作者简介
张志龙,SUSE 大中华区资深解决方案架构师,CNCF 官方认证的 CKA&CKAD 工程师,深耕以 Kubernetes 为代表的云原生领域,具备丰富的架构设计、业务容器化改造和项目落地实践经验。
据 Gartner 预测,到 2025 年,50% 以上由企业管理的数据都将在数据中心和云之外创建和处理。Linux Foundation 研究发现,到 2025 年,边缘计算的规模将比云大 4 倍,其生成的数据量将占全球所有数据的 75%。随着以 K8s 为代表的云原生技术的成熟,越来越多的用户期望将 K8s 的能力运用到边缘计算场景中。
在边缘运行 K8s 面临诸多挑战
然而,在边缘侧运行 K8s 集群也面临诸多挑战。数据中心具备稳定的运行环境、高带宽的网络、高配置的服务器等成熟的 K8s 运行条件,且有大量企业级厂商提供相关的解决方案。与数据中心不同,通常情况下,边缘侧的运行环境比较恶劣,网络难以保障、硬件配置低,在这样严苛的条件下运行 K8s 将面临极大的挑战:
硬件设备难以支撑 K8s 运行
-
硬件配置低:边缘侧设备的 cpu、内存等计算资源配置通常较低,为个位数级别,主要用于应用自身,难以分配更多资源供诸如 K8s 的中间层平台使用。
-
网络不稳定:运行环境恶劣,与中心之间的网络随时可能中断,无法提供稳定可靠的网络,难以保证 K8s 自身的稳定运行。
-
非生产就绪:虽然社区有轻量化的 K8s,但多为单节点架构,并非是为了运行多节点的生产级环境而设计的,难以提供生产级的高可用服务。
-
增加技术竖井:如果云端采用 K8s,边缘场景使用其他技术栈,云边环境的不一致将导致无法使用相同技术栈进行管理,增加技术竖井。
边缘场景下 K8s 难以管理维护
-
设备分散:边缘场景的一大特点是设备分散在各个区域,难以通过统一的界面对其上的 K8s 服务和业务应用进行集中式管理。而且在海量的边缘设备中部署、更新编排引擎和业务应用也是一大难题。
-
K8s 架构复杂:原生 K8s 包含多个核心的组件服务,高可用架构更为复杂,在边缘侧直接部署原生 K8s 时,其复杂性会分散到各个设备上。
-
难以统一管理:一般应用层、容器层、操作系统层由不同的厂商提供,需要分层管理维护,缺乏统一的生命周期管理手段。
边缘场景下 K8s 难以满足安全需求
-
安全性:边缘设备缺乏专业的安全防护组件,存在被入侵、攻击的风险。
-
合规性:在边缘设备上处理数据涉及到企业的生产和经营活动,难以符合所在行业内的特定准则。
边缘侧 K8s 集群应具备的能力
能够在边缘场景中平稳运行 K8s
-
轻量化:保证 K8s 功能完整的前提下,简化原生 K8s 的核心组件服务,降低架构复杂性,减少用户所需管理的进程和服务数量。降低 K8s 资源消耗,可在低配置设备上运行,预留足够资源运行业务应用。
-
可用性:按需支持多节点组成高可用集群,核心组件也为高可用架构,降低因软硬件故障导致减员带来的影响。集群节点故障或停机维护时,其他节点仍可对外提供服务。
-
自治性:边缘 K8s 集群应具备完整的自治性,不依赖云端管控即可自行正常运行;在单节点故障时,仍可正常运行,且可对故障节点上的应用进行故障转移和恢复。
实现对边缘场景中 K8s 的统一管理
-
全面覆盖:通过云端管控平台使用统一的标准,管理所有边缘设备的主要层级,包括操作系统层、容器编排层、业务应用层。
-
云边协同管理:支持通过云端管控平台对分散的所有边缘设备进行统一管理,包括安装 K8s、部署应用、更新/回退、备份恢复等。
-
批量化管理:支持针对所有边缘 K8s 集群的批量化运维管理操作,包括操作系统、容器编排、业务应用的 OTA 更新,减少人工干预和重复性工作。
解决边缘场景中的安全问题
全面安全防护:应用层、容器层、操作系统层具备完善的安全防护能力,可阻止异常访问、入侵、攻击;可监测平台的实时安全状态、漏洞等;可阻止敏感数据的传输和泄漏。
SUSE 的应对之道
SUSE 利用轻量化的 K8s 产品——K3s,并与其他产品组合,推出了 SUSE Edge 2.0 云原生边缘管理解决方案,为从应用程序到 K3s 再到操作系统的整个堆栈进行了安全策略的无缝集成。无论是通用的边缘场景,还是电信、汽车、卫星等需要额外功能的各类边缘场景,SUSE 都能基于不同用例提供完全契合客户需求的边缘解决方案,真正实现了“在任意位置运行 Kubernetes ”的愿景。
SUSE Edge 2.0 解决方案的核心功能及组件包括:
-
K3s:经过 CNCF一致性认证的轻量化 K8s 发行版,具备完善的 K8s 能力,支持企业级的高可用架构,及完全的边缘自治能力,同时可与 Rancher 结合实现云边协同,非常适合资源有限的边缘设备。
-
SLE Micro:专为容器化和虚拟化工作负载打造的轻量级不可变操作系统,rootfs 不可变,减少了攻击面,增加了可靠性;通过了诸如 FIPS 140-3 安全认证和通用标准评估。
-
NeuVector:按需集成,对操作系统、K3s、业务容器进行全生命周期的安全防护。
-
Rancher:云端管控平台,可统一管理 K3s 和底层操作系统。利用 Elemental 工具无缝部署底层操作系统。利用 Fleet 帮助用户部署和管理大规模的 K3s 集群和应用。集成其他生态组件,简化运维管理。
典型应用
工业领域
中国某钢铁集团在智慧矿山项目中采用了 Rancher Prime+K3s 解决方案,构建了一套云边协同系统,实现了数据协同、应用协同和 AI 协同。在边缘侧 K3s 集群中即可实现数据的采集接入、流计算处理和工艺参数 AI 优化,并将优化指令下发到现场端设备。在云端,Rancher Prime 可实现边缘集群管理、应用下发、AI 模型下发。该方案保证了云边技术栈的一致性,降低了运维管理难度,提升了生产效率。
汽车行业
知名自动驾驶公司采用了 Rancher Prime+K3s 解决方案,构建了自动化驾驶模型。客户在每部自动化的车辆当中部署 K3s 集群,在这些集群之上又承载各种各样的智能车载软件,从而管理控制各类设备。
当车辆在马路上行驶时,车辆可以通过 K3s 搜集路况、乘客、汽车等信息,上传到平台车载软件进行分析处理,并对自动化驾驶进行相关的控制,包括车速、安全行驶等等。在完成自动化驾驶测试后,车辆回到车库,将之前采集的数据上传到云端,再次进行大数据处理和分析。
客户通过 Rancher Prime+K3s 建立了云边协同关系,通过轻量化、容器化的应用以及容器化的部署管理方式,能够快速应对系统和应用的快速变化和部署更新,极大降低了运维负担。