5.2　5G 邊緣云技術體系

5.2.1　5G 邊緣云架構

5G 邊緣云架構的參考模型如圖5-5所示。整體架構分為云層、邊緣云層和現場設備層三層。邊緣云層位于云層和現場設備層之間，實現現場設備層各種終端的接入以及與云層的對接。

現場設備層實現生產數據的采集，主要由個人終端，以及工業、醫療等場景下的傳感器設備、生產設備等行業終端組成。邊緣云層主要由邊緣基礎設施和邊緣管理器兩部分組成。邊緣基礎設施是邊緣計算的核心，為業務應用提供相應的網絡、計算、存儲資源。根據業務類型的不同，邊緣云層中的邊緣基礎設施通常包含邊緣網關、邊緣控制器、邊緣一體機、邊緣服務器等。其中邊緣網關主要實現網絡協議的處理和轉換，邊緣控制器主要支持實時閉環控制業務，邊緣服務器主要用于大規模數據處理，邊緣一體機主要用于低功耗信息采集和處理。邊緣管理器主要實現對邊緣基礎設施的統一管理，包括業務編排、資源調用等。

通過在邊緣基礎設施上部署相應業務應用，能夠實現控制、分析等邊緣計算應用功能。利用邊緣計算，能夠加強本地計算能力，實現控制功能的邊緣部署，減少集中式的云計算模式帶來的響應時延高的問題，形成面向大規模復雜控制系統的有效解決方案。邊緣計算的分析功能可以實現流數據分析、視頻圖像分析、智能計算和數據挖掘等功能。計算能力的下沉使分析處理能力靠近數據源，通過預處理減少了向云端傳輸的數據量，減小了傳輸的帶寬需求。

5.2.2　邊緣基礎設施

邊緣基礎設施包括網絡、計算和存儲三個基本模塊。

（1）網絡

邊緣計算的初衷是將計算能力下沉至網絡邊緣，降低業務的響應時延，因此網絡資源是邊緣計算業務展開的基礎支撐。邊緣計算的業務場景，如工業、醫療等，決定了邊緣計算的網絡必須滿足低時延、超高可靠的要求，同時又要支持網絡的靈活部署與實施。為了應對邊緣應用對帶寬、時延、QoS 等不同性能指標的要求，時間敏感網絡（Time-Sensitive Networking，TSN）和SDN 成為邊緣計算網絡的兩種不可或缺的重要技術組成。

國際標準組織IEEE 針對時間敏感網絡制定了一系列的技術標準。該技術標準體系基于傳統以太網構建了一種時間敏感性的新型傳輸網絡，能夠為用戶提供具有確定性時延的數據傳輸能力。IEEE 802工作組對時間敏感網絡的主要性能給出了描述，它能夠提供具有有界低延時、低抖動、極低數據丟失率的數據傳輸能力。時間敏感網絡的核心能力包括優先級時間感知調度、時間同步、流量整形等。時間敏感網絡針對實時優先級、時鐘等關鍵服務定義了統一的技術標準，在車載網、工業以太網等領域成為未來的一個主要發展方向。

SDN 在5G、未來網絡等研究中得到廣泛應用，而邊緣計算網絡同樣也離不開SDN技術。SDN 是一種新型網絡架構，逐漸成為網絡技術發展的主流。SDN 的核心思想是，通過網絡的控制與轉發功能分離實現對網絡設備的編程控制。在SDN 中，應用層負責承載商業應用或者用戶自定義的應用。通過北向接口，SDN 將應用層的需求與策略傳遞到控制層。控制層中的控制器負責將應用層下達的策略轉譯成相應的轉發規則，通過南向接口傳遞到基礎設施層。基礎設施層負責網絡狀態的收集，以及在控制層下發的轉發規則的指導下對數據進行轉發。SDN 技術加強了網絡的靈活性和可控可管性。在邊緣計算中應用SDN 技術，能夠支持海量網絡設備的靈活接入，增加網絡的可擴展性，增強自動化運維能力。

（2）計算

邊緣計算需要根據現場應用的多樣性提供異構計算能力、邊緣智能能力及虛擬化能力，主要涉及的硬件設備包括邊緣服務器、邊緣網關、邊緣一體機等。

① 異構計算能力。異構計算是邊緣側的關鍵計算能力之一。物聯網、自動駕駛、工業互聯網等業務的快速發展，以及人工智能算法在這些領域的應用，均帶來了對計算能力的多樣化需求。同時，計算資源所需要處理的數據類型也日趨多樣，既包含結構化數據又包含非結構化數據。通過引入CPU、DSP（Digital Signal Processing，數字信號處理）芯片、GPU（Graphics Processing Unit，圖形處理器）、ASIC（Application Specific Integrated Circuit，專用集成電路）、FPGA（Field Programmable Gate Array，現場可編程邏輯門陣列）等多種不同計算單元來進行加速計算，成為邊緣計算能力未來的發展趨勢。產業界提出，將不同類型指令集、不同體系架構的計算單元協同起來，形成新的異構計算架構，以便充分發揮各種計算單元的優勢，實現性能、成本、功耗、可移植性等方面的均衡。

② 邊緣智能能力。在網絡邊緣安裝和連接的智能設備，應能夠實現關鍵任務數據的處理和分析。在工業領域，針對工業流數據的實時分析、設備的預測性維護、產品的故障檢測等均涉及邊緣智能的應用。給邊緣計算節點賦予一定的智能計算能力，使之能夠自主判斷并解決問題，及時檢測異常情況，更好地實現預測性監控。在無人駕駛領域，道路預測等邊緣智能應用更是關鍵的應用之一。

③ 虛擬化能力。虛擬化技術已經在云數據中心得到了廣泛的應用，成為企業IT 系統的主流建設模式。使用虛擬化技術，降低系統的開發和部署成本，已經成為行業共識。虛擬化技術也已經從服務器應用場景向嵌入式系統應用場景轉變。典型的虛擬化技術包括裸金屬架構和主機架構。裸金屬架構是指虛擬化層的Hypervisor 等功能直接運行在硬件平臺上，在實時性方面能夠獲得較好的效果。智能網關等一般采用這種虛擬化方式。主機架構讓虛擬化層的功能運行在主機操作系統上，然后再對計算等資源進行虛擬化，通常用于部署對計算能力要求不是特別高的業務。

（3）存儲

邊緣計算的存儲資源存在多樣化的需求，因為邊緣計算存在眾多應用場景，既有對實時性要求較高的工業控制、無人駕駛等業務場景，又有對存儲容量要求較高的AR/VR、CDN 等業務場景，同時存在結構化數據及非結構化數據的應用需求。在產業界，邊緣計算的存儲資源通常使用邊緣一體機或者采用分布式存儲體系搭建，實現業務應用對塊存儲、文件存儲、對象存儲的需求。

5.2.3　邊緣管理

邊緣管理器用于實現邊緣管理，涉及的內容包括統一的資源調用管理、服務管理、數據生命周期管理等功能。

（1）資源調用管理

邊緣管理器能夠通過代碼管理、網絡管理、數據庫管理等方式直接調用相應的資源，完成業務功能。代碼管理包括對功能模塊的存儲、更新、檢索、增加、刪除等操作，以及版本控制。網絡管理是指在最高層面上對大規模計算機網絡和工業現場網絡進行的維護和管理，實現控制、規劃、分配、部署、協調及監視一個網絡的資源所需的整套功能。另外，針對數據庫的建立、數據庫的調整、數據庫的組合、數據庫的安全性控制與完整性控制、數據庫的故障恢復和數據庫的監控提供全生命周期的數據庫管理。

（2）服務管理

通過邊緣管理器，能夠面向終端設備、網絡設備、服務器，針對數據、業務與應用的隔離、安全、分布式等方面提供統一服務管理，在工程設計、集成設計、系統部署、業務與數據遷移、集成測試、集成驗證與驗收等領域提供全生命周期的管理支持。

（3）數據生命周期管理

邊緣計算中的數據是在邊緣側產生的，包括機器運行數據、環境數據及信息系統數據等，具有瞬間流量大、流動速度快、實時性要求高等特點。邊緣管理器具有對此類數據進行數據預處理、數據分發和策略執行、數據可視化和存儲的功能。

5.2.4　邊緣計算安全

邊緣計算已經在工業、交通、醫療、智慧城市等關鍵領域得到廣泛應用，邊緣計算的安全防護也將成為未來各行業應用中至關重要的一環。邊緣計算的主要應用場景位于網絡邊緣，部署了大量的傳感器網絡設備，具有設備數量龐大、基礎環境復雜、計算存儲資源受限等特點。因此，傳統的安全防護手段無法完全適應邊緣計算面臨的安全防護需求。

在設計邊緣計算安全模型時，既要考慮傳統安全能力在邊緣計算中的實現，又要考慮邊緣計算的應用特點。例如，在安全防護方面應考慮安全功能的輕量化，實現安全能力在各類硬件資源受限的IoT 設備中的應用。海量設備的接入將導致傳統的安全認證機制不再適用，應根據網絡接入特點，重新設計安全模型。對關鍵節點（如邊緣網關）的攻擊可能導致安全故障由點及面的風險，應設計相應的隔離策略，有效控制攻擊風險范圍。

邊緣計算的安全體系主要涉及節點安全、網絡安全、數據安全、應用安全等內容。在節點安全方面，主要提供邊緣節點的虛擬化安全、OS 安全等功能，并能夠實現節點的完整性校驗、身份鑒別等；在網絡安全方面，主要保障各網絡協議的安全，提供網絡域的隔離、網絡監測、網絡防護等功能；在數據安全方面，主要涉及數據的安全存儲，提供數據的輕量級加密、敏感數據的處理與監測等功能；在應用安全方面，主要提供APP加固、權限訪問控制、應用監控、應用審計等功能。總之，應通過一系列的措施保障邊緣應用的安全，這些在第7章中還會進行詳細的討論。