配置边缘节点环境
边缘节点规格要求
边缘节点既可以是物理机,也可以是虚拟机。边缘节点需要满足表1的规格要求。
项目 |
规格 |
---|---|
OS |
操作系统语言必须切换至英文。
|
内存 |
边缘软件开销约128MB,为保证业务的正常运行,建议边缘节点的内存大于256MB。 |
CPU |
>= 1核 |
硬盘 |
>= 1GB |
GPU(可选) |
同一个边缘节点上的GPU型号必须相同。
说明:
当前支持Nvidia Tesla系列P4、P40、T4等型号GPU。 含有GPU硬件的机器,作为边缘节点的时候可以不使用GPU。 如果边缘节点使用GPU,您需要在纳管前安装GPU驱动。 目前只有使用x86架构的GPU节点才能纳管到IEF中使用。 |
NPU(可选) |
昇腾AI加速处理器。
说明:
当前支持集成了昇腾处理器的边缘节点,如Atlas 300推理卡、Atlas 800推理服务器。同时支持昇腾310P、昇腾310B、昇腾310P共享模式和虚拟化切分的NPU规格。 如果边缘节点使用NPU,请确保边缘节点已安装驱动(目前昇腾310仅支持1.3.x.x和1.32.x.x的固件版本,例如1.3.2.B893,可用npu-smi info命令查看固件版本)(NPU驱动需不小于22.0.4版本,进入驱动所在路径如“/usr/local/Ascend/driver”,执行cat version.info命令查看)。如果没有安装驱动,请联系设备厂商获取支持。 |
容器引擎 |
Docker版本必须高于17.06。使用高于或等于1.23版本的docker时,需设置docker cgroupfs版本为1,不支持docker HTTP API v2。 (请勿使用18.09.0版本Docker,该版本存在严重bug,详见https://github.com/docker/for-linux/issues/543;如果已使用此版本,请尽快升级。)
须知:
Docker安装完成后,请将Docker进程配置为开机启动,避免系统重启后Docker进程未启动引起的系统异常。 Docker Cgroup Driver必须设置为cgroupfs。详细配置方法请参考在边缘节点安装Docker后,如何设置Docker Cgroup Driver?。 |
glibc |
版本必须高于2.17。 |
端口使用 |
边缘节点需要使用8883端口,8883端口用于边缘节点内置MQTT broker监听端口,请确保该端口能够正常使用。 |
时间同步 |
边缘节点时间需要与UTC标准时间保持一致,否则会导致边缘节点的监控数据、日志上传出现偏差。您可以选择合适的NTP服务器进行时间同步,从而保持时间一致。详细配置方法请参见如何同步NTP服务器?。 |
配置边缘节点环境
- 以具备sudo权限的用户登录边缘节点。
- GPU驱动配置。
如果边缘节点使用GPU,您需要安装并配置GPU驱动,详细方法请参见安装并配置GPU驱动。
- NPU驱动配置。
如果边缘节点使用昇腾 AI加速处理器,请确保已安装对应驱动。
- 在边缘节点上安装Docker并检查Docker状态。
Docker版本必须高于17.06,推荐使用18.06.3版本。请勿使用18.09.0版本Docker,该版本存在严重bug,如果已使用此版本,请尽快升级。
Docker安装完成后,可以执行docker -v命令检查Docker是否安装正常,如果回显如下则说明安装正常。
# docker -v Docker version 19.03.12, build 48a66213fee
- 配置边缘节点防火墙规则。
检查边缘节点防火墙状态。
systemctl status firewalld firewall-cmd --state
回显中,not running表示关闭,running表示开启。
如果防火墙开启,您需要打开8883端口,或关闭防火墙。
- 打开8883端口。
firewall-cmd --add-port=8883/tcp --permanent systemctl restart firewalld
- 关闭防火墙。
systemctl disable firewalld systemctl stop firewalld
- 打开8883端口。
安全提示
为提升主机安全性,建议您对边缘节点进行操作系统加固,可参考:
- 设置所有OS系统口令(包括管理员和普通用户)、数据库账号口令、应用(WEB)系统管理账号口令为强口令,密码12位以上。
- 应用程序不以管理员权限账号运行,应用程序(如Web)不使用数据库管理员权限账号与数据库交互。设置安全组,仅向公网开放必要端口,业务WEB控制台端口、局域网内部通信端口避免暴露在公网。关闭高危端口(如SSH端口),或采取限制允许访问端口的源IP、使用VPN/堡垒机建立的运维通道等措施消减风险。
- 业务数据定期异地备份,避免黑客入侵主机造成数据丢失。
- 定期检测系统和软件中的安全漏洞,及时更新系统安全补丁,将软件版本升级到官方最新版本。
- 建议从官方渠道下载安装软件,对非官方渠道下载的软件,建议使用杀毒软件扫描后再运行。
如果使用的是华为云 ECS,可参考:
- 将主机登录方式设置为密钥登录。
- 使用华为云官方提供的企业主机安全服务深度防御。