等关键 技术能力,保障边缘数据全生命周期安全;在应用安全层面,通过应 用隔离、APP 加固、权限和访问控制、接口安全管理、应用审计、漏 洞检测等安全防护措施,全面提升边缘侧应用的安全性。由于边缘计 算规模受限,分配给边缘侧的安全资源,相比于数据中心或中心云侧 更少,因此在将集中式架构中使用的安全防护能力,延伸到边缘侧的 时候,往往需要进行精简和瘦身,以适配边缘计算资源利用的经济性 要求。
除了在基础资源、数据、应用等层面加固安全防护措施之外,边 缘安全还需要注重网关、物联设备、各种节点的统一编排管理,在物 理解除攻击、接口调用、访问、MEC 平台等方面加强安全技术研究。 边缘安全不仅局限于边缘侧本身,还要从云边端协同的角度共同 构筑安全。从端侧来看,边缘网关对生产设备或系统进行现场对接时, 通过串口或网口对接的非安全协议,必须要先转变成安全协议,确保 边端通讯前基于安全协议对数据加密;边缘网关大多部署在客户侧, 存在不可预测的暴力破解风险,所以要禁止用户绕开鉴权通道,后台 访问本地数据。从边侧来看,边缘云面临的风险更大,接收从中心云下发的应用,部署前要先做完整性校验,利用云边签名机制防篡改, 加强应用安全分发的安全;基于安全芯片,对云边通道的鉴权信息或 敏感信息进行硬件加密,防止被恶意登录;云边通道、边端通道,区 分管理通道、数据通道,保证数据通道的安全加密、通道隔离。从云 侧来看,中心云侧重安全态势感知,基于端、边的数据,实时、分析 数据异常,可视化监控应用,边缘云和边缘网关的权限管理,分模块 协同管控。
