邊緣計算是在靠近物或數據源頭的網絡邊緣側,融合網絡、計算、存儲、應用核心能力的分布式開放平臺,就近提供邊緣智能服務,滿足行業數字化在敏捷聯接、實時業務、數據優化、應用智能、安全與隱私保護 等方面的關鍵需求。它可以作為聯接物理和數字世界的橋梁,使能智能資產、智能網關、智能系統和智能服 務。
? 聯接性
聯接性是邊緣計算的基礎。所聯接物理對象的多樣性及應用場景的多樣性,需要邊緣計算具備豐富的聯 接功能,如各種網絡接口、網絡協議、網絡拓撲、網絡部署與配置、網絡管理與維護。聯接性需要充分借鑒吸 收網絡領域先進研究成果,如TSN、SDN、NFV、Network as a Service、WLAN、NB-IoT、5G等,同時還要考 慮與現有各種工業總線的互聯互通。
? 數據第一入口
邊緣計算作為物理世界到數字世界的橋梁,是數據的第一入口,擁有大量、實時、完整的數據,可基于 數據全生命周期進行管理與價值創造,將更好的支撐預測性維護、資產效率與管理等創新應用;同時,作為數 據第一入口,邊緣計算也面臨數據實時性、確定性、多樣性等挑戰。
? 約束性
邊緣計算產品需適配工業現場相對惡劣的工作條件與運行環境,如防電磁、防塵、防爆、抗振動、抗電 流/電壓波動等。在工業互聯場景下,對邊緣計算設備的功耗、成本、空間也有較高的要求。 邊緣計算產品需要考慮通過軟硬件集成與優化,以適配各種條件約束,支撐行業數字化多樣性場景。
? 分布性
邊緣計算實際部署天然具備分布式特征。這要求邊緣計算支持分布式計算與存儲、實現分布式資源的動 態調度與統一管理、支撐分布式智能、具備分布式安全等能力。
? 融合性
OT與ICT的融合是行業數字化轉型的重要基礎。邊緣計算作為“OICT”融合與協同的關鍵承載,需要支持 在聯接、數據、管理、控制、應用、安全等方面的協同。
1.3 邊緣計算CROSS價值
? 聯接的海量與異構(Connection)
網絡是系統互聯與數據聚合傳輸的基石。伴隨聯接設備數量的劇增,網絡運維管理、靈活擴展和可靠性 保障面臨巨大挑戰。同時,工業現場長期以來存在大量異構的總線聯接,多種制式的工業以太網并存,如何 兼容多種聯接并且確保聯接的實時可靠是必須要解決的現實問題。
? 業務的實時性(Real-time)
工業系統檢測、控制、執行的實時性高,部分場景實時性要求在10ms以內。如果數據分析和控制邏輯全 部在云端實現,難以滿足業務的實時性要求。 ? 數據的優化(Optimization)
當前工業現場存在大量的多樣化異構數據,需要通過數據優化實現數據的聚合、數據的統一呈現與開 放,以靈活高效地服務于邊緣應用的智能。
? 應用的智能性(Smart)
業務流程優化、運維自動化與業務創新驅動應用走向智能,邊緣側智能能夠帶來顯著的效率與成本優 勢。以預測性維護為代表的智能化應用場景正推動行業向新的服務模式與商業模式轉型。
? 安全與隱私保護(Security)
安全跨越云計算和邊緣計算之間的縱深,需要實施端到端防護。網絡邊緣側由于更貼近萬物互聯的設備, 訪問控制與威脅防護的廣度和難度因此大幅提升。邊緣側安全主要包含設備安全、網絡安全、數據安全與應用 安全。此外,關鍵數據的完整性、保密性,大量生產或人身隱私數據的保護也是安全領域需要重點關注的內容。
云計算適用于非實時、長周期數據、業務決策場景,而邊緣計算在實時性、短周期數據、本地決策等場景方面有不可替代的作用。
邊緣計算與云計算是行業數字化轉型的兩大重要支撐,兩者在網絡、業務、應用、智能等方面的協同將 有助于支撐行業數字化轉型更廣泛的場景與更大的價值創造。
|
產品實現 |
應用場景 |
|
ICT融合網關 |
梯聯網、智慧路燈等場景 |
|
獨立式控制器 |
工業PLC場景 |
|
嵌入式控制器 |
vPLC、機器人等場景 |
|
感知終端 |
數字化機床、儀表場景 |
|
分布式業務網關 |
智能配電場景 |
|
邊緣集群(邊緣云) |
智能制造車間場景 |
邊緣計算參考架構
參考架構基于模型驅動的工程方法(Model-Driven Engineering MDE)進行設計。基于模型可以將物理 和數字世界的知識模型化,從而實現:
? 物理世界和數字世界的協作 對物理世界建立實時、系統的認知模型。在數字世界預測物理世界的狀態、仿真物理世界的運行、簡 化物理世界的重構,然后驅動物理世界優化運行。能夠將物理世界的全生命周期數據與商業過程數據建立協 同,實現商業過程和生產過程的協作。
? 跨產業的生態協作 基于模型化的方法,ICT和各垂直行業可以建立和復用本領域的知識模型體系。ICT行業通過水平化的邊 緣計算領域模型和參考架構屏蔽ICT技術復雜性,各垂直行業將行業Know-How進行模型化封裝,實現ICT行業 與垂直行業的有效協作。
? 減少系統異構性,簡化跨平臺移植 系統與系統之間、子系統與子系統之間、服務與服務之間、新系統與舊系統之間等基于模型化的接口進 行交互,簡化集成。基于模型,可以實現軟件接口與開發語言、平臺、工具、協議等解耦,從而簡化跨平臺 的移植。
? 有效支撐系統的全生命周期活動 包括應用開發服務的全生命周期、部署運營服務的全生命周期、數據處理服務的全生命周期、安全服務 的全生命周期等。 ICT行業在網絡、計算、存儲等領域面臨著架構極簡、業務智能、降低CapEx和OpEx等挑戰,正在通過虛 擬化、SDN、模型驅動的業務編排、微服務等技術創新應對這些挑戰。邊緣計算作為OT和ICT融合的產業,其 參考架構設計需要借鑒這些新技術和新理念。同時,邊緣計算與云計算存在協同與差異,面臨獨特挑戰,需 要獨特的創新技術。
從架構的橫向層次來看,具有如下特點:
? 智能服務基于模型驅動的統一服務框架,通過開發服務框架和部署運營服務框架實現開發與部署智能 協同,能夠實現軟件開發接口一致和部署運營自動化;
? 智能業務編排通過業務Fabric定義端到端業務流,實現業務敏捷;
? 聯接計算CCF(Connectivity and Computing Fabric)實現架構極簡,對業務屏蔽邊緣智能分布式架 構的復雜性;實現OICT基礎設施部署運營自動化和可視化,支撐邊緣計算資源服務與行業業務需求 的智能協同;
? 智能ECN(EdgeComputing Node)兼容多種異構聯接、支持實時處理與響應、提供軟硬一體化安全等;
邊緣計算參考架構在每層提供了模型化的開放接口,實現了架構的全層次開放;邊緣計算參考架構通過 縱向管理服務、數據全生命周期服務、安全服務,實現業務的全流程、全生命周期的智能服務。
邊緣計算參考架構
以 ISO/IEC/IEEE 42010:2011 架構定義國際標準為指導,將產業對邊緣計算的關注點進行系統性的分 析,并提出了解決措施和框架,通過如下三類視圖來展示邊緣計算參考架構:
? 概念視圖
闡述邊緣計算的領域模型和關鍵概念。
? 功能設計視圖 闡述橫向的開發服務框架、部署運營框架業務Fabric、聯接計算Fabric和ECN,縱向的跨層次開放服務、 管理服務、數據全生命周期服務、安全服務的功能與設計思路。
? 部署視圖 闡述系統的部署過程和典型的部署場景。 同時,架構需要滿足跨行業的典型非功能性需求,包括實時性、確定性、可靠性等。為此,在功能視 圖、部署視圖給出了相關技術方案推薦。
智能資產、智能系統、智能網關具有數字化、網絡化、智能化的共性特點,都提供網絡、計算、存儲等 ICT資源,可以在邏輯上統一抽向為邊緣計算節點(Edge Computing Node ECN)。 根據ECN節點的典型應用場景,系統定義了四類ECN開發框架。每類開發框架提供了匹配場景的操作系統、功能模塊、集成開發環境等。
基于四類ECN開發框架,結合ECN節點所需要的特定硬件平臺,可以構建六類產品實現。
ECN節點典型功能包括:
? 總線協議適配
? 實時聯接
? 實時流式數據分析
? 時序數據存取
? 策略執行
? 設備即插即用
? 資源管理
ECN四類開發框架包括:
? 實時計算系統框架 面向數字化的物理資產,滿足應用實時性等需求;
? 輕量計算系統框架 面向資源受限的感知終端,滿足低功耗等需求;
? 智能網關系統框架 支持多種網絡接口、總線協議與網絡拓撲,實現邊緣本地系統互聯并提供本地計算和存儲能力,能夠和云端系統協同;
? 智能分布式系統框架 基于分布式架構,能夠在邊緣側彈性擴展網絡、計算和存儲等能力,支持資源面向業務的動態管理和調 度,能夠和云端系統協同。
ECN六類產品實現包括:
|
產品實現 |
應用場景 |
|
ICT融合網關 |
梯聯網、智慧路燈等場景 |
|
獨立式控制器 |
工業PLC場景 |
|
嵌入式控制器 |
vPLC、機器人等場景 |
|
感知終端 |
數字化機床、儀表場景 |
|
分布式業務網關 |
智能配電場景 |
|
邊緣集群(邊緣云) |
智能制造車間場景 |
邊緣計算領域模型是從邊緣計算的ICT視角進行模型定義,包括:
? 設計階段模型
定義ECN節點的標識、屬性、功能、性能、派生繼承關系等,為部署與運行階段提供價值信息。
? 部署階段模型
主要包括業務策略、物理拓撲等模型。其中,業務策略模型是用業務語言,而不是機器語言來描述業務規則與約束,實現業務驅動邊緣計算基礎設施。業務策略模型可描述,可靈活復用和變更,使能業務敏捷。
? 運行階段模型
主要包括聯接計算Fabric模型、運行負載模型等。基于這些模型可以監視和優化系統運行狀態,實現負載 在邊緣分布式架構上的部署優化等。
通過模型驅動的統一服務框架能夠實現邊緣計算領域模型和垂直行業領域模型的相互映射和統一管理,從 而復用垂直行業的領域模型(如OPCUA及其生態),實現邊緣計算參考架構和行業平臺、行業應用的易集成。
1)基礎資源層
包括網絡、計算和存儲三個基礎模塊。
? 網絡
SDN(Software-Defined Networking)逐步成為網絡技術發展的主流,其設計理念是將網絡的控制平面 與數據轉發平面進行分離,并實現可編程化控制。將SDN應用于邊緣計算,可支持百萬級海量網絡設備的接入 與靈活擴展,提供高效低成本的自動化運維管理,實現網絡與安全的策略協同與融合。
網絡聯接需要滿足傳輸時間確定性與數據完整性。國際標準組織IEEE制訂了TSN(Time-Sensitive Networking)系列標準,針對實時優先級、時鐘等關鍵服務定義了統一的技術標準,是工業以太聯接未來的發展方向。
? 計算
異構計算HC(Heterogeneous Computing)是邊緣側關鍵的計算硬件架構。近年來,雖然摩爾定律仍然 推動芯片技術不斷取得突破,但物聯網應用的普及帶來了信息量爆炸式增長,而AI技術應用增加了計算的復 雜度,這些對計算能力都提出了更高的要求。計算要處理的數據種類也日趨多樣化,邊緣設備既要處理結構化數據,同時也要處理非結構化的數據。同時,隨著ECN節點包含了更多種類和數量的計算單元,成本成為 了關注點。
為此,業界提出將不同類型指令集和不同體系架構的計算單元協同起來的新計算架構,即異構計算,以 充分發揮各種計算單元的優勢,實現性能、成本、功耗、可移植性等方面的均衡。
同時,以深度學習為代表的新一代AI在邊緣側應用還需要新的技術優化。當前,即使在推理階段對一副圖 片的處理也往往需要超過10億次的計算量,標準的深度學習算法顯然是不適合邊緣側的嵌入式計算環境。業界 正在進行的優化方向包括自頂向下的優化,即把訓練完的深度學習模型進行壓縮來降低推理階段的計算負載; 同時,也在嘗試自底向上的優化,即重新定義一套面向邊緣側嵌入系統環境的算法架構。
? 存儲
數字世界需要實時跟蹤物理世界動態變化,并按照時間序列存儲完整的歷史數據。新一代時序數據庫 TSDB(Time Series Database)是存放時序數據(包含數據的時間戳等信息)的數據庫,并且需要支持時序數 據的快速寫入、持久化、多緯度的聚合查詢等基本功能。為了確保數據的準確和完整性,時序數據庫需要不斷 插入新的時序數據,而不是更新原有數據。面臨了如下的典型挑戰:
? 時序數據寫入:支持每秒鐘上千萬上億數據點的寫入。
? 時序數據讀取:支持在秒級對上億數據的分組聚合運算。
? 成本敏感:由海量數據存儲帶來的是成本問題。如何更低成本地存儲這些數據是時序數據庫需要解決 的重中之重。
虛擬化技術降低了系統開發和部署成本,已經開始從服務器應用場景向嵌入式系統應用場景滲透。 典型的虛擬化技術包括裸金屬(Bare Metal)架構和主機(Host)架構,前者是虛擬化層的虛擬機管理器 (Hypervisor)等功能直接運行在系統硬件平臺上,然后再運行操作系統和虛擬化功能。后者是虛擬化層功能 運行在主機操作系統上。前者有更好的實時性,智能資產和智能網關一般采用該方式。
EVF是將功能軟件化和服務化,并且與專有的硬件平臺解耦。基于虛擬化技術,在同一個硬件平臺上,可 以縱向將硬件、系統和特定的EVF等按照業務進行組合,虛擬化出多個獨立的業務區間并彼此隔離。ECN的業 務可擴展性能夠降低CapEx并延長系統的生命周期。
EVF可以靈活組合與編排,能夠在不同硬件平臺、不同設備上靈活遷移和彈性擴展,實現資源的動態調度 和業務敏捷。
EVF層提供如下可裁剪的多個基礎服務:
? 分布式的聯接計算Fabric服務;
? OPCUA服務;
? 實時流式數據分析服務;
? 時序數據庫服務;
? 策略執行服務;
? 安全服務。
ECN關鍵技術:
SDN采用與傳統網絡截然不同的控制架構,將網絡控制平面和轉發平面分離,采用集中控制替代原有分 布式控制,并通過開放和可編程接口實現“軟件定義”。SDN不僅是新技術,而且變革了網絡建設和運營的方 式:從應用的角度構建網絡,用IT的手段運營網絡。
SDN架構包括控制器、南/北向接口、以及應用層的各類應用和基礎設施層的各種網元。其中最重要的是 SDN控制器,它實現對基礎設施層的轉發策略的配置和管理,支持基于多種流表的轉發控制。
SDN對邊緣計算的獨特價值:
? 支持海量聯接 支持百萬級海量網絡設備的接入與靈活擴展,能夠集成和適配多廠商網絡設備的管理。
? 模型驅動的策略自動化 提供靈活的網絡自動化與管理框架,能夠將基礎設施和業務發放功能服務化,實現智能資產、智能網關、 智能系統的即插即用,大大降低對網絡管理人員的技能要求。
? 端到端的服務保障 對端到端的GRE、L2TP、IPSec、Vxlan等隧道服務進行業務發放,優化Qos調度,滿足端到端帶寬、時延 等關鍵需求,實現邊緣與云的業務協同。
? 架構開放 將集中的網絡控制以及網絡狀態信息開放給智能應用,應用可以靈活快速地驅動網絡資源的調度。
當前,邊緣計算SDN技術已經成功應用于智能樓宇、智慧電梯等多個行業場景。
標準以太網技術已經廣泛應用,具有傳輸速率高、拓撲靈活、傳輸距離遠、成本有效等優點。同時,以 太網技術由于傳統Qos機制約束、CSMA/CD沖突檢測機制約束等無法保證實時性、確定性等行業關鍵需求。業 界對標準以太網技術進行了優化,并提出了多種工業實時以太網技術的商業實現,多種商業實現并存的格局給 互聯互操作帶來了障礙和挑戰。 近年,IEEE802.1定義了TSN(Time Sensitive Network)技術標準,旨在推動實時以太網的標準化和互 通,最終實現OT和ICT采用“一張網”,并帶來如下價值:
? 確定性:μs級時延、低于500ns級抖動;
? 接口帶寬大于1Gbps,滿足工業機器視覺等場景的大帶寬需求;
? 通過多路徑或冗余路徑實現可靠的數據傳輸;
? 與SDN技術相結合,實現對TSN網絡和非TSN網絡的統一調度管理。
TSN設計理念是在標準的以太網物理層之上,在MAC層提供統一的低時延隊列調度機制、資源預留機 制、時鐘同步機制、路徑控制機制、配置管理模型等,能實現與標準以太網的互聯互通。
當前,TSN已經建立起良好的產業協作生態,包括:IEEE負責標準制定,Avnu Alliance負責互通認證,以 ECC和IIC為代表的產業組織正在通過Testbed等活動進行產業示范和推廣。
異構計算架構旨在協同和發揮各種計算單元的獨特優勢:CPU擅長對系統進行控制、任務分解、調度; GPU具有強大的浮點和向量計算能力,擅長矩陣和矢量運算等并行計算;FPGA具有硬件可編程和低延時等優勢;ASIC具有功耗低、性能高,成本有效等優勢。
異構計算目標是整合同一個平臺上分立的處理單元使之成為緊密協同的整體來協同處理不同類型的計算負荷。同時通過開放統一的編程接口,實現軟件跨多種平臺。
異構計算架構的關鍵技術包括:
? 內存處理優化 傳統架構下,不同計算單元間傳遞數據需要數據復制,不僅占用處理器資源,還同時占據了大量的系統 總線帶寬。異構計算讓多個計算單元實現內存統一尋址,任何處理單元的數據可以輕易地被其它處理單元所 訪問,不必將數據復制一份到對方的內存區域中,大大提高了系統性能。
? 任務調度優化 各種計算單元從過去主從關系變為平等的伙伴關系,可以根據任務情況,動態地確定最適合的計算單元 來運行工作負載。涉及了調度算法、指令集、編譯器等一系列的架構優化。
? 集成工具鏈 為應用程序員提供了硬件、軟件接口、基本的運行時環境,封裝并隱藏了內存一致性,任務調度管理等 復雜的底層細節,支持架構參數優化和任務調度優化,將應用移植工作量最小化。面向AI應用,開放集成多種 AI訓練和推理平臺,兼容多廠商計算單元。 目前異構計算在芯片設計和邊緣計算平臺設計上都有應用。在芯片方面,整合了CPU+GPU資源,能夠實 現視頻編解碼加速。在計算平臺方面,利用CPU+FPGA(或GPU)實現人工智能的功能已經被應用于智能交 通以及智能機器人等領域。
4) 時序數據庫 (TSDB) 海量數據的高效寫入、查詢及分布式存儲是時序數據庫面臨的關鍵挑戰。其關鍵技術包括:
? 分布式存儲 分布式存儲首先要考慮的是如何將數據分布到多臺機器上面,也就是分片問題。分片可以基于時間戳 +Tag+分級。將一定時間范圍內的相同Tag(一個或多個字段相同的數據)并符合一定分級條件的數據作為相 同分片存在相同機器上。存儲前可以對數據進行壓縮處理,既提高數據寫入效率,又節省存儲空間。
? 分級存儲 時序數據的時間戳是一種非常合適的分級依據,越近期的數據查詢得越多,是熱數據;越久以前的數據查詢得越少,是冷數據。同時,分級往往結合存儲成本等因素,將每個級別的數據存儲在不同成本的存儲介 質(內存,HDD,SSD)上。
? 基于分片的查詢優化 查詢時,根據查詢條件查詢所有的數據分片,所有的分片按照時間戳合并形成原始數據結果,當查詢條 件包含聚合運算時,會根據時間采樣窗口對數據進行聚合運算,最后返回運算結果。 除了商業版本外,業界已經有大量的開源時序數據庫,如:opentsdb,kairosDB,influxdb等。數據 庫除了需要滿足上述性能挑戰外,很重要的是提供行業數據建模與可視化工具,支持與行業應用系統的快速 集成。 3.4.2 業務Fabric 業務Fabric是模型化的工作流,由多種類型的功能服務按照一定邏輯關系組成和協作,實現特定的業務 需求,是對業務需求的數字化表示。 服務的模型,包括服務名稱、執行或提供什么樣的功能,服務間的嵌套、依賴、繼承等關系,每個服務 的輸入與輸出,以及Qos、安全、可靠性等服務約束。 服務的類型不僅包括邊緣計算提供的通用服務,還包括垂直行業所定義的特定行業服務。 業務Fabric的主要價值包括: ? 聚集業務流程,屏蔽技術細節,幫助業務部門、開發部門、部署運營部門等建立有效合作;
? 和OICT基礎設施、硬件平臺等解耦,實現跨技術平臺,支撐業務敏捷;
? 作為業務描述性模型,可繼承、可復用,能夠實現快速建模。 業務Fabric功能包括: ? 定義工作流和工作負載;
? 可視化呈現;
? 語義檢查和策略沖突檢查;
? 業務Fabric、服務等模型的版本管理。
聯接計算Fabric是一個虛擬化的聯接和計算服務層,主要價值包括:
? 屏蔽ECN節點異構性;
? 降低智能分布式架構在數據一致性、容錯處理等方面的復雜性;
? 資源服務的發現、統一管理和編排;
? 支持ECN節點間的數據和知識模型的共享;
? 支持業務負載的動態調度和優化;
? 支持分布式的決策和策略執行。
聯接計算Fabric的主要功能包括:
? 可以感知每個ECN節點的ICT資源狀態(如網絡聯接的質量,CPU占有率等)、性能規格(如實時 性)、位置等物理信息等,為計算負載在邊緣側的分配和調度提供了關鍵輸入。
? 它能感知系統提供了哪些EVF服務,這些服務分布在哪些ECN節點上,每個EVF服務在服務哪些計算任務、任務執行的狀態等。從而為計算任務的調度提供輸入。
? 既支持主動的任務調度,能夠根據資源狀態、服務感知、ECN節點間的聯接帶寬、計算任務的SLA要 求等,自動化地在將任務拆分成多個子任務并分配到多個ECN節點上協同計算。也支持把計算資源、 服務資源等通過開放接口對業務開放,業務能夠主動地控制計算任務的調度過程。
d.數據協同
? ECN節點對南向的協議適配,ECN節點之間的東西聯接使用統一的數據聯接協議。通過數據協同,節 點間可以相互交互數據、知識模型等。ECN節點需要知道特定的數據需要在哪些節點間共享,共享的 方式包括簡單的廣播、Pub-Sub模式等。
? 能夠按照租戶、業務邏輯等進行業務呈現,屏蔽物理聯接的復雜性。例如,每個租戶只需要看到他所 運行的計算任務,這些任務在計算聯接Fabric上的分布情況。同時,也可以靈活地按需疊加所需要的 智能資產、智能網關、智能系統的位置等物理信息。
f.服務接口開放
? 通過開放接口提供計算任務請求、資源狀態反饋、任務執行狀態反饋等,屏蔽智能資產、智能網關和智能系統的物理差異。
通過集成開發平臺和工具鏈集成邊緣計算模型庫和垂直行業模型庫,提供模型與應用的開發、集成、仿 真、驗證和發布的全生命周期服務。 支持如下的關鍵服務:
模型化開發服務
? 定義架構、功能需求、接口需求等模型定義,支持模型和業務流程的可視化呈現,支持基于模型生成 多語言的代碼;支持邊緣計算領域模型與垂直行業領域模型的集成、映射等;支持模型庫版本管理。
仿真服務
? 支持ECN節點的軟硬件仿真,仿真要能夠模擬目標應用場景的ECN節點規格(如內存,存儲空間 等)。系統需要支持組件細粒度化、組件可裁剪和重新打包(系統重置),以匹配ECN節點規格。
? 基于仿真節點,能夠進行面向應用場景的組網和系統搭建,并將開發的模型和應用在仿真環境下進行 低成本、自動化的功能驗證。
集成發布服務
? 從基線庫獲得發布版本,調用部署運營服務,將模型與應用部署到實際的ECN節點。
包括業務編排、應用部署(略)和應用市場三個關鍵服務。
業務編排服務,一般基于三層架構:
? 業務編排器
編排器負責定義業務Fabric,一般部署在云端(公私云)或本地(智能系統上)。編排器提供可視化的 工作流定義工具,支持CRUD操作。編排器能夠基于和復用開發服務框架已經定義好的服務模板、策略模板進 行編排。在下發業務Fabric給策略控制器前,能夠完成工作流的語義檢查和策略沖突檢測等。
? 策略控制器
為了保證業務調度和控制的實時性,通過在網絡邊緣側部署策略控制器,實現本地就近控制。
策略控制器按照一定策略,結合本地的聯接計算Fabric所支持的服務與能力,將業務Fabric所定義的業務 流分配給本地某個聯接計算Fabric進行調度執行。
考慮到邊緣計算領域和垂直行業領域需要不同的領域知識和系統實現,控制器的設計和部署往往分域部署。由邊緣計算領域控制器負責對安全、數據分析等邊緣計算服務進行部署。涉及到垂直行業業務邏輯的部分,由垂直行業領域的控制器進行分發調度。
? 策略執行器
在每個ECN節點內置策略執行器模塊,負責將策略翻譯成本設備命令并在本地調度執行。ECN節點既支持由控制器推送策略,也可以主動向控制器請求策略。
策略可以只關注高層次業務需求,而不對ECN節點進行細粒度控制,從而保證ECN節點的自主性和本地 事件響應處理的實時性。
應用市場服務
應用市場服務可以很好地聯接需求方和供給方,將企業單邊創新模式轉變為基于產業生態的多邊開放創新。供給方可以通過App封裝行業Know-How并通過應用注冊進行快捷發布,需求方可以通過應用目錄方便地找到匹配需求的方案并進行應用訂閱。
應用市場服務支持多樣化的App,包括基于工業知識構建的機理模型、基于數據分析方法構建的算法模 型、可繼承和復用的業務Fabric模型、支持特定功能(如故障診斷)的應用等。這些App既可以被最終用戶直 接使用,也可以通過基于模型的開放接口進行應用二次開發。
支持面向終端設備、網絡設備、服務器、存儲、數據、業務與應用的隔離、安全、分布式架構的統一管 理服務。 支持面向工程設計、集成設計、系統部署、業務與數據遷移、集成測試、集成驗證與驗收等全生命周期。
1) 邊緣數據特點
邊緣數據是在網絡邊緣側產生的,包括機器運行數據、環境數據以及信息系統數據等,具有高通量(瞬 間流量大)、流動速度快、類型多樣、關聯性強、分析處理實時性要求高等特點。 與互聯網等商業大數據應用相比,邊緣數據的智能分析有如下特點和區別:
? 因果VS 關聯
邊緣數據主要面向智能資產,這些系統運行一般有明確的輸入輸出的因果關系,而商業大數據關注的是 數據關聯關系。
? 高可靠性VS
較低可靠 制造業、交通等行業對模型的準確度和可靠性要求高,否則會帶來財產損失甚至人身傷亡。而商業大數 據分析對可靠性要一般較低。邊緣數據的分析要求結果可解釋,所以黑盒化的深度學習方式在一些應用場景 受到限制。將傳統的機理模型和數據分析方法相結合是智能分析的創新和應用方向。
? 小數據VS 大數據
機床,車輛等資產是人設計制造,其運行過程中的多數數據是可以預知的,其異常、邊界等情況下的數 據才真正有價值。商業大數據分析則一般需要海量的數據。
2) 數據全生命周期服務
可以通過業務Fabric定義數據全生命周期的業務邏輯,包括指定數據分析算法等,通過聯接計算Fabric優 化數據服務的部署和運行,滿足業務實時性等要求。 數據全生命周期服務包括了:
? 數據預處理 對原始數據的過濾、清洗、聚合、質量優化(剔除壞數據等)和語義解析。
? 數據分析 基于流式數據分析對數據即來即處理,可以快速響應事件和不斷變化的業務條件與需求,加速對數據執 行持續分析。 提供常用的統計模型庫,支持統計模型、機理模型等模型算法的集成。支持輕量的深度學習等模型訓練方法。
? 數據分發和策略執行 基于預定義規則和數據分析結果,在本地進行策略執行。或者將數據轉發給云端或其他ECN節點進行處理。
? 數據可視化和存儲 采用時序數據庫等技術可以大大節省存儲空間并滿足高速的讀寫操作需求。利用AR、VR等新一代交互技 術逼真呈現。
邊緣計算架構的安全設計與實現首先需要考慮:
? 安全功能適配邊緣計算的特定架構;
? 安全功能能夠靈活部署與擴展;
? 能夠在一定時間內持續抵抗攻擊;
? 能夠容忍一定程度和范圍內的功能失效,但基礎功能始終保持運行;
? 整個系統能夠從失敗中快速完全恢復。
同時,需要考慮邊緣計算應用場景的獨特性:
? 安全功能輕量化,能夠部署在各類硬件資源受限的IoT設備中;
? 海量異構的設備接入,傳統的基于信任的安全模型不再適用,需要按照最小授權原則重新設計安全模 型(白名單);
? 在關鍵的節點設備(例如智能網關)實現網絡與域的隔離,對安全攻擊和風險范圍進行控制,避免攻 擊由點到面擴展;
? 安全和實時態勢感知無縫嵌入到整個邊緣計算架構中,實現持續的檢測與響應。盡可能依賴自動化實 現,但是人工干預時常也需要發揮作用。
安全的設計需要覆蓋邊緣計算架構的各個層級,不同層級需要不同的安全特性。同時,還需要有統一的態勢感知、安全管理與編排、統一的身份認證與管理,以及統一的安全運維體系,才能最大限度地保障整個架構安全與可靠。
節點安全:需要提供基礎的ECN安全、端點安全、軟件加固和安全配置、安全與可靠遠程升級、輕量級 可信計算、硬件Safety開關等功能。安全與可靠的遠程升級能夠及時完成漏洞和補丁的修復,同時避免升級后 系統失效(也就是常說的“變磚”)。輕量級可信計算用于計算(CPU)和存儲資源受限的簡單物聯網設備, 解決最基本的可信問題。
網絡(Fabric)安全:包含防火墻(Firewall)、入侵檢測和防護(IPS/IDS)、DDoS防護、VPN/TLS功 能,也包括一些傳輸協議的安全功能重用(例如REST協議的安全功能)。其中DDoS防護在物聯網和邊緣計算 中特別重要,近年來,越來越多的物聯網攻擊是DDoS攻擊,攻擊者通過控制安全性較弱的物聯網設備(例如 采用固定密碼的攝像頭)來集中攻擊特定目標。
數據安全:包含數據加密、數據隔離和銷毀、數據防篡改、隱私保護(數據脫敏)、數據訪問控制和數 據防泄漏等。其中數據加密,包含數據在傳輸過程中的加密、在存儲時的加密;邊緣計算的數據防泄漏與傳統 的數據防泄漏有所不同,邊緣計算的設備往往是分布式部署,需要特別考慮這些設備被盜以后,相關的數據即 使被獲得也不會泄露。
應用安全:主要包含白名單、應用安全審計、惡意代碼防范、WAF(Web應用防火墻)、沙箱等安全功 能。其中,白名單是邊緣計算架構中非常重要的功能,由于終端的海量異構接入,業務種類繁多,傳統的IT安全授權模式不再適用,往往需要采用最小授權的安全模型(例如白名單功能)管理應用及訪問權限。
安全態勢感知、安全管理與編排:網絡邊緣側接入的終端類型廣泛,數量巨大,承載的業務繁雜,被動 的安全防御往往不能起到良好的效果。因此,需要采用更加積極主動的安全防御手段,包括基于大數據的態 勢感知和高級威脅檢測,以及統一的全網安全策略執行和主動防護,從而更加快速響應和防護。再結合完善 的運維監控和應急響應機制,則能夠最大限度保障邊緣計算系統的安全、可用、可信。
身份和認證管理:身份和認證管理功能遍布所有的功能層級。但是在網絡邊緣側比較特殊的是,海量的 設備接入,傳統的集中式安全認證面臨巨大的性能壓力,特別是在設備集中上線時認證系統往往不堪重負。
在必要的時候,去中心化、分布式的認證方式和證書管理成為新的技術選擇。
系統主要提供兩種典型的部署模型:三層模型和四層模型。
典型的場景包括:智慧路燈、智能電梯、智慧環保等場景。 智能資產完成本地處理后,多種或多個業務數據沿著南北向匯聚到智能網關。智能網關除了提供智能 資產接入、智能資產本地管理、總線協議轉換等網絡功能外,還提供實時流式數據分析、安全保護、小規 模數據存儲等功能。網關將實時業務需求在本地完成處理,同時將非實時數據聚合后送到云端處理。
典型的場景包括:智能視頻分析、分布式電網、智能制造等場景。
與三層部署場景最典型的區別是:邊緣側數據量大,本地應用系統多,需要大量的計算、存儲資源。智 能資產和智能網關完成本地最實時的處理后,將數據匯聚到本地分布式智能系統進行二次處理。這些分布式 ECN節點通過東西向聯接進行數據和知識的交換,支持計算、存儲資源的橫向彈性擴展,能夠完成本地的實時 決策和實時優化操作。
