為什么NVMe-OF很重要?
NVMe發(fā)展的過程,就是不斷給SSD“開綠燈”的過程��。
今天我們已經(jīng)知道���,SSD的出現(xiàn)帶給存儲(chǔ)系統(tǒng)性能提升是革命性的��,然而在當(dāng)時(shí)的年代里�,SSD卻面臨著“有力使不出”的瓶頸�����。
這是因?yàn)槭钱?dāng)時(shí)的存儲(chǔ)系統(tǒng)都是面向機(jī)械硬盤而設(shè)計(jì)的���。早期的全閃或混閃陣列中很多是在使用傳統(tǒng)的存儲(chǔ)技術(shù)——SATA SSD�,這類存儲(chǔ)基于AHCI(Advanced Host Controller Interface����,高級(jí)主機(jī)控制器接口)命令協(xié)議。而AHCI是為機(jī)械硬盤而生�����,采用AHCI的SATA III總線只允許數(shù)據(jù)傳輸速度達(dá)到600MB/s���。
因此�,為了讓SSD在存儲(chǔ)中跑得更暢快,NVMe規(guī)范誕生了��。
NVMe全稱是Nonvolatile Memory Express(非易失性內(nèi)存標(biāo)準(zhǔn))���,NVMe是一種基于性能并從頭開始創(chuàng)建新存儲(chǔ)協(xié)議�����,它可以使我們能夠充分利用SSD和存儲(chǔ)類內(nèi)存(SCM)的速度���。
NVMe替代了原有的AHCI規(guī)范,并且軟件層面的處理命令也進(jìn)行了重新定義���,不再采用SCSI/ATA命令規(guī)范����。并且NVMe SSD利用了計(jì)算機(jī)或服務(wù)器中的PCIe高速總線��,將其直接連接到計(jì)算機(jī)���,從而減少了CPU開銷�,簡(jiǎn)化了操作,降低了延遲��,提高了IOPS和吞吐量�����。
什么是端到端NVMe�����?
關(guān)注戴爾易安信的童鞋一定經(jīng)?����?吹?����,當(dāng)我們?cè)诿枋鯬owerMax或PowerStore時(shí)����,會(huì)常常使用到支持“端到端NVMe”這個(gè)詞匯���。其實(shí)���,這也意味著SSD的性能還能得到進(jìn)一步的釋放��。
這是因?yàn)楫?dāng)時(shí)的全閃存陣列大部分是在存儲(chǔ)后端支持NVMe SSD��,與使用SATA或SAS SSD的全閃存陣列相比�,確實(shí)帶來了性能的提升�。然而,這并不意味NVMe SSD已經(jīng)發(fā)揮出了它的性能極限�。事實(shí)上,NVMe SSD全閃存陣列理論上可以提供更大的性能提升——比使用SAS和SATA SSD的全閃存陣列多10倍性能�����。
這種巨大的性能差異源于這樣一個(gè)事實(shí)�����,即當(dāng)時(shí)的全閃存陣列控制器架構(gòu)也是為了適應(yīng)機(jī)械硬盤而設(shè)計(jì)的��,而在使用NVMe SSD時(shí)����,這種控制器就成為了阻礙,為此��,陣列控制器以及存儲(chǔ)網(wǎng)絡(luò)協(xié)議必須不斷發(fā)展。
而NVMe over Fabrics(簡(jiǎn)稱NVMe-OF)的出現(xiàn)����,就是將NVMe應(yīng)用到前端,作為存儲(chǔ)陣列與前端主機(jī)連接的通道�����,取代過去的FC��、iSCSI�����。由此����,主機(jī)可以使用本機(jī)NVMe協(xié)議直接與NVMe SSD通信�,進(jìn)一步提高性能和降低延時(shí)。
說到這兒�,小編必須要提一下2016年發(fā)布的DSSD D5存儲(chǔ),它是戴爾易安信推出的業(yè)界初款端到端NVMe存儲(chǔ)��。這款存儲(chǔ)專為性能而生���,其控制器��、閃存模組到前端主機(jī)I/O卡全都是專屬規(guī)格�����,其性能可達(dá)到千萬級(jí)的IOPS和100 GB每秒的吞吐量��,而且延時(shí)能則降到100微秒——性能數(shù)據(jù)足以秒殺當(dāng)前市面上任何一款存儲(chǔ)系統(tǒng)����。
不過,也許是因?yàn)樵O(shè)計(jì)理念太過超前���,這款產(chǎn)品并沒有延續(xù)下去����,而是轉(zhuǎn)化為寶貴的技術(shù)資產(chǎn)��,戴爾易安信PowerMax和PowerStore上所支持的端到端NVMe技術(shù)��,實(shí)際上就有來自DSSD的技術(shù)積淀�����。
戴爾易安信PowerStore采用英特爾?至強(qiáng)?可擴(kuò)展處理器,該處理器可以優(yōu)化工作負(fù)載,可靠性強(qiáng),還有高計(jì)算力、高穩(wěn)定性和高效敏捷性�,不僅幫助PowerStore輕松滿足既定工作負(fù)載,也可以為數(shù)字化變革做好準(zhǔn)備��。
不是所有NVMe都是相等的���,這就是為什么NVMe-OF很重要�����。
今天,NVMe由于其低延遲和高吞吐量的多任務(wù)處理速度而變得越來越受歡迎�。雖然NVMe也用于個(gè)人計(jì)算機(jī)中以改進(jìn)視頻編輯,游戲等��,但通過NVMe-oF�,企業(yè)中可以看到真正的好處,特別是在分秒必爭(zhēng)的企業(yè)場(chǎng)景�。如實(shí)時(shí)客戶互動(dòng),人工智能 (AI)�����、機(jī)器學(xué)習(xí) (ML)等。處理和訪問數(shù)據(jù)的速度越快����,對(duì)業(yè)務(wù)就越能帶來價(jià)值。
版本���,避免勒索病毒通過未修復(fù)的漏洞進(jìn)行攻擊���。內(nèi)外網(wǎng)分開,嚴(yán)格的防火墻策略����,嚴(yán)禁未經(jīng)授權(quán)的訪問等等。這些都是基本的防御措施�,可以在一定程度上防止勒索病毒攻擊。
但請(qǐng)注意�����,對(duì)于有組織的��、內(nèi)外結(jié)合的且以勒索贖金為目的勒索病毒攻擊�����,這些基本措施是很難完全有效的!
國(guó)家保密局官網(wǎng)轉(zhuǎn)載了《保密科學(xué)技術(shù)》雜志2018年12月刊的文章����,文章中提到防范勒索病毒需要系統(tǒng)治理,構(gòu)建多層防御�����。特別指出了可參考美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)研究院(NIST)發(fā)布的旨在幫助遭受勒索病毒攻擊的企業(yè)恢復(fù)數(shù)據(jù)的專門指南��,構(gòu)建防御體系����。
在NIST網(wǎng)絡(luò)安全參考架構(gòu)中,包含了識(shí)別��、保護(hù)�����、檢測(cè)��、響應(yīng)和恢復(fù)等五個(gè)環(huán)節(jié)��,五個(gè)環(huán)節(jié)是一個(gè)整體�����,相輔相成�����,構(gòu)成一個(gè)多層次的防御體系���。其中保護(hù)環(huán)節(jié)是容易被用戶疏忽的環(huán)節(jié)����。如前面談到�����,僅僅依靠通用的數(shù)據(jù)備份系統(tǒng)是無法防止勒索病毒攻擊的�。
因此,保護(hù)是NIST架構(gòu)中非常重要的一環(huán)��,又是容易被用戶忽視的一環(huán)�。只有保護(hù)有效,才能在遭受勒索病毒攻擊后����,進(jìn)行有效的恢復(fù)�����。NIST網(wǎng)絡(luò)安全參考架構(gòu)如下圖所示▼
什么樣的數(shù)據(jù)保護(hù)
能夠在病毒攻擊后恢復(fù)數(shù)據(jù)����?
我們看到����,在NIST網(wǎng)絡(luò)安全參考架構(gòu)中,保護(hù)變成極為重要的一環(huán)���,如何才能有效保護(hù)數(shù)據(jù)呢�?基于數(shù)據(jù)保護(hù)的較佳實(shí)踐���,戴爾科技提出了建立備份����、容災(zāi)和Cyber Recovery多重?cái)?shù)據(jù)保護(hù)的較佳數(shù)據(jù)保護(hù)能力模型��,即:
? 對(duì)所有業(yè)務(wù)相關(guān)的數(shù)據(jù)都要進(jìn)行本地備份���,做到基本的保護(hù)����。
? 對(duì)關(guān)鍵業(yè)務(wù)數(shù)據(jù)�,除了本地備份外,還要做到異地容災(zāi)����,防止站點(diǎn)級(jí)別的災(zāi)難。
? 對(duì)于至關(guān)重要的數(shù)據(jù)�����,除了建立本地備份和異地容災(zāi)外�,還需要建立防止勒索病毒的Cyber Recovery Vault數(shù)據(jù)避風(fēng)港,防止數(shù)據(jù)被勒索病毒綁架后�����,需要付出巨大代價(jià)恢復(fù)數(shù)據(jù)��。
怎樣建立完善的Cyber
Recovery Vault數(shù)據(jù)避風(fēng)港�?
組織要建立完善的Cyber Recovery Vault數(shù)據(jù)避風(fēng)港,可以遵循以下幾個(gè)步驟:
初步:優(yōu)化已有的備份系統(tǒng)���,包括:
? 優(yōu)化備份系統(tǒng)的第 一招�����,叫“離”�����,即備份服務(wù)器盡量遠(yuǎn)離容易受勒索病毒攻擊的平臺(tái)��,具體措施包括選擇不容易受勒索病毒感染的操作系統(tǒng)����,及時(shí)修復(fù)軟件漏洞,保持較新的操作系統(tǒng)補(bǔ)丁等��。同時(shí)��,備份索引必須在備份作業(yè)完成后自動(dòng)備份到備份設(shè)備��。防止備份服務(wù)器被勒索病毒綁架后��,備份索引丟失而無法恢復(fù)數(shù)據(jù)���。
? 優(yōu)化備份系統(tǒng)的第二招��,叫“舍”�����,即備份過程必須通過重復(fù)數(shù)據(jù)刪除技術(shù)����,舍去大量重復(fù)數(shù)據(jù)��,提高備份效率��,確保較高效的方式快速完成備份�����,以便為接下來將備份數(shù)據(jù)復(fù)制到Cyber Recovery Vault數(shù)據(jù)避風(fēng)港做好準(zhǔn)備��。
? 優(yōu)化備份系統(tǒng)的第三招�����,叫“斷”����,即斷開備份主機(jī)與備份儲(chǔ)存的直接聯(lián)系,較大程度地避免備份主機(jī)及備份數(shù)據(jù)同時(shí)被勒索病毒感染��。這里的“斷”,指的是只能通過專用協(xié)議才能訪問����,不能通過NFS、CIFS����、ISCSI/FC等通用協(xié)議直接讀寫,通過專用的協(xié)議�����,可做到傳輸加密�,備份數(shù)據(jù)加鎖等功能。
第二步:建立Cyber Recovery Vault數(shù)據(jù)避風(fēng)港�����,包括:
? 在上一步優(yōu)化備份系統(tǒng)的的基礎(chǔ)上�,將數(shù)據(jù)快速?gòu)?fù)制到Cyber Recovery Vault數(shù)據(jù)避風(fēng)港,同時(shí)利用Air Gap技術(shù)設(shè)置自動(dòng)的網(wǎng)絡(luò)彈性隔離���,通過Air Gap技術(shù)�,使得數(shù)據(jù)中心與Cyber Recovery Vault數(shù)據(jù)避風(fēng)港之間的連接只有在數(shù)據(jù)復(fù)制期間連通,其他時(shí)間網(wǎng)絡(luò)自動(dòng)斷開�����,且所有的網(wǎng)絡(luò)訪問都是從Cyber Recovery Vault數(shù)據(jù)避風(fēng)港單向發(fā)起訪問���,較大限度地減少網(wǎng)絡(luò)攻擊入侵Cyber Recovery Vault數(shù)據(jù)避風(fēng)港的風(fēng)險(xiǎn)。
? 數(shù)據(jù)復(fù)制到Cyber Recovery Vault數(shù)據(jù)避風(fēng)港后�����,對(duì)數(shù)據(jù)進(jìn)行快照拷貝��,并鎖定數(shù)據(jù)���,在鎖定期間�,不容許篡改�!這一招可簡(jiǎn)單稱為“鎖”。
? 數(shù)據(jù)鎖定后����,還需要對(duì)數(shù)據(jù)進(jìn)行掃描,通過AI/機(jī)器學(xué)習(xí)等算法���,偵測(cè)數(shù)據(jù)是否完整����,是否被破壞或者加密,形成分析報(bào)告�����。這一招可簡(jiǎn)單稱為“偵”��。
Cyber Recovery Vault數(shù)據(jù)避風(fēng)港架構(gòu)示意圖如下所示▼
通過以上兩個(gè)步驟�,可以說已經(jīng)建立起了比較完善的Cyber Recovery數(shù)據(jù)避風(fēng)港?�;谇懊嫣岬降妮^佳數(shù)據(jù)保護(hù)能力模型�,戴爾科技集團(tuán)建議企業(yè)級(jí)用戶建立覆蓋備份、容災(zāi)�����、Cyber Recovery全方位的數(shù)據(jù)保護(hù)����。通過戴爾科技集團(tuán)業(yè)界領(lǐng)先的數(shù)據(jù)保護(hù)套件DPS suites和專用備份設(shè)備PowerProtect DD或者備份一體機(jī)IDPA進(jìn)行構(gòu)建。
下圖顯示了戴爾科技集團(tuán)全面數(shù)據(jù)保護(hù)解決方案體系結(jié)構(gòu)概覽����。這個(gè)體系完美契合前面所討論的較佳數(shù)據(jù)保護(hù)能力模型����,亦具備“斷”��、“舍”�����、“離”�、“鎖”�、“偵”等特點(diǎn),完全符合NIST網(wǎng)絡(luò)安全架構(gòu)的較佳實(shí)踐�����,可幫助企業(yè)級(jí)客戶有效抵御勒索病毒攻擊���、內(nèi)部惡意刪除�����、數(shù)據(jù)中心災(zāi)難等�����,為企業(yè)的發(fā)展保駕護(hù)航���。
與其“亡羊補(bǔ)牢”�,不如“未雨綢繆”�����,面對(duì)來勢(shì)洶洶的勒索病毒�����,組織只有建立更完備的數(shù)據(jù)安全策略��,拋棄一切遭遇不可能發(fā)生在自己身上的幻想���,腳踏實(shí)地做好數(shù)據(jù)保護(hù)��,遵循較佳數(shù)據(jù)保護(hù)能力模型�,建立起備份+容災(zāi)+Cyber Recovery的多重?cái)?shù)據(jù)保護(hù)系統(tǒng)�����,才能在防不勝防的風(fēng)險(xiǎn)中確保組織的數(shù)據(jù)安全。
戴爾科技集團(tuán)Cyber Recovery網(wǎng)絡(luò)恢復(fù)軟件及服務(wù)���,提供了業(yè)務(wù)彈性和從勒索病毒攻擊中的數(shù)據(jù)恢復(fù)能力��。創(chuàng)新的自動(dòng)化�����、工作流程和安全分析工具�����,結(jié)合分層的數(shù)據(jù)保護(hù)方法,能夠確保關(guān)鍵數(shù)據(jù)的重要副本被隔離但仍然可用��,使企業(yè)免遭各種惡意網(wǎng)絡(luò)攻擊的威脅�,支持企業(yè)盡快恢復(fù)業(yè)務(wù)流程。
讓身處數(shù)字時(shí)代的企業(yè)能夠能把數(shù)據(jù)保護(hù)主動(dòng)權(quán)握在手中��,為數(shù)據(jù)驅(qū)動(dòng)價(jià)值構(gòu)筑安全防線����。煙臺(tái)戴爾服務(wù)器
