你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Microsoft Azure Boost
适用于:✔️ Linux VM ✔️ Windows VM ✔️ 大小
Azure Boost 是由 Microsoft 设计的一个系统,它将传统上由虚拟机监控程序和主机 OS 执行的服务器虚拟化过程卸载到专用的软件和硬件上。 此卸载可释放来宾虚拟机的 CPU 资源,从而提高性能。 Azure Boost 还为云工作负载提供了安全基础。 Microsoft 内部开发的硬件和软件系统为虚拟机提供了安全环境。
好处
Azure Boost 包含多个功能,可提高虚拟机的性能和安全性。 可以在选定的 Azure Boost 兼容的虚拟机大小上使用这些功能。
网络:Azure Boost 包括一套软件和硬件网络系统,可显著提升网络性能(高达 200 Gbps 网络带宽)和网络安全性。 Azure Boost 兼容的虚拟机主机包含新的 Microsoft Azure 网络适配器 (MANA)。 详细了解 Azure Boost 网络。
存储:存储操作卸载到 Azure Boost FPGA。 此卸载提供领先的效率和性能,同时提高安全性、减少抖动并缩短工作负载的延迟时间。 本地存储现在以高达 17.3 GBps 和 380 万 IOPS 的速度运行,远程存储吞吐量高达 12.5 GBps 和 650 K IOPS。 详细了解 Azure Blob 存储。
安全性:Azure Boost 使用 Cerberus 作为独立的 HW 信任根,以实现 NIST 800-193 认证。 除非系统上运行的固件和软件受信任,否则客户工作负载无法在 Azure Boost 支持的体系结构上运行。 详细了解 Azure Boost 安全性。
性能:随着 Azure Boost 卸载存储和网络,可以释放 CPU 资源以提高虚拟化性能。 通常用于这些基本后台任务的资源现在可供来宾 VM 使用。 详细了解 Azure Blob 性能。
网络
下一代 Azure Boost 将引入 Microsoft Azure 网络适配器 (MANA)。 此网络接口卡 (NIC) 包括最新的硬件加速功能,并提供具有一致驱动程序接口的竞争性能。 此自定义硬件和软件实现可确保最佳网络性能,专为满足 Azure 的需求而定制。 MANA 功能旨在通过以下优势增强网络体验:
超过 200 Gbps 的网络带宽:自定义硬件和软件驱动程序,以便更快、更高效地传输数据。 启动高达 200 Gbps 的网络带宽,未来还会增加。
高可用性和稳定性:通过主动/主动网络连接到架顶 (ToR) 交换机,Azure Boost 可确保网络始终以最高的性能运行。
DPDK 的本机支持:详细了解 Azure Boost 对 Linux VM 上数据平面开发工具包 (DPDK) 的支持。
一致的驱动程序接口:保证在将来的硬件更改期间不会中断的一次性转换。
与将来的 Azure 功能集成:一致的更新和性能增强功能可确保始终遥遥领先。
存储
Azure Boost 体系结构可卸载涵盖本地、远程和缓存磁盘的存储,提供领先的效率和性能,同时提高安全性,减少抖动并缩短工作负载的延迟时间。 Azure Boost 已使用远程存储(包括 Ebsv5 VM 类型等专用工作负载)为机群中的工作负载提速。 此外,这些改进通过将现有工作负载合并到更少或更小的 VM 中来节省客户成本。
Azure Boost 提供高达 12.5 GBps 吞吐量和 650K IOPS 的行业领先的吞吐量性能。 此性能是通过加速存储处理和向 VM 公开 NVMe 磁盘接口来实现的。 存储任务将从主机处理器卸载到动态可编程的 FPGA 中的专用可编程 Azure Boost 硬件。 通过此体系结构,我们可以更新机群中的 FPGA 硬件,从而为客户提供持续交付。
通过完全应用 Azure Boost 体系结构,我们提供吞吐量高达 17 GBps 和 3.8M IOPS 的远程、本地和缓存磁盘性能改进。 Azure Boost SSD 旨在提供高性能优化静态加密,并为具有本地磁盘的 Azure VM 提供最小的 NVMe 本地磁盘抖动。
安全性
Azure Boost 的安全性包含多个组件,这些组件协同工作,为虚拟机提供安全环境。 Microsoft 内部开发的硬件和软件系统为云工作负载提供了安全基础。
安全芯片:Boost 采用 Cerberus 芯片作为独立硬件信任根,以实现 NIST 800-193 认证。 除非系统上运行的固件和软件受信任,否则客户工作负载无法在 Azure Boost 支持的体系结构上运行。
证明:通过 Azure 的证明服务的 HW RoT 标识、安全启动和证明可确保 Boost 及其支持的主机始终以正常且受信任的状态运行。 无法安全证明的任何计算机都无法托管工作负载,并且它已离线还原到受信任状态。
代码完整性:Boost 系统采用多层深度防御,包括无处不在的代码完整性验证,以强制只有 Microsoft 批准和签名的代码才能在芯片的 Boost 系统上运行。 Microsoft 试图向更广泛的安全社区学习和贡献内容,从而向完整性度量体系结构不断推进。
安全增强型 OS:Azure Boost 使用安全增强型 Linux (SELinux) 对其芯片系统上运行的所有软件强制实施最低特权原则。 在 Boost OS 上运行的所有控制平面和数据平面软件限制为只能以操作所需的最小特权集运行 - 操作系统限制 Boost 软件以意外方式执行的任何尝试。 Boost OS 属性使其难以破坏代码、数据或 Boost 和 Azure 托管基础结构的可用性。
Rust 内存安全:Rust 充当在 Boost 系统上编写的所有新代码的主要语言,以提供内存安全,而不会影响性能。 控制平面和数据平面操作与内存安全改进隔离,可增强 Azure 确保租户安全的能力。
FIPS 认证:Boost 采用 FIPS 140 认证的系统内核,提供对加密模块的可靠安全验证。
性能
运行虚拟机的硬件是共享资源。 虚拟机监控程序(主机系统)必须执行多个任务,以确保每个虚拟机都与其他虚拟机隔离,并且每个虚拟机都接收运行所需的资源。 这些任务包括物理网络和虚拟网络、安全性和存储管理之间的网络。 Azure Boost 通过将任务卸载到专用硬件来减少这些任务的开销。 此卸载可释放来宾虚拟机的 CPU 资源,从而提高性能。
大型 VM:包含大多数主机资源的大型 VM 将从 Azure Boost 中受益。 虽然在启用了 Boost 的主机上运行的大型 VM 可能不会直接看到额外的资源,但对 Azure Boost 取代的主机进程施加压力的工作负载和应用程序会看到性能提高。
专用主机:性能改进还会对 Azure 专用主机 (ADH) 用户产生重大影响。 启用了 Azure Boost 的主机可能会运行额外的小型 VM 或增加现有 VM 的大小。 这样就可以在单个主机上执行更多工作,从而降低总体成本。
当前可用性
Azure Boost 目前在多个 VM 大小系列上可用:
| 大小系列 | 系列类型 | 部署状态 |
|---|---|---|
| Dalsv6 | 常规用途 | 预览版 |
| Easv6 | 内存优化 | 预览版 |
| DCesv5 | 常规用途 | 预览 |
| ECesv5 | 内存优化 | 预览 |
| Mv3 中等内存 | 高内存与 CPU 之比优化 | 预览 |
| Falsv6/Famsv6 | 计算优化 | 预览版 |
| Dlsv5 | 常规用途 | 生产 |
| Dsv5 | 常规用途 | 生产 |
| Esv5 | 内存优化 | 生产 |
| Ebsv5 | 托管磁盘优化 | 生产 |
| Lsv3 | 本地存储优化 | 生产 |
| Dplsv5 | 常规用途 | 生产 |
| Dpsv5 | 常规用途 | 生产 |
| Epsv5 | 内存优化 | 生产 |
| Nvadsv5 | GPU/AI 工作负载优化 | 生产 |
| HBv4 | 高性能计算 (HPC) | 生产 |
| HX | 高性能计算 (HPC) | 生产 |
后续步骤
- 详细了解 Azure 虚拟网络。
- 查看 Azure 专用主机。
- 详细了解 Azure 存储。