《工业互联网边缘计算》课件-模块6 场站边缘解决方案

——工业互联网边缘计算——模块6场站边缘解决方案目录CONTENTS项目需求分析任务6.1边缘计算解决方案总体设计任务6.2项目场景功能部署任务6.3项目方案价值分析任务6.4项目详细设计任务6.5章节简介

本模块将通过分析新华三技术有限公司提供的场站边缘解决方案来完整的梳理“云边端一体协同”解决方案，方案从需求分析、方案总体设计、场景功能部署、方案价值分析，最后到项目的详细设计，图文并茂，完整展现了云计算和边缘计算一体化项目整体设计、解决和实施方案，同时，也是对前面课程内容做了很好的总结和提升。学习目标1．知识目标（1）掌握边缘计算整体设计流程；（2）掌握云计算和边缘计算在不同场景下的不同设计方法；（3）理解边缘资源池和边缘节点不同的设计、规划和实施；（4）重点掌握边缘平台云边统一管理能力。2．技能目标（1）具备理解企业项目背景，合理进行项目需求分析的能力；（2）具备理解和设计项目总体架构设计的能力；（3）具体合理设计、实现场景功能部署的能力；（4）具备理解和分析项目详细设计的能力。3．素质目标（1）具有良好的科技文献信息检索和技术文档阅读的能力；（2）具有整合和综合运用知识分析问题和解决问题的能力；（3）具有较强的集体意识和团队合作的能力；（4）具有触类旁通、举一反三的能力。学习导图任务6.1项目需求分析

边缘计算的产生是由于“低时延”的需求，云、边技术的相互协调、相互补充，使得云和边成为了不可分割的有机整体，“云边端一体的协同”是现今已经达成共识的技术方案。

按照应用业务对时延的不同需求，选择不同的业务数据处理平台。时延在1～5ms之间，通常称为“现场边缘”，是时延要求比较苛刻的业务。对于时延要求在5～20ms的业务，通常称为“近场边缘”，以视频服务为主。对于时延要求不高，在20～100ms的应用，通常部署在云数据中心。

针对不同场景的边缘侧，根据实际计算规模的大小，可以分为轻量化的边缘云（LightEdge）和边缘资源池/边缘超融合。场站边缘解决方案是典型的边缘资源池与边缘超融合场景方案。本模块针对高效数字化、智能化管理手段来进行分析，公交场站最重要的一个核心功能是车辆的管理，是车路协同智能交通系统的重要组成部分，全方位实施车车、车路动态实时信息交互，并在全时空动态交通信息采集与融合的基础上开展车辆主动安全控制和收发车协同，充分实现车辆协同管理，提高车辆运行效率，从而形成的安全、高效和环保的车辆管控系统。

作为智能交通管理系统的一部分，车管协同对于实时性的要求是非常高的，而边缘计算则可以满足这个要求。因为边缘计算服务器可以发挥近距离部署的优势，及时获取路况信息，如果是紧急事件，就直接下发给车/路设备，提醒各方及时处理。只有遇到可能影响全局的数据，才上报到云端，由云计算中心处理。任务6.2边缘计算解决方案总体设计

该项目解决方案总体架构分为云、边两级架构，云端以云管理平台为核心，通过边缘计算平台、基础云服务、边缘计算服务、IaaS服务、PaaS服务、DevOps服务、大数据服务等能力的集成和协同调度，使中心云具备完整的云管理能力和云边协同能力。

边缘端以边缘资源池和边缘节点为核心，通过云边协同组件与云端完成云边协同。方案设计通过资源池和节点覆盖现场边缘和LightEdge，通过云场景覆盖近场边缘和HeavyEdge，重点覆盖安防、交通、电力能源和园区重点行业。

边缘资源池主要具备的能力是：中心统一云管、虚拟机、容器、裸金属、本地网络出口、本地安全设备纳管、K8S工作节点托管、K8S托管集群、云边VPC、本地自治、公有云服务。

边缘节点主要具备的能力是：节点设备管理和运维、容器应用云上部署、函数serverless服务、边缘托管kublet节点、终端设备管理、终端数据采集和清洗、本地自治、云边应用高可靠、公有云服务。如图6-4所示，边缘资源池、边缘节点以及云中心主要具备的能力。

边缘资源池需具备网络自动化、统一管理、边缘出口、网络安全、KaaS、裸金属、虚拟机、超融合管理功能。边缘节点需具备容器管理、函数计算、规则引擎、智能策略、节点管理、物模型、云边网络、设备影子等功能，云边端总体系统功能设计方案如图。任务6.3项目场景功能部署方案聚焦于两个主要场景：一个是边缘资源拉远场景，另一个是边缘节点场景。

在边缘节点场景下，单点部署，快速开局；安全可靠，离线可用；提供轻量化容器计算能力，提供函数计算能力；兼容一体机、服务器、融合网关及三方设备、云边应用协同，中心统一应用部署和编排能力。1．边缘资源拉远场景，聚焦于提供中心资源统一管理和边缘业务部署能力，（1）中心资源统一管理：中心云平台作为业务运营的统一入口，提供中心和边缘运营功能。中心云平台作为租户业务的统一入口，提供云服务能力，及应用管理能力。物理设施管理组件提供涵盖服务器、网络、安全、存储等设备管理能力，并提供DHCP和TFTP能力实现管理节点设备自动上线及升级能力(云节点、虚拟化节点、存储节点等)多集群管理组件提供边缘容器集群(K8s)管理及监控能力（2）边缘业务部署：云边资源类型及业务逻辑一致，边缘资源池提供计算、网络、存储、安全能力，满足业务本地运行、本地出口能力边缘计算资源支持虚机、容器、裸金属能力2．对于边缘节点场景，聚焦于提供中心统一管理和边缘容器业务部署能力，如图6-8所示。（1）中心统一管理：中心云平台作为业务运营的统一入口，提供边缘节点场景运营功能中心云平台作为租户业务的统一入口，提供边缘节点容器业务能力，及应用管理能力蜂巢边缘平台（HES）云上组件和边缘代理HESAgent服务进行消息通信，实现边缘容器节点离线可用（满足CAP架构A-P需求，支持回复后自动同步保证最终一致性）（2）边缘容器业务部署：边缘云本地提供容器业务部署能力，支持VPN能力任务6.4项目方案价值分析1．多层级低延时场站边缘计算，把算力部署在客户现场，时延在1ms~5ms之间。按照部署规模可以细分为边缘节点和边缘资源池两种形态。边缘节点单节点部署，适用工业互联网、物联网等场景；边缘资源池适用总部-分支场景，园区场景。如图多层级低延时架构。2．边缘节点多样化

场站边缘计算，支持多种节点类型，包括OTII服务器、融合网关、物联网关多种算力，通过此种多层级算力布局，匹配不同场景下对不同算力规模的需求。如图不同节点应用环境和算力情况。3．管理资源轻量化边缘资源池管理由中心DC进行集中管理。（1）边缘资源池资源由中心统一管理AD-DC控制器；由中心部署的AD-D控制器，对边缘资源池的网络设备进行underlay和overlay的配置，包括自动化上线、业务自动化下发等CloudOS5.0；边缘资源池作为可用区，统一由中心部署的CloudOS进行计算资源、云内网络的配置和管理，实现云边跨VPC互访，云边同VPC互访等（2）管理域轻量化控制器虚拟化部署云平台组件、数据库虚拟化部署（3）网络架构轻量化边缘资源池出口路由与leaf设备合一，出口功能由R-leaf承载如图通过系统架构图，可以看到管理域和网络架构的轻量化。4．基础架构轻量化超融合与边缘计算结合（1）超融合简化了部署，加快业务上线时间，适用边缘计算轻量化、敏捷的特性；（2）超融合降低运维难度和成本，解决边缘设备距离远，运维复杂的问题；

（3）提高设备可靠性和可用性，满足边缘恶劣环境下，对设备可靠性的要求。5．计算资源轻量化容器化：共享宿主机资源，共享内核及内存，节省GuestOS损耗；函数计算：进程隔离，更加轻量化6．边缘平台云边全局统一管理能力边缘平台以蜂巢边缘平台（HES）为核心，支持镜像管理、节点管理、容器管理、函数计算、日志管理、告警监控、认证&权限监控能力，实现对边缘设备管理和云边协同。7．云边资源协同整体方案中，中心云与边缘云云边协同，多云网络服务；中心云与边缘资源池云边VPC服务，边缘出口能力。云边资源协同示意图。（1）统一云管提供多云协同能力：多云网络服务：提供跨云VPC服务，自动创建跨云扩展L2网络能力，对应扩展L2网络EDPair支持自协商或预定义范围VxLANID创建隧道跨云虚机迁移：提供跨云虚机迁移能力，保证业务高可用支持跨云网络服务对应资源同步，包括subnet、安全组策略等。（2）中心云提供云边VPC协同能力云边VPC服务：基于Leaf拉远方案，中心云VPC支持延伸至边缘资源池边缘出口能力：Leaf拉远采用Boarder合设，支持本地出口能力支持边缘资源池业务优选本地出口8．云边网络通道，安全高质量（1）中心云-边缘资源池：边缘组网架构单层接入架构，两台交换机。业务网络VxLAN隔离，管理、存储网络逻辑隔离。端口聚合，链路高可用及负载均衡。简易开局网络、安全设备零配置U盘开局（带外管理配置、基础系统配置等）。ADDC控制器实现underlay、Overlay配置自动化。边缘节点一体机预装超融合系统，导览式简易配置（2）中心云-边缘节点：节点出口Internet/VPN/专线出口。边缘组网架构依照运营商接入机房和客户接入机房而定。中心-边缘节点公网/专线/VPN拉通。9．本地数据加密、数据安全，满足合规性

数据安全：外包数据的安全，包括数据的保密性与安全共享、完整性审计和可搜索加密。

私密要求：企业或用户可能出于网络连接局限性和私密性要求，选择边缘实现数据采集和处理10．云原生技术在边缘计算的应用（1）边缘侧轻量化对容器技术的需求敏捷：容器技术相对于虚拟机更加敏捷和轻量。标准：事实标准K8S有助于边缘容器编排需求演进。高效：容器技术对跨服务依赖性较低，独立升级。移植：计算环境可移植性程度高。安全：容器之间相互隔离，底层基础架构相互隔离。（2）中心统一对边缘进行管理和运维，云上打包，边缘应用部署云边应用自动分发，提高生产效率。应用快速迭代，减少资源浪费。基于边缘侧的部署，可扩展性和实时伸缩能力突出。11．节点本地自治，云边断网可用

云边发生断网时，边缘节点通过本地数据缓存数据库进行数据读取；云边网络恢复后，本地数据库与边缘计算平台进行消息同步。如图，云边断网可用。任务6.5项目详细设计6.5.1RemoteEdge技术1.云边网络设计（1）边缘本地出口RemoteLeaf设备采用接入Leaf和BorderLeaf合设能力，同时支持计算资源接入和Overlay封装卸载能力。（2）云边网络统一管理部署阶段，SDN控制器通过带内管理网，基于设备角色模板实现对中心和边缘网络、安全设备Underlay实现自动化配置。中心DC云平台实现对网络资源（Network、Subnet、vRouter、vLB、vFW、EIP等）统一管理，通过VxLAN实现多租户隔离。云平台并通过SDNNeutronPlugin同步对应配置至SDN控制器（网络控制器、安全控制器）完成网络、安全Overlay自动化配置。如图所示为中心云和RemoteEdge设计。2.网络流量模型网络流量模型主要有四种。（1）流量模型一：本地东西向VPC-01VPC内虚机都在同一个边缘资源池本地东西向流量（2）流量模型二：本地南北向VPC-02VPC内虚机和出口EIP属于同一边缘本地南北向流量（3）流量模型三：云边东西向VPC-03VPC内虚机分属于中心和边缘跨资源池东西向流量（4）流量模型四：云边南北向VPC-04VPC内虚机和出口分属于中心和边缘跨资源池南北向流量3.边缘组网拓扑

在边缘组网拓扑中设计边缘出口路由器、Leaf交换机、管理交换机以及边界设备组的相应设置，下面针对这些设备分析它们的作用。边缘出口路由器（MSR系列）路由器提供外部网络互连IRF堆叠或M-Lag保证设备可靠性Leaf交换机（S6800系列）单层Leaf接入架构交换机M-Lag，保证设备可靠性共享物理设备，逻辑隔离业务、存储三平面网络链路聚合实现流量负载分担和链路可靠性保障管理交换机（S5560系列）堆叠保证设备可靠性接入服务器、交换机、路由器带外管理口边界设备组南北向防火墙（F5K）南北向LB（L5K）堆叠或VRRP保证设备可靠性4.云边网络设计针对云边网络分为三种模式来设计。（1）同网段VM互访VM1：0/24RemoteLeafvsi-interface：/24VM2：1/24（2）同网段同subnet下互访，通过RemoteLeaf上网关进行二层流量转发，分布式网关；跨网段VM互访VM1：0/24RemoteLeafvsi-interface1：/24RemoteLeafvsi-interface2：/24VM2：0/24（3）跨网段虚机互访，通过RemoteLeaf上三层VNI实现互访。5.数据量流向（1）云边东西向流量云边东西向流量，数据流与同DC内跨leaf互访数据模型相同。（2）云边南北向流量（3）本地南北向流量

直出外网方式：VM1虚机：0/24，VSI-interface网关：/24，BGP路由发布地址：/24，出口路由：/24RemoteLeaf直出外网方式，通过RemoteLeaf作为subnet内虚机网关，来转发路由。6.多边缘网络配置

云平台上外部地址池通过云定义的出口和SDN控制器的边界设备组映射。租户申请不同外部地址池的EIP，从而决定业务的实际物理出口。7.网络传输设计远端数据中心接入主数据中心，因其地理位置较远，采用IP网络连接。规模灵活组网支持2000+分支组网规模支持多级组网多种线路选择支持专线、Internet、VPN接入方式专线接入，数据安全可靠，质量高VPN接入，成本低、安全较高，传输加密Internet线路组网，保障关键应用体验，降低线路成本简易运维图形化操作，选择VPN设备和端口，统一配置下发建立VPNInternet线路自动VPN加密，保证数据传输安全，简化复杂VPN运维支持IPSecVPN可视化运维，全网站点、拓扑、告警、应用统一呈现8.边缘资源池业务网络时延

中心DCspine与边缘资源池Remoteleaf建立EVPN隧道。

当发生云边时延增高时，大于BGP三倍keepalive时间，即认为BGP邻居异常，此时EVPN隧道异常，云边业务中断。9.边缘资源池设备自动化纳管Remoteleaf自动化纳管流程：①Remoteleaf空配置启动，设备自动化进程会选择第一个up的管理口发送dhcpdiscover报文②

上联路由上配置dhcprelay配置，收到dhcpclient请求将报文relay到dhcpserver③

Dhcpserver收到dhcpdiscover报文，回复offer报文给客户端，携带设备空配置启动文件tftpserver地址（option66），携带空配置启动文件名称（option67）④

Dhcpclient选择一个服务端分配的地址，并发起请求⑤

Dhcpserver收到请求后开始回应ack报文，ip地址分配完成⑥

Dhcpclient收到dhcpserver的回应报文，设备自动化开始下载并应用启动配置文件10.边缘资源池管理网时延

通过在网络设备和控制器之间增加损伤仪，执行正常的设备上线流程。当损伤仪数值超过阈值，设备无法正常上线，此时数据为控制器管理网的网络时延阈值。

控制器以Attempt的times乘以Attempt的间隔时间，定义设备异常与否。11.云边统一计算资源服务如图为云边统一计算资源服务系统架构图。统一云边计算资源服务RemoteEdge边缘提供虚机、容器、裸金属计算资源服务，满足业务边缘部署需求。统一中心云平台资源服务入口，保持中心和边缘资源服务操作一致性。资源分区管理通过AZ可用区逻辑区分不同RemoteEdge边缘资源池，用户可按需选择对应可用区部署应用。12.边缘虚机服务

基于Remoteleaf下的边缘虚机服务，延用CloudOS5.0网络overlay，虚机上线arp触发中心云控制器，为边缘Remoteleaf下发EVPN隧道及网络Overlay接入VNI、VSI等，实现边缘虚机边缘内东西向互访、南北向边缘本地直出等。13.边缘容器集群RemoteEdge支持弹性容器集群拉远KaaS能力，兼容裸金属和虚机部署。既满足边缘部署NFV网元对高性能网络需求，及边缘部署IT应用对弹性扩容需求。拉远KaaS由上级云平台统一管理，实现应用、镜像、监控、日志管理能力：中心提供边缘Kubernetes多集群服务入口，提供pv、pvc、storageclass、service、configmap、secret等通用K8s资源服务配置缘KaaSMaster节点支持虚机部署，共享UIS超融合物理节点，减少K8s集群管理资源开销兼容裸金属、虚机worker节点，灵活适用NFV场景性能需求和IT场景弹性需求；支持SR-IoV/DPDK/GPU，满足NFV、视频解析等应用性能需求共享边缘超融合共享存储，提供iSCSI、RBD块存储14.边缘裸金属服务自动上线RemoteEdge裸金属主机服务，基于RemoteLeaf拉远云SDN网络实现边缘裸金属自动上线能力，简化裸金属部署流程。

裸金属上线两张网，IPMI和inspection，选择要部署的裸金属，录入IPMI用户密码，在裸金属载入inspector及ramdisk（系统启动引导文件），获取LLDP；部署的时候，从裸金属拉取缓存镜像，也叫影子虚机，部署完成裸金属后，完成网络上的变更，将租户网络切换到VPC网络。6.5.2EdgeNode技术1.蜂巢HES边缘平台OpenEdge的基础框架设计

OpenEdge是百度开源的边缘计算框架。OpenEdge主要由主程序模块和若干功能模块构成，目前官方提供本地Hub、本地函数计算（和多种函数计算Runtime）、远程通讯模块等。如图平台模块以及相应功能。OpenEdge主程序模块负责所有模块的管理，如启动、退出等，由模块引擎、API、云代理构成。本地Hub模块提供基于MQTT协议的订阅和发布功能，支持TCP、SSL（TCP+SSL）、WS（Websocket）及WSS（Websocket+SSL）四种接入方式、消息路由转发等功能。本地函数计算模块提供基于MQTT消息机制，弹性、高可用、扩展性好、响应快的的计算能力。程通讯模块目前支持MQTT协议，其实质是两个MQTTServer的桥接（Bridge）模块。函数计算Python27runtime模块是本地函数计算模块的具体实例化表现形式。2.