5G時(shí)代不可或缺的關(guān)鍵技術(shù):詳解邊緣計(jì)算參考架構(gòu)3.0
該參考架構(gòu)基于模型驅(qū)動(dòng)的工程方法(Model-Driven Engineering,MDE)進(jìn)行設(shè)計(jì),如圖3-1所示,可將物理和數(shù)字世界的知識(shí)模型化,從而實(shí)現(xiàn)以下目標(biāo):
- 物理世界和數(shù)字世界的協(xié)作;
- 跨產(chǎn)業(yè)的生態(tài)協(xié)作;
- 減少系統(tǒng)異構(gòu)性,簡(jiǎn)化跨平臺(tái)移植流程;
- 有效支撐系統(tǒng)的全生命周期活動(dòng)。
▲圖3-1 邊緣計(jì)算參考架構(gòu)3.0
參考架構(gòu)3.0的主要內(nèi)容包括:
整個(gè)系統(tǒng)分為云、邊緣和現(xiàn)場(chǎng)三層,邊緣計(jì)算位于云和現(xiàn)場(chǎng)層之間,邊緣層向下支持各種現(xiàn)場(chǎng)設(shè)備的接入,向上可以與云端對(duì)接。
邊緣層包括邊緣節(jié)點(diǎn)和邊緣管理器兩個(gè)主要部分。邊緣節(jié)點(diǎn)是硬件實(shí)體,是承載邊緣計(jì)算業(yè)務(wù)的核心。邊緣節(jié)點(diǎn)根據(jù)業(yè)務(wù)側(cè)重點(diǎn)和硬件特點(diǎn)的不同,包括以網(wǎng)絡(luò)協(xié)議處理和轉(zhuǎn)換為重點(diǎn)的邊緣網(wǎng)關(guān)、以支持實(shí)時(shí)閉環(huán)控制業(yè)務(wù)為重點(diǎn)的邊緣控制器、以大規(guī)模數(shù)據(jù)處理為重點(diǎn)的邊緣云、以低功耗信息采集和處理為重點(diǎn)的邊緣傳感器等。
邊緣管理器的呈現(xiàn)核心是軟件,主要功能是對(duì)邊緣節(jié)點(diǎn)進(jìn)行統(tǒng)一管理。
邊緣節(jié)點(diǎn)一般具有計(jì)算、網(wǎng)絡(luò)和存儲(chǔ)資源,邊緣計(jì)算系統(tǒng)對(duì)資源的使用有兩種方式:
- 第一,直接將計(jì)算、網(wǎng)絡(luò)和存儲(chǔ)資源進(jìn)行封裝,提供調(diào)用接口,邊緣管理器以代碼下載、網(wǎng)絡(luò)策略配置和數(shù)據(jù)庫(kù)操作等方式使用邊緣節(jié)點(diǎn)資源;
- 第二,進(jìn)一步將邊緣節(jié)點(diǎn)的資源按功能領(lǐng)域封裝成功能模塊,邊緣管理器通過(guò)模型驅(qū)動(dòng)的業(yè)務(wù)編排的方式組合和調(diào)用功能模塊,實(shí)現(xiàn)邊緣計(jì)算業(yè)務(wù)的一體化開(kāi)發(fā)和敏捷部署。
邊緣計(jì)算須提供統(tǒng)一的管理服務(wù)、數(shù)據(jù)全生命周期服務(wù)和安全服務(wù),以處理各種異構(gòu)的基礎(chǔ)設(shè)施、設(shè)備形態(tài)等,最終達(dá)到提升管理與運(yùn)維運(yùn)營(yíng)效率,降低運(yùn)維成本的目的。
01 部署場(chǎng)景
邊緣計(jì)算按距離由近及遠(yuǎn)可分為現(xiàn)場(chǎng)層、邊緣層和云計(jì)算層,如圖3-2所示。
▲圖3-2 邊緣計(jì)算按距離分類(lèi)
1. 現(xiàn)場(chǎng)層
現(xiàn)場(chǎng)層包括傳感器、執(zhí)行器、設(shè)備、控制系統(tǒng)和資產(chǎn)等現(xiàn)場(chǎng)節(jié)點(diǎn)。這些現(xiàn)場(chǎng)節(jié)點(diǎn)通過(guò)各種類(lèi)型的現(xiàn)場(chǎng)網(wǎng)絡(luò)、工業(yè)總線與邊緣層中的邊緣網(wǎng)關(guān)等設(shè)備相連接,實(shí)現(xiàn)現(xiàn)場(chǎng)層和邊緣層之間數(shù)據(jù)流和控制流的連通。
網(wǎng)絡(luò)可以使用不同的拓?fù)浣Y(jié)構(gòu),邊緣網(wǎng)關(guān)等設(shè)備用于將一組現(xiàn)場(chǎng)節(jié)點(diǎn)彼此連接以及連接到廣域網(wǎng)絡(luò)。它具有到集群中每個(gè)邊緣實(shí)體的直接連接,允許來(lái)自邊緣節(jié)點(diǎn)的數(shù)據(jù)流入和到邊緣節(jié)點(diǎn)的控制命令流出。
2. 邊緣層
邊緣層是邊緣計(jì)算三層架構(gòu)的核心,用于接收、處理和轉(zhuǎn)發(fā)來(lái)自現(xiàn)場(chǎng)層的數(shù)據(jù)流,提供智能感知、安全隱私保護(hù)、數(shù)據(jù)分析、智能計(jì)算、過(guò)程優(yōu)化和實(shí)時(shí)控制等時(shí)間敏感服務(wù)。
邊緣層包括邊緣網(wǎng)關(guān)、邊緣控制器、邊緣云、邊緣傳感器等計(jì)算存儲(chǔ)設(shè)備,以及時(shí)間敏感網(wǎng)絡(luò)交換機(jī)、路由器等網(wǎng)絡(luò)設(shè)備,封裝了邊緣側(cè)的計(jì)算、存儲(chǔ)和網(wǎng)絡(luò)資源。邊緣層還包括邊緣管理器軟件,該軟件主要提供業(yè)務(wù)編排或直接調(diào)用的能力,用于操作邊緣節(jié)點(diǎn)完成相關(guān)任務(wù)。
當(dāng)前邊緣層的部署有云邊緣(KubeEdge)、邊緣云(MEC與此對(duì)應(yīng))和云化網(wǎng)關(guān)三類(lèi)落地形態(tài)。
- 云邊緣:云邊緣形態(tài)的邊緣計(jì)算,是云服務(wù)在邊緣側(cè)的延伸,邏輯上仍是云服務(wù),主要提供依賴(lài)于云服務(wù)或需要與云服務(wù)緊密協(xié)同的服務(wù)。華為云提供的IEF解決方案、阿里云提供的Link Edge 解決方案、AWS提供的Greengrass解決方案等均屬于此類(lèi)。
- 邊緣云:邊緣云形態(tài)的邊緣計(jì)算,是在邊緣側(cè)構(gòu)建中小規(guī)模云,邊緣服務(wù)能力主要由邊緣云提供;集中式DC側(cè)的云服務(wù)主要提供邊緣云的管理調(diào)度能力。MEC、CDN、華為云提供的IEC解決方案等均屬于此類(lèi)。
- 云化網(wǎng)關(guān):云化網(wǎng)關(guān)形態(tài)的邊緣計(jì)算,以云化技術(shù)與能力重構(gòu)原有嵌入式網(wǎng)關(guān)系統(tǒng),云化網(wǎng)關(guān)在邊緣側(cè)提供協(xié)議、接口轉(zhuǎn)換、邊緣計(jì)算等能力,部署在云側(cè)的控制器提供針對(duì)邊緣節(jié)點(diǎn)的資源調(diào)度、應(yīng)用管理、業(yè)務(wù)編排等能力。
3. 云計(jì)算層
云計(jì)算層提供決策支持系統(tǒng),以及智能化生產(chǎn)、網(wǎng)絡(luò)化協(xié)同、服務(wù)化延伸和個(gè)性化定制等特定領(lǐng)域的應(yīng)用服務(wù)程序,并為最終用戶(hù)提供接口。云計(jì)算層從邊緣層接收數(shù)據(jù)流,并向邊緣層以及通過(guò)邊緣層向現(xiàn)場(chǎng)層發(fā)出控制信息,從全局范圍內(nèi)對(duì)資源調(diào)度和現(xiàn)場(chǎng)生產(chǎn)過(guò)程進(jìn)行優(yōu)化。
02 功能視圖
邊緣計(jì)算參考架構(gòu)的功能視圖如圖3-3所示。
▲圖3-3 功能視圖
1. 基礎(chǔ)資源
基礎(chǔ)資源包括網(wǎng)絡(luò)、計(jì)算和存儲(chǔ)三個(gè)基礎(chǔ)模塊,以及虛擬化服務(wù),其中前三個(gè)前面已有介紹,故這里僅對(duì)虛擬化服務(wù)進(jìn)行簡(jiǎn)單介紹。
虛擬化技術(shù)降低了系統(tǒng)開(kāi)發(fā)和部署成本,已經(jīng)開(kāi)始從服務(wù)器應(yīng)用場(chǎng)景向嵌入式系統(tǒng)應(yīng)用場(chǎng)景滲透。典型的虛擬化技術(shù)包括裸機(jī)(Bare Metal,又稱(chēng)裸金屬)架構(gòu)和主機(jī)(Host)架構(gòu)。
前者是虛擬化層的虛擬機(jī)管理器(Hypervisor)等功能直接運(yùn)行在系統(tǒng)硬件平臺(tái)上,然后再運(yùn)行操作系統(tǒng)和虛擬化功能;后者是虛擬化層功能運(yùn)行在主機(jī)操作系統(tǒng)上。前者有更好的實(shí)時(shí)性,智能資產(chǎn)和智能網(wǎng)關(guān)一般采用該方式。
2. 功能領(lǐng)域
邊緣計(jì)算的功能模塊主要用于控制、分析和優(yōu)化三個(gè)領(lǐng)域。
1)控制功能
如圖3-4所示,在工業(yè)互聯(lián)網(wǎng)邊緣計(jì)算場(chǎng)景中,控制仍然是一個(gè)重要的核心功能。控制系統(tǒng)要求對(duì)環(huán)境可感知且執(zhí)行要穩(wěn)、準(zhǔn)、快。因此,大規(guī)模復(fù)雜系統(tǒng)對(duì)控制器的計(jì)算能力和實(shí)時(shí)響應(yīng)要求嚴(yán)格,利用邊緣計(jì)算增強(qiáng)本地計(jì)算能力,降低由云集中式計(jì)算帶來(lái)的響應(yīng)延遲是面向大規(guī)模復(fù)雜控制系統(tǒng)的有效解決方案。
▲圖3-4 控制功能領(lǐng)域
控制功能主要包括對(duì)環(huán)境的感知和執(zhí)行、實(shí)時(shí)通信、實(shí)體抽象、控制系統(tǒng)建模、資產(chǎn)管理等。
- 感知與執(zhí)行:感知是指從傳感器中讀取環(huán)境信息。執(zhí)行是指向執(zhí)行器中寫(xiě)入由環(huán)境變化引起的響應(yīng)操作。兩者的物理實(shí)現(xiàn)通常由一組專(zhuān)用硬件、固件、設(shè)備驅(qū)動(dòng)程序和API接口組成。
- 實(shí)體抽象:在一個(gè)更高的層次通過(guò)虛擬實(shí)體表征控制系統(tǒng)中的傳感器、執(zhí)行器、同級(jí)控制器和系統(tǒng),并描述它們之間的關(guān)系,其中還包含系統(tǒng)元素之間消息傳遞過(guò)程中消息的語(yǔ)義。通過(guò)實(shí)體抽象,一方面易于控制系統(tǒng)上下文表征,理解感知信息和執(zhí)行信息的含義;另一方面,虛擬實(shí)體將系統(tǒng)硬件軟件化和服務(wù)化,從而使得系統(tǒng)構(gòu)建過(guò)程中可以縱向?qū)⒂布⑾到y(tǒng)功能和特定應(yīng)用場(chǎng)景組合,增加開(kāi)發(fā)的靈活性,提高開(kāi)發(fā)效率。
- 建模:控制系統(tǒng)建模即通過(guò)解釋和關(guān)聯(lián)從環(huán)境(包括傳感器、網(wǎng)絡(luò)設(shè)備)中獲取的數(shù)據(jù),達(dá)到理解系統(tǒng)的狀態(tài)、轉(zhuǎn)換條件和行為的目的。建模的過(guò)程是從定性了解系統(tǒng)的工作原理及特性到定量描述系統(tǒng)的動(dòng)態(tài)特性的過(guò)程。
- 資產(chǎn)管理:資產(chǎn)管理是指對(duì)控制系統(tǒng)操作的管理,包括系統(tǒng)上線、配置、執(zhí)行策略、軟/固件更新以及其他系統(tǒng)生命周期管理。
2)分析功能
分析功能主要包括流數(shù)據(jù)分析、視頻圖像分析、智能計(jì)算和數(shù)據(jù)挖掘等。
基于流式數(shù)據(jù)分析可對(duì)數(shù)據(jù)進(jìn)行即時(shí)處理,快速響應(yīng)事件并滿(mǎn)足不斷變化的業(yè)務(wù)條件與需求,加速對(duì)數(shù)據(jù)執(zhí)行的持續(xù)分析。針對(duì)流數(shù)據(jù)具有的大量、連續(xù)、快速、隨時(shí)間變化快等特點(diǎn),流數(shù)據(jù)分析需要能夠過(guò)濾無(wú)關(guān)數(shù)據(jù),進(jìn)行數(shù)據(jù)聚合和分組,快速提供跨流關(guān)聯(lián)信息,將元數(shù)據(jù)、參考數(shù)據(jù)和歷史數(shù)據(jù)與上下文的流數(shù)據(jù)相結(jié)合,并能夠?qū)崟r(shí)監(jiān)測(cè)異常數(shù)據(jù)。
對(duì)于海量非結(jié)構(gòu)化的視頻數(shù)據(jù),在邊緣側(cè)可提供實(shí)時(shí)的圖像特征提取、關(guān)鍵幀提取等基礎(chǔ)功能支持。
在邊緣側(cè)應(yīng)用智能算法(例如傳統(tǒng)的遺傳算法、蟻群算法、粒子群算法;與人工智能相關(guān)的神經(jīng)網(wǎng)絡(luò)、機(jī)器學(xué)習(xí)等),可完成對(duì)復(fù)雜問(wèn)題的求解。在邊緣側(cè)提供常用的統(tǒng)計(jì)模型庫(kù),支持統(tǒng)計(jì)模型、機(jī)理模型等模型算法的集成,支持輕量的深度學(xué)習(xí)等模型訓(xùn)練方法。
3)優(yōu)化功能
邊緣計(jì)算優(yōu)化功能涵蓋了場(chǎng)景應(yīng)用的多個(gè)層次,如圖 3-5所示。
▲圖3-5 優(yōu)化功能
- 測(cè)量與執(zhí)行優(yōu)化:對(duì)傳感器和執(zhí)行器信號(hào)的接口進(jìn)行優(yōu)化,減少通信數(shù)據(jù)量,保障信號(hào)傳遞的實(shí)時(shí)性。
- 環(huán)境與設(shè)備安全優(yōu)化:對(duì)報(bào)警事件進(jìn)行優(yōu)化管理,盡可能早地發(fā)現(xiàn)問(wèn)題并做出響應(yīng);優(yōu)化緊急事件處理方式,簡(jiǎn)化緊急響應(yīng)條件。
- 調(diào)節(jié)控制優(yōu)化:對(duì)控制策略、控制系統(tǒng)參數(shù)(如PID)、故障檢測(cè)過(guò)程等進(jìn)行優(yōu)化。
- 多元控制協(xié)同優(yōu)化:對(duì)預(yù)測(cè)控制系統(tǒng)的控制模型、MIMO(Multiple-Input Multiple-Output)控制系統(tǒng)的參數(shù)矩陣以及多個(gè)控制器組成的分布式系統(tǒng)的協(xié)同控制進(jìn)行優(yōu)化。
- 實(shí)時(shí)優(yōu)化:對(duì)生產(chǎn)車(chē)間或工作單元范圍內(nèi)的數(shù)據(jù)進(jìn)行實(shí)時(shí)優(yōu)化以實(shí)現(xiàn)參數(shù)估計(jì)和數(shù)據(jù)辨識(shí)等功能。
- 車(chē)間排產(chǎn)優(yōu)化:主要包括需求預(yù)測(cè)模型優(yōu)化、供應(yīng)鏈管理優(yōu)化、生產(chǎn)過(guò)程優(yōu)化等。
3. 邊緣管理
邊緣管理包括基于模型的業(yè)務(wù)編排以及對(duì)代碼、網(wǎng)絡(luò)和數(shù)據(jù)庫(kù)的管理,且采用相同配置模式來(lái)進(jìn)行管理,包括分配版本號(hào)、保存配置變更信息等,下面以模型為例來(lái)展示邊緣管理功能。
邊緣計(jì)算參考架構(gòu)3.0基于模型的業(yè)務(wù)編排,通過(guò)架構(gòu)、功能需求、接口需求等模型定義,支持模型和業(yè)務(wù)流程的可視化呈現(xiàn),支持基于模型生成多語(yǔ)言的代碼;通過(guò)集成開(kāi)發(fā)平臺(tái)和工具鏈集成邊緣計(jì)算領(lǐng)域模型與垂直行業(yè)領(lǐng)域模型;支持模型庫(kù)版本管理。
業(yè)務(wù)編排一般基于三層架構(gòu),如圖3-6所示。
▲圖3-6 邊緣編排
1)業(yè)務(wù)編排器
編排器負(fù)責(zé)定義業(yè)務(wù)組織流程,一般部署在云端(公有云/私有云)或本地(智能系統(tǒng)上)。編排器提供可視化的工作流定義工具,支持CRUD操作。編排器能夠基于和復(fù)用開(kāi)發(fā)服務(wù)框架已經(jīng)定義好的服務(wù)模板、策略模板進(jìn)行業(yè)務(wù)編排。在下發(fā)業(yè)務(wù)流程給策略控制器前,編排器能夠完成工作流的語(yǔ)義檢查和策略沖突檢測(cè)等工作。
2)策略控制器
為了保證業(yè)務(wù)調(diào)度和控制的實(shí)時(shí)性,在網(wǎng)絡(luò)邊緣側(cè)會(huì)部署策略控制器,以實(shí)現(xiàn)本地就近控制。策略控制器按照一定策略,結(jié)合本地的邊緣功能模塊所支持的服務(wù)與能力,將業(yè)務(wù)流程分配給本地的一個(gè)或多個(gè)邊緣功能模塊以完成具體實(shí)施工作。
考慮到邊緣計(jì)算領(lǐng)域和垂直行業(yè)領(lǐng)域需要不同的知識(shí)和系統(tǒng)實(shí)現(xiàn),所以控制器的設(shè)計(jì)和部署往往分域完成。由邊緣計(jì)算領(lǐng)域控制器負(fù)責(zé)對(duì)安全、數(shù)據(jù)分析等邊緣計(jì)算服務(wù)進(jìn)行部署。涉及垂直行業(yè)業(yè)務(wù)邏輯的部分,由垂直行業(yè)領(lǐng)域的控制器進(jìn)行分發(fā)調(diào)度。
3)策略執(zhí)行器
在每個(gè)邊緣節(jié)點(diǎn)內(nèi)置策略執(zhí)行器,其負(fù)責(zé)將策略翻譯成本設(shè)備命令并在本地調(diào)度執(zhí)行。邊緣節(jié)點(diǎn)既支持由控制器推送策略,又支持主動(dòng)向控制器請(qǐng)求策略。策略可只關(guān)注高層次業(yè)務(wù)需求,而不對(duì)邊緣節(jié)點(diǎn)進(jìn)行細(xì)粒度控制,從而保證邊緣節(jié)點(diǎn)的自主性和本地事件響應(yīng)處理的實(shí)時(shí)性。
當(dāng)然,邊緣管理功能也允許通過(guò)代碼管理、網(wǎng)絡(luò)配置、數(shù)據(jù)庫(kù)操作等方式直接操作或調(diào)用相應(yīng)資源,來(lái)完成對(duì)應(yīng)的管理任務(wù)。代碼管理包括對(duì)功能模塊或代碼進(jìn)行存儲(chǔ)、更新、檢索、增加、刪除及版本控制等操作。
而網(wǎng)絡(luò)管理則可在高層上對(duì)大規(guī)模計(jì)算網(wǎng)絡(luò)和工業(yè)現(xiàn)場(chǎng)網(wǎng)絡(luò)進(jìn)行維護(hù)與管理,實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)資源的控制、規(guī)劃、分配、部署、監(jiān)視和編排。
數(shù)據(jù)庫(kù)管理則針對(duì)數(shù)據(jù)庫(kù)的建立、調(diào)整、組合、數(shù)據(jù)安全性控制、完整性控制、故障恢復(fù)和監(jiān)控等進(jìn)行全生命周期的操作。
4. 邊緣服務(wù)
邊緣計(jì)算參考架構(gòu)3.0中的邊緣服務(wù)包括管理服務(wù)、數(shù)據(jù)全生命周期服務(wù)和安全服務(wù)。
1)管理服務(wù)
邊緣計(jì)算參考架構(gòu)3.0支持面向終端設(shè)備、網(wǎng)絡(luò)設(shè)備、服務(wù)器、存儲(chǔ)設(shè)備、數(shù)據(jù)、業(yè)務(wù)與應(yīng)用的隔離、安全、分布式架構(gòu)的統(tǒng)一管理服務(wù)。
邊緣計(jì)算參考架構(gòu)3.0支持面向工程設(shè)計(jì)、集成設(shè)計(jì)、系統(tǒng)部署、業(yè)務(wù)與數(shù)據(jù)遷移、集成測(cè)試、集成驗(yàn)證與驗(yàn)收等全生命周期服務(wù)。
2)數(shù)據(jù)全生命周期服務(wù)
邊緣數(shù)據(jù)是在網(wǎng)絡(luò)邊緣側(cè)產(chǎn)生的數(shù)據(jù),包括機(jī)器運(yùn)行數(shù)據(jù)、環(huán)境數(shù)據(jù)以及信息系統(tǒng)數(shù)據(jù)等,具有高通量(瞬間流量大)、流動(dòng)速度快、類(lèi)型多樣、關(guān)聯(lián)性強(qiáng)、分析處理實(shí)時(shí)性要求高等特點(diǎn),與互聯(lián)網(wǎng)等商業(yè)大數(shù)據(jù)相比,邊緣數(shù)據(jù)的智能分析有如下特點(diǎn):
- 因果VS關(guān)聯(lián):邊緣數(shù)據(jù)主要面向智能資產(chǎn),相關(guān)系統(tǒng)運(yùn)行一般有明確的輸入、輸出的因果關(guān)系,而商業(yè)大數(shù)據(jù)關(guān)注的是數(shù)據(jù)關(guān)聯(lián)關(guān)系。
- 高可靠性VS較低可靠性:制造、交通等行業(yè)對(duì)模型的準(zhǔn)確度和可靠性要求高,否則會(huì)帶來(lái)財(cái)產(chǎn)損失甚至人身傷亡。而商業(yè)大數(shù)據(jù)分析對(duì)可靠性要求一般較低。邊緣數(shù)據(jù)的分析要求結(jié)果可解釋?zhuān)院诤谢纳疃葘W(xué)習(xí)方式在一些應(yīng)用場(chǎng)景受到限制。將傳統(tǒng)的機(jī)理模型和數(shù)據(jù)分析方法相結(jié)合是智能分析創(chuàng)新和應(yīng)用的方向。
- 小數(shù)據(jù)VS大數(shù)據(jù):機(jī)床、車(chē)輛等資產(chǎn)是人設(shè)計(jì)、制造的,其運(yùn)行過(guò)程中產(chǎn)生的多數(shù)數(shù)據(jù)是可以預(yù)知的,其在異常、邊界等情況下產(chǎn)生的數(shù)據(jù)才是真正有價(jià)值的數(shù)據(jù)。商業(yè)大數(shù)據(jù)分析一般需要海量的數(shù)據(jù)。邊緣數(shù)據(jù)分析可以通過(guò)業(yè)務(wù)編排層定義數(shù)據(jù)全生命周期的業(yè)務(wù)邏輯,包括指定數(shù)據(jù)分析算法等,通過(guò)功能領(lǐng)域優(yōu)化數(shù)據(jù)服務(wù)的部署和運(yùn)行,滿(mǎn)足業(yè)務(wù)實(shí)時(shí)性等要求。
數(shù)據(jù)全生命周期包括:
- 數(shù)據(jù)預(yù)處理:對(duì)原始數(shù)據(jù)進(jìn)行過(guò)濾、清洗、聚合、質(zhì)量?jī)?yōu)化(剔除壞數(shù)據(jù)等)和語(yǔ)義解析等操作。
- 數(shù)據(jù)分發(fā)和策略執(zhí)行:基于預(yù)定義規(guī)則和數(shù)據(jù)分析結(jié)果,在本地進(jìn)行策略執(zhí)行;或者將數(shù)據(jù)轉(zhuǎn)發(fā)給云端或其他邊緣節(jié)點(diǎn)進(jìn)行處理。
- 數(shù)據(jù)可視化和存儲(chǔ):采用時(shí)序數(shù)據(jù)庫(kù)等技術(shù)可以大大節(jié)省存儲(chǔ)空間并滿(mǎn)足高速的讀寫(xiě)操作需求。利用AR、VR等新一代交互技術(shù)逼真呈現(xiàn)數(shù)據(jù)。
5. 安全服務(wù)
邊緣計(jì)算架構(gòu)的安全設(shè)計(jì)與實(shí)現(xiàn)首先需要考慮:
- 安全功能適配邊緣計(jì)算的特定架構(gòu);
- 安全功能能夠靈活部署與擴(kuò)展;
- 能夠在一定時(shí)間內(nèi)持續(xù)抵抗攻擊;
- 能夠容忍一定程度和范圍內(nèi)的功能失效,基礎(chǔ)功能始終保持運(yùn)行;
- 整個(gè)系統(tǒng)能夠從失敗中快速且完全恢復(fù)。
同時(shí),需要考慮邊緣計(jì)算應(yīng)用場(chǎng)景的獨(dú)特性:
安全功能輕量化,能夠部署在各類(lèi)硬件資源受限的IoT設(shè)備中,考慮到加解密、證書(shū)認(rèn)證等操作都需要消耗相應(yīng)的軟硬件資源,考慮到邊緣設(shè)備資源受限的影響,最終的安全方案需要在易用性、成本與安全保障能力方面進(jìn)行取舍,同時(shí)應(yīng)避免安全性過(guò)于依賴(lài)中心化資源共享。
海量異構(gòu)的設(shè)備接入,部分邊緣存在無(wú)法持續(xù)監(jiān)管的問(wèn)題(歸屬于企業(yè)或個(gè)人,或網(wǎng)絡(luò)非持續(xù)在線等),存在被黑客篡改或攻擊后借助該邊緣節(jié)點(diǎn)入侵整個(gè)系統(tǒng)的風(fēng)險(xiǎn)。
傳統(tǒng)依賴(lài)防火墻或網(wǎng)關(guān)實(shí)現(xiàn)的基于邊界隔離內(nèi)、外網(wǎng)的安全方案仍是需要的,但還不夠。即使在內(nèi)網(wǎng),基于一般信任的安全模型也不再適用,需要基于不信任的安全模型,比如按照最小授權(quán)原則重新設(shè)計(jì)安全模型 (白名單)等。
在關(guān)鍵的設(shè)備節(jié)點(diǎn)(例如邊緣網(wǎng)關(guān))實(shí)現(xiàn)網(wǎng)絡(luò)與域的隔離,對(duì)安全攻擊和風(fēng)險(xiǎn)范圍進(jìn)行控制,避免攻擊由點(diǎn)到面擴(kuò)展。
安全和實(shí)時(shí)態(tài)勢(shì)感知無(wú)縫嵌入整個(gè)邊緣計(jì)算架構(gòu)中,實(shí)現(xiàn)持續(xù)的檢測(cè)與響應(yīng)。盡可能依賴(lài)自動(dòng)化實(shí)現(xiàn),但是時(shí)常也需要人工干預(yù)。
安全的設(shè)計(jì)需要覆蓋邊緣計(jì)算架構(gòu)的各層級(jí),不同層級(jí)需要不同的安全特性,還需要有統(tǒng)一的態(tài)勢(shì)感知、安全管理與編排、統(tǒng)一的身份認(rèn)證與管理以及統(tǒng)一的安全運(yùn)維體系,只有這樣才能最大限度保障整個(gè)架構(gòu)安全與可靠。所有安全管理模塊的示意與關(guān)系如圖3-7所示。
▲圖3-7 安全管理模塊
由圖3-7可知,安全管理主要涉及如下幾項(xiàng):
- 節(jié)點(diǎn)安全:需要提供基礎(chǔ)的邊緣計(jì)算安全、端點(diǎn)安全、軟件加固和安全配置、安全與可靠遠(yuǎn)程升級(jí)、輕量級(jí)可信計(jì)算、硬件安全開(kāi)關(guān)等功能。安全與可靠的遠(yuǎn)程升級(jí)能夠及時(shí)完成漏洞修復(fù),同時(shí)避免升級(jí)后系統(tǒng)失效(也就是常說(shuō)的“變磚”)。輕量級(jí)可信計(jì)算用于計(jì)算(CPU)和存儲(chǔ)與資源受限的簡(jiǎn)單物聯(lián)網(wǎng)設(shè)備相關(guān)的數(shù)據(jù),解決最基本的可信問(wèn)題。
- 網(wǎng)絡(luò)安全:包含防火墻(Firewall)、入侵檢測(cè)和防護(hù)(IPS/IDS)、DDoS防護(hù)、TLS功能,也包括一些傳輸協(xié)議的安全功能重用(例如REST協(xié)議的安全功能)。其中DDoS防護(hù)在物聯(lián)網(wǎng)和邊緣計(jì)算中特別重要,近年來(lái),越來(lái)越多的物聯(lián)網(wǎng)攻擊是DDoS攻擊,攻擊者通過(guò)控制安全性較弱的物聯(lián)網(wǎng)設(shè)備(例如采用固定密碼的攝像頭)來(lái)集中攻擊特定目標(biāo)。
- 數(shù)據(jù)安全:包含數(shù)據(jù)加密、數(shù)據(jù)隔離和銷(xiāo)毀、數(shù)據(jù)防篡改、隱私保護(hù)(數(shù)據(jù)脫敏)、數(shù)據(jù)訪問(wèn)控制和數(shù)據(jù)防泄露等。其中數(shù)據(jù)加密,包含數(shù)據(jù)在傳輸過(guò)程中的加密、在存儲(chǔ)時(shí)的加密;邊緣計(jì)算的數(shù)據(jù)防泄露與傳統(tǒng)的數(shù)據(jù)防泄露有所不同,邊緣計(jì)算的設(shè)備往往是分布式部署,需要考慮這些設(shè)備被盜以后,相關(guān)數(shù)據(jù)即使被獲得也不會(huì)泄露。
- 應(yīng)用安全:主要包含白名單、應(yīng)用安全審計(jì)、惡意代碼防范、WAF(Web應(yīng)用防火墻)、沙箱等安全功能。其中,白名單是邊緣計(jì)算架構(gòu)中非常重要的功能,由于終端的海量異構(gòu)接入,業(yè)務(wù)種類(lèi)繁多,傳統(tǒng)的IT安全授權(quán)模式不再適用,往往需要采用最小授權(quán)的安全模型(例如白名單功能)管理應(yīng)用及訪問(wèn)權(quán)限。
安全態(tài)勢(shì)感知、安全管理編排:網(wǎng)絡(luò)邊緣側(cè)接入的終端類(lèi)型廣泛且數(shù)量巨大,承載的業(yè)務(wù)繁雜,被動(dòng)安全防御往往不能起到良好的效果。因此,需要采用更加積極主動(dòng)的安全防御手段,包括基于大數(shù)據(jù)的態(tài)勢(shì)感知和高級(jí)威脅檢測(cè),以及統(tǒng)一的全網(wǎng)安全策略和主動(dòng)防護(hù)機(jī)制,從而更加快速地進(jìn)行響應(yīng)和防護(hù)。再結(jié)合完善的運(yùn)維監(jiān)控和應(yīng)急響應(yīng)機(jī)制,則能夠最大限度保障邊緣計(jì)算系統(tǒng)的安全、可用、可信。
- 身份和認(rèn)證管理:身份和認(rèn)證管理功能遍布所有功能層。但是在邊緣側(cè)要考慮海量設(shè)備接入的訴求,傳統(tǒng)集中式安全認(rèn)證面臨巨大的性能壓力,特別是在設(shè)備集中上線時(shí)認(rèn)證系統(tǒng)往往不堪重負(fù)。去中心化、分布式的認(rèn)證方式和證書(shū)管理成為新的技術(shù)選擇。
關(guān)于作者:任旭東,畢業(yè)于上海交通大學(xué),現(xiàn)任華為ICT基礎(chǔ)設(shè)施開(kāi)源業(yè)務(wù)總經(jīng)理,華為公司首席開(kāi)源聯(lián)絡(luò)官,全面負(fù)責(zé)面向運(yùn)營(yíng)商和企業(yè)的網(wǎng)絡(luò)自動(dòng)化產(chǎn)業(yè)解決方案的開(kāi)源實(shí)現(xiàn),聚焦于用開(kāi)源手段構(gòu)建產(chǎn)業(yè)生態(tài),做大產(chǎn)業(yè)空間,構(gòu)建健康和諧的產(chǎn)業(yè)環(huán)境,支撐公司商業(yè)成功。
本文摘編自《5G時(shí)代邊緣計(jì)算:LF Edge生態(tài)與EdgeGallery技術(shù)詳解》,經(jīng)出版方授權(quán)發(fā)布。
