SUSE Edge 3.3.1 文档 #
欢迎阅读 SUSE Edge 文档,在这里可以找到总体体系结构概述、快速入门指南、经过验证的设计、组件用法指南、第三方集成,以及有关管理边缘计算基础架构和工作负载的最佳实践。
1 什么是 SUSE Edge? #
SUSE Edge 是有针对性的、紧密集成且经过全面验证的端到端解决方案,用于解决在边缘处部署基础架构和云原生应用程序时存在的独特挑战。其核心作用是提供一个有主见但高度灵活、高度可缩放且安全的平台,涵盖初始部署映像的构建、节点置备和初始配置、应用程序部署、可观测性和完整生命周期操作。该平台从一开始就构建于同类最佳的开源软件基础之上,传承了我们 30 年来提供安全、稳定且经认证的 SUSE Linux 平台的历史,继续通过 Rancher 产品组合提供高度可缩放且功能丰富的 Kubernetes 管理。SUSE Edge 基于这些功能构建,可以提供满足众多细分市场需求的功能,包括零售、医疗、交通、物流、电信、智能制造和工业物联网 (IoT)。
2 设计理念 #
该解决方案的设计考虑到了客户的需求和期望千差万别,因此不存在“以一应百”的边缘平台。边缘部署促使我们解决并不断设想出一些极具挑战性的问题,包括大规模可伸缩性、网络受限情况下的可用性、物理空间限制、新的安全威胁和攻击途径、硬件体系结构和系统资源的差异、部署旧式基础架构和应用程序并与之连接的要求,以及使用寿命较长的客户解决方案。由于其中的许多挑战与传统思维方式不同(例如在数据中心或公有云中部署基础架构和应用程序),我们必须更周密地审视设计,并反复思考许多常见假设条件。
例如,我们发现极简主义、模块化和易操作性具有重要价值。极简主义对于边缘环境非常重要,因为系统越复杂,就越容易出现故障。在分析数百乃至数十万个位置后,我们发现复杂的系统会出现纷繁复杂的故障。解决方案中的模块化允许用户做出更多选择,同时消除部署的平台中不必要的复杂性。我们还需要在这些方面与易操作性之间取得平衡。人类用户在重复某个流程数千次后可能会出现失误,因此平台应确保任何潜在失误都可恢复,从而消除技术人员亲临现场解决问题的需要,同时尽力实现一致性和标准化。
3 总体体系结构 #
SUSE Edge 的总体系统体系结构分为两个核心类别,即“管理”群集和“下游”群集。管理群集负责一个或多个下游群集的远程管理。不过,在某些情况下,下游群集需要在没有远程管理的情况下运行,例如在边缘站点没有外部连接并且需要独立运行的情况下。在SUSE Edge 中,用于管理群集和下游群集运维的技术组件在很大程度上是相同的,只是在系统规范和系统使用的应用程序方面可能有所不同:管理群集运行能够实现系统管理和生命周期操作的应用程序,而下游群集则是满足各项要求以支持用户应用程序的运行。
3.1 SUSE Edge 中使用的组件 #
SUSE Edge 由现有的 SUSE 和 Rancher 组件以及 Edge 团队构建的其他功能和组件组成,能帮助我们解决边缘计算中存在的限制和复杂性。以下是对管理群集和下游群集中所用组件的说明,并附有总体体系结构概要图(请注意,其中并未列举出所有组件):
3.1.1 管理群集 #
管理:SUSE Edge 的中心部分,用于管理所连下游群集的置备和生命周期。管理群集通常包括以下组件:
通过 Rancher Prime(第 5 章 “Rancher”)实现的多群集管理,为下游群集的初始配置以及基础架构和应用程序的持续生命周期管理提供了一个通用仪表板,还提供了全面的租户隔离和
IDP
(身份提供程序)集成、第三方集成和扩展的巨大市场,以及不限供应商的 API。通过 SUSE Multi-Linux Manager 实现的 Linux 系统管理,支持对下游群集上运行的底层 Linux 操作系统 *SUSE Linux Micro(第 9 章 “SUSE Linux Micro”)执行自动化的 Linux 补丁和配置管理。请注意,虽然此组件已容器化,但它目前需要在与其他管理组件分离的单独系统上运行,因此在上图中标记为“Linux 管理”。
专用生命周期管理控制器(第 23 章 “升级控制器”),用于处理将管理群集组件升级到指定 SUSE Edge 版本的相关事务。
借助 Elemental(第 13 章 “Elemental”)实现的远程系统接入 Rancher Prime,支持将连接的边缘节点与所需的 Kubernetes 群集和应用程序部署进行后期绑定(例如通过 GitOps)。
可选的完整裸机生命周期与管理支持,通过 Metal3(第 10 章 “Metal3”)、MetalLB(第 19 章 “MetalLB”)和
CAPI
(Cluster API) 基础架构提供程序实现,支持对具有远程管理功能的裸机系统执行完整的端到端置备。名为 Fleet(第 8 章 “Fleet”)的可选 GitOps 引擎,用于管理下游群集和其上安装的应用程序的置备和生命周期。
支撑管理群集本身的是作为基础操作系统的 SUSE Linux Micro(第 9 章 “SUSE Linux Micro”),以及作为支持管理群集应用程序的 Kubernetes 发行版的 RKE2(第 16 章 “RKE2”)。
3.1.2 下游群集 #
下游:SUSE Edge 的分布式组件,用于在边缘运行用户工作负载,即边缘位置运行的软件,通常由以下组件组成:
多种可供选择的 Kubernetes 发行版,包含 K3s(第 15 章 “K3s”)和 RKE2(第 16 章 “RKE2”)等安全的轻量级发行版(
RKE2
已针对政府用途和受监管行业进行强化、认证和优化)。SUSE Security(第 18 章 “SUSE Security”),提供映像漏洞扫描、深度数据包检测、实时威胁和漏洞防护等安全功能。
借助 SUSE Storage(第 17 章 “SUSE Storage”)实现的软件块存储,提供轻量级、持久化、弹性佳且可扩缩的块存储服务。
轻量级、容器优化且经过强化的 Linux 操作系统 SUSE Linux Micro(第 9 章 “SUSE Linux Micro”),为在边缘运行容器和虚拟机提供了一个不可变且高弹性的操作系统。SUSE Linux Micro 适用于 AArch64 和 AMD64/Intel 64 两种体系结构,还支持
实时内核
,可满足对延迟敏感的应用需求(如电信领域的使用场景)。对于连接的群集(即与管理群集连接的群集),会部署两个代理。一个是 Rancher System Agent,用于管理与 Rancher Prime 的连接;另一个是 venv-salt-minion,用于接收 SUSE Multi-Linux Manager 的指令,以执行 Linux 软件更新。这些代理对于离线群集的管理而言并非必需组件。
3.2 连接 #
上图提供了连接的下游群集及其与管理群集的连接的总体体系结构概览。管理群集可以部署在各种底层基础架构平台上,包括本地和云平台,具体取决于下游群集和目标管理群集之间的网络连接情况。这项功能的唯一要求是 API 和回调 URL 可以通过连接下游群集节点和管理基础架构的网络进行访问。
必须注意,建立这种连接的机制不同于下游群集部署的机制。下一节将对此进行更深入的介绍,不过先建立一个基本概念,连接的下游群集成为“受管理”群集主要有三种机制:
下游群集先以“断开连接”的方式部署(例如通过 Edge Image Builder(第 11 章 “Edge Image Builder”)),然后在连接允许的情况下导入管理群集。
下游群集会被配置为使用内置的初始配置机制(例如通过 Elemental(第 13 章 “Elemental”)),并且它们在首次引导时会自动注册到管理群集,以允许群集配置的后期绑定。
下游群集已置备裸机管理功能 (CAPI + Metal3),群集一旦部署和配置(通过 Rancher Turtles 操作器),它们就会自动导入管理群集。
4 常见的 Edge 部署模式 #
由于操作环境和生命周期要求各不相同,我们已针对一些不同的部署模式实施了支持,这些模式与 SUSE Edge 适用的细分市场和使用场景大体一致。我们为其中的每种部署模式编写了一份快速入门指南,以帮助您根据自己的需求熟悉 SUSE Edge 平台。下面介绍了我们目前支持的三种部署模式,并附有相关快速入门页面的链接。
4.1 定向网络置备 #
定向网络置备适用于您知道要部署到的硬件的细节,并可以直接访问带外管理界面来编排和自动化整个置备过程的情况。在这种情况下,客户预期解决方案能够从一个中心位置全自动地置备边缘站点,并可以最大限度地减少边缘位置的手动操作,也就是说,解决方案的作用远不止是创建引导映像;您只需将物理硬件装入机架、通电并为其连接所需的网络,自动化过程就会通过带外管理(例如通过 Redfish API)启动计算机并处理基础架构的置备、初始配置和部署,全程无需用户的干预。做到这一点的关键在于管理员了解系统;他们知道哪个硬件在哪个位置,并且部署预期可以得到集中处理。
此解决方案最为稳健,因为您可以直接与硬件的管理界面交互和处理已知硬件,并且很少会遇到网络可用性方面的限制。在功能上,此解决方案广泛使用 Cluster API 和 Metal3 来自动完成从裸机到操作系统、Kubernetes 和分层应用程序的置备,并能够在部署后与 SUSE Edge 的其他常规生命周期管理功能相衔接。此解决方案的快速入门可在第 1 章 “使用 Metal3 实现 BMC 自动化部署”中找到。
4.2 “自主回连”网络置备 #
有时,在您的操作环境中,中心管理群集无法直接管理硬件(例如,您的远程网络位于防火墙后面,或者没有带外管理界面;这种情况在边缘处经常使用的“PC”型硬件中很常见)。对于这种情况,我们提供了相应的工具来远程置备群集及其工作负载,而无需知道硬件在引导时位于何处。这就是大多数人对边缘计算的看法;有成千上万种不太常见的系统在边缘位置引导、安全地自主回连、验证它们的身份,并接收有关要执行哪种操作的指令。为此,我们希望除了出厂前预先构建计算机映像,或者简单挂接引导映像(例如通过 USB)来打开系统外,置备和生命周期管理工作几乎不需要用户干预即可完成。在此方面存在的主要挑战是如何解决这些设备在各种环境下的缩放性、一致性、安全性和生命周期管理问题。
此解决方案在系统置备和初始配置方式上提供了高度的灵活性和一致性,不受系统位置、类型或规格以及首次开机时间的影响。在 SUSE Edge 中,可以通过 Edge Image Builder 十分灵活地对系统进行自定义,同时可以利用 Rancher Elemental 提供的注册功能来初始配置节点和置备 Kubernetes,并利用 SUSE Multi-Linux 来修补操作系统。此解决方案的快速入门可在第 2 章 “使用 Elemental 进行远程主机接入”中找到。
4.3 基于映像的置备 #
对于需要在独立、隔离或网络受限的环境中操作的客户,SUSE Edge 提供了一种解决方案供客户生成完全自定义的安装媒体,其中包含所有必要的部署制品,用于在边缘启用单节点和多节点高可用性 Kubernetes 群集,包括任何所需的工作负载或其他分层组件。全程无需与外界建立任何网络连接,且无需集中式管理平台的干预。用户体验与“自主回连”解决方案非常相似,安装媒体同样会提供给目标系统,但该解决方案会“就地引导”。在这种情况下,可将创建的群集挂接到 Rancher 进行持续管理(即从“断开连接”转换为“已连接”操作模式,无需经过大范围的重新配置或重新部署),或者群集可以继续独立运行。请注意,在这两种情况下,都可以采用相同的一致性机制来自动执行生命周期操作。
此外,使用此解决方案可以快速创建管理群集,这些管理群集可以托管同时支持“定向网络置备”和“自主回连网络置备”模型的集中式基础架构,因为它可能是置备各种 Edge 基础架构最快速、最简单的方式。此解决方案充分利用 SUSE Edge Image Builder 的功能,生成完全自定义的无人照管安装媒体;快速入门可在第 3 章 “使用 Edge Image Builder 配置独立群集”中找到。
5 SUSE Edge 堆栈验证 #
所有 SUSE Edge 版本均由紧密集成且经过全面验证的组件组成,这些组件作为一个整体进行版本控制。SUSE Edge 团队在集成和堆栈验证方面不断努力,不仅测试了组件之间的集成,还确保系统在因外界因素影响而发生故障的情况下仍能按预期运行。所有测试运行和结果均已向公众发布,结果和所有输入参数都可以在 ci.edge.suse.com 上找到。
6 完整组件列表 #
以下是组件的完整列表,以及对每种组件的概要说明及其在 SUSE Edge 中用法的相关链接:
Rancher(第 5 章 “Rancher”)
Rancher 仪表板扩展(第 6 章 “Rancher 仪表板扩展”)
Rancher Turtles(第 7 章 “Rancher Turtles”)
SUSE Multi-Linux Manager
Fleet(第 8 章 “Fleet”)
SUSE Linux Micro(第 9 章 “SUSE Linux Micro”)
Metal³(第 10 章 “Metal3”)
Edge Image Builder(第 11 章 “Edge Image Builder”)
NetworkManager Configurator(第 12 章 “边缘网络”)
Elemental(第 13 章 “Elemental”)
Akri(第 14 章 “Akri”)
K3s(第 15 章 “K3s”)
RKE2(第 16 章 “RKE2”)
SUSE Storage(第 17 章 “SUSE Storage”)
SUSE Security(第 18 章 “SUSE Security”)
MetalLB(第 19 章 “MetalLB”)
KubeVirt(第 21 章 “Edge Virtualization”)
系统升级控制器(第 22 章 “系统升级控制器”)
升级控制器(第 23 章 “升级控制器”)