基础设施设计

Nitro System 改变 EC2 的历史 - 从 Xen 到 KVM,将虚拟化开销降至接近零的革命

解析 EC2 从 Xen 虚拟化管理程序迁移到 Nitro System 的技术背景、Nitro 卡·Nitro 虚拟化管理程序·Nitro Enclaves 的三层架构,以及实现裸机级性能的设计理念。

約 2 分で読めます

EC2 的前十年是 Xen 的时代

2006 年 EC2 发布时,虚拟化技术采用了 Xen 虚拟化管理程序。Xen 是剑桥大学开发的开源虚拟化管理程序,是当时最成熟的虚拟化技术之一。Xen 的半虚拟化 (Paravirtualization) 模式通过修改客户操作系统内核使其直接与 Xen 通信,实现了比完全虚拟化更高的性能。然而,基于 Xen 的 EC2 存在几个结构性问题。第一,网络和存储的 I/O 由宿主操作系统的 CPU 处理,因此在 I/O 负载高的工作负载中宿主 CPU 成为瓶颈。第二,宿主操作系统 (Dom0) 扩大了安全攻击面。Dom0 作为特权域可以访问所有客户 VM 的内存,一旦 Dom0 被攻破,所有客户 VM 都面临风险。第三,虚拟化管理程序的开销导致物理服务器 CPU 的 10-30% 被虚拟化管理消耗。

Nitro 卡 - 将 I/O 卸载到专用硬件

Nitro System 的核心在于将传统由宿主 CPU 处理的网络、存储和安全功能卸载到专用 ASIC (Application-Specific Integrated Circuit) 芯片。Nitro 卡有三种类型。Nitro Card for VPC 负责网络处理(VPC 封装、安全组过滤、ENA 数据包处理)。Nitro Card for EBS 负责块存储 I/O(EBS 卷的读写、加密/解密)。Nitro Card for Instance Storage 负责本地 NVMe 存储管理。这些处理从宿主 CPU 完全分离后,宿主 CPU 几乎 100% 可分配给客户 VM。Xen 时代物理服务器 CPU 的 10-30% 被虚拟化管理消耗,而 Nitro System 将其降至接近零。这一差异在大规模云基础设施中意味着巨大的成本差异。在数百万台服务器上节省 10% 的 CPU,相当于数十万台服务器的成本。

Nitro 虚拟化管理程序 - 轻量化的极致

Nitro 虚拟化管理程序是基于 KVM (Kernel-based Virtual Machine) 的极其轻量的虚拟化管理程序。与 Xen 的 Dom0 运行通用 Linux 内核不同,Nitro 虚拟化管理程序是仅具备虚拟化所需最小功能的定制内核。网络栈、存储栈、文件系统等传统虚拟化管理程序具备的功能全部卸载到 Nitro 卡,因此虚拟化管理程序本身的代码库极其精简。这种轻量化从安全角度也具有重大意义。代码越少漏洞越少,攻击面缩小。AWS 将 Nitro 虚拟化管理程序的安全模型描述为「虚拟化管理程序没有访问客户 VM 内存的手段」。Xen 的 Dom0 可以自由访问客户 VM 的内存,但 Nitro 虚拟化管理程序根本不具备该功能。这使得即使是 AWS 员工也在技术上无法访问客户 VM 的数据。

裸机实例的实现 - 无虚拟化的 EC2

Nitro System 的副产品是 EC2 裸机实例(如 m5.metal)。由于 Nitro 卡负责网络和存储处理,即使完全去除虚拟化管理程序,EC2 的管理功能(启动/停止、监控、安全组)也能维持。裸机实例将物理服务器的 CPU 和内存直接提供给客户,虚拟化开销字面上为零。需要裸机实例的用例虽然有限,但在重要场景中不可或缺。第一是许可证限制。Oracle Database 和部分 Windows Server 许可证基于物理核心数计费,在虚拟化环境中难以确定物理核心。裸机实例的物理核心数明确。第二是嵌套虚拟化。在客户操作系统中运行 VMware ESXi 或 KVM 时需要裸机实例。AWS 的 Elastic VMware Service (EVS) 就是在裸机实例上运行 VMware vSphere 的服务。第三是性能关键型工作负载。HPC(高性能计算)和金融实时交易中,即使微小的虚拟化开销也不可接受。

Nitro Enclaves - 硬件级机密计算

Nitro Enclaves 是利用 Nitro System 隔离功能的机密计算 (Confidential Computing) 环境。Enclave 是从父实例分离 CPU 和内存的隔离虚拟机,完全没有持久存储、网络访问和外部交互式访问。与父实例的通信仅通过 vsock(虚拟套接字)这一本地通信通道。这种极端隔离使得 Enclave 内处理的数据无论是父实例的操作系统、虚拟化管理程序还是 AWS 员工都无法访问。Enclave 的完整性可通过加密证明 (Attestation) 验证。Enclave 启动时,Nitro System 生成包含 Enclave 代码和数据哈希值的签名证书。外部服务(如 KMS)可在验证此证书后向 Enclave 提供数据。用例包括个人信息处理(PII 令牌化)、加密密钥管理、多方计算(多个组织在不共享数据的情况下共同计算)等。要系统学习 AWS 的虚拟化技术和安全设计,专业书籍 (Amazon)可供参考。

相关服务

Amazon EC2在云端提供虚拟服务器的计算服务AWS Nitro Enclaves在 EC2 实例内创建隔离执行环境,安全处理敏感数据的服务

相关文章

AWS Nitro System 的硬件革新 - 专用芯片改变虚拟化与安全的常识解析 AWS 自主研发的 Nitro System 的设计思想,分析消除虚拟化开销、硬件级安全隔离、实现裸金属性能如何创造其他厂商不具备的竞争优势。AWS Graviton 与定制芯片策略 - 自研芯片改写云的经济性将 AWS 自研的 Arm 架构 Graviton 处理器以及 Inferentia、Trainium 等 AI 定制芯片如何改变云的成本结构和性能,与 Azure、GCP 进行比较。Firecracker 的诞生故事 - 支撑 Lambda 和 Fargate 的微型 VM 为何被创造介绍 AWS 为 Lambda 和 Fargate 自主开发的微型 VM 监控器 Firecracker 的设计理念、与传统虚拟化技术的区别、125ms 启动的轻量化秘密以及开源化的战略意图。

本主题的更多内容

Auto Scaling 为何扩容快而缩容慢 - 非对称判断逻辑的设计意图详解 EC2 Auto Scaling 即时执行扩容而对缩容设置冷却期的非对称设计原因、防抖动机制以及目标追踪扩缩容的内部逻辑。通过 AWS Auto Scaling 实现需求驱动型基础设施 - 扩缩策略的设计与优化介绍如何灵活运用目标跟踪、预测性和计划性三种扩缩策略,并通过混合实例策略利用 Spot 实例实现成本优化。AWS 故障域设计 - AZ、区域、分区三层结构守护的可用性机制解析 AWS 基础设施以 AZ(故障隔离)、区域(地理分离)、分区(政治分离)三层设计的原因,以及各层故障的波及范围,并结合具体案例说明。从 AWS 故障中学习分布式系统原则 - 过去大规模故障改变的架构以 S3 故障(2017)、Kinesis 故障(2020)、us-east-1 的特殊性等 AWS 公开的故障报告为题材,解析 Shuffle Sharding、Static Stability、Cell-based Architecture 等设计原则。AWS 为何在那里建设区域 - 数据中心选址的鲜为人知的判断标准解析 AWS 决定区域选址时考虑的电力供应、地缘政治风险、数据主权法制、网络连接性、自然灾害风险等判断标准,结合具体区域案例进行说明。AWS 的 Availability Zone ID 为何因账户而异 - AZ 映射的设计意图解析 us-east-1a 在不同账户指向不同物理 AZ 的机制、AZ ID(use1-az1)引入的背景、容量均匀分散的设计意图,以及跨账户 AZ 指定的注意事项。批处理计算基础 - 通过 AWS Batch 实现大规模并行处理解析利用 AWS Batch 构建大规模批处理的方法。介绍作业队列、计算环境的自动伸缩、通过竞价实例实现成本优化等,适用于科学计算和大规模数据处理的批处理基础设计。广播级直播 - 使用 AWS Elemental MediaLive 与 MediaPackage 构建大规模分发基础介绍使用 AWS Elemental MediaLive 和 MediaPackage 构建广播级直播基础。包括实时转码、DRM、广告插入和多 CDN 分发。

相似的文章与服务

AWS Nitro System 的硬件革新 - 专用芯片改变虚拟化与安全的常识解析 AWS 自主研发的 Nitro System 的设计思想,分析消除虚拟化开销、硬件级安全隔离、实现裸金属性能如何创造其他厂商不具备的竞争优势。AWS Nitro Enclaves在 EC2 实例内创建隔离的虚拟机,通过加密证明(Attestation)和 KMS 集成安全处理敏感数据的功能机密计算 - 使用 AWS Nitro Enclaves 隔离保护处理中的数据详解使用 AWS Nitro Enclaves 进行机密数据的隔离处理。介绍加密证明、KMS 集成以及 PII 处理和加密密钥管理的用例。使用 AWS Nitro Enclaves 实现机密数据处理 - 隔离环境中的加密与认证在 Nitro Enclaves 的隔离环境中处理机密数据,通过与 KMS 的集成和证明机制控制加密密钥的访问。