該參考架構基于模型驅動的工程方法（Model-Driven Engineering，MDE）進行設計，如圖3-1所示，可將物理和數字世界的知識模型化，從而實現以下目標：

物理世界和數字世界的協作；

跨產業的生態協作；

減少系統異構性，簡化跨平臺移植流程；

有效支撐系統的全生命周期活動。

▲圖3-1 邊緣計算參考架構3.0

參考架構3.0的主要內容包括：

整個系統分為云、邊緣和現場三層，邊緣計算位于云和現場層之間，邊緣層向下支持各種現場設備的接入，向上可以與云端對接。

邊緣層包括邊緣節點和邊緣管理器兩個主要部分。邊緣節點是硬件實體，是承載邊緣計算業務的核心。邊緣節點根據業務側重點和硬件特點的不同，包括以網絡協議處理和轉換為重點的邊緣網關、以支持實時閉環控制業務為重點的邊緣控制器、以大規模數據處理為重點的邊緣云、以低功耗信息采集和處理為重點的邊緣傳感器等。

邊緣管理器的呈現核心是軟件，主要功能是對邊緣節點進行統一管理。

邊緣節點一般具有計算、網絡和存儲資源，邊緣計算系統對資源的使用有兩種方式：

第一，直接將計算、網絡和存儲資源進行封裝，提供調用接口，邊緣管理器以代碼下載、網絡策略配置和數據庫操作等方式使用邊緣節點資源；

第二，進一步將邊緣節點的資源按功能領域封裝成功能模塊，邊緣管理器通過模型驅動的業務編排的方式組合和調用功能模塊，實現邊緣計算業務的一體化開發和敏捷部署。

邊緣計算須提供統一的管理服務、數據全生命周期服務和安全服務，以處理各種異構的基礎設施、設備形態等，最終達到提升管理與運維運營效率，降低運維成本的目的。

01 部署場景

邊緣計算按距離由近及遠可分為現場層、邊緣層和云計算層，如圖3-2所示。

▲圖3-2 邊緣計算按距離分類

1. 現場層

現場層包括傳感器、執行器、設備、控制系統和資產等現場節點。這些現場節點通過各種類型的現場網絡、工業總線與邊緣層中的邊緣網關等設備相連接，實現現場層和邊緣層之間數據流和控制流的連通。

網絡可以使用不同的拓撲結構，邊緣網關等設備用于將一組現場節點彼此連接以及連接到廣域網絡。它具有到集群中每個邊緣實體的直接連接，允許來自邊緣節點的數據流入和到邊緣節點的控制命令流出。

2. 邊緣層

邊緣層是邊緣計算三層架構的核心，用于接收、處理和轉發來自現場層的數據流，提供智能感知、安全隱私保護、數據分析、智能計算、過程優化和實時控制等時間敏感服務。

邊緣層包括邊緣網關、邊緣控制器、邊緣云、邊緣傳感器等計算存儲設備，以及時間敏感網絡交換機、路由器等網絡設備，封裝了邊緣側的計算、存儲和網絡資源。邊緣層還包括邊緣管理器軟件，該軟件主要提供業務編排或直接調用的能力，用于操作邊緣節點完成相關任務。

當前邊緣層的部署有云邊緣（KubeEdge）、邊緣云（MEC與此對應）和云化網關三類落地形態。

云邊緣：云邊緣形態的邊緣計算，是云服務在邊緣側的延伸，邏輯上仍是云服務，主要提供依賴于云服務或需要與云服務緊密協同的服務。華為云提供的IEF解決方案、阿里云提供的Link Edge 解決方案、AWS提供的Greengrass解決方案等均屬于此類。

邊緣云：邊緣云形態的邊緣計算，是在邊緣側構建中小規模云，邊緣服務能力主要由邊緣云提供；集中式DC側的云服務主要提供邊緣云的管理調度能力。MEC、CDN、華為云提供的IEC解決方案等均屬于此類。

云化網關：云化網關形態的邊緣計算，以云化技術與能力重構原有嵌入式網關系統，云化網關在邊緣側提供協議、接口轉換、邊緣計算等能力，部署在云側的控制器提供針對邊緣節點的資源調度、應用管理、業務編排等能力。

3. 云計算層

云計算層提供決策支持系統，以及智能化生產、網絡化協同、服務化延伸和個性化定制等特定領域的應用服務程序，并為最終用戶提供接口。云計算層從邊緣層接收數據流，并向邊緣層以及通過邊緣層向現場層發出控制信息，從全局范圍內對資源調度和現場生產過程進行優化。

02 功能視圖

邊緣計算參考架構的功能視圖如圖3-3所示。

▲圖3-3 功能視圖

1. 基礎資源

基礎資源包括網絡、計算和存儲三個基礎模塊，以及虛擬化服務，其中前三個前面已有介紹，故這里僅對虛擬化服務進行簡單介紹。

虛擬化技術降低了系統開發和部署成本，已經開始從服務器應用場景向嵌入式系統應用場景滲透。典型的虛擬化技術包括裸機（Bare Metal，又稱裸金屬）架構和主機（Host）架構。

前者是虛擬化層的虛擬機管理器（Hypervisor）等功能直接運行在系統硬件平臺上，然后再運行操作系統和虛擬化功能；后者是虛擬化層功能運行在主機操作系統上。前者有更好的實時性，智能資產和智能網關一般采用該方式。

2. 功能領域

邊緣計算的功能模塊主要用于控制、分析和優化三個領域。

1）控制功能

如圖3-4所示，在工業互聯網邊緣計算場景中，控制仍然是一個重要的核心功能。控制系統要求對環境可感知且執行要穩、準、快。因此，大規模復雜系統對控制器的計算能力和實時響應要求嚴格，利用邊緣計算增強本地計算能力，降低由云集中式計算帶來的響應延遲是面向大規模復雜控制系統的有效解決方案。

▲圖3-4 控制功能領域

控制功能主要包括對環境的感知和執行、實時通信、實體抽象、控制系統建模、資產管理等。

感知與執行：感知是指從傳感器中讀取環境信息。執行是指向執行器中寫入由環境變化引起的響應操作。兩者的物理實現通常由一組專用硬件、固件、設備驅動程序和API接口組成。

實體抽象：在一個更高的層次通過虛擬實體表征控制系統中的傳感器、執行器、同級控制器和系統，并描述它們之間的關系，其中還包含系統元素之間消息傳遞過程中消息的語義。通過實體抽象，一方面易于控制系統上下文表征，理解感知信息和執行信息的含義；另一方面，虛擬實體將系統硬件軟件化和服務化，從而使得系統構建過程中可以縱向將硬件、系統功能和特定應用場景組合，增加開發的靈活性，提高開發效率。

建模：控制系統建模即通過解釋和關聯從環境（包括傳感器、網絡設備）中獲取的數據，達到理解系統的狀態、轉換條件和行為的目的。建模的過程是從定性了解系統的工作原理及特性到定量描述系統的動態特性的過程。

資產管理：資產管理是指對控制系統操作的管理，包括系統上線、配置、執行策略、軟/固件更新以及其他系統生命周期管理。

2）分析功能

分析功能主要包括流數據分析、視頻圖像分析、智能計算和數據挖掘等。

基于流式數據分析可對數據進行即時處理，快速響應事件并滿足不斷變化的業務條件與需求，加速對數據執行的持續分析。針對流數據具有的大量、連續、快速、隨時間變化快等特點，流數據分析需要能夠過濾無關數據，進行數據聚合和分組，快速提供跨流關聯信息，將元數據、參考數據和歷史數據與上下文的流數據相結合，并能夠實時監測異常數據。

對于海量非結構化的視頻數據，在邊緣側可提供實時的圖像特征提取、關鍵幀提取等基礎功能支持。

在邊緣側應用智能算法（例如傳統的遺傳算法、蟻群算法、粒子群算法；與人工智能相關的神經網絡、機器學習等），可完成對復雜問題的求解。在邊緣側提供常用的統計模型庫，支持統計模型、機理模型等模型算法的集成，支持輕量的深度學習等模型訓練方法。

3）優化功能

邊緣計算優化功能涵蓋了場景應用的多個層次，如圖 3-5所示。

▲圖3-5 優化功能

測量與執行優化：對傳感器和執行器信號的接口進行優化，減少通信數據量，保障信號傳遞的實時性。

環境與設備安全優化：對報警事件進行優化管理，盡可能早地發現問題并做出響應；優化緊急事件處理方式，簡化緊急響應條件。

調節控制優化：對控制策略、控制系統參數（如PID）、故障檢測過程等進行優化。

多元控制協同優化：對預測控制系統的控制模型、MIMO（Multiple-Input Multiple-Output）控制系統的參數矩陣以及多個控制器組成的分布式系統的協同控制進行優化。

實時優化：對生產車間或工作單元范圍內的數據進行實時優化以實現參數估計和數據辨識等功能。

車間排產優化：主要包括需求預測模型優化、供應鏈管理優化、生產過程優化等。

3. 邊緣管理

邊緣管理包括基于模型的業務編排以及對代碼、網絡和數據庫的管理，且采用相同配置模式來進行管理，包括分配版本號、保存配置變更信息等，下面以模型為例來展示邊緣管理功能。

邊緣計算參考架構3.0基于模型的業務編排，通過架構、功能需求、接口需求等模型定義，支持模型和業務流程的可視化呈現，支持基于模型生成多語言的代碼；通過集成開發平臺和工具鏈集成邊緣計算領域模型與垂直行業領域模型；支持模型庫版本管理。

業務編排一般基于三層架構，如圖3-6所示。

▲圖3-6 邊緣編排

1）業務編排器

編排器負責定義業務組織流程，一般部署在云端（公有云/私有云）或本地（智能系統上）。編排器提供可視化的工作流定義工具，支持CRUD操作。編排器能夠基于和復用開發服務框架已經定義好的服務模板、策略模板進行業務編排。在下發業務流程給策略控制器前，編排器能夠完成工作流的語義檢查和策略沖突檢測等工作。

2）策略控制器

為了保證業務調度和控制的實時性，在網絡邊緣側會部署策略控制器，以實現本地就近控制。策略控制器按照一定策略，結合本地的邊緣功能模塊所支持的服務與能力，將業務流程分配給本地的一個或多個邊緣功能模塊以完成具體實施工作。

考慮到邊緣計算領域和垂直行業領域需要不同的知識和系統實現，所以控制器的設計和部署往往分域完成。由邊緣計算領域控制器負責對安全、數據分析等邊緣計算服務進行部署。涉及垂直行業業務邏輯的部分，由垂直行業領域的控制器進行分發調度。

3）策略執行器

在每個邊緣節點內置策略執行器，其負責將策略翻譯成本設備命令并在本地調度執行。邊緣節點既支持由控制器推送策略，又支持主動向控制器請求策略。策略可只關注高層次業務需求，而不對邊緣節點進行細粒度控制，從而保證邊緣節點的自主性和本地事件響應處理的實時性。

當然，邊緣管理功能也允許通過代碼管理、網絡配置、數據庫操作等方式直接操作或調用相應資源，來完成對應的管理任務。代碼管理包括對功能模塊或代碼進行存儲、更新、檢索、增加、刪除及版本控制等操作。

而網絡管理則可在高層上對大規模計算網絡和工業現場網絡進行維護與管理，實現對網絡資源的控制、規劃、分配、部署、監視和編排。

數據庫管理則針對數據庫的建立、調整、組合、數據安全性控制、完整性控制、故障恢復和監控等進行全生命周期的操作。

4. 邊緣服務

邊緣計算參考架構3.0中的邊緣服務包括管理服務、數據全生命周期服務和安全服務。

1）管理服務

邊緣計算參考架構3.0支持面向終端設備、網絡設備、服務器、存儲設備、數據、業務與應用的隔離、安全、分布式架構的統一管理服務。

邊緣計算參考架構3.0支持面向工程設計、集成設計、系統部署、業務與數據遷移、集成測試、集成驗證與驗收等全生命周期服務。

2）數據全生命周期服務

邊緣數據是在網絡邊緣側產生的數據，包括機器運行數據、環境數據以及信息系統數據等，具有高通量（瞬間流量大）、流動速度快、類型多樣、關聯性強、分析處理實時性要求高等特點，與互聯網等商業大數據相比，邊緣數據的智能分析有如下特點：

因果VS關聯：邊緣數據主要面向智能資產，相關系統運行一般有明確的輸入、輸出的因果關系，而商業大數據關注的是數據關聯關系。

高可靠性VS較低可靠性：制造、交通等行業對模型的準確度和可靠性要求高，否則會帶來財產損失甚至人身傷亡。而商業大數據分析對可靠性要求一般較低。邊緣數據的分析要求結果可解釋，所以黑盒化的深度學習方式在一些應用場景受到限制。將傳統的機理模型和數據分析方法相結合是智能分析創新和應用的方向。

小數據VS大數據：機床、車輛等資產是人設計、制造的，其運行過程中產生的多數數據是可以預知的，其在異常、邊界等情況下產生的數據才是真正有價值的數據。商業大數據分析一般需要海量的數據。邊緣數據分析可以通過業務編排層定義數據全生命周期的業務邏輯，包括指定數據分析算法等，通過功能領域優化數據服務的部署和運行，滿足業務實時性等要求。

數據全生命周期包括：

數據預處理：對原始數據進行過濾、清洗、聚合、質量優化（剔除壞數據等）和語義解析等操作。

數據分發和策略執行：基于預定義規則和數據分析結果，在本地進行策略執行；或者將數據轉發給云端或其他邊緣節點進行處理。

數據可視化和存儲：采用時序數據庫等技術可以大大節省存儲空間并滿足高速的讀寫操作需求。利用AR、VR等新一代交互技術逼真呈現數據。

5. 安全服務

邊緣計算架構的安全設計與實現首先需要考慮：

安全功能適配邊緣計算的特定架構；

安全功能能夠靈活部署與擴展；

能夠在一定時間內持續抵抗攻擊；

能夠容忍一定程度和范圍內的功能失效，基礎功能始終保持運行；

整個系統能夠從失敗中快速且完全恢復。

同時，需要考慮邊緣計算應用場景的獨特性：

安全功能輕量化，能夠部署在各類硬件資源受限的IoT設備中，考慮到加解密、證書認證等操作都需要消耗相應的軟硬件資源，考慮到邊緣設備資源受限的影響，最終的安全方案需要在易用性、成本與安全保障能力方面進行取舍，同時應避免安全性過于依賴中心化資源共享。

海量異構的設備接入，部分邊緣存在無法持續監管的問題（歸屬于企業或個人，或網絡非持續在線等），存在被黑客篡改或攻擊后借助該邊緣節點入侵整個系統的風險。

傳統依賴防火墻或網關實現的基于邊界隔離內、外網的安全方案仍是需要的，但還不夠。即使在內網，基于一般信任的安全模型也不再適用，需要基于不信任的安全模型，比如按照最小授權原則重新設計安全模型 （白名單）等。

在關鍵的設備節點（例如邊緣網關）實現網絡與域的隔離，對安全攻擊和風險范圍進行控制，避免攻擊由點到面擴展。

安全和實時態勢感知無縫嵌入整個邊緣計算架構中，實現持續的檢測與響應。盡可能依賴自動化實現，但是時常也需要人工干預。

安全的設計需要覆蓋邊緣計算架構的各層級，不同層級需要不同的安全特性，還需要有統一的態勢感知、安全管理與編排、統一的身份認證與管理以及統一的安全運維體系，只有這樣才能最大限度保障整個架構安全與可靠。所有安全管理模塊的示意與關系如圖3-7所示。

▲圖3-7 安全管理模塊

由圖3-7可知，安全管理主要涉及如下幾項：

節點安全：需要提供基礎的邊緣計算安全、端點安全、軟件加固和安全配置、安全與可靠遠程升級、輕量級可信計算、硬件安全開關等功能。安全與可靠的遠程升級能夠及時完成漏洞修復，同時避免升級后系統失效（也就是常說的“變磚”）。輕量級可信計算用于計算（CPU）和存儲與資源受限的簡單物聯網設備相關的數據，解決最基本的可信問題。

網絡安全：包含防火墻（Firewall）、入侵檢測和防護（IPS/IDS）、DDoS防護、VPN/TLS功能，也包括一些傳輸協議的安全功能重用（例如REST協議的安全功能）。其中DDoS防護在物聯網和邊緣計算中特別重要，近年來，越來越多的物聯網攻擊是DDoS攻擊，攻擊者通過控制安全性較弱的物聯網設備（例如采用固定密碼的攝像頭）來集中攻擊特定目標。

數據安全：包含數據加密、數據隔離和銷毀、數據防篡改、隱私保護（數據脫敏）、數據訪問控制和數據防泄露等。其中數據加密，包含數據在傳輸過程中的加密、在存儲時的加密；邊緣計算的數據防泄露與傳統的數據防泄露有所不同，邊緣計算的設備往往是分布式部署，需要考慮這些設備被盜以后，相關數據即使被獲得也不會泄露。

應用安全：主要包含白名單、應用安全審計、惡意代碼防范、WAF（Web應用防火墻）、沙箱等安全功能。其中，白名單是邊緣計算架構中非常重要的功能，由于終端的海量異構接入，業務種類繁多，傳統的IT安全授權模式不再適用，往往需要采用最小授權的安全模型（例如白名單功能）管理應用及訪問權限。

安全態勢感知、安全管理編排：網絡邊緣側接入的終端類型廣泛且數量巨大，承載的業務繁雜，被動安全防御往往不能起到良好的效果。因此，需要采用更加積極主動的安全防御手段，包括基于大數據的態勢感知和高級威脅檢測，以及統一的全網安全策略和主動防護機制，從而更加快速地進行響應和防護。再結合完善的運維監控和應急響應機制，則能夠最大限度保障邊緣計算系統的安全、可用、可信。

身份和認證管理：身份和認證管理功能遍布所有功能層。但是在邊緣側要考慮海量設備接入的訴求，傳統集中式安全認證面臨巨大的性能壓力，特別是在設備集中上線時認證系統往往不堪重負。去中心化、分布式的認證方式和證書管理成為新的技術選擇。
責任編輯人：CC