Virtualización de la nube moderna

‍

Cuando pensamos acerca de recursos de cómputo (TCCmáquinas virtuales) en la nube pública, la mayoría de nosotros tenemos la misma imagen en nuestra cabeza – Sistema Operativo, sobre el hipervisor, desplegado encima de la capa física de hardware.

La mayoría de los proveedores de nube pública construyen su infraestructura basándose en esta misma arquitectura.

En esta entrada vamos a revisar la virtualización tradicional, y a continuación, explicare los beneficios de la virtualización moderna basada en la nube.

‍Introducción a los hipervisores y la tecnología de virtualización

La idea detrás de la virtualización es la capacidad de implementar múltiples sistemas operativos, en el mismo hardware físico, y aún permitir que cada sistema operativo acceda a la CPU, la memoria, el almacenamiento y los recursos de red.

Para permitir que los Sistemas Operativos virtuales(TCC “máquinas Invitadas”) tengan acceso a los recursos físicos, se utiliza un componente llamado “hipervisor”.

Existen dos tipos de hipervisores:

Hipervisor de Tipo 1 - un sistema operativo desplegado en hardware físico (máquina “bare metal”) que permite a las máquinas invitadas el acceso a los recursos de hardware.
Hipervisor de Tipo 2 - software dentro de un sistema operativo (TCC “sistema operativo host”) desplegado en hardware físico. Las máquinas invitadas se instalan por encima del sistema operativo anfitrión. El hipervisor del sistema operativo del host permite que las máquinas invitadas accedan a los recursos físicos subyacentes.

‍

Los principales inconvenientes de los hipervisores actuales:

No existe un completo aislamiento entre múltiples máquinas huéspedes desplegadas en el mismo hipervisor y la misma máquina anfitrión. Toda la red pasa por la misma tarjeta de red física y la misma virtualización de red de hipervisor.
Entre más capas que añadimos (ya sean hipervisores de tipo 1 o tipo 2), más incrementamos la sobrecarga en el sistema operativo anfitrión y el hipervisor. Esto significa que las maquinas invitadas no serán capaces de tomar plena ventaja del hardware subyacente.

Sistema AWS Nitro

En 2017, AWS presentó su última generación de hipervisores.

La arquitectura Nitro, por debajo de las instancias EC2, hizo un cambio dramático a la forma en que usamos hipervisores descargando las funciones de virtualización (tales como la red, el almacenamiento, la seguridad, etc.) a procesadores dedicados de software y hardware. Esto permite que el cliente obtenga mucho mejor rendimiento, con mucho mejor seguridad y se obtiene el aislamiento de los datos de clientes.

‍

Hipervisor anterior a AWS Nitro:

‍

Hipervisor basado en AWS Nitro:

‍

La arquitectura Nitro se basa en tarjetas Nitro:

Tarjeta Nitro para VPC - maneja la conectividad de red a la VPC del cliente, y la conectividad de red rápida mediante el controlador ENA (Elastic Network Adapter)
Tarjeta Nitro de EBS - permite el acceso al servicio de Almacenamiento Elástico de Bloque (EBS).
Tarjeta Nitro de almacenamiento de instancia - permite el acceso al almacenamiento de disco local
Chip de seguridad Nitro - proporciona una raíz de confianza basada en hardware

‍

En 2020, AWS introdujo “AWS Nitro Enclaves” que permite a los clientes crear ambientes aislados para proteger los datos sensibles de los clientes y reducir la superficie del ataque.

‍

Instancia EC2 anterior a AWS Nitro Enclaves:

‍

Instancia EC2 con AWS Nitro Enclaves habilitado:

‍

El siguiente diagrama muestra dos instancias EC2 en el mismo anfitrión EC2. Una de las instancias EC2 tiene AWS Nitro Enclaves habilitado:

‍Referencias adicionales:

AWS Nitro System
https://aws.amazon.com/ec2/nitro/

Powering next-gen Amazon EC2: Deep dive into the Nitro system
https://www.youtube.com/watch?v=rUY-00yFlE4

Deep Dive Into AWS Nitro Enclaves
https://www.youtube.com/watch?v=K5PRNHaEdOw

Reinventing virtualization with the AWS Nitro System
https://www.allthingsdistributed.com/2020/09/reinventing-virtualization-with-aws-nitro.html

AWS Nitro System
https://perspectives.mvdirona.com/2019/02/aws-nitro-system/

AWS Nitro - What Are AWS Nitro Instances, and Why Use Them?
https://www.metricly.com/aws-nitro/

AWS Nitro Enclaves
https://aws.amazon.com/ec2/nitro/nitro-enclaves

AWS Nitro Enclaves – Isolated EC2 Environments to Process Confidential Data
https://aws.amazon.com/blogs/aws/aws-nitro-enclaves-isolated-ec2-environments-to-process-confidential-data

AWS Nitro Enclaves - Getting Started Video
https://www.youtube.com/watch?v=t-XmYt2z5S8

Infraestructura dela nube de 2da Generación (GEN2) de Oracle

En 2018, Oracle presentó su segunda generación de infraestructura en la nube.

La nube Oracle GEN2 ofrece virtualización de red aislada, utilizando Smart NIC (una tarjeta especial de software y hardware) de diseño personalizado que ofrece a los clientes las siguientes ventajas:

Superficie de ataque reducida.
Evita el traspaso lateral entre hosts de máquina virtuales, contenedores o equipos físicos.
Protección contra ataques tipo Hombre en el medio entre máquinas virtuales anfitriones y huéspedes.
Protección contra ataques de denegación de servicio realizados contra instancias de máquinas virtuales.

Hipervisores de primera generación en la nube:

Hipervisores Oracle de Segunda generación en la nube:

La arquitectura de la Nube Oracle se diferencia del resto de los proveedores públicos de la nube en términos de potencia de CPU.

‍

En OCI, 1OCPU (Oracle Compute Unit) = 1 núcleo físico, mientras que otros proveedores de la nube utilizan la tecnología Intel hyperth reading, que calcula 2 vCPU = 1 núcleo físico. Como resultado, los clientes obtienen un mejor rendimiento por cada OCPU que consumen.

‍

Otra característica que diferencia a la arquitectura OCI es que no existe exceso de suscripción a los recursos, lo que significa que un cliente nunca va a compartir los mismos recursos (CPU,memoria, red) con otro cliente. Esto evita un escenario de "vecino ruidoso" y permite al cliente un mejor rendimiento y garantía sobre el desempeño del mismo.

‍