新基建让边缘计算价值显现，百度智能云推BEC加速直播等行业升级( 二 ) 5G作为“新基建”的核心

2019年Kubernetes社区的一份指南纲要中，讨论了虚拟机回归的话题，而在生产实践中也发现，以docker为代表的runc容器技术，在安全性、隔离性上有不少隐患。这使得微虚机或者安全容器技术逐渐被业界重视起来，比较有代表性的如KataContainers ， Firecracker和gVisor 。

BEC就使用了其中的KataContainer安全容器做为边缘容器方案，实现容器内核隔离，保证非受信工作负载的运行，为客户提供更高的安全性。但是KataContainer也有一定的局限性，比如容器内核版本比较高，内核版本、虚机镜像不支持容器粒度的动态配置等问题。此外，也可支持客户在标准虚机上的使用习惯上。

在这个背景下， BEC开启了对边缘虚机的支持。这也和业界的发展趋势相同，随着像Kubevirt这样的开源项目兴起， Kubernetes强大的编排能力可以直接管理标准虚拟机。而且BEC实现了安全容器和标准虚机的混部调度，整体架构如下：

----新基建让边缘计算价值显现，百度智能云推BEC加速直播等行业升级//----

简明边缘虚机架构

边缘虚机使用了开源的kubevirt方案来实现，通过Kubernetes的自定义资源API(CRD) ，增加虚机和虚机实例资源，使Kubernetes能够方便地编排管理虚机对象。 Kubevirt的整体架构如下：

----新基建让边缘计算价值显现，百度智能云推BEC加速直播等行业升级//----

可自定义虚机镜像

BEC通过与百度智能云BCC云服务器产品打通，充分利用中心云产品能力，为用户提供自定义虚机镜像的能力。用户在BEC上启动边缘虚机时，可以选择在BCC中制作的虚机镜像启动。

Kubevirt支持多种存储挂载方式，在BEC中，系统盘的挂载使用的是dataVolume的方式，结合CDI(Containerized-Data-Importer)工具，完成虚机系统盘的准备。如下图：

----新基建让边缘计算价值显现，百度智能云推BEC加速直播等行业升级//----

支持虚机资源整体调度

BEC为了提升性能，边缘使用本地盘作为虚机的系统盘，在系统盘pv准备完成后， importerPod会被删除， BEC通过设置vmpod的亲和性，保证vmpod会调度到pv所在的节点。但是importerpod删除和vmpod创建过程中可能会有新的pod调度到此节点，并占用资源，会导致vmpod因资源不足而调度失败。

为了解决这个问题， BEC增加了对虚机生命周期过程中所有资源的整体调度能力。重点是保障importer删除后， vmpod可以保证在同节点启动，另外一个是保障虚机关机开机时pod能在同节点重建。