Virtualización de la nube moderna

Eyal Estrin
Computación en la nube
September 7, 2021

Virtualización de la nube moderna

Cuando pensamos acerca de recursos de cómputo (TCCmáquinas virtuales) en la nube pública, la mayoría de nosotros tenemos la misma imagen en nuestra cabeza – Sistema Operativo, sobre el hipervisor, desplegado encima de la capa física de hardware.

La mayoría de los proveedores de nube pública construyen su infraestructura basándose en esta misma arquitectura.

En esta entrada vamos a revisar la virtualización tradicional, y a continuación, explicare los beneficios de la virtualización moderna basada en la nube.

Introducción a los hipervisores y la tecnología de virtualización

La idea detrás de la virtualización es la capacidad de implementar múltiples sistemas operativos, en el mismo hardware físico, y aún permitir que cada sistema operativo acceda a la CPU, la memoria, el almacenamiento y los recursos de red.

Para permitir que los Sistemas Operativos virtuales(TCC “máquinas Invitadas”) tengan acceso a los recursos físicos, se utiliza un componente llamado “hipervisor”.

Existen dos tipos de hipervisores:

  • Hipervisor de Tipo 1 - un sistema operativo desplegado en hardware físico (máquina “bare metal”) que permite a las máquinas invitadas el acceso a los recursos de hardware.
  • Hipervisor de Tipo 2 - software dentro de un sistema operativo (TCC “sistema operativo host”) desplegado en hardware físico. Las máquinas invitadas se instalan por encima del sistema operativo anfitrión. El hipervisor del sistema operativo del host permite que las máquinas invitadas accedan a los recursos físicos subyacentes.

Los principales inconvenientes de los hipervisores actuales:

  • No existe un completo aislamiento entre múltiples máquinas huéspedes desplegadas en el mismo hipervisor y la misma máquina anfitrión. Toda la red pasa por la     misma tarjeta de red física y la misma virtualización de red de hipervisor.
  • Entre más capas que añadimos (ya sean hipervisores de tipo 1 o tipo 2), más incrementamos la sobrecarga en el sistema operativo anfitrión y el hipervisor. Esto significa que las maquinas invitadas no serán capaces de tomar plena ventaja del hardware subyacente.

Sistema AWS Nitro

En 2017, AWS presentó su última generación de hipervisores.

La arquitectura Nitro, por debajo de las instancias EC2, hizo un cambio dramático a la forma en que usamos hipervisores descargando las funciones de virtualización (tales como la red, el almacenamiento, la seguridad, etc.) a procesadores dedicados de software y hardware. Esto permite que el cliente obtenga mucho mejor rendimiento, con mucho mejor seguridad y se obtiene el aislamiento de los datos de clientes.

Hipervisor anterior a AWS Nitro:

Hipervisor basado en AWS Nitro:

La arquitectura Nitro se basa en tarjetas Nitro:

  • Tarjeta Nitro para VPC - maneja la conectividad de red a la VPC del cliente, y la conectividad de red rápida mediante el controlador ENA (Elastic Network     Adapter)
  • Tarjeta Nitro de EBS - permite el acceso al servicio de Almacenamiento Elástico de Bloque (EBS).
  • Tarjeta  Nitro de almacenamiento de instancia - permite el acceso al almacenamiento de disco local
  • Chip de seguridad Nitro - proporciona una raíz de confianza basada en hardware

En 2020, AWS introdujo “AWS Nitro Enclaves” que permite a los clientes crear ambientes aislados para proteger los datos sensibles de los clientes y reducir la superficie del ataque.

Instancia EC2 anterior a AWS Nitro Enclaves:

Instancia EC2 con AWS Nitro Enclaves habilitado:

El siguiente diagrama muestra dos instancias EC2 en el mismo anfitrión EC2. Una de las instancias EC2 tiene AWS Nitro Enclaves habilitado:

Referencias adicionales:

Infraestructura dela nube de 2da Generación (GEN2) de Oracle

En 2018, Oracle presentó su segunda generación de infraestructura en la nube.

La nube Oracle GEN2 ofrece virtualización de red aislada, utilizando Smart NIC (una tarjeta especial de software y hardware) de diseño personalizado que ofrece a los clientes las siguientes ventajas:

  • Superficie de ataque reducida.
  • Evita el traspaso lateral entre hosts de máquina virtuales, contenedores o equipos físicos.
  • Protección contra ataques tipo Hombre en el medio entre máquinas virtuales anfitriones y huéspedes.
  • Protección contra ataques de denegación de servicio realizados contra instancias de máquinas virtuales.

Hipervisores de primera generación en la nube:

Hipervisores Oracle de Segunda generación en la nube:

La arquitectura de la Nube Oracle se diferencia del resto de los proveedores públicos de la nube en términos de potencia de CPU.

En OCI, 1OCPU (Oracle Compute Unit) = 1 núcleo físico, mientras que otros proveedores de la nube utilizan la tecnología Intel hyperth reading, que calcula 2 vCPU = 1 núcleo físico. Como resultado, los clientes obtienen un mejor rendimiento por cada OCPU que consumen.

Otra característica que diferencia a la arquitectura OCI es que no existe exceso de suscripción a los recursos, lo que significa que un cliente nunca va a compartir los mismos recursos (CPU,memoria, red) con otro cliente. Esto evita un escenario de "vecino ruidoso" y permite al cliente un mejor rendimiento y garantía sobre el desempeño del mismo.

Referencias adicionales:

Traducido por Junior Gamez

Eyal Estrin

Eyal Estrin

Information Security and Cloud Architect, IsraelClouds Analyst, public columnist, #CISSP, #CCSP, #CISM, #CISA, #CCSK

Related Posts

Boletin informativo SpainClouds.com

Thank you! Your submission has been received!

Oops! Something went wrong while submitting the form