AWS — Nitro System

举报
云物互联 发表于 2022/03/10 00:52:50 2022/03/10
【摘要】 目录 文章目录 目录AWS Nitro SystemNitro VPC CardNitro EBS CardNitro 本地存储卡Nitro 控制器卡Nitro 安全芯片 AWS Ni...

目录

文章目录

AWS Nitro System

AWS 每年消耗 Nitro ASIC 的数量高达数百万片,因此即使它只被 AWS 使用,也仍然是一个相当大规模的服务器组件。

AWS Nitro System 用于为 AWS EC2(弹性计算集群)实例类型提供以下特性:

  1. 高速网络与硬件卸载。
  2. 高速 EBS 存储与硬件卸载。
  3. NVMe 本地存储。
  4. 用于 MPI 和 Libfabric 的 RDMA(远程直接内存访问)。
  5. 裸金属实例的硬件保护/固件验证。
  6. 控制 EC2 实例所需的所有业务逻辑。

Nitro System 在过去几年中为所有 EC2 实例类型提供动力。主要有三部分:

  1. Nitro I/O 加速卡。
  2. Nitro 安全芯片。
  3. Nitro Hypervisor。

不同的 EC2 服务器实例类型包括不同的 Nitro 系统特性,一些服务器类型有许多 Nitro 卡,实现 AWS Nitro System 的五个主要特性:

  1. Nitro VPC Card
  2. Nitro EBS Card
  3. Nitro 本地存储卡
  4. Nitro 控制器卡
  5. Nitro 安全芯片

Nitro VPC Card

Nitro VPC Card 本质上是一个 PCIe 连接的 NIC(网络适配器,网络控制器)。

这是实现 EC2 服务器和网络连接的接口卡,或在该服务器类型上实现接口连接的硬件接口卡。而且,像所有 NIC 一样,主机与它的接口需要加载特定的设备驱动程序以支持与网络适配器通信。对于 Nitro VPC Card,ENA(弹性网卡)是其设备驱动程序。这个驱动程序现在包含在所有主流的操作系统发行版中。

Nitro VPC Card 支持网络报文的封装/解封装,实现 EC2 安全组、访问控制、路由等功能,代替了 Hypervisor 中实现的功能。如此的,可以让客户充分使用底层服务器硬件,而不会影响网络性能和其他用户,而且不必让客户使用 Server 的 CPU Core 来处理这些网络任务,使得最大的实例类型可以使用所有 CPU Core。

同时,它还允许完全安全的网络支持,而不需要为 AWS 保留服务器资源。

Nitro VPC Card 也支持一些网络加速特性。例如 EFA(Elastic Fabric Adapter)使用 Nitro Card 网络加速特性来提供了类似于许多超级计算机上的用户空间网络功能。希望利用 EFA 的客户可以使用 OpenFabrics Alliance Libfabric 包或使用更高级的编程接口,如:MPI(消息传递接口)或 NCCL(NVIDIA 集体通信库)。

MPI 和 NCCL 是科学、工程和机器学习应用中常用的软件包,有的时候也用于分布式数据库。无论使用 Libfabric、MPI 还是 NCCL,应用程序在与 EFA 通信时都会绕过操作系统,并且能够以更低的 CPU 使用率实现更一致的性能。

Nitro EBS Card

Nitro EBS Card 支持 EBS 的存储加速。所有实例的本地存储都实现为 NVMe 设备,用于 EBS 的 Nitro Card 支持透明加密,限制保护其他用户的系统性能特征,驱动器监控程序负责监控 SSD 磨损,它还支持裸金属实例类型。

远程存储以 NVMe 设备呈现,但是通过 Fabric 实现的 NVMe,再次支持对 EBS Volume 的访问,同时进行加密,并且不会影响其他 EC2 用户,即使在裸金属环境中也具有安全性。

Nitro 本地存储卡

用于本地存储的 Nitro Card 还实现了用于本地 EC2 实例存储的 NVMe(Non-Volatile Memory for PCIe)。

Nitro 控制器卡

Nitro 控制器卡协调所有其他 Nitro 卡、服务器 Hypervisor、Nitro 安全芯片。它还为 EBS 的一个或多个 Nitro 卡实现了 NVMe 控制器功能。

Nitro 安全芯片

Nitro 安全芯片将所有 I/O 捕获到非易失性存储,包括 BIOS 和所有 I/O 设备固件以及服务器上的任何其他控制器固件。这是一种简单的安全方法,通用处理器根本无法更改任何固件或设备配置。不允许任何访问,而不是接受容易出错且复杂的确保访问正确并且被批准的任务。

EC2 服务器无法更新其固件。从安全的角度来看,这很好,但明显的问题是固件如何更新。AWS 只通过 Nitro System 对其进行更新。

Nitro 安全芯片还实现了硬件信任根,并支持实例监控功能。该系统取代了 UEFI(统一可扩展固件接口)的数千万行代码,并支持安全引导。在不受信任的情况下启动服务器,然后测量服务器上的每个固件系统,以确保没有任何被修改或以任何未经授权的方式更改。每个校验和(设备度量)都根据存储在 Nitro 安全芯片中的验证正确的校验和进行检查。

文章来源: is-cloud.blog.csdn.net,作者:范桂飓,版权归原作者所有,如需转载,请联系作者。

原文链接:is-cloud.blog.csdn.net/article/details/123364113

【版权声明】本文为华为云社区用户转载文章,如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱: cloudbbs@huaweicloud.com
网络
  • 点赞
  • 收藏
  • 关注作者

评论(0

0/1000
抱歉,系统识别当前为高风险访问,暂不支持该操作

全部回复

上滑加载中

设置昵称

在此一键设置昵称,即可参与社区互动!

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

确认 取消

加入云驻计划,成为创作者

  • 华为云周边好礼
  • 免费体验产品
  • 特殊身份标识
  • 线下官方门票
  • 内部专家零距离
  • 与10000+优质创作者共同成长
立即加入