人工智能边缘超融合网关技术深度分析
一、超融合网关技术
(一)超融合网关定义
超融合网关是一款创新网关,融合多种硬件,满足各类应用需求。它结合了传统网络功能和虚拟化、并行处理、异构资源优化等前沿技术,实现网络的高度集成和智能化。通过超融合网关,网络的灵活性和可扩展性大幅提升,同时管理复杂性和成本得到有效降低。
超融合网关的出现,对网络的发展产生了深远的影响。
超融合网关通过集成多项功能彻底改革了网络,增强了灵活性和可扩展性。它消除了传统网络设备的单一功能限制,允许根据需求配置服务,从而优化网络性能。
超融合网关革新网络架构,整合设备功能、性能和管理,显著提升网络效率和灵活性。随着技术的持续演进,超融合网关有望带来更多创新,引领网络未来的发展。
同时,相比于部署与中心云的超融合网关,部署在边缘云的超融合网关还有如下特点:
边缘超融合网关凭借其在资源受限环境下部署的优势,可为边缘计算带来更大效益。与中心云场景中部署在充裕资源数据中心的超融合网关相比,边缘部署可释放更多潜力,提升资源收益。
边缘超融合网关技术可大幅降低网络带宽成本,高达 90%。边缘处理减少了数据传输,从而降低了成本,使企业能够在边缘站点享受更实惠的带宽。
边缘超融合网关技术通过本地处理敏感数据,将数据泄露风险降低 70%,高于中心云场景的超融合网关技术,有效提升数据安全性和隐私性。
更强的可扩展性:边缘超融合网关具备分布式处理优势,可轻松部署和扩展至多个边缘设备。相反,中心云场景需依赖集中式数据中心资源。
(二)超融合网关形态与技术架构
图 9 面向边缘云计算的超融合网关典型部署位置
超融合网关助力边缘云计算,可与中心云实现多种接入方式,包括专线接入、公网 VPN 接入和无线空口接入,同时提供便捷的本地接入体验。
超融合网关集成了 LB、NAT、EIP 等多种网元能力,提供流量分发、公网访问等服务。通过对接多种业务流量,网关可为用户虚机提供全面的网络解决方案,满足不同业务场景需求。
超融合网关可以采用不同的形态和技术架构,以下是三种典型的超融合网关形态:
1) 服务器+可编程交换机形态:
硬件架构:
助力网络设备提升性能:采用通用处理器,提供强劲计算和存储力。支持虚拟化技术,增强表项规模和高密度计算能力,提升网关性能。
可编程交换机通过采用先进的可编程交换芯片(如 Tofino、SiliconOne),赋能灵活的数据包处理和转发,大幅提升网络可扩展性和定制化。2) CPU 芯片+交换机 ASIC 芯片+FPGA 高度集成形态:
硬件架构:
高性能交换机 ASIC 芯片(如 Tofino、Silicon One、Trident、Tomahawk)提供高速数据包处理和转发。集成创新:汇聚高性能 CPU、交换机 ASIC 和 FPGA 于一体,显著提升性能,同时优化功耗和空间利用率。3) CPU 芯片+交换机 ASIC 芯片+IPU/DPU 等高度集成状态:
硬件架构:
采用高性能 x86 或 ARM 处理器,提供稳定可靠的计算和存储资源。支持虚拟化技术,满足多任务处理和部署需求。IPU/DPU 芯片:云计算基础设施的加速引擎IPU/DPU 芯片是一种高级网络设备,集高速以太网接口、强大存储和计算资源、硬件安全于一体。它们通过卸载虚拟化、容器化、网络和存储等基础设施功能,大幅释放云计算资源。
这些芯片为云计算基础设施提供以下优势:
* 提升性能
* 优化资源利用
* 增强安全保护
在上述超融合网关形态中,软件架构都包含以下组件:
网络管理解决方案:控制面
* 集中设备配置与管理
* 实时状态监控(CPU健康、内存使用率、端口状态)
* 路由管理、配置核查与对账
* 系统升级与变更管理
* 安全性鉴权与管控
应用层 orchestrates 多个应用在超融合网关设备上无缝运行,不受彼此干扰。关键技术包括容器隔离和交换机管道级隔离,确保应用程序稳定性和性能。转发优化:* 采用表项扩容技术,支持大规模并发用户。
* 利用自动化测试,加速超融合网关迭代。
* 运用协议一致性同步,实现状态网关高可用。
图 10 典型的超融合网关软硬件架构
基于开放硬件、SAI 接口、Sonic 操作系统和开源部署工具,超融合软硬件架构提供了统一的超融合网关形态。这种架构通过虚拟化和软件定义网络技术,简化了网络管理并提高了灵活性,可满足现代数据中心日益增长的需求。
图 11 典型的超融合网关硬件架构
如图 11 所示是一种典型的超融合网关硬件架构,可提供 3.2T-51.2T 的带宽,使用基于 P4 可编程 ASIC 芯片,可自定义基础的L2/L3 转发流程,片上 HBM 提供大表相及大 buffer 转发。VoQ 架构提供高性能的流量 Shape 和 QoS 功能,同时具体丰富的 ACL 资源提供设备安全。有 PCIE 接口和专用端口与硬件 Multi-Core x86 CPU 通信,可将有状态的 session 和 NAT 能力卸载到 x86 CPU 处理,同时可安装所需的 Container App 提供相关的安全和运维监控能力。
(三)超融合网关典型网元功能
1.负载均衡(LB, Load Balance)
负载均衡通过分配网络流量至多台服务器,提升应用程序可用性、性能和可扩展性。有两种负载均衡类型:
* 四层负载均衡(TCP/UDP)
* 七层负载均衡(HTTP/HTTPS)
图 12 负载均衡网关架构图
四层负载均衡采用多机器集群部署,提升可用性和稳定性。集群内每一节点均均衡分担访问请求,并具备会话同步策略,确保业务高可用,有效解决海量请求并发访问问题。
它的典型流程包括:
1) 客户端发起 TCP/UDP 类型的请求,请求到达四层负载均衡网关;
2) 四层负载均衡网关根据分发策略选择一个后端业务服务器;
3) 将请求转发到选定的后端服务器;
4) 后端服务器处理请求并返回响应;
5) 负载均衡网关将响应返回给客户端。
多机器集群部署的七层负载均衡网元提供卓越的会话同步能力,满足不同业务部署需求。根据流量交互模式,采用特定的流量路径,确保业务平稳运行和用户体验优化。
具体地:
四层与七层负载均衡协作:
当七层负载均衡接收到四层请求时,它将首次 HTTPS 请求转发给 Key 服务器,进行证书验证和加密。随后,根据流量策略,请求将分发给目标服务器。
负载均衡网元包含关键功能的有:
根据策略,将流量分发到服务器,优化响应时间和服务器负载。策略包括:* 轮询:依次分发请求
* 最少连接:优先分发到连接数最少的服务器
* 源 IP 哈希:根据客户端 IP 分发请求
健康检查:定期检查后端服务器的健康状况,确保流量只分发到正常运行的服务器。卸载 SSL/TLS 加密,释放服务器性能。借助负载均衡器处理加密,后端服务器专注业务逻辑,提升效率 30%。缓存和压缩:对静态资源进行缓存和压缩,以减少网络延迟和带宽消耗。负载均衡网元的典型关键设计一般包括:
负载均衡网关采用两种形式:专用硬件或软件解决方案。硬件设备提供更高性能,而软件解决方案具有灵活性、可扩展性优势。全面保障:负载均衡网关抵御 DDoS 攻击和 SYN flood 攻击等网络威胁,确保应用程序和数据安全。NAT(网络地址转换)可让多个设备共享单个公共 IP 地址,有效利用 IP 地址资源,提升网络安全性并简化网络管理。
NAT 优化网络连接,让多个设备共享一个公共 IP 地址。它提升了 IP 地址利用率,节省了资源。同时,NAT 增强了网络安全性,为私有网络提供了一层保护屏障。
公网 NAT 网关为边缘业务提供安全防护:
* 业务主动访问公网服务,无需对外暴露
* 保护边缘站点免受网络攻击
图 13 NAT 网关网络架构
如图 13 所示, NAT 网关典型的访问公网服务的(SNAT)流程包括:
1) 边缘计算机房中的内部网络设备发起请求,请求到达 NAT 网关集群。
NAT 网关集群巧妙地转换内部网络和互联网之间的流量,实现 IP 地址和端口号的无缝转换。通过预设规则,它为内部系统提供安全可靠的公网访问。
3) 将转换后的请求发送到公共网络。
4) 公共网络中的目标服务器处理请求并返回响应。
响应到达 NAT 网关时,它会根据预先配置的转换规则,将公网 IP 地址和端口转换为内部私有 IP 地址和端口,为内部服务器提供安全且可访问的外部连接。
6) 将响应转发给内部网络中的设备。
此外,NAT 网关典型的提供公网服务的(DNAT)流程包括:
1) 公共网络中的用户向指定的公网 IP 地址和端口号发起请求。
2) 响应包到达 NAT 网关,经过预先配置的规则转换,将公网 IP 和端口号转换为指定内部 IP 和端口号。
3) 将响应转发给内部网络中的设备。
6) 将转换后的请求发送到公共网络中的用户,完成整体流程。
网络地址转换的关键功能包括:
网络地址转换 (NAT),将内部 IP 地址映射至外部 IP 地址,连接私有和公共网络。此转换保护内部网络安全,同时允许设备无缝访问外部世界。
端口映射赋能 NAT 网关,将多个内部设备映射到单一公共 IP 地址,实现共享连接,充分发挥公共 IP 资源。
路由功能:NAT 网关通常具有路由功能,负责在内部网络和外部网络之间转发数据包。
NAT 网关集成了强大防火墙功能,过滤和控制进出内网的数据包,有效提高网络安全性,保护您的数据免受威胁。
网络地址转换的典型设计点包括:
静态 NAT:将内部 IP 地址一对一映射到固定外部 IP 地址。这适用于需要稳定公网 IP 的情况,例如托管服务器。这种映射确保了内部设备始终使用相同的外部 IP 地址,增强了安全性并简化了远程访问。动态 NAT:多对一地址映射,将内部网络多个 IP 映射到公网 IP,适合共享公网 IP 的场景,如上网用户。端口地址转换 (PAT):PAT 是一种映射方式,可将内部网络中的多个设备连接到单个公共 IP 地址。利用端口映射,PAT 允许设备访问外部网络,同时节省 IP 地址资源。
双向 NAT 提供双向地址转换,支持内部网络与外部网络的顺畅通信。它适用于需要双向连接的应用,例如 VoIP 和 P2P,确保数据在网络之间无缝传输。物理机与虚拟机互通网关(P2V Gateway)为物理机和虚拟机之间架起数据传输桥梁。它提供无缝通信,确保不同环境下的设备可以轻松交换数据。
图 14 PVGW 网关网络架构图
如图 14 所示为物理机和虚机互通网关的典型流程。
具体包括:
1) 物理机发起请求,请求到 PVGW 网关集群。
PVGW 网关接收 IP 数据包,根据目的 IP 路由到隧道,封装 vxlan 隧道并将其转发给目标虚拟机。vxlan 隧道外层携带虚拟机母机 IP 等信息。
3) 虚拟机处理请求并返回响应数据包。
响应数据包抵达 PVGW 后,它剥离 VXLAN 隧道信息,识别内层目的 IP,精准转发至指定物理机。
物理机和虚机互通网关的关键功能包括:
网络适配:将物理网络与虚拟网络进行适配,使物理机和虚拟机能够互相通信。路由与转发:在物理机和虚拟机之间转发数据包,实现数据传输和远程访问。安全性:提供访问控制、流量过滤等安全功能,防止未经授权的访问和数据泄露。网络管理:提供网络管理功能,如带宽监控、故障排查等,帮助优化网络性能和稳定性。4.弹性 IP(EIP, Elastic IP)
弹性 IP 网关:边缘计算的动态 IP 解决方案
动态分配公共 IP 地址,满足边缘云计算的灵活性需求。弹性 IP 是固定不变的公网 IP,提供公网访问和被访问的能力,可独立购买和持有于某个地域。
普通公网 IP 仅在购买云服务器 (CVM) 时分配,无法解绑。EIP (弹性公网 IP) 则独立于 CVM,可以随时绑定或解绑云资源(包括 CVM、NAT 网关、弹性网卡和高可用虚拟 IP)。
弹性 IP 网关的关键功能包括:
弹性 IP 管理:轻松地将弹性 IP 地址分配和释放给虚拟机和其他资源,满足您的动态 IP 地址需求。流量转发:将公共网络中的流量根据弹性 IP 地址转发到相应的内部资源,反之亦然。高可用架构:弹性 IP 网关提供冗余机制,确保在发生设备故障或网络问题时,弹性 IP 地址也能保持正常运行和访问。图 15 EIP 网关的网络架构
如图 15 所示,弹性 IP 网关的典型流程包括:
1) 用户通过管理控制台或 API 请求分配一个弹性 IP 地址。
3) 用户将分配到的弹性 IP 地址绑定到特定的虚拟机或其他资源上。
5) 公共网络中的流量根据弹性 IP 地址被转发到相应的内部资源,反之亦然。
6) 用户可以根据需要解绑弹性 IP 地址,并将其重新绑定到其他资源上。
5.虚拟专用网络(VPN, Virtual Private Network)
VPN(虚拟专用网关)安全连接公私网络,让远程用户安全访问私有资源。它建立在公共网络上,提供私有网络的便利性,保障数据传输安全。
优化 VPN 方案:
边缘云中,VPN 支持 IPSec 和 SSL 协议,实现全连接:IDC、办公网络、移动端、VPC/CCN。
图 16 VPN 网关-租户 VPC 与用户 IDC 打通场景
图 17 VPN 网关-多个 IDC 在通过 VPN 连接上边缘云场景中实现互通
图 18 VPN 网关-IDC 通过 VPN 主备通道实现主备容灾上边缘云
如图 16-图 18 所示,包含多种 VPN 网关与用户 IDC 互通的场景。
解锁混合云便捷连接:VPN 网关直通用户 IDC,实现就近上云,轻松连接本地资源,数据安全传输,业务连续性保障。
借助 IPsec VPN 设备,IDC-1、IDC-2 和 IDC-3 可安全访问边缘云 VPC 和其私有网络资源。通过边缘云 VPN 网关中转,IDC 之间可实现互通,建立与 VPC 的安全连接。在保障数据安全的同时,此解决方案支持跨越 IDC 和 VPC 之间的无缝通信,满足企业复杂的网络需求。
利用 VPN 主备通道,建立 VPN 网关与 IDC 之间的冗余连接,实现主备容灾,保障边缘云业务的高可用性。
为简化用户 IDC 与边缘云之间的互联,只需与单个边缘云 VPC 建立连接。用户可在 IDC 部署两台 VPN 设备,分别与边缘云 VPN 建立 IPSec 通道。VPN 网关路由表配置一致的路由条目,通过优先级控制,实现主备通道,并在故障发生时自动切换路由。
虚拟专用网关的关键功能包括:
安全连接:虚拟专用网关可以在公共网络上建立一个安全的连接,保护数据的传输安全。数据加密:虚拟专用网关可以对数据进行加密,保护数据的机密性。数据完整性:虚拟专用网关可以对数据进行完整性检查,保数据没有被篡改。6.专线 (DG, Dedicated Gateway)
专线网关,连接企业内部网络与外部网络的专属通道。
专线网关提供:
- 专用、高速连接,低延迟
- 与多个物理专线建立通道
- 连接多地混合云部署
图 19 专线网关架构图
优化后文字:
借助专线网关,用户内部网络可通过专用通道连接边缘云 VPC,实现内网互通。其架构包括:
* 逻辑层:专线网关与用户路由器连接,并配置路由指向云服务器。
* 物理层:用户机房与边缘云机房通过运营商专线连接。
其典型流程包括:
1) 企业与云计算平台或数据中心提供商签订专线服务协议,建立专用连接。
2) 专线网关部署在企业内部网络和外部网络的交界处,负责连接两个网络。
3) 企业内部网络中的设备发起请求,请求到达专线网关。
4) 专线网关根据路由规则,将请求通过专用连接转发到外部网络中的目标设备。
5) 目标设备处理请求并返回响应。
6) 响应通过专用连接到达专线网关,专线网关将响应转发给内部网络中的设备。
专线网关的关键功能包括:
专用连接:专线网关提供专用的物理或虚拟连接,确保网络带宽、延迟和稳定性。路由与转发:在内部网络和外部网络之间转发数据包,实现数据传输和远程访问。企业云专线网关是部署多云网络的关键组件,与 SD-WAN 结合使用,可提供强大的连接性和管理性。其先进的安全功能(访问控制、数据加密、身份验证)确保数据安全。高可用性、负载均衡和性能优化功能保证企业网络与云服务之间可靠连接。
图 20 典型的专线接入网络架构
虚拟化的企业云网关,具备全面安全功能,可按需分配 CPU 资源。通过动态分配独占 CPU 核心,均衡不同应用模块的性能和功能需求,保障稳定高效的网络连接和安全保护。
图 21 典型的虚拟化部署的企业云网关
工业 IoT 边缘云协议转换网关,无缝连接传统设备与新一代物联网系统,实现多协议互联,数据采集、分析和远程控制。
工业边缘协议转换网关是一种连接不同协议的设备,允许工业和物联网设备与云平台交互。它通过转换协议,实现设备之间的数据传输和通信,推动工业互联网和物联网的发展。
工业边缘协议转换网关,工业互联网的关键桥梁,连接物理与数字世界。它将工业现场设备连接成整体,满足低延时、高可靠的需求。其三层技术架构采用边缘智脑进行智能数据处理,实现现场自动化和信息化融合。
图 22 工业边缘网关技术架构示意图
边缘网关应用层(北向)
负责边缘设备的预处理、AI算法运行和边缘智脑交互。通过这一接口,边缘智脑可远程管理、更新和管控边缘网关,并支持各类设备的集成。
边缘网关的南向物理层连接现场设备,通过 OPCUA over TSN 实现传感器到云的数据传输。这种连接方式确保了跨厂商互操作性,为工业应用提供了一种可靠且可扩展的连接解决方案,构建了一个融合 OICT 生态系统。
3) 核心层:指边缘网关的系统层,包括操作系统、Kubernetes服务以及 EdgeX Foundry 组件。目前主流的嵌入式操作系统都 是 基 于 Linux 的 , 包 括 CentOS 、 Ubuntu 、 Debian 和Fedora 等;Kubernetes 能提供容器化部署环境;而 EdgeXFoundry 是一组开源的开源微服务集合,可以在 Kubernetes环境中运行,其核心组件能提供微服务配置、持久性存储库、设备服务配对等功能,处理北向应用及其他微服务发往南向的请求。
EdgeX Foundry 与平台或供应商无关,可以由微服务或软件组件进行升级或替换,允许服务根据设备功能和用例进行扩展和缩小,支持设备/传感器现场部署,安全且易于管理,是理想的边缘计算平台。
IOT Edge Intelligence:为物联网边缘智能平台,旨在帮助企业实现物联网设备的智能计算和分析能力。它支持在边缘部署的虚拟化环境和容器化应用程序,以实现实时的数据处理和决策能力。强大的数据集成和管理功能,可以连接和整合来自不同设备和传感器的数据。它支持多种通信协议和数据格式,并提供数据采集、清洗、转换和存储的能力,以确保数据的准确性和完整性。
支持在边缘节点上运行高级分析算法和人工智能模型,以实现智能决策和预测能力。它可以将实时数据与预先训练的模型相结合,以实现实时的智能决策,提高物联网系统的效率和响应能力。
图 23 物联网边缘协议转换网关架构示意图
边缘智能与公有云的交互带来多重优势,包括:
* 数据协同: 实现边缘和云之间的无缝数据传输与同步。
* 边缘计算: 增强边缘设备的计算能力,实现实时分析和决策。
* 云控边缘: 通过云端管理和控制边缘设备,提高系统效率。
* 机器学习赋能: 借助公有云的 ML 资源,部署和更新模型,提升边缘设备的智能化。
这种交互提升了物联网解决方案的性能、可靠性、灵活性和智能化程度,充分发挥了边缘设备和公有云平台的优势。
图 24 IoT 边缘网关产品矩阵
协议转换网关的关键功能包括:
连接设备,畅通数据流!协议转换,让工业设备和物联网设备与云平台无缝通信。数据不再受限,为您的数字化转型提供坚实基础。
安全性:提供加密、身份验证等安全功能,确保设备与云平台之间的通信安全。协议转换网关的典型流程包括:
1) 工业互联网设备或物联网设备发起请求,请求到达协议转换网关。
2) 网关对请求进行协议转换和数据处理。
3) 转换后的请求发送到云平台。
4) 云平台处理请求并返回响应。
5) 响应通过网关到达设备,网关对响应进行协议转换和数据处理。
6) 设备接收到经过转换的响应。
-对此,您有什么看法见解?-
-欢迎在评论区留言探讨和分享。-