Обычно считается, что для терминальных серверов, где параллельно работает много виртуальных машин, нужно использовать серверы на процессорах Intel, а не AMD, поскольку процессоры AMD строились хотя и с большим числом ядер (до 64, что для VDI – хорошо), но с пониженной, по сравнению с Intel, тактовой частотой, что влияло на производительность, что иногда приводило к «подтормаживанию» удалённых рабочих мест. Сейчас, по мере развития возможностей процессоров AMD, это предубеждение постепенно утрачивает своих сторонников.

HCI SimpliVity Gen10 с процессорами AMD EPYC

В 2020 году компания HPE значительно повысила производительность своей гиперконвергентной инфраструктуры HCI, что позволило улучшить соотношение «цена-производительность» для инфраструктуры виртуальных рабочих мест VDI (virtual desktop infrastructure). Компания выпустила решение по HCI SimpliVity 325 Gen 10 с процессорами AMD EPYC второго поколения. Это позволило увеличить число поддерживаемых им виртуальных рабочих мест с 300 до 600 на одном устройстве HCI SimpliVity 325.

Серверы ProLiant Gen10

Серия серверов ProLiant Gen10 ознаменовала собой дальнейший прогресс в развитии технологий для удалённой работы.

Например, сервер HPE ProLiant DL385 Gen10 может иметь до 128 ядер (в 2-сокетной конфигурации), 32 модуля DIMM и до 1 ТБ памяти и до 24 накопителей NVMe, что обеспечивает экономичное развёртывание терминалов на базе виртуальных машин и высокий уровень безопасности. В сочетании с эффективным распределением нагрузки между ядрами процессоров, а также модулями памяти и ввода-вывода сервер HPE ProLiant DL385 Gen10 идеально подходит для виртуализации и ресурсоёмких рабочих задач с вычислениями в памяти.

Безопасность сервера

Семейство серверов ProLiant Gen10 обеспечивает повышенную безопасность за счёт «доверия уровне чипов» (hardware root of trust). При этом, на чипе создаётся «цифровой отпечаток» нормального режима работы, который предотвращает загрузку сервера со взломанной микропрограммой (firmware). Это означает, что рабочие компьютеры пользователей надёжно защищены от проникновения зловредных кодов на уровне физической инфраструктуры сервера.

Расширенные функции безопасности решения AMD Infinity Guard в процессорах AMD EPYC™ помогают защитить оборудование и данные от внутренних и внешних угроз. Решение реализовано на уровне чипов и обеспечивает расширенные возможности противодействия возможным внутренним и внешним угрозам, причем, с минимальным влиянием на производительность системы.

Рисунок 1. Архитектура повышенной безопасность за счёт «доверия уровне чипов» (hardware root of trust)

Рисунок 1. Архитектура повышенной безопасность за счёт «доверия уровне чипов» (hardware root of trust)

Безопасность терминалов

Кроме мер по общей защиты физической инфраструктуры сервера, есть также решения по защите виртуальных терминалов.

Решение AMD по «безопасной виртуализации с шифрованием» SEV (Secure Encrypted Virtualization) обеспечивает шифрование канала связи с каждой виртуальной машиной терминала. Процессоры AMD EPYC 3 поколения имеют функцию SEV-SNP (SEV-Secure Nested Paging), которое обеспечивает защиту целостности данных в памяти каждой виртуальной машины при помощи отдельных ключей, что обеспечивает предотвращение атак на уровне гипервизора. Для обычного полного шифрования всей оперативной памяти Secure Memory Encryption (SME), достаточно одного ключа.

Кроме того, в AMD EPYC™ 3 поколения расширены возможности шифрования оперативной памяти по алгоритму AES-128, влияние которого на производительность составляет менее 1% при помощи решения AMD Secure Processor на базе ARM Cortex-A5, интегрированного непосредственно в CPU AMD EPYC.

SEV помогает изолировать виртуальные машины и контейнеры друг от друга, предотвратить вмешательство на уровне администрирования и не доверенных гипервизоров. Ключи шифрования – отдельные как для гипервизора, так и для виртуальных машин, или их групп VM/Sandbox с несколькими контейнерами.

Рисунок 2. Архитектура решения AMD SME (Secure Memory Encryption) и SEV (Secure Encrypted Virtualization)

Рисунок 2. Архитектура решения AMD SME (Secure Memory Encryption) и SEV (Secure Encrypted Virtualization)

Решение помогает предотвращать ROP-атаки (Return Oriented Programming). При этом сохраняются обратные адреса источника атаки, таким образом, может быть выполнено сравнение версий кода, что позволяет сохранить его целостность.

Решение SEV обеспечивает шифровку/дешифровку на лету для остальных аппаратных средств, обращающихся к памяти через прямой доступ к памяти DMA.

Нагрузочное тестирование VDI

По мере увеличения числа удалённых сотрудников предприятия, инфраструктура терминального сервера VDI должна иметь возможность плавного масштабирования, сохраняя при этом низкую задержку для обеспечения хорошего взаимодействия с пользователем.

Компания AMD в партнёрстве с компанией Login VSI в 2021 году назад объявила о некоторых результатах тестирования производительности инфраструктуры VDI на базе процессорной платформе AMD EPYC3.

Login VSI имитирует типичную рабочую нагрузку бизнес-пользователя. При эталонном тестировании к серверу добавляются активные сеансы VDI. Сервер продолжает добавлять сеансы пользователей до тех пор, пока производительность процессора, либо время отклика и задержка не будет полностью исчерпаны.

При тестировании, Login VSI может распознавать, как выглядит образ конечного пользователя и создаёт рабочий процесс, который имитирует этот тип работы.

При тестировании сравнимых по стоимости процессоров Intel и AMD выяснилось, что AMD EPYC может обеспечивать вдвое больше число идентичных сессий VDI (509) при более чем вдвое большем числе ядер, чем Intel (240).

Рисунок 3. Генеральный директор AMD доктор Лиза Су представляет результаты сравнительного нагрузочного тестирования процессоров Intel Xeon и AND EPYC, сравнимых по стоимости (источник: Login VSI)

Рисунок 3. Генеральный директор AMD доктор Лиза Су представляет результаты сравнительного нагрузочного тестирования процессоров Intel Xeon и AND EPYC, сравнимых по стоимости (источник: Login VSI)

Заключение

Семейство HPE ProLiant Gen10 прекрасно подходит для приложений терминального сервера и виртуализации рабочих столов VDI за счёт следующих факторов:

  • При сравнимой цене с серверами на процессорах Intel, серверы на AMD могут поддерживать более чем вдвое большее число сессий, а также плавно масштабировать его;
  • Производительность двухпроцессорной системы HPE ProLiant DL385 Gen10 по цене однопроцессорного сервера за счёт большого число ядер обеспечивает поддержку большего количества терминалов инфраструктуры VDI на каждом сервере, что позволяет объединять рабочие задачи и сократить количество лицензий на меньшем числе серверов, что приводит к сокращению капитальных затрат;
  • Семейство серверов ProLiant Gen10 обеспечивает повышенную безопасность за счёт «доверия уровне чипов» (hardware root of trust).
  • Решение безопасности AMD Infinity Guard в процессорах AMD EPYC позволяет ещё больше повысить безопасность терминальных сессий VDI;
  • AMD EPYC™ 3 поколения имеет возможность шифрования оперативной памяти по алгоритму AES-128, причем шифрование практические не оказывает влияние на производительность сервера;
  • В сочетании с эффективным распределением нагрузки между ядрами процессоров, а также между модулями памяти и ввода-вывода, серверы семейства HPE ProLiant Gen10 идеально подходят для виртуализации и ресурсоёмких рабочих задач с вычислениями в памяти.