今日頭條
官方微信
官方抖音
資訊頻道摘要:隨著ICT技術(shù)的不斷發(fā)展,云計算向各行業(yè)逐漸滲透,傳統(tǒng)的工控領(lǐng)域也受互聯(lián)網(wǎng)技術(shù)的影響,行業(yè)內(nèi)傳統(tǒng)的系統(tǒng)軟件和系統(tǒng)解決方案正逐漸發(fā)生巨大的變化,但是在OT與IT的融合過程中,由于關(guān)注點、技術(shù)棧、應(yīng)用場景、行業(yè)背景等諸多因素的阻礙,愈來愈流行的云計算技術(shù)在生產(chǎn)側(cè)落地的過程中遇到了諸多的挑戰(zhàn)。本文定位于傳統(tǒng)工控行業(yè),利用云技術(shù)為邊緣平臺設(shè)計基礎(chǔ)的運行環(huán)境,該環(huán)境既能為傳統(tǒng)的工業(yè)服務(wù)(采集、實時、歷史等)提供支撐,也能融合當(dāng)今先進(jìn)的智能技術(shù)(機(jī)器視覺、機(jī)器學(xué)習(xí)、協(xié)同仿真等),具有兼容性、異構(gòu)性、實時性、開發(fā)性、擴(kuò)展性、可靠性、智能性、安全性等特點。
關(guān)鍵詞:云計算;邊緣計算;OT與IT融合
1 引言
邊緣計算是在靠近物或數(shù)據(jù)源頭的網(wǎng)絡(luò)邊緣側(cè),融合網(wǎng)絡(luò)、計算、存儲、應(yīng)用和新能力的分布式開放平臺(架構(gòu)), 就近提供邊緣智能服務(wù),滿足行業(yè)數(shù)字化在敏捷連接、實時業(yè)務(wù)、數(shù)據(jù)優(yōu)化、應(yīng)用智能、安全與隱私保護(hù)等方面的關(guān)鍵需求,它可以作為連接物理和數(shù)字世界的橋梁,使能智能資產(chǎn)、智能網(wǎng)關(guān)、智能系統(tǒng)和智能服務(wù)[1]。
從本質(zhì)上講,邊緣計算是一種分布式的計算架構(gòu),而云技術(shù)能夠為該架構(gòu)的實現(xiàn)提供資源(計算、網(wǎng)絡(luò)、存儲)上的支撐,同時也是云技術(shù)能夠在邊緣側(cè)落地的關(guān)鍵體現(xiàn)。邊緣計算平臺基礎(chǔ)運行環(huán)境是邊緣計算框架中的核心部分,它重點關(guān)注IaaS、PaaS層基礎(chǔ)設(shè)施,為上層的工業(yè)服務(wù)或應(yīng)用提供支撐, 本文將圍繞如何使用現(xiàn)有主流的云計算技術(shù)、框架去實現(xiàn)一套邊緣側(cè)可落地的解決方案。
2 特征
當(dāng)今現(xiàn)代化工業(yè)正逐步朝著工業(yè)4.0時代邁進(jìn),該階段的 一個顯著特征就是數(shù)字化、智能化,以數(shù)字孿生、機(jī)器視覺、大數(shù)據(jù)與深度學(xué)習(xí)為代表的技術(shù)將為未來的工業(yè)發(fā)展提供強(qiáng)大的動力,此外,隨著設(shè)備、系統(tǒng)種類爆炸式的增長以及智能技術(shù)的發(fā)展,傳統(tǒng)工控系統(tǒng)的分層模型將被打破,如圖1所示, 取而代之的將是端到端的協(xié)作模式,這也是未來工業(yè)的終極目標(biāo)——實現(xiàn)產(chǎn)業(yè)鏈各環(huán)節(jié)的互聯(lián)互通。
圖1 傳統(tǒng)工控系統(tǒng)層級模型
未來的工業(yè)軟件系統(tǒng)架構(gòu)必定是松散的、面向服務(wù)的、可動態(tài)擴(kuò)展的、安全可靠的,而云技術(shù)早已在互聯(lián)網(wǎng)領(lǐng)域把這些問題都解決了,OT和IT的融合并非是誰取代誰的問題,IT技術(shù)的定位注定無法取代OT技術(shù), 所以我們更應(yīng)關(guān)注的是如何使用IT技術(shù)(如云計算)更好地為新到來的工業(yè)革命提供服務(wù),我們目前看到就是云計算在框架、計算、隔離等方面所帶來的優(yōu)勢,因此本文重點論述的是如何使用這些技術(shù)去搭建一套工業(yè)使用的邊緣計算的基礎(chǔ)運行環(huán)境,后續(xù)章節(jié)將逐個分析一個完整的邊緣計算平臺的基礎(chǔ)環(huán)境所具備的關(guān)鍵元素, 以及如何使用具體技術(shù)去實現(xiàn)他們。
2.1 虛擬化
虛擬化技術(shù)是云計算的重要基石,它用來提供網(wǎng)絡(luò)、計算、存儲資源的基礎(chǔ)設(shè)施,隱藏硬件細(xì)節(jié)存儲管理,利用虛擬化技術(shù)可對硬件系統(tǒng)進(jìn)行分配,實現(xiàn)資源隔離、安全隔離、資源利用最大化。此外對于底層的虛擬化可對上層透明,實現(xiàn)隔離故障、自動遷移、備份及恢復(fù)、負(fù)載均衡等,目前虛擬化技術(shù)可分為三類:裸機(jī)虛擬化、操作系統(tǒng)虛擬化、容器虛擬化,根據(jù)場景和需求選擇不同技術(shù)。如圖2所示。
圖2 三種虛擬化技術(shù)
針對前兩種虛擬技術(shù),表1列出了目前市面上比較流行的虛擬化產(chǎn)品的特性對比。
大地減少虛擬技術(shù)對軟硬件資源的消耗、提升性能,由于其具有輕量、高效、跨平臺、一次打包多處運行的特性,目前已在微服務(wù)架構(gòu)下廣泛被使用。
2.2 資源管理
資源包括硬件資源和軟件資源,硬件資源包括計算機(jī)、網(wǎng)絡(luò)、存儲等設(shè)備,軟件資源包括為邊緣平臺提供基礎(chǔ)運行設(shè)施的系統(tǒng)、工具及服務(wù),在分布式環(huán)境下, 這些資源需要能夠被集中、高效、統(tǒng)一地管理,所以其職責(zé)包括:
(1)解決對異構(gòu)網(wǎng)絡(luò)、軟件、系統(tǒng)的集成與集中管理問題;
(2)提供基礎(chǔ)運行環(huán)境(網(wǎng)絡(luò)、計算、存儲), 及相關(guān)資源的監(jiān)管;
(3)提供分布式、高可靠、可伸縮、多用戶的集中管理功能;
(4)提供滿足多種需求和場景的中間件&基礎(chǔ)設(shè)施(如數(shù)據(jù)總線);
(5)提供滿足不同層級需求的安全框架;
(6)支持微服務(wù)架構(gòu)、容器技術(shù),提供運維、部署管理(安裝、配置、升級、注冊、跟蹤與監(jiān)視、生命周期管理)功能;
(7)采集和監(jiān)視平臺及服務(wù)的運行狀態(tài)、指標(biāo)數(shù)據(jù),當(dāng)發(fā)生異常時進(jìn)行報警通知;
(8)提供生態(tài)建設(shè)和管理能力;
(9)云集中管理+自治管理。
2.3 存儲
邊緣平臺應(yīng)為自身及運行其中的服務(wù)提供存儲設(shè)施,用于存儲各類結(jié)構(gòu)化和非結(jié)構(gòu)化的數(shù)據(jù),例如實時數(shù)據(jù)、時序數(shù)據(jù)、配置數(shù)據(jù)、文件數(shù)據(jù)、視頻數(shù)據(jù)、容器鏡像等,其包含以下特性和功能:
(1)提供分布式的數(shù)據(jù)存儲;
(2)支持對象化數(shù)據(jù)存儲和訪問;
(3)滿足多數(shù)據(jù)庫架構(gòu),如關(guān)系型數(shù)據(jù)庫、非關(guān)系型數(shù)據(jù)庫;
(4)多元異構(gòu)數(shù)據(jù)管理;
(5)支持分級部署/按需部署;
(6)支持大容量;
(7)支持?jǐn)?shù)據(jù)壓縮;
(8)復(fù)雜數(shù)據(jù)統(tǒng)計分析;
(9)數(shù)據(jù)分區(qū)安全管理;
(10)多樣化數(shù)據(jù)開放;
(11)支撐橫向和縱向擴(kuò)展。
2.4 日志管理
日志系統(tǒng)能夠記錄平臺的運行狀況、外部訪問的痕跡,通過對日志的查詢和分析,能夠監(jiān)管平臺的運行狀態(tài),追溯異常事件和行為,對安全態(tài)勢進(jìn)行感知和預(yù)測。日志管理作為平臺的基礎(chǔ)設(shè)施,對調(diào)用者透明的調(diào)用接口,其應(yīng)提供標(biāo)準(zhǔn)且可擴(kuò)展的日志數(shù)據(jù)格式,滿足大并發(fā)的存儲與查詢,自動按照配置策略執(zhí)行壓縮、加解密、轉(zhuǎn)儲、備份、遷移等操作,且支持分布式存儲與高可用。日志管理還應(yīng)提供各種聚合查詢接口,能夠滿足不同的查詢、分析需求。
2.5 報警管理
針對平臺運行過程中發(fā)現(xiàn)的異常事件,應(yīng)提供基于CEP的報警機(jī)制,可根據(jù)實際需求配置報警策略和發(fā)送策略,值得注意的是,此處所說的報警應(yīng)該與傳統(tǒng)工業(yè)的過程報警做區(qū)分,對工業(yè)報警的管理都是有狀態(tài)的, 如發(fā)生、恢復(fù)、確認(rèn)、消失等,而對邊緣平臺發(fā)生的報警管理僅限于觸發(fā)、記錄和發(fā)送,其目的是反映當(dāng)前平臺的運行狀態(tài),例如資源超限、服務(wù)重啟、非法入侵等,以告知關(guān)注者引起注意。在分布式環(huán)境下,報警管理需要重點關(guān)注并發(fā)性、通用性、擴(kuò)展性和可用性。
2.6 安全管理
工業(yè)控制系統(tǒng)由于其背景,在萬物互聯(lián)的開放環(huán)境下,其所面臨的安全威脅是全世界的共同難題,工業(yè)設(shè)備的高危漏洞、后門、工業(yè)網(wǎng)絡(luò)病毒、高級持續(xù)性威脅以及無線技術(shù)應(yīng)用帶來的風(fēng)險,給工業(yè)控制系統(tǒng)的安全防護(hù)帶來巨大挑戰(zhàn),根據(jù)國家《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求》[2]中的規(guī)定,應(yīng)從以下方面關(guān)注安 全方面的管理:
(1)節(jié)點安全:計算節(jié)點自身的軟硬件安全,包括固件、漏洞的升級,系統(tǒng)備份與遷移,防病毒軟件等;
(2)網(wǎng)絡(luò)安全:提供防火墻、入侵檢測和防護(hù)、流量監(jiān)測、黑白名單、抵御網(wǎng)絡(luò)攻擊等;
(3)數(shù)據(jù)安全:包括數(shù)據(jù)加密、敏感數(shù)據(jù)隔離與銷毀、防篡改、備份與恢復(fù)、傳輸加密等;
(4)應(yīng)用安全:對應(yīng)用進(jìn)行黑白名單管理、應(yīng)用守護(hù)、安全審計、運行隔離等;
(5)安全審計與態(tài)勢感知:提供完備的安全跟蹤與審計系統(tǒng),以及根據(jù)審計數(shù)據(jù)作態(tài)勢預(yù)測;
(6)訪問安全:提供集中式的身份認(rèn)證與授權(quán)管理。
2.7 校時
邊緣計算平臺僅涉及平臺監(jiān)控層,雖沒有硬實時的苛刻要求,但對于常規(guī)監(jiān)管、分析來說仍需要保證一定的軟實時性,而由于平臺由分布式系統(tǒng)構(gòu)成,所以應(yīng)保證系統(tǒng)內(nèi)各計算機(jī)、服務(wù)、組件的時鐘同步,尤其在對歷史數(shù)據(jù)處理方面更為重要,故而基礎(chǔ)運行環(huán)境應(yīng)提供全局范圍內(nèi)的校時機(jī)制,通過設(shè)置校時服務(wù)器保證系統(tǒng)各部分時鐘的統(tǒng)一。
2.8 控制臺
對分布式環(huán)境下資源、服務(wù)的統(tǒng)一管理監(jiān)管是一件頭疼的事,所面臨的計算、服務(wù)分散、種類繁多,而且云技術(shù)各成熟的程序套件大都來自于開源項目,各自都有對應(yīng)的管理、配置工具和監(jiān)管界面,例如涉及容器的環(huán)境,由于其內(nèi)部虛擬網(wǎng)絡(luò)對外不透明,無法通過IP端口直接訪問,這就需要借助容器管理系統(tǒng)(例如K8s) 進(jìn)行統(tǒng)一監(jiān)管,如何將各種管理UI集中在一起統(tǒng)一管理,是控制臺要做的事情,它負(fù)責(zé)提供統(tǒng)一的人機(jī)交互界面,通過后臺調(diào)用把各類服務(wù)集成在一起,且屏蔽專業(yè)的詞匯和概念,使使用者更容易理解和操控。
2.9 安裝與部署
使用手動配置和部署平臺各組件在分布式環(huán)境下是行不通的,邊緣平臺應(yīng)提供支持集中式的遠(yuǎn)程部署工具,可批量安裝、部署系統(tǒng)組件,配置軟件參數(shù)、版本升級與回滾,同時還應(yīng)考慮在不聯(lián)網(wǎng)情況下的離線安裝功能,主要功能包括:
(1)支持一鍵部署;
(2)支持可視化配置;
(3)支持多虛機(jī)批量配置;
(4)支持虛機(jī)配置信息預(yù)覽;
(5)支持虛機(jī)狀態(tài)檢測;
(6)支持部署過程可視化;
(7)同時支持在線/離線部署;
(8)支持平臺模板定義;
(9)支持集群模板定義;
(10)支持服務(wù)模板定義;
(11)支持組件模板定義。
3 實現(xiàn)
3.1 虛擬化
虛擬化技術(shù)也稱Hypervisor,是一種運行在物理服務(wù)器和操作系統(tǒng)之間的中間軟件層,可以訪問服務(wù)器上包括磁盤和內(nèi)存在內(nèi)的所有物理設(shè)備。Hypervisor 協(xié)調(diào)這些硬件資源的訪問,以及各個虛擬機(jī)之間的防護(hù)。服務(wù)器啟動時,它會加載所有虛擬機(jī)客戶端的操作系統(tǒng),同時為虛擬機(jī)分配內(nèi)存、磁盤和網(wǎng)絡(luò)等。
針對傳統(tǒng)數(shù)據(jù)中心的基礎(chǔ)架構(gòu)利用率低、物理基礎(chǔ)架構(gòu)成本日益攀升、IT管理成本不斷提高以及對關(guān)鍵應(yīng)用故障和災(zāi)難保護(hù)不足等問題而設(shè)計和實現(xiàn)。可以將靜態(tài)、復(fù)雜的IT環(huán)境轉(zhuǎn)變?yōu)閯討B(tài)、易于管理的虛擬數(shù)據(jù)中心,從而降低數(shù)據(jù)中心成本和機(jī)房能耗。同時,它可以提供先進(jìn)的管理功能,實現(xiàn)虛擬數(shù)據(jù)中心的集成和自動化,簡化運維,降低管理成本,最終幫助用戶把更多的時間和成本轉(zhuǎn)移到對業(yè)務(wù)的投入上。
針對容器化技術(shù),虛擬化技術(shù)隔離性上高于容器, 對環(huán)境要求較高的各類應(yīng)用,可能會希望獨享虛機(jī),不被其他應(yīng)用使用。
根據(jù)Hypervisor所處層次的不同和Guest OS對硬件資源的不同使用方式,Hypervisor虛擬化被分為兩種類型:Bare-metal虛擬化方式(“裸機(jī)”虛擬化)和Host OS虛擬化方式(基于操作系統(tǒng)的虛擬化,宿主型虛擬化),其中“裸機(jī)”虛擬化性能更高。技術(shù)架構(gòu)如圖3所示。
圖3 Hypervisor技術(shù)架構(gòu)
Bare-metal類型的Hypervisor虛擬化環(huán)境中無須完整的Host OS,直接將Hypervisor部署在裸機(jī)上并將裸機(jī)服務(wù)器的硬件資源虛擬化,也可以將Hypervisor 理解為僅對硬件資源進(jìn)行虛擬和調(diào)度的薄操作系統(tǒng),其并不提供常規(guī)Host OS的功能。
Host OS類型將Hypervisor虛擬化層安裝在傳統(tǒng)的操作系統(tǒng)中,虛擬化軟件以應(yīng)用程序進(jìn)程形式運行在Windows和Linux等主機(jī)操作系統(tǒng)中。
考慮到平臺對資源和性能方面的要求,優(yōu)先考慮使用“裸機(jī)”虛擬化方式,可選的國內(nèi)廠家例如浪潮、華為等。
3.2 資源管理
由于虛擬機(jī)廠家提供了專業(yè)的虛擬化資源管理工具,本部分不做描述,而是重點關(guān)注針對容器化資源的管理,使用容器化管理技術(shù),提供集中、高可靠的輕量容器運行環(huán)境。
目前可選擇K3s容器技術(shù)作為邊緣計算平臺容器集群管理架構(gòu)及應(yīng)用容器運維支撐,主要原因如下:
(1)保障高可用
高可用包括K3s管理節(jié)點的高可用和應(yīng)用容器的高可用。K3s通過部署兩個Server節(jié)點,保障其集群管理節(jié)點的高可用;通過在K3s集群中部署應(yīng)用容器冗余副本,保障應(yīng)用的高可用。
(2)運行時所需資源輕量化
邊緣計算平臺提供的系統(tǒng)資源(CPU和內(nèi)存)有限,要求除應(yīng)用之外其他支撐服務(wù)組件不能過多占用系統(tǒng)資源。K3s以單進(jìn)程形式運行,其所需資源較低,具體為:K3s-Server需要CPU約160M,內(nèi)存約500M; K3s-Agent需要CPU約80M,內(nèi)存約100M。與其他容器管理技術(shù)(Swarm和K8s)運行時需要2G以上相比,所需資源降低很多。
(3)孤網(wǎng)獨立部署和運行
邊緣計算平臺需具備獨立運行的能力,K3s本身支持邊緣端部署,而不依賴云上或中心云集群。
(4)容器編排和調(diào)度
K3s是CNCF官方認(rèn)證K8s裁剪的發(fā)行版,K8s被業(yè)界視為容器調(diào)度和編排的標(biāo)準(zhǔn)。由于K3s完全兼容K8s 功能特性,其支持應(yīng)用容器調(diào)度到特定工作節(jié)點,同時滿足應(yīng)用容器的啟停、滾動升級和應(yīng)用間通過服務(wù)發(fā)現(xiàn)進(jìn)行訪問。
(5)應(yīng)用容器監(jiān)控
對應(yīng)用容器的監(jiān)控包括資源和運行狀態(tài)的監(jiān)控。K3s通過內(nèi)置監(jiān)控組件,能夠?qū)崟r采集應(yīng)用容器資源指標(biāo)和運行狀態(tài)信息,并提供資源查詢操作界面,滿足對應(yīng)用容器的監(jiān)控。
K3s架構(gòu)如圖4所示。
圖4 基于K3s的容器管理環(huán)境
K3s分Server和Agent兩部分,Server就是K3s 管理平面,負(fù)責(zé)管理Agent節(jié)點和應(yīng)用容器的調(diào)度; Agent是K3s的數(shù)據(jù)平面,是應(yīng)用容器的工作節(jié)點。需要一個MySQL數(shù)據(jù)庫作為K3s元數(shù)據(jù)存儲庫;Tunnel Proxy負(fù)責(zé)Server和Agent通信。Containerd是輕量化的容器運行時,支撐K3s集群的底層容器運行時。
K3s由Rancher Lab主導(dǎo)開發(fā)并開源,其社區(qū)活躍度很高,目前在GitHub上已經(jīng)擁有超過12.4k顆 Stars,已發(fā)布149個版本。
3.3 存儲
邊緣計算平臺涉及的存儲場景包括配置數(shù)據(jù)存儲、時序數(shù)據(jù)存儲、鏡像庫、關(guān)系庫,以下針對不同種類的數(shù)據(jù)存儲要求描述對應(yīng)的解決方案。
對于配置數(shù)據(jù)和時序數(shù)據(jù),選擇GlusterFS作為邊緣計算平臺容器卷存儲,主要原因如下:
(1)無中心架構(gòu)
沒有專用元數(shù)據(jù)存儲服務(wù)器,不存在元數(shù)據(jù)服務(wù)器瓶頸。
(2)滿足高可用
支持集群化部署,存儲模式可設(shè)置多副本冗余,解決單點故障問題。圖5是GlusterFS高可用部署架構(gòu)。
圖5 GlusterFS架構(gòu)圖
(3)輕量化
運行時所需要的資源比較小,內(nèi)存約50M左右。
(4)高性能
提供的數(shù)據(jù)卷支持TB級容量、GB級吞吐量。GlusterFS為開源業(yè)界中主流分布式文件系統(tǒng),
具有很強(qiáng)的橫向擴(kuò)展能力,支持TB級存儲,能更好地為容器提供持久化存儲服務(wù)。GlusterFS在GitHub有2,500顆Stars,已經(jīng)發(fā)布了544個版本。
對于容器的鏡像庫,選擇Harbor作為邊緣計算平臺Docker鏡像存儲與分發(fā)服務(wù),原因如下:
(1)友好Web界面
自帶Web管理界面,支持登錄、搜索鏡像,創(chuàng)建公有和私有鏡像倉庫。
(2)高可用部署
支持高可用集群方式部署,部署架構(gòu)如圖6所示。
圖6 Harbor部署架構(gòu)圖
(3) 輕 量 化
Harbor運行時所需資源較少,需要內(nèi)存約200M。
(4)RBAC安全機(jī)制
基于RBAC權(quán)限控制,可將人員、角色分配不同的 權(quán)限,具有更好的安全性。
Harbor屬于企業(yè)級開源的成熟Docker鏡像庫管理軟件,在Docker Registry基礎(chǔ)上增加了安全訪問控制和管理等功能以滿足企業(yè)需求。Harbor在GitHub有11,500顆Stars,已經(jīng)發(fā)布了103個版本。
針對于關(guān)系庫,可使用的軟件產(chǎn)品較多,推薦以主流的開源數(shù)據(jù)庫為主例,如MySQL、MariaDB等,可支持單節(jié)點方式和集群方式,利用其日志機(jī)制,可實現(xiàn)備數(shù)據(jù)備份、同步與故障恢復(fù)的功能。
3.4 日志管理
邊緣計算平臺自身產(chǎn)生的運行日志和事件日志可采用關(guān)系庫MariaDB存儲,而調(diào)試日志以容器存儲卷掛載的方式保存到GLusterFS中。平臺后端提供日志查詢的API,并提供對應(yīng)用調(diào)試日志的預(yù)覽和下載API, 以供平臺控制臺前端展示調(diào)用。應(yīng)用調(diào)試日志也可以通過日志采集組件進(jìn)行采集,要求應(yīng)用調(diào)試日志是標(biāo)準(zhǔn)的日志格式,把采集的日志以Json文件格式保存到GlusterFS中,供日志分析使用。日志管理架構(gòu)如圖7 所示。
圖7 日志管理架構(gòu)圖
3.5 報警管理
報警管理用于對平臺運行過程中監(jiān)測到的異常事件進(jìn)行預(yù)警,主要分為監(jiān)測指標(biāo)的采集和報警規(guī)則的配置,對于容器運行環(huán)境,容器(服務(wù)容器和應(yīng)用容器)性能指標(biāo)(CPU、內(nèi)存和網(wǎng)絡(luò)I/O)通過指標(biāo)采集器Metric-Server聚合后,由Prometheus從Metric- Server中拉取這些指標(biāo)數(shù)據(jù)存儲到Prometheus中。邊 緣平臺后端封裝Prometheus原生的API后,給控制臺 前端提供查詢展示。邊緣平臺控制臺中可以設(shè)置應(yīng)用容器的性能指標(biāo)報警觸發(fā)規(guī)則,報警由AlertManager觸發(fā),并把報警信息保存到關(guān)系庫MariaDB中,平臺提供對報警歷史信息的展示。如圖8所示。
圖8 報警管理架構(gòu)圖
3.6 安全管理
安全管理包含對通信、數(shù)據(jù)、權(quán)限等方面的管理, 本節(jié)重點描述對權(quán)限相關(guān)管理的實現(xiàn),采用UAA實現(xiàn)鑒權(quán)服務(wù),UAA基于RBAC96標(biāo)準(zhǔn)(RBAC,Role-Based Access Control,基于角色的訪問控制)設(shè)計開發(fā),并擴(kuò)展了分組以及功能資源和數(shù)據(jù)許可的概念,支持公認(rèn)的安全原則:最小特權(quán)原則、責(zé)任分離原則和數(shù)據(jù)抽象原則。
(1)最小特權(quán)原則:系統(tǒng)中可以限制分配給角色權(quán)限的多少和大小;
(2)責(zé)任分離原則:系統(tǒng)可以在完成敏感任務(wù)過程中分配兩個責(zé)任上互相約束的兩個角色;
(3)數(shù)據(jù)抽象:系統(tǒng)抽象出了抽象許可權(quán)這樣的概念來實現(xiàn)數(shù)據(jù)權(quán)限的控制。
權(quán)限系統(tǒng)作為邊緣平臺用戶中心及授權(quán)中心,為邊緣平臺提供認(rèn)證、授權(quán),以及鑒權(quán)服務(wù)。以下列出了權(quán)限管理的建設(shè)目標(biāo):
(1)提供一套用戶、角色、權(quán)限管理系統(tǒng),為邊緣平臺提供認(rèn)證與鑒權(quán)服務(wù);
(2)支持中心云平臺和邊緣平臺的用戶權(quán)限數(shù)據(jù)同步。
3.7 校時
平臺提供校時服務(wù),以本區(qū)域內(nèi)的時鐘源為準(zhǔn),對本區(qū)域內(nèi)的虛擬機(jī)及運行在虛擬機(jī)中的容器進(jìn)行時間校準(zhǔn)。若本區(qū)域內(nèi)的時鐘源存在多個,則校時服務(wù)以其中一個為主校時,當(dāng)主校時服務(wù)不可用時,以另一個為準(zhǔn)進(jìn)行校時,主校時服務(wù)器如果可外接時鐘源(如GPS校時),則使系統(tǒng)全局時鐘更精準(zhǔn)。
平臺內(nèi)部各主機(jī),采用NTP方式進(jìn)行同步,無需校時接口,NTP同步方式較精準(zhǔn),局域網(wǎng)延遲小于1ms 時,校時精度小于0.5ms。
NTP協(xié)議主流有兩種實現(xiàn):ntpd和chronyd。兩者配置有差異,在Ubuntu 16.04及以上版本和CentOS 7及以上版本的Linux發(fā)行版中使用chronyd,在其他發(fā)行版或較低版本的Linux中使用ntpd。
3.8 控制臺
本地控制臺是邊緣平臺的UI交互界面,匯聚多個服務(wù)的UI交互。主要職責(zé)為:權(quán)限管理、應(yīng)用管理、節(jié)點管理、容器管理、存儲卷管理、日志管理、鏡像管理、配置管理、運行監(jiān)控等。
以下列出了本地控制臺的具體建設(shè)目標(biāo):
(1)提供一套UI界面,用于邊緣平臺的UI交互;
(2)支持邊緣平臺用戶權(quán)限數(shù)據(jù)的查詢;
(3)支持邊緣平臺對容器運行環(huán)境的管理,包括:節(jié)點、容器等;
(4)支持邊緣平臺對應(yīng)用的管理,如:應(yīng)用的部署、啟動、停止等;
(5)支持邊緣平臺對容器運行環(huán)境、服務(wù)、應(yīng)用、虛擬機(jī)的監(jiān)控,如資源使用情況;
(6)邊緣計算平臺監(jiān)控部分包括IaaS、PaaS資源的監(jiān)控,一期先做基于容器資源監(jiān)控與管理。
圖9 控制臺架構(gòu)圖
3.9 安裝與部署
平臺提供在線、離線部署方式,通過部署軟件包和部署策略實現(xiàn)集中的安裝與部署工作,具體部署步驟如下:
(1)上傳部署文件
通過FTP工具或其他方式把部署文件傳輸?shù)椒?wù)器(物理機(jī)或虛機(jī))上。
(2) 啟動工具UI服務(wù)
(3)在界面上執(zhí)行部署
在界面上選擇安裝組件,填寫對應(yīng)的服務(wù)器信息。
(4)監(jiān)控部署過程
在控制臺上監(jiān)控部署的過程,若出現(xiàn)部署異常,部署命令會停止部署,核實原因后,重新部署。在重新部署過程中,若已經(jīng)部署服務(wù),則會跳過該服務(wù)的安裝部署。
(5)部署完成
在部署結(jié)束后,會列出所部署的主機(jī)列表。如圖10所示。
圖10 安裝與部署軟件UI
4 結(jié)論
本文提出的工業(yè)領(lǐng)域邊緣計算平臺的基礎(chǔ)運行環(huán)境,包含和概括了所有邊緣計算平臺都具備的本質(zhì)特征, 它能夠使云技術(shù)和傳統(tǒng)的工控技術(shù)相融合,對后續(xù)邊緣計算產(chǎn)品的設(shè)計和研發(fā)具備一定的指導(dǎo)作用,且在筆者的實際工作過程中已經(jīng)將此框架成功地進(jìn)行實踐與應(yīng)用。
作者簡介:
謝 峰(1982-),男,河南人,中級工程師,碩士,現(xiàn)任北京和利時智能技術(shù)有限公司、寧波和利時智能科技有限公司系統(tǒng)設(shè)計師,主要研究方向為工業(yè)自動化軟件。
王松林(1983-),男,山東人,中級工程師,碩士, 現(xiàn)任北京和利時智能技術(shù)有限公司、寧波和利時智能科技有限公司資深軟件工程師,主要研究方向為工業(yè)自動化軟件。
參考文獻(xiàn):
[1] 邊緣計算產(chǎn)業(yè)聯(lián)盟, 工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)聯(lián)盟. 邊緣計算參考架構(gòu)3.0[Z]. 2018.
[2] GB/T 22239 - 2019, 信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求[S].
摘自《自動化博覽》2021年2月刊
北京市公安局海淀分局備案號:11010802023656號