網(wǎng)絡(luò)邊緣云的部署方案研究

［盧紹朋 付艷］

1 概述

運(yùn)營(yíng)商在Edge-Cloud 產(chǎn)業(yè)生態(tài)圈中扮演關(guān)鍵角色，運(yùn)營(yíng)商將以5G 云化演進(jìn)為基礎(chǔ)，以商業(yè)轉(zhuǎn)型為目標(biāo)，布局重點(diǎn)業(yè)務(wù)場(chǎng)景，拓展產(chǎn)業(yè)生態(tài)合作廣度及深度，致力于做大Edge-Cloud 產(chǎn)業(yè)生態(tài)，全面推動(dòng)運(yùn)營(yíng)商數(shù)字化轉(zhuǎn)型。

2021 年Edge-Cloud 市場(chǎng)空間將超過80B 美元（根據(jù)Research and Markets 提供的研究報(bào)告），在整個(gè)Edge-Cloud 產(chǎn)業(yè)鏈中，管道連接價(jià)值占比僅為10%～15%，應(yīng)用服務(wù)占比45%～65%，運(yùn)營(yíng)商在加強(qiáng)管道能力的基礎(chǔ)之上，進(jìn)一步拓展邊緣業(yè)務(wù)平臺(tái)能力，提供業(yè)務(wù)支撐及商業(yè)孵化。接入邊緣計(jì)算（MEC）提供了一個(gè)新的生態(tài)和價(jià)值鏈。MEC 使能電信運(yùn)營(yíng)商可以在網(wǎng)絡(luò)邊緣分流業(yè)務(wù)；向第三方應(yīng)用及服務(wù)開放邊緣網(wǎng)絡(luò)能力。

隨著內(nèi)容與計(jì)算能力的下沉，運(yùn)營(yíng)商不僅需要提升管道和連接能力，且需要與設(shè)備商、內(nèi)容提供商、OTT、軟件開發(fā)商等密切合作，打破豎井模式，提供端到端應(yīng)用解決方案，增強(qiáng)用戶粘性，促進(jìn)整個(gè)產(chǎn)業(yè)鏈發(fā)展。

2 邊緣計(jì)算與邊緣云特點(diǎn)

2.1 邊緣計(jì)算特點(diǎn)

多接入邊緣計(jì)算（Multi-Acess Edge Computing，MEC）從初期概念到現(xiàn)階段的進(jìn)階協(xié)同，邊緣計(jì)算關(guān)鍵技術(shù)正在逐步完善。對(duì)于邊緣計(jì)算，不同組織給出了不同的定義。邊緣計(jì)算產(chǎn)業(yè)聯(lián)盟把邊緣計(jì)算定義為：“邊緣計(jì)算是在靠近物或數(shù)據(jù)源頭的網(wǎng)絡(luò)邊緣側(cè)，融合網(wǎng)絡(luò)、計(jì)算、存儲(chǔ)、應(yīng)用核心能力的開發(fā)平臺(tái)，就近提供邊緣智能服務(wù)，滿足行業(yè)數(shù)字在敏捷聯(lián)接、實(shí)時(shí)業(yè)務(wù)、數(shù)據(jù)優(yōu)化、應(yīng)用智能、安全與隱私保護(hù)等方面的關(guān)鍵需求”。因此它是接近于事物、數(shù)據(jù)和行動(dòng)源頭處的計(jì)算。即，鄰近計(jì)算或者接近計(jì)算（Proximity Computing）。如果云計(jì)算是集中式大數(shù)據(jù)處理，邊緣計(jì)算則可以理解為邊緣式大數(shù)據(jù)處理。邊緣計(jì)算已經(jīng)逐步在物聯(lián)網(wǎng)、AR/VR 場(chǎng)景以及大數(shù)據(jù)和人工智能行業(yè)有所應(yīng)用。

2.2 邊緣云特點(diǎn)

實(shí)際上我們將云理解為IT 的概念，網(wǎng)是通信的概念，而邊緣計(jì)算是CT 和IT 之間互相侵入，互相競(jìng)爭(zhēng)產(chǎn)生的局面。邊緣計(jì)算確實(shí)具備了移動(dòng)網(wǎng)絡(luò)的天然屬性，同時(shí)也具備了計(jì)算中心屬性。邊緣計(jì)算想要真的實(shí)現(xiàn)更好的發(fā)展，它離不開IT 和CT 的共同助力。按照中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院和阿里云計(jì)算有限公司聯(lián)合發(fā)布的《邊緣云計(jì)算技術(shù)及標(biāo)準(zhǔn)化白皮書》里給出的邊緣云計(jì)算定義為：邊緣云計(jì)算，簡(jiǎn)稱邊緣云，邊緣云就是基于云計(jì)算技術(shù)的核心和邊緣計(jì)算的能力，構(gòu)筑在邊緣基礎(chǔ)設(shè)施之上的云計(jì)算平臺(tái)。形成邊緣位置的計(jì)算、網(wǎng)絡(luò)、存儲(chǔ)、安全等能力全面的彈性云平臺(tái)，并與中心云和物聯(lián)網(wǎng)終端形成“云邊端三體協(xié)同”的端到端的技術(shù)架構(gòu)。

云計(jì)算和邊緣計(jì)算，這二者并不是此消彼長(zhǎng)的關(guān)系，邊緣計(jì)算正在拓展云計(jì)算的邊界。以常見的互動(dòng)直播場(chǎng)景舉例，大量的彈幕、刷禮物、連麥、秒殺等交互，使數(shù)據(jù)量激增，同時(shí)互動(dòng)直播場(chǎng)景需要十分準(zhǔn)確、快速的計(jì)算能力。如果在終端上進(jìn)行視頻計(jì)算，會(huì)大量消耗終端的算力，對(duì)終端的性能要求很高且耗電量很大，但是將計(jì)算放在云中心，又面臨高昂的視頻傳輸成本。5G 時(shí)代終端算力上移、云端算力下沉，將在邊緣形成算力融合，云-邊-端三體協(xié)同的架構(gòu)將會(huì)發(fā)揮重要的作用。

2.3 5G 技術(shù)加速邊緣云發(fā)展

中國(guó)移動(dòng)表示未來將依托5G 技術(shù)，持續(xù)加大云端前沿應(yīng)用的研發(fā)投入。一方面，5G 網(wǎng)絡(luò)是一種“云源生”的數(shù)據(jù)傳輸網(wǎng)絡(luò)，網(wǎng)絡(luò)單元虛擬化可以幫助運(yùn)營(yíng)商節(jié)約電力成本，同時(shí)幫助運(yùn)營(yíng)商更有效地布網(wǎng)和運(yùn)維，把計(jì)算節(jié)點(diǎn)下沉這種邊緣架構(gòu)也是5G 網(wǎng)絡(luò)能夠保持低時(shí)延的關(guān)鍵，是5G 網(wǎng)絡(luò)的大勢(shì)所趨；另一方面，只有虛擬化和網(wǎng)絡(luò)深度融合，才能讓運(yùn)營(yíng)商有能力拓展出更多業(yè)務(wù)。

云計(jì)算、NFV、SDN 和ICT 等技術(shù)催生了邊緣云的發(fā)展。邊緣云與5G 的核心網(wǎng)絡(luò)架構(gòu)一樣，需要SDN 和NFV 進(jìn)行鋪路。如圖1 所示：NFV 將邊緣（如OLT）和云的網(wǎng)元（如vrouter）虛擬化，實(shí)現(xiàn)軟硬解耦，可以按需調(diào)度；SDN 實(shí)現(xiàn)數(shù)控分離，從而解放網(wǎng)絡(luò)的運(yùn)維管理和開發(fā)的快速迭代。推動(dòng)傳統(tǒng)的DC 三層網(wǎng)絡(luò)架構(gòu)向葉脊網(wǎng)絡(luò)轉(zhuǎn)變。使得集中式的云計(jì)算可以將計(jì)算能力下沉到邊緣，使得數(shù)據(jù)直接在邊緣就得到處理，緩解了5G 帶來的壓力。

圖1 中心云和邊緣云組網(wǎng)架構(gòu)

3 運(yùn)營(yíng)商部署邊緣云方案

3.1 邊緣云系統(tǒng)架構(gòu)

運(yùn)營(yíng)商層面認(rèn)為MEC 是分布式網(wǎng)關(guān)UPF 的擴(kuò)展和延伸，但在OTT 和垂直行業(yè)角度理解UPF 就是在MEC 外部。運(yùn)營(yíng)商價(jià)值獲取的關(guān)鍵在UPF 上匯聚流量和應(yīng)用。

目前建設(shè)的2B 專線和邊緣UPF 可作為邊緣云快速部署的切入點(diǎn)。如圖2 所示：由MEP 平臺(tái)和分流網(wǎng)關(guān)構(gòu)成MEC 邊緣云架構(gòu)，通過分層級(jí)部署，滿足不同業(yè)務(wù)對(duì)網(wǎng)絡(luò)時(shí)延的需求。

MEC 控制面網(wǎng)元集中在大區(qū)中心建設(shè)，邊緣MEC 采用扁平化架構(gòu)部署省級(jí)MEC、地市級(jí)MEC、區(qū)縣/接入/園區(qū)MEC。

管理域：MEAO 統(tǒng)一對(duì)接B-BSS、OSS4.0；省級(jí)、地市MEC 邊緣云：滿足業(yè)務(wù)時(shí)延＜50 ms、＜20 ms 的高清視頻、AR/VR、公共安全需求；邊緣MEC 邊緣云：滿足業(yè)務(wù)時(shí)延＜10 ms 的無人機(jī)投遞、工業(yè)機(jī)器人、自動(dòng)駕駛、遠(yuǎn)程醫(yī)療應(yīng)用需求。

①規(guī)劃期內(nèi)，以河南為例全省行成“2+2+36+X”MEC邊緣云目標(biāo)架構(gòu)；

② 近期以輕量化、廣覆蓋為主，主要進(jìn)行全省骨架MEC 節(jié)點(diǎn)廣度部署；

③中遠(yuǎn)期MEC 節(jié)點(diǎn)深度部署，園區(qū)邊緣MEC 不受規(guī)模限制，按需部署。

圖2 邊緣云系統(tǒng)架構(gòu)

3.2 邊緣計(jì)算業(yè)務(wù)平臺(tái)架構(gòu)

邊緣計(jì)算的實(shí)現(xiàn)取決于MEC 平臺(tái)的能力。MEC 平臺(tái)提供了計(jì)算資源、存儲(chǔ)容量、網(wǎng)絡(luò)連接線，并且可以獲取用戶業(yè)務(wù)流和無線網(wǎng)絡(luò)狀態(tài)信息。MEC 應(yīng)用平臺(tái)層由MEC 的虛擬化管理和應(yīng)用平臺(tái)功能組成。

MEC虛擬化平臺(tái)位于無線接入網(wǎng)與移動(dòng)核心網(wǎng)之間，可利用無線基站內(nèi)部或無線接入網(wǎng)邊緣的云計(jì)算設(shè)施（邊緣云）提供本地化的公有云服務(wù)，并能連接位于其它網(wǎng)絡(luò)（如企業(yè)網(wǎng)）內(nèi)部的私有云從而形成混合云。如圖3 所示，MEC 平臺(tái)基于特定的云計(jì)算系統(tǒng)（例如，OpenStack）提供虛擬化軟件環(huán)境用以規(guī)劃管理邊緣云內(nèi)的IT 資源。第三方應(yīng)用以虛擬機(jī)（VM）的形式部署于邊緣云，能夠通過統(tǒng)一的API，獲取開放的無線網(wǎng)絡(luò)能力。MEC 平臺(tái)由業(yè)務(wù)域及管理域構(gòu)成。業(yè)務(wù)域用于支持第三方應(yīng)用的運(yùn)行。管理域負(fù)責(zé)對(duì)MEC 平臺(tái)的業(yè)務(wù)域進(jìn)行管理。

MEC 是云網(wǎng)融合型的平臺(tái)，其基礎(chǔ)是提供邊緣本地分流這樣的基礎(chǔ)網(wǎng)絡(luò)服務(wù)，而其核心價(jià)值則是邊緣云服務(wù)，包括提供邊緣虛機(jī)、存儲(chǔ)等資源型邊緣IaaS 服務(wù)；提供邊緣網(wǎng)絡(luò)能力開放API、容器以及邊緣應(yīng)用框架在內(nèi)的平臺(tái)型邊緣PaaS 服務(wù)；提供自有以及第三方業(yè)務(wù)應(yīng)用在內(nèi)的邊緣ICT 業(yè)務(wù)服務(wù)?？傮w上，MEC 基本架構(gòu)可以劃分為3 層。

圖3 MEC 業(yè)務(wù)平臺(tái)架構(gòu)

（1）資源層：采用標(biāo)準(zhǔn)化X86 或者專用服務(wù)器（考慮高密度、小尺寸、GPU/VCA/FPGA 加速卡等需求）。以計(jì)算能力為主的計(jì)算型服務(wù)器、存儲(chǔ)為主的存儲(chǔ)型服務(wù)器以及硬件加速卡之類，滿足AI 推理、圖形圖像渲染、網(wǎng)絡(luò)高速轉(zhuǎn)發(fā)等需求。為上層各種能力服務(wù)以及APP 應(yīng)用提供虛擬化平臺(tái)資源及管理，支持基于IaaS（虛擬機(jī)方式）和CaaS（容器方式）兩種部署模式。

IaaS功能是提供基于標(biāo)準(zhǔn)OpenStack開放架構(gòu)的IaaS平臺(tái)，提供虛擬機(jī)、持久存儲(chǔ)等能力。

CaaS 功能是提供基于標(biāo)準(zhǔn)Kubernetes 開放架構(gòu)和符合OCI 標(biāo)準(zhǔn)接口的CaaS 平臺(tái)，提供微服務(wù)注冊(cè)、發(fā)現(xiàn)、配置、治理框架，實(shí)現(xiàn)云原生應(yīng)用的快速上線。

（2）能力層：網(wǎng)絡(luò)能力包括本地分流（UPF/SAE-U），還有NAT、虛擬防火墻VFW、DNS、業(yè)務(wù)負(fù)載均衡LB等組網(wǎng)基本服務(wù)能力，同時(shí)還提供無線網(wǎng)絡(luò)信息服務(wù)RNIS、帶寬管理、業(yè)務(wù)路由規(guī)則、無線室內(nèi)定位等服務(wù)。這些服務(wù)通過網(wǎng)絡(luò)能力開放框架，以API 接口方式來提供服務(wù)。邊緣服務(wù)能力層采用微服務(wù)化框架設(shè)計(jì)，隨著后續(xù)業(yè)務(wù)需求的變化，可以引入新的能力，如AI 能力、大數(shù)據(jù)能力等來豐富完善MEC 的能力層。

（3）應(yīng)用層：部署在邊緣位置的各種應(yīng)用，如視頻監(jiān)控、AR/VR 視頻、園區(qū)等各種應(yīng)用APP。

3.3 邊緣云安全解決方案

網(wǎng)絡(luò)邊緣側(cè)由于更貼近萬物互聯(lián)的設(shè)備，訪問控制與威脅防護(hù)的廣度和難度因此大幅提升。如圖4 所示：邊緣側(cè)安全主要包含設(shè)備安全、網(wǎng)絡(luò)安全、數(shù)據(jù)安全與應(yīng)用安全。此外，關(guān)鍵數(shù)據(jù)的完整性、保密性，大量生產(chǎn)或人身隱私數(shù)據(jù)的保護(hù)也是安全領(lǐng)域需要重點(diǎn)關(guān)注的內(nèi)容。

圖4 安全解決架構(gòu)

（1）安全挑戰(zhàn)

①園區(qū)場(chǎng)景：園區(qū)場(chǎng)景MEC 設(shè)備不由企業(yè)控制和管理，園區(qū)企業(yè)希望非法用戶不進(jìn)園區(qū)；

② 網(wǎng)絡(luò)層：網(wǎng)絡(luò)協(xié)議接口增多，攻擊面增大；MEC部署到企業(yè)園區(qū)，信任關(guān)系變化；

③網(wǎng)元層：第三方APP 軟件安全能力參差不齊，APP 容易成為安全重災(zāi)區(qū)；APP 受攻擊后可能攻擊MEC；

④ NFVI 層：MEC 基于NFV，引入虛擬化（VM、容器）資源共享安全風(fēng)險(xiǎn)；

⑤ 硬件層：邊緣部署場(chǎng)景存在物理入侵的安全隱患。

（2）解決方案

①防止惡意用戶非法訪問企業(yè)內(nèi)網(wǎng)；終端到企業(yè)的傳輸加密；UPF 數(shù)據(jù)統(tǒng)計(jì)核查；企業(yè)AAA 二次鑒權(quán)；

② 外置物理防火墻隔離和防護(hù)；IPsec、TLS 安全協(xié)議傳輸加密；內(nèi)置IPSec；內(nèi)置安全防護(hù)功能（ACL，狀態(tài)防火墻，NAT，畸形報(bào)文/特殊報(bào)文防護(hù)）；

③安全加固：平臺(tái)自有應(yīng)用、第三方應(yīng)用代碼安全和接口安全；第三方應(yīng)用實(shí)施數(shù)字簽名、進(jìn)行完整性校驗(yàn)；

④ 可信資源隔離，安全組，部署vFW、劃分vLAN、虛擬機(jī)訪問控制配置；

⑤ 物理安防，保證物理場(chǎng)所水電、結(jié)構(gòu)的安全；設(shè)置出入口控制系統(tǒng)、入侵報(bào)警、視頻監(jiān)控等。

3.4 CDN 系統(tǒng)和邊緣計(jì)算融合方案

CDN 即內(nèi)容分發(fā)網(wǎng)絡(luò)，其目的是使用戶可就近取得所需內(nèi)容，解決Internet 網(wǎng)絡(luò)擁擠的狀況，提高用戶訪問網(wǎng)站的響應(yīng)速度。CDN 的核心價(jià)值是將數(shù)字內(nèi)容智能分發(fā)到離用戶更近的節(jié)點(diǎn)，進(jìn)而提升整體分發(fā)效率，降低網(wǎng)絡(luò)延時(shí)、節(jié)省帶寬資源，其與生俱來的邊緣節(jié)點(diǎn)屬性，低延時(shí)和低帶寬，令其在邊緣計(jì)算市場(chǎng)具備先發(fā)優(yōu)勢(shì)，CDN本身就是邊緣計(jì)算的雛形。

CDN節(jié)點(diǎn)和邊緣計(jì)算節(jié)點(diǎn)部署方式具有天然相似性，但側(cè)重占用資源的類型有所不同，二者在資源層面的協(xié)同部署，可有效節(jié)省資源。其中，CDN 節(jié)點(diǎn)虛擬化是決定資源能否協(xié)同的關(guān)鍵因素。CDN 與邊緣計(jì)算的資源協(xié)同存在2 種主要模式，如圖5 所示。

圖5 CDN 與邊緣計(jì)算資源協(xié)同模式

（1）邊緣計(jì)算承載CDN 業(yè)務(wù)：CDN 需要存儲(chǔ)類資源池的規(guī)劃。邊緣計(jì)算承載業(yè)務(wù)種類型豐富，提供裸機(jī)、容器、虛機(jī)的靈活選擇，也可以管理多元化硬件，可以滿足CDN 的資源池需求。

（2）CDN 承載邊緣計(jì)算業(yè)務(wù)：CDN 目前業(yè)務(wù)場(chǎng)景聚焦內(nèi)容分發(fā)，存儲(chǔ)型服務(wù)器在滿足邊緣計(jì)算多場(chǎng)景需求存在一定難度。

考慮到邊緣云與CDN 業(yè)務(wù)的相似性，部署位置匹配度高，為充分發(fā)揮資源能力，可進(jìn)行邊緣云與CDN 資源布局協(xié)調(diào)建設(shè)。建議采用模式一。逐步推動(dòng)CDN 云化由邊緣云基礎(chǔ)資源承載。

3.5 第三方應(yīng)用部署模式

客戶存在多種合作模式，從模式A 到模式C（如圖6所示）過程中，合作深度逐步加強(qiáng)，有條件情況下，積極推薦模式C 方式進(jìn)行部署，強(qiáng)化雙方各方面合作。

初級(jí)合作（模式A）：CT 與IT 邊緣云采用獨(dú)立的硬件資源池。

中級(jí)合作（模式B）：CT 與IT 邊緣云采用統(tǒng)一資源池，IaaS 獨(dú)立部署的隔離方式。

深度合作（模式C）：統(tǒng)一基礎(chǔ)設(shè)施提供分流+MEP+邊緣云平臺(tái)+業(yè)務(wù)托管能力。

圖6 第三方應(yīng)用部署模式

4 結(jié)束語(yǔ)

根據(jù)運(yùn)營(yíng)商的強(qiáng)項(xiàng)，首先以目前建設(shè)的2B 專線和邊緣UPF 分流作為核心網(wǎng)優(yōu)勢(shì)快速切入邊緣市場(chǎng)，通過邊緣網(wǎng)絡(luò)能力與邊緣云的協(xié)同，形成快速的基礎(chǔ)網(wǎng)絡(luò)開通能力。

把握邊緣節(jié)點(diǎn)IaaS 基礎(chǔ)實(shí)施能力，發(fā)揮機(jī)房+MEC+CDN 協(xié)同優(yōu)勢(shì)。邊緣能力建設(shè)的類型步驟：網(wǎng)絡(luò)分流→IaaS 基礎(chǔ)能力→PaaS 基礎(chǔ)服務(wù)能力→開發(fā)者環(huán)境→特定平臺(tái)能力（如網(wǎng)絡(luò)能力平臺(tái)、API 服務(wù)等）→云咨詢服務(wù)能力、解決方案能力。

運(yùn)營(yíng)商依托邊緣云建設(shè)邊緣業(yè)務(wù)平臺(tái)，在5G 網(wǎng)絡(luò)中孵化創(chuàng)新應(yīng)用，致力于滿足差異化的客戶需求，搶占市場(chǎng)先機(jī)。同時(shí)將CDN 節(jié)點(diǎn)分布式部署在邊緣云中，降低集中節(jié)點(diǎn)的處理負(fù)荷和端到端時(shí)延，提升用戶體驗(yàn)，增加客戶粘性。以邊緣云為契機(jī)，攜手產(chǎn)業(yè)界，探索商業(yè)模式，全力構(gòu)建運(yùn)營(yíng)商5G 網(wǎng)絡(luò)邊緣生態(tài)。