中 国 开 源 云 联 盟 标 准

1 范围

本标准规定了边缘云计算系统的通用技术要求。
本标准适用于指导边缘云计算系统的设计、开发、测评和部署。

2 规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 32399-2015 信息技术 云计算 参考架构
GB/T 32400-2015 信息技术 云计算 概览与词汇

3 术语

GB/T 32399-2015与GB/T 32400-2015中所有术语适用于本文件。

3.1 云平台 cloud platform

由云服务商提供的云基础设施及其之上的服务软件集合。

3.2 中心云 central cloud

构建于传统数据中心的云,与边缘云计算相对。

3.3 边缘云计算 edge cloud computing

简称边缘云,构筑在边缘基础设施之上的云计算模式,并能够支持与中心云计算协作,在靠近事物、数据源头的网络边缘侧,提供可弹性扩展的云服务能力,具有低延时、大带宽、多连接等服务特点。

3.4 边缘基础设施 edge cloud infrastructure

网络边缘侧部署边缘云的基础设施,包括但不限于:分布式IDC、运营商通信网络边缘基础设施、边缘侧客户节点(如边缘网关、家庭网关等)等边缘设备及对应的网络环境。

3.5 边缘云节点 edge cloud node

基于边缘云基础设施,部署了边缘云计算平台,具有进行计算、存储、网络、加速等数据处理能力的节点资源。

3.6 迁移 move

将业务或资源从此处转移到彼处,包括但不限于业务中断情况下的冷迁移、实时热备迁移等。

4 缩略语

4G/5G 第四代/第五代移动通信系统(the 4th/5th generation mobile networks)
AI 人工智能(Artificial Intelligence)
API 应用程序接口(Application Programming Interface)
AR 增强现实(Augmented Reality)
CDN 内容分发网络(Content Delivery Network)
CPU 中央处理器(Central Processing Unit)
FPGA 现场可编程门阵列 (Field-Programmable Gate Array)
GPU 图形处理器(Graphics Processing Unit)
IaaS 基础设施即服务(Infrastructure as a Service)
IDC 互联网数据中心(Internet Data Center)
IoT 物联网(Internet of Things)
MEC 多接入边缘计算(Multi-access Edge Computing)
VR 虚拟现实(Virtual Reality)

5 功能架构

边缘云计算的技术架构如图1所示:
image.png
边缘云计算与传统云计算在架构、接口、管理等关键能力上实现统一,并整合边缘设备,将云计算的能力延伸到边缘。
边缘云与中心云的关系包括:
a) 边缘云主要负责本地的、实时的数据处理任务;
b) 中心云主要负责非实时、大量数据的处理。
中心云可通过统一管控模块与多个边缘云实现协同工作,具体包括:
a) 统一调度:边缘云可以运行部署在分布式 IDC、多接入 MEC 节点、一体机、边缘网关等边缘基础设施之上,并对不同架构、不同能力的异构资源进行统一抽象和管理。中心云可根据需求,对边缘云计算节点的存储、计算、网络等基础设施资源进行统一的调度,依据边缘业务的要求选择最适当的资源为其服务。边缘云可根据业务需要,向中心云提出资源限制变更的申请;
b) 统一编排管理:实现统一的资源编排和业务编排。并能够对各个边缘云的应用的生命周期进行统一管理,包括服务启停、健康状态监测、网络状况监测等,并能够在故障或者其他需要的情况下实现边缘云节点内部以及边缘云节点之间的应用实例迁移;
c) 统一部署:中心云和边缘云协调部署各类服务并进行统一的管理。支持远程部署各类边缘云的服务;
d) 统一运维:边缘云能够进行远程的运维管理,相关操作可以在中心云进行;
e) 边缘云安全能力:可将中心云的安全能力下沉到边缘云节点,实现包括边缘云基础设施安全、边缘云平台安全以及运行在边缘云上的应用安全、数据安全等能力。

6 基础设施

边缘云基础设施与传统的云数据中心或者自建机房不同,边缘云架构下存在大量能力不同的异构节点,支持的种类包括但不限于:
a) 应支持分布式 IDC 节点:边缘节点数量多、规模小、位置分散,通常拥有数台或者更多边缘服务器,能远程对物理资源进行运维和管理;
b) 宜支持 MEC 类节点:由运营商提供的处于网络边缘的 MEC 节点,在提供自身电信网元各项服务以外,还能够提供计算、存储、网络等服务能力;
c) 宜支持超融合/一体机节点:该类节点的单点计算能力有限,且网络状况、存储形式随部署位置不同而变化;
d) 可支持边缘网关等设备节点:该节点物理架构与算力与通用服务器有较大差距,能力相对较弱;
e) 应支持多种计算加速设备,如 GPU、FPGA、AI 专用芯片等专有硬件,该类节点能够为部分特定类型的边缘云服务提供更加合适的能力;
f) 应支持多种网络接入方式;
g) 应支持自动发现新节点,批量配置节点能力;
h) 宜支持 IPv6;
i) 宜支持多种架构类型的硬件设备和服务器;
j) 宜支持边缘特性设计的服务器,在面积受限情况下支持小尺寸机架,部分条件下可满足地面、桌面、挂墙部署;
k) 可支持多样化的硬件设备形态,如普通机架服务器、一体化机柜、微模块、集装箱等,满足不同应用场景的温度、防尘、抗震等需求。

7 基础设施服务能力

边缘云基于异构的边缘云基础设施提供丰富的基础设施服务(IaaS),包括但不限于:
a) 应提供统一抽象的资源库存管理以及基础设施服务(IaaS),包括计算、存储、网络等服务,各类资源可以统一调度;
b) 应支持进行统一的远程自动化部署能力;
c) 应支持远程运维管理,同时应支持一定的自主运维能力,包括不限于监控、告警、日志等;
d) 应具备高可用能力,在故障时具备自动恢复能力;
e) 宜提供轻量化的虚拟化的技术,如虚拟化、容器等,可采用简化管理模块部署、裁剪操作系统等方式降低降低边缘云节点的资源损耗;
f) 宜支持容器化部署及构建容器资源池的能力;
g) 可支持构建裸金属资源池的能力。

8 平台能力

基于边缘云基础设施服务,边缘云能够提供平台服务,其不仅是传统云计算中平台服务在边缘侧的下沉,更需要对各类平台服务根据边缘云的特点进行精简和优化。同时,各种平台服务需要与中心云的各项平台服务进行统一部署,协同工作,能够支持边缘云节点的资源和业务的集中编排,并且可以与中心云的资源和业务进行混合编排。包括以下各类边缘云平台服务能力:
a) 提供通用的平台能力,包括:
1) 应提供容器服务,支持边缘容器服务和编排等;
2) 应提供协同能力,包括边缘云与中心云的协同部署以及业务和资源的混合编排等;
3) 可支持微服务能力,支持微服务架构应用;
4) 可支持服务网格能力,支持各类云应用的规模化;
5) 可支持人工智能能力,支持基于云端训练、边缘推理的协同模式,支持视频分析、文字识别、图像识别、语音识别等多种边缘 AI 能力;
6) 可支持敏捷交付能力,提供各类云应用及各类平台服务的工程化交付能力,包括持续集成、自动发布,编排流水线等开发运维一体化能力;
7) 可支持函数计算,支持边缘侧函数的生命周期管理;
8) 可支持大数据服务;
9) 可支持数据库服务;
10) 可支持视频解码能力;
11) 可支持视频渲染能力;
12) 可支持分布式消息服务。
b) 专用边缘平台可针对特定行业提供服务,包括但不限于?:
1) 电信网元服务:在与诸如 MEC 等电信边缘网络进行混合布置时,能够具备相应的电信网元服务,同时可提供基于电信特点的服务,包括无线能力开放、位置能力开放等;
2) IoT 平台服务:提供各类 IoT 终端的接入及管理等能力;
3) 工业平台服务:提供工业相关的各类平台能力。

9 应用服务能力

边缘云提供针对边缘场景的应用服务能力,其能力要求具备:
a) 应用程序管理:
1) 应支持应用服务统一管理和部署;
2) 应支持应用服务的远程升级;
3) 支持远程全生命周期管理。
b) 应用程序开发:应支持应用在边缘云的开发、调试、测试以及开发过程的相关管理能力;
c) 宜支持边缘侧函数、容器等应用的生命周期管理,并支持云侧对应用进行管理和升级;
d) 可支持应用在不同的边缘云之间进行切换/迁移以保持业务连续性;
e) 可支持按需提供各类通用型应用,比如:图像处理应用、内容分发应用、AR/VR 应用、人脸识别应用等;
f) 可支持按需提供特定行业应用,比如:智慧城市应用、车联网应用、智能制造应用等。

10 统一管控要求

10.1 总体要求

边缘云统一管控模块对各个边缘云实现统一的管控,包括:
a) 具备统一资源调度功能:为边缘服务分配适当的边缘云计算资源提供服务;
b) 具备边缘云统一部署及管理功能:
1) 镜像管理和分发功能:为边缘云应用提供适当的镜像管理能力;
2) 应用实例管理:根据业务需要提供可定义、可调度的计算分发及实例管理能力,包括应用实例的升级、迁移、关停、重启和释放等,并通过 API 对外提供上述服务。
c) 统一的资源编排:支持边缘云节点的资源和业务的统一编排,可以与中心云的资源和业务进行混合编排;
d) 统一运维管理功能:对各边缘云进行远程运维管理;
e) 边缘云节点具备一定的自治功能:如当边缘云节点被网络隔离或与中心云的连接中断时,边缘云上进行中的实例和应用能够继续工作,节点重启也可恢复服务,具备从中心云同步到边缘节点具有统一的计算和运行框架;
f) 可通过中心云进行自动化远程管理,支持通过中心云对边缘云远程自动化操作,支持从网络故障中恢复。

10.2 统一资源调度

资源调度模块负责依据服务需求信息,调度各边缘云节点资源,包括:
a) 应具备边缘云的资源调度能力:
1) 应具备根据服务需求信息(如算力、网络、存储需求等)和各边缘云节点资源情况(如节点地理位置、网络状况、资源情况、计算能力等)等确定适合的边缘云节点,并将调度信息通知被调度的目标边缘云节点的能力;
2) 边缘云节点应能够根据资源调度信息,分配或预留相应的资源,包括但不限于存储资源、计算资源、网络资源等;
3) 边缘云节点可根据业务情况,向中心云汇报与申请预留资源的变更,包括但不限于存储资源、计算资源、网络资源等。
b) 应具备边缘云节点的资源释放能力,包括:
1) 在边缘云计算服务结束后,或者根据资源释放申请,可发送资源释放通知给边缘云节点;
2) 边缘云节点接收所述资源释放通知,根据所述资源释放通知,对边缘云节点中相应资源设备进行资源释放。
c) 应具备边缘云的库存/容量管理能力:根据异构节点资源的库存量和能力,能够依据节点能力对资源库存进行管理。

10.3 统一资源编排

资源编排模块是帮助业务用户简化边缘云计算资源管理和自动化运维。资源编排是通过资源栈这种逻辑集合来统一管理一组边缘云资源(一个资源栈即为一组边缘云资源),对于边缘云资源的创建、删除、克隆等操作。同时,可以实现克隆开发、测试、线上环境。同时,也可以更容易实现应用的整体迁移和扩容。资源编排功能需要支持:
a) 应具备模板管理能力:创建描述业务所需的所有边缘云资源(如虚拟化实例、数据库实例等)的模板,模板中需定义所需的边缘云计算资源、资源间的依赖关系、资源配置等;
b) 应具备创建和配置模板的能力:根据模板创建和配置边缘云资源,通过编排引擎自动完成所有资源的创建和配置,以达到自动化部署和运维的目的;
c) 资源编排服务应能感知各个边缘计算节点的计算、存储、硬件加速设备、网络、平台服务等情况;
d) 宜提供遵循资源编排定义的模板规范,以编写资源栈模板;
e) 宜具备扩展能力以实现对边缘云各类场景和业务的额外支持;
f) 宜具备拓扑管理能力:提供统一的网络拓扑结构和状态信息,能够在拓扑图上直观的表现整个网络的拓扑结构、网元生命周期状态及相应的虚拟资源状态、各类服务调用状态等。

10.4 统一部署管理

10.4.1 镜像管理

具备统一的构建边缘云使用的镜像及其管理能力,并将应用镜像分发到匹配的边缘云节点,各类镜像能够实现统一部署和分发。上述镜像包括虚拟机和容器服务的实例所对应的镜像,以及边缘云各类应用程序及对应所需的库文件等。具体能力要求包括:
a) 应具备镜像库管理能力
1) 应支持由中心云提供基础/公共镜像管理能力;
2) 应支持提供自定义镜像管理能力,支持存储边缘云计算服务需求方上传的镜像,中心云能够对边缘云计算服务需求方提交的镜像进行合法性校验;
3) 应支持镜像的生命周期管理,包括新建、升级、删除等;
4) 宜支持镜像的查询、搜索;
5) 宜提供镜像的使用权限控制能力;
6) 可支持边缘云节点之间的镜像共享。
b) 应具备镜像分发管理
1) 应支持中心云从镜像库中获取边缘云计算服务所需的镜像,并将所述镜像提供给对应的边缘云节点;
2) 应支持边缘云接收中心云提供的镜像,并按照要求存储、安装镜像;
3) 应支持镜像分发异常管理,能够对镜像分发可能面临的安全、传输速度、网络错误等各类异常提供容错能力;
4) 宜支持对镜像分发过程中的各种中间状态进行处置,并对镜像生命周期进行完整管理。
c) 应支持构建和部署边缘节点系统和业务的模板;
d) 应提供上载镜像文件的功能。
注:边缘云服务需求方可以是用户,也可以是应用、物理机或需要某一服务的另一服务等。

10.4.2 实例管理

能够根据业务需要提供可定义、可调度的实例管控能力,实现实例生命周期管理,包括实例的升级、迁移、关停、重启和释放等。
a) 应具备实例升级的能力,对实例进行升级可以分别由统一管控模块和服务需求方发起:
1) 由中心云发起:中心云监控各实例对应镜像的版本信息,可根据需要对与该新版本的镜像对应的实例进行升级;
2) 由服务需求方发起:根据业务需求需要对实例进行升级时,边缘云服务需求方可以向中心云发送升级要求;
b) 应具备实例迁移能力,即实例在边缘云节点内部迁移、边缘云节点之间迁移:
1) 支持在满足特定条件触发下(如整个边缘云故障或不可用、业务需要等情况下)支持将该边缘云节点中的实例迁移到其它边缘云节点中;
2) 支持在满足特定条件触发下(如在承载某个实例的物理设备出现故障或宕机等的情况下),支持将该物理设备上的实例迁移接单到当前边缘云节点中其它物理设备上。
c) 宜具备实例关停能力:支持将边缘云中的相关实例进行关停操作,但相关数据予以保留;
d) 应具备实例重启能力:支持将关停的实例进行重启操作;
e) 应具备实例释放能力:支持将边缘云相关实例进行释放,同时相关数据也会予以删除。

10.5 统一运维

能够实现对各个边缘云节点进行远程的运维和管理,包括对边缘节点的基础设施(交换机、物理机等)进行管控和运维、虚拟化能力的监控、应用实例(或算力)的生命周期管理、监控报警、日志收集和上报等,以及中心到边缘节点的集中管控通道的安全、高可用等。
a) 运维能力
1) 边缘运维单元:用于对当前边缘云节点中的实例的状态、资源用量、基础设施状态等进行监控,并将监控信息上报给所述统一管控设备;其中,实例的状态监控,包括实例的运行状态、CPU、内存等资源使用情况,存储 IO、网络 IO 等指标情况;基础设施的状态监控,包括边缘云节点内部的基础网络、网络设备、物理机等的状态和使用情况的信息;
2) 统一运维单元:用于接收各个边缘云节点运维单元上报的监控信息,根据监控信息对各个边缘云节点进行远程运维及日志管理。
b) 网络质量监控,边缘云计算的管控基于运营商基础网络和互联网,需要对全网链路的质量进行监控,包括集中管控通道的中心到边缘间的网络链路的质量监控,以及边缘云节点之间的链路质量监控;
c) 应支持边缘云故障上报。

11 接口要求

11.1 总体要求

边缘云计算参考架构中涉及的主要接口如图2所示,包括:
a) 中心云与各边缘云节点之间的南北向接口;
b) 边缘云节点之间的东西向接口;
c) 边缘云节点与终端的南向接口。
image.png
边缘云应提供API以简化客户端连接到多种服务的复杂性,具体要求如下:
a) 提供面向各层的 API,如提供容器和虚拟机的生命周期管理功能;
b) 可以多种微服务进行身份验证和授权;
c) 服务使用者可通过 API 网关发现该边缘云节点可用的服务;
d) 应支持服务生产者和服务使用者之间的细粒度访问控制和安全通信。

11.2 中心云和边缘云间接口

中心云和边缘云之间有数据接口和控制接口连接。数据接口用于提供中心云和各个边缘云安全可靠的数据交换。控制接口用于提供中心云和各个边缘云之间管控和协调的能力。
管控模块在逻辑上由统一管控模块和边缘管控模块构成,二者通过南北向的控制接口连接。统一管控模块负责对各个边缘云进行相关控制。边缘云管控模块负责对当前边缘云节点进行管控。具体接口包括:
a) 资源调度接口:对各个边缘云节点的各类资源进行调度、释放和可用情况查询管控;
b) 资源编排接口:对各个边缘云的资源以及服务进行编排;
c) 镜像及实例管控接口:对边缘云节点中的镜像和实例进行全生命周期的管理;
d) 运维管理接口:各个边缘云的运维信息传递,包括但不限于对边缘云节点、各节点物理设施、用户实例等运行状况进行查询,针对接口调用身份能够返回节点、基础设施、用户实例的包括地理位置、资源使用情况、所属类别等详细信息。

11.3 边缘云节点间接口

边缘云节点之间可存在数据接口以实现安全可靠的信息交互。

11.4 边缘云节点与终端间接口

边缘云节点与接入终端之间可存在以下接口:
a) 数据接口:用于提供接入终端和边缘云安全可靠的数据交换;
b) 控制接口:用于提供接入终端和边缘云之间管控、协调的能力。

12 安全要求

12.1 总体要求

边缘云安全能力覆盖边缘计算架构的各个层级,包括边缘云基础设施安全、运行在边缘云上的应用安全、数据安全、边缘云平台安全等。

12.2 基础设施安全

基础设施安全要求包括:
a) 应支持防火墙、入侵检测和防护等;
b) 应提供边缘云节点与终端、边缘云节点之间、以及边缘云节点与中心云之间的安全数据与管控通道;
c) 宜提供包括网络流量检测、调度、清洗等能力;
d) 宜具备安全加固能力;
e) 宜具备安全手段应对边缘云虚拟化组件交互开放化、虚拟资源竞争、安全边界模糊等带来的风险。

12.3 应用安全

应用安全要求包括:
a) 应支持白名单;
b) 宜支持应用安全审计。

12.4 数据安全

数据安全要求包括:
a) 应支持数据加密,包括数据传输加密、数据存储加密;
b) 应支持数据防篡改。

12.5 平台安全

平台安全要求包括:
a) 应具备统一的身份认证与管理,解决边缘云未来大规模用户访问、设备接入时的权限及认证管理问题;
b) 宜具备通过各种安全技术手段(如白名单、接入控制等)管控边缘云系统和应用程序代码的能力,确保在非物理接触的边缘云节点上安全地运行授权的代码;
c) 宜具备多租户场景下边缘云上不同实例之间的安全隔离能力;
d) 宜支持对设备、边缘应用进行身份认证和权限管理;
e) 宜支持中心云与边缘云的密钥同步;
f) 宜支持可信引导、可信密钥存储和加密通信;对于边缘云上具有来自不同方的应用,提供安全隔离。