开发者学习笔记【阿里云物联网助理工程师认证(ACA):边缘计算组件功能介绍(三)】
课程地址:https://edu.aliyun.com/course/3112060/lesson/18985
边缘计算组件功能介绍(三)
四、边缘安全服务
边缘安全服务是Link IoT Edge在边缘端集成的设备保护服务。简称DPS服务,是Device Operations Service的简称。该服务将边缘连接到物联网安全运营中心Link SOC,以帮助管理员识别和消除边缘系统存在的安全风险,保障边缘系统运行过程中的安全。
1、功能介绍
(1)安全基线制定
它可以自动构建边缘系统的安全基线,即安全的最低标准,类似于木桶理论,可以认为安全基线是安全木桶的最短板。
(2)评估安全等级
根据系统多维信息评估当前设备的安全等级。
(3)安全风险识别
识别和阻断安全基线之外的异常行为,异常的行为有系统对象异常(系统中异常的应用加载执行或对象的位置改动)、进程异常行为(应用中异常的执行行为,例如访问重要文件)、网络异常行为(设备异常的网络通信行为,如对位置目标发送数据)。
(4)漏洞修复
修复存在的组件漏洞,防止威胁入侵。
2、架构图
边缘端提供的安全服务有安全策略、异常事件处理、组件漏洞管理、安全日志等。边缘安全服务还连接到阿里云物联网安全运营中心,将本地的异常事件、组件漏洞等上发到物联网平台运营中心,并且从安全运营中下载组件补丁,进行组件漏洞处理。此外,还会将安全日志同步到物联网平台运营中心,当后者收到异常事件或者安全漏洞或者组件漏洞后,为通知到用户,用户也可以查看安全日志、设置通知策略、修复组件漏洞,并且可以设置安全基线,发布的安全基线同步到边缘节点。
综上,边缘安全服务将采集的取证和行为规则信息上报云端,形成安全基线;用户安全基线发布,它可以将云端安全基线同步到所有适配的边缘端产品中形成安全策略;边缘端通过运行时搜集的取证和行为信息,根据安全策略判断异常事件并上报到Link SOC;组件漏洞在边缘端检查可执行文件和依赖库的版本漏洞,并上报到云端,用户可以选择进行修复,云端下发补丁版本,边缘安全服务通过热升级进行版本替换;用户可以设置通知策略,异常事件和组件漏洞的上报消息以邮件的方式通知到用户;安全日志在边缘端搜集安全操作的历史记录并上报到云端,方便用户查看。
五、边缘计算实现的云边端三位一体产品架构
“云”即阿里云物联网平台,“端”即设备端,“边”即边缘计算。
设备端开发者使用设备接入SDK,将非标设备转换成标准物模型,就近接入网关,从而实现设备的管理和控制;边缘计算端设备连接到网关之后,网关可以实现设备数据的采集流转、存储、分析和上报设备数据至云端,同时网关提供规则引擎、函数计算引擎,方便场景编排和业务扩展;设备数据上云端之后,可以结合阿里云功能,如大数据、AI学习等,通过标准的API接口来实现更多的功能和应用。
六、边缘计算组件的其他功能
1、云资源访问
边缘实例中的函数计算、云监控等服务在网关上运行时,如果需要调用阿里云其他云资源,边缘实例可以使用RAM角色来实现对云资源权限的访问控制。
2、信息监控
提供对网关的主机监控和对驱动函数计算、场景联动等资源的监控服务。
3、远程运维管理服务
4、运维工具
提供多个跨平台的命令行工具,支持批量处理设备和设备相关操作。
5、日志服务
通过集成阿里云日志服务云产品来完成边缘端日志的管理功能,包括边缘日志自动同步至云端存储、日志分级别显示等。
6、支持OTA升级
用户只需要在控制台上传新的固件,就可以将升级消息推送到设备端,完成设备在线升级。
7、边缘网关控制台,提供边缘端外部服务
为物联网用户提供了网关设备驱动的管理能力,同时也为设备物模型、流数据分析、消息路由、日志、账户等资源提供管理能力,适用于局域网环境低延时需求的项目,如某工厂需要时时关注生产线设备的状态,如果从云端获取数据,则需要供网环境,易由于网络环境导致数据延迟,此时就可以通过边缘网关控制台实时查看设备的数据和状态,也可以通过边缘网关控制台来调试设备。
8、双机热备
支持一个边缘实例关联主、备两个网关。在关联两个网关时,可以选择两个网关的优先级,如,选择某网关,表示使用该网关作为主网关,如果在网关不可用时使用备网关,一旦主网关可用则切换回主网关;或者自由协商,始终使用可用的网关作为主网关,如果两个网关都为可用状态,那么由后台确定主网关,当主网关不可用时,原来的备网关被转换为主网关。此外,双机热备中还涉及浮动虚拟IP,即网关服务IP地址会随着储备状态切换而进行迁移,IP始终浮动到主网关上,进而确保通过该IP即可访问主网关。
