AWS Nitro System

AWS Nitro System 诞生于 2013 年，成熟于 2017 年，2021 年已经迭代到了第五代。

Nitro System 在过去几年中为所有 EC2 实例类型提供动力。推动了 AWS 最核心的 EC2 产品家族不断的往更大、更快、更安全、更稳定、更多类型、更高性价比方向演讲。例如： Nitro System 让 AWS 能够提供 100Gbps 增强型以太网网络云，支持更高吞吐量或受网络限制的工作负载。

AWS 每年消耗 Nitro ASIC 的数量高达数百万片，因此即使它只被 AWS 使用，也仍然是一个相当大规模的服务器组件。

AWS Nitro System 用于为 AWS EC2（弹性计算集群）实例类型提供以下特性：

高速网络与硬件卸载。
高速 EBS 存储与硬件卸载。
NVMe 本地存储。
用于 MPI 和 Libfabric 的 RDMA（远程直接内存访问）。
裸金属实例的硬件保护/固件验证。
控制 EC2 实例所需的所有业务逻辑。

Nitro System 是一个系统，包含了 3 个组成部分。主要有三部分：

Nitro I/O 加速卡。
Nitro 安全芯片。
Nitro Hypervisor。

不同的 EC2 服务器实例类型包括不同的 Nitro 系统特性，一些服务器类型有许多 Nitro 卡，实现 AWS Nitro System 的五个主要特性：

Nitro VPC Card
Nitro EBS Card
Nitro 本地存储卡
Nitro 控制器卡
Nitro 安全芯片

Nitro VPC Card

Nitro VPC Card 本质上是一个 PCIe 连接的 NIC（网络适配器，网络控制器）。

这是实现 EC2 服务器和网络连接的接口卡，或在该服务器类型上实现接口连接的硬件接口卡。而且，像所有 NIC 一样，主机与它的接口需要加载特定的设备驱动程序以支持与网络适配器通信。对于 Nitro VPC Card，ENA（弹性网卡）是其设备驱动程序。这个驱动程序现在包含在所有主流的操作系统发行版中。

Nitro VPC Card 支持网络报文的封装/解封装，实现 EC2 安全组、访问控制、路由等功能，代替了 Hypervisor 中实现的功能。如此的，可以让客户充分使用底层服务器硬件，而不会影响网络性能和其他用户，而且不必让客户使用 Server 的 CPU Core 来处理这些网络任务，使得最大的实例类型可以使用所有 CPU Core。

同时，它还允许完全安全的网络支持，而不需要为 AWS 保留服务器资源。

Nitro VPC Card 也支持一些网络加速特性。例如 EFA（Elastic Fabric Adapter）使用 Nitro Card 网络加速特性来提供了类似于许多超级计算机上的用户空间网络功能。希望利用 EFA 的客户可以使用 OpenFabrics Alliance Libfabric 包或使用更高级的编程接口，如：MPI（消息传递接口）或 NCCL（NVIDIA 集体通信库）。

MPI 和 NCCL 是科学、工程和机器学习应用中常用的软件包，有的时候也用于分布式数据库。无论使用 Libfabric、MPI 还是 NCCL，应用程序在与 EFA 通信时都会绕过操作系统，并且能够以更低的 CPU 使用率实现更一致的性能。

Nitro EBS Card

Nitro EBS Card 支持 EBS 的存储加速。所有实例的本地存储都实现为 NVMe 设备，用于 EBS 的 Nitro Card 支持透明加密，限制保护其他用户的系统性能特征，驱动器监控程序负责监控 SSD 磨损，它还支持裸金属实例类型。

远程存储以 NVMe 设备呈现，但是通过 Fabric 实现的 NVMe，再次支持对 EBS Volume 的访问，同时进行加密，并且不会影响其他 EC2 用户，即使在裸金属环境中也具有安全性。

Nitro 本地存储卡

用于本地存储的 Nitro Card 还实现了用于本地 EC2 实例存储的 NVMe（Non-Volatile Memory for PCIe）。

Nitro 控制器卡

Nitro 控制器卡协调所有其他 Nitro 卡、服务器 Hypervisor、Nitro 安全芯片。它还为 EBS 的一个或多个 Nitro 卡实现了 NVMe 控制器功能。

Nitro 安全芯片

Nitro 安全芯片将所有 I/O 捕获到非易失性存储，包括 BIOS 和所有 I/O 设备固件以及服务器上的任何其他控制器固件。这是一种简单的安全方法，通用处理器根本无法更改任何固件或设备配置。不允许任何访问，而不是接受容易出错且复杂的确保访问正确并且被批准的任务。

EC2 服务器无法更新其固件。从安全的角度来看，这很好，但明显的问题是固件如何更新。AWS 只通过 Nitro System 对其进行更新。

Nitro 安全芯片还实现了硬件信任根，并支持实例监控功能。该系统取代了 UEFI（统一可扩展固件接口）的数千万行代码，并支持安全引导。在不受信任的情况下启动服务器，然后测量服务器上的每个固件系统，以确保没有任何被修改或以任何未经授权的方式更改。每个校验和（设备度量）都根据存储在 Nitro 安全芯片中的验证正确的校验和进行检查。

AWS — Nitro System相关推荐

看 Amazon 如何通过 Nitro System 构建技术优势
前言亚马逊云科技提供了100余种产品免费套餐.其中,计算资源 Amazon EC2 首年12个月免费,750小时/月:存储资源 Amazon S3 首年12个月免费,5GB标准存储容量. 亚马逊AW ...
看Amazon如何通过Nitro System构建技术优势
看Amazon如何通过Nitro System 构建技术优势 Amazon Nitro System 从 2013 年开始秘密研发,2017 年正式发布,到 2021 年已经迭代到了第五代. 作为近 ...
AWS Nitro架构简介
AWS(Amazon Web Services)Nitro架构为Amazon的云服务提供了底层的支持.Nitro架构的总体设计思想是:轻量化的hypervisor配合定制化的硬件,让用户无法区分出运行 ...
AWS 云技术专栏系列文章
目录文章目录目录 AWS AWS <使用 Amazon Cloud WAN 构建您的全球网络> <全面解读 AWS Private 5G 的革新理念> <无处不在的 ...
AWS 聘用 Rust 编译器联合创始人，大企为何都爱 Rust？
整理 | 夕颜图源 | 视觉中国出品 | CSDN(ID:CSDNnews) 近日,AWS开源团队在一篇帖子中低调宣布,已聘用Rust编译器联合创始人Felix Klock.加入AWS后,他将与于 ...
DPU加持下的阿里云如何做加密计算？
作者:谭婧来源:亲爱的数据人在干,天在看,云在算. 云计算越发展,云安全越重要. 故事得从小小的芯片讲起. 一家以色列的芯片公司,名叫Annapurna Labs,以喜马拉雅山脉的最高十峰之一-- ...
官宣，Shane Miller 当选 Rust 基金会首任主席
[CSDN 编者按]4 月 12 日,Rust 基金会宣布,将由亚马逊 AWS 高级工程经理 Shane Miller 出任 Rust 基金会首任主席.在此之前,Miller 领导 AWS Rust ...
最全干货回顾，一文看尽亚马逊 re:Invent 2020全貌
亚马逊 re:Invent 2020 已经于 12 月 18 日正式落下帷幕,这场为期三周的云计算行业顶级盛会中,给从业者带来了诸多的惊喜与感叹.5场 keynote,18 场高管演讲,超过 500 ...
全面解读亚马逊云科技 Private 5G 的革新理念
作者:范桂飓前言在去年(2021)的 AWS re:Invent 上,我非常诧异于 AWS 居然能够如此神速的向市场推出 AWS Private 5G 服务.要知道,就在不久前(2021 年 2 ...

AWS — Nitro System

目录

文章目录