今日頭條
官方微信
官方抖音
資訊頻道1.4.3 聯(lián)接計(jì)算Fabric
聯(lián)接計(jì)算Fabric是一個(gè)虛擬化的聯(lián)接和計(jì)算服務(wù)層,主要價(jià)值包括:
屏蔽ECN節(jié)點(diǎn)異構(gòu)性;
降低智能分布式架構(gòu)在數(shù)據(jù)一致性、容錯(cuò)處理等方面的復(fù)雜性;
資源服務(wù)的發(fā)現(xiàn)、統(tǒng)一管理和編排;
支持ECN節(jié)點(diǎn)間的數(shù)據(jù)和知識(shí)模型的共享;
支持業(yè)務(wù)負(fù)載的動(dòng)態(tài)調(diào)度和優(yōu)化;
支持分布式的決策和策略執(zhí)行。
聯(lián)接計(jì)算Fabric的主要功能包括:
(1)資源感知
可以感知每個(gè)ECN節(jié)點(diǎn)的ICT資源狀態(tài)(如網(wǎng)絡(luò)聯(lián)接的質(zhì)量,CPU占有率等)、性能規(guī)格(如實(shí)時(shí)性)、位置等物理信息等,為計(jì)算負(fù)載在邊緣側(cè)的分配和調(diào)度提供了關(guān)鍵輸入。
(2)EVF服務(wù)感知
它能感知系統(tǒng)提供了哪些EVF服務(wù),這些服務(wù)分布在哪些ECN節(jié)點(diǎn)上,每個(gè)EVF服務(wù)在服務(wù)哪些計(jì)算任務(wù)、任務(wù)執(zhí)行的狀態(tài)等。從而為計(jì)算任務(wù)的調(diào)度提供輸入。
(3)計(jì)算任務(wù)調(diào)度
既支持主動(dòng)的任務(wù)調(diào)度,能夠根據(jù)資源狀態(tài)、服務(wù)感知、ECN節(jié)點(diǎn)間的聯(lián)接帶寬、計(jì)算任務(wù)的SLA要求等,自動(dòng)化地在將任務(wù)拆分成多個(gè)子任務(wù)并分配到多個(gè)ECN節(jié)點(diǎn)上協(xié)同計(jì)算。也支持把計(jì)算資源、服務(wù)資源等通過開放接口對(duì)業(yè)務(wù)開放,業(yè)務(wù)能夠主動(dòng)地控制計(jì)算任務(wù)的調(diào)度過程。
(4)數(shù)據(jù)協(xié)同
ECN節(jié)點(diǎn)對(duì)南向的協(xié)議適配,ECN節(jié)點(diǎn)之間的東西聯(lián)接使用統(tǒng)一的數(shù)據(jù)聯(lián)接協(xié)議。通過數(shù)據(jù)協(xié)同,節(jié)點(diǎn)間可以相互交互數(shù)據(jù)、知識(shí)模型等。ECN節(jié)點(diǎn)需要知道特定的數(shù)據(jù)需要在哪些節(jié)點(diǎn)間共享,共享的方式包括簡單的廣播、Pub-Sub模式等。
(5)多視圖呈現(xiàn)
能夠按照租戶、業(yè)務(wù)邏輯等進(jìn)行業(yè)務(wù)呈現(xiàn),屏蔽物理聯(lián)接的復(fù)雜性。例如,每個(gè)租戶只需要看到他所運(yùn)行的計(jì)算任務(wù),這些任務(wù)在計(jì)算聯(lián)接Fabric上的分布情況。同時(shí),也可以靈活地按需疊加所需要的智能資產(chǎn)、智能網(wǎng)關(guān)、智能系統(tǒng)的位置等物理信息。
(6)服務(wù)接口開放
通過開放接口提供計(jì)算任務(wù)請(qǐng)求、資源狀態(tài)反饋、任務(wù)執(zhí)行狀態(tài)反饋等,屏蔽智能資產(chǎn)、智能網(wǎng)關(guān)和智能系統(tǒng)的物理差異。
圖5 功能視圖:聯(lián)接計(jì)算Fabric
1.4.4 開發(fā)服務(wù)框架(智能服務(wù))
通過集成開發(fā)平臺(tái)和工具鏈集成邊緣計(jì)算模型庫和垂直行業(yè)模型庫,提供模型與應(yīng)用的開發(fā)、集成、仿真、驗(yàn)證和發(fā)布的全生命周期服務(wù)。
支持如下的關(guān)鍵服務(wù):
(1)模型化開發(fā)服務(wù)
定義架構(gòu)、功能需求、接口需求等模型定義,支持模型和業(yè)務(wù)流程的可視化呈現(xiàn),支持基于模型生成多語言的代碼;支持邊緣計(jì)算領(lǐng)域模型與垂直行業(yè)領(lǐng)域模型的集成、映射等;支持模型庫版本管理。
(2)仿真服務(wù)
支持ECN節(jié)點(diǎn)的軟硬件仿真,仿真要能夠模擬目標(biāo)應(yīng)用場景的ECN節(jié)點(diǎn)規(guī)格(如內(nèi)存,存儲(chǔ)空間等)。系統(tǒng)需要支持組件細(xì)粒度化、組件可裁剪和重新打包(系統(tǒng)重置),以匹配ECN節(jié)點(diǎn)規(guī)格。
基于仿真節(jié)點(diǎn),能夠進(jìn)行面向應(yīng)用場景的組網(wǎng)和系統(tǒng)搭建,并將開發(fā)的模型和應(yīng)用在仿真環(huán)境下進(jìn)行低成本、自動(dòng)化的功能驗(yàn)證。
(3)集成發(fā)布服務(wù)
從基線庫獲得發(fā)布版本,調(diào)用部署運(yùn)營服務(wù),將模型與應(yīng)用部署到實(shí)際的ECN節(jié)點(diǎn)。
圖6 功能視圖:開發(fā)服務(wù)框架
1.4.5 部署運(yùn)營服務(wù)框架(智能服務(wù))
包括業(yè)務(wù)編排、應(yīng)用部署(略)和應(yīng)用市場三個(gè)關(guān)鍵服務(wù)。
(1)業(yè)務(wù)編排
業(yè)務(wù)編排服務(wù),一般基于三層架構(gòu),如圖7所示:
圖7 功能視圖:業(yè)務(wù)編排分層
業(yè)務(wù)編排器
編排器負(fù)責(zé)定義業(yè)務(wù)Fab ri c,一般部署在云端(公私云)或本地(智能系統(tǒng)上)。編排器提供可視化的工作流定義工具,支持CRUD操作。編排器能夠基于和復(fù)用開發(fā)服務(wù)框架已經(jīng)定義好的服務(wù)模板、策略模板進(jìn)行編排。在下發(fā)業(yè)務(wù)Fabric給策略控制器前,能夠完成工作流的語義檢查和策略沖突檢測等。
策略控制器
為了保證業(yè)務(wù)調(diào)度和控制的實(shí)時(shí)性,通過在網(wǎng)絡(luò)邊緣側(cè)部署策略控制器,實(shí)現(xiàn)本地就近控制。
策略控制器按照一定策略,結(jié)合本地的聯(lián)接計(jì)算Fabric所支持的服務(wù)與能力,將業(yè)務(wù)Fabric所定義的業(yè)務(wù)流分配給本地某個(gè)聯(lián)接計(jì)算Fabric進(jìn)行調(diào)度執(zhí)行。
考慮到邊緣計(jì)算領(lǐng)域和垂直行業(yè)領(lǐng)域需要不同的領(lǐng)域知識(shí)和系統(tǒng)實(shí)現(xiàn),控制器的設(shè)計(jì)和部署往往分域部署。由邊緣計(jì)算領(lǐng)域控制器負(fù)責(zé)對(duì)安全、數(shù)據(jù)分析等邊緣計(jì)算服務(wù)進(jìn)行部署。涉及到垂直行業(yè)業(yè)務(wù)邏輯的部分,由垂直行業(yè)領(lǐng)域的控制器進(jìn)行分發(fā)調(diào)度。
策略執(zhí)行器
在每個(gè)ECN節(jié)點(diǎn)內(nèi)置策略執(zhí)行器模塊,負(fù)責(zé)將策略翻譯成本設(shè)備命令并在本地調(diào)度執(zhí)行。ECN節(jié)點(diǎn)既支持由控制器推送策略,也可以主動(dòng)向控制器請(qǐng)求策略。
策略可以只關(guān)注高層次業(yè)務(wù)需求,而不對(duì)ECN節(jié)點(diǎn)進(jìn)行細(xì)粒度控制,從而保證ECN節(jié)點(diǎn)的自主性和本地事件響應(yīng)處理的實(shí)時(shí)性。
(2)應(yīng)用市場服務(wù)
應(yīng)用市場服務(wù)可以很好地聯(lián)接需求方和供給方,將企業(yè)單邊創(chuàng)新模式轉(zhuǎn)變?yōu)榛诋a(chǎn)業(yè)生態(tài)的多邊開放創(chuàng)新。供給方可以通過App封裝行業(yè)Know-How并通過應(yīng)用注冊(cè)進(jìn)行快捷發(fā)布,需求方可以通過應(yīng)用目錄方便地找到匹配需求的方案并進(jìn)行應(yīng)用訂閱。
應(yīng)用市場服務(wù)支持多樣化的App,包括基于工業(yè)知識(shí)構(gòu)建的機(jī)理模型、基于數(shù)據(jù)分析方法構(gòu)建的算法模型、可繼承和復(fù)用的業(yè)務(wù)Fabric模型、支持特定功能(如故障診斷)的應(yīng)用等。這些App既可以被最終用戶直接使用,也可以通過基于模型的開放接口進(jìn)行應(yīng)用二次開發(fā)。
1.4.6 管理服務(wù)
支持面向終端設(shè)備、網(wǎng)絡(luò)設(shè)備、服務(wù)器、存儲(chǔ)、數(shù)據(jù)、業(yè)務(wù)與應(yīng)用的隔離、安全、分布式架構(gòu)的統(tǒng)一管理服務(wù)。
支持面向工程設(shè)計(jì)、集成設(shè)計(jì)、系統(tǒng)部署、業(yè)務(wù)與數(shù)據(jù)遷移、集成測試、集成驗(yàn)證與驗(yàn)收等全生命周期。
1.4.7 數(shù)據(jù)全生命周期服務(wù)
(1)邊緣數(shù)據(jù)特點(diǎn)
邊緣數(shù)據(jù)是在網(wǎng)絡(luò)邊緣側(cè)產(chǎn)生的,包括機(jī)器運(yùn)行數(shù)據(jù)、環(huán)境數(shù)據(jù)以及信息系統(tǒng)數(shù)據(jù)等,具有高通量(瞬間流量大)、流動(dòng)速度快、類型多樣、關(guān)聯(lián)性強(qiáng)、分析處理實(shí)時(shí)性要求高等特點(diǎn)。
與互聯(lián)網(wǎng)等商業(yè)大數(shù)據(jù)應(yīng)用相比,邊緣數(shù)據(jù)的智能分析有如下特點(diǎn)和區(qū)別:
因果 VS 關(guān)聯(lián)
邊緣數(shù)據(jù)主要面向智能資產(chǎn),這些系統(tǒng)運(yùn)行一般有明確的輸入輸出的因果關(guān)系,而商業(yè)大數(shù)據(jù)關(guān)注的是數(shù)據(jù)關(guān)聯(lián)關(guān)系。
高可靠性 VS 較低可靠
制造業(yè)、交通等行業(yè)對(duì)模型的準(zhǔn)確度和可靠性要求高,否則會(huì)帶來財(cái)產(chǎn)損失甚至人身傷亡。而商業(yè)大數(shù)據(jù)分析對(duì)可靠性要求一般較低。邊緣數(shù)據(jù)的分析要求結(jié)果可解釋,所以黑盒化的深度學(xué)習(xí)方式在一些應(yīng)用場景受到限制。將傳統(tǒng)的機(jī)理模型和數(shù)據(jù)分析方法相結(jié)合是智能分析的創(chuàng)新和應(yīng)用方向。
小數(shù)據(jù) VS 大數(shù)據(jù)
機(jī)床、車輛等資產(chǎn)是人設(shè)計(jì)制造,其運(yùn)行過程中的多數(shù)數(shù)據(jù)是可以預(yù)知的,其異常、邊界等情況下的數(shù)據(jù)才真正有價(jià)值。商業(yè)大數(shù)據(jù)分析則一般需要海量的數(shù)據(jù)。
(2)數(shù)據(jù)全生命周期服務(wù)
可以通過業(yè)務(wù)Fabric定義數(shù)據(jù)全生命周期的業(yè)務(wù)邏輯,包括指定數(shù)據(jù)分析算法等,通過聯(lián)接計(jì)算Fabric優(yōu)化數(shù)據(jù)服務(wù)的部署和運(yùn)行,滿足業(yè)務(wù)實(shí)時(shí)性等要求。
圖8 功能視圖:數(shù)據(jù)全生命周期服務(wù)
數(shù)據(jù)全生命周期服務(wù)包括了:
數(shù)據(jù)預(yù)處理
對(duì)原始數(shù)據(jù)的過濾、清洗、聚合、質(zhì)量優(yōu)化(剔除壞數(shù)據(jù)等)和語義解析。
數(shù)據(jù)分析
基于流式數(shù)據(jù)分析對(duì)數(shù)據(jù)即來即處理,可以快速響應(yīng)事件和不斷變化的業(yè)務(wù)條件與需求,加速對(duì)數(shù)據(jù)執(zhí)行持續(xù)分析。
提供常用的統(tǒng)計(jì)模型庫,支持統(tǒng)計(jì)模型、機(jī)理模型等模型算法的集成。支持輕量的深度學(xué)習(xí)等模型訓(xùn)練方法。
數(shù)據(jù)分發(fā)和策略執(zhí)行
基于預(yù)定義規(guī)則和數(shù)據(jù)分析結(jié)果,在本地進(jìn)行策略執(zhí)行。或者將數(shù)據(jù)轉(zhuǎn)發(fā)給云端或其他ECN節(jié)點(diǎn)進(jìn)行處理。
數(shù)據(jù)可視化和存儲(chǔ)
采用時(shí)序數(shù)據(jù)庫等技術(shù)可以大大節(jié)省存儲(chǔ)空間并滿足高速的讀寫操作需求。利用AR、VR等新一代交互技術(shù)逼真呈現(xiàn)。
1.4.8 安全服務(wù)
邊緣計(jì)算架構(gòu)的安全設(shè)計(jì)與實(shí)現(xiàn)首先需要考慮:
安全功能適配邊緣計(jì)算的特定架構(gòu);
安全功能能夠靈活部署與擴(kuò)展;
能夠在一定時(shí)間內(nèi)持續(xù)抵抗攻擊;
能夠容忍一定程度和范圍內(nèi)的功能失效,但基礎(chǔ)功能始終保持運(yùn)行;
整個(gè)系統(tǒng)能夠從失敗中快速完全恢復(fù)。
同時(shí),需要考慮邊緣計(jì)算應(yīng)用場景的獨(dú)特性:
安全功能輕量化,能夠部署在各類硬件資源受限的IoT設(shè)備中;
海量異構(gòu)的設(shè)備接入,傳統(tǒng)的基于信任的安全模型不再適用,需要按照最小授權(quán)原則重新設(shè)計(jì)安全模型(白名單);
在關(guān)鍵的節(jié)點(diǎn)設(shè)備(例如智能網(wǎng)關(guān))實(shí)現(xiàn)網(wǎng)絡(luò)與域的隔離,對(duì)安全攻擊和風(fēng)險(xiǎn)范圍進(jìn)行控制,避免攻擊由點(diǎn)到面擴(kuò)展;
安全和實(shí)時(shí)態(tài)勢感知無縫嵌入到整個(gè)邊緣計(jì)算架構(gòu)中,實(shí)現(xiàn)持續(xù)的檢測與響應(yīng)。盡可能依賴自動(dòng)化實(shí)現(xiàn),但是人工干預(yù)時(shí)常也需要發(fā)揮作用。
圖9 功能視圖:安全服務(wù)
安全的設(shè)計(jì)需要覆蓋邊緣計(jì)算架構(gòu)的各個(gè)層級(jí),不同層級(jí)需要不同的安全特性。同時(shí),還需要有統(tǒng)一的態(tài)勢感知、安全管理與編排、統(tǒng)一的身份認(rèn)證與管理,以及統(tǒng)一的安全運(yùn)維體系,才能最大限度地保障整個(gè)架構(gòu)安全與可靠。
節(jié)點(diǎn)安全:需要提供基礎(chǔ)的ECN安全、端點(diǎn)安全、軟件加固和安全配置、安全與可靠遠(yuǎn)程升級(jí)、輕量級(jí)可信計(jì)算、硬件Safety開關(guān)等功能。安全與可靠的遠(yuǎn)程升級(jí)能夠及時(shí)完成漏洞和補(bǔ)丁的修復(fù),同時(shí)避免升級(jí)后系統(tǒng)失效(也就是常說的“變磚”)。輕量級(jí)可信計(jì)算用于計(jì)算(CPU)和存儲(chǔ)資源受限的簡單物聯(lián)網(wǎng)設(shè)備,解決最基本的可信問題。
網(wǎng)絡(luò)(Fabric)安全:包含防火墻(Firewall)、入侵檢測和防護(hù)(IPS/IDS)、DDoS防護(hù)、VPN/TLS功能,也包括一些傳輸協(xié)議的安全功能重用(例如REST協(xié)議的安全功能)。其中DDoS防護(hù)在物聯(lián)網(wǎng)和邊緣計(jì)算中特別重要,近年來,越來越多的物聯(lián)網(wǎng)攻擊是DDoS攻擊,攻擊者通過控制安全性較弱的物聯(lián)網(wǎng)設(shè)備(例如采用固定密碼的攝像頭)來集中攻擊特定目標(biāo)。
數(shù)據(jù)安全:包含數(shù)據(jù)加密、數(shù)據(jù)隔離和銷毀、數(shù)據(jù)防篡改、隱私保護(hù)(數(shù)據(jù)脫敏)、數(shù)據(jù)訪問控制和數(shù)據(jù)防泄漏等。其中數(shù)據(jù)加密,包含數(shù)據(jù)在傳輸過程中的加密、在存儲(chǔ)時(shí)的加密;邊緣計(jì)算的數(shù)據(jù)防泄漏與傳統(tǒng)的數(shù)據(jù)防泄漏有所不同,邊緣計(jì)算的設(shè)備往往是分布式部署,需要特別考慮這些設(shè)備被盜以后,相關(guān)的數(shù)據(jù)即使被獲得也不會(huì)泄露。
應(yīng)用安全:主要包含白名單、應(yīng)用安全審計(jì)、惡意代碼防范、WAF(Web應(yīng)用防火墻)、沙箱等安全功能。其中,白名單是邊緣計(jì)算架構(gòu)中非常重要的功能,由于終端的海量異構(gòu)接入,業(yè)務(wù)種類繁多,傳統(tǒng)的IT安全授權(quán)模式不再適用,往往需要采用最小授權(quán)的安全模型(例如白名單功能)管理應(yīng)用及訪問權(quán)限。
安全態(tài)勢感知、安全管理與編排:網(wǎng)絡(luò)邊緣側(cè)接入的終端類型廣泛,數(shù)量巨大,承載的業(yè)務(wù)繁雜,被動(dòng)的安全防御往往不能起到良好的效果。因此,需要采用更加積極主動(dòng)的安全防御手段,包括基于大數(shù)據(jù)的態(tài)勢感知和高級(jí)威脅檢測,以及統(tǒng)一的全網(wǎng)安全策略執(zhí)行和主動(dòng)防護(hù),從而更加快速響應(yīng)和防護(hù)。再結(jié)合完善的運(yùn)維監(jiān)控和應(yīng)急響應(yīng)機(jī)制,則能夠最大限度保障邊緣計(jì)算系統(tǒng)的安全、可用、可信。
身份和認(rèn)證管理:身份和認(rèn)證管理功能遍布所有的功能層級(jí)。但是在網(wǎng)絡(luò)邊緣側(cè)比較特殊的是,海量的設(shè)備接入,傳統(tǒng)的集中式安全認(rèn)證面臨巨大的性能壓力,特別是在設(shè)備集中上線時(shí)認(rèn)證系統(tǒng)往往不堪重負(fù)。在必要的時(shí)候,去中心化、分布式的認(rèn)證方式和證書管理成為新的技術(shù)選擇。
1.5 部署視圖
系統(tǒng)主要提供兩種典型的部署模型:三層模型和四層模型。
圖10 部署視圖
(1)三層部署模型
主要面向業(yè)務(wù)部署到一個(gè)或多個(gè)分散地域,且每個(gè)區(qū)域的業(yè)務(wù)流量規(guī)模較小的場景。
典型的場景包括:智慧路燈、智能電梯、智慧環(huán)保等場景。
智能資產(chǎn)完成本地處理后,多種或多個(gè)業(yè)務(wù)數(shù)據(jù)沿著南北向匯聚到智能網(wǎng)關(guān)。智能網(wǎng)關(guān)除了提供智能資產(chǎn)接入、智能資產(chǎn)本地管理、總線協(xié)議轉(zhuǎn)換等網(wǎng)絡(luò)功能外,還提供實(shí)時(shí)流式數(shù)據(jù)分析、安全保護(hù)、小規(guī)模數(shù)據(jù)存儲(chǔ)等功能。網(wǎng)關(guān)將實(shí)時(shí)業(yè)務(wù)需求在本地完成處理,同時(shí)將非實(shí)時(shí)數(shù)據(jù)聚合后送到云端處理。
(2)四層部署模型
主要面向業(yè)務(wù)部署集中,業(yè)務(wù)流量規(guī)模較大的場景。
典型的場景包括:智能視頻分析、分布式電網(wǎng)、智能制造等場景。
與三層部署場景最典型的區(qū)別是:邊緣側(cè)數(shù)據(jù)量大,本地應(yīng)用系統(tǒng)多,需要大量的計(jì)算、存儲(chǔ)資源。智能資產(chǎn)和智能網(wǎng)關(guān)完成本地最實(shí)時(shí)的處理后,將數(shù)據(jù)匯聚到本地分布式智能系統(tǒng)進(jìn)行二次處理。這些分布式ECN節(jié)點(diǎn)通過東西向聯(lián)接進(jìn)行數(shù)據(jù)和知識(shí)的交換,支持計(jì)算、存儲(chǔ)資源的橫向彈性擴(kuò)展,能夠完成本地的實(shí)時(shí)決策和實(shí)時(shí)優(yōu)化操作。
摘自《自動(dòng)化博覽》2018年3月刊
北京市公安局海淀分局備案號(hào):11010802023656號(hào)