1. 什么是祼金属服务器
祼金属服务器,可以通俗的理解为没有安装操作系统的物理服务器。它可以像虚拟机一样创建一个带操作系统的服务器,还能对其进行生命周期的管理。之所以叫祼金属服务器,主要是为了与虚拟机进行区分。
祼金属服务器可以应用在许多虚拟机无法胜任的场景。例如对性能要求很高的业务场景下,就很适合祼金属服务器,而虚拟机是有性能损耗和延时的;在应用安全隔离要求比较高的场景下,逻辑隔离的虚拟机也没有物理隔离的祼金属服务器安全级别高;祼金属服务器没有资源抢占的问题,计算性能稳定;有一些硬件设备不支持虚拟化,新的硬件功能在虚拟机上应用不了等,也可以通过祼金属服务器很好的解决。
祼金属的优势:
- 安全方面
裸金属服务器具有安全物理隔离的特性,裸金属服务器与其他租户物理隔离。对安全性要求比较高的用户,例如金融类用户,他们对服务器的安全合规是有硬性要求的,裸金属服务器具有物理机级别的隔离。
- 性能方面
裸金属资源完全独占,完全没有性能损耗,能够胜任高 IO 应用、高性能计算等业务,例如海量数据采集和挖掘,高性能数据库,大型在线游戏等。
- 弹性和自动化
除了裸金属的固有特性,裸金属还继承了虚拟化云服务器的云特性,例如,快速交付,弹性伸缩等,并且整个过程都是自动化管理。
- 兼容性
裸金属服务器可以支持虚拟化,用户可以在裸金属上搭建自己的虚拟化平台,打造独占的私有云或容器云。也可以和其它云产品如云主机、云网络、云存储、云数据库直接打通,方便业务使用,构建灵活的整体架构和方案。
2. 祼金属技术演进
2.1 第一代祼金属
第一代裸金属解决了传统的虚拟化云端模式中计算开销大、安全隐患、性能波动等缺陷,但其自身的问题也比较严重。由于物理机的操作系统安装复杂,一代裸金属使用非常不灵活,安装一个 ISO 需要 15-30 分钟,销毁一台服务器还需要对磁盘执行写 0 操作,这个耗时更久;令客户难以接受的还有,一代裸金属在网络和存储端毫无弹性,比如不能通过隔离创建虚拟化网络;更麻烦的是,一代裸金属的网络配置和网络硬件设备深度绑定,管理软件都是针对少数硬件而定制的,网络编程能力十分有限。而且一代裸金属无法使用本地盘以外的存储区域,云平台应有的便利性,瘦克隆、快照、增量、灾备这些云端用户功能统统无法使用,维护管理都非常麻烦。
2.2 弹性祼金属
因为一代裸金属的那些缺陷,一代裸金属很快就被市场抛弃,但传统云计算模式存在的问题并没有得到有效解决。特别在私有云中,原虚拟化模式是很难满足企业需求的。私有云用户想要的是两全其美的方案:既具备裸金属方案的物理机独占特性,享受超低的开销与稳定的性能输出,又能像云平台那样便于维护管理,尤其是在网络和存储方面具有虚拟化的“隔离”功能,可以在物理连线上按需构建拓扑,并拥有足够的弹性和灵活度。
所以,第二代弹性裸金属应运而生,其具备完整的云平台特性和优势,不仅能快速创建和销毁计算实例,轻松实现云端管理,更重要的是打破了一代裸金属在网络和存储方面的桎梏。用户可以便捷的应用弹性网络和云存储池等功能,最大程度的为用户提供弹性,同时降低平台的维护管理难度。
3. 祼金属相关技术
从各厂商的祼金属服务器功能、架构介绍中不难看出,祼金属服务器的技术难题主要是提升计算、存储和网络的性能,以及提供灵活的弹性资源能力。
祼金属服务器有两种形态:一种是以阿里和AWS为代表的Hypervisor方案,自研了一套高性能和弹性祼金属硬件架构;一种是以纯净的物理服务器,加上各种先进的技术组件,实现高性能和弹性的祼金属服务。不过,两种技术形态的祼金属服务最终的目标都是一致的,都是将网络、存储、操作系统中不适合由CPU支持的高性能数据处理功能卸载到其它硬件,来提高计算、存储和网络性能,并实现弹性的计算、存储和网络功能。
在有的厂商裸金属服务器介绍上,能看到分钟级的裸金属服务器交付,应该是使用了iPXE的技术,服务器启动,通过iPXE引导已经制作好的iSCSI系统镜像,这样就免去了安装操作系统的过程,并且服务器也不需要系统硬盘,节省了成本。并且这样更为灵活,通过这样的技术,可以实现用户根据需要制定自己的系统镜像,而且方便镜像虚实转换,镜像即可以用于启动云主机,也可以启动物理机。
目前,网络方面普遍的方案是使用智能网卡,实现裸金属和云主机、云存储等云产品打通,能够和云主机一样的配置ACL、VPC、负载均衡等网络功能。
下面介绍下祼金属用到的一些技术:
- 智能网卡/DPU:华为、青云、UCloud的祼金属服务器都使用了智能网卡,实际上阿里的X-Dragon和AWS的Nitro也是一种自研的特殊智能网卡。通过智能网卡,可将网络和存储的数据处理功能卸载到智能网卡上,也可以实现网络虚拟化功能,打通虚拟机与祼金属服务器的网络,使其在同一个VPC网络平面。
- NVMe SNAP/ NVMe-oF:NVMe SNAP通过智能网卡,结合NVMe-oF提供弹性的存储服务。
3.1 智能网卡/DPU
智能网卡(DPU是新一代智能网卡)可以给裸金属动态添加/删除网卡和硬盘,网卡能接入vxlan,硬盘能对接后端ceph,而且能统一虚拟机和裸金属,智能网卡就相当于是hypervisor或计算节点,能最大程度实现弹性资源能力。
3.1.1 网络虚拟化
智能网卡最直接的作用是作为祼金属服务器CPU的卸载引擎,接管网络虚拟化、硬件资源池化等基础设施层服务,释放祼金属服务器的CPU的算力到上层应用。
没有出现智能网卡方案之前,网络虚拟化使用了Overlay技术。例如在虚拟化业务系统,使用主机Overlay技术,该方案不需要基础网络设备支持任何高级功能,网络虚拟化功能完全由主机上的OS实现。但是在裸金属场景下,服务器无法安装虚拟化层,然后出现了网络Overlay技术,也就是由交换机来实现Overlay的隧道。如下图:
网络Overlay方案
网络Overlay技术需要交换机有更强的功能,配置复杂度也会相应增加,并且由于交换机的table表大小的限制,规模受限,某些vSwitch的功能也不支持。当智能网卡出现后,网络Overlay也有了替代方案,网络虚拟化功能被放到了智能网卡的的OS实现。使用智能网卡后可以实现各种vSwitch提供的隧道封装、安全过滤、QOS的特性。
智能网卡方案
一种典型的应用场景就是把智能网卡应用在openstack的ironic,在智能网卡上部署neutron的ovs agent,实现网络虚拟化,使其支持多租户网络、VXLAN、安全组、DVR等虚拟网络功能,也可以接入SDN控制器,在祼机上实现网络SDN方案。
3.1.2 存储虚拟化
智能网卡也可以成为祼金属服务器存储的入口。利用智能网卡,可以在存储上实现对于各种存储的模拟,将存储在数据中心的应用中变得透明,用户可以不必再关注真正的存储是什么存储、它们在哪里、如何和它们去沟通。比如现在谈到比较热的NVMe SNAP(软件定义网络加速处理)技术,可以将智能网卡模拟成NVMe磁盘,从祼金属服务器来看,智能网卡会以网卡和NVMe本地磁盘两种形式存在,但是真正的NVMe盘可以在远端或云上,智能网卡可以实现和远端真正磁盘以任何形式通信,如NVMe over Fabric或ISCSI等。智能网卡也可以模拟成各种文件存储或者块存储,而真正的存储不必在本地。这种方式有极高的效率和灵活性,包括精简配置、数据迁移和数据保护,还能实现许多存储虚拟化功能。
例如Mellanox 的 BlueField SmartNIC 提供的 NVMe SNAP,可实现 NVMe 存储的硬件加速虚拟化。NVMe SNAP 将本地 NVMe 存储设备模拟到裸金属服务器,而存储介质在远程 NVMe JBOF 阵列上提供服务。在NVMe SNAP存储模拟情况下,不需要对云镜像进行任何更改,就可以使用在祼金属服务器上,因为存储模拟使用其标准操作系统的 NVMe PCIe 驱动程序。另外,由于BlueField SmartNIC具有内置的 NVMe 存储加速功能,因此性能几乎没有下降。
NVMe SNAP技术优点:
- 解决了很多目前祼金属服务器无法实现的存储方案,例如祼金属服务器要想使用NVMe over Fabric这样的高性能存储协议来访问云端存储,需要在智能网卡上做大量的开发工作,而且性能不好。使用NVMe SNAP技术就可以减小很多的开发工作量,只要操作系统有智能网卡的驱动就行了,智能网卡可以接管所有的和远端沟通的工作。
- 如果想要在祼金属服务器实现存储的资源池共享,利用智能网卡的SNAP技术可以实现各种存储系统的资源池共享,祼金属服务器无需关注和存储的沟通,只需要有智能网卡的驱动就行了。
- 便于扩展,只需要增加远端存储的容量,所有祼金属服务器都可以看到本地容量的增加。
