配置边缘节点环境
边缘节点规格要求
边缘节点既可以是物理机,也可以是虚拟机。边缘节点需要满足表1的规格要求。
项目 |
规格 |
---|---|
OS |
操作系统语言必须切换至英文。
|
内存 |
边缘软件开销约128MB,为保证业务的正常运行,建议边缘节点的内存大于256MB。 |
CPU |
>= 1核 |
硬盘 |
>= 1GB |
GPU(可选) |
同一个边缘节点上的GPU型号必须相同。
说明:
当前支持Nvidia Tesla系列P4、P40、T4等型号GPU。 含有GPU硬件的机器,作为边缘节点的时候可以不使用GPU。 如果边缘节点使用GPU,您需要在纳管前安装GPU驱动。 目前只有使用x86架构的GPU节点才能纳管到IEF中使用。 |
NPU(可选) |
昇腾AI加速处理器。
说明:
当前支持集成了昇腾处理器的边缘节点,如Atlas 300推理卡、Atlas 800推理服务器。同时支持昇腾310、昇腾310B。 如果边缘节点使用NPU,请确保边缘节点已安装驱动(目前昇腾310仅支持1.3.x.x和1.32.x.x的固件版本,例如1.3.2.B893,可用npu-smi info命令查看固件版本)(NPU驱动需不小于22.0.4版本,进入驱动所在路径如“/usr/local/Ascend/driver”,执行cat version.info命令查看)。如果没有安装驱动,请联系设备厂商获取支持。 |
容器引擎 |
Docker版本必须高于17.06。使用高于或等于1.23版本的docker时,需设置docker cgroupfs版本为1,不支持docker HTTP API v2。 (请勿使用18.09.0版本Docker,该版本存在严重bug,详见https://github.com/docker/for-linux/issues/543;如果已使用此版本,请尽快升级。)
须知:
Docker安装完成后,请将Docker进程配置为开机启动,避免系统重启后Docker进程未启动引起的系统异常。 Docker Cgroup Driver必须设置为cgroupfs。详细配置方法请参考在边缘节点安装Docker后,如何设置Docker Cgroup Driver?。 |
glibc |
版本必须高于2.17。 |
端口使用 |
边缘节点需要使用8883端口,8883端口用于边缘节点内置MQTT broker监听端口,请确保该端口能够正常使用。 |
时间同步 |
边缘节点时间需要与UTC标准时间保持一致,否则会导致边缘节点的监控数据、日志上传出现偏差。您可以选择合适的NTP服务器进行时间同步,从而保持时间一致。详细配置方法请参见如何同步NTP服务器?。 |
边缘节点连接要求
边缘节点运行时,需要与IEF、SWR、OBS和AOM四个服务通信。如果您的边缘节点所在环境配置了网闸或网络限制,可以根据如何获取IEF云端服务IP地址获取IP地址进行配置。
通常情况下边缘节点可以通过互联网连接IEF,也可以通过专线或VPN进行连接,专线或VPN连接的具体方法请参见通过专线或VPN连接IEF。
配置边缘节点环境
- 以具备sudo权限的用户登录边缘节点。
- GPU驱动配置。
如果边缘节点使用GPU,您需要安装并配置GPU驱动,详细方法请参见安装并配置GPU驱动。
- NPU驱动配置。
如果边缘节点使用昇腾AI加速处理器,请确保已安装对应驱动。
- 在边缘节点上安装Docker并检查Docker状态。
Docker版本必须高于17.06,推荐使用18.06.3版本。请勿使用18.09.0版本Docker,该版本存在严重bug,如果已使用此版本,请尽快升级。
Docker安装完成后,可以执行docker -v命令检查Docker是否安装正常,如果回显如下则说明安装正常。
# docker -v Docker version 19.03.12, build 48a66213fee
- 配置边缘节点防火墙规则。
检查边缘节点防火墙状态。
systemctl status firewalld firewall-cmd --state
回显中,not running表示关闭,running表示开启。
如果防火墙开启,您需要打开8883端口,或关闭防火墙。
- 打开8883端口。
firewall-cmd --add-port=8883/tcp --permanent systemctl restart firewalld
- 关闭防火墙。
systemctl disable firewalld systemctl stop firewalld
- 打开8883端口。
安全提示
为提升主机安全性,建议您对边缘节点进行操作系统加固,可参考:
- 设置所有OS系统密码(包括管理员和普通用户)、数据库账号密码、应用(WEB)系统管理账号密码为强密码,密码12位以上。强密码设置请参见账户密码最佳实践。
- 应用程序不以管理员权限账号运行,应用程序(如Web)不使用数据库管理员权限账号与数据库交互。设置安全组,仅向公网开放必要端口,业务WEB控制台端口、局域网内部通信端口避免暴露在公网。关闭高危端口(如SSH端口),或采取限制允许访问端口的源IP、使用VPN/堡垒机建立的运维通道等措施消减风险。
- 业务数据定期异地备份,避免黑客入侵主机造成数据丢失。
- 定期检测系统和软件中的安全漏洞,及时更新系统安全补丁,将软件版本升级到官方最新版本。
- 建议从官方渠道下载安装软件,对非官方渠道下载的软件,建议使用杀毒软件扫描后再运行。
如果使用的是华为云 ECS,可参考:
- 将主机登录方式设置为密钥登录,密钥登录设置请参见主机密码被暴力破解的解决方案。
- 使用华为云官方提供的管理检测与响应服务进行全面的安全体检或使用企业主机安全服务深度防御。