[開箱文] 以 x86 AMD EPYC 處理器加密！硬體資源如何提高虛擬化性價比？

[開箱文] 以 x86 AMD EPYC 處理器加密！硬體資源如何提高虛擬化性價比？

我想大家都知道處理器的主要作用是邏輯運算，然而當面對著蜂擁而至的資料運算工作時，單靠處理器是無法應付的！傳統上這些資料會先經過記憶體作暫存，然後才會經由處理器讀取；當運算有了結果後，便會先傳回記憶體，最後才將資料存放於硬碟之中，直接節省由處理器存取硬碟的時間。

明白到這種運算過程的決策者，往往在處理硬碟相關事宜上都會相當嚴謹！一般情況下，當硬碟正在使用時我們都會以加密方式處理；倘若硬碟遺失了，至少硬碟仍有加密作保護，第三方不能讀取到硬碟之中的資料。但是大家有沒有想過從處理器加密記憶體？

出現這種想法的原因是基於安全考慮。這是因為現時駭客都會針對處理器作入侵，換句話說病毒都可進入到處理器，而沿用傳統方式，駭客很容易便可偷取記憶體資料，令硬碟加密形同虛設；另外大家可別忘記！在虛擬化遷移過程之中，往往都需要處理器及記憶體的配合，過程中駭客亦可輕易針對處理器偷取資料，因此業界便對此作出研究，最終得出解決辦法。

硬體資源提升、滿足 ROI 需求

除了安全性考慮之外，現時企業應用混合 IT 環境 (Hybrid IT) 亦非常普遍，其中一定會有虛擬化的存在，雖然以一台伺服器運行多台虛擬機器能降低投資，但購買虛擬化授權也相當昂貴，假如能夠降低在處理器及記憶體方面的投資，長遠來看，節省得來的資金應足夠購買一台伺服器虛擬化授權了！

提到混合雲，最近 HPE ProLiant系列又有新型號 DL385 Gen10，今次 HKITBLOG 率先試用並為大家送上開箱文。

除了裝著伺服器之外，還有兩個細紙皮盒，分別裝著伺服器前蓋和 HPE iLO Advanced license 7×24 支援，以及兩條電源線供給內置的備援電源火牛使用。

現時 HPE ProLiant DL385 Gen10 主攻混合 IT 環境 (Hybrid IT)，並以 Agility (敏捷)、Security (安全性)、Economic control (成本控制) 為賣點，而敏捷與成本控制是息息相關的，因為要有一台良好的敏捷伺服器，取決於投資多少於硬體資源上，但是 HPE ProLiant DL385 Gen10 的硬體資源更具彈性，當中能同時支援企業在內部和私有雲部署 HPE ProLiant DL385 Gen10，隨需決定部署方式，更具靈活性。

其 x86 架構是以 AMD EPYC 處理器系列為主，而一顆 AMD EPYC 處理器最高支援 32 核心(兩顆達到 64 核心)和 LRDIMM 記憶體最高支援 4TB 容量，在 2017 年 10 月，因應其他廠商同一級別的型號作出了虛擬機器資源比較，AMD EPYC™ 7601 比較 Intel® Xeon® Platinum 8176 處理器核心數量高出 14%；HPE ProLiant DL385 Gen10 比較 Lenovo Think System SR650 記憶體多出 33% 容量；Dell PowerEdge R740xd 記憶體最高支援 3TB 容量，但是這台伺服器不能夠支援 128GB LRDIMM，屈指一算，即每台應用於虛擬化環境的虛擬機器能夠節省達 25% 成本！

可能你會問，為甚麼能節省這麼多成本呢？

首先看一下記憶體插槽方面，其好處是能夠安裝 32 條 64GB 記憶體，比較只能夠安裝 12 條 128GB 記憶體和 8 條 64GB 記憶體的伺服器，以及全部使用 128GB 記憶體，便自然會昂貴一些，但整體來說，基於規劃中的配置和價錢，HPE ProLiant DL385 Gen10 的成本效益能達到更高。

另外，AMD EPYC 系列的性價比亦相當之高！往後即使用作運行資料庫、數據分析和 HPC (High-performance computing) 亦可應付自如，而從企業角度看來，其 ROI 亦較容易計算。

打造更安全伺服器、讓企業資料萬無一失

在安全性方面，上面都有提及過關於處理器入侵風險問題。而今次介紹的方案便於其 AMD EPYC 處理器晶片之中增添了 SME (Secure Memory Encryption) 及 SEV (Secure Encrypted Virtualization) 兩種記憶體加密技術，而這兩種技術需要額外加入，因應客戶所需而定。SME 顧名思義是用來加密系統記憶體，而 SEV 便是處理虛擬機記憶體加密，提供 AES-128 加密演算法，為你的資料加入多一重保障。

除了 AMD EPYC 處理器能夠處理加密之外，HPE Silicon Root of Trust 與 AMD EPYC 處理器之間的韌體層級亦建立起互信關係，因此 HPE BIOS啟動過程一定要有 AMD EPYC 處理器作驗證。萬一 HPE Silicon Root Trust 系統遭受破壞，只要執行回復程序即可將整個 HPE Silicon Root Trust 系統還原。

現今企業在混合 IT 環境之中整合公有雲亦十分常見，當作出這種部署方法時，我們便有可能需要把內部和私有雲的虛擬機器遷移到公有雲，因此安全性非常重要。

現時 VMware、Microsoft、Carbonite Move 均提供虛擬化遷移加密過程，不論是 Intel 或 AMD 處理器的伺服器也可以支援，只要雙方都是 x86 架構伺服器便可。

開箱實測對應 VMware ESXi 6.5作硬體資源負載

上面已經介紹過 HPE ProLiant DL385 Gen10 的處理器及記憶體如何在虛擬化得到最好的成本控制，今次小編借了這台 2U 伺服器，主要是測試於 VMware ESXi 6.5 之中部署多台虛擬機器，然後利用 BurnInTest 軟體一同測試處理器和記憶體的負載；同時亦會檢查 VMware ESXi 6.5 會否出現資源效能問題。我們先了解一下這台 HPE ProLiant DL385 Gen10 的處理器、記憶體、硬碟資訊，其後再作負載測試。

處理器安裝了兩顆 AMD EPYC 7451 24 核心，在底板的左右兩邊，因為要有良好的散熱關係，被 Heatsink 遮住看不見。

記憶體最大容量可支援 4TB，總共 32 條插槽位置，而這台伺服器的記憶體總共安裝了 2 條，每條記憶體為 32GB 容量，總容量合計為 64GB。

而硬碟安裝了三顆 600GB SAS，因為運行了 RAID 5 作資料保護的關係，總共儲存量大約有 1.2TB。

於 VMware ESXi 6.5 之中部署 4 台 Windows 2016 虛擬機器，分別是 Windows 2016 (01) 至 Windows 2016 (04) 。

每一台 Windows 2016 虛擬機器的虛擬處理器配置為 8 vCPU 及虛擬記憶體配置為 16 GB，而虛擬硬碟配置為 40 GB。

然後先下載 BurnInTest 軟體，並且設定 Test selection and duty cycles 為 CPU 及 Memory 到 100，這表示測試最高點的負載。

因為負載測試需要些時間，小編大約會用 5 分鐘作測試，而 BurnInTest 軟體執行時的 Duration 時間便是計算時間。

小編於 4 台 Windows 2016 虛擬機器執行了 BurnInTest 軟體，而得出負載的結果介乎 CPU 100% 及 Memory 88% 至 96%。

返回 VMware ESXi 6.5 的 Host 版面，檢查一下 Host 本身的總負載，而得出的結果是 CPU 為 32.09% 及 Memory 為 61.61GB，並且沒有任何警告通知，這代表沒有出現負載過量的情況。

在今次實測 HPE ProLiant DL385 Gen10 後，小編認為虛擬化真的能為企業帶來了最好的成本控制，事關測試期間，兩顆 AMD EPYC 7451 24 核心使用量還綽綽有餘，而64 GB記憶體還只差些少才能盡用，如果往後真的想添加記憶體，只要微調一下記憶體，購買適當容量便可解決效能問題，擁有如此高靈活性加上極大的成本效益，是最為吸引小編的地方。