Nederland

13 Posts authored by: MrIntel

2012 TickTock Public.jpgIn lijn met de Tick-Tock filosofie heeft Intel recent de nieuwe Xeon familie van processoren geïntroduceerd. De platformen uit de nieuwe Xeon E5 familie zijn gebaseerd op het huidige 32nm productie proces, maar nu in combinatie met de Sandy Bridge microarchitectuur. Deze microarchitectuur zorgt voor een nog betere integratie van I/O, meer geheugen capaciteit, meer cores, meer cache, beter energieverbruik & beheer, en tot 80% betere prestaties!

 

Die verbetering in prestaties komt gedeeltelijk door de toevoeging van nieuwe instructies die floating point bewerkingen efficiënter uitvoeren. Het platform wat deze processoren huisvest is uitgerust met snellere I/O om al deze datastromen vrijelijk in- en extern te laten communiceren. Daarbij is hardware ondersteuning voor een aantal beveiligingsfuncties ingebouwd. Zoals u ziet zijn er een behoorlijk aantal nieuwe innovaties op het Xeon platform.

 


What’s in a name?


Voorheen werden de Xeon processoren met de cijferreeks 3000, 5000 en 7000 aangeduid. De nieuwe Xeon processoren komen met een aantal verschillende configuraties en verschillende sockets en krijgen een nieuwe naam. Dit is gedaan om het overzicht te behouden tussen de verschillende processoren. In navolging van de eerder gelanceerde Xeon E3 (voorheen 3000 serie) en de Xeon E7 (voorheen 7000 serie) worden de mainstream processoren (voorheen 5000 serie) vanaf nu aangeduid als de Xeon E5. Achter de bekende Xeon ´brand´naam komt nu een duidelijke indicator van de serie (E3, E5 of E7) gevolgd door vier cijferig nummer wat u in staat stelt om een aantal zaken over de processor in één oogopslag af te lezen. 2012 Xeon Processor Nmbr.jpgHet eerste cijfer vertelt u of deze processor in een single of multi (2-, 4-, of 8-) processor platform past. Het tweede cijfer geeft weer met welke socket de processor is uitgerust. (Een 8 is socket LS (westmere EX), een 6 is socket R en een 2 is socket H2). De laatste twee cijfers van (van de vier) geven de specifieke processor type weer.

 

Om alvast te faciliteren voor toekomstige processoren kan er in de toekomst een versie indicator (in de vorm van v1 v2 e.d.) worden toevoegd.

 

Innovaties op een rijtje


Zoals gezegd brengt Sandy Bridge een groot aantal voordelen met zich mee. De architectuur is t.o.v. de vorige Xeon 5000 familie flink veranderd. Even een kleine vergelijking om de verschillen duidelijk te maken. Allereerst is het maximaal aantal cores van 6 naar 8 gegroeid (per socket) en de last level cache groeit mee van 12 MB naar 20 MB. Nieuw zijn Advanced Vector Instructies afgekort AVX. Deze nieuwe instructies stellen een Xeon E5 processor in staat om het aantal floating point operaties per clock cycle te verdubbelen!

2012 XEON 5000 vs E5.png

De geintegreerde geheugencontrollers ondersteunen LRDIMMS en 4 (ipv 3) geheugenkanelen i.c.m. met het snellere DDR3-1600 (was DDR3-1333). Hierdoor wordt de geheugencapaciteit vergroot van 288 GB naar 768 GB.  De I/O controller ondersteunt nu  PCIe 3.0 en is in de processor geintegreerd. PCIe 3.0 is 2 tot 3x sneller dan PCIe 2, maar door de integratie is de I/O latency ook met 30% teruggebracht. Een tweede QPI link tussen de processoren op een maximale snelheid van 8 GT/s  (was 1 link op 6,4 GT/s) brengt de I/O bandbreedte over het algemeen naar een hoger niveau.

 

Bekende technology maar toch anders


Natuurlijk biedt de nieuwe Xeon E5 ondersteuning voor Intel hyperthreading technology (HT) en Virtualization technologie (VT). Ook Turbo boost technologie blijft bestaan, maar op de Xeon E5 processoren kan turbo boost technologie tijdens piek belasting heel even de processoren boven de maximale TDP laten werken. Dit kan doordat de Xeon E5 processor hele accurate thermal en power sensoren heeft. Een andere bekende technologie is Intel Nodemanager. Deze technologie geeft u realtime informatie over het actuele stroomverbruik van uw server, server rack of complete datacenter.
Door middel van een software console van een OEM of een power management oplossing van een software vendor kan u zelfs een limiet stellen aan het stroom verbuik (powercapping). Dit artikel bevat meer informatie over intel Nodemanager.

 

AESNI en Trusted Execution Technolgy zijn ook beide aanwezig in de nieuwe platformen. AESNI staat voor Advanced Encryption Standard New Instructions. Zoals u waarschijnlijk al vermoedt zijn dit een zestal nieuwe instructies die het versleutelen en ontsleutelen van data in hardware versnellen. Hierdoor gaat het versleutelen, of het comprimeren van een harde schijf of SSD vele malen sneller. Een ander gebruikersmodel is het ondersteunen van meer gebruikers via SSL op een webserver of het versnellen van data in database records. TXT staat voor Trusted eXecution Technologie. Deze technologie stelt u in staat om u tegen zogenaamde rootkit of blue-pill aanvallen te weren. Maar ook het beschermen van geheugen locaties, en het controleren van de integriteit van firmware,  hypervisors en virtual machines. Om dit mogelijk te maken is er wel extra software vereist van een 3de partij.  TXT werkt nauw samen met VT (virtualisatie technologie) en andere componenten in het systeem.

 

Intel Data Direct I/O technology (DDIO)


Een nieuwe technologie die zijn intrede doet op het Xeon E5 platform is DDIO. De combinatie van een Intel netwerkadapter en een Xeon E5 in uw server zorgen ervoor dat het geheugen niet meer geraadpleegd hoeft te worden voor I/O operaties (binnen een lokale socket). Een praktisch voorbeeld is dat data van een netwerkkaart direct in gelezen en geschreven kan worden naar de cache. Normaliter wordt in dit scenario eerst de data van de PCIe bus naar het geheugen gekopieert en dan naar cache. DDIO slaat dus een stap over in dit proces en dat heeft een drietal voordelen. DDIO vermindert I/O latency en geeft een betere I/O prestaties  en daarbij vermindert het ook nog eens het stroomverbruik.

 

De Intel Xeon E5 2600 processoren zijn in de volgende configuraties leverbaar:

 

SKU

Cores

Frequency

Cache

E5-2690

8

2.90

20M

E5-2687W

8

3.10

20M

E5-2680

8

2.70

20M

E5-2670

8

2.60

20M

E5-2667

6

2.90

15M

E5-2665

8

2.40

20M

E5-2660

8

2.20

20M

E5-2650

8

2.00

20M

E5-2650L

8

1.80

20M

E5-2643

4

3.30

10M

E5-2640

6

2.50

15M

E5-2637

2

3.00

5M

E5-2630

6

2.30

15M

E5-2630L

6

2.00

15M

E5-2620

6

2.00

15M

E5-2609

4

2.40

10M

 

Meer gedetailleerde informatie over de performance en de verschillende Xeon E5 processoren vindt u terug op http://www.intel.com/xeon

Het aanschaffen van IT infrastructuur is een éénmalige kostbare zaak. De terugkerende kosten zoals onderhoud en stroomvoorziening zijn (over tijd) grotere kosten-posten. Intel gebaseerde servers bieden u nu een optie om die laatste categorie kosten te beheersen of om uw server-capaciteit of continuïteit te verhogen. Ik doel hierbij op Intel intelligent power nodemanager (NM) technologie.

 

Intel intelligent power nodemanager (NM) technologie
Nodemanager is een technologie die gebruik maakt van een management console die met een management controller in een Intel gebaseerde server kan communiceren. Door middel van deze communicatie kan de systeembeheerder exact zien hoeveel stroom een individuele server of een rack server of een geselecteerde groep servers verbruikt. Dit is nuttig om inzicht te krijgen in het verbruik en de gerelateerde kosten. Er zijn een aantal andere oplossingen die u deze rapportage ook kunnen geven maar waar nodemanager zich onderscheidt is dat de technologie ook in staat is het stroom-verbruik per server te beïnvloeden. Door middel van deze technologie kan u dus een limiet voor het stroomverbruik per server, rack of datacenter instellen!

 

Dit filmpje legt kort uit hoe dit in zijn werk gaat

 

 

Zoals in het filmpje wordt uitgelegd, kleven er nog meer voordelen aan de mogelijkheid om stroomverbruik van een server te beïnvloeden. De dichtheid van servers (density) in een rack kan soms praktisch niet gehaald worden vanwege stroom en of thermische redenen. Aangezien het stroomverbruik gerelateerd is aan de warmteontwikkeling in een server en we dit nu kunnen beïnvloeden, kunnen we dus ook het verbruik limiteren met als doel een hogere dichtheid van servers in een rack te realiseren. Een andere toepassing is het verbruik van een server limiteren als er een stroom storing plaatsvindt om zodoende een langere periode op noodstroom voorzieningen te overbruggen.

 

Intel DataCenter manager (DCM)
Intel levert een kant en klare console die u instaat, stelt inzicht en controle te krijgen over uw infrastructuur. Dit product: Intel Datacenter Manager, kan naast de standaard IPMI commando’s die gebruikt worden voor de communicatie met de Intel gebaseerde servers ook andere protocollen (DRAC (Dell), iLO (HP) CLI en SNMP) overweg. Hierdoor heeft u dus met één console qua stroomverbruik inzicht over uw infrastructuur.  Deze technologie is reeds sinds de Xeon 5600, Xeon E7 en Xeon E3 gebasseerde producten beschikbaar. Een vereiste is wel dat deze systemen Windows Server 2003, -2008, RedHat Enterprise linux (RHEL) 5 of Novell SUSE Linux Enterprise Server gebruiken. De meeste systeem leverancier zoals Dell, HP en IBM leveren server systemen die nodemanager functionaliteit ondersteunen. Op deze pagina een overzicht. (bij twijfel even navragen bij uw systemleverancier of reseller)

Ook een flink aantal software leveranciers hebben producten die gebruik maken van Intel intelligent power nodemanager (NM) technologie. Op deze pagina een overzicht

 

Toekomstmuziek

Een toekomstig gebruikers model wat ik aan wil halen is het migreren van virtuele machines afhankelijk van stroomverbruik en of temperatuur. Door middel van de input sensoren kan zo intelligent de keuze gemaakt worden waar in uw datacenter de zwaarste applicaties gedraaid moeten worden. Hierdoor maximaliseert u dus het gebruik van uw infrastructuur en optimaliseert u de kosten. Deze functionliteit zal in de volgende generatie zijn intrede doen.

 

Voor meer informatie over Intel intelligent power nodemanager (NM) technologie verwijs ik u naar deze pagina: http://www.intel.com/content/www/us/en/data-center/data-center-management/intelligent-power-node-manager-general.html

 

Voor meer informatie over Datacenter manager is deze pagina een goed begin: http://software.intel.com/sites/datacentermanager/datasheet.php

Het zal u ongetwijfeld niet voorbij zijn gegaan dat Intel onlangs McAfee heeft overgenomen. Deze overname begint nu zijn eerste vruchten af te werpen, maar wat u wellicht niet wist is dat Intel en McAfee al voor deze overname gezamenlijk producten aan het ontwikkelen waren. In deze blog post wil ik even ingaan op de nieuwe familie van producten die binnenkort hun intrede zullen doen.

 

Een nieuwe realiteit
Het lijkt wel of er geen dag voorbij gaat zonder dat er weer melding wordt gemaakt van een nieuw lek in de beveiliging van een bedrijf of een instelling. Dezelfde technologie die ons zoveel mogelijkheden en voordelen geeft maakt ons allemaal nu ook kwetsbaar. Als we ons daarbij realiseren dat het aantal connected devices (aan het internet verbonden apparaten) in de toekomst alleen nog maar drastisch toeneemt dan wordt de noodzaak van een goede beveiliging nog belangrijker. Tot nu toe heb ik u waarschijnlijk niets nieuws verteld. Maar er is nog iets aan de hand. De manier waarop kwaadwillende (hackers) te werk gaan is aan het veranderen. Vroeger was het de hackers er vooral om te doen om een naam voor zich zelf te maken. De aanvallen waren merkbaar aanwezig en overduidelijk. Dat is nu niet meer het geval.

 

APT's

Steeds meer hackers maken gebruik van geavanceerde methodes om hun werkelijke doel (het bemachtigen van waardevolle informatie) te verhullen. Het verkrijgen en verkopen van die waardevolle informatie is ondertussen een zeer lucratieve markt geworden. De aanvallen (hacks) kunnen nu ook gericht worden op bepaalde segmenten, bedrijven of personen. Het venijnige aspect van dit alles is dat er nu aanvallen kunnen plaatsvinden die zo geraffineerd zijn dat ze niet gedetecteerd worden en zo ongestoord voor langere tijd hun gang kunnen gaan. Dit soort hacks hebben de afkorting APT gekregen dat staat voor “Advanced Persistent Threats”. APT’s zijn een verontrustende ontwikkeling die gelukkig door een nieuwe generatie beveiligings producten wel tegen gegaan kan worden. Daarvoor is wel een fundamentele verandering voor nodig en dat is nu precies wat Intel en McAfee met DeepSafe technologie willen bewerkstelligen.

 

DeepSafe_ov.jpg

 

De diepte in
Deepsafe technologie is een door hardware geaccelereerde beveiligings technologie die gezamenlijk door Intel en McAfee is ontwikkeld. Deepsafe technologie nestelt zich onder het operating systeem. Het is eigenlijk een beveiligings monitor op het laagste niveau. Deze nieuwe laag van beveiliging maakt gebruikt van Virtualisatie Technology in de processor. In plaats van deze technologie voor een traditionele hypervisor (of VMM) in te zetten, wordt dit nu gebruikt om een beveiligings monitor laag te implementeren die processor en geheugen stadia monitort. Deze laag kan dan bij detectie van overtredingen de uitvoering van code voorkomen en anti malware applicatie (agents) op de hoogte stellen van de overtreding. Dit mechanisme kan realtime beveiliging bieden, en proactieve beveiliging op kernel niveau.

 

McAfee Deep Defender is het eerste product dat gebruik zal maken van de DeepSAFE technologie om Malware te detecteren en systemen hiertegen te beveiligen. Dit product integreert met een reeks al bestaande McAfee producten (McAfee ePO en McAfee GTI).

 

Wilt u meer weten over DeepSAFE technologie dan is deze whitepaper een aanrader http://www.mcafee.com/us/solutions/mcafee-deepsafe.aspx

Meer informatie over McAfee Deep Defender is op deze URL terug te vinden http://www.mcafee.com/deepdefender

MrIntel

Client security

Posted by MrIntel Jun 5, 2011

Innovatie en beveiliging hebben een soort haat-liefde relatie met elkaar. Het één zit het andere altijd in de weg en vaak worden er dan ook concessies gedaan qua performance of qua beveiliging. Het beveiligen van client-platformen wordt vaak gezien als een noodzakelijk kwaad. De meeste basiszaken (zoals boot password, username/password ) worden vaak wel toegepast maar niet te drastisch. Het moet iets zijn wat de gebruikers niet ‘in de weg’ kan zitten, de gebruikerservaring speelt immers een belangrijke rol.

 

Het is opmerkelijk om te zien hoeveel en wat voor soort informatie we digitaal opslaan zonder al teveel te veel aandacht te besteden aan het beveiligen. Het maken van back-ups kan je overigens ook zien als een beveiliging maar dat laat ik hier even buiten beschouwing.  Ik doel in dit artikel vooral op het veilig stellen van de informatie in geval van misbruik. Er zijn veel redenen waarom het echt beveiligen van client-systemen slechts deels wordt uitgevoerd of achterwege wordt gelaten. Vooral in Nederland kijken we hier vaak heel ‘nuchter’ tegenaan. Vaak merk ik dat het te maken heeft met gebruikersgemak/impact, implementatie complexiteit, en ook regelmatig is het ook domweg luiheid of naïviteit. Geluiden zoals ik heb niets te verbergen, of wie wil mijn laptop nou stelen? hoor je dan vaak. De kosten van een laptop is waarschijnlijk het eerste waar je denkt maar de laatste tijd wordt steeds vaker en pijnlijker duidelijk dat data van wie of welk bedrijf dan ook wel degelijk interessant is. Voorbeelden zijn er genoeg. Identiteitsfraude, gijzeling van je eigen data, fraude met je creditcard gegevens, of toegang van een onbekende tot het bedrijfsnetwerk en zo kan ik nog wel even doorgaan. Er zijn genoeg overheids- en privacy-organisaties met legio voorbeelden (b.v. http://www.cbpweb.nlhttp://www.bof.nl)

 

Het beveiligingsprobleem wordt ook steeds groter. Steeds meer mensen maken gebruik van laptops, tablets, smartphones en allerlei andere apparaten om toegang tot hun data lokaal of via internet (in de cloud) te krijgen. Meer en meer informatie wordt nu ook gedigitaliseerd. Om nog maar te zwijgen over de opkomst van consumerization in IT (werknemers die zelf een eigen laptop uitkiezen en gebruiken als primaire werk computer). Dus voor kwaadwillenden wordt dit domein ook alleen maar interessanter.Er is al veel gezegd en geschreven over de noodzaak van informatiebeveiliging maar het goede nieuws is dat er bij Intel ook hele mooie technologie anno 2011 beschikbaar is om deze problematiek het hoofd te bieden.

 

Advanced Encryption Standard New Instructions

Encryptie is het eerste waar je aan denkt als antigif tegen al die personen die uit zijn op het bemachtigen van je data. Je kunt op veel manieren je data versleutelen er zijn veel programma’s gebaseerd op verschillende algoritmes en standaarden beschikbaar. Een gemeenschappelijke factor tussen al die programmatuur is dat sinds een aantal jaren steeds meer bedrijven en particulieren het AES (advanced Encryption Standard) algoritme gebruiken om data te versleutelen. Een andere overeenkomst is dat de versleuteling van de data een zware belasting voor de processor en harde schijf is.
Met de komst van AES-NI (Advanced Encryption Standard New Instructions) is daar verandering in gekomen.  Zes nieuwe instructies die vanaf de Westmere microarchitectuur geïmplementeerd worden, zorgen ervoor dat de meest zware en complexe instructies direct door de hardware worden afgehandeld. Er zijn verschillende manieren om gebruik te maken van AES en afhankelijk van de gebruikte methode en implementatie kan hierdoor het versleutelen van data met AES-NI soms wel 3 tot 10x sneller gebeuren!  Mocht je meer van AES-NI willen weten dan kan je hier wat meer informatie terugvinden:  http://software.intel.com/en-us/articles/intel-advanced-encryption-standard-instructions-aes-ni/

 

AntiTheftTechnology.jpgAnti Theft Technology (AT)

Anti Theft technologie is eigenlijk een verzamelnaam  voor  een aantal technologieën die helpen om misbruik tegen te gaan en het systeem tijdig volledig te blokkeren.  Doordat AT in hardware geïntegreerd is kan het voor het booten van het O.S. ingrijpen. Dit is het zogenaamde Pre Boot Authentication environment. Als AT geactiveerd wordt, valt het hele systeem terug in deze staat.  Er Kan dan niets meer met het systeem gebeuren - je ziet alleen een zwart scherm met een melding dat het systeem vergrendeld is. Anti Theft technologie is een zogenaamde policy engine die in de hardware is geïntegreerd en bestand tegen sabotage. Dus zelfs als je een nieuw O.S. installeert of een nieuwe harde schijf installeert of de boot volgorde verandert of de batterij v/d bios verwijdert dan nog grijpt AT in en blokkeert het systeem.  Mocht het systeem nu weer in uw bezit komen (of is uw werknemer zijn password vergeten) dan kan het systeem snel weer worden geactiveerd. Anti Theft technologie kan op meerdere manier detecteren dat er misbruik plaatsvindt. De policy engine kan tijdens het booten b.v.  een blokkade van het systeem activeren als het aantal voorschreven login pogingen, of het aantal login pogingen binnen een bepaalde tijd wordt overschreden. Ook kan er gekeken worden naar zogenaamde ‘check-ins’. Het systeem moet dan eens in de zoveel tijd zich melden bij een server op het netwerk/internet, als er een ‘check in’ gemist wordt (zelfs al is het systeem niet aan een netwerk verbonden) dan blokkeert het systeem. De policy engine kan ook reageren op een zogenaamde ‘poison pill’ via het netwerk. Bij het ontvangen van een dergelijk bericht met de juiste credentials blokkeert het systeem onmiddellijk. Ditzelfde scenario is mogelijk via een versleuteld SMS bericht over een mobiel  netwerk. En het werkt zelf als het systeem geen operating systeem of een nieuw operating systeem is geïnstalleerd (hiervoor is wel een specifieke 3G WLAN adapter vereist). Er is nog veel meer mogelijk met AT. Het bepalen van positie van het systeem (3G adapter vereist), of het weergeven van een zelf ingesteld bericht op het scherm of het afdwingen dat een gebruiker zijn windows login opnieuw uitvoert na een stand-by binnen een aantal pogingen en een bepaalde tijd. Een combinatie van voorgaande scenario’s is ook mogelijk.

 

Net zo belangrijk als het blokkeren van het systeem is het herstellen van het systeem. Dit kan heel gemakkelijk op meerdere manieren. Bijvoorbeeld door een vooraf bepaald lokaal wachtwoord in te tikken op het zwarte blokkade scherm (vergelijkbaar met een PUK code voor je GSM). Of door een eenmalige code die je kan aanvragen bij de systeembeheerder die deze kan genereren. Of via een speciaal versleuteld sms of IP bericht over het netwerk.

 

De Anti-Theft technologie kan je ook gebruiken om b.v. een laptop in een geblokkeerde toestand mee te geven aan een werknemer en deze pas op lokatie te ontgrendelen. Mocht de laptop dan tijdens de reis gestolen worden of in de verkeerde handen vallen dan is er niets aan de hand. Een ander idee is om de check-in timers zo in te stellen dat deze gelijkvallen met het aflopen van het contract met een stagaire of een tijdelijke werknemer. In onderstaand filmpje legt één van onze engineers in z'n vrije tijd uit hoe Anti Theft technologie in z'n werk gaat.

 

 

Om AT te activeren en in te stellen is een management console of service nodig.  Deze zijn beschikbaar via meerdere partijen. Kijk voor meer informatie eens op: http://antitheft.intel.com

 

Identity Protection Technology (IPT)

Een goede authenticatie controle zou een hele hoop beveiligingsproblemen uit de wereld helpen. Een gebruikersnaam en een (goed) wachtwoord zijn nu  ingeburgerd. Maar om daar nu een betere authenticatiecontrole te doen is een tweede authenticatieslag nodig die los staat van de eerste. Dit noemen we ‘2nd factor authentication’. In veel toepassingen wordt dit gedaan door een combinatie van iets wat je heb met iets wat je weet. Een veel voorkomend voorbeeld is een combinatie van gebruikersnaam & password (iets wat je weet) met een token (iets wat je heb). Je kent het waarschijnlijk wel van je bank of van je bedrijf als je moet inloggen op het netwerk via VPN. Het token kan vele vormen aannemen van een ‘app’ op je mobiele telefoon tot een SMS of een fysiek apparaatje met een klein schermpje wat een code weergeeft. Het token is een eigenlijk een ‘One Time Password’ (OTP) generator. Je kan dit password maar één keer gebruiken omdat de OTP maar een korte duur geldig blijft (max een paar minuten).  Een OTP wordt gegeneerd  op basis van een ‘shared secret’. Hierdoor is de OTP te verifiëren aan de ‘andere kant’ en daardoor is een verificatie dus mogelijk. Aan de tokens kleven voor- en nadelen. Een nadeel is dat tokens vaak maar een relatief korte OTP genereren (6 of 8 karakters lang). Ervaring leert dat langere OTP’s vaak leiden tot meer fouten in het overtikken en dus ten koste van de gebruikerservaring gaat. Andere nadelen zijn de kosten, administratie en fysieke locatie van tokens (soms hebben gebruikers meerder tokens nodig. Eén voor in de bureau la, één voor thuis en één voor in de tas).

 

Kort gezegd is Identity Protection Technology (IPT)  eigenlijk de integratie van het token in de chipset.
De technologie is ontwikkeld om toegang tot bedrijfsapplicaties en websites ( b.v. cloud diensten) met een 2nd factor authenticatie te vergemakkelijken. Door middel van ITP wordt de OTP nog steeds in hardware gegenereerd en is er dus nog steeds een 2nd factor authenticatie mogelijk. De gebruikersnaam en wachtwoord blijven het zelfde (iets wat je weet) maar de OTP generator (iets wat je heb) wordt dus nu je laptop. Geen token meer nodig. Dat scheelt allereerst in de aanschafkosten van de tokens. Maar het wordt ook veiliger. Er is een applicatie die de interface is tussen de IPT en de VPN client of b.v. een website. Hierdoor kan een gebruiker kiezen voor ‘silent operation ‘ waarbij de authenticatie plaatsvindt zonder dat de gebruiker het ziet. Of een ‘consent mode’ waarbij de gebruiker toestemming moet geven om een code te genereren en automatisch in te vullen, of ‘manual mode ’ waarbij de gebruiker zelf de OTP moet plakken en knippen. Het voordeel is dat de OTP’s nu een stuk langer kunnen worden (er hoeft niet meer overgetypt te worden) en dus de sterkte van de beveiliging een stuk beter wordt. Website als Ebay, paypal, Adobe, hebben de technologie al gebruik genomen, maar de technologie is beschikbaar voor iedereen om te implementeren in zijn eigen omgeving. Onderstaand filmpje legt het één en ander goed uit (demo begint op tijdcode 2:12).

 

 

Om IPT te activeren en in te stellen is een management console of service nodig. Deze zijn beschikbaar van meerdere partijen. Kijk voor meer informatie eens op: http://www.intel.com/technology/identityprotectiontechnology/index.htm

 

Anno 2011 is veel informatie digitaal en wij worden met z’n allen steeds mobieler. De noodzaak voor een betere beveiliging wordt steeds groter en bovenstaande technologieën kunnen je hierbij een flink eind op weg helpen. Uiteindelijk is de beste beveiliging natuurlijk gezond verstand bij het gebruik van uw laptop maar mocht het toch een keer fout gaan dan zorgen deze innovaties ervoor dat het dievengilde geen toegang tot uw informatie te krijgt.

 

Overigens AT, IPT en AES-NI zijn allemaal geïntegreerd in de nieuwe Core i5 en Core i7 vPro systemen.

De nieuwe XEON E7 processoren zijn geïntroduceerd en bouwen voort op het succes van de huidige Xeon 7500 processoren. Maar wat is er nu precies veranderd en wat voor voordelen levert dat u op?

Voordat ik u uit de doeken doe wat de Xeon E7 allemaal gaat brengen zou ik uw geheugen eerst even willen opfrissen betreffende de huidige stand van zaken.

 

Xeon 7500 (codenaam Nehalem-EX)


Enige tijd geleden introduceerde Intel de Nehalem microarchitectuur op de high end server platformen in de vorm van de XEON 7500 processor familie en de bijbehorende chipset. Dit bracht een hoop goede veranderingen naar het platform . Deze processoren zijn gebaseerd op het 45 nm productieproces en hebben maar liefst 2.3 miljard transistoren aan boord en daardoor werd het mogelijk om een cache van 24 MB en  8 cores per processor te huisvesten. De front side bus werd  vervangen door quick path interconnect (QPI), de geheugen controllers werden geïntegreerd in de processoren en werkt met DDR3 i.p.v. FBDIMMS. De maximale geheugen capaciteit van deze platformen groeide van 256 GB naar 1 TB. Daarbij werd het op dit platform ook mogelijk om 2, 4 of zelf 8 processoren direct met elkaar te koppelen.  In een vier socket systeem heeft u dan beschikking over 32 fysieke cores  en 64 Logische cores (dmv HT). In het geval van een 8 socket platform verdubbelen de cijfers naar respectievelijk 64 fysieke cores en 128 logische cores ! Veel systemen die gebaseerd zijn op de Xeon 7500 processoren en chipset vormen nu het hart van menig datacenter. Naast de traditionele applicaties voor dit soort platformen (ERP, CRM, Databases) is dit platform door zijn schaalbaarheid vooral ook toegepast als virtualisatie consolidatie platform.

BoxboroEX.jpg

 

Een nieuwe naamgeving

 

Nu we de huidige stand van zaken weer helder op het netvlies hebben kunnen we de vergelijking gaan maken met de nieuwe familie E7 Xeon processoren. Het eerste wat u zal opvallen is, dat de naamgeving van onze processoren is veranderd. Hierdoor wordt het makkelijker om in één oogopslag af te leiden wat voor soort een bepaalde E7 processor nu is.
(klik op het schema onderstaand voor een duidelijke uitvergroting)ProcessorNumbering.jpg


Xeon E7 (codenaam Westmere-EX)


Een Xeon E7 Processor is gebaseerd op het 32 nm productie proces en is backward compatible met het huidige Xeon 7500 platform.  De Xeon E7 bouwt voort op alle functionaliteit die al reeds in de Xeon 7500 aanwezig is. In zijn meest krachtige vorm beschikt één Xeon E7 Processor over 10 cores bijgestaan door 30 MB cache geheugen. De totale maximale geheugen capaciteit is nu verdubbeld  van 1 TB naar 2 TB.

Xeon_E7.png

 

Stroombesparingen in het geheugen


Het memory subsysteem is met de komst van de nieuwe processor familie uitgebreid. Oorspronkelijk was de 7500 scalable memory buffer (SMB - codenaam millbrook ) de enige SMB voor de Xeon 7500 processor. (Even ten overvloede:  Een SMB splitst een link tussen de geïntegreerde geheugencontroller in de processor en het geheugen op in meerdere geheugen kanalen waar per kanaal meerdere DIMM slots op aansluiten).  De Xeon E7 zal compatible zijn met deze chipset maar er komen twee varianten bij waarmee alleen de XEON E7 processoren mee overweg kan. De 7510 en de 7512 SMB. Deze zijn in functionaliteit gelijk met de 7500 maar bieden een aantal extra zaken. De 7510 biedt ondersteuning voor DDR3L modules (low voltage) en 32 GB DIMM’s. De 7512 is een speciale Low voltage uitvoering van de 7510 SMB en bespaart per SMB 1 tot 2 Watt extra. In zijn totaliteit valt hier afhankelijk van de geheugen configuratie dus aardig Watt te besparen.

 

Nieuwe beveiliging

 

Aan de processor architectuur zijn AESNI en TXT toegevoegd. AESNI staat voor Advanced Encryption Standard New Instructions. Zoals u waarschijnlijk al vermoed zijn dit een zestal nieuwe instructies die het versleutelen en ontsleutelen van data in hardware versnellen. Hierdoor gaat het versleutelen van een harde schijf of SSD vele malen sneller. Een ander gebruikersmodel is het ondersteunen van meer gebruikers via SSL op een webserver of het versnellen van data in database records. TXT staat voor Trusted eXecution Technologie. Deze technologie stelt u in staat om u tegen zogenaamde rootkit of blue-pill aanvallen te weren. Maar ook het beschermen van geheugen locaties, en het controleren van de integriteit van firmware,  hypervisors en virtual machines. Om dit mogelijk te maken is er wel extra software vereist van een 3de partij.  TXT werkt nauw samen met VT (virtualisatie technologie) en andere componenten in het systeem zoals de BIOS en de TPM (trusted platform module) in de chipset.

 

Andere noviteiten

 

Core power down C6 state
- verbetert powermanagement per core

DDDC - Double device data correct
- Memory RAS technology zorgt voor het opvangen van 2 bit fouten in een geheugen module

VT-X3 real mode adressering en ondersteuning voor 1 GB pages
- Zorgt voor betere virtualisatie performance door sneller te schakelen tussen virtual machines

(DAS) Directory Assisted Snoopy 
- Verbetert memory latency op 8 socket systemen of systemen met een node-controller.

 

Conclusie


Door al deze ontwikkelingen kan het prestatie niveau van het  7500 platform met de Xeon E7 processoren tot wel 40% verbeterd worden en als er Low voltage geheugen componenten worden gebruikt valt er zelfs nog een stroom besparing te realiseren.……..over ontwikkelingen gesproken, terugkijkend op oudere generatie processoren, is de technologische vooruitgang op deze platformen onvoorstelbaar. Ter vergelijking: een Xeon 7000 processor (codenaam Paxville) uit het jaar 2005 was gebaseerd op het 90 nm productieproces had 2 fysieke cores, 4 MB (L2) cache en verbruikte 165 Watt. De processor was verbonden via een front side bus die werkte op 667 of 800 MHz en RAS functionaliteit, virulisatie technologie, hyperthreading, en turbo boost technologie ontbrak. De maximale geheugen capaciteit in die dagen bedroeg 64 GB.Zes jaar later is met komst van de XEON E7 processoren het aantal cores per socket vervijfvoudigd en  de cache is 7 keer groter, geheugen capaciteit en bandbreedte zijn nu ook een veelvoud van toen, en RAS functionaliteit is alom aanwezig. Al deze ontwikkelingen bij elkaar maken het voor u mogelijk om uw zwaarste applicaties toe te vertrouwen aan een schaalbaar 7500 platform uitgerust met de nieuwe Xeon E7 Processor.

Vrij regelmatig krijg ik vragen over een bepaalde processor en de desbetreffende eigenschappen.

 

Er zijn een aantal tools beschikbaar op onze website om antwoord op dit soort vragen te krijgen.

Allereerst is er de processor number website die uitleg geeft over de opbouw van processor nummers.Vervolgens kan je dan op de 'Compare processors' (processoren vergelijken) link drukken om de specificaties te zien. Je komt dan uit op ark.intel.com deze site bevat alle informatie m.b.t. recent processor specificaties. (dit is een handige url om te onthouden/bookmarken !). Eventueel kan je ook verschillende processoren met elkaar vergelijken

 

Een collega wees me vandaag op een derde optie. Die is voor iedereen die een iphone of ipad heeft.

Via de itunes appstore is de intel boxed cpu decoder vekrijgbaar. Het is een handig programma wat snel inzicht geeft in processor specificaties.

MrIntel

De Intel Tick-Tock strategie

Posted by MrIntel Apr 7, 2010

Veel van de presentatie’s die ik regelmatig geef bevatten een aantal slides over het Intel tick-tock model. (http://www.intel.com/technology/tick-tock/index.htm). Het Tick-Tock model beschrijft een simpele maar effective methode om elk jaar nieuwe technologieen te introduceren in onze producten. Het is eigenlijk Moore’s Law in een nieuw jasje.  Het maakt onze productstrategie voor de nabije toekomst een stuk voorspelbaarder, wat voor u hopelijk weer wat meer overzicht en vertrouwen geeft.

Het idee voor deze benaming komt van een oude klok die d.m.v een pendule op gezette tijden tikt en tokt.... of op z’n Engels gezegd: Tick-Tock. Het model is een rode draad voor veel ontwikkelingen rondom onze producten. En dat vertaalt zich uiteindelijk in de nieuwe producten die nu d.m.v. Tick-Tock met gezette regelmaat op de markt verschijnen.

Het Tick-Tock model ziet er als volgt uit:

ticktock_public.jpg

Een Tick is een schaalverkleining van het productieproces met wat aanpassingen en toevoegingen aan de reeds bestaande microarchitetuur. Bijvoorbeeld de stap van 45 nm op Nehalem architectuur naar 32 nm op de Westmere architectuur. (zie hier een artikel over de verschillen tussen Nehalem en Westmere op server vlak)

Een Tock is een nieuwe microarchitectuur die significante nieuwe technologie introduceert. Na de introductie van Nehalem en de afgeleide Westmere architectuur is Sandy Bridge is de eerstvolgende nieuwe mircoarchitectuur.

Tick-tock is een simpel model met grote gevolgen. Door aan dit model vast te houden wordt het mogelijk om meerdere processoren te ontwerpen die in hetzelfde platformen passen en toch een flinke verbetering in prestatie, stroomverbruik en/of mogelijkheden/technologie beiden.

Geheel in lijn met het Tick-Tock model werd op ons afgelopen developer evenement IDF (Intel developer forum) weer het nodige aan nieuwe producten aangekondigd. Kijk zelf maar eens naar wat Tick-Tock ons in de toekomst gaat brengen.

Xeon 5600

Recent is de opvolger van de Xeon 5500 familie (Nehalem) Xeon processors geïntroduceerd: de Xeon 5600 familie (Westmere).  Deze generatie is gebaseerd op het 32nm productieproces en voegt een aantal verbeteringen toe aan het Xeon 5500 ontwerp & platform. Dat klinkt misschien niet als een spectaculaire verbetering - maar het tegendeel blijkt waar te zijn.

Anders maar toch hetzelfde
Geheel in lijn met de Intel Tick-Tock visie (meer daarover in een andere post)  is de Xeon 5600 gebaseerd op dezelfde architectuur als de Xeon 5500 maar het is verder verbeterd en geproduceerd op een nieuw productieproces. Hierdoor is de nieuwe processorfamilie compatible met de Xeon 55xx platformen en is er in de meeste gevallen alleen een bios upgrade nodig.
Dit is voor onze klanten een groot voordeel met het oog op standaardisatie .

In een notendop samengevat ondersteunt de Xeon 5600 :

-          Meer cores

-          Meer Cache

-          Meer Geheugen

-          Hogere kloksnelheden

-          Nieuwe instructies

-          En ondersteuning voor Low voltage DDR 3

 

 

 

Betere prestaties minder verbruik

Dit alles bij elkaar resulteert in een Xeon platform dat nog beter presteert tegen een lager stroomverbruik. De Xeon 5600 is beschikbaar als 6 en 4 core variant. Met hyperthreading ingeschakeld kunnen er in het ideale geval 12 threads tegelijk per socket afgehandeld worden. Verder is het cache geheugen gegroeid van 8 MB (op de Xeon 55xx) naar 12 MB. Daarbij ondersteunt de Xeon 5600 nu 2 Dimms per channel op volle snelheid en is het dus mogelijk om in een maximale bandbreedte configuratie meer geheugen op 1333 Mhz te adresseren. Daarbij komt ook nog eens dat de mogelijkheid om in een maximale geheugencapciteit configuratie 288 GB aan geheugen te adresseren, en dat is een vedubbeling t.o.v. de Xeon 55xx familie ! Het toevoegen van cores in de processor is dus in balans met de I/O op het platform.

 

 

Een andere interessante toevoeging zijn de Xeon 5600 low voltage processors, deze zijn leverbaar in 60 - of 40 watt varianten en in theorie is het dus mogelijk om deze toe te passen in een passief gekoeld chassis (‘fanless’ design). Het prestatieniveau liegt er ook niet om. Fujistsu, een van onze systeem leverancier partners, vergeleek het prestatieniveau van een L5650 (low voltage Xeon 5600 processor) ten opzichte van een X5570 (een standaard Xeon 5500 processor). De conclusie is dat de L5650 net zo goed presteert als de X5570 maar daarbij wel 30% minder stoom verbuikt. (Links naar test resultaten vind je hier en hier terug)

 

 

Last but not least heeft de Xeon 5600 een aantal nieuwe instructies aan boord. AESNI Instructies (advanced Encryption Standard New Instructions) versnellen de afhandeling van encryptie en ontcijfering van data.  Dit gebeurt steeds vaker bij b.v. credit card betalingen en SSL transacties. Door middel van AESNI kan een Xeon 5600 server b.v. meer SSL connecties afhandelen en sneller en harde schijf encrypten of decrypten. Een collega van mij heeft een intressante demo hierover op Youtube gezet en deze vind je hier.

 

 

Op onze Xeon 5600 product pagina (http://www.intel.com/itcenter/products/xeon/5600/)  staan een flink aantal benchmarks en zoals gezegd zijn er ook een aantal goede artikels online verschenen over de Xeon 5600. Een tweetal voorbeelden zijn een artikel van anandtech hier en van hardwareinfo hier.

 

 

De Xeon 5600 is beschikbaar in de volgende configuraties:

Processor Number

Intel® QPI Speed

L3 Cache

Processor
Base
Frequency

Max Turbo Frequency

Power

Number of Cores

Number of Threads

32nm technology

X5680

6.4 GT/s

12MB

3.33 GHz

3.6 GHz

130 W

6

12

X5677

6.4 GT/s

12MB

3.46 GHz

3.733 GHz

130 W

4

8

X5670

6.4 GT/s

12MB

2.93 GHz

3.333 GHz

95 W

6

12

X5667

6.4 GT/s

12MB

3.066 GHz

3.466 GHz

95 W

4

8

X5660

6.4 GT/s

12MB

2.8 GHz

3.2 GHz

95 W

6

12

X5650

6.4 GT/s

12MB

2.66 GHz

3.066 GHz

95 W

6

12

L5640

5.86 GT/s

12MB

2.26 GHz

2.666 GHz

60 W

6

12

L5630

5.86 GT/s

12MB

2.13 GHz

2.4 GHz

40 W

4

8

L5609

4.8 GT/s

12MB

1.86 GHz

1.866 GHz

40 W

4

4

E5640

5.86 GT/s

12MB

2.66 GHz

2.933 GHz

80 W

4

8

E5630

5.86 GT/s

12MB

2.53 GHz

2.8 GHz

80 W

4

8

E5620

5.86 GT/s

12MB

2.4 GHz

2.666 GHz

80 W

4

8

MrIntel

Itanium 9300 beschikbaar.

Posted by MrIntel Feb 12, 2010

Onlangs hebben we de 7de generatie van onze Itanium processoren gelanceerd. De nieuwe Itanium 9300 familie (tukwilla) biedt meer performance, schaalbaarheid en RAS functionaliteit (betrouwbaarheid) dan de voorgaande Itanium 9100 familie. De Itanium 9300 is een processor met 4 cores gebaseerd op het 65 nm productieproces en heeft meer dan 2 miljard transistoren aan boord ! Dit transistorbudget vertaalt zich in >2x de performance van huidige Itanium 9100 processoren.

Net na de launch is er ook wat nieuwe documentatie beschikbaar gekomen over de verschillen tussen de nieuwe en oude generatie Itanium processoren. Ik zal een aantal belangrijke punten in deze post behandelen. Voor degenen die het complete verhaal willen nalezen is hier (http://download.intel.com/pressroom/archive/reference/Tukwila_Whitepaper.pdf) een interessante whitepaper te downloaden met alle verschillen en details. (Ik heb deze whitepaper als basis voor dit artikel gebruikt) Een ander interessante bron van informatie is de Itanium 9300 “launch” presentatie die door onze VP Intel Architecture Group (IAG) Kirk Skaugen is gegeven. Na een korte registratie is een herhaling van die presentatie hier te bekijken http://intelfeb08.dynamicwebcasting.net/register/

Anders dan Xeon
Allereerst is het goed om even te begrijpen dat een Itanium processor op een compleet andere architectuur is gebasseerd dan de Xeon processoren. Itanium maakt gebruik van de EPIC (explicitly parallel instruction computing) architectuur. EPIC maakt een hoog niveau van ILP (instruction level parallelism) mogelijk, dit gebeurd in de compiler die ‘in-oder’ code voor de Itanium genereerd. In het geval van een Xeon (IA-32) processor regelt de hardware zelf ‘out of order’ het parallellisme. Verder heeft een Itanium meer execution units en een kortere pipeline, dan de Xeon (IA-32) architectuur en is er ook nog RAS functionalitieit aanwezig.

 

Als we de nieuwe itanium 9300 generatie vergelijken met de itanium 9100 processoren en platformen dan zijn performance, RAS en platform functionaliteit drastisch verbeterd.

 

Meer Performance
Buiten de verdubbeling van het aantal cores en een grotere cache met beter snooping-mechanisme heeft de nieuwe Itanium processor nu toegang tot DDR 3 geheugentechnology via twee geïntegreerde geheugencontrollers. Dit resulteert in ongeveer 6x de bandbreedte vs de frontside bus (FSB) implementatie in de Itanium 9100 ( 36 GB/s vs 5 GB/s). Een ander nieuwtje voor de Itanium processor is Turbo Boost technologie. Dat staat toe dat cores tijdelijk op een hogere kloksnelheid draaien wanneer andere cores in mindere mate gebruikt worden. Ook de systeem-interconnect is verandered van FSB naar QPI (Quick patch interface). QPI levert een bandbreedte van 48 GB/s vs 5 GB/s via FSB  (op basis van dual socket system). Dat is een factor 9 verbetering in beschikbare bandbreedte !

Meer RAS functionaliteit
Nog belangrijker voor dit platform is dat de nieuwe processor verbeterde circuits en registers heeft die beter beschermd zijn tegen soft errors. (Soft errors beïnvloeden de werking van transistoren d.m.v. straling alfa deeltjes, kosmische straling etc). En ook de introductie van error correcting code (ECC) en Intel cache safe technology wat nu ook second level cache en directory cache in de gaten houdt, dragen bij aan een hogere betrouwbaarheid van dit platform. Mocht er dan uiteindelijk toch iets defect raken dan zijn de processor, geheugen modules en I/O allemaal hot-pluggable.

Ander platform
Het platform zelf is ook flink onder handen genomen. Het is gebaseerd op de 7500 chipset. Deze chipset zal ook ingezet worden in het nieuwe (nog te introduceren) Nehalem-EX platform. En dat is meteen een groot pluspunt voor het Itanium platform, dat profiteert van het Xeon volume aandeel en de mogelijkheid om een system te bouwen met 8 ‘glueless’ sockets (zonder node-controller). Maar ook voor het Xeon-EX platform is het een voordeel aangezien het een flink aantal RAS functionaliteiten zal ‘erven’ van Itanium. Beide platformen zullen overigens in de toekomst als ‘mission critical’ bestempeld worden.

Er valt nog veel meer te melden over de Itanium 9300 zoals VT-i2 en de mogelijkheid om op een lager niveau te partitioneren of de enhanced machine check architectuur. Al deze informatie is te vinden op onze Itanium informatie pagina hier: http://www.intel.com/products/processor/itanium/index.htm

Binnenkort zullen de verschillende OEM’s (HP, Bull, NEC, Hitachi) hun producten op basis van de Itanium 9300 processor bekend maken. Er zijn overigens twee nieuwe Itanium OEM’s bijgekomen Inspur en Supermicro.

 

Een overzicht van alle nieuwe Itanium 9300 processoren hun specifieke eigenschappen is hier vinden:

 

http://www.intel.com/products/processor/itanium/specifications.htm

 

Vaak wordt mij gevraagd om eens uit één te zetten wat nu precies de beste geheugen configuratie voor een Xeon 5500 (nehalem) server is ? Die vraag kent verschillende antwoorden. Er zijn veel verschillende configuraties mogelijk en het hangt er met name vanaf wat de belangrijkste criteria zijn (performance, power, geheugen bandbreedte, kosten of RAS functionaliteit). Het Xeon 5500 platform maakt gebruik van DDR3 geheugen. Een belangrijk voordeel van DDR3 ten opzichte van DDR2 is dat het op een lager voltage werkt. (DDR3 = 1.5v, DDR2 = 1.8v).

Een Engelse collega van mij heeft een kort maar krachtig artikel geschreven waarin deze zaken duidelijk behandeld worden. Ik  heb met zijn toestemming deze blog post op dit verhaal gebaseerd zodat iedereen er z’n voordeel mee kan doen. 

1)      Hoeveel geheugen is er nodig ? De toename in het aantal cores per socket betekent in veel gevallen dat er ook een behoefte is aan meer geheugen capaciteit. Een goede duimregel is vaak het aantal ‘GB per core’ of ‘GB per socket’.

2)      In de initiële inschatting is het handig om DDR3-1066 als uitgangspunt te nemen

a.       Als er meer bandbreedte nodig is (ten koste van capaciteit) gebruik dan DDR3-1333

b.      Als er behoefte is aan meer capaciteit  (ten koste van bandbreedte) gebruik dan DDR3-800.

3)      Kies een processor die qua kloksnelheid het geheugen snel genoeg kan adresseren. In deze Xeon 5500 productbrief vind je een duidelijk overzicht. Op pagina 9 staat een tabel met de mogelijkheden.

4)      Probeer daar waar mogelijk de geheugen kanalen (memory channels) zoveel mogelijk te vullen en gelijkwaardig te verdelen. Zorg er dus voor dat de DIMM’s qua type, capaciteit en aantal overeenkomen.

a.       De meeste 2 socket xeon 5500 servers hebben 6 geheugen kanalen in het totaal (3 per socket). Als je de totale geheugen capaciteit afstemt op een veelvoud van 6 GB zal dat voor veel applicaties de geheugen performance optimaliseren.  Mits er natuurlijk genoeg capaciteit is.

b.      Het platform staat ook configuraties toe waarin verschillende capaciteiten en type DIMM’s gemixed en gematched worden. (hier hoeft het dus niet een veelvoud van 6 te zijn)

5)      Voor server applicaties is het raadzaam om gebruikt te maken van ECC geheugen, je moet wel even beslissen tussen registered of unbuffered DIMMS (RDIMM of UDIMM met ECC).

a.       RDIMM’s (registerd) bieden de grootste flexibiliteit in capaciteit and beschikbaarheid

b.      UDIMM’s (unbuffered) met ECC zijn kosteneffectiever bij lagere capaciteit (1GB of 2 GB)

Het is ten slotte altijd raadzaam om bij uw systeem leverancier navraag te doen welke configuraties ondersteund worden in de server die u heeft aangeschaft.

Deze blog post is een vervolg op een eerdere blog post die verder ingaat op Intel Virtualisatie Technology (VT). Het eerste deel is hier terug te vinden.

VT-d Virtualisation technology for directed I/O

Een direct gevolg van virtualisatie is dat het I/O verkeer binnen het systeem, maar ook (naar) buiten het systeem, toeneemt.  Er zijn immers meerdere guest o/s’en actief op het system die elk data verwerken, versturen en ontvangen.  De VMM wordt bij al deze I/O transacties betrokken, wat een extra belasting creëert voor de processor en waardoor het dataverkeer vertraagt. Er is dus sprake van overhead. VT-d adresseert dit probleem door de VMM in staat te stellen I/O kaarten toe te wijzen aan een individueel guest o/s.  Een I/O apparaat of kaart wordt een gedeelte van het geheugen toegewezen waar alleen het toegewezen guest o/s ook direct toegang tot krijgt. De VMM blijft nog steeds betrokken bij de transacties maar in (veel) mindere mate.

 

VMDq en VMDc vallen onder de VT-C paraplu benaming. VT-C bevat alle VT technologieen die betrekking hebben op netwerk verbindingen (connectivity)

 

Virtual Machine Device Queues (VMDq)

Het afhandelen van netwerkverkeer is een taak waar de VMM ook de regie op zich neemt. Alle pakketen die verzonden worden of in een guest o/s ontvangen, moeten door de VMM gesorteerd worden en ook weer van of naar het desbetreffende guest o/s of netwerkadapter gerouteerd worden. Dit is wederom een proces dat een belasting creëert voor de processor. Door middel van VMDq kan het sorteren plaats vinden op de Intel netwerkadapter in plaats dat de VMM de processor ermee belast. De VMM hoeft met behulp van VMDq alleen de routering van de pakketten nog af te handelen. Dit resulteert in een sneller afhandeling van het netwerkverkeer wat zich vertaalt in een lagere latency.

Virtual Machine Direct Connect (VMDc)

Door middel van VMDc wordt het mogelijk om een fysieke netwerkadapter onder te verdelen in meerdere virtuele adapters voor verschillende gues o/s’en. Een praktisch voorbeeld: er zijn 10 guest o/s’en actief op een server die elk een 1 Gb/s verbinding krijgen toegewezen op een fysieke 10 gb/s netwerkadapter. VMDc maakt gebruik van meerdere technologieën om dit voor elkaar te krijgen. VT-d wordt gebruikt om een netwerkpoort op de netwerkadapter toe te wijzen aan een specifiek guest o/s. Met behulp van Single Root I/O virtualisatie (SR-IOV) worden de fysieke poorten virtueel beschikbaar gemaakt voor meerdere guest o/s’en (dit wordt ook wel een Virtual Function (VF) genoemd). Omdat VT-d gebruikt wordt voor de directe adressering van guest o/s’en en de I/O hardware, wordt de VMM en dus ook de processor minder belast en de netwerk bandbreedte efficiënter gebruikt. Anders vertaald kan je dus stellen dat door middel van VMDc de consolidatie- ratio van guest o/s’en op een server verder omhoog gedreven wordt.

Ik hoopt dat de voordelen van Intel virtualisatie-technologie na het lezen van deze post wat inzichtelijker zijn geworden. VT is zoals gezegd eigenlijk een paraplubenaming voor een aantal specifieke technologieën die zijn ondergebracht in onze platformen.  In de toekomst zullen bovenstaande zaken zeker aangevuld worden met nieuwe technologieën en mogelijkheden waar ik dan zekere weer een post aan zal wijden.

Onderstaand nog wat links naar webpagina's waar meer informatie over dit onderwerp te vinden is:

http://www.intel.com/technology/virtualization/server/

http://www.intel.com/technology/virtualization/resources.htm?iid=tech_vt_server%20down_rsrc

 

En als afsluiting een filmpje waarin de geschiedenis en een aantal basis zaken aan het worden uitgelicht.

Virtualisatie is een onderwerp waar veel aandacht voor is en met goede reden. Door middel van virtualisatie zijn immers voordelen te halen op het gebied van consolidatie, flexibiliteit en beschikbaarheid. De gebruikersgraad van de beschikbare infrastructuur wordt verhoogd en door de eerder genoemde consolidatie is er ook nog veel te winnen in stroomverbruik en performance.  De voorbeelden zijn legio en de één nog dramatischer (in positieve zin) dan de ander.

In deze post wil ik even inzoomen op de voordelen van Intel virtualisatie technologie (afgekort VT). VT is eigenlijk een paraplubenaming voor een aantal specifieke technologieën die zijn ondergebracht in onze platformen.  Samen zorgen ze ervoor dat bepaalde delen van het virtualisatieproces d.m.v. hardware-ondersteuning versneld worden. De processor wordt op deze manier ontlast van deze taken en dus beter beschikbaar voor zijn hoofdtaak: het uitvoeren van uw taken! Intel werkt nauw samen met VMware, Microsoft, Citrix, Parallels, en de open source gemeenschap om deze technologieën een breed draagvlak te geven in de oplossingen die deze softwarefabrikanten verkopen.

VT heeft betrekking op de processor, de chipset en alle I/O (input/output). We zullen dit rijtje even aanhouden om een onderverdeling te maken. De onderliggende technologieën/instructies gaan nogal diep en ik beperk me even tot het bespreken van een aantal hoofdzaken in een simpelere vorm (anders wordt dit een hele lange post).

Processor

  • VT-x
  • VT Flexpriority
  • VT Flexmigration
  • VT Extended Page Tables

Chipset

  • VT-d Virtualisation technology for directed I/O

Network

  • Virtual Machine Device Queues (VMDq)
  • Virtual Machine Direct Connect (VMDc)

Processor VT-x

VT is de basis van alle hardware-optimalisaties voor virtualisatie. In de processor zijn er twee varianten van VT te onderscheiden: VT-i (t.b.v de Itanium (EPIC) architectuur) en VT-x (voor de Xeon (IA-32/x86) architectuur. In deze post zal ik me even richten op de VT-x (mocht je geïnteresseerd zijn in de verschillen tussen de twee kijk dan even hier: http://software.intel.com/en-us/articles/how-to-solve-virtualization-challenges-with-vt-x-and-vt-i/).

VT-x voegt kort gezegd eigenlijk 2 nieuwe processor operatie modus toe. Anders gezegd kan de processor nu onderscheid maken tussen het uitvoeren van een taak voor een guest o/s (ook wel virtual machine genoemd) en de virtual machine monitor. Voortaan zal ik dit afkorten als VMM (ook wel hypervisor genoemd).

Het voordeel hiervan is dat het guest o/s en de applicaties nu ‘denken’ elk op een eigen fysiek hardware platform te draaien. Voorheen realiseerde de VMM dit door in software instructies en data tussen het guest o/s en de VMM te ‘trappen’ en te ‘patchen’.  Nu gebeurd dat deels doormiddel van VT in hardware en daardoor is  er een voordeel in prestatie en stabiliteit  te behalen. De VMM is en blijft echter nodig om de regie te handhaven.  Voor de duidelijkheid: VT maakt een VMM dus niet overbodig, de twee werken samen. VT speelt een ondersteunende rol aan de VMM.

Om VT te bewerkstelligen zijn er twee (nieuw) modi van ‘operation’ aan de processor toegevoegd. Een VMX root operation en een VMX non-root operation. De virtual machine monitor (VMM) draait altijd in een VMX root operation en draait zijn guest O/S’en in een VMX non root operation modus. Beide modi ondersteunen de vier privilegeniveaus van executie maar de non-root modus is iets beperkter. Hierdoor kunnen zowel de VMM  als het guest o/s hun instructies uitvoeren op het daarvoor bestemde ringniveau  met bijgaande privilege.

Door de introductie van bovenstaand verhaal zijn er ook twee nieuwe transities bijgekomen. De zogenaamde VMentry (van root operation naar Non-root operation, dus van VMM naar guest o/s) en VMexit (van non-root operation naar root opertation – van guest o/s naar VMM)

VT-x zorgt er nu voor dat er sneller geschakeld kan worden tussen de VMM en het guest o/s. Dit wordt immers nu deels in hardware gedaan door bovenstaande instructies. De VMM houdt  natuurlijk wel de regie over het geheel.

Processor VT-Flexpriority

Een onderdeel van VT-x is VT flexpriority. Deze technologie heeft betrekking op de interrupt afhandeling in een gevirtualiseerde omgeving. Wanneer een processor een taak uitvoert, krijgt deze vaak een interrupt (of een verzoek daartoe) van andere taken die aandacht verdienen. Interrupts hebben een verschillende prioriteit en er is een speciaal hardware register (het zogenaamde Task Priority Register-TPR) waarin de prioriteit van de interrupts wordt bijgehouden. VT flexpriority maakt een virtuele kopie van de TPR die direct (zonder tussenkomst van de VMM) door het guest o/s gelezen kan worden. Dit geeft een behoorlijk boost aan de performance van het guest o/s, zeker als er vaak een beroep gedaan moet worden op de TPR.

Processor VT-Flexmigration

VT flexmigration speelt in op de mogelijkheid om virtualisatie te gebruiken bij de migratie van  een guest o/s van de ene fysieke server naar de andere. Voorwaarde hierbij was altijd een gelijkwaardige fysieke omgeving (dit ging tot het niveau van CPU steppings).  VT flexmigration stelt de VMM In staat om zich te beperken tot een bepaalde instructieset van de processor. Zo kan een migratie plaatsvinden van een oud naar een nieuw platform (zonder downtime). Kanttekening hierbij is dat altijd de instructieset van het systeem waar de originele  guest o/s vandaan kwam, gehanteerd zal worden. Nieuwe Instructies die eventueel beschikbaar zijn op het nieuwe platform, kunnen voor dat specifieke guest o/s dus niet gebruikt worden.

Processor VT Extended page tables (EPT)

De VMM beheert het geheugen voor alle guest o/s’en. Maar de VMM houdt ook voor elk Guest o/s een aparte geheugenadministratie bij. Voor het gemak zal ik deze benoemen als GuestOS-Memory & VMM-Memory. Met behulp van EPT kan een Guest o/s direct zijn geheugen (GuestOS-Memory) adresseren naar het fysieke geheugen zonder dat de VMM een vertaling moet maken naar het geheugen in de VMM-Memory pool. Dit scheelt een hoop tijd en processor-cycles aangezien de VMM niet elke keer geraadpleegd hoeft te worden voor het adresseren van geheugen.

De chipset en netwerk virtualisatie features behandelen we in de volgende post.

MrIntel

De toekomst volgens Intel

Posted by MrIntel Sep 4, 2009

De eer is mij te beurt gevallen om als één van de eersten een blog post te schrijven op onze nieuwe website. Lang deze weg zal ik (samen met mijn collega’s) allerlei relevante informatie posten om jullie op de hoogte te houden van ontwikkelingen rondom ons bedrijf.

Voordat ik de aftrap, geef wil ik nog even wat over mezelf vertellen. Ik ben 14 jaar actief in de IT markt en nu dik 9 jaar werkzaam bij Intel. In die tijd heb ik verschillende technische rollen binnen Intel vervuld. Zodoende heb ik meegeholpen om vele en verschillende Intel producten en technologieën in de lokale markt te introduceren. Momenteel ben ik als Enterprise Technology Specialist (ETS) actief. Een interessant aspect van deze functie is dat je wordt blootgesteld aan de laatste ontwikkelingen binnen ons bedrijf. In onze industrie zijn we sterk gericht op de toekomst en dat leek me dus wel een leuk onderwerp om mee te openen.

Om een goed beeld te krijgen van ontwikkelingen in de nabije toekomst probeer je natuurlijk de  verschillende publicaties (zowel geschreven of online) te volgen. Maar ook Intel biedt de mogelijkheid om in de nabije en minder nabije toekomst te kijken. Elk jaar organiseren wij een evenement waar we samen met de rest van de industrie de laatste producten en technologieën demonstreren en waar we de visie voor de toekomst uitstippelen. Onze eigen techneuten de architecten, engineers, principal engineers, fellows en executives praten een paar dagen lang over de voortgang in techniek.

Dit evenement is het Intel Developer Forum, kortweg: IDF. Ik heb IDF vaak bezocht en elke keer was ik onder de indruk van de onderwerpen en demonstraties. IDF wordt ook weleens het ‘geek’ feest van de industrie genoemd. Iets waar we ons als Intel niet voor schamen.

De eerste volgende IDF vindt binnenkort plaats in San Francisco en het belooft weer een interessant evenement te worden. Ik verwacht dat we het publiek zullen inlichten over de stand van zaken omtrent onze volgende stap in Moore’s law de schaalverkleining naar 32 nm. Dit zijn de Westmere familie van producten voor server, desktop en mobiel gebruik. Ook zal er meer bekend worden gemaakt over de volgende grote stap in de transitie van GHz naar Multi-core, het nieuwe Nehalem-EX server platform. Dit platform introduceert Quick Path Interface (QPI) in het segment en biedt plaats aan 64 Dimms. Elke processor voor dit platform heeft 8 cores (!) per socket en ondersteunt d.m.v. hyperthreading 16 Threads per socket. Omgerekend 64 threads per systeem. De windows taskmanager ziet er dan ongeveer zo uit:

NHMEX TASKMAN.JPG

IBM demonstreerde onlangs een 8 socket variant van dit platform. Dat platform ondersteunt maar liefst 128 Threads !

Een andere interessante ontwikkeling is Larrabee. Dit is een nieuwe programmeerbare multi-core microarchitectuur.  Pat Gelsinger (onze Sr VP & co general Manager van de Digital Enterprise Group - DEG) heeft in dit filmpje al laten weten dit onderwerp in zijn keynote aan te snijden. Traditioneel is de laatste dag van IDF gewijd aan Research. Onze CTO (Justin Rattner) heeft ook al in een filmpje verklapt waar zijn keynote over zal gaan.De toekomst van visueele ervaringen in 2015.

Zoals gezegd kijken we in onze industrie graag vooruit en er zijn dus genoeg interessante onderwerpen in het verschiet om over te bloggen. Als je er graag zelf eens bij bent, neem dan een kijkje op www.intel.com/idf . Wie weet ontmoeten we elkaar dan nog eens 

Filter Blog

By author:
By date:
By tag: