山石網科 A7600 智能下一代防火牆
高性能、高可靠、輕量化、更便捷
軟體靈活性和硬體高效性的統一
【找準邊界,吃定安全】往期回顧:
串聯邊界裝置協同,便捷營運思維讓安全更有效
流量劇增?看山石網科如何打破傳統限制
從通路控制談起,再看零信任模型
1、ABC 時代的阿喀琉斯之踵
随着以 A(I) B(igdata) C(loud) 為代表的新業務日益普及,物聯網應用日趨成熟,5G 時代日漸到來,這些都進一步激發了網際網路的流量持續高速增長。此外,Google 的一篇論文也提到,資料中心的流量每 9 個月就會翻一倍,每 5 年将增長 100 倍。
在此背景下,IT 基礎設施的硬體和軟體産生以下變化:
• 大資料和機器學習等資料密集型的計算越來越多,提高了分布式計算環境下對低延遲時間、高帶寬的需求,通過傳統的軟硬體體系架構很難滿足。
• CPU 性能瓶頸逐漸顯現,摩爾定律近似失效,雖然出現多核技術,但其承載的工作負載數量和單個工作負載 CPU 資源消耗仍在增加,硬體加速勢在必行。
• 雲計算是各種複雜場景的疊加,如何把其承載的多業務場景優化融彙到一套平台化方案裡,既滿足靈活性的要求,又滿足性能加速的要求,有很大的挑戰。
• 軟硬體之間的鴻溝越來越大。CPU 性能低下,定制 ASIC 難以大規模複制且周期長;軟體疊代速度變快,而硬體疊代卻在變慢;晶片研發工藝趨于複雜,周期長,風險高,投入高,這些問題都制約着軟體的發展。
• 資料中心網絡容量持續更新,伺服器網卡從 25Gbps 更新到 100Gbps,網絡交換機從100Gbps 更新到 200G/400Gbps。網絡裝置面臨三高一低的需求(高性能、高可用、高并發、低延遲時間),是以,流量處理需要硬體加速。
圖注:帶寬性能增速比 (RBP) 失調,
引自《專用資料處理器 (DPU) 技術白皮書》
2、軟硬體融合的解決之道
為了應對上述挑戰,業界提出了全新的設計理念和方法——軟硬體融合。軟硬體融合,本質上是快慢融合,網際網路軟體需要足夠靈活,能夠快速疊代和優化;底層硬體需要有足夠的性能和運作效率。軟體具有靈活性,性能雖“慢”,卻“快”速疊代;硬體具有很高的執行效率,性能雖“快”,開發卻“慢”。軟硬體融合即是要将硬體的性能和軟體的靈活性通過多種硬體平台進行有效組合,達到軟體靈活性和硬體高效性的統一。
注:任務在 CPU 運作,則定義為軟體運作 ; 任務在協處理器、GPU、FPGA 或 ASIC 運作,則定義為硬體加速運作。
圖注:各種硬體平台的對比
(指令複雜度、運作頻率、并行度)
軟硬體融合的意義在于:
• 采用 CPU + 協處理器 + GPU + FPGA + ASIC 等超異構混合硬體平台計算處理複雜多變的業務,都是每種應用負載和流量在軟硬體解耦和均衡基礎上的再協同和再優化
• 兼顧軟體靈活性和硬體高性能,既要極緻性能,又要靈活性,讓硬體更加靈活、彈性、可擴充,彌補硬體和軟體之間的鴻溝
• 應對雲計算、大資料及人工智能等複雜應用挑戰
• 降低晶片一次性成本過高和周期過長導緻的設計風險
圖注:不同類型的處理器的特征和應用場景
引自《專用資料處理器 (DPU) 技術白皮書》
3、業界前沿的應用情況
2017 年 10 月,AWS 和阿裡雲分别釋出了 Nitro 和“神龍”架構伺服器,這兩個為了解決虛拟化問題而相繼問世的軟硬體融合和異構計算創新産品,被業界視作迄今最成功的兩款 DPU(以資料為中心建構的專用處理器)。
AWS 的 Nitro 系統是基于 Arm 架構的 AL72400 晶片,做成将網絡和存儲 offload 的 Nitro VPC 卡和 Nitro EBS 卡,以及本地存儲的 Instance Storage 卡。Nitro 架構改變了伺服器硬體的主從關系,當所有的 Dom0 全部 Offload 到網卡之後,主處理邏輯全部在智能網卡,主從的關系也需要發生逆轉。是以,智能網卡變成了主管理節點,而伺服器上的其他部件變成了從服務節點。
現在,這個硬體可以讓虛拟化引擎以最小化的體積運作,因為它不需要去處理網絡和存儲的資料處理任務。至此,AWS 的資料中心問題解決了,但性能隻有 3M PPS,之後推出的基于 16c Arm A72 架構的 100G Nitro 網卡進一步實作了更低延遲時間、更高可靠性以及 3 倍 PPS 性能的提升,性能的問題也基本上得到了解決。
阿裡雲“神龍”基于 CPU+FPGA 方案,從支援裸金屬的虛拟化,做到性能超越實體機的裸金屬伺服器;再到第二代神龍做到了“一套軟硬體,三種服務(裸金屬伺服器 + 虛拟機服務 + 容器)”,解決了虛拟機和裸金屬分池的問題,性能層面也實作了“虛拟機性能接近裸金屬”;之後的第三代、第四代做到了 24M、50M 的 PPS 能力,在解決了資料中心稅的同時,實作了性能的大幅飛躍。
在 7 月初剛結束的 2022 年阿裡雲峰會上,阿裡雲智能總裁張建鋒對外釋出了一款雲資料中心專用處理器 CIPU(Cloud infrastructure Processing Units),這是為新型雲資料中心設計的專用處理器,未來将替代 CPU 成為雲計算的管控和加速中心。CIPU 向下接入實體的計算、存儲、網絡資源,快速雲化并進行硬體加速;向上接入飛天雲作業系統,管控阿裡雲全球上百萬台伺服器。它被業内人士認為是一款定義下一代雲計算标準的開創性産品。
微軟的 Azure 也在考慮了可程式設計性、性能和效率的權衡後,使用了基于 FPGA 的自定義 Azure SmartNICs,将主機網絡解除安裝到硬體的解決方案。
随着 AWS Nitro、阿裡雲神龍架構的引領,京東、騰訊、位元組等公司也采用了類似的架構建構自己的公共雲計算服務,資料中心計算架構的中心開始向智能網卡和 DPU 傾斜。
在 SDN 領域,軟硬體融合理念的應用也越來越普及。SDN 之父 Nick 教授在創立 Openflow進行試水後改進了理念,隻在資料平面做文章,推出了P4可程式設計語言,配合白盒交換機或SmartNICs/DPU,在 SDN 落地可行性、性能、功耗、成本等方面找到了平衡點。阿裡雲洛神Sailfish 雲網關使用 Barefoot 公司的可程式設計 ASIC Tofino 晶片交換機,利用 P4 靈活的可程式設計特性,實作了高性能(吞吐量、包速率分别比 X86 網關提高 20 倍和 72 倍,而平均延時也比 X86 網關低95%),而 Barefoot 公司正是由 Nick 教授創立的,在 2019 年被 Intel 收購。
4、山石網科在網絡安全領域的軟硬體融合探索之路
防火牆系列作為山石網科的硬核産品,一直廣受業界認可,連續八年入選國際權威分析機構Gartner 的“網絡防火牆類魔力象限”,并在 2021 年實作了從“利基者”到“遠見者”的閃亮進階。
圖注:Gartner 網絡防火牆魔力象限(2021)
作為國内網絡安全領域的技術創新上司廠商,山石網科一直在探索網絡安全軟硬體融合解決方案。StoneOS是山石網科具有自主知識産權的網絡安全作業系統,建立在通用 OS 基礎之上的網絡安全系統平台,經過 15 年以上的曆史積累,支援豐富的功能,可支援多核處理器及分布式多 CPU 系統,StoneOS類似于以下友商的網絡作業系統,如思科 IOS、VRP、華三 Comware 和 Juniper JUNOS。
圖注: StoneOS 的架構和軟體子產品示意圖
在承載 StoneOS 的硬體層面,山石網科防火牆經曆了從基于 MIPS 架構的 E 系列到融合構架的 A 系列産品線,通過敏銳的洞察力和對市場前沿技術異構計算在安全領域應用場景的了解,分析如下:
很多的安全産品如 UTM Firewall、IDPS、DPI、上網行為管理、AV、ZTNA SDP、抗 DDoS 裝置等,在網絡流量持續增長時,很多裝置都具有高建立、高并發、高吞吐等特點,是典型的 I/O 密集型應用場景,需要大量 CPU 資源來處理相應的業務邏輯,性能上的瓶頸非常明顯。通過異構計算架構對這些安全功能産品做硬體加速,已經是必然趨勢。随着雲計算和虛拟化技術的發展,上述的安全功能産品的實作方式轉為虛拟化或者 NFV 方式,并通過雲平台來部署統一管理。這些安全功能産品由于部署在資料中心流量的主要路徑上,轉發性能對整體網絡的吞吐量和時延具有重要的影響。
由于上述安全産品對應用封包處理的深度不同,有些隻需要在四層以下處理,有些則需要在四至七層進行處理,是以在硬體加速平台的解除安裝方式上也存在不同。如 UTM Firewall 和DDoS 等裝置,可以通過流表解除安裝的方式,對流量進行攔截,來加速運作在主機系統中的安全服務應用。如IDPS、DPI 和上網行為管理裝置,需要做深度包分析和檢測,這時需要硬體加速平台的 CPU 具有較強的性能。
根據以上的分析,結合硬體平台上豐富的自主研發經驗,山石網科探索出硬體和軟體場景下兩種不同的解決方案:
圖注:硬體方案 : 四層以下流量由 ASIC 晶片處理,
四層以上流量由 Hillstone Mars 硬體加速引擎處理
圖注:軟體方案:雲環境 X86 伺服器上
南北向安全流量解除安裝
5、山石網科重鎊釋出基于 CPU+Hillstone Mars 硬體加速引擎的高性能防火牆
圖注:采用 Hillstone Mars 硬體
加速引擎的 A7600 智能下一代防火牆
通過深入客戶安全需求,走近客戶痛點場景,山石網科持續精進安全能力,不斷為使用者提供高性能、高可靠、輕量化、更便捷的安全服務,真正解決使用者實際問題。