<p id="hfhf7"></p>
    <p id="hfhf7"></p>
      <address id="hfhf7"><pre id="hfhf7"><strike id="hfhf7"></strike></pre></address>

          中國數據存儲服務平臺

          re:Invent 2022:亞馬遜云科技發布新Nitro卡和Graviton3E處理器

          朱 朋博

          2022年的云科技春晚,亞馬遜云科技的re:Invent 2022開始了。

          北京時間11月29號上午11點半,我個人最關注的主題內容,繼續由亞馬遜云科技高級副總裁Peter DeSantis帶來。

          Peter DeSantis的演講內容分四個“靚仔”,分別是硬件、網絡、科學和軟件。其中,科學部分指的是AI/ML方面的創新,軟件指的是應用軟件運行。

          首先,看硬件方面的創新

          首先登場的依然是最令人期待的AWS Nitro,回顧歷史,Nitro被分成了四個版本來介紹,每一代都會有一些明顯的進步和提升,這次發布的就是Nitro V5。

          與上代相比,Nitro V5采用的晶體管數量翻倍,內存速度提高了50%,PCIe帶寬也實現了翻倍。反映到性能方面,PPS網絡性能提高60%,延遲降低30%,此外,能耗比也將提升大約30%。

          首發采用Nitro V5的就是這款叫C7gn的EC2實例,它采用的處理器是Graviton3,作為一款網絡優化型實例,帶寬提升到了200Gbps,各項參數相較于上代的C6gn有不小提升。

          第二位重磅登場的其實是新一代的Arm處理器Graviton3E。

          Graviton2相較于Graviton1提升很大,Graviton3相較于Graviton2有25%的性能優勢,今年,很多人期待的是Graviton4,但這次只有Graviton3E。

          Graviton3E是Graviton3的一個變種,主要優化了在浮點運算和向量運算場景中的表現,這種都是高性能計算領域特別強調的能力。

          圖中展示的性能提升僅限于在高性能計算領域,比如有分子動力學GROMACS、金融期權定價FINANCIAL OPTIONS PRICING等等場景。

          為Graviton3E首發護航的就是HPC7g實例,它同時還采用了Nitro V5。對了,這就說明Nitro V5是專門給所有7代主機準備的。

          第二,看網絡創新方面的創新

          網絡部分,Peter重點介紹了SRD(Scalable Reliable Datagram)的重要性,并表示,EFA、EBS和ENA都用上了自家的SRD。

          EFA是亞馬遜云科技的高性能網卡,主要面向HPC和AI集群場景,它依靠Nitro來Offload,繞過內核,以此來提供更高的穩定性,更高的吞吐帶寬和更低的延遲。

          EFA優勢很明顯,但由于跟TCP有一些不同,所以,真正用的時候,只有少數對延遲特別敏感的應用才有可能來適配它,為了能讓人用上EFA,亞馬遜云科技也對接了HPC生態。

          SRD在降低EBS寫延遲方面效果顯著,如上圖所示,它能將極少數(P99.999)會出現的35ms延遲降低五倍,并且能將整體的延遲水平降到一個全新的水平。

          SRD除了可以幫EBS降低延遲,還能提高吞吐帶寬,如上圖,采用了SRD的io2,其IOPS和帶寬提升了四倍。

          Peter還表示,此后新發布的EBS io2都會支持SRD,并且,不會給用戶帶來額外成本,應用本身無感知,用就行了。

          與EFA不同,ENA(Elastic Network Adapter)才是大多數人要用的網絡服務,亞馬遜云科技把SRD裝了進去ENA之后,發布了一個叫ENA Express的新東西。

          其主要價值也是降低延遲和提升帶寬,其中,帶寬直接從原來的5GB/s提升到了25GB/s。

          對于用戶來說,也是只管用就行了,應用方面不需要單獨作出調整。

          第三部分,機器學習方面的創新。

          這部分,Peter重點介紹了如何提高機器學習訓練效率的問題。

          如上圖所示的是機器學習模型精度對訓練時間的影響,16位計算精度的訓練速度快(也省顯存),但損失函數的值收斂不夠,也就是說,訓練出來的模型會很不準。

          32位計算精度可以,但比較費時間,浪費時間就意味著會更費資源,更費錢,為了保證精度的同時能縮短訓練時間,人們搞出了混合精度的做法。

          為了進一步減少訓練時間,還有了叫STOCHASTIC ROUNDING的做法,這個具體是什么,我實在是聽不懂,有點超綱了,大概知道這是一個優化訓練過程的思路。(懂的大佬能用白話解釋一下嗎?)

          不過,提高訓練效率的另外一個思路是橫向擴展,用多臺服務器來一起做訓練。雖然集群運算的效率高,但集群信息交換同步的問題也很大,因為信息交換同步本身就會消耗很多時間。

          Peter介紹了一個叫Ring of Rings(環中環?)的技術來解決信息交換同步效率差的問題。

          相較于傳統的Single Ring的方案,能提高信息交換同步的效率,能把集群規模做的更大。

          目前,Ring of Rings技術支持開源的機器學習模型PyTorch,能把PyTorch的信息同步交換速度提高75%。

          這么好的技術,怎么才能用上呢?

          于是Peter就介紹了新推出的Trn1n實例,它的芯片自然是去年發布的Trainium芯片,網絡部分采用的是增強的1600 Gbps的EFA網絡,這種實例更適合用分布式集群來訓練超大模型。

          第四部分,軟件運行方面的創新。

          這部分主要談的是亞馬遜云科技引以為傲的Serverless服務Lambda,具體說是減少Lambda運行軟件應用時的冷啟動時間。

          此前發布的Firecracker其實也做了一些優化,而今天又再進一步,這就是新發布的AWS Lambda SnapStart,它能把冷啟動的時間縮短90%。

          至于具體的技術實現的話,大致原理就是用了Snapshot快照技術來加快或者說繞開運行時環境初始化的時間。

          關于Peter介紹的主要內容就先記錄到這里。

          以下是這兩天的主要日程,喜歡熬夜的朋友可以蹲一下,我就不熬夜了。

          我個人關注的會是CEO和CTO的演講,渠道方面的不感興趣,機器學習部分會酌情看一下,主要是預計我能聽懂的不多orz。

          最后,順手貼一個注冊觀看鏈接:https://www.awsevents.cn/reInvent2022/registerSignUp.aspx?s=7982&smid=15580

          百萬用戶福利被黑產套現,線上營銷如何防“刷獎”?

          朱 朋博

          又到了一年一度的雙十一購物季,各大平臺營銷活動紛紛上線,紅包、優惠券、秒殺……這些優惠你搶到了嗎?

          為了拉新促活,一家知名保險公司近期投入上百萬的營銷費用,在自家APP、微信小程序上線了一個“抽獎得紅包”的用戶活動。然而,這些紅包真正被用戶搶到了嗎?恐怕很難。經過瑞數信息的后臺診斷分析,大部分紅包并沒有按計劃被發放至終端用戶手上,而是被大量“羊毛黨”薅走了。

          通過日志分析,瑞數信息發現了大量的高級自動化行為和批量接口調用等可疑情況:僅8天時間, 簡單腳本攻擊就超過140萬次,高級自動化工具使用了2萬+次,重訪攻擊逼近1.5萬次,令牌篡改請求也突破了6000次。

          換句話說,黑產團伙早就盯上了這個活動,通過系統化的技術手段和數以萬計的賬號,利用自動化的腳本程序,來批量參與保險線上平臺的營銷活動,以此獲取高額利潤。除此之外,由于黑產的大量“進攻”,營銷活動頁面經??D,后端服務器難以支撐,嚴重影響了真實用戶參與活動的體驗。

          那么問題來了,

          為什么部署了大量安全設備的保險公司沒有發現黑產團伙的行為?

          瑞數信息又是如何發現并打擊黑產的呢?

          為什么用戶無法發現黑產“薅羊毛”?

          事實上,保險公司的遭遇并不是個例。由于黑產分工明確、合作流程成熟,并且逐漸向隱蔽、專業、精準方向發展,已經越來越難以被消滅。據《數字金融反欺詐白皮書》顯示,目前羊毛黨已形成15余工種、160余萬從業人員、產業規模不低于1000億元人民幣的產業鏈。

          從黑產自身來看,“薅羊毛”的技術正在不斷精進。相比于過去人肉作假,現在黑產更多采用Bots自動化工具,批量參與營銷活動,進一步提升了“薅羊毛”效率。同時,黑產攻擊手法更加擬人化,大面積地使用虛擬機、改碼設備、批量養號等各種高科技造假手段,足以模擬正常用戶的行為、設備、身份等系列特征,作案手法更加隱蔽。

          從外部環境看,隨著數字化業務快速增長,APP、微信、小程序、H5等多種業務接入渠道產生,API接口大量被調用,帶來了巨大的敞口風險。

          一方面,小程序這類新興線上渠道被攻擊者逆向難度很低,只要調取代碼就可以直接獲取微信用戶身份認證信息,完成登錄、下單、查詢等用戶行為。另一方面,API接口承載著大量客戶信息、業務和交易數據、認證信息等關鍵數據,經常面臨接口越權、未授權訪問等安全威脅。黑產不僅可以利用應用漏洞進行攻擊,還通過各類擬人化Bots模擬業務操作,實現業務攻擊,對數字化業務的影響也在快速攀升。

          內外交困之下,傳統的業務安全/風控產品也疲態盡顯。

          傳統業務安全/風控產品的關注點在于賬號、IP、設備信譽以及固定規則,需要頻繁地更新數據庫和規則來應對黑產攻擊。但如今的黑產已經可以通過豐富IP、使用肉雞、設備root、手機群控等手段,讓傳統的業務安全/風控系統疲于應對,甚至無法察覺黑產的存在。

          瑞數信息解決的保險公司“薅羊毛”這一案例中,保險公司之所以攔不住黑產,很大原因也在于該公司部署的WAF產品,只能基于固定規則和簽名對異常行為進行判定,因此感知不到模擬真人的黑產攻擊行為。

          三步發現黑產“薅羊毛”

          針對傳統安全/風控產品的弊端,瑞數信息利用獨創的“動態安全+AI”技術,三步精準定位黑產“薅羊毛”行為,有效打擊各類網絡欺詐,包括偽裝成正常交易的業務作弊、利用合法賬號竊取敏感數據、假冒終端應用等。

          1. 批量調取接口行為分析(重放、腳本自動化)

          以上述保險公司案例為例,通過單獨分析抽獎路徑,瑞數信息發現:20%的請求操作行為字段為空值,可以判斷這一部分是使用的簡單腳本進行攻擊;30%的輸入操作記錄為0,說明可能是通過高級自動化攻擊發起的請求,或者是使用重放工具發起的請求。

          正常的抽獎邏輯需要先訪問抽獎頁面,然后通過該頁面發起抽獎的接口請求。但瑞數信息從接口調用的referer發現:其中20%的請求沒有前置頁面請求,referer值為空,說明這些請求是直接自動化調用的抽獎接口,沒有按照正常的抽獎邏輯進行抽獎。

          • 高級Bots工具

          通過日志分析,瑞數信息發現了不少高級自動化工具。這類工具的訪問日志中操作行為字段為空,沒有人為的輸入、滑動等行為,所有請求都是腳本驅動瀏覽器完成。

          • 黑產批量調取接口行為分析(代理池)

          通過瑞數信息的cookie id(每個用戶不會重復,具備唯一性),以及提取到的頁面輸入行為進行聚類分析,發現黑產團伙進行接口批量調用,直接參與抽獎行為。

          以上種種分析,都指向了黑產團伙的行為路徑:使用簡單腳本,定時抓取活動頁面,獲取活動信息;使用高級自動化工具和重放攻擊,模擬真人訪問,自動化參與抽獎。

          四招分層解決“薅羊毛”

          在清晰洞察了黑產行為之后,瑞數信息采用四招分層解決黑產“薅羊毛”問題。

          招式一:針對簡單腳本攻擊和高級Bots工具

          瑞數信息的“動態令牌”“動態驗證”技術,能夠確保運行環境,進行人機識別,對抗瀏覽器模擬化以及自動化攻擊;同時,防止重放攻擊和越權,確保業務邏輯正常進行。

          招式二:針對黑產團伙

          通過業務威脅感知、群控模型、聚類分析指紋和IP對應關系、分析頁面輸入行為、定制可編程對抗策略等方式,瑞數信息能夠實時識別和攔截模擬合法操作的異常行為,并梳理出黑產名單。

          同時通過瑞數信息的“動態安全+AI”技術,大幅削減了自動化工具的攻擊效率,攔截了大量的“薅羊毛”行為,也為客戶服務器減輕了很大的壓力。

          不僅如此,考慮到黑產一般在活動發起前就開始進行諸多準備,如掃描系統漏洞、爬取用戶信息、分析活動頁面信息等,瑞數信息在活動發起前就對業務做好防護,讓業務“風險前置”。

          招式三:漏洞防掃描

          通過動態安全技術,使得漏洞掃描或漏洞利用工具無法發起有效自動化掃描探測,無法發現可利用的漏洞及網頁目錄結構。同時,在網站/APP等應用未打補丁或補丁空窗期,提供有效安全防護。

          招式四:用戶信息防泄露

          針對用戶信息惡意爬取,瑞數信息利用“動態混淆”技術,將黑產每一次獲取的信息都動態加密,讓黑產無法獲取真實信息;利用“動態封裝”技術,將業務關鍵邏輯動態變化,防止攻擊者分析網站代碼。

          總體而言,瑞數信息之所以能很好地解決黑產“薅羊毛”問題,一方面在于“動態安全+AI技術”具有自動化攻擊防御、人機識別等獨特優勢;另一方面也在于能同時覆蓋Web、H5、APP、小程序、API等多種業務渠道,數據采集點更加豐富,通過全量數據融合AI算法,使得防御能力更加精準,實現業務風控前置。

          在黑產作案方式逐漸專業化、隱蔽化、團伙化的今天,線上營銷需要新的安全技術方案才能更好地“應戰”。瑞數信息作為Gartner、IDC等國際知名咨詢機構推薦的在線反欺詐領域代表廠商,將持續發揮自身技術優勢,為業務安全保駕護航。

          英特爾數據存儲創新三大技術看點和猜想

          朱 朋博

          “話說天下大勢,分久必合,合久必分。周末七國分爭,并入于秦。及秦滅之后,楚、漢分爭,又并入于漢。漢朝自高祖斬白蛇而起義,一統天下,后來光武中興,傳至獻帝,遂分為三國?!边@是 “分久必合,合久必分”典故的出處。

          天下大勢如此, 數據信息產業的發展也概莫能外。但是大家也有一個疑問:現在的技術發展是三足鼎立呢?還是分久必合的趨勢?

          在2022中國數據與存儲峰會上,來自英特爾的三位技術專家英特爾數據中心事業部 云解決方案架構師高偉、英特爾中國政企事務部及全球OEM解決方案經理吳國安、英特爾網絡與邊緣計算事業部云計算軟件開發工程師裴迪分別從CSAL/WSR、持久內存存儲和IPU SPDK存儲卸載加速/優化的角度對數據存儲的問題給出了解讀。這些技術各有特色,依托各自強大的優勢鼎立支持英特爾的技術發展

          同時他們也具備一個共性,就是要解決爆炸式數據增長所帶來的數據處理方面的問題。如Cloud Storage Accelerate Layer——CSAL(此前叫WSR),是利用QLC和傲騰構建云存儲方面的價值,在提高性能和SLA的同時,提高存儲密度,降低數據處理合存儲的成本;傲騰持久內存存儲模式優化,主要解決外部數據存儲IO性能瓶頸的問題;相比,SPDK結合英特爾IPU對存儲相關協議進行卸載和優化,則是充分利用IPU等異構計算來解決高性能和擴展性的問題。

          讓我們一起深入了解,這些技術是如何操作和實現的。

          CSAL(WSR)助力阿里云打造更具競爭優勢的云存儲

          隨著CPU性能的不斷提升,以及PCIe 4.0時代的來臨,原本基于磁盤的存儲方案越發捉襟見肘。磁盤存儲容量有所提升,但單位容量的性能卻不斷降低,從而使得SLA下降。

          以阿里云的一個實踐案例來看,阿里云旗下大數據計算密集型實例規格族D2C采用的是磁盤的配置,在采用了CSAL和QLC加傲騰的技術組合后,阿里云推出了新的D3C實例。

          新的D3C實例不僅存儲性能和SLA有所提升,而且,整體密度增加3倍,RACK級別實現了3倍節省,減少了機架的空間占用,令阿里云受益良多。

          D3C實例需要使用最新的QLC存儲介質,但是QLC在耐久性上和寫性能方面有許多問題,特別是在處理小IO的時候,其性能并沒有比磁盤高多少,甚至在小數據塊的順序寫場景中,其性能還不如磁盤。

          在分享中高偉詳細分析了造成此現象的原因:簡單用QLC閃存盤替換磁盤的做法是行不通的。

          阿里云旗下有I系列和D系列兩類提供EBS本地存儲的ECS實例,I系列強調低延遲和高性能,主要用于數據庫場景,D系列強調低成本和大容量,主要用于大數據分析場景,新推出的D3C實例在性能上有大幅提升。

          在構建實例的過程中,為了解決QLC在耐久性和性能方面的問題,英特爾和合作伙伴在過去一年里開展了一個叫CSAL的項目,而CSAL的作用主要有四個方面:

          1,可根據用戶工作負載需求自由調整的NAND存儲性能和容量;

          2,使用性能和耐久性都很高的傲騰來彌補QLC性能和耐久性不足的問題;

          3,提供英特爾至強原生的高性能存儲;

          4,多租戶下有更穩定的QoS表現,機架級別實現了三倍節??;

          新的D3C實例采用了新一代的代號為Ice Lake的英特爾至強可擴展處理器,搭配CSAL技術和傲騰加QLC的技術組合,在計算和存儲性能方面都有了大幅提升。

          與此前的D2C相比,原來一臺服務器只能提供一個大規格的虛擬機,而現在,一臺服務器可以提供兩個大規格的虛擬機。

          并且,從TPCx-HS和TPC-DS兩個跑分測試數據來看,新的D3C的性能表現都比原來的D2C有所提升。

          此外,高偉還介紹了CSAL架構方面的更多細節,以及CSAL在新一代ZNS閃存盤上的一些性能數據,如何未來發揮更多作用。

          英特爾?傲騰?持久內存存儲模式的優化,值得期待

          英特爾?傲騰?技術的研發始于2012年,2019年英特爾?傲騰?持久內存100系列與第二代英特爾?至強?可擴展處理器共同發布,隨后,隨著第三代英特爾?至強?可擴展處理器的發布,又發布了第二代的英特爾?傲騰?持久內存200系列,而第三代英特爾?傲騰?持久內存也將在明年年初與第四代英特爾?至強?可擴展處理器一道發布。

          從英特爾技術專家吳國安的介紹中了解到,第三代英特爾?傲騰?持久內存的性能相比于200系列還會有大幅地提升。令人遺憾的是,由于一些原因,英特爾不再開發第四代傲騰持久內存產品,但后續將依靠至強平臺支持的CXL協議來擴展內存的容量及帶寬。

          吳國安分享的重點是持久內存SNIA編程模型的優化問題,如圖可見,編程模式分兩種,一種是右側的內存編程模式,另一種是左側是存儲編程模式,左側是此次關注的重點。

          與內存編程模式不同,存儲編程模式不需要修改代碼,并且,可以像操作普通磁盤和固態盤那樣把傲騰當做塊設備來使用,之所以能做到這點,很重要一方面就是因為有一個叫BTT的核心算法。BTT核心算法可以將字節訪問的持久內存設備,映射成為Block原子性的塊設備,從而將持久內存設備視為是快速且低延時的SSD。也因此,它具有了和SSD一樣的編程模型,這意味著它可以利用現有的SSD的生態,使用傳統的讀寫接口,在所有現有的文件系統下正常工作。

          在這種模式之下,傲騰持久內存可以像普通SSD一樣,作為緩存來加速存儲性能。

          最近,Linux內核方面有兩個優化,這兩個優化可以大大提升這種模式下的性能表現。分享中詳細介紹了持久內存存儲編程核心算法-BTT的更多細節,介紹了兩種優化存儲模式的方法,一種是算法優化,將BTT算法在持久內存中的16字節的bflog操作邏輯變為內存中的操作,減少寫操作的開銷。

          另一種是動態控制deepflush,利用英特爾平臺的ADR功能而無需使用deepflush指令從而獲得非常好的性能提升。

          最后,讓我們再看持久內存存儲編程模式可能的發展方向。新一代的英特爾至強可擴展處理器將內置DSA的加速器,它可以卸載CPU的數據搬遷工作,從而節省CPU的資源,又比如CXL技術將來可以和持久內存存一起來獲得更優的存儲性能。

          詳細的技術細節也可以參考:持久內存BTT實現及優化(一)持久內存BTT實現及優化(二)。

          相關的代碼可以參考:[PATCH] BTT: Use dram freelist and remove bflog to otpimize perf以及[PATCH] ACPI/NFIT: Add no_deepflush param to dynamic control flush operation?!?/p>

          SPDK在英特爾IPU的存儲卸載中有重要作用

          SPDK(Storage Performance Development Kit)提供了一系列的工具和類庫來創建高性能、可擴展的、用戶態的存儲應用,能用于構建超高性能的存儲應用。

          去年,英特爾正式發布了兩款IPU(Infrastructure Processing Unit),一個叫Big Spring Canyon(BSC),另一個叫Mount Evans,兩款IPU都能對存儲進行卸載,并利用SPDK來提高性能。

          英特爾技術專家裴迪介紹了IPU推出的背景和IPU的諸多價值。IPU不僅可以減少CPU資源的浪費,讓CPU得到更充分利用,還能提升性能和降低延遲,此外,通過軟硬件的結合,從而為云基礎設施帶來更高的靈活性。

          Big Spring Canyon(BSC)是由英特爾?至強?D系列處理器和FPGA智能網卡來構建的,其優勢在于可以利用英特爾?至強?強大的軟件生態,性能強大,功能強大,還可以應對未來新的需求和定制化的需求。

          Big Spring Canyon(BSC)卡的使用場景可以分為虛擬化模式和裸金屬模式兩種,裴迪結合兩種典型的使用場景在技術層面上做了一些具體的介紹。

          裴迪介紹了SPDK軟件結合Big Spring Canyon(BSC)來支持存儲卸載和彈性塊設備的技術細節,讓我們看到了SPDK軟件在Big Spring Canyon(BSC)卡的存儲卸載方面有重要作用,之所以使用SPDK來完成存儲卸載工作,是因為SPDK具有強大的優勢:

          一方面,因為SPDK是一個用戶態的軟件,使用了Polling mode避免了內核態IO處理頻繁上下文切換帶來的性能開銷,SPDK的數據面零拷貝和無鎖的特性也極大提高了性能。另一方面,SPDK目前已經比較成熟,支持多種遠端存儲。

          Mount Evans是一款基于ASIC芯片和ARM CPU打造的IPU,提供2 x 100G的網絡能力,它是由英特爾和谷歌合作開發設計的。

          Mount Evans繼承了以往多款基于FPGA的智能網卡和IPU的開發經驗,可應對各種真實的工作負載。它不僅擁有強大的性能,而且,在安全性和隔離性上面也具有更高水平的實現,從設計之初就將安全性和隔離性視為重中之重。

          Mount Evans在硬件層面有許多技術創新,比如,它具有業內一流的可編程的包處理引擎,它擁有從英特爾傲騰拓展而來的NVME存儲接口,它支持下一代可靠傳輸技術,它還帶有先進的解壓縮加速器。

          在軟件生態方面,Mount Evans經由軟件開發人員、硬件開發人員和加速器開發人員共同設計開發,有更好的軟硬協同。它支持Barefoot P4 Studio,可以為開發者提供更好的可編程性。另外,卡上運行的Linux操作系統能夠充分利用DPDK、SPDK以及IPDK等軟件生態。

          在Mount Evans的CPU上也運行著SPDK存儲服務,可以提供存儲卸載和加速,SPDK在不同形態的IPU產品上都可以快速的匹配對應的硬件,同時提供高性能、高可擴展性,可對接到不同的存儲服務中,為IPU加速產品化提供存儲生態上的支持。

          裴迪介紹了Mount Evans用SPDK卸載存儲的技術細節和一些典型的使用場景,在技術實現上,重點提到了一個叫vDPA的技術,vDPA技術增加了更多硬件實現的功能,從而帶來性能加速效果。

          同時在IPU結合SPDK的使用場景中,也有涉及到最近比較熱門的FaaS (Function as a Service)云原生相關的支持。

          以上是三位專家演講內容的概要,如果想了解更多演講具體內容,歡迎查看視頻回放。

          MemVerge范承工:CXL正在迎來大內存的曙光

          朱 朋博

          2022中國數據與存儲峰會第二天的“CXL大內存論壇”上,CXL大內存論壇出品人、MemVerge聯合創始人兼CEO范承工發表了題為《CXL: 大內存的曙光》的主旨演講,在CXL成為熱點話題的背景下,對CXL的發展前景做出非常樂觀的預期。

          以下內容根據現場速記整理:

          CXL是一個新興的內存接口,它對于整個數據中心架構會產生非常深遠的影響。

          今天有幸請到了幾位業內的專家,,既有硬件也有軟件方面,他們分別來自英特爾、三星、瀾起和MemVerge,給大家全方位解讀CXL技術以及它的應用場景。

          接下來,我簡單介紹一下CXL,為什么會有CXL,它主要想解決哪些問題,它的基本定義是什么,基本的技術構成是什么,它潛在的應用場景是什么。

          隨后,英特爾和三星的專家會做更詳細的介紹,瀾起科技是做CXL控制器的廠商,MemVerge是做大內存軟件的廠商,也會做更詳細的介紹。

          首先來看,CXL要解決的挑戰是內存墻和IO墻問題,內存墻和IO墻又是什么?

          隨著需要訪問的數據越來越多,內存墻和IO墻成為兩個不可逾越的瓶頸,阻礙應用的性能表現。

          上圖是去年Meta在OCP全球峰會上發表的,圖中指出一個有趣的現象:過去10年,CPU的內核數有著非??焖俚纳仙?,10年里內核數提升了大概三倍,但CPU內核到內存的帶寬反而下降了。

          也就是說,每顆CPU核心能夠享用的內存帶寬是在下降的,每顆核心之間能交換的數據量是減少的。不幸的是,應用要訪問的數據是越來越多,所以說,內存和計算之間的接口就成為一個主要的瓶頸,這就是內存墻。

          值得單獨說一句的是:內存墻的其實就是常說的“馮諾·依曼”架構的瓶頸。

          IO墻是什么呢?

          上圖來自英特爾,圖中以AI為例,AI模型的大小基本上每兩年上升一個數量級,數據如果放在內存里可以很快訪問到,但如果內存里放不下的話,就需要放在外部存儲里,用網絡IO來訪問數據。

          IO方式的訪問會使得訪問速度下降幾個數量級,當內存容量不夠大時,IO也不可避免地會成為應用的瓶頸,這既是IO墻。內存墻和IO墻是影響新一代的應用性能的兩個障礙,如何打破這些障礙呢?這就要依靠CXL了。

          廣受關注的CXL到底是什么?

          CXL聯盟由業界200多家公司合作建立,CXL定義了一個標準,既支持各種各樣的存儲器,也支持各種異構的計算、芯片,包括CPU、GPU、DPU、各種AI加速器,甚至各種FPGA加速器。

          CXL也支持各種各樣的內存,包括DRAM、新興的內存,甚至NAND閃存。CXL可以提高從計算到內存的訪問的一致性,所以使得不同的XPU可以同時訪問同一塊芯片。

          在過去幾年里,CXL逐漸成熟,到現在已經發表了1.1、2.0、3.0三個不同的版本。CXL的定義之下,它有三種不同的設備。

          第一種設備是加速器,指的是計算設備,可以是CPU,也可以是各種AI加速器;

          CPU里自帶 Cache,CXL可以保持CPU Cache的一致性;

          第三種設備是內存,CXL可以連接各種各樣的內存;

          中間的第二種設備實際上是第一種和第三種的結合體,它可以既有計算,也有內存,兩種可以同時掛載到CXL。

          CXL發展簡史:1.1、2.0、3.0

          在2019年,CXL的第一個版本CXL 1.1問世了。它主要定義的標準是如何直接連接計算器件和內存器件,主要指的是在一臺服務器里面能夠直接把他們連在一起。它主要的場景是對內存的容量和帶寬進行擴展,叫Memory Expansion。

          傳統服務器的內存插在DDR4 DIMM接口,該接口有一定的帶寬的限制,內存帶寬對CPU的利用率不是太高,不如PCIe總線對CPU的利用率高。

          而CXL正是建立在PCIe的基礎之上的,在PCIe 5.0及以上標準來跑CXL的標準。這個帶寬就在DDR帶寬的基礎上再加上PCIe的帶寬,PCIe 5.0每一個通道的帶寬就有4個GB/s,16個通道就能達到64個GB/s,如果有128個通道,就可以增加500 GB/s多的帶寬。

          所以,它可以很有效的對內存的帶寬進行擴展,也可以對內存的容量進行擴展。既能擴大帶寬,也能擴大容量,從某種意義上說,就是在解決內存墻和IO墻的瓶頸。

          CXL 1.1解決的還是單機設備的問題,在一臺服務器里對內存進行擴展,而CXL 2.0就超出了單機的范疇。

          上面的H1到H4到Hn指的是不同Host,它可以通過CXL Switch連接多個設備,底下的D1、D2、D3、D4指的是不同的內存,也是通CXL Switch連到上層的主機里。

          在這套框架之下,它就使得Memory Polling成為可能,你可以跨系統設備實現共享內存池,這就增加了很多的靈活性。

          比如,如果有機器內存不夠的時,就可以靈活的從這個池子里來找內存,如果這臺機器不需要這些內存了還可以隨時還回來。

          這無疑將大大提高內存的使用率,或者降低內存的使用成本??紤]到效率提高,自然也會降低對于環境的影響,有助于減少碳排放。

          CXL 3.0是2022年8月份發布的新標準,在CXL 2.0基礎上增加了一些重要功能,它可以使得多個Switch互相連接,可以使得上百個服務器互聯并共享內存。

          除了多層交互以外,CXL 3.0還多了一些功能,比如Memory sharing的能力,這種能力突破了某一個物理內存只能屬于某一臺服務器的限制,在硬件上實現了多機共同訪問同樣內存地址的能力。

          Memory sharing需要實現很強的內存一致性,而此前的CXL 2.0只能通過軟件實現,CXL 3.0開始,它可以在硬件層面來實現。

          上圖是CXL功能的演進變化,不少公司都宣布將支持CXL,包括AMD、英特爾下一代的服務器的芯片。內存廠商部分,三星、海力士、美光也都宣布了支持CXL的內存產品,真正的產品可能就要到明年了。

          2024年上半年,CXL 1.1和CXL 2.0的產品可能會有落地產品,CXL 3.0的落地還需要更長時間?,F階段,合作伙伴可以聯系這些廠商找一些工程樣品搭建環境進行開發測試。

          以史為鑒,CXL將引起一場技術與商業變革

          CXL在業界造成了非常大的影響,堪稱是一場變革。上世紀90年代,存儲也經歷了一場類似的變革。

          上世紀90年代之前,存儲指的就是硬盤,在一臺服務器里用硬盤來做存儲,但是在90年代初,一個叫Fiber  Channel的網絡出現了,它使存儲從服務器里走了出來,變成一個獨立的、與計算分離的、可以獨立擴展、獨立管理的系統。

          這種系統就是人們熟知的SAN系統,隨后又逐漸出現了各種各樣的網絡共享存儲,這場技術革命,使得存儲從一個簡單的器件行業變成了一個軟件和系統行業。

          1990年的存儲只是服務器的一部分,當時并沒有存儲軟件的概念。而1995年,集合了軟件和硬件的SAN系統開始出現,2000年左右,第一代NAS開始落地。從2010年以來,經過多年發展后,存儲軟件和存儲設備成為了一個500億美元以上的市場。

          過程中也涌現了一大批成功的領導者公司,包括EMC、NetApp、Veritas、PureStorage等等。也有很多依靠通用硬件,在軟件上做創新的存儲公司獲得了不錯的市場成績。存儲軟件其實很重要,500億美元的存儲市場中,主要價值都是在軟件上。

          現在的內存和30年前的硬盤存儲極為相似。

          內存是一個重要的硬件器件,但是現在并沒有內存軟件或者內存系統這一市場。這是因為,現在的內存只是服務器里的一個設備,而并不是在一個網絡上可以獨立擴展,獨立管理的系統。

          隨著CXL的出現,內存可以和計算進行分離,就像90年代存儲和計算分離一樣,這意味著,內存可以變成獨立的,可以擴展,可以管理,可以增加新功能的系統。

          我相信,未來10年,20年里,同樣也會有新的百億美元大內存市場,一個包含軟件和系統的大內存市場,在此期間,會涌現出一批新的技術公司。

          這是一個對比,CXL某種程度上就像是30年前的存儲網絡,使得內存從服務器里解放出來。

          CXL落地:既需要硬件,也需要軟件,還需要生態

          典型的CXL方案中,需要一批內存硬件來構成內存池,主機內部有內存,主機之外也有內存,相互間通過CXL交換機連接,中間還需要一個軟件系統來進行管理。

          系統軟件算是一個Fabric manager,它負責管理內存資源的分配,可以動態的把內存分配給任何一個Host或者也可以從任何一個Host拿回內存,另外,系統軟件還會提供一些數據服務。

          隨著CXL 3.0標準對于多個Switch的支持,集群規??梢赃M一步擴大,從10臺20臺服務器擴展到百臺甚至千臺的服務器規模的共享內存資源池。

          大內存時代,將會把軟件對于內存的重要性提高到了非常高的階段。

          這是因為,當大內存的系統架構有一定的復雜性、共享性需求后,簡單的操作系統已經無法滿足應用對于內存的需求,都需要軟件來實現更復雜的功能。

          比如,在服務器里,系統軟件需要考慮如何合理使用內存,而不需要去修改應用程序,比如,通過自動分層技術來完成操作。此外,當內存容量越來越大,就需要進行一些保護手段,就像如今的存儲系統需要數據保護一樣,比如說快照這種功能。

          使用過程中,還需要對內存的使用狀況進行監視,對于內存上的應用進行Profiling,查看內存訪問的模式。

          大內存時代下,可在服務器上通過軟件實現一定的Sharing(共享)和緩存一致性功能,使多機來共享同一個內存地址,使得共享內存成為高帶寬、低延遲的溝通手段。在此基礎上,將可以開發出新一代的應用程序。

          這只是Host(服務器)上的功能,而內存池里還有更多功能需要實現。

          內存池方面,需要管理軟件來管理不同物理內存的內存地址,哪一塊內存映射到哪一個Host;還可以對內存進行容量優化,比如壓縮和重復數據刪除功能,提升內存的可使用空間;此外,還有數據保護、安全、全局洞察等功能。

          由此可見,軟件上可以做的工作非常多。

          如今,在存儲還是網絡領域都非常流行軟件定義的概念,當內存網絡出現后,軟件定義內存的概念就會出現,通過軟件來實現內存的動態分配,以及內存之上的各種數據服務。

          整個硬件加軟件的生態環境里,已經涌現了一大批公司。

          包括英特爾、AMD、NVIDIA、ARM等計算芯片公司,同時還有一大批內存公司,比如三星、海力士、美光,也有一些相關芯片公司,比如瀾起科技。

          此外,市場上會出現新一代的服務器和操作系統,也會出現軟硬一體的解決方案,這些企業都將成為生態中的重要組成部分。

          云服務商也非常關注CXL,如今也成了CXL領域的先行者,在CXL上進行了一些研發,在應用上,內存池化可以對他們的技術架構帶來非常多的好處,某用戶在使用CXL技術方案后每年可以節省數億美元的費用。

          此外,我們還看到一些新興的軟件公司在CXL架構上優化他們的應用,很多業內公司在推動CXL的落地和使用。

          CXL的典型使用場景

          最后,來看一下CXL可能的一些應用場景。

          第一個領域是金融行業(FSI)。

          金融行業里可能是CXL最早落地的行業之一。因為金融行業對于數據的性能要求很高,越來越多的應用成了在內存中的應用。金融行業對于新技術也一直非常敏感,非常具有前瞻性,會比較早的嘗試落地新興技術。

          在金融行業里,共享內存可以實現低延遲、高帶寬的系統,可以使一個節點能快速穩定地向多個節點傳發信息。比如,股市交易信息就可以很快的從一點轉發到各地。在信息處理的過程中,因為有大內存的存在,它還可以防止內存的溢出。

          金融行業的內存數據庫越來越多,數據分析的需求也越來越多,而大內存可以使得更多數據放在內存里。傳統的關系型數據庫場景中,可共享的大內存可以使得關系數據庫的緩存更加高效,這意味著將出現新一代的關系型數據庫。

          第二個是在AI和 機器學習領域。

          CXL有更好的擴展性和更高帶寬的內存,它可以將更多模型放到內存里,更高的帶寬可以縮減訓練的時間,提高AI應用的速度。

          第三個,在云服務商領域,它可以通過可組合的基礎架構(Composable infrastucture)把更多的內存放在池子里,如此一來,閑置的內存就會減少,整體的內存利用率得以提升。

          第四個,在高性能計算領域。

          高性能計算領域,通過內存池中的Snapshot功能實現斷點續算,提升整體的運算速度,也可以在多個節點中通過API的形式來共享內存。

          以上是CXL可能最先落地的一些訓練場景。

          今年3月份的一篇文章里提到了一個對云廠商做的內部調查,調查發現,在微軟Azure,有高達25%的內存都是閑置的,有50%的虛擬機使用的內存占比僅為50%,大約有一半的內存沒有被用上。

          在采用了CXL共享內存后,整體的利用率提升了10%,這意味著每年能減少數億美金的成本,對于整個成本節省非常重要。

          另外一份白皮書中,谷歌也在做類似的事情,谷歌服務器集群中DRAM內存平均利用率約為40%,可見,其內存的利用率有很大可提升空間,池化之后可以明顯提高內存的利用率。

          剛才說的是CXL技術和它最初的應用場景。

          CXL支持以內存為中心的數據中心

          接下來總結一下CXL最主要的優點:

          第一,它提高了內存帶寬,打破了內存墻,它可以提高3倍的內存帶寬;

          第二,它可以動態提高內存的容量,可以有效的避免存儲和網絡里的IO墻;

          第三,它能夠降低總成本。通過靈活的調配,可以提高整個內存的使用率,降低整個內存的使用成本;

          第四,通過更靈活的CXL架構,它可以使得整個異構計算的架構更上一層樓,使得任何一個服務器可以訪問任何一種內存;

          在以上種種條件的作用下,它可以使得數據中心變成以內存為中心的新架構,使得各種各樣的運算能夠更快的進行,能夠為終端客戶帶來更高的價值。

          這就是CXL獲得大家關注的原因,希望能和各位朋友一起把CXL真正的落地到數據中心。

          與專業安全廠商相比,戴爾做安全的優勢是什么?

          朱 朋博

          上文介紹了戴爾大談零信任架構的原因,也提到了現代安全的三大要素,分別為:信任的基礎、簡化的零信任采納和網絡恢復計劃。事實上,戴爾作為全球大型IT基礎設施提供商,能提供多種網絡安全能力來構建現代安全,幫企業提高業務彈性。

          比如,數據保護能力、檢測和響應能力、自動化能力、業務連續性方案、網絡恢復方案以及安全專家服務團隊,這些都能幫企業提高業務彈性。

          可以說,戴爾在安全方面頗有積累,不僅如此,戴爾做安全的優勢也很明顯。

          戴爾做安全的優勢

          戴爾是全球范圍內最大的IT供應商之一,而且是少數擁有從核心到邊緣、到云的多種基礎架構的供應商,這種依靠豐富的產品類型和超強的市場覆蓋造就的影響力非常難得。

          所以,能以此來為企業提供端到端的整體安全性,就是戴爾做安全最大的優勢。

          戴爾基于這種優勢提出了整體安全愿景,覆蓋基礎架構、云、應用到設備四個層次。

          基礎架構層面。戴爾提供可信賴的基礎架構,并且可以跨終端、跨服務器、跨存儲、跨網絡等多種安全控制點來執行安全策略。對用戶而言,戴爾遍布全球的企業用戶可以享受到一致性為安全管理帶來的種種便利。

          在多云架構層面。企業需要的是統一的云安全策略,安全需要企業內部職能領域之間分擔責任,過程通常有些復雜。戴爾及其合作伙伴提供的平臺,可為網絡功能和威脅管理提供統一的策略,從而有助于統一多云環境中的安全管理。

          在應用開發層面。戴爾和合作伙伴合作提供了一種一致的操作層,企業用戶可以在這里開發、托管和管理應用程序。通過戴爾與VMware的合作,企業用戶可以通過單點登錄在統一的數字工作空間中發布一系列應用。

          在設備管理層面。戴爾利用跨多種設備集成的能力,為數字工作場所提供安全能力。隨著企業的物聯網設備越來越多,高效的安全管理也顯得越來越重要,企業可以使用戴爾的端點安全技術進行保護和管理,并且不需要考慮設備的品牌。

          戴爾解決安全問題,推動現代安全轉型

          戴爾指出了如今安全領域存在的三大問題,也是業內普遍關注的問題。

          首先,如今的安全程序基本都是在應用開發完成后加入進來的,通常在應用程序和流程設計完成之后才考慮安全部分,然后,努力讓安全適合現有的操作。

          同時,如今的安全過于零碎和分散,由于安全通常是由一個個開發團隊來定義的,每個開發團隊關注的重點都不盡相同,因此,從整體視角來看,就是一幅各自為政的局面,不利于整體。 

          第三,如今的安全策略缺乏與業務的關聯。由于安全通常只考慮安全本身,并沒有考慮業務本身的需求。這就會出現,因為要處理安全問題而影響業務的局面,可能會對關鍵的運營職能產生影響,甚至中斷業務。

          與業內的呼聲一致,戴爾認為,安全必須做出轉變,向現代安全轉變。

          首先,安全性必須是內在的。這里所強調的是,安全能力應該在應用程序開發、固件開發和設備系統開發之初就融入進去,要和被保護的架構天生就融在一起,也就是常說的“安全左移”。

          同時,信息安全團隊要和其他開發團隊進行統一,包括與DevOps、基礎架構/云團隊等進行統一,如何統一呢?比如,可以共享通用的工具和一致的策略,也就是常說的“DevSecOps”。

          最后,對于安全策略和業務關聯的問題。應該根據業務來做安全規劃,既要與IT團隊集成,還必須與業務戰略集成,從而讓應用程序和基礎架構更好地關聯,從而減少對業務的影響。

          戴爾認為,現代安全必須是內置的、統一的、情景關聯的。換句話說,安全策略和技術必須與體系結構、應用負載以及業務目標相統一。

          戴爾的安全實踐:以NIST網絡安全框架來保護數據和系統

          現代安全所涉及的轉變非常之大,那么,在具體的實施層面,要從何下手呢?

          戴爾的做法是遵循安全業內普遍遵循的NIST網絡安全框架,NIST框架有五個關鍵支柱:

          識別,以確保用戶了解業務中的所有資產、風險和組件;

          保護,確保用戶保護業務中的人員、供應鏈、產品和所有資產;

          檢測,專注于持續監控事件和異常;

          響應,確保用戶有適當的流程和計劃來處理檢測到的任何事情;

          恢復,確保用戶在發生重大問題時可以恢復;

          對應的五個關鍵支柱里,戴爾在端點、網絡、多云、服務器/HCI、存儲和數據保護五大類產品方案中都埋布了安全控制點。

          如圖所見,戴爾的安全設計非常全面,內容也比較多。

          為了直觀地呈現戴爾在安全做的工作,我找到了這份《Dell EMC PowerEdge服務器的網絡彈性安全》白皮書,看一看企業用戶都熟悉的PowerEdge服務器是怎么做的。

          白皮書中介紹的是14代和15代PowerEdge內置的安全功能,這些功能主要由戴爾遠程訪問控制器(iDRAC9)來實現。按照NIST框架來組織的話,這些功能主要分成了保護、檢測和恢復三部分:

          保護:“保護”功能是NIST網絡安全框架的關鍵組成部分,也是白皮書最長的章節?!氨Wo”功能強調在生命周期的各個方面保護服務器,包括BIOS、固件、數據和物理硬件。

          檢測:檢測強調能夠對服務器系統內的配置、健康狀態和更改事件的完整可見性。檢測惡意網絡攻擊和未經批準的更改,主動引起 IT 管理員的關注,盡快發現問題。

          恢復:“恢復”要強調的是要快速??焖賹IOS、固件和操作系統恢復到已知良好的狀態;安全地停用服務器或重新調整服務器的用途。

          PowerEdge歷來重視安全。比如,在保護階段,系統引導過程中使用了加密的信任根認證BIOS和固件,這使得任何對硬件的非授權改動(哪怕換個沒有戴爾數字簽名的風扇)都會導致系統無法正常開機使用。全是為了防止有人對硬件做手腳。

          戴爾在硬件層構建了網絡彈性架構,除了PowerEdge服務器,PowerMax高端存儲的安全設計也遵循了NIST安全框架。

          《Dell PowerMax網絡安全》白皮書介紹了高端存儲PowerMax中用于網絡檢測、保護和恢復的各種功能,雖然沒有嚴格按照NIST的分類進行分類,但是還是列舉了一些主要的功能點。

          比如,新發布的PowerMax 2500/8500陣列使用一個不可變的、基于芯片的硬件信任根(HWRoT)以加密方式確認 BIOS 和 BMC 固件的完整性。這部分明顯屬于NIST框架里“保護”的部分。

          CloudIQ使用安全的戴爾科技集團網絡,并托管在安全的戴爾IT云中,從客戶的數據中心和邊緣位置的戴爾存儲和服務器上,收集、存儲和評估安全配置信息。支持包括PowerEdge服務器和存儲多個產品。它能為PowerMax做監控和故障排除,能為用戶的不當配置做一些糾正建議,也可以用機器學習和預測分析來識別異常。

          文檔中提到CloudIQ有兩種異常檢測,一種是檢測延遲異常,能分析工作負載對延遲的影響,另一種與安全相關,叫“數據縮減異常檢測”,如果檢測到異常,則可能是有可疑活動或出現了潛在的勒索軟件威脅。

          如今勒索軟件非常猖獗,見諸報道的就有很多新聞,比如,2022年,英偉達、征信巨頭TransUnion、印度航空公司SpiceJet、哥斯達黎加政府、美國出版業巨頭Macmillan等都有一些報道。所以,PowerMax新增的安全功能還是非常有針對性的。

          戴爾提出加強現代安全

          從勒索軟件事件來看,盡管許多組織有較強的安全防御能力,但安全防線還是被屢屢突破并被勒索,可見安全形勢的嚴峻,這也是包括戴爾在內的許多業內大廠關注現代安全,遵循NIST框架提升現代安全的根本原因。

          加強現代安全分為三個方面,首先就是用零信任架構、NIST框架的做好對數據和系統的防護,企業可以利用整個IT生態系統中的整體存在的硬件和流程中的內在功能,實現安全方法的現代化。

          沒有萬無一失的防護,當防護手段被突破,必須要考慮如何進行恢復,這是NIST框架的最后一個環節,也是提升現代安全的第二個方面——提升網絡彈性,最后,加強安全的第三個方面是降低安全的復雜性。

          到底如何提升網絡彈性和降低安全復雜性,且聽下回分解。

          相關閱讀:

          作為硬件大廠,戴爾為什么要談零信任?

          朱 朋博

          提起零信任,原本很難跟戴爾聯系到一起,然而,現在戴爾也開始大談零信任了,這是為什么呢?

          首先,零信任是什么?

          零信任,英文原文是“Zero Trust”,字面意思就是相互間沒有信任。讓人想起網絡熱梗:“人跟人之間沒有信任了嗎?”,“你能傷害的都是信任你的人!”

          這里并不是勸人躺平,做一位“孤家寡人”。恰恰相反,正是因為沒了信任,所以才特別需要建立信任,通過不斷驗證權限來建立信任。通過不斷驗證來提升安全就是零信任的核心思想。

          NIST官網對零信任有一番比較細致的介紹(看不太明白,也沒關系):

          “零信任(Zero trust,ZT)是一組不斷發展的網絡安全范例的術語,這些范例將防御從靜態的、基于網絡的邊界轉移到關注用戶、資產和資源。零信任架構使用零信任原則來規劃工業和企業基礎設施和工作流?!?/p>

          “零信任是對企業網絡趨勢的回應,趨勢包括遠程用戶、自帶設備(BYOD)以及不在企業擁有網絡邊界內的基于云的資產。零信任側重于保護資源(資產、服務、工作流、網絡帳戶等),而不是網絡段,因為網絡位置不再被視為資源安全態勢的主要組成部分?!?/p>

          為什么現在需要零信任呢?

          零信任的概念最早可追溯到上世紀90年代,現在為什么談零信任呢?說到底,這是IT架構體系變遷所致。

          在以前,企業在自家機房購置服務器、存儲和網絡等硬件,以此支撐企業信息系統。如果說,這一時期的機房是一棟自建的獨棟別墅,那么,安全方案就是別墅的圍墻。

          安全問題如影隨形,而“圍墻”不僅做不到密不透風,而且還經常需要修修補補,漏洞經常有,一旦碰到了安全漏洞,就需要對應一套解決方案,在墻上打個補丁。

          這套由自己搭建,自己打理的別墅見證了企業的成長壯大,圍墻上的補丁也見證了歷史變遷,而現在,環境發生了變化——云計算時代來了,企業的多云架構來了。

          在多云時代背景下,企業自己的獨棟別墅雖然很重要,但經常需要租用/訂閱外部資源,此時的安全邊界發生了變化,自建的圍墻已經不能覆蓋所有資產了。

          于是,就需要零信任架構用新的原則重新解決安全的問題。

          零信任解決安全問題的原則有三個

          首先,所有設備和用戶都得是已知的,都得面部清晰有名有姓,還要有明確的權限范圍。就好比,你走進一家公司,保安允許你進入,但并不代表你被信任了。如果你要打開財務部的門,你得證明你有權限,否則,從保衛科門里出來的人就來找你了。

          第二,傳統做法是阻攔有害的行為,而零信任是只能做被允許的事。人只允許做已知的、好的事情,設備只能運行可以運行的應用,而未經允許的、未知的操作都做不了。如此一來,風險管理變得很簡單了。

          第三,經認證的人和設備在做的事情會被記錄和監控,如果有反?;顒?,比如,研發的人經常訪問財務人員該訪問的內容,這種行為就會被記錄和上報。這樣就更容易發現問題,威脅管理也變得簡單了。

          從觀感來看,零信任有過于”不近人情“的嚴苛。

          從落地層面看,零信任帶來的變化太大,感覺會很麻煩,像一團亂麻。

          零信任的構成需要三層架構緊密協作

          其實,零信任架構有相對清晰的三層架構:業務控制層、通用控制平面和基礎架構三層。而且,實施的順序是從最上層的業務控制層開始、到通用控制平面,最后才是基礎架構層。

          三層的職責各不相同:

          業務控制層管理著業務層的安全,比如,研發人員能夠訪問實驗室,非研發人員不能訪問實驗室,這是業務層要管的。又比如,數據只能本地化,核心數據不得出境,也是業務要管的。

          落到實現層面,由于業務控制層需要梳理業務邏輯,所以,會需要德勤、埃森哲和凱捷這樣的咨詢公司來參與。

          通用控制平面負責用技術執行業務控制的內容,本身是一系列的技術實現。它會幫系統搞清楚它是誰,定義它可以做什么,記錄并識別它做了什么,這三個問題。

          具體的實現層面,需要微軟的Active Directory、Rapid7、戴爾的SecureWorks和SentinelOne等軟件方案來實現。

          零信任環境的第三層是基礎架構,它應該由控制平面來控制。但由于硬件層缺少合適的協議,沒有正確的策略模型,所以,控制平面很難對基礎架構進行控制。

          從具體的實現來講,如果基礎架構面向控制平面進行設計,就可以執行來自業務控制層面和通用控制層面上定義的安全策略,而上層也可以通過來自基礎架構的遙測數據獲知更多細節。

          戴爾在零信任中的角色是什么,為什么要談零信任?

          零信任架構體系包含以上三個層面,而且還需要很好的集成,但由于沒有標準、沒有明確的職責劃分、沒有零信任基礎架構API等等,目前企業要承擔絕大部分集成的負擔,導致零信任實現起來非常困難。

          戴爾可以簡化零信任的部署。戴爾可以提供包括存儲、網絡、服務器、終端設備在內的各種基礎架構,并與控制平面更好地整合,用完整的三個層面來構建零信任架構體系。推動零信任架構的更快落地。

          所以,這里解釋文章一開始的問題,為什么戴爾要大談零信任?

          戴爾作為全球范圍內的大型IT基礎架構提供商,在全球范圍內提供了大約三分之一的存儲,大約五分之一的服務器,以及數不清的終端設備。

          戴爾有產業號召力和生態標準化方面的影響力。在零信任的問題上,戴爾正在推動整個業界實現零信任的集成,讓零信任更簡單地被采納,減輕企業集成的負擔。

          零信任與現代安全三大要素

          以上,談到了零信任的概念、作用和構成,能提升多云架構時代下的企業安全水平。零信任安全架構對安全體系帶來了較大變化,也為企業打造現代安全奠定了基礎。

          現代安全有三大要素,而戴爾能支撐企業構建現代安全:

          首先,戴爾作為基礎設施提供商,可以提供信任的基礎。

          戴爾作為國際大廠,不僅有較高的品牌信譽。而且,戴爾能提供安全的交付過程,用戶能清楚地知道所使用的戴爾的產品,在哪里設計和生產,從用戶下訂單到收獲部署期間有沒有被動過手腳,以確保安全。

          零信任是戴爾基礎架構不可或缺的一部分,貫穿全生命周期。戴爾從產品設計和開發開始,就考慮零信任,在制造和交付環節,在部署和運維以及停用階段,都實現了零信任的保障措施。制造和交付環節涉及的安全問題值得重視,業內出現了一些在交付環節零部件被動手腳,從而引發安全事件的先例。

          第二,戴爾作為基礎設施提供商,可以簡化零信任的采用。

          零信任架構集成的負擔太沉重,戴爾通過專為零信任架構而設計基礎架構,實現跟控制平面的集成,與身份管理、策略管理、威脅管理的集成。這意味著,戴爾的用戶更容易跟現有的安全解決方案集成在一起,簡化了零信任的采納。

          最后,戴爾作為基礎設施提供商,還可以提供網絡恢復計劃。

          說到底,零信任是用來防御安全威脅的,盡管可以提升網絡防御能力,但是,世界上沒有絕對的安全,萬一防御措施失效,后續就只能硬著陸了嗎?戴爾的實踐證明,用戶需要一個網絡恢復計劃,使業務快速恢復。

          戴爾提供的這三方面能力正是現代企業安全的三大要素。如何加強現代化安全呢?且聽下文分解。

          相關閱讀:

          磁盤玩不動大型網游,你或許需要一塊英睿達P3 Plus

          朱 朋博

          前幾天意外把《戰地2042》下載到了磁盤上,就有了一段不愉快的體驗。

          首先,游戲啟動慢了大概四五倍,加載界面大概重復播放了六七次動畫,就好像陷入了時間循環。

          加載完后,人物動畫還不完整,有時候只能看見一把槍在自己晃,很詭異。更慘的是,匹配成功讀秒完成后,根本進不去游戲。

          當我換到固態盤,一切就恢復如常了。當時我挺感慨,難道磁盤已經不讓玩大型網游了嗎?或許只是磁盤碎片太多影響了性能表現,但整體加載速度太慢,還是太讓人難受。

          幾天之后,我又試了一下在磁盤上打開它,速度比上次快了點,好在也能進入游戲了,但也經常會出現部分素材加載不出來,一直轉圈的情況。

          有這次經歷,我看固態盤的眼神都不一樣了。隔壁Xbox Series X和PS5全都換成閃存盤了,PC游戲玩家還能忍受用磁盤玩大型游戲嗎,至少我真的回不去了。

          認識一款新的固態盤P3 Plus

          最近,手里又搞到一塊1TB的英睿達P3 Plus固態盤。

          看名字就知道,比Crucial P3強了些,但比P5 Plus性能要弱一些,1TB版本對比,價格比P5 Plus低了大概250元左右。

          P3 Plus采用的是QLC,因此單位容量性價比有優勢,而缺點是可寫入數據量會比較低,TBW為220,但英睿達官方也是一樣承諾了5年質保期。

          性能方面,由于采用了PCIe 4.0,因此比PCIe 3.0的P3強了許多。又因為少了DRAM緩存,所以,比P5 Plus差了很多。

          P3 Plus采用的是群聯的PS5021-E21T,控制器在PCB板的正中間,這種設計我是頭一次看見。

          有意思的是,1TB版本還空出來兩個焊盤,焊上閃存顆粒的部分都在遠離控制器的部分,可能是為了更好的散熱表現吧。

          PS5021-E21T是群聯的一款入門級PCIe 4.0控制器,支持NVMe 1.4,支持TLC和QLC兩種介質,采用的是臺積電的12nm制程技術,功耗表現會更好,平均功耗為4.6瓦。

          另外,這款控制器支持多種硬盤加密方式,包括AES 256、TCG Opal 2.0、TCG Pyrite、SHA 512和RSA 4096。

          顆粒方面,顆粒為176層的QLC,可以根據圖上查詢顆粒的更多信息,普通用戶只需要記住這是美光原廠顆粒即可,可以放心用。

          將硬盤上機體驗一下

          測試主力機:

          CPU:AMD Ryzen 5800X

          主板:MSI Morbar B550M

          內存:8GB 3200 x4

          顯卡:3070

          PCIe版本:4.0

          上機安裝時,由于兩個M.2插槽都被占用了,于是我新買了M.2轉接板插在PCIe x16插槽,結果系統不識別。聯想起此前也有類似的經歷,我覺得可能是插槽本身的問題。

          找了一些資料后發現,B550M有一組PCIe和M.2直連CPU,另外一組是通過南橋提供的,而且,當南橋上的PCIe或者M.2插槽有一個被占用的話,另外一個就不能用了。

          現在,我把P3 Plus當主力硬盤,插在如上配置的臺式機電腦上CPU直連的M.2插槽上,另外一個M.2上插的是之前測試過的P5 Plus。

          最近聽朋友說有的閃存盤在兼容性方面有一些問題,比如,作為系統盤的時候經常會報錯,又比如,用在硬盤盒里經常無法被識別之類的問題。

          我用DiskGenius分區后安裝Windows11,安裝期間并沒有發現任何問題,隨后幾天使用也沒有看到什么異常。

          至于硬盤盒的兼容性問題,因為我自己手頭沒有能用的硬盤盒(只有一個壞的),而且也不打算再買個新的(有些硬盤盒都趕上一塊移動固態盤了),所以也就不嘗試了。

          Crucial英睿達Storage Executive是自帶的管理軟件,能進行各種不常用的高級操作,普通用戶輕易也用不到。

          這次安裝之后,發現原來在用的P5 Plus可以更新一下固件,我有點好奇怎么更新固態盤的固件。于是,我就首次對SSD固態盤進行了一次更新,過程是這樣的:

          如上圖軟件提示,“盡可能備份重要數據”,因為可能會丟數據。

          更新的固件里提到,這次更新對于大多數人而言都可有可無,更新后也不會有什么明顯的提升。最下面,提示你可以手動下載更新固件,不用非得等提示才能更新。

          點擊“立即更新固件后”,還沒來得及看有什么變化,就已經結束了,還挺快的。原來這就是固件更新呀。

          隨意看看性能表現

          由于這塊盤是P5 Plus的弟弟,所以性能就不是重點了,性能跑分的話,簡單走一遍就行。

          首先是:

          AS SSD Benchmark 2.0.7,順序讀寫數據分別為4252MB/s和3299MB/s,4K讀寫IOPS算下來是50萬和72萬,均比標稱值要低一些,測了幾次,數據都差不多,基本都是誤差抖動。

          CrystalDisk Mark 8.0.4,測出的數據跟標稱值更接近。順序讀寫速度分別為5139MB/s和3600MB/s,最高4K隨機讀寫IOPS分別69.7萬和83.2萬,幾次跑分前后也沒太大變化。

          整體測試過程中,溫度短時間內出現過最高54度,閑置時候溫度為40多度,高強度跑分時的溫度都在50度左右,整體溫度控制還是比較好的。

          當然,主板自帶的馬甲功不可沒,這個級別的盤,如果放在臺式機上的話,還是盡量上個馬甲,如果是筆記本電腦的話,絕大時候的溫度應該也不會很高,所以,不用太擔心溫度的問題。

          最后的總結

          作為一款性能不錯的,PCIe 4.0規格的QLC的固態盤,最大的優勢其實還是容量和成本優勢。

          價格方面,1TB規格下,比Crucial P5 Plus低大約40%左右。容量方面,Crucial P5 Plus以及同級別的盤,最大容量也是2TB,而P3 Plus最大為4TB。

          雖然容量更大,但可惜的是,如果作為PS5擴容盤的話,順序讀性能大約差了500MB/s。

          但至少作為一款新品,Crucial P3 Plus彌補了中檔性能存儲產品區間,為消費者提供了更有多選擇。

          這款盤怎么用呢?我比較喜歡的用法是:

          最在意性能的部分,比如系統盤,建議用P5 Plus這個級別的。

          如果是需要更大容量來存游戲類的文件的,就放在P3 Plus上,比如《戰地2042》這種大型多人在線游戲。

          如果是有大容量需求,并且對性能還很挑剔的話,建議上MX 500這種SATA口的盤,畢竟SATA口很多。

          當然,像電影這種文件的話,還是SATA3的磁盤最合適。

          最后,土豪隨意。

          善與亞馬遜云科技打交道,事半功倍!

          宋 家雨

          西漢·司馬遷《史記·孫子吳起列傳》:“善戰者,因其勢而利導之?!?后世據此典故引申出成語“因勢利導”,指順著事情發展的趨勢向有利的方向引導。

          因勢利導非常重要,順勢而為,非常有助于企業實現自己的目,到達事半功倍的效果。

          在云計算的時代,亞馬遜云科技會是一個無法忽視的存在,善于與其打交道,無異于站在巨人的肩膀上,將更加有助于實現企業的目標。10月13日,以“自由構建 探索無限”為主題的亞馬遜云科技中國峰會在線上舉行,在本次為期2天的峰會上,亞馬遜云科技發布了云計算技術趨勢展望,宣布“連中外、襄百業、攜伙伴、促綠色”四大戰略,這也為用戶與亞馬遜云科技合作指明了重點和方向。

          亞馬遜全球副總裁、亞馬遜云科技大中華區執行董事張文翊宣布四大戰略舉措

          符合下列任何場景、條件之一,你與亞馬遜云科技的合作將會順風順水:

          1、如果你正在考慮全球化拓展

          中國企業出海面臨的最大挑戰無疑是不同國家和地區對安全合規的管理和要求,毫無疑問,亞馬遜云科技在構建覆蓋全球基礎設施的過程中積累了豐富的經驗,這些將有助于引領行業企業的安全合規理念和實踐,此外,利用亞馬遜云科技在大數據、人工智能和機器學習、物聯網等領域提供的SaaS云服務,以及亞馬遜全球業務體系支持,這些非常有助于中國出海企業跨越、應對各地區安全合規帶來的挑戰。同時,亞馬遜云科技還通過全球一致的技術架構,本地安全合規能力和經驗,本地合作伙伴解決方案,以及全球一體化的團隊,為跨國企業植根中國提供強有力的支持,加速他們在華業務的創新和轉型。

          2、行業數字化轉型和創新

          針對金融、制造、汽車、零售快消、醫療與生命科學、教育、游戲、媒體與娛樂、電商、能源與電力等重點行業,亞馬遜云科技組建了專業的團隊,深入了解客戶需求,利用其領先的技術和解決方案,推動整個行業的轉型和升級。

          換句話說,各行各業發展,尤其以上重點行業,都應該能夠獲得亞馬遜云科技資源上的支持。其中,制造行業重點的應用有:工程與設計、設備綜合效率及生產優化、供應鏈管理、智能設備、質量管理等場景;零售行業的重點包括:私域運營、線上零售/電商、智能客服等業務場景。此外,亞馬遜云科技升級推出了“汽車行業創新加速計劃”2.0,將圍繞解決方案、車企出海、伙伴計劃3個核心命題。

          3、如果你是SAP、普華永道、Info服務的客戶

          亞馬遜云科技在全球有超過12萬家合作伙伴,分布在150多個國家。在中國也擁有數千家合作伙伴,亞馬遜云科技將從合作伙伴技術及服務客戶能力提升、行業解決方案開發、新地域業務開拓三個方面進一步打造合作伙伴網絡,更好地支持企業的數字化轉型和創新。峰會上,亞馬遜云科技宣布深化與SAP、普華永道、Infor三大合作伙伴的戰略合作。

          RISE with SAP 業務轉型一站式加速包在西云數據和光環新網運營的亞馬遜云科技中國區域正式落地。在人工智能、安全合規解決方案以及行業拓展方面, 亞馬遜云科技攜手普華永道,加強戰略合作。繼Infor的酒店管理解決方案之后,Infor 針對制造行業的ERP解決方案Infor CloudSuite Industrial也將在由西云數據和光環新網運營的亞馬遜云科技中國區域落地。

          亞馬遜云科技還推出了ISV全成長路徑,提供技術支持他們加速產品SaaS化、服務專業化。

          4、如果你在關注“綠色”

          如果目前你在踐行可持續發展戰略,那么亞馬遜云科技 “促綠色”戰略將是你最好的知音。

          亞馬遜云科技在構建可持續的云基礎設施,高可用的基礎架構、改善冷卻數據中心的方法、降低能源和水資源方面堪稱典范,與亞馬遜云科技合作,意味著直接和間接碳排放績效,亞馬遜云科技免費的碳足跡工具“Carbon Footprint Tool”,以可視化的方式展示減少碳排放量的效果,并且能夠根據當前用量預估未來的碳排放量。

          亞馬遜在中國支持的兩個可再生能源項目,山東的太陽能項目和吉林的風能項目也正式投入運營。這兩個項目預計每年能夠產生49.6萬兆瓦時(MWh)的可再生能源,相當于為25萬中國普通家庭提供電力支持。

          所謂知己知彼,百戰不殆。對于傳統企業而言,因勢利導,善于利用周邊的資源,站在巨人肩膀上,其效果顯而易見!

          利用PowerStore CLI實例介紹原生雙活

          朱 朋博

          作者:楊溢,戴爾科技集團大中華區存儲產品市場部PowerStore 資深產品市場經理

          介紹

          借助原生雙活城域卷(Metro?Volume)支持,PowerStoreOS 3.0新增一個功能,有助于防止生產因VMware vSphere Metro Storage Cluster (vMSC) 環境的故障而中斷。城域卷功能在PowerStore上可免費使用,可用于保護VMFS datastores。

          vMSC配置是一個延伸集群架構,ESXi主機可在城域距離[100公里 (取決于鏈路質量)] 內的兩個不同的站點,同時訪問一個同步復制的存儲資源。PowerStore 城域卷功能可在兩個參與的PowerStore集群配置上,提供并發的完全雙活的主機IO。

          雖然這會增加額外的延遲,但PowerStore城域卷可確保在主機收到I/O寫入的確認之前,所有主機I/O都在城域卷的兩個鏡像卷上提交。為應對災難事件,把生產受到的影響降到最低,甚至是不受影響,PowerStore內置了一種機制,可保護數據在發生故障或災難時不會出現“腦裂”(split-brain)現象。當數據可在兩個PowerStore集群上的城域卷鏡像之間進行復制時,PowerStore被設計為允許在城域卷兩邊只運行雙活的工作負載。

          從拓撲結構的角度看,PowerStore支持兩種不同的配置方案。一種是非統一配置,主機只能訪問本地的PowerStore系統:

          還有一種是統一 配置,主機可以同時訪問本地和遠程的PowerStore。

          盡管它們看起來很相似,但不同拓撲結構的優勢在于細節的處理。

          非統一主機配置降低了復雜性,因其只需較少的配置,且只提供對兩個站點之間鏈路利用率最低的卷的本地訪問。然而,在本地PowerStore陣列出現故障的情況下,或者在鏈接故障期間,本地主機可能無法訪問城域卷。在這種情況下,VMware HA需要使用對面站點上幸存的主機來重啟受影響的datastore上的任意虛機。每個站點都應該有足夠的主機資源,以便在對等站點不可用時運行最關鍵的虛機。

          在統一主機配置中,主機與遠程PowerStore集群有額外的鏈接,在故障情況下可以使用該鏈接。如果由于故障或鏈接中斷,在本地PowerStore集群上無法訪問城域卷時,主機就可以利用交叉鏈接來訪問遠程站點上的卷。在這種情況下,虛機可在故障中幸存下來,因為主機可把工作路徑切換到遠程系統上。在正常操作下,主機I/O應保持在本地站點內,以避免在站點之間的鏈路上為工作負載使用不必要的帶寬,并盡量減少延遲。

          現在快速展示一個例子,我們假設本地理論延遲為0.5毫秒,兩個站點之間的理論延遲為2毫秒。

          1. 主機使用指向本地陣列的鏈接作為寫入城域卷的主要路徑。I/O的理論延遲值如下:
          2. 將工作負載從主機寫入到本地存儲0.5毫秒
          3. 將工作負載復制到遠程存儲2毫秒。工作負載使用站點之間的鏈接。
          4. 在本地存儲上接收來自遠程存儲的提交2毫秒
          5. 提交到主機0.5毫秒

          總的來說,我們會看到I/O的延遲為5毫秒,且工作負載僅通過站點之間的鏈接發送一次以進行復制(A-B)。

          • 當主機使用到遠程陣列的鏈接作為主要路徑時,我們會看到以下情況:
          • 發送工作負載至遠程存儲2毫秒。工作負載使用站點之間的鏈接。
          • 將工作負載復制到一個對等點2毫秒。工作負載使用站點之間的鏈接。
          • 從對等陣列提交到遠程存儲2毫秒
          • 提交到主機2毫秒

          總的來說,我們會看到同樣的I/O的理論延遲為8毫秒,因為工作負載和提交總是利用站點之間的鏈接:一次是當主機將數據寫入遠程陣列(A到B)時,另一次是當寫入數據被復制到對等存儲(B-A)以及所需的提交時。

          為了確保選擇最佳路徑,PowerStore使用異步邏輯單元訪問(ALUA)協議提供最佳路徑選擇信息。為獲得正確的ALUA狀態,必須使用它們與每個PowerStore集群的本地或遠程關系注冊統一主機。在PowerStore Manager中注冊主機時有四個選項:

          • 僅限本地——用于非統一城域卷和僅服務于標準卷的主機。
          • 主機與PowerStore系統位于同一地點——表示主機是PowerStore的本地主機(低延遲),應該獲得ALUA的主動/優化路徑。
          • 主機與遠程PowerStore系統位于同一地點——表示該主機是遠程主機(高延遲),主機應該獲得ALUA主動/非優化路徑。
          • 主機與PowerStore本地及遠程系統均位于同一地點——表示所有主機和PowerStore集群位于相同位置,具有相同的延遲。

          當主機配置了統一城域卷的城域連接選項時,PowerStore會為非城域卷的標準卷提供默認的ALUA路徑信息。

          借助本機多路徑(NMP)的”輪詢調度”(RR)默認路徑選擇策略(PSP),ESXi主機使用所提供的ALUA路徑信息來確定連接到卷的最佳工作路徑。當有多個主動/優化路徑可用時,ESXi PSP 通過輪詢調度(round robin)測算卷的延遲,以選擇最佳工作路徑。當前的工作路徑在vCenter中顯示為 “主動(I/O)”狀態,而其他路徑只顯示為 “主動”狀態。下圖顯示了城域卷配置完成后,統一主機配置中的ESXi主機的路徑狀態。

          在PowerStore Manager中設置好主機后就可以開始配置城域卷。這在單個PowerStore集群上只需幾個步驟即可完成:

          1. 與對等的PowerStore建立一個遠程系統關系,請選擇保護>添加遠程系統。
          2. 使用添加卷向導來創建和映射標準卷。
          3. 在卷頁面,單擊六次即可配置城域卷。
          4. 選擇新的卷。
          • 點擊保護。
          • 配置城域卷
          • 點擊遠程系統下拉菜單
          • 選擇一個現有的遠程系統(或者與另一個PowerStore集群建立一個新的遠程系統關系)。
          • 點擊配置按鈕,開始配置。
          • 在對等的PowerStore集群上,將新的城域卷映射到主機上。
          • 使用新的城域卷來創建一個VMFS datastore。

          除了使用PowerStore Manager以外,還可以使用PowerStore REST API或PowerStore CLI,只需幾個步驟即可設置城域卷。在這篇博客中,我想向大家展示在PowerStore CLI會話(pstcli -d <PowerStore> -session)中在PowerStore上設置城域卷的必要步驟,以便在配置好的一對PowerStore系統上(如上圖所示)進行統一的主機連接:

          1. 在PowerStore Manager PowerStore-A
          2. 創建遠程系統關系:

          x509_certificate exchange -service Replication_HTTP -address <IP-Address PowerStore-B> -port 443 -username admin -password <YourSecretPassword>

           remote_system create -management_address <IP-Address PowerStore-B> -management_port 443 -remote_username admin -remote_password <YourSecretPassword> -type PowerStore -data_network_latency Low

          • 注冊ESXi主機用于統一主機連接:
          host create -name esx-a.lab -os_type ESXi -initiators -port_name iqn.1998-01.com.vmware:esx-a:<…>:65 -port_type iSCSI -host_connectivity Metro_Optimize_Local
          host create -name esx-b.lab -os_type ESXi -initiators -port_name iqn.1998-01.com.vmware:esx-b:<…>:65 -port_type iSCSI -host_connectivity Metro_Optimize_Remote
          • 準備和映射標準卷

          volume create -name MetroVolume-Uniform -size 1T

          volume -name MetroVolume-Uniform -attach esx-a.lab

          volume -name MetroVolume-Uniform -attach esx-b.lab

          • 將卷配置為一個城域卷:

          volume -name MetroVolume-Uniform configure_metro -remote_system_name PowerStore-B

          • 在PowerStore Manager PowerStore-B
          1. 注冊ESXi主機用于統一主機連接:
          host create -name esx-a.lab -os_type ESXi -initiators -port_name iqn.1998-01.com.vmware:esx-a:<…>:65 -port_type iSCSI -host_connectivity Metro_Optimize_Remote
          host create -name esx-b.lab -os_type ESXi -initiators -port_name iqn.1998-01.com.vmware:esx-b:<…>:65 -port_type iSCSI -host_connectivity Metro_Optimize_Local
          • 將卷映射到ESXi主機上:

          volume -name MetroVolume-Uniform -attach esx-a.lab

          volume -name MetroVolume-Uniform -attach esx-b.lab

          • 監測城域卷(可選):

          replication_session show -query type=Metro_Active_Active -select state,progress_percentage,data_transfer_state

          • 在vCenter中
          • 重新掃描SCSI總線。
          • 用新的城域卷配置VMFS datastore。

          欲了解更多信息,請參閱以下資源。

          資源

          運用快照策略應對勒索軟件攻擊

          宋 家雨

          作者:楊明,戴爾科技集團大中華區存儲產品市場高級經理

          時至今日,網絡安全仍然是組織機構的當務之急。鑒于每11秒就會發生一次網絡攻擊或勒索軟件攻擊,組織機構需持續地實施安全需求,以保護關鍵任務型數據和敏感數據。組織機構不但需要保護數據,還必須具備恢復數據的能力,以便在發生網絡攻擊的情況下有效地恢復數據。PowerMax SnapVX 快照是一個強大的工具,可在發生網絡攻擊時幫助保護并恢復數據。

          SnapVX能為PowerMax陣列節省空間并高效地開展本地復制。SnapVX快照基于指針的結構,能保存源卷的時間點視圖??煺仗峁┝斯芾泶鎯M一致的時間點拷貝的能力。主機如果需要訪問某個時間點拷貝,可以在不影響源卷時間點拷貝的情況下,將該快照鏈接到一個目標卷。

          SnapVX快照可設置為安全快照。安全快照指的是無法被刪除的快照——無論是無意刪除還是有意刪除。在資源有限的情況下,SnapVX會保留安全快照,將傳統快照置于失效狀態以便釋放資源1024。

          用戶可運用快照策略來發揮SnapVX快照的自動排程功能。您可以定制快照策略,規定何時生成快照,生成多少快照,保存多久,以及快照是標準快照還是安全快照。

          以下是快照策略的例子:

          SnapVX 快照通過支持快照策略,可為每個源設備生成1024個快照,為每個PowerMax陣列生成6500萬個快照。用戶通過設置快照策略,可確定生成快照的頻率和規模,以便實現更高的數據彈性。

          由于在預定的到期日之前,安全快照不會被惡意或無意刪除,它們可幫助組織機構保存多個時間點拷貝用于恢復數據,從而應對惡意軟件或勒索軟件攻擊。用戶可設置自動化的快照策略,例如,以高頻度和短保留期限來生成安全快照,以便開展精細顆粒度的拷貝;以低頻度和長保留期限來生成安全快照,以便提升安全性;或者將這兩種策略結合起來使用。如果發生攻擊事件,用戶可查看安全快照,確定哪個時間點有未受惡意軟件影響的、最相關、最新的數據拷貝。找到確切的時間點后,用戶幾乎可以瞬時恢復關鍵數據,將應用程序數據恢復到攻擊發生前的原始狀態。

          在發生多重攻擊的情況下,安全快照功能可增加一層安全性,還可用于取證,來幫助確定攻擊期間發生了什么,最初是何時發生的。通過使用安全快照,用戶可借助低頻度和長保留期限來檢驗數據和數據變更率,以幫助識別任何可疑的活動。

          下圖舉例說明如何運用快照策略來創建安全快照:

          用戶可根據最適合本組織機構的頻度和保留時間,設置快照策略來創建傳統快照。這些快照可用于保障日常業務連續性,例如開發、運營和數據分析。它們還可輔助取證分析,并與安全快照進行比對,以確定哪些數據發生了變更、何時開始變更的。不同于安全快照的是,傳統快照可被刪除,或者在陣列資源有限的情況下失效。然而,已有快照上的數據無法被更改,并可用于更多的恢復選項。

          安全快照和傳統快照都是強大的工具,可幫助組織機構保護和快速恢復數據,從而盡可能減輕惡意軟件或勒索軟件攻擊的影響。運用快照策略,用戶可安排適合本組織機構規模的快照頻度和保留時間,還能輕松地管理快照的大規模擴展。

          以下是關于SnapVX安全快照的頻度、保留時間和橫向擴展的例子。這些數字基于平均一個PowerMax陣列5000個生產卷。

          • 每10分鐘創建一次安全快照,保留48小時。
          • 每卷288份時間點拷貝
          • 精細顆粒度的保護和恢復
          • 每60分鐘創建一次安全快照,保留7天。
          • 每卷168份時間點拷貝
          • 擴大保護面和數據檢驗面

          總共2,040,000份安全的時間點拷貝

          PowerMax SnapVX的傳統快照和安全快照具備可擴展且靈活的功能特性,是防范勒索軟件攻擊的強勁工具。

          被多个男人强奷到爽
            <p id="hfhf7"></p>
            <p id="hfhf7"></p>
              <address id="hfhf7"><pre id="hfhf7"><strike id="hfhf7"></strike></pre></address>