［卢绍朋 付艳］

1 概述

运营商在Edge-Cloud 产业生态圈中扮演关键角色，运营商将以5G 云化演进为基础，以商业转型为目标，布局重点业务场景，拓展产业生态合作广度及深度，致力于做大Edge-Cloud 产业生态，全面推动运营商数字化转型。

2021 年Edge-Cloud 市场空间将超过80B 美元（根据Research and Markets 提供的研究报告），在整个Edge-Cloud 产业链中，管道连接价值占比仅为10%～15%，应用服务占比45%～65%，运营商在加强管道能力的基础之上，进一步拓展边缘业务平台能力，提供业务支撑及商业孵化。接入边缘计算（MEC）提供了一个新的生态和价值链。MEC 使能电信运营商可以在网络边缘分流业务；向第三方应用及服务开放边缘网络能力。

随着内容与计算能力的下沉，运营商不仅需要提升管道和连接能力，且需要与设备商、内容提供商、OTT、软件开发商等密切合作，打破竖井模式，提供端到端应用解决方案，增强用户粘性，促进整个产业链发展。

2 边缘计算与边缘云特点

2.1 边缘计算特点

多接入边缘计算（Multi-Acess Edge Computing，MEC）从初期概念到现阶段的进阶协同，边缘计算关键技术正在逐步完善。对于边缘计算，不同组织给出了不同的定义。边缘计算产业联盟把边缘计算定义为：“边缘计算是在靠近物或数据源头的网络边缘侧，融合网络、计算、存储、应用核心能力的开发平台，就近提供边缘智能服务，满足行业数字在敏捷联接、实时业务、数据优化、应用智能、安全与隐私保护等方面的关键需求”。因此它是接近于事物、数据和行动源头处的计算。即，邻近计算或者接近计算（Proximity Computing）。如果云计算是集中式大数据处理，边缘计算则可以理解为边缘式大数据处理。边缘计算已经逐步在物联网、AR/VR 场景以及大数据和人工智能行业有所应用。

2.2 边缘云特点

实际上我们将云理解为IT 的概念，网是通信的概念，而边缘计算是CT 和IT 之间互相侵入，互相竞争产生的局面。边缘计算确实具备了移动网络的天然属性，同时也具备了计算中心属性。边缘计算想要真的实现更好的发展，它离不开IT 和CT 的共同助力。按照中国电子技术标准化研究院和阿里云计算有限公司联合发布的《边缘云计算技术及标准化白皮书》里给出的边缘云计算定义为：边缘云计算，简称边缘云，边缘云就是基于云计算技术的核心和边缘计算的能力，构筑在边缘基础设施之上的云计算平台。形成边缘位置的计算、网络、存储、安全等能力全面的弹性云平台，并与中心云和物联网终端形成“云边端三体协同”的端到端的技术架构。

云计算和边缘计算，这二者并不是此消彼长的关系，边缘计算正在拓展云计算的边界。以常见的互动直播场景举例，大量的弹幕、刷礼物、连麦、秒杀等交互，使数据量激增，同时互动直播场景需要十分准确、快速的计算能力。如果在终端上进行视频计算，会大量消耗终端的算力，对终端的性能要求很高且耗电量很大，但是将计算放在云中心，又面临高昂的视频传输成本。5G 时代终端算力上移、云端算力下沉，将在边缘形成算力融合，云-边-端三体协同的架构将会发挥重要的作用。

2.3 5G 技术加速边缘云发展

中国移动表示未来将依托5G 技术，持续加大云端前沿应用的研发投入。一方面，5G 网络是一种“云源生”的数据传输网络，网络单元虚拟化可以帮助运营商节约电力成本，同时帮助运营商更有效地布网和运维，把计算节点下沉这种边缘架构也是5G 网络能够保持低时延的关键，是5G 网络的大势所趋；另一方面，只有虚拟化和网络深度融合，才能让运营商有能力拓展出更多业务。

云计算、NFV、SDN 和ICT 等技术催生了边缘云的发展。边缘云与5G 的核心网络架构一样，需要SDN 和NFV 进行铺路。如图1 所示：NFV 将边缘（如OLT）和云的网元（如vrouter）虚拟化，实现软硬解耦，可以按需调度；SDN 实现数控分离，从而解放网络的运维管理和开发的快速迭代。推动传统的DC 三层网络架构向叶脊网络转变。使得集中式的云计算可以将计算能力下沉到边缘，使得数据直接在边缘就得到处理，缓解了5G 带来的压力。

图1 中心云和边缘云组网架构

3 运营商部署边缘云方案

3.1 边缘云系统架构

运营商层面认为MEC 是分布式网关UPF 的扩展和延伸，但在OTT 和垂直行业角度理解UPF 就是在MEC 外部。运营商价值获取的关键在UPF 上汇聚流量和应用。

目前建设的2B 专线和边缘UPF 可作为边缘云快速部署的切入点。如图2 所示：由MEP 平台和分流网关构成MEC 边缘云架构，通过分层级部署，满足不同业务对网络时延的需求。

MEC 控制面网元集中在大区中心建设，边缘MEC 采用扁平化架构部署省级MEC、地市级MEC、区县/接入/园区MEC。

管理域：MEAO 统一对接B-BSS、OSS4.0；省级、地市MEC 边缘云：满足业务时延＜50 ms、＜20 ms 的高清视频、AR/VR、公共安全需求；边缘MEC 边缘云：满足业务时延＜10 ms 的无人机投递、工业机器人、自动驾驶、远程医疗应用需求。

①规划期内，以河南为例全省行成“2+2+36+X”MEC边缘云目标架构；

② 近期以轻量化、广覆盖为主，主要进行全省骨架MEC 节点广度部署；

③中远期MEC 节点深度部署，园区边缘MEC 不受规模限制，按需部署。

图2 边缘云系统架构

3.2 边缘计算业务平台架构

边缘计算的实现取决于MEC 平台的能力。MEC 平台提供了计算资源、存储容量、网络连接线，并且可以获取用户业务流和无线网络状态信息。MEC 应用平台层由MEC 的虚拟化管理和应用平台功能组成。

MEC虚拟化平台位于无线接入网与移动核心网之间，可利用无线基站内部或无线接入网边缘的云计算设施（边缘云）提供本地化的公有云服务，并能连接位于其它网络（如企业网）内部的私有云从而形成混合云。如图3 所示，MEC 平台基于特定的云计算系统（例如，OpenStack）提供虚拟化软件环境用以规划管理边缘云内的IT 资源。第三方应用以虚拟机（VM）的形式部署于边缘云，能够通过统一的API，获取开放的无线网络能力。MEC 平台由业务域及管理域构成。业务域用于支持第三方应用的运行。管理域负责对MEC 平台的业务域进行管理。

MEC 是云网融合型的平台，其基础是提供边缘本地分流这样的基础网络服务，而其核心价值则是边缘云服务，包括提供边缘虚机、存储等资源型边缘IaaS 服务；提供边缘网络能力开放API、容器以及边缘应用框架在内的平台型边缘PaaS 服务；提供自有以及第三方业务应用在内的边缘ICT 业务服务。总体上，MEC 基本架构可以划分为3 层。

图3 MEC 业务平台架构

（1）资源层：采用标准化X86 或者专用服务器（考虑高密度、小尺寸、GPU/VCA/FPGA 加速卡等需求）。以计算能力为主的计算型服务器、存储为主的存储型服务器以及硬件加速卡之类，满足AI 推理、图形图像渲染、网络高速转发等需求。为上层各种能力服务以及APP 应用提供虚拟化平台资源及管理，支持基于IaaS（虚拟机方式）和CaaS（容器方式）两种部署模式。

IaaS功能是提供基于标准OpenStack开放架构的IaaS平台，提供虚拟机、持久存储等能力。

CaaS 功能是提供基于标准Kubernetes 开放架构和符合OCI 标准接口的CaaS 平台，提供微服务注册、发现、配置、治理框架，实现云原生应用的快速上线。

（2）能力层：网络能力包括本地分流（UPF/SAE-U），还有NAT、虚拟防火墙VFW、DNS、业务负载均衡LB等组网基本服务能力，同时还提供无线网络信息服务RNIS、带宽管理、业务路由规则、无线室内定位等服务。这些服务通过网络能力开放框架，以API 接口方式来提供服务。边缘服务能力层采用微服务化框架设计，随着后续业务需求的变化，可以引入新的能力，如AI 能力、大数据能力等来丰富完善MEC 的能力层。

（3）应用层：部署在边缘位置的各种应用，如视频监控、AR/VR 视频、园区等各种应用APP。

3.3 边缘云安全解决方案

网络边缘侧由于更贴近万物互联的设备，访问控制与威胁防护的广度和难度因此大幅提升。如图4 所示：边缘侧安全主要包含设备安全、网络安全、数据安全与应用安全。此外，关键数据的完整性、保密性，大量生产或人身隐私数据的保护也是安全领域需要重点关注的内容。

图4 安全解决架构

（1）安全挑战

①园区场景：园区场景MEC 设备不由企业控制和管理，园区企业希望非法用户不进园区；

② 网络层：网络协议接口增多，攻击面增大；MEC部署到企业园区，信任关系变化；

③网元层：第三方APP 软件安全能力参差不齐，APP 容易成为安全重灾区；APP 受攻击后可能攻击MEC；

④ NFVI 层：MEC 基于NFV，引入虚拟化（VM、容器）资源共享安全风险；

⑤ 硬件层：边缘部署场景存在物理入侵的安全隐患。

（2）解决方案

①防止恶意用户非法访问企业内网；终端到企业的传输加密；UPF 数据统计核查；企业AAA 二次鉴权；

② 外置物理防火墙隔离和防护；IPsec、TLS 安全协议传输加密；内置IPSec；内置安全防护功能（ACL，状态防火墙，NAT，畸形报文/特殊报文防护）；

③安全加固：平台自有应用、第三方应用代码安全和接口安全；第三方应用实施数字签名、进行完整性校验；

④ 可信资源隔离，安全组，部署vFW、划分vLAN、虚拟机访问控制配置；

⑤ 物理安防，保证物理场所水电、结构的安全；设置出入口控制系统、入侵报警、视频监控等。

3.4 CDN 系统和边缘计算融合方案

CDN 即内容分发网络，其目的是使用户可就近取得所需内容，解决Internet 网络拥挤的状况，提高用户访问网站的响应速度。CDN 的核心价值是将数字内容智能分发到离用户更近的节点，进而提升整体分发效率，降低网络延时、节省带宽资源，其与生俱来的边缘节点属性，低延时和低带宽，令其在边缘计算市场具备先发优势，CDN本身就是边缘计算的雏形。

CDN节点和边缘计算节点部署方式具有天然相似性，但侧重占用资源的类型有所不同，二者在资源层面的协同部署，可有效节省资源。其中，CDN 节点虚拟化是决定资源能否协同的关键因素。CDN 与边缘计算的资源协同存在2 种主要模式，如图5 所示。

图5 CDN 与边缘计算资源协同模式

（1）边缘计算承载CDN 业务：CDN 需要存储类资源池的规划。边缘计算承载业务种类型丰富，提供裸机、容器、虚机的灵活选择，也可以管理多元化硬件，可以满足CDN 的资源池需求。

（2）CDN 承载边缘计算业务：CDN 目前业务场景聚焦内容分发，存储型服务器在满足边缘计算多场景需求存在一定难度。

考虑到边缘云与CDN 业务的相似性，部署位置匹配度高，为充分发挥资源能力，可进行边缘云与CDN 资源布局协调建设。建议采用模式一。逐步推动CDN 云化由边缘云基础资源承载。

3.5 第三方应用部署模式

客户存在多种合作模式，从模式A 到模式C（如图6所示）过程中，合作深度逐步加强，有条件情况下，积极推荐模式C 方式进行部署，强化双方各方面合作。

初级合作（模式A）：CT 与IT 边缘云采用独立的硬件资源池。

中级合作（模式B）：CT 与IT 边缘云采用统一资源池，IaaS 独立部署的隔离方式。

深度合作（模式C）：统一基础设施提供分流+MEP+边缘云平台+业务托管能力。

图6 第三方应用部署模式

4 结束语

根据运营商的强项，首先以目前建设的2B 专线和边缘UPF 分流作为核心网优势快速切入边缘市场，通过边缘网络能力与边缘云的协同，形成快速的基础网络开通能力。

把握边缘节点IaaS 基础实施能力，发挥机房+MEC+CDN 协同优势。边缘能力建设的类型步骤：网络分流→IaaS 基础能力→PaaS 基础服务能力→开发者环境→特定平台能力（如网络能力平台、API 服务等）→云咨询服务能力、解决方案能力。

运营商依托边缘云建设边缘业务平台，在5G 网络中孵化创新应用，致力于满足差异化的客户需求，抢占市场先机。同时将CDN 节点分布式部署在边缘云中，降低集中节点的处理负荷和端到端时延，提升用户体验，增加客户粘性。以边缘云为契机，携手产业界，探索商业模式，全力构建运营商5G 网络边缘生态。