2024边缘超融合网关技术规范

边缘超融合网关技术规范

目录

版权声明..............................................................I

编写组...............................................................II

前言..............................................................III

一、边缘云计算..........................................................1

（一）边缘云计算的定义...........................................1

（二）边缘云计算的典型场景.......................................2

1.边缘云游戏场景.............................................2

2.边缘音视频场景............................................3

4.工业互联网应用场景........................................8

5.本地覆盖类场景............................................10

6.场景需求总结..............................................11

（三）边缘云计算的优势与挑战...................................11

二、超融合网关技术..................................................12

（一）超融合网关定义...........................................12

（二）超融合网关形态与技术架构.................................14

（三）超融合网关典型网元功能....................................18

1.负载均衡:LB,LoadBalance）..............................18

2.网络地址转换（NAT,NetworkAddressTranslation）..........21

3.物理机和虚拟机互通（PV,Physical-to-VirtualGateway）...25

4.弹性IP（EIP,ElasticIP）................................26

v

5.虚拟专用网络（VPN.VirtualPrivateNetwork）................29

6.专线（DG,DedicatedGateway）.............................32

7.工业与物联网边缘云协议转换网关（ProtocolConversion

Gateway）.....................................................35

三、面向边缘计算场景的超融合网关关键技术...........................39

（一）控制面技大................................................39

1.监控模块..................................................40

2.运营模块..................................................41

3.安全性模块................................................42

（二）应用层技犬................................................45

1.容器隔离技术..............................................45

2.轻量化的容器管理技术.....................................48

3.流水线隔离技术............................................50

（三）转发面技犬................................................56

1.表项规格扩容技术..........................................56

2.协议状态一致性同步技术...................................59

3.自动化测试覆盖技术.......................................61

4.其他技术..................................................65

（四）硬件接口层技术............................................66

四、结语与展望......................................................69

五、参考资料........................................................71

六、缩略术语........................................................72

v

边缘超融合网关技术白皮书

一、边缘云计算

（一）边缘云计算的定义

中心云

7V一一大二一一7V-一不二

5频□口a降辞□口启回合

图1边缘云计算定义

边缘云计算是相对的概念，它相对于中心云而言，它部署的位

置将更远。能够作为中心云能力的一种延伸，更加贴近用户，将计

算能力拓展至“最后一公里”。如图1所示，根据边缘计算位置的

不同，可以分为区域、现场和IoT边缘云。

中心云机房：此类机房具备大于10万台服务器的规模，部署在

一线城市，他们到用户的延迟一般小于30ms,提供了完整的云服务

和解决方案。

区域边缘云：此类机房部署在省会以及地级行政区城市，机房

规模一般100到1000台，延迟一般小于10ms,提供了大部分的云服

务和解决方案。

1

现场级边缘云：此类机房部署在用户IDC机房现场侧，一般提供

一套机柜方案，和用户IDC机房的机器混合部署，它的规模更小。

IoT边缘云：此类边缘云设备也是部署在用户机房内，他们会使

用资源更加有限的网关设备，对接各类IoT设备协议，令IoT设备

能够接入中心云，提供给用户管理。

（二）边缘云计算的典型场景

L边缘云游戏场景

金◎金

图2云游戏

基于中心云的云游戏架构

用户端访

图3中心云游戏架构与边缘云游戏架构

云游戏，简单来说就是以云计算为基础的游戏方式。如图2所

2

示，传统游戏的运行模式都是直接在用户的本地设备上执行（如，

手机和主机），而在云游戏的运行模式下，所有游戏都在“云上”

运行，并将渲染完成的游戏画面压缩后通过网络传送给用户。云游

戏大大降低了对硬件的依赖，使得用户在普通的PC机/手机上也可

以体验制作精美的3A大作。

云游戏在早期的时候，将视频的渲染推流等能力都放置到中心

云的服务器上，距离用户远，延迟大。玩家能够体验的游戏被限制

在非延迟敏感的小型游戏上，比如：策略对战类，棋牌类等。

近几年，随着边缘计算技术的成熟和兴起，越来越多的厂商开

始尝试将基于中心云的云游戏架构演进到基于边缘云的云游戏架构。

边缘计算站点规模小，分布范围广，用户可以就近接入边缘站点，

从而降低游戏时延。如图3所示，在边缘云游戏场景中，业务将渲染

引擎和视频压缩推流引擎部署在边缘云以降低网络时延，从而带来媲

美传统游戏的体验c为了满足大规模用户接入的需求，边缘云站点中

需要具备负载均衡的能力，以为用户选择体验最佳的推流接入服务；

同时，为了大幅降低用户体验延迟，边缘云站点与中心云站点之间还

需要具备全局路由调度能力，以降低游戏状态同步的延迟。

2.边缘音视频场景

音视频，主要指的是以直播、点播等为代表的视频场景业务。

国内泛娱乐直播龙头企业，在直播业务尤其是音视频通信方面有很

3

强的技术积累，近年来自身的直播业务覆盖音乐、脱口秀、舞蹈、

户外、体育、游戏等多个细分品类，其强大的音视频能力也对其他

ToB企业开放，同时积极尝试采用新的技术手段优化其自身上层直播

业务，进一步提升终端用户的使用体验。

传统互联网视频直播架构基于边缘云的视频直播架构

CW孱

百度哲能云媒体中心

决

Q。口Q。出

—直播转翻CDN节点

百度・鲤云百度■♦云

BEC6点（湖北）BEC七点（广州）RTVP/11Y.ML

1

□第口,又Qn罗Qp又&「‘

推流SDK主播制放SDK观众推洸SOK主播播放SDK观众播放SDK

主播与观众倒在中心源站之外完全隔n本地主耨和用户在边缘站点层面打通双Q

睨众

图4传统互联网视频直播架构与基于边缘云的视频直播

架构对比

在音视频的业务中，对实时性有极高的要求，如游戏语音、直

播等。这类业务需要对音频、视频内容的分发保证超低延，从而保

证终端用户的极致体验。但是，如何能够在不增加业务成本的同时,

保证用户的低延时体验，成为音视频厂商必须解决的难题。通过与

云厂商合作推进音视频直播架构部署在边缘节点，在更好的体验与

更低的带宽成本之间实现了平衡。

如图4所示，在进行架构升级之前，客户将音视频直播架构部

署在中心云，将视频数据在中心云处理完成之后，再通过CDN节点

4

分发到终端用户。基于中心云的直播架构有几点劣势：带宽成本方

面相对较高、分散在全国的终端用户直播体验欠佳。基于以上几点

劣势，在充分了解边缘云各项优势的前提下，客户考虑将基于边缘

节点升级音视频直播架构。客户将边缘节点作为视频源站，实现就

近上传、推流、转码、渲染，面向本地用户实现就近分发，实现本

地化视频链路质量保障，实现低成本、低延迟的新型视频架构。

在这一案例中，云厂商为客户提供了遍布全国的边缘算力资源

和带宽资源，帮助客户完成了音视频架构升级。客户实现了带宽成

本降低，并且同时大幅提升了终端用户的使用体验，实现了较为明

显的降本增效。

伴随着大家阅读信息的方式由文字转向长/短视频，同时也在通

过文字弹幕或者直接连麦的方式参与其中。面临成本、用户体验等

多重压力。

5

T拉*

B00

图5边缘直播场景示意图

图6边缘直播网络架构图

依托于原有CDN资源的情况下，在边缘云提供对主播的收流、美

颜、转码压缩、推流到主数据中心，进行智能审核、编辑、录制存储

等处理之后，分发资源到全球CDN中心，同时集成了即时通信、字幕

等功能模块。在客户端通过CDN资源查看回播或制作好的长/短视频,

当观看直播、实时语音或者文字交流时接入到边缘计算中心。

6

边缘云视频制作中心需要大带宽的专线接入到云主数据中心，用户

接入端需要在原有CDN的能力下提供实时的信息交流，边缘融合网

关需要具有大带宽低延时、VPC、LB、EIP、安全等能力。

3.安防监控场景

传统安防监控架构端边云一体的安防监控架构

广Q

本生数据百度智能云

云中心

中心中心Region

结构化.

c_)处理下放「

百度智能云~百度・■云

*铢快节点(湖北)BEC节点(…)

本地聚合本地震合本地聚合UM本地聚合■A

T

月0

摄像头显示端摄像头显示潴普通摄像头显示端AI摄像头显示端

本地自建政据中心上传公有云分析、存储

完成人脸或行为结构化，中心大云完成大数据分析和核心故据存储

墓础设篦成本高带宽成本高BEC

豪愿硬件利旧和带宽成本

图7边缘方案监控场景

安防监控行业主要面向智慧城市、智慧园区等场景。国内安防

监控龙头企业，在安防监控业务方面有很强的技术积累和较大的市

场份额，近年来业务的监控视频考虑上云存储，降低存储成本。在

安防监控的业务中，对弹性存储有极高的要求，这类业务通过摄像

头采集视频数据，在本地做聚合之后上传到云端采集。传统的安防

监控架构则是将视频在本地做聚合之后上传到云中心进行存储，该

方案的特点是存储及带宽成本高。

因此，为了降低存储及带宽成本，客户采用了云边端一体的安

防监控架构。客户将视频在本地做聚合之后上传到距离摄像头最近

7

的边缘节点，利用边缘冗余上行带宽，将视频流、图片就近上传边

缘，进行抽帧/结构化处理，核心数据通过云边网络回传中心分析&

存储。

如图7所示，在这一案例中，云厂商为客户提供了遍布全国的

边缘存储资源和带宽资源，帮助客户完成了云边端一体的安防监控

架构升级。客户利用边缘上行冗余带宽大幅度降低视频流、图片传

输成本，实现了较为明显的降本增效。

4.工业互联网应用场景

工业互联网通过系统构建网络、平台、安全三大功能体系，打造

人、机、物全面互联的新型网络基础设施，形成智能化发展的新兴

业态和应用模式。随着工业4.0的蓬勃兴起和对现场设备管控、资

源优化配置、生产智能化的需求不断提升，工业互联网正在向扁平化、

云化、智能化演进c工业场景下，传统中心云计算的安全性、实时性

难以满足需求，需要在边缘侧实现具有低时延要求、轻量化的信息与

物理深度融合应用。针对智能制造与智慧工厂等应用场景，边缘计

算可就近部署关键应用，提供智能化运维服务、实时流数据处理、

安全可靠的网络等逐行环境，并与云平台对接，利用大数据赋能生

产与管理，从而发挥工业大数据的真实价值。

全自动SMT(SurfaceMountTechnology)生产系统是工业互联网

的一种典型应用场景，它以生产通信产品PCB为主。传统的SMT产

线是孤岛式的数据采集，没有设备相互间的沟通串联。依靠技术人

8

员的调整经验设定参数，同时，产线上仍需要大量人员进行设备的

维护和检测，如SPI/AOI误判点数过多，造成产线直通率下降，每

条SMT产线均需要固定一名目检人员进行二次复判。大量的目检造

成成本提升且产能下降。

OPyR)rch；

QONNX、：

[3Keras：«^，

©□一—I

PCB条形码扫描kub«fn«e$o_wk:边缘智脑服务器

0制造执行管理系统

SMTAOI

边缘网关作以题行复检

图8使用边缘云计算方案的SMT生产系统

建立基于SMT大数据的边缘云计算方案是解决上述问题的关键。

如图8所示，边缘网关部署在SMT产线设备侧，负责实时采集、缓存

SMT数据，并结合AI推理引擎对数据进行轻量级实时分析检测。部署

在边缘云的边缘智脑平台会对边缘网关上送的数据进行准实时分析和

利用，对SMT制程、SMT机台参数、SPI/AOI检测数据等进行中轻量级

分析，及时侦测与处理SMT生产线的异常与不良。部署在中心云上的

AI模型负责对边缘网关上送的数据进行深度分析和训练；AI模型训练

后生成的轻量级AT推理引擎，会下发到边缘网关；中轻量级推理引擎

被推送到边缘云上的边缘智脑服务器。整个解决方案中，中心云与

边缘云之间的协同，以及边缘云与边缘网关之间的协

9

同是关键。连接边缘网关、边缘云和中心云的边缘通信网络需要克

服数据传输瓶颈，实现低时延和高吞吐，并对数据、计算、网络进

行整体优化以达到最佳效率，最终达到云、网、边、端四位一体的

协同。

5.本地覆盖类场景

本地覆盖类场景包含多种落地产品，如新零售产品中，线上和

线下服务结合，音视频数据量较大，但都具有本地化特征，主要覆

盖门店附近（如50公里内）的客户。

在智慧城市，智慧园区等产品中，视频、摄像、应用服务等数

据主要围绕自身城市，数据量大且延时敏感；在工业互联网和医疗

教育等行业中，也都较多对延时就较高诉求。

因此，本地覆盖类场景通常具有地域性，跨区搬运数据情况相

对较少，客户更多希望数据能够快速采集，生产，分析，管理等。

本地覆盖率场景中，延时与用户体验密切相关，传统的中心云（通

常节点大但节点数较少）距离客户较远，一方面会有较大的延时直

接影响客户体验，服务质量；另一方面，本地大量音视频数据回源

搬运到中心云节点，也会产生不少的流量费用，此时多数情况希望

就近计算出一定的结果，将数据量大规模减小后再进行远距离传输;

边缘云节点通常较小且较数量多，离客户城市较近，可以较好服务

此类场景。

10

6.场景需求总结

从上述典型场景中，我们可以总结得到如下的网关需求:

典型场景网元需求典型网关形态

云游戏LB,NAT,PVx86服务器网关集群；可编程交换机

电商直播LB,NAT,EIP,Firewallx86服务器网关集群；可编程交换机

安防监控LB,VPNGWx86服务器网关集群；可编程交换机

工业互联网协议转换网关ARM嵌入式网关

LB,NAT,VPCGW,EIP,

本地覆盖类x86服务器网关集群；可编程交换机

VPNGW,专线网关

（三）边缘云计算的优势与挑战

边缘云计算的优势包括：低延时，分布式，低功耗，灵活部署

等。

边缘云计算站点部署在地市/区县/园区，更接近用户，能够承

载低时延、高带宽的应用。边缘云计算站点麻雀虽小，五脏俱全：

（1）资源池数量多，每个资源池的计算规模小，从几台服务器到几

十台服务器不等；（2）边缘站点单点的功耗低，易于灵活部署，信

息处理的总体冗余性和可靠性更高；（3）运营商边缘云承载UPF和

应用，有高带宽需求，同时EIP、NAT、负载均衡等功能需求全。

当前边缘云主要存在如下的挑战：

1、边缘资源池虽然规模不大，但是业务要求的网络功能全，有

SDN自动化、BGP/OSPF/静态路由、VXLAN、防火墙安全、EIP、NAT、

11

负载均衡功能等需求。其中网络、安全设备占比高，云平台、SDN控

制器部署也需要占用计算开销，硬件网络设备和管理/网络功能占用

计算资源将降低边缘资源池的总体性价比。

2、边缘云业务场景对网关性能需求也较高，如边缘音视频、直

播推流等场景，对路由规格、转发性能等都有较高的需求；

3、边缘机房规模较小，对成本较敏感，如果直接采用中心云的

网关独立集群的方案，将会引入较大的成本，降低单机房可售卖的

资源，影响产品演进和发展；

4、不同位置边缘云网关设备选型不尽相同：地市级边缘云采用

盒式路由器作为网关百G端口少，采用框式路由器/框式交换机，成

本高，占用机架空间大，功耗大。需要根据具体场景选择合适的网

关设备型号。

综上所述，边缘云计算站点资源池规模不大，但功能需求全，

且网关设备选型困难，既要控制成本，又要满足大规格、业务灵活

部署需求。为了应对上述挑战，边缘云计算市场亟需一种集合多种

网络功能、且能灵活部署的超融合网关设备，以节约机房空间、降

低功耗/成本，实现降本增效。

二、超融合网关技术

（一）超融合网关定义

超融合网关是一种新型的网络设备，它集成了多种硬件，以满

12

足不同应用的需求，它将传统的网络功能与虚拟化隔离、业务高并

发技术、异构资源统一优化等先进技术相结合，实现了网络设备的

高度集成和智能化，超融合网关极大地提高了网络的灵活性和可扩

展性，同时也降低了网络管理的复杂性和成本。

超融合网关的出现，对网络的发展产生了深远的影响。

首先，它改变了网络的架构，使网络更加灵活和可扩展。传统

的网络设备通常是单一功能的，而超融合网关则将多种功能集成在

一起，可以根据需要灵活地提供各种服务。

其次，超融合网关降低了网络的管理复杂性和成本。通过统一

的控制面技术，管理员可以轻松地管理和配置网络。

最后，超融合网关提高了网络的性能。通过智能化的管理和优

化，超融合网关可以保证网络的高效运行，满足用户的需求。

总的来说，超融合网关是网络发展的一个重要趋势，它将网络

设备的功能、性能和管理方式提升到了一个新的水平。随着超融合

技术的进一步发展，我们可以期待超融合网关将带来更多的创新和

变革。

同时，相比于部署与中心云的超融合网关，部署在边缘云的超

融合网关还有如下特点：

带来更大的资源收益：边缘超融合网关通常部署在资源受限的

环境中，而中心云场景的超融合网关通常部署在资源丰富的数据中

13

心；因此，超融合网关技术在边缘计算场景中将带来更大的收益。

更低成本：边缘超融合网关技术可以减少对网络带宽成本的需

求，因为数据在边缘设备上进行处理，而不是传输到中心云。边缘

站点的带宽成本相比于中心云的成本更低。

提高数据安全性和隐私性：现场级边缘超融合网关技术可以在

本地处理敏感数据，降低数据泄露的风险。而中心云场景的超融合

网关技术可能需要将数据传输到远程数据中心，增加了数据泄露的

风险。

更强的可扩展性：边缘超融合网关技术通常具有更强的分布式

处理能力，可以轻松地在多个边缘设备上部署和扩展。而中心云场

景的超融合网关技术通常依赖于集中式的数据中心资源。

（二）超融合网关形杰与技术架构

图9面向边缘云计算的超融合网关典型部署位置

如图9所示为面向边缘云计算的超融合网关典型部署位置，一

14

方面可以令用户就近接入（专线接入，基于公网VPN接入或者元线空

口接入等），另一方面可以与中心云也采用多种方式接入。超融合

网关上可以集成多种网元能力（如，LB、NAT、EIP、PVGW、VPN、协

议转换网关等），并对接多种业务流量（如，对用户提供LB能力以分

发流量给客户虚机，对客户虚机提供NAT能力出公网等）。

超融合网关是一种面向边缘计算场景的网络设备，将多种网元

融合在一起，以满足资源受限环境下的需求。超融合网关可以采用

不同的形态和技术架构，以下是三种典型的超融合网关形态：

1）服务器+可编程交换机形态：

硬件架构：

•服务器：采用通用的x86或ARM处理器，提供计算和存储资

源，支持虚拟化技术，如Docker.KVM等。典型场景是提升

网关可支持的表项规模、提供高密度计算的能力（如加解密

等）。

•可编程交换机：采用可编程交换芯片，如Tofino.Silicon

One等，支持灵活的数据包处理和转发功能。

2）CPU芯片+交换机ASIC芯片+FPGA高度集成形态：

硬件架构：

•CPU芯片：采用高性能的X86或ARM处理器，提供计算和存

储资源，支持虚拟化技术。

•交换机ASIC芯片：采用高性能的交换机ASIC芯片，如

15

Tofino,SiliconOne,BroadcomTrident、Tomahawk等,

支持高速数据包处理和转发功能。

•高度集成：将高性能CPU芯片、交换机ASIC芯片与FPGA集

成在同一硬件平台上，降低功耗和空间占用。

3)CPU芯片+交换机ASIC芯片+IPU/DPU等高度集成状态：

硬件架构：

CPU芯片：与方案2类似，采用高性能的X86或ARM处理器，提

供计算和存储资源，支持虚拟化技术。

交换机ASIC芯片：与方案2类似，支持高速数据包处理和转发

功能的交换机芯片。

IPU(InfrastructureProcessingUnit)/DPU(DataProcessing

Unit)芯片：是一类具有高速以太网接口、丰富的存储和计算资源、

基于硬件安全的高级网络设备，他们能够卸载云计算基础设施的功

能(如虚拟化管理系统、容器引擎、网络和存储功能等)，为云计

算基础设施释放更多的资源。

在上述超融合网关形态中，软件架构都包含以下组件：

•控制面：控制面主要负责网络设备的配置和管理、状态监控、

设备运营以及安全性鉴权等。在配置和管理方面，可以采用

SDN架构(如OpenDaylight、ONOS等)来实现；在状态监控方

面，需要引入CPU健康检测、内存状态监控、表项使用率监控、

端口状态监控等组件；在设备运营方面，需要支持路

16

由协议管理、配置核查、配置对账、升级管理、变更管理等

组件；在安全性鉴权方面，需要支持对接入设备的安全性管

控。

・应用层：应用层主要关注如何实现多种应用在同一台超融合

网关设备上有序的执行，并且互不影响。此类技术包括容器

维度的隔离技术，以及交换机流水线级别的隔离技术等。

•转发面：转发面主要关注如何实现高性能的数据包转发、敏

捷的产品迭代等维度。比如，采用表项扩容技术支持大规模

的用户并发；使用自动化测试覆盖技术，加速超融合网关产

品的迭代发布；使用协议一致性同步技术，实现状态网关的

高可用特性等。

•硬件层：硬件层主要关注如何将异构的硬件有机的整合，实

现超融合网关产品整体性能的优化。

—一■

■'E

图10典型的超融合网关软硬件架构

17

如图10所示是一种典型的超融合软硬件架构，基于全开放的硬

件、SAI接口、Sonic操作系统及开源的部署运维工具构建统一的超

融合网关形态。

InterfacesConsoleSDRAM

Hash

OBFL

(1Gb)

I

FPGA

P4可编程ASICPOe

(3.2T-51.2T)Gen3

2x10G

KR

图11典型的超融合网关硬件架构

如图11所示是一种典型的超融合网关硬件架构，可提供3.2T-

51.2T的带宽，使用基于P4可编程ASIC芯片，可自定义基础的

L2/L3转发流程，片上HBM提供大表相及大buffer转发。VoQ架构

提供高性能的流量Shape和QoS功能，同时具体丰富的ACL资源提

供设备安全。有PCIE接口和专用端口与硬件Multi-Corex86CPU通

信，可将有状态的session和NAT能力卸载到x86CPU处理，同时

可安装所需的ContainerApp提供相关的安全和运维监控能力。

（三）超融合网关典型网元功能

1.负载均衡(LB,LoadBalance)

负载均衡是一种用于在多个服务器之间分配网络流量，以提高

应用程序的可用性、性能和可扩展性的网元。负载均衡网关主要有

18

两种类型，即四层负载均衡（TCP和UDP协议）和七层负载均衡

（HTTP协议和HTTPS协议）o

图12负载均衡网关架构图

如图12所示，四层负载均衡网元多机器集群部署，以提高可用

性和稳定性。四层负载均衡集群内的每一台节点服务器均匀地分配

海量访问请求，并且每一台节点服务器之间都有会话同步策略，以

保证高可用。它的典型流程包括：

1）客户端发起TCP/UDP类型的请求，请求到达四层负载均衡网

关；

2）四层负载均衡网关根据分发策略选择一个后端业务服务器；

3）将请求转发到选定的后端服务器；

19

4）后端服务器处理请求并返回响应；

5）负载均衡网关将响应返回给客户端。

七层负载均衡网元也是多机器集群部署，并且具备集群内机器

会话相互同步的能力。它的典型流程与四层负载均衡网元类似，根

据业务部署的需求、流量的交互模式，有一些不同的流量路径。具

体地：

1）四层和七层负载均衡联合的形式：七层负载均衡在接受到四

层负载均衡的请求流量后，如果是首次请求HTTPS流量，将

会调用Key服务器集群进行证书验证及数据包加解密等前置

操作，之后再按照流量分发策略交付给业务服务器

2）七层负载均衡单独承载流量的形式：七层负载均衡集群直接

接受客户流量，其余流程与1）类似。

负载均衡网元包含关键功能的有：

•分发流量：根据预定义的策略，将客户端请求分发到后端服

务器。常见的策略包括轮询、最少连接、源IP哈希等。

•健康检查：定期检查后端服务器的健康状况，确保流量只分

发到正常运行的服务器。

•会话保持：为了保证用户体验，可以通过会话保持功能将同

一客户端的请求分发到同一台服务器。

•SSL加解密终结：在负载均衡器上处理SSL/TLS加密和解密,

20

边缘超融合网关技术白皮书

减轻后端服务器的计算负担。

•缓存和压缩：对静态资源进行缓存和压缩，以减少网络延迟

和带宽消耗。

负载均衡网元的典型关键设计一般包括：

•硬件与软件：负载均衡网关可以是专用硬件设备，也可以是

基于软件的解决方案。硬件负载均衡器通常具有更高的性能,

而软件负载均衡器具有更好的灵活性和可扩展性。

•层次结构：可以采用单层负载均衡结构，也可以采用多层负

载均衡结构，以实现更高的可用性和容错能力。

•部署方式：负载均衡网关可以部署在数据中心、云环境或混

合环境中，以满足不同的业务需求。

•安全性：负载均衡网关应具备防」二DDcS攻击、SYNflood攻

击等网络安全威胁的能力。

2.网络地址转换(NAT,NetworkAddressTranslation)

网络地址转换(NAT)是一种用于在私有网络和公共网络之间转

换IP地址的网元。它允许多个设备共享一个公共IP地址，从而节

省IP地址资源并提高网络安全性。

'典型场景如访问公网服务：边缘网络只希望主动访问公网上的

业务，而不希望边缘站点的业务直接暴露在公网上从而有被攻击的

21

边缘超融合网关技术白皮书

风险，可以选用公网NAT网关为业务提供安全防护能力。

图13NAT网关网络架构

如图13所示，NAT网关典型的访问公网服务的(SNAT)流程包

括：

1)边缘计算机房中的内部网络设备发起请求，请求到达NAT网

,关集群。

2)NAT网关集群根据预先配置的规则，将内部IP地址和端匚号

转换为公网IP地址和端口号。

V3)将转换后的请求发送到公\共网络。Z

4)公共网络中的目标服务器处理请求并返回响应。

22

5）响应到达NAT网关，NAT网关根据之前的转换规则，将公网

IP地址和端口号转换回内部IP地址和端口号。

6）将响应转发给内部网络中的设备。

此外，NAT网关典型的提供公网服务的（DNAT）流程包括：

1）公共网络中的用户向指定的公网IP地址和端口号发起请求。

2）响应到达NAT网关，NAT网关根据预先配置的转换规则，将

公网IP地址和端口号转换回内部IP地址和端口号。

3）将响应转发给内部网络中的设备。

4）边缘计算机房中的内部网络设备收到请求后，处理请求内容

后，将返回包发送给NAT网关集装。

5）NAT网关集群根据预先配置的规则，将内部IP地址和端匚号

转换为公网TP地址和端口号。

6）将转换后的请求发送到公共网络中的用户，完成整体流程。

网络地址转换的关键功能包括：

地址转换：将私有网络中的内部IP地址转换为公共网络中的外部

TP地址，反之亦然。这使得私有网络中的设备可以访问公共网络，同

时保护了内部网络的安全。

端口映射：通过端口映射，NAT网关可以将内部网络中的多个设

备映射到同一个公共IP地址上，从而实现多个设备共享一个公共IP

23

地址。

路由功能：NAT网关通常具有路由功能，负责在内部网络和外部

网络之间转发数据包。

防火墙功能：NAT网关可以提供防火墙功能，对进出内部网络的

数据包进行过滤和控制，提高网络安全性。

网络地址转换的典型设计点包括：

•静态NAT：静态NAT是一种一对一的地址映射方式，将内部

网络中的一个IP地址映射到一个固定的公网IP地址。这种

方式适用于需要固定公共IP地址的场景，如公共服务器C

•动态NAT：动态NAT是一种多对一的地址映射方式，将内部网

络中的多个IP地址映射到一个或多个公网IP地址。这种方式

适用于需要共享公共TP地址的场景，如普通上网用户。

•端口地址转换(PAT)：端口地址转换是一种多对一的地址

映射方式，通过端口号的映射，将内部网络中的多个设备映

射到同一个公共IP地址上。这种方式可以进一步节省IP地

址资源。

•双向NAT：双向NAT同时支持内部网络到外部网络和外部网

络到内部网络的地址转换。这种方式适用于需要双向通信的

场景，如VoIP和P2P应用。

•部署方式：NAT网关可以部署在边缘站点、云环境或混合环

24

境中，以满足不同的业务需求。

3.物理机和虚拟机互通(PV,Physical-to-VirtualGateway)

物理机和虚机互通网关(Physical-to-VirtualGateway,简称

P2VGateway)是一种用于实现物理机与虚拟机之间的通信和数据传

输的网元。

图14PVGW网关网络架构图

如图14所示为物理机和虚机互通网关的典型流程。具体包括：

1)物理机发起请求，请求到PVGW网关集群。

2)PVGW网关接受到IP数据包后，根据目的IP查询隧道路由，

封装对应的vxlan隧道后，将请求转发到虚拟网络中的目标

虚拟机，vxlan隧道的外层一般包含虚拟机所在母机的IP等

相关信息。

25

3)虚拟机处理请求并返回响应数据包。

4)响应数据包到达PVGW后，PVGW剥离vxlan隧道信息，并根

据内层目的IP信息，寻找到对应的物理机并转发。

物理机和虚机互通网关的关键功能包括：

•网络适配：将物理网络与虚拟网络进行适配，使物理机和虚

拟机能够互相通信。

•路由与转发：在物理机和虚拟机之间转发数据包，实现数据

传输和远程访问。

•安全性：提供访问控制、流量过滤等安全功能，防止未经授

权的访问和数据泄露。

♦网络管理：提供网络管理功能，如带宽监控、故障排查等，

帮助优化网络性能和稳定性。

4.弹性IP(EIP,ElasticIP)

弹性IP网关是一种可以动态分配和解绑的公共IP地址的网元，

通常用于边缘云计算环境中。弹性IP是可以独立购买和持有的、某

个地域下固定不变的公网IP地址，提供访问公网和被公网访问的

能力。

普通公网IP和ETP均为公网IP地址，二者均可为边缘云资

源提供访问公网和被公网访问的能力。两者的区别是：普通公网IP

26

仅能在CVM购买时分配且无法与CVM解绑，如购买时未分配，则

无法获得。而EIP是可以独立购买和持有的公网IP地址资源，可

随时与CVM、NAT网关、弹性网卡和高可用虚拟IP等云资源绑定

或解绑。

弹性IP网关的关键功能包括：

IP地址管理：弹性IP网关负责分配、回收和管理弹性IP地址，

确保IP地址资源的高效利用。

IP地址绑定与解绑：允许用户根据需要将弹性IP地址绑定到特

定的虚拟机或其他资源上，或从资源上解绑。

流量转发：将公共网络中的流量根据弹性IP地址转发到相应的

内部资源，反之亦然。

高可用性：弹性IP网关应具备高可用性，确保在设备故障或网

络问题时，弹性IP地址仍能正常工作。

27

图15EIP网关的网络架构

如图15所示，弹性IP网关的典型流程包括：

1）用户通过管理控制台或API请求分配一个弹性IP地址。

2）弹性IP网关从IP地址池中分配一个可用的公共IP地址，

并将其与用户的账户关联。

3）用户将分配到的弹性TP地址绑定到特定的虚拟机或其他资

源上。

4）弹性1P网关更新路由表和地址映射规则，将弹性IP地址与

内部资源关联。

5）公共网络中的流量根据弹性IP地址被转发到相应的内部资

源，反之亦然。

28

6）用户可以根据需要解绑弹性IP地址，并将其重新绑定到其

他资源上。

5.虚拟专用网络(VPN,VirtualPrivateNetwork)

虚拟专用网关（VPN）是一种提供安全的网络连接的网关，它可

以在公共网络上建立一个私有网络，使得远程用户可以安全地访问

私有网络中的资源。

在边缘云计算场景中，VPN可以支持IPS“协议和SSL协议两种

虚拟网络连接，打通IDC、内部办公网络、移动端和云私有网络

VPC/云联网CCN全连接。

图16VPN网关-租户VPC与用户IDC打通场景

29

图17VPN网关-多个IDC在通过VPN连接上边缘云场景中实

现互通

图18VPN网关-IDC通过VPN主备通道实现主备容灾上边缘云

如图16-图18所示，包含多种VPN网关与用户IDC互通的场景。

图16所示为VPN网关-租户VPC与用户IDC打通场景，这是最

简单的用户IDC就近上云的场景。

图17为VPN网关-多个IDC在通过VPN连接上边缘云场景中

实现互通的示意图。用户IDC-1.IDC-2、TDC-3分别通过各目的

IPsecVPN设备接入边缘云VPC型VP\网关，IDC-1,IDC-2、

IDC-

30

3之间不仅可以访问VPN网关所属私有网络内的各类资源，还可以

31

通过边缘云VPN网关实现中转互通，最终实现IDChIDC2.IDC3

与VPC之间的安全通信。

图18是VPN网关TDC通过VPN主备通道实现主备容灾上边缘

云的示意图。用户IDC仅需要与单个边缘云VPC实现互通，在用

户IDC侧，用户可以部署两台TPsecVPN设备，分别与边缘云私

有网络型VPN建立IPSecVPN通道，\?N网关路由表配置两条目

的端一致的路由，通过优先级控制，实现主备通道效果；在发生故

障时，可以实现路由自动切换。

虚拟专用网关的关键功能包括：

•安全连接：虚拟专用网关可以在公共网络上建立一个安全的

连接，保护数据的传输安全。

•认证和授权：虚拟专用网关可以友用户进行认证和授权，确

保只有授权用户可以访问私有网络中的资源。

•数据加密：虚拟专用网关可以对数据进行加密，保护数据的

机密性。

•数据完整性：虚拟专用网关可以发数据进行完整性检查，确

保数据没有被篡改。

•网络隔离：虚拟专用网关可以将公共网络和私有网络进行隔

离，保护私有网络中的资源不受公共网络的影响。

32

6.专线(DG,DedicatedGateway)

专线网关(DedicatedGateway)是一种用于连接企业内部网络

和外部网络(如云计算平台、数据中心等)，提供专用、高速、低

延迟的网络连接的网元。在定位上，专线网关私有网络与物理专线

建立专用通道的出入口，可以和多个物理专线间建立专用通道，实

现连接多地的混合云部署。

；逻辑层..........................................：

州云VPC

：r.........................................用户IDC

；；VPC；;

ijHj

：云服务器路由衷;专线网关本期8由器虫®务器：

：物蜂

(2)~1=5营商提供—fijiI

；北京VPC(/24)广州IDC(/24)；

图19专线网关架构图

如图19所示为专线网关的典型架构图，在逻辑层，专线网关与

用户IDC内部网络的路由器建立专用通道连接，并接受路由配置指

向VPC网络中的芯服务器，实现用户1DC与边缘衣VPC的内网互通；

在物理层，用户的IDC机房与边缘云机房基于运营商提供的物理专

线连接。

其典型流程包括：

33

1）企业与云计算平台或数据中心提供商签订专线服务协议，建

立专用连接。

2）专线网关部署在企业内部网络和外部网络的交界处，负责连

接两个网络。

3）企业内部网络中的设备发起请求，请求到达专线网关。

4）专线网关根据路由规则，将请求通过专用连接转发到外部网

络中的目标设备。

5）目标设备处理请求并返回响应。

6）响应通过专用连接到达专线网关，专线网关将响应转发给内

部网络中的设备。

专线网关的关键功能包括：

•专用连接：专线网关提供专用的物理或虚拟连接，确保网络

带宽、延迟和稳定性。

•路由与转发：在内部网络和外部网络之间转发数据包，实现

数据传输和远程访问。

•安全性：专线网关可以提供安全性功能，如访问控制、流量

过滤等，防止未经授权的访问和数据泄露。

•网络管理：专线网关可以提供网络管理功能，如带宽监控、

故障排查等，帮助企业优化网络性能和稳定性。

34

如下是一种典型的企业专线上云网络架构，该专线网关用于提

供企业对多云网络的部署，经常和SD-WAN结合使用，以提供强大的

网络连接和管理功能。企业云专线网关通常具备强大的安全功能，

如访问控制、数据加密和身份验证，以保护企业数据的安全性。此

外，它还可以提供高可用性、负载均衡和性能优化等功能，以确保

企业网络与云服务之间的可靠连接。

VPN,GETVPN

Gateway

HighScaleNAT,RrewallDM\-rxVPN$w：Cnu;：A：：，、、

图20典型的专线接入网络架构

以虚拟化方式部署的企业云网关，提供了丰富的NAT.IPsec和

安全的能力，可动杰为各应用模块分配独占的CPUCore,均衡性能

和功能需求的算力（如图21所示）。

IntegratedRichServicesScale

SOWANTunnelAgmaM

NBAR2.HAT.Artw<G«

WM1/1(V1GfabitEthernetPorts

lnduMr/»legrtService(dee

PlMforrm

MultilayerSecurity

EdgeIntelligence

SSIAcceteratxso

ComputeAppkJCkxiFlrewal

ConuintfbawdApptE皈URUHtE

AMP,ThreMGrid

U2・25IG

图21典型的虚拟化部署的企业云网关

35

7.工业与物联网边缘云协议转换网关（ProtocolConversion

Gateway)

工业边缘协议转换网关（ProtocolConversionGateway）是一种

用于实现不同协议之间的转换，使工业互联网设备或物联网设备能

够与云平台进行通信和数据交互的网元。工业边缘协议转换网关是

联结物理世界与数字世界的重要桥梁，就像工业互联网的神经结，

将工业现场的产线、管道、PLC、变频器、机器人等设备连接起来，

使之成为一个有机整体，以适应现场应用低延时、高可靠、多样化

的需求，并配合边缘智脑共同进行智能化数据处理，其典型的三层

技术架构如图22所示:

尤陶

Foundry

*幡心履

AUXKEJ2GA(XMAtA*M|n

►

►边缘iS餐曰I日

图22工业边缘网关技术架构示意图

1）北向：指边缘网关的应用层，主要包括工业实时流数据的

预处理、现场侧AI算法、服务注册以及与边缘智脑（边缘

云）的连接与交互。通过北向接口边缘智脑能对边缘网关进

行集中运维和管控，并实现系统和应用程序的远程更新，支

36

持遗留设备或专有设备的软件SDK。

2）南向：指边缘网关的物理层，主要包括边缘网关的智能板

卡、协议转换以及广泛连接的各类现场设备，边缘智脑或云

端可以通过南向接口随时掌握现场设备的运行状态。而OPC

UAoverTSN能实现传感器到云的传输，是打通现场设备与

边缘网关的重