邊緣計算在云和嵌入式世界之間架起了橋梁

有人說，如果你不住在邊緣，你就占用了太多的空間。同樣，如果您不在邊緣計算，那么等待服務(wù)器響應(yīng)的時間太長，并且在云中執(zhí)行分析會消耗太多 WAN 帶寬。邊緣計算節(jié)點位于數(shù)據(jù)源和匯附近，可實現(xiàn)實時處理，并消除昂貴的云訪問網(wǎng)絡(luò)連接作為分析瓶頸。與云計算相比，邊緣計算還可以通過將數(shù)據(jù)保留在現(xiàn)場來增加隱私，并通過允許處理繼續(xù)進行（即使 WAN 鏈路閃爍）來提高彈性。

在某些情況下，這些節(jié)點將是通常意義上的服務(wù)器。然而，在大多數(shù)情況下，它們將是緊湊的設(shè)備，被隱藏起來，努力保持物聯(lián)網(wǎng)嗡嗡作響。通過這種方式，它們就像很好的老式嵌入式系統(tǒng)，但在硬件方面比軟件更重要。嵌入式系統(tǒng)的一個定義是不運行用戶安裝的軟件。在這種假設(shè)下，這些系統(tǒng)運行自定義軟件，捆綁在一個整體映像中。因此，開發(fā)人員很難添加功能或修補缺陷。這些系統(tǒng)的用戶同樣難以應(yīng)用更新或升級，至少與更新PC或智能手機的過程相比。此外，該軟件還與底層硬件及其細節(jié)相關(guān)聯(lián)，而基于服務(wù)器的軟件在容器或虛擬機中運行，這些容器或虛擬機將軟件與實際硬件分離。

這種解耦是云計算背后的關(guān)鍵優(yōu)勢之一：生成機器的虛擬副本可以橫向擴展容量。添加網(wǎng)絡(luò)連接和調(diào)配額外的存儲同樣是一項軟件功能。在云計算中，軟件框架和新的編程語言進一步從底層硬件中抽象出應(yīng)用程序，并提高開發(fā)人員的工作效率。Hadoop和TensorFlow等工具使程序員能夠相對輕松地分析大數(shù)據(jù)并實現(xiàn)人工智能。軟件映像易于開發(fā)和部署。無服務(wù)器功能更加簡單，實現(xiàn)了面向服務(wù)的體系結(jié)構(gòu)，可以取代整體式軟件構(gòu)建。

因此，邊緣節(jié)點將與嵌入式系統(tǒng)共享硬件元素，但運行從云計算繼承的軟件，包括用于編排容器和分配存儲以及用于應(yīng)用程序中間件功能，如數(shù)據(jù)庫、分析和人工智能。這種傳統(tǒng)技術(shù)為邊緣提供了云的開發(fā)人員生產(chǎn)力、應(yīng)用程序管理和與云相關(guān)的可擴展性。大多數(shù)云公司都有邊緣計算應(yīng)用程序框架和邊緣應(yīng)用程序的API，他們創(chuàng)建這些框架和API是為了鋪平從物聯(lián)網(wǎng)到其服務(wù)的入口。加入這些公司的是主要的工業(yè)OEM，它們?yōu)楣S或其他工業(yè)環(huán)境中的邊緣計算提供類似的軟件?？傊?，邊緣計算將云技術(shù)帶到遠離數(shù)據(jù)中心的場所，改變嵌入式處理，類似于云計算如何改變IT。

安全和管理挑戰(zhàn)

邊緣計算為安全和設(shè)備管理帶來了新的挑戰(zhàn)。計算節(jié)點可能分布廣泛，并且物理上無法訪問。即使它們是可訪問的，它們也可能幾乎沒有物理用戶界面。同時，它們網(wǎng)絡(luò)良好，連接到本地嵌入式系統(tǒng)和物聯(lián)網(wǎng)端點，并可能連接到云。此外，企業(yè)可以有許多邊緣計算節(jié)點。應(yīng)對這些挑戰(zhàn)需要強化節(jié)點并開發(fā)軟件來遠程管理節(jié)點并補充主要云提供商的應(yīng)用程序管理軟件。

邊緣計算節(jié)點很像復雜的物聯(lián)網(wǎng)端點，例如連接到互聯(lián)網(wǎng)和本地網(wǎng)絡(luò)并且能夠運行高級操作系統(tǒng)的端點。在過去的幾年里，這些端點在新聞報道中占據(jù)了突出地位，因為它們被黑客入侵并變成了一支機器人大軍或IT系統(tǒng)的跳板。例如，安全公司Darktrace在其《2017年全球威脅報告》中描述了一家賭場，該賭場的豪賭數(shù)據(jù)庫被黑客入侵，黑客通過高科技魚缸闖入。邊緣設(shè)備至少與物聯(lián)網(wǎng)設(shè)備一樣強大，并且可能與運營技術(shù)（OT）和信息技術(shù)（IT）網(wǎng)絡(luò)相關(guān)聯(lián)，是黑客的理想目標。

云系統(tǒng)沒有遭受類似的黑客攻擊，但其安全性的斷層線開始出現(xiàn)。側(cè)信道攻擊（如幽靈和 Meltdown）可能導致惡意租戶從其云鄰居滲透數(shù)據(jù)。就像生活在農(nóng)村一樣，邊緣節(jié)點沒有鄰居。因此，如果將數(shù)據(jù)保存在本地，則本質(zhì)上應(yīng)該更安全。但是，如果沒有適當?shù)姆烙吘壒?jié)點可能容易受到信息竊賊的攻擊。

云計算開發(fā)人員的一大賣點是云服務(wù)提供商處理物理內(nèi)容。開發(fā)人員處理計算、存儲和網(wǎng)絡(luò)資源的抽象虛擬版本。訂購更多資源最多只需單擊鼠標，或者如果云提供商根據(jù)負載擴展它們，則可能根本不需要執(zhí)行任何操作。然而，邊緣計算節(jié)點對開發(fā)人員來說是有形的，他很可能擁有它們而不是租用它們的資源。如果必須手動將序列號鍵入基于云的設(shè)備注冊表中，則簡單地安全地調(diào)試節(jié)點可能非常耗時。然后，必須監(jiān)視這些節(jié)點，并對其加載和更新應(yīng)用程序（程序、無服務(wù)器功能、虛擬機或容器）。

平臺信任和云管理

首要任務(wù)是保護邊緣計算節(jié)點。網(wǎng)絡(luò)安全是其中的一個方面，主要關(guān)注傳輸中數(shù)據(jù)的機密性。物聯(lián)網(wǎng)安全中的一種有效技術(shù)是隔離物聯(lián)網(wǎng)節(jié)點，將它們放置在自己的物理或虛擬LAN或虛擬專用網(wǎng)絡(luò)上。就賭場水族館而言，這還不夠，但網(wǎng)絡(luò)安全系統(tǒng)對網(wǎng)絡(luò)流量的分析發(fā)現(xiàn)了違規(guī)行為。

保護系統(tǒng)的完整性，無論是用于邊緣計算還是其他用途，都需要平臺信任架構(gòu)。其中最好的為重要數(shù)據(jù)（如標識符和加密密鑰）提供了安全的安全隔區(qū)，并提供了可信的執(zhí)行環(huán)境-關(guān)鍵軟件與系統(tǒng)其余部分隔離運行的模式。這些功能必須植根于硬件，才能獲得最大的安全性。一旦實施，它們通過使用存儲在芯片上的密鑰檢查軟件的加密指紋來幫助邊緣節(jié)點安全地啟動。同樣，可以檢查任何軟件更新。此外，以前的版本可以通過取消安全區(qū)中的密鑰來失效。其他功能有助于保護調(diào)試功能 - 黑客最喜歡的后門，可以物理訪問要利用的設(shè)備。平臺信任體系結(jié)構(gòu)還可以支持運行時完整性檢查。一個單獨的過程不斷檢查正在執(zhí)行的軟件。如果以某種方式注入了未經(jīng)批準的內(nèi)容，系統(tǒng)將重新啟動，再次經(jīng)歷安全啟動過程。

這些安全功能還有助于邊緣計算節(jié)點的管理。例如，通過安全存儲在芯片上的加密密鑰和唯一標識符，配置變得更加容易。例如，部署新節(jié)點的人員無需鍵入序列號。相反，系統(tǒng)本身可以通過加密安全通道將其標識符發(fā)送到注冊表，從而自動執(zhí)行注冊過程。然后，注冊表可以將已簽名的軟件映像發(fā)送到節(jié)點，以便在節(jié)點驗證其真實性后運行。如上所述，可以發(fā)送新代碼并使舊代碼失效。

這種硬件和軟件映像的管理需要邊緣設(shè)備和云或本地服務(wù)器上的代碼，后者提供管理控制臺。與硬件信任功能一樣，該軟件可以來自技術(shù)供應(yīng)商。銷售、安裝或使用邊緣節(jié)點的公司可以按原樣使用它或在此基礎(chǔ)上進行構(gòu)建，但不需要從頭開始。同時，這些公司受益于管理邊緣計算節(jié)點上運行的應(yīng)用程序的軟件。這可能來自云提供商或工業(yè) OEM 提供的邊緣計算框架的一部分。理想情況下，提供設(shè)備管理和應(yīng)用程序管理工具的公司已經(jīng)協(xié)調(diào)，簡化了開發(fā)人員設(shè)計邊緣計算系統(tǒng)的工作以及客戶部署和管理它們的工作。

直到現(xiàn)在，邊緣計算才開始改變家庭、商業(yè)建筑和工廠的自動化。由于云和邊緣框架之間的共性，今天駐留在云中的數(shù)據(jù)分析和人工智能技術(shù)將能夠移動到本地。這樣做可以提高它們的可用性，使處理比上傳到遠程數(shù)據(jù)中心更多的數(shù)據(jù)成為可能，將敏感數(shù)據(jù)保留在現(xiàn)場，并縮短數(shù)據(jù)生成，分析和反應(yīng)之間的周轉(zhuǎn)時間。這種轉(zhuǎn)型對安全性和可管理性提出了挑戰(zhàn)，但技術(shù)供應(yīng)商已經(jīng)準備好了克服這些障礙的解決方案。

審核編輯：郭婷