Diseño de infraestructura

La historia que Nitro System cambió en EC2 - De Xen a KVM, la revolución que redujo a cero la sobrecarga de virtualización

Explicación de la evolución de EC2 desde Xen hasta Nitro System. Se presenta la descarga de I/O con tarjetas Nitro, la minimización del hipervisor, las instancias bare metal y Nitro Enclaves.

約 5 分で読めます

Los primeros 10 años de EC2 fueron la era de Xen

Cuando EC2 se lanzó en 2006, utilizaba el hipervisor de código abierto Xen. Xen ejecuta un dominio privilegiado (Dom0) que gestiona las operaciones de I/O de todas las máquinas virtuales invitadas (DomU). Este diseño significaba que todo el I/O de red y almacenamiento pasaba por Dom0, creando un cuello de botella de rendimiento. A medida que los tipos de instancia crecían y el rendimiento de red y almacenamiento aumentaba, la sobrecarga de Dom0 se convertía en un problema cada vez más serio. Además, Dom0 ejecutaba un kernel Linux completo, lo que ampliaba la superficie de ataque de seguridad. AWS necesitaba una arquitectura fundamentalmente nueva para superar estas limitaciones.

Tarjetas Nitro - Descarga de I/O a hardware dedicado

La primera innovación de Nitro System fue la descarga de las funciones de I/O a tarjetas de hardware dedicadas. Las Nitro Cards son tarjetas PCIe personalizadas que manejan directamente el procesamiento de red (VPC, ENA), almacenamiento (EBS) y seguridad (NVMe cifrado). Esto eliminó la necesidad de que Dom0 mediara en las operaciones de I/O, proporcionando a las instancias invitadas acceso directo al hardware. La Nitro Card para red implementa la funcionalidad VPC (grupos de seguridad, enrutamiento) en hardware, logrando un rendimiento de red de hasta 200 Gbps. La Nitro Card para almacenamiento gestiona el cifrado y la comunicación con EBS en hardware, proporcionando hasta 19,000 Gbps de ancho de banda de almacenamiento. La Nitro Security Chip monitoriza el firmware del hardware y detecta manipulaciones no autorizadas.

Nitro Hypervisor - El extremo de la minimización

Con la descarga de I/O a las Nitro Cards, el rol del hipervisor se redujo drásticamente. El Nitro Hypervisor es un hipervisor ligero basado en KVM que solo proporciona aislamiento de CPU y memoria. A diferencia de Xen que ejecutaba un kernel Linux completo en Dom0, el Nitro Hypervisor tiene una base de código mínima, reduciendo la superficie de ataque de seguridad. La sobrecarga de rendimiento es casi cero, y las instancias invitadas pueden utilizar casi el 100% de los recursos de hardware del host. Esta minimización también hizo posible las instancias bare metal.

Realización de instancias bare metal - EC2 sin virtualización

Las instancias bare metal (familia .metal) proporcionan acceso directo al hardware del servidor sin capa de hipervisor. Esto fue posible porque las Nitro Cards manejan las funciones de red y almacenamiento en hardware, eliminando la necesidad de un hipervisor para la mediación de I/O. Las instancias bare metal son ideales para cargas de trabajo que requieren acceso directo al hardware (hipervisores anidados, contadores de rendimiento de hardware, licencias vinculadas a hardware). VMware Cloud on AWS y Amazon ECS Anywhere utilizan instancias bare metal como infraestructura subyacente. Desde la perspectiva del usuario, las instancias bare metal se gestionan exactamente igual que las instancias virtualizadas normales (inicio/parada desde la consola, conexión a VPC, montaje de EBS), pero internamente no hay capa de virtualización. Para aprender sobre la historia de la infraestructura de AWS, libros técnicos (Amazon) son útiles como referencia.

Nitro Enclaves - Computación confidencial a nivel de hardware

Nitro Enclaves es una extensión de Nitro System que crea entornos de ejecución aislados (enclaves) dentro de instancias EC2. Los enclaves están completamente aislados de la instancia padre a nivel de hardware, sin acceso a red, almacenamiento persistente ni acceso interactivo. Ni siquiera el usuario root de la instancia padre puede acceder a la memoria del enclave. La atestación criptográfica certifica la identidad del enclave, y la integración con KMS permite operaciones de descifrado solo dentro de enclaves verificados. Nitro Enclaves es la culminación de la filosofía de seguridad de Nitro System: minimizar la superficie de ataque y proporcionar aislamiento a nivel de hardware. Desde la era Xen donde Dom0 tenía acceso a toda la memoria de los invitados, hasta Nitro donde incluso el operador del host no puede acceder a la memoria de los invitados, la evolución de la seguridad de EC2 ha sido dramática.

Servicios relacionados

Amazon EC2Un servicio de cómputo que proporciona servidores virtuales en la nubeAWS Nitro EnclavesServicio que crea entornos de ejecución aislados dentro de instancias EC2 para procesar datos sensibles de forma segura

Artículos relacionados

La innovación de hardware del AWS Nitro System - El chip dedicado que cambió los paradigmas de virtualización y seguridadExplicamos la filosofía de diseño del Nitro System desarrollado por AWS, analizando cómo la eliminación del overhead de virtualización, el aislamiento de seguridad a nivel de hardware y el rendimiento bare-metal generan una ventaja competitiva sin igual.AWS Graviton y la estrategia de silicio personalizado - Los chips de diseño propio que transforman la economía de la nubeComparamos cómo los procesadores Graviton basados en Arm diseñados por AWS y los chips de silicio personalizado para IA como Inferentia y Trainium están cambiando la estructura de costos y el rendimiento de la nube frente a Azure y GCP.La historia del nacimiento de Firecracker - Por qué se creó la micro VM que sustenta Lambda y FargateExplicamos la filosofía de diseño del monitor de micro VM Firecracker desarrollado por AWS para Lambda y Fargate, las diferencias con la virtualización tradicional, el secreto de su arranque en 125ms y la intención estratégica de su código abierto.

Más sobre este tema

Por qué Auto Scaling escala rápido hacia afuera y es cauteloso al reducir - Intención de diseño de la lógica de decisión asimétricaExplica la razón del diseño asimétrico de EC2 Auto Scaling que ejecuta el scale-out inmediatamente mientras establece un período de enfriamiento para el scale-in, el mecanismo de prevención de flapping y la lógica interna del Target Tracking Scaling.Infraestructura adaptable a la demanda con AWS Auto Scaling - Diseño y optimización de políticas de escaladoPresenta cómo utilizar los 3 tipos de políticas (Target Tracking, Predictive y Scheduled) y lograr la optimización de costos con instancias Spot mediante Mixed Instances Policy.Diseño de dominios de fallo en AWS - El mecanismo de disponibilidad protegido por la estructura de 3 capas AZ, región y particiónExplicamos por qué la infraestructura de AWS está diseñada en 3 capas: AZ (aislamiento de fallos), región (separación geográfica) y partición (separación política), y hasta dónde se propagan los fallos en cada capa con ejemplos concretos.Principios de sistemas distribuidos aprendidos de las interrupciones de AWS - Arquitecturas transformadas por grandes incidentesUsando como material los informes de incidentes publicados por AWS, como la interrupción de S3 (2017), la interrupción de Kinesis (2020) y la particularidad de us-east-1, explicamos principios de diseño como Shuffle Sharding, Static Stability y Cell-based Architecture.Por qué AWS construye regiones allí - Los criterios desconocidos de selección de ubicación de centros de datosExplicamos los criterios de decisión que AWS considera al determinar la ubicación de regiones, como suministro eléctrico, riesgo geopolítico, legislación de soberanía de datos, conectividad de red y riesgo de desastres naturales, con ejemplos concretos de regiones.Por qué los Availability Zone ID de AWS difieren por cuenta - La intención de diseño detrás del mapeo de AZExplicamos cómo us-east-1a apunta a diferentes AZ físicas por cuenta, por qué se introdujeron los AZ ID (use1-az1), la intención de diseño de distribución uniforme de capacidad y las consideraciones para la especificación de AZ entre cuentas.Infraestructura de computación por lotes - Procesamiento paralelo a gran escala con AWS BatchExplicamos cómo construir procesamiento por lotes a gran escala con AWS Batch. Cubrimos el diseño de colas de trabajos, auto-escalado de entornos de cómputo, optimización de costos con instancias Spot y la construcción de infraestructura de lotes ideal para computación científica y procesamiento de datos a gran escala.Streaming en vivo con calidad broadcast - Construcción de plataforma de distribución a gran escala con AWS Elemental MediaLive y MediaPackageExplicamos cómo construir una plataforma de streaming en vivo con calidad broadcast usando AWS Elemental MediaLive y MediaPackage. Cubrimos transcodificación en tiempo real, DRM, inserción de anuncios y distribución multi-CDN.

Artículos y servicios similares

La innovación de hardware del AWS Nitro System - El chip dedicado que cambió los paradigmas de virtualización y seguridadExplicamos la filosofía de diseño del Nitro System desarrollado por AWS, analizando cómo la eliminación del overhead de virtualización, el aislamiento de seguridad a nivel de hardware y el rendimiento bare-metal generan una ventaja competitiva sin igual.Procesamiento de datos confidenciales con AWS Nitro Enclaves - Cifrado y autenticación en entornos aisladosExplicación del procesamiento de datos confidenciales con AWS Nitro Enclaves. Se presenta el entorno de ejecución aislado, la integración con KMS, la atestación y los casos de uso.AWS Nitro EnclavesFunción que crea máquinas virtuales aisladas dentro de instancias EC2, procesando datos sensibles de forma segura mediante atestación criptográfica e integración con KMSComputación confidencial - Aislamiento y protección de datos en procesamiento con AWS Nitro EnclavesExplicamos el procesamiento aislado de datos confidenciales con AWS Nitro Enclaves. Presentamos la atestación criptográfica, integración con KMS y casos de uso de procesamiento de PII y gestión de claves criptográficas.Cifrado y soberanía de datos en AWS - Aislamiento a nivel de hardware desde KMS hasta Nitro EnclavesExplicamos el cifrado a nivel de hardware y la garantía de soberanía de datos mediante AWS KMS, CloudHSM y Nitro Enclaves, comparando las diferencias de diseño con otras nubes.