该参考架构基于模型驱动的工程方法(Model-Driven Engineering,MDE)进行设计,如图3-1所示,可将物理和数字世界的知识模型化,从而实现以下目标:
- 物理世界和数字世界的协作;
- 跨产业的生态协作;
- 减少系统异构性,简化跨平台移植流程;
- 有效支撑系统的全生命周期活动。
▲图3-1 边缘计算参考架构3.0
参考架构3.0的主要内容包括:
整个系统分为云、边缘和现场三层,边缘计算位于云和现场层之间,边缘层向下支持各种现场设备的接入,向上可以与云端对接。
边缘层包括边缘节点和边缘管理器两个主要部分。边缘节点是硬件实体,是承载边缘计算业务的核心。边缘节点根据业务侧重点和硬件特点的不同,包括以网络协议处理和转换为重点的边缘网关、以支持实时闭环控制业务为重点的边缘控制器、以大规模数据处理为重点的边缘云、以低功耗信息采集和处理为重点的边缘传感器等。
边缘管理器的呈现核心是软件,主要功能是对边缘节点进行统一管理。
边缘节点一般具有计算、网络和存储资源,边缘计算系统对资源的使用有两种方式:
- 第一,直接将计算、网络和存储资源进行封装,提供调用接口,边缘管理器以代码下载、网络策略配置和数据库操作等方式使用边缘节点资源;
- 第二,进一步将边缘节点的资源按功能领域封装成功能模块,边缘管理器通过模型驱动的业务编排的方式组合和调用功能模块,实现边缘计算业务的一体化开发和敏捷部署。
边缘计算须提供统一的管理服务、数据全生命周期服务和安全服务,以处理各种异构的基础设施、设备形态等,最终达到提升管理与运维运营效率,降低运维成本的目的。
01 部署场景
边缘计算按距离由近及远可分为现场层、边缘层和云计算层,如图3-2所示。
▲图3-2 边缘计算按距离分类
1. 现场层
现场层包括传感器、执行器、设备、控制系统和资产等现场节点。这些现场节点通过各种类型的现场网络、工业总线与边缘层中的边缘网关等设备相连接,实现现场层和边缘层之间数据流和控制流的连通。
网络可以使用不同的拓扑结构,边缘网关等设备用于将一组现场节点彼此连接以及连接到广域网络。它具有到集群中每个边缘实体的直接连接,允许来自边缘节点的数据流入和到边缘节点的控制命令流出。
2. 边缘层
边缘层是边缘计算三层架构的核心,用于接收、处理和转发来自现场层的数据流,提供智能感知、安全隐私保护、数据分析、智能计算、过程优化和实时控制等时间敏感服务。
边缘层包括边缘网关、边缘控制器、边缘云、边缘传感器等计算存储设备,以及时间敏感网络交换机、路由器等网络设备,封装了边缘侧的计算、存储和网络资源。边缘层还包括边缘管理器软件,该软件主要提供业务编排或直接调用的能力,用于操作边缘节点完成相关任务。
当前边缘层的部署有云边缘(KubeEdge)、边缘云(MEC与此对应)和云化网关三类落地形态。
- 云边缘:云边缘形态的边缘计算,是云服务在边缘侧的延伸,逻辑上仍是云服务,主要提供依赖于云服务或需要与云服务紧密协同的服务。华为云提供的IEF解决方案、阿里云提供的Link Edge 解决方案、AWS提供的Greengrass解决方案等均属于此类。
- 边缘云:边缘云形态的边缘计算,是在边缘侧构建中小规模云,边缘服务能力主要由边缘云提供;集中式DC侧的云服务主要提供边缘云的管理调度能力。MEC、CDN、华为云提供的IEC解决方案等均属于此类。
- 云化网关:云化网关形态的边缘计算,以云化技术与能力重构原有嵌入式网关系统,云化网关在边缘侧提供协议、接口转换、边缘计算等能力,部署在云侧的控制器提供针对边缘节点的资源调度、应用管理、业务编排等能力。
3. 云计算层
云计算层提供决策支持系统,以及智能化生产、网络化协同、服务化延伸和个性化定制等特定领域的应用服务程序,并为最终用户提供接口。云计算层从边缘层接收数据流,并向边缘层以及通过边缘层向现场层发出控制信息,从全局范围内对资源调度和现场生产过程进行优化。
02 功能视图
边缘计算参考架构的功能视图如图3-3所示。
▲图3-3 功能视图
1. 基础资源
基础资源包括网络、计算和存储三个基础模块,以及虚拟化服务,其中前三个前面已有介绍,故这里仅对虚拟化服务进行简单介绍。
虚拟化技术降低了系统开发和部署成本,已经开始从服务器应用场景向嵌入式系统应用场景渗透。典型的虚拟化技术包括裸机(Bare Metal,又称裸金属)架构和主机(Host)架构。
前者是虚拟化层的虚拟机管理器(Hypervisor)等功能直接运行在系统硬件平台上,然后再运行操作系统和虚拟化功能;后者是虚拟化层功能运行在主机操作系统上。前者有更好的实时性,智能资产和智能网关一般采用该方式。
2. 功能领域
边缘计算的功能模块主要用于控制、分析和优化三个领域。
1)控制功能
如图3-4所示,在工业互联网边缘计算场景中,控制仍然是一个重要的核心功能。控制系统要求对环境可感知且执行要稳、准、快。因此,大规模复杂系统对控制器的计算能力和实时响应要求严格,利用边缘计算增强本地计算能力,降低由云集中式计算带来的响应延迟是面向大规模复杂控制系统的有效解决方案。
▲图3-4 控制功能领域
控制功能主要包括对环境的感知和执行、实时通信、实体抽象、控制系统建模、资产管理等。
- 感知与执行:感知是指从传感器中读取环境信息。执行是指向执行器中写入由环境变化引起的响应操作。两者的物理实现通常由一组专用硬件、固件、设备驱动程序和API接口组成。
- 实体抽象:在一个更高的层次通过虚拟实体表征控制系统中的传感器、执行器、同级控制器和系统,并描述它们之间的关系,其中还包含系统元素之间消息传递过程中消息的语义。通过实体抽象,一方面易于控制系统上下文表征,理解感知信息和执行信息的含义;另一方面,虚拟实体将系统硬件软件化和服务化,从而使得系统构建过程中可以纵向将硬件、系统功能和特定应用场景组合,增加开发的灵活性,提高开发效率。
- 建模:控制系统建模即通过解释和关联从环境(包括传感器、网络设备)中获取的数据,达到理解系统的状态、转换条件和行为的目的。建模的过程是从定性了解系统的工作原理及特性到定量描述系统的动态特性的过程。
- 资产管理:资产管理是指对控制系统操作的管理,包括系统上线、配置、执行策略、软/固件更新以及其他系统生命周期管理。
2)分析功能
分析功能主要包括流数据分析、视频图像分析、智能计算和数据挖掘等。
基于流式数据分析可对数据进行即时处理,快速响应事件并满足不断变化的业务条件与需求,加速对数据执行的持续分析。针对流数据具有的大量、连续、快速、随时间变化快等特点,流数据分析需要能够过滤无关数据,进行数据聚合和分组,快速提供跨流关联信息,将元数据、参考数据和历史数据与上下文的流数据相结合,并能够实时监测异常数据。
对于海量非结构化的视频数据,在边缘侧可提供实时的图像特征提取、关键帧提取等基础功能支持。
在边缘侧应用智能算法(例如传统的遗传算法、蚁群算法、粒子群算法;与人工智能相关的神经网络、机器学习等),可完成对复杂问题的求解。在边缘侧提供常用的统计模型库,支持统计模型、机理模型等模型算法的集成,支持轻量的深度学习等模型训练方法。
3)优化功能
边缘计算优化功能涵盖了场景应用的多个层次,如图 3-5所示。
▲图3-5 优化功能
- 测量与执行优化:对传感器和执行器信号的接口进行优化,减少通信数据量,保障信号传递的实时性。
- 环境与设备安全优化:对报警事件进行优化管理,尽可能早地发现问题并做出响应;优化紧急事件处理方式,简化紧急响应条件。
- 调节控制优化:对控制策略、控制系统参数(如PID)、故障检测过程等进行优化。
- 多元控制协同优化:对预测控制系统的控制模型、MIMO(Multiple-Input Multiple-Output)控制系统的参数矩阵以及多个控制器组成的分布式系统的协同控制进行优化。
- 实时优化:对生产车间或工作单元范围内的数据进行实时优化以实现参数估计和数据辨识等功能。
- 车间排产优化:主要包括需求预测模型优化、供应链管理优化、生产过程优化等。
3. 边缘管理
边缘管理包括基于模型的业务编排以及对代码、网络和数据库的管理,且采用相同配置模式来进行管理,包括分配版本号、保存配置变更信息等,下面以模型为例来展示边缘管理功能。
边缘计算参考架构3.0基于模型的业务编排,通过架构、功能需求、接口需求等模型定义,支持模型和业务流程的可视化呈现,支持基于模型生成多语言的代码;通过集成开发平台和工具链集成边缘计算领域模型与垂直行业领域模型;支持模型库版本管理。
业务编排一般基于三层架构,如图3-6所示。
▲图3-6 边缘编排
1)业务编排器
编排器负责定义业务组织流程,一般部署在云端(公有云/私有云)或本地(智能系统上)。编排器提供可视化的工作流定义工具,支持CRUD操作。编排器能够基于和复用开发服务框架已经定义好的服务模板、策略模板进行业务编排。在下发业务流程给策略控制器前,编排器能够完成工作流的语义检查和策略冲突检测等工作。
2)策略控制器
为了保证业务调度和控制的实时性,在网络边缘侧会部署策略控制器,以实现本地就近控制。策略控制器按照一定策略,结合本地的边缘功能模块所支持的服务与能力,将业务流程分配给本地的一个或多个边缘功能模块以完成具体实施工作。
考虑到边缘计算领域和垂直行业领域需要不同的知识和系统实现,所以控制器的设计和部署往往分域完成。由边缘计算领域控制器负责对安全、数据分析等边缘计算服务进行部署。涉及垂直行业业务逻辑的部分,由垂直行业领域的控制器进行分发调度。
3)策略执行器
在每个边缘节点内置策略执行器,其负责将策略翻译成本设备命令并在本地调度执行。边缘节点既支持由控制器推送策略,又支持主动向控制器请求策略。策略可只关注高层次业务需求,而不对边缘节点进行细粒度控制,从而保证边缘节点的自主性和本地事件响应处理的实时性。
当然,边缘管理功能也允许通过代码管理、网络配置、数据库操作等方式直接操作或调用相应资源,来完成对应的管理任务。代码管理包括对功能模块或代码进行存储、更新、检索、增加、删除及版本控制等操作。
而网络管理则可在高层上对大规模计算网络和工业现场网络进行维护与管理,实现对网络资源的控制、规划、分配、部署、监视和编排。
数据库管理则针对数据库的建立、调整、组合、数据安全性控制、完整性控制、故障恢复和监控等进行全生命周期的操作。
4. 边缘服务
边缘计算参考架构3.0中的边缘服务包括管理服务、数据全生命周期服务和安全服务。
1)管理服务
边缘计算参考架构3.0支持面向终端设备、网络设备、服务器、存储设备、数据、业务与应用的隔离、安全、分布式架构的统一管理服务。
边缘计算参考架构3.0支持面向工程设计、集成设计、系统部署、业务与数据迁移、集成测试、集成验证与验收等全生命周期服务。
2)数据全生命周期服务
边缘数据是在网络边缘侧产生的数据,包括机器运行数据、环境数据以及信息系统数据等,具有高通量(瞬间流量大)、流动速度快、类型多样、关联性强、分析处理实时性要求高等特点,与互联网等商业大数据相比,边缘数据的智能分析有如下特点:
- 因果VS关联:边缘数据主要面向智能资产,相关系统运行一般有明确的输入、输出的因果关系,而商业大数据关注的是数据关联关系。
- 高可靠性VS较低可靠性:制造、交通等行业对模型的准确度和可靠性要求高,否则会带来财产损失甚至人身伤亡。而商业大数据分析对可靠性要求一般较低。边缘数据的分析要求结果可解释,所以黑盒化的深度学习方式在一些应用场景受到限制。将传统的机理模型和数据分析方法相结合是智能分析创新和应用的方向。
- 小数据VS大数据:机床、车辆等资产是人设计、制造的,其运行过程中产生的多数数据是可以预知的,其在异常、边界等情况下产生的数据才是真正有价值的数据。商业大数据分析一般需要海量的数据。边缘数据分析可以通过业务编排层定义数据全生命周期的业务逻辑,包括指定数据分析算法等,通过功能领域优化数据服务的部署和运行,满足业务实时性等要求。
数据全生命周期包括:
- 数据预处理:对原始数据进行过滤、清洗、聚合、质量优化(剔除坏数据等)和语义解析等操作。
- 数据分发和策略执行:基于预定义规则和数据分析结果,在本地进行策略执行;或者将数据转发给云端或其他边缘节点进行处理。
- 数据可视化和存储:采用时序数据库等技术可以大大节省存储空间并满足高速的读写操作需求。利用AR、VR等新一代交互技术逼真呈现数据。
5. 安全服务
边缘计算架构的安全设计与实现首先需要考虑:
- 安全功能适配边缘计算的特定架构;
- 安全功能能够灵活部署与扩展;
- 能够在一定时间内持续抵抗攻击;
- 能够容忍一定程度和范围内的功能失效,基础功能始终保持运行;
- 整个系统能够从失败中快速且完全恢复。
同时,需要考虑边缘计算应用场景的独特性:
安全功能轻量化,能够部署在各类硬件资源受限的IoT设备中,考虑到加解密、证书认证等操作都需要消耗相应的软硬件资源,考虑到边缘设备资源受限的影响,最终的安全方案需要在易用性、成本与安全保障能力方面进行取舍,同时应避免安全性过于依赖中心化资源共享。
海量异构的设备接入,部分边缘存在无法持续监管的问题(归属于企业或个人,或网络非持续在线等),存在被黑客篡改或攻击后借助该边缘节点入侵整个系统的风险。
传统依赖防火墙或网关实现的基于边界隔离内、外网的安全方案仍是需要的,但还不够。即使在内网,基于一般信任的安全模型也不再适用,需要基于不信任的安全模型,比如按照最小授权原则重新设计安全模型 (白名单)等。
在关键的设备节点(例如边缘网关)实现网络与域的隔离,对安全攻击和风险范围进行控制,避免攻击由点到面扩展。
安全和实时态势感知无缝嵌入整个边缘计算架构中,实现持续的检测与响应。尽可能依赖自动化实现,但是时常也需要人工干预。
安全的设计需要覆盖边缘计算架构的各层级,不同层级需要不同的安全特性,还需要有统一的态势感知、安全管理与编排、统一的身份认证与管理以及统一的安全运维体系,只有这样才能最大限度保障整个架构安全与可靠。所有安全管理模块的示意与关系如图3-7所示。
▲图3-7 安全管理模块
由图3-7可知,安全管理主要涉及如下几项:
- 节点安全:需要提供基础的边缘计算安全、端点安全、软件加固和安全配置、安全与可靠远程升级、轻量级可信计算、硬件安全开关等功能。安全与可靠的远程升级能够及时完成漏洞修复,同时避免升级后系统失效(也就是常说的“变砖”)。轻量级可信计算用于计算(CPU)和存储与资源受限的简单物联网设备相关的数据,解决最基本的可信问题。
- 网络安全:包含防火墙(Firewall)、入侵检测和防护(IPS/IDS)、DDoS防护、TLS功能,也包括一些传输协议的安全功能重用(例如REST协议的安全功能)。其中DDoS防护在物联网和边缘计算中特别重要,近年来,越来越多的物联网攻击是DDoS攻击,攻击者通过控制安全性较弱的物联网设备(例如采用固定密码的摄像头)来集中攻击特定目标。
- 数据安全:包含数据加密、数据隔离和销毁、数据防篡改、隐私保护(数据脱敏)、数据访问控制和数据防泄露等。其中数据加密,包含数据在传输过程中的加密、在存储时的加密;边缘计算的数据防泄露与传统的数据防泄露有所不同,边缘计算的设备往往是分布式部署,需要考虑这些设备被盗以后,相关数据即使被获得也不会泄露。
- 应用安全:主要包含白名单、应用安全审计、恶意代码防范、WAF(Web应用防火墙)、沙箱等安全功能。其中,白名单是边缘计算架构中非常重要的功能,由于终端的海量异构接入,业务种类繁多,传统的IT安全授权模式不再适用,往往需要采用最小授权的安全模型(例如白名单功能)管理应用及访问权限。
安全态势感知、安全管理编排:网络边缘侧接入的终端类型广泛且数量巨大,承载的业务繁杂,被动安全防御往往不能起到良好的效果。因此,需要采用更加积极主动的安全防御手段,包括基于大数据的态势感知和高级威胁检测,以及统一的全网安全策略和主动防护机制,从而更加快速地进行响应和防护。再结合完善的运维监控和应急响应机制,则能够最大限度保障边缘计算系统的安全、可用、可信。
- 身份和认证管理:身份和认证管理功能遍布所有功能层。但是在边缘侧要考虑海量设备接入的诉求,传统集中式安全认证面临巨大的性能压力,特别是在设备集中上线时认证系统往往不堪重负。去中心化、分布式的认证方式和证书管理成为新的技术选择。
关于作者:任旭东,毕业于上海交通大学,现任华为ICT基础设施开源业务总经理,华为公司首席开源联络官,全面负责面向运营商和企业的网络自动化产业解决方案的开源实现,聚焦于用开源手段构建产业生态,做大产业空间,构建健康和谐的产业环境,支撑公司商业成功。
本文摘编自《5G时代边缘计算:LF Edge生态与EdgeGallery技术详解》,经出版方授权发布。