云计算三层架构_云计算底层架构挑战（三）

4 云计算底层架构新趋势

就互联网场景而言，芯片公司距离市场和业务场景较远，自身对芯片级微观系统理解非常深入，但对互联网系统则缺乏深层次的敏感度，对新的热点方向布局有点“闭门造车”，很多高精尖技术难以落地。而互联网公司虽然距离客户近，有宏观大系统的整体视角，但缺乏硬件技术储备，对硬件技术的理解比较肤浅，局限于一些“隔靴搔痒”的硬件浅层优化。

为了解决这一问题，互联网公司纷纷通过自研或者跟IC公司合作的方式，更深入的融合软件和硬件的发展特点，研发符合互联网场景的新的芯片及硬件产品，以此支撑更加复杂、更加规模庞大、更加自动化管理、更加智能化的互联网基础设施和应用系统。

很多云计算厂家，包括亚马逊、谷歌、微软、阿里、华为、腾讯、UCloud等企业，都开始从硬件方面挖潜，深入探索并产生了很多创新的芯片设计及相关的硬件解决方案。

4.1 云计算管理：AWS NITRO系统

NITRO系统是新一代EC2实例的基础平台，通过专用硬件和轻量级Hypervisor结合，它使得AWS能够更快地进行创新，进一步的降低客户成本，并带来更多好处，例如增强的安全性和新的实例类型。

AWS完全重构了虚拟化基础架构。传统的Hypervisor可以保护物理硬件和BIOS、虚拟化CPU、存储、网络并提供丰富的管理功能。借助NITRO系统来分解这些功能，将其分流到专用的硬件和软件，并通过将服务器的几乎所有资源交付给用户实例来降低成本。

Nitro系统用于为AWS Elastic Compute Cluster（EC2）实例类型提供以下功能：高速网络硬件卸载；高速EBS存储硬件卸载；NVMe本地存储；远程直接内存访问(RDMA)；裸金属实例的硬件保护/固件验证；控制EC2实例所需的所有业务逻辑。

NITRO给AWS带来的好处：

l 更快的创新。NITRO系统是一个丰富的基础组件集合，可以通过许多不同的方式进行组装，从而使AWS能够灵活设计和快速交付EC2实例类型，并且具有越来越丰富的计算、存储、内存和网络选项选择。这种创新还产生了新的“裸金属”实例，客户可以通过虚拟化Hypervisor来虚拟化自己的裸金属实例，也可以没有Hypervisor，完全当做物理机来使用。

l 增强安全性。NITRO系统提供了增强的安全性，可以连续监视，保护和验证实例硬件和固件。虚拟化资源被转移到专用的硬件和软件上，以最大程度地减少攻击面。最后，NITRO系统的安全模型被锁定并禁止管理访问，从而消除了人为错误和篡改的可能性。

l 更好的性能和价格。NITRO系统实际上将主机硬件的所有计算和内存资源提供给您的实例，从而提高了整体性能。此外，专用的NITRO卡可实现高速联网，高速EBS和IO加速。CPU不必保留用于管理软件的资源，意味着可以节省更多的钱，这些钱可以转嫁给客户。

图7 NITRO系统架构

如图7，NITRO的物理形态为在服务器上的若干扩展板卡，通过不同的板卡组合，使得不同的EC2服务器实例类型实现不同的NITRO系统功能。这些卡分别实现了AWS NITRO系统的五个主要功能：

l VPC NITRO卡。用于VPC的NITRO卡本质上是一个PCIe连接的网络接口卡。VPC NITRO卡的设备驱动程序是弹性网络适配器（ENA），该驱动程序已包含在所有主要的操作系统和发行版中。NITRO VPC卡支持网络数据包封装/解封装，实现EC2安全组，强制执行限制并负责路由。

l EBS NITRO卡。用于EBS的NITRO卡支持EBS的存储加速。所有实例存储均以NVMe 设备的形式实现，并且EBS的NITRO卡支持透明加密，还支持裸金属实例类型。远程存储再次实现为NVMe设备，即使在裸金属环境中，也支持再次通过加密访问EBS卷，并且又不影响其他EC2用户和安全性。

l 用于实例的本地存储的Nitro卡。用于实例存储的NITRO卡还为本地EC2实例存储实现了NVMe。

l NITRO控制器。NITRO卡控制器可协调所有其他NITRO卡、服务器Hypervisor和NITRO安全芯片。它使用NITRO安全芯片实现了信任的硬件根，并支持实例监视功能。它还为一个或多个用于EBS的NITRO卡实现了NVMe控制器功能。

l NITRO安全芯片。NITRO安全芯片将所有IO捕获到非易失性存储中，包括BIOS和服务器上所有IO设备固件以及任何其他控制器固件。这是一种非常简洁的安全方法，通用CPU根本无法更改任何固件或设备配置。NITRO安全芯片还实现了信任的硬件根。该系统替代了数千万行用于UEFI并支持安全启动的代码。在启动服务器时，将其置于不受信任的状态，然后监测服务器上的每个固件系统，以确保未对它们进行任何未经授权的修改或更改。

另外，NITRO系统还实现了一个非常简单、轻量的Hypervisor，该Hypervisor通常处于静态状态，它使得AWS能够安全地支持裸金属实例类型。

4.2 AI加速：谷歌TPU

TPU（Tensor Processing Unit，张量处理单元）是Google定制开发的ASIC芯片，用于加速机器学习工作负载。用户可以使用Cloud TPU和TensorFlow在Google的TPU加速器硬件上运行自己的机器学习工作负载。Cloud TPU资源提高了机器学习应用中大量使用的线性代数计算的性能。在训练大型复杂的神经网络模型时，TPU可以最大限度地缩短达到准确率所需的时间。以前在其他硬件平台上需要花费数