Ally: OS-Transparent Packet Inspection Using Sequestered Cores
它的动机比较晦涩,对我而言。
我尝试把它说的很清楚。
类似于Deep Packet Inspection (DPI)之类的服务,需求量越来越大。
它可以为一些机构提供以下服务:入侵检测;监控员工;内容插入;性能监控;网络流的分类和管理等。
那么企业要安装此类DPI服务,是要付出代价的: 因为DPI对性能的要求比较高,并且要求对应用程序和操作系统透明。
所以呢,如果要在一个大型的数据中心里部署DPI服务的话,是非常谨慎的。一般需要保证整个数据中心的网络包的路径的出口和入口,都积聚在一个点上,然后呢,在这个集聚点上部署DPI。(还要考虑到尽可能的让网络包的路径不经过一些不在可信和安全范围内的设备和节点)
为了不让DPI对应用程序和操作系统造成非常大的影响,DPI一般需要有一个专门的软件和硬件的特殊定制的集合体,来尽可能的减小性能的损失,并且保证监控之类的功能顺利实施。所以呢,这个软硬件的集合体是非常昂贵的,并且扩展性和灵活性较差,似乎还对硬件有依赖。
基于以上考虑,作者提出了一个新的架构。它的核心idea就是:
把DPI部署在和应用程序一样的物理CPU上,不过这个CPU必须是多核的.DPI使用的是一个独立的核,应用程序使用其他核。这样做的好处就是,可以让DPI和应用程序共享CPU的缓存,以尽可能的减小对内存资源的需求。
Ally需要通过简单的修改硬件和固件的步骤,以便实现核独立,网络包捕获,以及DPI的功能隔离。
经过测试,发现Ally的额外开销很小,并且为企业节省了大批的米米。(这好像都是自圆其说)
阅读(813) | 评论(0) | 转发(0) |
