作者簡介

張志龍，SUSE 大中華區資深解決方案架構師，CNCF 官方認證的 CKA&CKAD 工程師，深耕以 Kubernetes 為代表的云原生領域，具備豐富的架構設計、業務容器化改造和項目落地實踐經驗。

據 Gartner 預測，到 2025 年，50% 以上由企業管理的數據都將在數據中心和云之外創建和處理。Linux Foundation 研究發現，到 2025 年，邊緣計算的規模將比云大 4 倍，其生成的數據量將占全球所有數據的 75%。隨著以 K8s 為代表的云原生技術的成熟，越來越多的用戶期望將 K8s 的能力運用到邊緣計算場景中。

—— 在邊緣運行 K8s 面臨諸多挑戰 ——

然而，在邊緣側運行 K8s 集群也面臨諸多挑戰。數據中心具備穩定的運行環境、高帶寬的網絡、高配置的服務器等成熟的 K8s 運行條件，且有大量企業級廠商提供相關的解決方案。與數據中心不同，通常情況下，邊緣側的運行環境比較惡劣，網絡難以保障、硬件配置低，在這樣嚴苛的條件下運行 K8s 將面臨極大的挑戰：

硬件設備難以支撐 K8s 運行

• 硬件配置低：邊緣側設備的 cpu、內存等計算資源配置通常較低，為個位數級別，主要用于應用自身，難以分配更多資源供諸如 K8s 的中間層平臺使用。
• 網絡不穩定：運行環境惡劣，與中心之間的網絡隨時可能中斷，無法提供穩定可靠的網絡，難以保證 K8s 自身的穩定運行。
• 非生產就緒：雖然社區有輕量化的 K8s，但多為單節點架構，并非是為了運行多節點的生產級環境而設計的，難以提供生產級的高可用服務。
• 增加技術豎井：如果云端采用 K8s，邊緣場景使用其他技術棧，云邊環境的不一致將導致無法使用相同技術棧進行管理，增加技術豎井。

邊緣場景下 K8s 難以管理維護

• 設備分散：邊緣場景的一大特點是設備分散在各個區域，難以通過統一的界面對其上的 K8s 服務和業務應用進行集中式管理。而且在海量的邊緣設備中部署、更新編排引擎和業務應用也是一大難題。
• K8s 架構復雜：原生 K8s 包含多個核心的組件服務，高可用架構更為復雜，在邊緣側直接部署原生 K8s 時，其復雜性會分散到各個設備上。
• 難以統一管理：一般應用層、容器層、操作系統層由不同的廠商提供，需要分層管理維護，缺乏統一的生命周期管理手段。

邊緣場景下 K8s 難以滿足安全需求

• 安全性：邊緣設備缺乏專業的安全防護組件，存在被入侵、攻擊的風險。
• 合規性：在邊緣設備上處理數據涉及到企業的生產和經營活動，難以符合所在行業內的特定準則。

—— 邊緣側 K8s 集群應具備的能力 ——

能夠在邊緣場景中平穩運行 K8s

• 輕量化：保證 K8s 功能完整的前提下，簡化原生 K8s 的核心組件服務，降低架構復雜性，減少用戶所需管理的進程和服務數量。降低 K8s 資源消耗，可在低配置設備上運行，預留足夠資源運行業務應用。
• 可用性：按需支持多節點組成高可用集群，核心組件也為高可用架構，降低因軟硬件故障導致減員帶來的影響。集群節點故障或停機維護時，其他節點仍可對外提供服務。
• 自治性：邊緣 K8s 集群應具備完整的自治性，不依賴云端管控即可自行正常運行；在單節點故障時，仍可正常運行，且可對故障節點上的應用進行故障轉移和恢復。

實現對邊緣場景中 K8s 的統一管理

• 全面覆蓋：通過云端管控平臺使用統一的標準，管理所有邊緣設備的主要層級，包括操作系統層、容器編排層、業務應用層。
• 云邊協同管理：支持通過云端管控平臺對分散的所有邊緣設備進行統一管理，包括安裝 K8s、部署應用、更新/回退、備份恢復等。
• 批量化管理：支持針對所有邊緣 K8s 集群的批量化運維管理操作，包括操作系統、容器編排、業務應用的 OTA 更新，減少人工干預和重復性工作。

解決邊緣場景中的安全問題

全面安全防護：應用層、容器層、操作系統層具備完善的安全防護能力，可阻止異常訪問、入侵、攻擊；可監測平臺的實時安全狀態、漏洞等；可阻止敏感數據的傳輸和泄漏。

—— SUSE 的應對之道 ——

SUSE 利用輕量化的 K8s 產品——K3s，并與其他產品組合，??推出了 SUSE Edge 2.0 云原生邊緣管理解決方案???，為從應用程序到 K3s 再到操作系統的整個堆棧進行了安全策略的無縫集成。無論是通用的邊緣場景，還是電信、汽車、衛星等需要額外功能的各類邊緣場景，SUSE 都能基于不同用例提供完全契合客戶需求的邊緣解決方案，真正實現了“在任意位置運行 Kubernetes ”的愿景。

SUSE Edge 2.0 解決方案的核心功能及組件包括：

• K3s：經過 CNCF一致性認證的輕量化 K8s 發行版，具備完善的 K8s 能力，支持企業級的高可用架構，及完全的邊緣自治能力，同時可與 Rancher 結合實現云邊協同，非常適合資源有限的邊緣設備。
• SLE Micro：專為容器化和虛擬化工作負載打造的輕量級不可變操作系統，rootfs 不可變，減少了攻擊面，增加了可靠性；通過了諸如 FIPS 140-3 安全認證和通用標準評估。
• NeuVector：按需集成，對操作系統、K3s、業務容器進行全生命周期的安全防護。
• Rancher：云端管控平臺，可統一管理 K3s 和底層操作系統。利用 Elemental 工具無縫部署底層操作系統。利用 Fleet 幫助用戶部署和管理大規模的 K3s 集群和應用。集成其他生態組件，簡化運維管理。

SUSE Edge 2.0 解決方案的邊緣堆棧示例

—— 典型應用 ——

工業領域

中國某鋼鐵集團在智慧礦山項目中采用了 Rancher Prime+K3s 解決方案，構建了一套云邊協同系統，實現了數據協同、應用協同和 AI 協同。在邊緣側 K3s 集群中即可實現數據的采集接入、流計算處理和工藝參數 AI 優化，并將優化指令下發到現場端設備。在云端，Rancher Prime 可實現邊緣集群管理、應用下發、AI 模型下發。該方案保證了云邊技術棧的一致性，降低了運維管理難度，提升了生產效率。

汽車行業

知名自動駕駛公司采用了 Rancher Prime+K3s 解決方案，構建了自動化駕駛模型。客戶在每部自動化的車輛當中部署 K3s 集群，在這些集群之上又承載各種各樣的智能車載軟件，從而管理控制各類設備。

當車輛在馬路上行駛時，車輛可以通過 K3s 搜集路況、乘客、汽車等信息，上傳到平臺車載軟件進行分析處理，并對自動化駕駛進行相關的控制，包括車速、安全行駛等等。在完成自動化駕駛測試后，車輛回到車庫，將之前采集的數據上傳到云端，再次進行大數據處理和分析。

客戶通過 Rancher Prime+K3s 建立了云邊協同關系，通過輕量化、容器化的應用以及容器化的部署管理方式，能夠快速應對系統和應用的快速變化和部署更新，極大降低了運維負擔。