有关 xPU 加速器卸载功能 Q&A

Source:  David McIntyre, SNIA Experts Answer Questions on xPU Accelerator Offload Functions,  July 14, 2022

由 SNIA 网络存储论坛主办的广受欢迎的 xPU 网络广播系列在上个月继续进行，深入探讨了 xPU 的加速器卸载功能。我们的专家讨论了 xPU 解决的问题、它们在系统中的位置以及它们实现的功能。如果您错过了会议，可以按需观看，并访问 SNIA 教育图书馆的演示幻灯片。此处的问答提供了有关xPU作用的其他见解。

问题：由于 xPU 可以看到主机上的流量，因此如果主机受到损害，这不会扩大暴露的表面区域吗？

回答：这个问题还有另一个方面：这取决于谁拥有设备的控制权，以及谁被允许在那里运行软件。如果运行基础设施的组织拥有 xPU 并控制其中的软件，则它可以充当主机其余部分的安全边界，该主机可能正在运行用户软件或其他类型的软件。因此，您可以将 xPU 用作安全边界中的安全检查，它实际上可以减少总攻击面或提供更好的安全隔离。如果您将xPU开放为另一个通用微服务器，那么它实际上具有与托管系统相同的攻击面，但您可以在一种模式下运行它，或者在实际上减少了总攻击服务并使其成为安全边界的模式下控制它。这是业界关于xPU如何提供价值的有趣概念之一。

问题：以前，仅当主机受到威胁时，才会暴露仅主机内部流量，但现在如果 xPU 受到威胁，它可能会在主机不知情的情况下泄露信息。双向切割 —— 我明白这是一个强化的领域，但一切都会受到损害。

回答：部署中的任何可编程卸载引擎或虚拟机管理程序都具有相同的注意事项。xPU 最类似于向其 VM  提供常见服务（如存储或数据包转发 （vswitch））的虚拟机管理程序。有关其他讨论，请参阅前面的答案。

问题：xPU 提供了哪些具体的卸载和功能，而 NIC 和 HBA 目前无法提供这些功能？

回答：从存储卸载的角度来看，除了数据路径卸载之外， xPU 还具有集成的 SOC CPU 内核。存储堆栈或整个存储应用程序和控制平面的部分可以移动到 xPU。

可访问的 CPU 内核、可编程流水线和直接可用的卸载引擎的添加，再加上通用操作系统，使得 xPU 与以前基于 NIC 或 HBA 的标准卸载有着根本的不同。对于 xPU，我们现在谈论的是基础架构服务卸载存储应用程序作为关键用例之一。因此，我们有了这个新的 xPU 术语，它描述了这种新型设备，它卸载了虚拟机管理程序功能的基础设施服务。借助 xPU，可以完全释放主机 CPU 内核以托管客户应用程序、容器和 VM。NIC 和 HBA 通常仅卸载特定的网络或存储功能。xPU 可以运行一组扩展的代理、数据服务或应用程序。

概括地说，在 PCIe 端和网络端都有本地交换，以及通用处理器，再加上加速器的可编程性程度和使用 xPU 的方式的灵活性。

问题：启用安全卸载后，是否还需要单流 100G 速率？您能谈谈用例以及可能需要它的地方吗？

回答：如果应用程序或工作负载需要 100G 线速（或任何其他单个流特定速率）加密和完整性，则需要找到支持所需安全卸载速率的特定 xPU 模型。xPU 型号将具有不同的功能。可能需要这种规模的单一流速率的典型工作负载包括跨本地网络的存储访问、AI 工作负载、技术计算、视频处理和大规模流式处理。