随着物联网和人工智能技术的深度融合,对实时数据处理、智能决策支持和个性化网络服务的需求日益明显。在这种情况下,基于云原生的微服务架构[1]凭借其模块化设计、松耦合特性和独立部署优势,成为支持上述网络服务的重要技术。同时,仍存在大规模数据处理和低延迟应用需求的挑战。基于此,云边协同网络通过整合云计算能力和边缘的实时响应能力,构建了一个“中心-边缘”协同网络生态系统[2]。
如图1所示,在云边协同网络的架构中,云侧负责大规模数据的集中处理和存储,以提供全局智能决策支持;云侧托管资源密集型微服务,利用弹性扩展能力为边缘侧提供按需支持。边缘云节点分布在网络边缘,边缘侧的微服务可以直接在本地设备集群中运行,从而减少网络往返延迟,负责本地数据收集、实时处理和快速响应。通过云边协作,可以实现资源的动态分配和任务的高效调度,以满足工业物联网、智能交通等领域的实时性和低延迟要求。此外,通过Kubernetes[3]等容器编排工具将复杂的业务逻辑拆分为轻量级、松耦合的独立服务模块,显著提高了云边协同网络的服务灵活性和可维护性。
目前,异构设备的接入规模呈指数级增长,对微服务动态调度的需求也在激增。例如,阿里巴巴目前拥有超过20,000个微服务[4],网络攻击暴露面显著增加,这使得云边协同网络呈现出动态拓扑、异构服务节点和模糊安全边界的特点。然而,基于静态规则的传统微服务调度机制存在入侵容忍度不足和动态适应性能低等缺陷,当前云边协同网络面临的安全威胁已从单点入侵演变为跨云边节点的协同攻击,这使得微服务的安全保护成为影响云边协同系统鲁棒性和服务质量的核心挑战[5]。
传统的防御机制通常采用被动响应方式,仅在攻击发生后才采取防御措施,但攻击可能已经对网络造成损害。此外,静态防御机制为攻击者提供了窗口期,攻击者有足够的时间从漏洞暴露到防御生效之间进行渗透和横向移动,进一步加剧了攻防双方的信息不对称矛盾。值得注意的是,入侵容忍调度通过整合移动目标防御的理念,定期重构网络配置并动态改变攻击面,可以持续增强目标系统的动态性和多样性。云边协同网络采用微服务入侵容忍方法来破坏攻击者掌握的网络信息,逆转其不对称优势,从而抵抗物理攻击和网络威胁,提高目标系统的安全性。
在云边协同网络中,由于云边节点的异构性和资源的动态性,微服务入侵容忍策略的部署需要综合考虑云侧和边缘侧的资源利用、数据一致性和安全性等多种因素[6]。Fard等人[7]提出了一个适用于云环境的通用微服务调度模型,将微服务调度问题视为背包问题的一个变种,并采用多目标优化方法进行求解,从而提高了集群的利用率和吞吐量。然而,传统的集中式调度优化方法难以满足云边协同网络中入侵容忍决策的需求,也无法应对复杂的动态环境和变化的安全威胁。
在这种情况下,如何构建具有动态博弈特性和协同防御能力的微服务入侵容忍调度策略成为云边协同安全领域的一个关键问题。合作游戏和多智能体强化学习(MARL)作为新兴的优化方法,为解决微服务入侵容忍调度问题提供了新的思路。合作游戏通过建模云边微服务之间的协作关系来优化资源分配和任务调度,而MARL则通过多智能体学习和协作在动态环境中实现高效的调度策略。
尽管上述技术为资源调度和安全管理提供了各自的理论工具,但现有研究未能有效解决云边入侵容忍调度中的根本矛盾:如何在分布式自治系统中协调具有异构资源和不同利益的云边节点,共同应对动态安全威胁。仅使用MARL进行调度缺乏个体理性的理论保障,可能导致云域和边缘域之间的协调不稳定。然而,传统的博弈论方法难以应对环境的高动态性和不确定性。
为了解决上述问题,我们提出了基于合作游戏和MARL的CoMarl微服务入侵容忍调度方法,旨在实现云边协同网络中高效安全的微服务调度。本文的主要贡献总结如下:
•我们分析了云边协同网络中微服务的安全威胁,并提出了一种入侵容忍调度方法,包括关键微服务的识别、微服务冗余和迁移以及微服务清理。
•针对云边协同网络中微服务入侵容忍调度系统的复杂特性,我们首先设计了一个云边协同网络系统模型,在此基础上根据微服务之间的复杂依赖关系量化其重要性,构建了网络开销模型和入侵容忍调度约束,量化了它们的安全威胁,然后给出了优化目标。
•我们构建了云边协同网络中微服务入侵容忍的整体防御架构,突破了传统单点微服务防御的局限性,在确保系统整体安全的同时最大化云侧和边缘侧的自利。
•我们提出了CoMarl来优化云边协同网络中微服务的入侵容忍策略。通过基于纳什谈判的合作游戏对云侧和边缘侧之间的协作关系进行建模,并利用MARL优化调度策略,实现在动态环境中资源的最佳公平分配和入侵容忍任务的高效调度,有效提升了云边协同网络的安全性。
本文的其余部分安排如下:第2节介绍相关工作;第3节分析云边协同网络中微服务的安全问题并给出入侵容忍调度方法;第4节对微服务入侵容忍问题进行系统建模;第5节提出基于合作游戏和MARL的优化方案;第6节通过实验验证所提方法的性能;第7节给出结论。