Comparación de nubes

La innovación de hardware del AWS Nitro System - El chip dedicado que cambió los paradigmas de virtualización y seguridad

Explicamos la filosofía de diseño del Nitro System desarrollado por AWS, analizando cómo la eliminación del overhead de virtualización, el aislamiento de seguridad a nivel de hardware y el rendimiento bare-metal generan una ventaja competitiva sin igual.

約 6 分で読めます

El problema fundamental del overhead de virtualización

La computación en la nube se sustenta sobre tecnología de virtualización. Un servidor físico se divide en múltiples máquinas virtuales, cada una proporcionada como un servidor independiente. Sin embargo, la virtualización conlleva overhead. El hipervisor consume recursos de CPU del host, y capas de software intervienen en el procesamiento de I/O de red y almacenamiento. Este overhead puede alcanzar del 10 al 30% del rendimiento del servidor físico. Tradicionalmente, los proveedores de nube aceptaban este overhead como el precio de la virtualización. AWS también usaba inicialmente el hipervisor Xen con overhead similar. Nitro System fue la respuesta de AWS a este problema fundamental.

El diseño del Nitro System - Offload de funciones al hardware

Nitro System es un diseño que descarga al hardware dedicado las funciones que tradicionalmente realizaba el software (hipervisor). Nitro System se compone de 3 componentes principales. Las Nitro Cards ejecutan el procesamiento de I/O de networking VPC, almacenamiento EBS y almacenamiento de instancia en hardware dedicado. El procesamiento de paquetes de red y el cifrado de almacenamiento que antes realizaba la CPU del host en software ahora se ejecuta en chips dedicados, asignando casi el 100% de los recursos de CPU del host al guest (carga de trabajo del cliente). Nitro Security Chip controla el acceso al hardware y verifica la integridad del firmware. Nitro Hypervisor es un hipervisor ligero especializado que solo gestiona la asignación de CPU y memoria.

Rediseño fundamental de la seguridad

El diseño de seguridad del Nitro System revoluciona los paradigmas convencionales de seguridad en la nube. En entornos de virtualización tradicionales, el hipervisor tenía una posición privilegiada con acceso a la memoria y almacenamiento de todos los guests. Esto significaba que una vulnerabilidad en el hipervisor amenazaba la seguridad de todos los guests. En Nitro System, la ruta de acceso del hipervisor a la memoria del guest está físicamente eliminada. Nitro Security Chip realiza el control de acceso a nivel de hardware, haciendo imposible acceder a los datos del guest incluso explotando vulnerabilidades de software. Este diseño proporciona protección fundamental contra ataques de canal lateral como Spectre y Meltdown.

Comparación con los enfoques de Azure y GCP

Azure utiliza su propio hipervisor (Azure Hypervisor), pero el offload de funciones al hardware como Nitro System es limitado. Azure realiza aceleración del procesamiento de red con FPGA (Azure SmartNIC / AccelNet), pero el offload integral de hardware que incluye I/O de almacenamiento y funciones de seguridad no es tan exhaustivo como Nitro System. Azure Confidential Computing ofrece computación confidencial utilizando Intel SGX y AMD SEV-SNP, liderando en esta área específica. GCP utiliza el chip Titan como base de seguridad para verificar la integridad del firmware del servidor, pero su enfoque es diferente al de Nitro System que elimina el overhead de virtualización.

Resultados concretos del Nitro System

La introducción del Nitro System ha permitido a AWS lograr múltiples resultados concretos. Primero, la provisión de instancias bare-metal. Tipos de instancia que permiten utilizar el rendimiento del servidor físico sin overhead de hipervisor, adecuados para software con restricciones de licencia para ejecución sobre hipervisor o cargas de trabajo que requieren rendimiento extremo. Segundo, la diversificación de tipos de instancia. La arquitectura flexible del Nitro System permite a AWS desarrollar y ofrecer nuevos tipos de instancia rápidamente. Instancias con procesadores Graviton, instancias GPU, instancias optimizadas para almacenamiento: la diversidad de opciones se ha expandido significativamente.

El significado estratégico del desarrollo de hardware propio

El desarrollo del Nitro System se basa en la tecnología de Annapurna Labs, adquirida por AWS en 2015. El significado estratégico de que un proveedor de nube diseñe y desarrolle su propio hardware es grande y puede organizarse desde 3 perspectivas. Primero, la sostenibilidad de la diferenciación. Mientras que las optimizaciones de software son fáciles de imitar por competidores, el desarrollo de hardware dedicado requiere inversiones de varios años y equipos técnicos especializados, elevando las barreras de entrada. Segundo, la optimización de la estructura de costos. Reducir la dependencia de proveedores de hardware genérico y diseñar hardware optimizado para las propias cargas de trabajo mejora fundamentalmente el costo por rendimiento. Tercero, la velocidad de innovación.

Resumen

AWS Nitro System logra 3 resultados mediante el desarrollo propio de hardware dedicado: eliminación del overhead de virtualización, aislamiento de seguridad a nivel de hardware y diversificación de tipos de instancia. Azure contrarresta con aceleración de red basada en FPGA y Confidential Computing, pero no ha alcanzado un offload de hardware tan integral como Nitro System. GCP tiene una base de seguridad con el chip Titan, pero no iguala a Nitro System en la eliminación del overhead de virtualización. Que un proveedor de nube desarrolle su propio hardware es una inversión a largo plazo que genera una ventaja competitiva difícil de replicar.

Servicios relacionados

Amazon EC2Un servicio de cómputo que proporciona servidores virtuales en la nubeAWS Nitro EnclavesServicio que crea entornos de ejecución aislados dentro de instancias EC2 para procesar datos sensibles de forma segura

Artículos relacionados

AWS Graviton y la estrategia de silicio personalizado - Los chips de diseño propio que transforman la economía de la nubeComparamos cómo los procesadores Graviton basados en Arm diseñados por AWS y los chips de silicio personalizado para IA como Inferentia y Trainium están cambiando la estructura de costos y el rendimiento de la nube frente a Azure y GCP.El diseño de Availability Zones de AWS - La diferencia en confiabilidad que genera la separación física y el aislamiento de fallosExplicamos la filosofía de diseño de las AZ de AWS como grupos de centros de datos físicamente independientes, comparándolas con las zonas de disponibilidad de Azure y GCP, y analizamos la diferencia en madurez del aislamiento de fallos a partir de incidentes reales.Ventaja del primer movedor y economías de escala de AWS - Lo que significan 18 años de acumulación desde 2006Comparamos la ventaja del primer movedor que AWS ha construido desde que creó el mercado de nube pública en 2006, desde las perspectivas de número de servicios, estabilidad de APIs y profundidad del ecosistema, frente a Azure y GCP.

Más sobre este tema

Amazon.com es el mayor cliente de AWS - El secreto de la calidad del servicio nacido del dogfooding internoA partir del hecho de que el sitio de comercio electrónico de Amazon.com, Prime Video y Alexa funcionan sobre AWS, explicamos cómo el dogfooding interno mejora la calidad del servicio y cómo la carga del Prime Day ha fortalecido el diseño de AWS.La estructura por capas de los servicios AI/ML de AWS - La flexibilidad que ofrecen las 3 capas de SageMaker, Bedrock y servicios tipo APIOrganizamos los servicios AI/ML de AWS en 3 capas: SageMaker (control total), Bedrock (IA generativa gestionada) y Rekognition, etc. (tipo API). A través de la comparación con GCP Vertex AI y Azure OpenAI Service, explicamos la flexibilidad de AWS incluyendo la integración con silicio personalizado.Análisis de datos y Data Lake en AWS - El ecosistema integrado de Athena, Glue, Lake Formation y RedshiftExplicamos el stack integrado de análisis de datos de AWS con Athena, Glue, Lake Formation, Redshift y QuickSight, comparándolo con Azure Synapse Analytics y GCP BigQuery, destacando la ventaja de AWS en el grado de integración del ecosistema completo.Compatibilidad retroactiva y estabilidad de las API de AWS - La confianza que genera la política de no deprecar APIs publicadasExplicamos el historial de AWS de mantener su política de no deprecar APIs una vez publicadas, comparándolo con los cambios de marca de Azure y los casos de discontinuación de servicios de GCP, y por qué la estabilidad de las API es importante para las empresas.El diseño de Availability Zones de AWS - La diferencia en confiabilidad que genera la separación física y el aislamiento de fallosExplicamos la filosofía de diseño de las AZ de AWS como grupos de centros de datos físicamente independientes, comparándolas con las zonas de disponibilidad de Azure y GCP, y analizamos la diferencia en madurez del aislamiento de fallos a partir de incidentes reales.El valor de mercado de las habilidades AWS y la prima salarial de las certificacionesAnalizamos el número de ofertas de empleo que requieren habilidades AWS, la prima salarial de los titulares de certificaciones y el impacto en la trayectoria profesional, comparándolo con Azure y GCP, para evaluar el retorno de inversión de obtener certificaciones AWS.La comunidad técnica y los recursos de aprendizaje de AWS - Desde re:Invent hasta JAWS-UGComparamos las comunidades técnicas como re:Invent, AWS Summit y JAWS-UG, y la riqueza de documentación y formación en japonés con Azure y GCP, explicando la ventaja del entorno de aprendizaje de AWS.La cobertura de más de 143 certificaciones de cumplimiento de AWS - Desde ISMAP hasta PCI DSS, superando a la competenciaExplicamos las más de 143 certificaciones de cumplimiento obtenidas por AWS centrándonos en ISMAP, SOC, PCI DSS y HIPAA, y comparamos la cobertura de certificaciones con Azure y GCP.

Artículos y servicios similares

La historia que Nitro System cambió en EC2 - De Xen a KVM, la revolución que redujo a cero la sobrecarga de virtualizaciónExplicación de la evolución de EC2 desde Xen hasta Nitro System. Se presenta la descarga de I/O con tarjetas Nitro, la minimización del hipervisor, las instancias bare metal y Nitro Enclaves.Cifrado y soberanía de datos en AWS - Aislamiento a nivel de hardware desde KMS hasta Nitro EnclavesExplicamos el cifrado a nivel de hardware y la garantía de soberanía de datos mediante AWS KMS, CloudHSM y Nitro Enclaves, comparando las diferencias de diseño con otras nubes.Procesamiento de datos confidenciales con AWS Nitro Enclaves - Cifrado y autenticación en entornos aisladosExplicación del procesamiento de datos confidenciales con AWS Nitro Enclaves. Se presenta el entorno de ejecución aislado, la integración con KMS, la atestación y los casos de uso.AWS Nitro EnclavesFunción que crea máquinas virtuales aisladas dentro de instancias EC2, procesando datos sensibles de forma segura mediante atestación criptográfica e integración con KMSComputación confidencial - Aislamiento y protección de datos en procesamiento con AWS Nitro EnclavesExplicamos el procesamiento aislado de datos confidenciales con AWS Nitro Enclaves. Presentamos la atestación criptográfica, integración con KMS y casos de uso de procesamiento de PII y gestión de claves criptográficas.