作者簡介

張志龍，SUSE 大中華區(qū)資深解決方案架構(gòu)師，CNCF 官方認(rèn)證的 CKA&CKAD 工程師，深耕以 Kubernetes 為代表的云原生領(lǐng)域，具備豐富的架構(gòu)設(shè)計(jì)、業(yè)務(wù)容器化改造和項(xiàng)目落地實(shí)踐經(jīng)驗(yàn)。

據(jù) Gartner 預(yù)測，到 2025 年，50% 以上由企業(yè)管理的數(shù)據(jù)都將在數(shù)據(jù)中心和云之外創(chuàng)建和處理。Linux Foundation 研究發(fā)現(xiàn)，到 2025 年，邊緣計(jì)算的規(guī)模將比云大 4 倍，其生成的數(shù)據(jù)量將占全球所有數(shù)據(jù)的 75%。隨著以 K8s 為代表的云原生技術(shù)的成熟，越來越多的用戶期望將 K8s 的能力運(yùn)用到邊緣計(jì)算場景中。

—— 在邊緣運(yùn)行 K8s 面臨諸多挑戰(zhàn) ——

然而，在邊緣側(cè)運(yùn)行 K8s 集群也面臨諸多挑戰(zhàn)。數(shù)據(jù)中心具備穩(wěn)定的運(yùn)行環(huán)境、高帶寬的網(wǎng)絡(luò)、高配置的服務(wù)器等成熟的 K8s 運(yùn)行條件，且有大量企業(yè)級廠商提供相關(guān)的解決方案。與數(shù)據(jù)中心不同，通常情況下，邊緣側(cè)的運(yùn)行環(huán)境比較惡劣，網(wǎng)絡(luò)難以保障、硬件配置低，在這樣嚴(yán)苛的條件下運(yùn)行 K8s 將面臨極大的挑戰(zhàn)：

硬件設(shè)備難以支撐 K8s 運(yùn)行

• 硬件配置低：邊緣側(cè)設(shè)備的 cpu、內(nèi)存等計(jì)算資源配置通常較低，為個(gè)位數(shù)級別，主要用于應(yīng)用自身，難以分配更多資源供諸如 K8s 的中間層平臺使用。
• 網(wǎng)絡(luò)不穩(wěn)定：運(yùn)行環(huán)境惡劣，與中心之間的網(wǎng)絡(luò)隨時(shí)可能中斷，無法提供穩(wěn)定可靠的網(wǎng)絡(luò)，難以保證 K8s 自身的穩(wěn)定運(yùn)行。
• 非生產(chǎn)就緒：雖然社區(qū)有輕量化的 K8s，但多為單節(jié)點(diǎn)架構(gòu)，并非是為了運(yùn)行多節(jié)點(diǎn)的生產(chǎn)級環(huán)境而設(shè)計(jì)的，難以提供生產(chǎn)級的高可用服務(wù)。
• 增加技術(shù)豎井：如果云端采用 K8s，邊緣場景使用其他技術(shù)棧，云邊環(huán)境的不一致將導(dǎo)致無法使用相同技術(shù)棧進(jìn)行管理，增加技術(shù)豎井。

邊緣場景下 K8s 難以管理維護(hù)

• 設(shè)備分散：邊緣場景的一大特點(diǎn)是設(shè)備分散在各個(gè)區(qū)域，難以通過統(tǒng)一的界面對其上的 K8s 服務(wù)和業(yè)務(wù)應(yīng)用進(jìn)行集中式管理。而且在海量的邊緣設(shè)備中部署、更新編排引擎和業(yè)務(wù)應(yīng)用也是一大難題。
• K8s 架構(gòu)復(fù)雜：原生 K8s 包含多個(gè)核心的組件服務(wù)，高可用架構(gòu)更為復(fù)雜，在邊緣側(cè)直接部署原生 K8s 時(shí)，其復(fù)雜性會(huì)分散到各個(gè)設(shè)備上。
• 難以統(tǒng)一管理：一般應(yīng)用層、容器層、操作系統(tǒng)層由不同的廠商提供，需要分層管理維護(hù)，缺乏統(tǒng)一的生命周期管理手段。

邊緣場景下 K8s 難以滿足安全需求

• 安全性：邊緣設(shè)備缺乏專業(yè)的安全防護(hù)組件，存在被入侵、攻擊的風(fēng)險(xiǎn)。
• 合規(guī)性：在邊緣設(shè)備上處理數(shù)據(jù)涉及到企業(yè)的生產(chǎn)和經(jīng)營活動(dòng)，難以符合所在行業(yè)內(nèi)的特定準(zhǔn)則。

—— 邊緣側(cè) K8s 集群應(yīng)具備的能力 ——

能夠在邊緣場景中平穩(wěn)運(yùn)行 K8s

• 輕量化：保證 K8s 功能完整的前提下，簡化原生 K8s 的核心組件服務(wù)，降低架構(gòu)復(fù)雜性，減少用戶所需管理的進(jìn)程和服務(wù)數(shù)量。降低 K8s 資源消耗，可在低配置設(shè)備上運(yùn)行，預(yù)留足夠資源運(yùn)行業(yè)務(wù)應(yīng)用。
• 可用性：按需支持多節(jié)點(diǎn)組成高可用集群，核心組件也為高可用架構(gòu)，降低因軟硬件故障導(dǎo)致減員帶來的影響。集群節(jié)點(diǎn)故障或停機(jī)維護(hù)時(shí)，其他節(jié)點(diǎn)仍可對外提供服務(wù)。
• 自治性：邊緣 K8s 集群應(yīng)具備完整的自治性，不依賴云端管控即可自行正常運(yùn)行；在單節(jié)點(diǎn)故障時(shí)，仍可正常運(yùn)行，且可對故障節(jié)點(diǎn)上的應(yīng)用進(jìn)行故障轉(zhuǎn)移和恢復(fù)。

實(shí)現(xiàn)對邊緣場景中 K8s 的統(tǒng)一管理

• 全面覆蓋：通過云端管控平臺使用統(tǒng)一的標(biāo)準(zhǔn)，管理所有邊緣設(shè)備的主要層級，包括操作系統(tǒng)層、容器編排層、業(yè)務(wù)應(yīng)用層。
• 云邊協(xié)同管理：支持通過云端管控平臺對分散的所有邊緣設(shè)備進(jìn)行統(tǒng)一管理，包括安裝 K8s、部署應(yīng)用、更新/回退、備份恢復(fù)等。
• 批量化管理：支持針對所有邊緣 K8s 集群的批量化運(yùn)維管理操作，包括操作系統(tǒng)、容器編排、業(yè)務(wù)應(yīng)用的 OTA 更新，減少人工干預(yù)和重復(fù)性工作。

解決邊緣場景中的安全問題

全面安全防護(hù)：應(yīng)用層、容器層、操作系統(tǒng)層具備完善的安全防護(hù)能力，可阻止異常訪問、入侵、攻擊；可監(jiān)測平臺的實(shí)時(shí)安全狀態(tài)、漏洞等；可阻止敏感數(shù)據(jù)的傳輸和泄漏。

—— SUSE 的應(yīng)對之道 ——

SUSE 利用輕量化的 K8s 產(chǎn)品——K3s，并與其他產(chǎn)品組合，??推出了 SUSE Edge 2.0 云原生邊緣管理解決方案???，為從應(yīng)用程序到 K3s 再到操作系統(tǒng)的整個(gè)堆棧進(jìn)行了安全策略的無縫集成。無論是通用的邊緣場景，還是電信、汽車、衛(wèi)星等需要額外功能的各類邊緣場景，SUSE 都能基于不同用例提供完全契合客戶需求的邊緣解決方案，真正實(shí)現(xiàn)了“在任意位置運(yùn)行 Kubernetes ”的愿景。

SUSE Edge 2.0 解決方案的核心功能及組件包括：

• K3s：經(jīng)過 CNCF一致性認(rèn)證的輕量化 K8s 發(fā)行版，具備完善的 K8s 能力，支持企業(yè)級的高可用架構(gòu)，及完全的邊緣自治能力，同時(shí)可與 Rancher 結(jié)合實(shí)現(xiàn)云邊協(xié)同，非常適合資源有限的邊緣設(shè)備。
• SLE Micro：專為容器化和虛擬化工作負(fù)載打造的輕量級不可變操作系統(tǒng)，rootfs 不可變，減少了攻擊面，增加了可靠性；通過了諸如 FIPS 140-3 安全認(rèn)證和通用標(biāo)準(zhǔn)評估。
• NeuVector：按需集成，對操作系統(tǒng)、K3s、業(yè)務(wù)容器進(jìn)行全生命周期的安全防護(hù)。
• Rancher：云端管控平臺，可統(tǒng)一管理 K3s 和底層操作系統(tǒng)。利用 Elemental 工具無縫部署底層操作系統(tǒng)。利用 Fleet 幫助用戶部署和管理大規(guī)模的 K3s 集群和應(yīng)用。集成其他生態(tài)組件，簡化運(yùn)維管理。

SUSE Edge 2.0 解決方案的邊緣堆棧示例

—— 典型應(yīng)用 ——

工業(yè)領(lǐng)域

中國某鋼鐵集團(tuán)在智慧礦山項(xiàng)目中采用了 Rancher Prime+K3s 解決方案，構(gòu)建了一套云邊協(xié)同系統(tǒng)，實(shí)現(xiàn)了數(shù)據(jù)協(xié)同、應(yīng)用協(xié)同和 AI 協(xié)同。在邊緣側(cè) K3s 集群中即可實(shí)現(xiàn)數(shù)據(jù)的采集接入、流計(jì)算處理和工藝參數(shù) AI 優(yōu)化，并將優(yōu)化指令下發(fā)到現(xiàn)場端設(shè)備。在云端，Rancher Prime 可實(shí)現(xiàn)邊緣集群管理、應(yīng)用下發(fā)、AI 模型下發(fā)。該方案保證了云邊技術(shù)棧的一致性，降低了運(yùn)維管理難度，提升了生產(chǎn)效率。

汽車行業(yè)

知名自動(dòng)駕駛公司采用了 Rancher Prime+K3s 解決方案，構(gòu)建了自動(dòng)化駕駛模型。客戶在每部自動(dòng)化的車輛當(dāng)中部署 K3s 集群，在這些集群之上又承載各種各樣的智能車載軟件，從而管理控制各類設(shè)備。

當(dāng)車輛在馬路上行駛時(shí)，車輛可以通過 K3s 搜集路況、乘客、汽車等信息，上傳到平臺車載軟件進(jìn)行分析處理，并對自動(dòng)化駕駛進(jìn)行相關(guān)的控制，包括車速、安全行駛等等。在完成自動(dòng)化駕駛測試后，車輛回到車庫，將之前采集的數(shù)據(jù)上傳到云端，再次進(jìn)行大數(shù)據(jù)處理和分析。

客戶通過 Rancher Prime+K3s 建立了云邊協(xié)同關(guān)系，通過輕量化、容器化的應(yīng)用以及容器化的部署管理方式，能夠快速應(yīng)對系統(tǒng)和應(yīng)用的快速變化和部署更新，極大降低了運(yùn)維負(fù)擔(dān)。