高性能、高可靠、轻量化、更便捷

软件灵巧性和硬件高效性的统一

【找准边界，吃定安全】往期回顾：

串联边界设备协同，便捷运营思维让安全更有效

流量剧增？看山石网科如何冲破传统限定

从访问掌握谈起，再看零信赖模型

1、ABC 时期的阿喀琉斯之踵

随着以 A(I) B(igdata) C(loud) 为代表的新业务日益遍及，物联网运用日趋成熟，5G 时期日渐到来，这些都进一步引发了互联网的流量持续高速增长。
此外，Google 的一篇论文也提到，数据中央的流量每 9 个月就会翻一倍，每 5 年将增长 100 倍。

在此背景下，IT 根本举动步伐的硬件和软件产生以下变革：

• 大数据和机器学习等数据密集型的打算越来越多，提高了分布式打算环境下对低时延、高带宽的需求，通过传统的软硬件体系架构很难知足。

• CPU 性能瓶颈逐渐显现，摩尔定律近似失落效，虽然涌现多核技能，但其承载的事情负载数量和单个事情负载 CPU 资源花费仍在增加，硬件加速势在必行。

• 云打算是各种繁芜场景的叠加，如何把其承载的多业务场景优化融汇到一套平台化方案里，既知足灵巧性的哀求，又知足性能加速的哀求，有很大的寻衅。

• 软硬件之间的鸿沟越来越大。
CPU 性能低下，定制 ASIC 难以大规模复制且周期长；软件迭代速率变快，而硬件迭代却在变慢；芯片研发工艺趋于繁芜，周期长，风险高，投入高，这些问题都制约着软件的发展。

• 数据中央网络容量持续升级，做事器网卡从 25Gbps 升级到 100Gbps，网络交流机从100Gbps 升级到 200G/400Gbps。
网络设备面临三高一低的需求（高性能、高可用、高并发、低时延），因此，流量处理须要硬件加速。

图注：带宽性能增速比 (RBP) 失落调， 引自《专用数据处理器 (DPU) 技能白皮书》

2、软硬件领悟的办理之道

为了应对上述寻衅，业界提出了全新的设计理念和方法——软硬件领悟。
软硬件领悟，实质上是快慢领悟，互联网软件须要足够灵巧，能够快速迭代和优化；底层硬件须要有足够的性能和运行效率。
软件具有灵巧性，性能虽“慢”，却“快”速迭代；硬件具有很高的实行效率，性能虽“快”，开拓却“慢”。
软硬件领悟即是要将硬件的性能和软件的灵巧性通过多种硬件平台进行有效组合，达到软件灵巧性和硬件高效性的统一。

注：任务在 CPU 运行，则定义为软件运行 ; 任务在协处理器、GPU、FPGA 或 ASIC 运行，则定义为硬件加速运行。

图注：各种硬件平台的比拟 （指令繁芜度、运行频率、并行度）

软硬件领悟的意义在于：

• 采取 CPU + 协处理器 + GPU + FPGA + ASIC 等超异构稠浊硬件平台打算处理繁芜多变的业务，都是每种运用负载和流量在软硬件解耦和均衡根本上的再协同和再优化

• 兼顾软件灵巧性和硬件高性能，既要极致性能，又要灵巧性，让硬件更加灵巧、弹性、可扩展，填补硬件和软件之间的鸿沟

• 应对云打算、大数据及人工智能等繁芜运用寻衅

• 降落芯片一次性本钱过高和周期过长导致的设计风险

图注：不同类型的处理器的特色和运用处景 引自《专用数据处理器 (DPU) 技能白皮书》

3、业界前沿的运用情形

2017 年 10 月，AWS 和阿里云分别发布了 Nitro 和“神龙”架构做事器，这两个为理解决虚拟化问题而相继问世的软硬件领悟和异构打算创新产品，被业界视作迄今最成功的两款 DPU（以数据为中央构建的专用途理器）。

AWS 的 Nitro 系统是基于 Arm 架构的 AL72400 芯片，做成将网络和存储 offload 的 Nitro VPC 卡和 Nitro EBS 卡，以及本地存储的 Instance Storage 卡。
Nitro 架构改变了做事器硬件的主从关系，当所有的 Dom0 全部 Offload 到网卡之后，主处理逻辑全部在智能网卡，主从的关系也须要发生逆转。
因此，智能网卡变成了主管理节点，而做事器上的其他部件变成了从做事节点。

现在，这个硬件可以让虚拟化引擎以最小化的体积运行，由于它不须要去处理网络和存储的数据处理任务。
至此，AWS 的数据中央问题办理了，但性能只有 3M PPS，之后推出的基于 16c Arm A72 架构的 100G Nitro 网卡进一步实现了更低时延、更高可靠性以及 3 倍 PPS 性能的提升，性能的问题也基本上得到理解决。

阿里云“神龙”基于 CPU+FPGA 方案，从支持裸金属的虚拟化，做到性能超越物理机的裸金属做事器；再到第二代神龙做到了“一套软硬件，三种做事（裸金属做事器 + 虚拟机做事 + 容器）”，办理了虚拟机和裸金属分池的问题，性能层面也实现了“虚拟机性能靠近裸金属”；之后的第三代、第四代做到了 24M、50M 的 PPS 能力，在办理了数据中央税的同时，实现了性能的大幅飞跃。

在 7 月初刚结束的 2022 年阿里云峰会上，阿里云智能总裁张建锋对外发布了一款云数据中央专用途理器 CIPU（Cloud infrastructure Processing Units），这是为新型云数据中央设计的专用途理器，未来将替代 CPU 成为云打算的管控和加速中央。
CIPU 向下接入物理的打算、存储、网络资源，快速云化并进行硬件加速；向上接入飞天云操作系统，管控阿里云环球上百万台做事器。
它被业内人士认为是一款定义下一代云打算标准的首创性产品。

微软的 Azure 也在考虑了可编程性、性能和效率的权衡后，利用了基于 FPGA 的自定义 Azure SmartNICs，将主机网络卸载到硬件的办理方案。

随着 AWS Nitro、阿里云神龙架构的引领，京东、腾讯、字节等公司也采取了类似的架构构建自己的公共云打算做事，数据中央打算架构的中央开始向智能网卡和 DPU 倾斜。

在 SDN 领域，软硬件领悟理念的运用也越来越遍及。
SDN 之父 Nick 教授在创立 Openflow进行试水后改进了理念，只在数据平面做文章，推出了P4可编程措辞，合营白盒交流机或SmartNICs/DPU，在 SDN 落地可行性、性能、功耗、本钱等方面找到了平衡点。
阿里云洛神Sailfish 云网关利用 Barefoot 公司的可编程 ASIC Tofino 芯片交流机，利用 P4 灵巧的可编程特性，实现了高性能（吞吐量、包速率分别比 X86 网关提高 20 倍和 72 倍，而均匀延时也比 X86 网关低95%），而 Barefoot 公司正是由 Nick 教授创立的，在 2019 年被 Intel 收购。

4、山石网科在网络安全领域的软硬件领悟探索之路

防火墙系列作为山石网科的硬核产品，一贯广受业界认可，连续八年入选国际威信剖析机构Gartner 的“网络防火墙类魔力象限”，并在 2021 年实现了从“利基者”到“远见者”的闪亮进阶。

图注：Gartner 网络防火墙魔力象限（2021）

作为海内网络安全领域的技能创新领导厂商，山石网科一贯在探索网络安全软硬件领悟办理方案。
StoneOS是山石网科具有自主知识产权的网络安全操作系统，建立在通用 OS 根本之上的网络安全系统平台，经由 15 年以上的历史积累，支持丰富的功能，可支持多核处理器及分布式多 CPU 系统，StoneOS类似于以下友商的网络操作系统，如思科 IOS、VRP、华三 Comware 和 Juniper JUNOS。

图注： StoneOS 的架构和软件模块示意图

在承载 StoneOS 的硬件层面，山石网科防火墙经历了从基于 MIPS 架构的 E 系列到领悟构架的 A 系列产品线，通过敏锐的洞察力和对市场前沿技能异构打算在安全领域运用处景的理解，剖析如下：

很多的安全产品如 UTM Firewall、IDPS、DPI、上网行为管理、AV、ZTNA SDP、抗 DDoS 设备等，在网络流量持续增长时，很多设备都具有高新建、高并发、高吞吐等特点，是范例的 I/O 密集型运用处景，须要大量 CPU 资源来处理相应的业务逻辑，性能上的瓶颈非常明显。
通过异构打算架构对这些安全功能产品做硬件加速，已经是一定趋势。
随着云打算和虚拟化技能的发展，上述的安全功能产品的实现办法转为虚拟化或者 NFV 办法，并通过云平台来支配统一管理。
这些安全功能产品由于支配在数据中央流量的紧张路径上，转发性能对整体网络的吞吐量和时延具有主要的影响。

由于上述安全产品对运用报文处理的深度不同，有些只须要在四层以下处理，有些则须要在四至七层进行处理，以是在硬件加速平台的卸载办法上也存在不同。
如 UTM Firewall 和DDoS 等设备，可以通过流表卸载的办法，对流量进行拦截，来加速运行在主机系统中的安全做事运用。
如IDPS、DPI 和上网行为管理设备，须要做深度包剖析和检测，这时须要硬件加速平台的 CPU 具有较强的性能。

根据以上的剖析，结合硬件平台上丰富的自主研发履历，山石网科探索出硬件和软件场景下两种不同的办理方案：

图注：硬件方案 : 四层以下流量由 ASIC 芯片处理， 四层以上流量由 Hillstone Mars 硬件加速引擎处理

图注：软件方案：云环境 X86 做事器上 南北向安全流量卸载

5、山石网科重镑发布基于 CPU+Hillstone Mars 硬件加速引擎的高性能防火墙

图注：采取 Hillstone Mars 硬件 加速引擎的 A7600 智能下一代防火墙

通过深入客户安全需求，走近客户痛点场景，山石网科持续精进安全能力，不断为用户供应高性能、高可靠、轻量化、更便捷的安全做事，真正办理用户实际问题。

山石网科推出智能下一代防火墙A7600，搭载 Hillstone Mars 硬件加速引擎，整机吞吐可达320Gbps，小包性能140Gbps，可知够数据中央等对流量哀求较高的场景需求。
Hillstone Mars 硬件加速引擎专注于流量卸载，在较高流量场景下，也可轻松卸载 CPU 的压力，使得 CPU 更加聚焦综合安全业务处理能力，向客户带来更极致的安全防护体验。

在 Hillstone Mars 硬件加速引擎的加持下，报文转发延时可低至几微秒，完备胜任对时延敏感的运用处景。
同时，为应对当前越来越多的加密业务，避免提升安全性的同时丢失转发性能，山石网科 A 系列智能下一代防火墙具备硬件解密引擎，比较于纯软件解密，SSL 解密效率提升 2.5+ 倍，有力保障企业业务的高效开展。