5.2 5G 边缘云技术体系
5.2.1 5G 边缘云架构
5G 边缘云架构的参考模型如图5-5所示。整体架构分为云层、边缘云层和现场设备层三层。边缘云层位于云层和现场设备层之间,实现现场设备层各种终端的接入以及与云层的对接。
图5-5 边缘云架构的参考模型
现场设备层实现生产数据的采集,主要由个人终端,以及工业、医疗等场景下的传感器设备、生产设备等行业终端组成。边缘云层主要由边缘基础设施和边缘管理器两部分组成。边缘基础设施是边缘计算的核心,为业务应用提供相应的网络、计算、存储资源。根据业务类型的不同,边缘云层中的边缘基础设施通常包含边缘网关、边缘控制器、边缘一体机、边缘服务器等。其中边缘网关主要实现网络协议的处理和转换,边缘控制器主要支持实时闭环控制业务,边缘服务器主要用于大规模数据处理,边缘一体机主要用于低功耗信息采集和处理。边缘管理器主要实现对边缘基础设施的统一管理,包括业务编排、资源调用等。
通过在边缘基础设施上部署相应业务应用,能够实现控制、分析等边缘计算应用功能。利用边缘计算,能够加强本地计算能力,实现控制功能的边缘部署,减少集中式的云计算模式带来的响应时延高的问题,形成面向大规模复杂控制系统的有效解决方案。边缘计算的分析功能可以实现流数据分析、视频图像分析、智能计算和数据挖掘等功能。计算能力的下沉使分析处理能力靠近数据源,通过预处理减少了向云端传输的数据量,减小了传输的带宽需求。
5.2.2 边缘基础设施
边缘基础设施包括网络、计算和存储三个基本模块。
(1)网络
边缘计算的初衷是将计算能力下沉至网络边缘,降低业务的响应时延,因此网络资源是边缘计算业务展开的基础支撑。边缘计算的业务场景,如工业、医疗等,决定了边缘计算的网络必须满足低时延、超高可靠的要求,同时又要支持网络的灵活部署与实施。为了应对边缘应用对带宽、时延、QoS 等不同性能指标的要求,时间敏感网络(Time-Sensitive Networking,TSN)和SDN 成为边缘计算网络的两种不可或缺的重要技术组成。
国际标准组织IEEE 针对时间敏感网络制定了一系列的技术标准。该技术标准体系基于传统以太网构建了一种时间敏感性的新型传输网络,能够为用户提供具有确定性时延的数据传输能力。IEEE 802工作组对时间敏感网络的主要性能给出了描述,它能够提供具有有界低延时、低抖动、极低数据丢失率的数据传输能力。时间敏感网络的核心能力包括优先级时间感知调度、时间同步、流量整形等。时间敏感网络针对实时优先级、时钟等关键服务定义了统一的技术标准,在车载网、工业以太网等领域成为未来的一个主要发展方向。
SDN 在5G、未来网络等研究中得到广泛应用,而边缘计算网络同样也离不开SDN技术。SDN 是一种新型网络架构,逐渐成为网络技术发展的主流。SDN 的核心思想是,通过网络的控制与转发功能分离实现对网络设备的编程控制。在SDN 中,应用层负责承载商业应用或者用户自定义的应用。通过北向接口,SDN 将应用层的需求与策略传递到控制层。控制层中的控制器负责将应用层下达的策略转译成相应的转发规则,通过南向接口传递到基础设施层。基础设施层负责网络状态的收集,以及在控制层下发的转发规则的指导下对数据进行转发。SDN 技术加强了网络的灵活性和可控可管性。在边缘计算中应用SDN 技术,能够支持海量网络设备的灵活接入,增加网络的可扩展性,增强自动化运维能力。
(2)计算
边缘计算需要根据现场应用的多样性提供异构计算能力、边缘智能能力及虚拟化能力,主要涉及的硬件设备包括边缘服务器、边缘网关、边缘一体机等。
① 异构计算能力。异构计算是边缘侧的关键计算能力之一。物联网、自动驾驶、工业互联网等业务的快速发展,以及人工智能算法在这些领域的应用,均带来了对计算能力的多样化需求。同时,计算资源所需要处理的数据类型也日趋多样,既包含结构化数据又包含非结构化数据。通过引入CPU、DSP(Digital Signal Processing,数字信号处理)芯片、GPU(Graphics Processing Unit,图形处理器)、ASIC(Application Specific Integrated Circuit,专用集成电路)、FPGA(Field Programmable Gate Array,现场可编程逻辑门阵列)等多种不同计算单元来进行加速计算,成为边缘计算能力未来的发展趋势。产业界提出,将不同类型指令集、不同体系架构的计算单元协同起来,形成新的异构计算架构,以便充分发挥各种计算单元的优势,实现性能、成本、功耗、可移植性等方面的均衡。
② 边缘智能能力。在网络边缘安装和连接的智能设备,应能够实现关键任务数据的处理和分析。在工业领域,针对工业流数据的实时分析、设备的预测性维护、产品的故障检测等均涉及边缘智能的应用。给边缘计算节点赋予一定的智能计算能力,使之能够自主判断并解决问题,及时检测异常情况,更好地实现预测性监控。在无人驾驶领域,道路预测等边缘智能应用更是关键的应用之一。
③ 虚拟化能力。虚拟化技术已经在云数据中心得到了广泛的应用,成为企业IT 系统的主流建设模式。使用虚拟化技术,降低系统的开发和部署成本,已经成为行业共识。虚拟化技术也已经从服务器应用场景向嵌入式系统应用场景转变。典型的虚拟化技术包括裸金属架构和主机架构。裸金属架构是指虚拟化层的Hypervisor 等功能直接运行在硬件平台上,在实时性方面能够获得较好的效果。智能网关等一般采用这种虚拟化方式。主机架构让虚拟化层的功能运行在主机操作系统上,然后再对计算等资源进行虚拟化,通常用于部署对计算能力要求不是特别高的业务。
(3)存储
边缘计算的存储资源存在多样化的需求,因为边缘计算存在众多应用场景,既有对实时性要求较高的工业控制、无人驾驶等业务场景,又有对存储容量要求较高的AR/VR、CDN 等业务场景,同时存在结构化数据及非结构化数据的应用需求。在产业界,边缘计算的存储资源通常使用边缘一体机或者采用分布式存储体系搭建,实现业务应用对块存储、文件存储、对象存储的需求。
5.2.3 边缘管理
边缘管理器用于实现边缘管理,涉及的内容包括统一的资源调用管理、服务管理、数据生命周期管理等功能。
(1)资源调用管理
边缘管理器能够通过代码管理、网络管理、数据库管理等方式直接调用相应的资源,完成业务功能。代码管理包括对功能模块的存储、更新、检索、增加、删除等操作,以及版本控制。网络管理是指在最高层面上对大规模计算机网络和工业现场网络进行的维护和管理,实现控制、规划、分配、部署、协调及监视一个网络的资源所需的整套功能。另外,针对数据库的建立、数据库的调整、数据库的组合、数据库的安全性控制与完整性控制、数据库的故障恢复和数据库的监控提供全生命周期的数据库管理。
(2)服务管理
通过边缘管理器,能够面向终端设备、网络设备、服务器,针对数据、业务与应用的隔离、安全、分布式等方面提供统一服务管理,在工程设计、集成设计、系统部署、业务与数据迁移、集成测试、集成验证与验收等领域提供全生命周期的管理支持。
(3)数据生命周期管理
边缘计算中的数据是在边缘侧产生的,包括机器运行数据、环境数据及信息系统数据等,具有瞬间流量大、流动速度快、实时性要求高等特点。边缘管理器具有对此类数据进行数据预处理、数据分发和策略执行、数据可视化和存储的功能。
5.2.4 边缘计算安全
边缘计算已经在工业、交通、医疗、智慧城市等关键领域得到广泛应用,边缘计算的安全防护也将成为未来各行业应用中至关重要的一环。边缘计算的主要应用场景位于网络边缘,部署了大量的传感器网络设备,具有设备数量庞大、基础环境复杂、计算存储资源受限等特点。因此,传统的安全防护手段无法完全适应边缘计算面临的安全防护需求。
在设计边缘计算安全模型时,既要考虑传统安全能力在边缘计算中的实现,又要考虑边缘计算的应用特点。例如,在安全防护方面应考虑安全功能的轻量化,实现安全能力在各类硬件资源受限的IoT 设备中的应用。海量设备的接入将导致传统的安全认证机制不再适用,应根据网络接入特点,重新设计安全模型。对关键节点(如边缘网关)的攻击可能导致安全故障由点及面的风险,应设计相应的隔离策略,有效控制攻击风险范围。
边缘计算的安全体系主要涉及节点安全、网络安全、数据安全、应用安全等内容。在节点安全方面,主要提供边缘节点的虚拟化安全、OS 安全等功能,并能够实现节点的完整性校验、身份鉴别等;在网络安全方面,主要保障各网络协议的安全,提供网络域的隔离、网络监测、网络防护等功能;在数据安全方面,主要涉及数据的安全存储,提供数据的轻量级加密、敏感数据的处理与监测等功能;在应用安全方面,主要提供APP加固、权限访问控制、应用监控、应用审计等功能。总之,应通过一系列的措施保障边缘应用的安全,这些在第7章中还会进行详细的讨论。