하드웨어 CPU 고려사항(Hardware CPU Considerations)

이 절에서는 vSphere 6.7과 함께 사용하기 위한 CPU에 대한 지침을 제공한다.

일반 CPU 고려사항

하드웨어를 선택할 때, vMotion™(DRS, DPM 및 기타 기능에 영향을 미침)과 VMware Fault Tolerance를 위해 VMware vSphere®의 CPU 호환성을 고려하는 것이 좋다. "VMware vMotion 및 Storage vMotion", "DRS(VMware Distributed Resource Scheduler)", "VMware Fault Tolerance" 등 참조.

사이드-채널 취약점

많은 현대의 CPU에서 집합적으로 "사이드-채널 취약점(Side-Channel Vulnerabilities)"으로 알려진 보안 취약점 부류가 발견되었다. 여기에는 Spectre, Meltdown, Foreshadow, L1TF 등으로 불리는 취약성이 포함된다. 이러한 취약점에 대한 완화 조치 중 일부는 성능에 상당히 영향을 미칠 수 있다. 이 주제의 복잡성뿐만 아니라 끊임없이 변화하는 특성 때문에, 이 책에서 완전히 다루지 않는다. VMware 제품과 관련된 이러한 취약성에 대한 최신 정보는 정기적으로 업데이트되는 VMware KB 문서 52245, 54951, 55636을 참조한다.

이러한 취약성은 시스템의 여러 부분에서 다양한 방법으로 완화될 수 있다. 취약성의 변종에 따라 하드웨어, 마이크로코드 또는 소프트웨어에서 완화(mitigation)가 발생할 수 있다.

하드웨어 완화

최근의 CPU 릴리스에는 성능에 거의 영향을 미치지 않고 이러한 취약성 중 일부를 해결할 수 있는 하드웨어 완화가 포함되어 있다. 따라서 이러한 CPU의 다른 측면에서의 성능 향상 외에도, 새로운 시스템에 대해 CPU를 선택하는 것은 특정 취약성에 대해 마이크로코드 또는 소프트웨어 완화가 필요한 구형 프로세서에 비해 훨씬 더 큰 성능 향상을 제공할 수 있다.

마이크로코드 완화

일부 사이드-채널 취약점은 마이크로코드로 완화할 수 있다. 마이크로코드는 CPU의 외부에서 볼 수 있는 명령 집합 아래의 CPU에서 실행되는 코드 계층이다. CPU와 함께 제공되는 마이크로코드는 BIOS 업데이트를 통해 또는 운영 체제를 통해 현장에서 업데이트될 수 있다.

ESXi의 일부 버전은 마이크로코드를 업데이트하여 특정 사이드 채널 취약점을 완화할 수 있다.

소프트웨어 완화

소프트웨어에서 일부 사이드-채널 취약점을 완화할 수 있다. 취약점에 따라 이러한 완화는 하이퍼바이저 수준이나 게스트 운영 체제 수준에서 이루어질 수 있다. 이러한 완화는 "ESXi의 사이드-채널 취약점 완화" 및 "게스트 운영체제에서 사이드-채널 취약점 완화"에서 설명한다.

하드웨어 지원 가상화

Intel®과 AMD의 프로세서는 대부분 가상화를 지원하고 성능을 개선하기 위한 하드웨어 기능을 포함하고 있다. 이러한 기능(하드웨어 지원 CPU 가상화, MMU 가상화, I/O MMU 가상화)은 아래에 설명되어 있다.

가상화 기술에 대한 자세한 내용은 다음 URL을 참조
https://www.vmware.com/techpapers/2009/software-and-hardware-techniques-for-x86-virtualiz-10036.html

하드웨어 지원 CPU 가상화(VT-x 및 AMD-V™)

VT-x(Intel processors) 또는 AMD-V(AMD processors)라고 하는 하드웨어 지원 CPU 가상화 지원은 민감한 이벤트와 명령어를 자동으로 트랩하여, 트랩 및 에뮬레이트 스타일 가상화를 가능하게 하며, 이러한 트랩 처리와 관련된 오버헤드를 줄일 수 있는 보조 기능을 제공한다.

버전 6.7부터 ESXi는 더 이상 소프트웨어 CPU 가상화를 지원하지 않는다.

하드웨어 지원 MMU 가상화(Intel EPT 및 AMD RVI)

AMD 프로세서의 경우 RVI(Rapid Virtualization Indexing) 또는 NTP(Nested Page Table)라고 하는 하드웨어 지원 MMU 가상화와, Intel 프로세서의 경우 EPT(Extended Page Table)이라고 하는 MMU 가상화는 MMU 가상화를 위한 하드웨어 지원을 제공하여 메모리 관리 유닛(Memory Management Unit) 가상화로 인한 오버헤드를 해결한다.

하드웨어 지원 MMU 가상화는 게스트 물리적 메모리를 호스트 물리적 메모리 주소에 매핑하는 추가 페이지 테이블 수준을 허용하므로 ESXi에서 섀도 페이지 테이블을 유지할 필요가 없다. 이로 인해 메모리 사용량이 감소하고 게스트 운영 체제가 페이지 테이블을 자주 수정하는 워크로드의 속도가 빨라진다. 하드웨어 지원 MMU 가상화는 대부분 워크로드의 성능을 향상시키지만, TLB miss를 서비스하는 데 필요한 시간을 증가시켜 TLB를 강조하는 워크로드의 성능은 감소시킨다.

그러나 이러한 증가된 TLB miss 비용은 "2MB 대용량 메모리 페이지"에 설명된 대로 게스트 운영 체제 및 애플리케이션이 대용량 메모리 페이지를 사용하도록 구성해서 줄일 수 있다.

버전 6.7부터 ESXi는 더 이상 소프트웨어 MMU 가상화를 지원하지 않는다.

하드웨어 지원 I/O MMU 가상화(VT-d 및 AMD-Vi)

하드웨어 지원 I/O MMU 가상화로 Intel 프로세서에서 VT-d(Directed I/O), AMD 프로세서에서 AMD I/O 가상화(AMD-Vi 또는 IOMMU)로 불리는 I/O MMU 가상화는 I/O DMA 전송 및 디바이스 인터럽트를 다시 매핑하는 I/O 메모리 관리 기능이다. 이 기능(엄밀히 말하면 CPU가 아닌 칩셋의 기능)은 가상 머신이 네트워크 카드, 스토리지 컨트롤러(HBA), GPU와 같은 하드웨어 I/O 디바이스에 직접 액세스할 수 있도록 할 수 있다.

하드웨어 지원 I/O MMU 가상화 사용에 대한 내용은 "DirectPath I/O"와 "SR-IOV(Single Root I/O Virtualization)"를 참조하기 바란다.

AES-NI 지원

vSphere 6.7에는 AES-NI(Intel의 Advanced Encryption Standard New Instruction Set)를 지원하는 하드웨어에서 성능이 크게 향상되거나 CPU 부하가 크게 감소하거나 둘 다 발생하는 기능이 포함되어 있다. 이 기능으로 최고의 성능을 얻으려면:

  • AES-NI를 지원하는 프로세서, 특히 AES-NI 구현이 더욱 최적화된 최신 프로세서 버전을 선택한다.
  • BIOS 버전이 AES-NI를 지원하는지 확인하십시오(경우에 따라 AES-NI 지원을 위해 BIOS 업그레이드가 필요할 수 있다).
  • BIOS에서 AES-NI가 사용하도록 설정되어 있는지 확인한다.

AES-NI를 지원하는 호스트는 기본적으로 호스트에서 실행 중인 가상 하드웨어 버전 7 이상의 가상 시스템에 노출된다. EVC(Enhanced vMotion Compatibility)를 사용하거나 CPU 마스크를 수정하여 원할 경우 변경할 수 있다(VMware KB 문서 1993 참조). AES-NI 패스스루를 사용하지 않도록 설정하는 것이 바람직할 수 있는 한 가지 상황은 AES-NI를 지원하는 호스트에서 그렇지 않은 호스트로 vMotion 호환성을 허용하는 경우다.

AES-NI를 사용하는 기능에 대한 자세한 내용은 "vSphere 가상 시스템 암호화 권장 사항", "VMware vMotion 권장 사항", "VMware vSAN"을 참조한다.

 


Revision #1
Created Wed, Jan 1, 2020 6:45 AM by ikhwan.koo
Updated Wed, Jan 1, 2020 8:05 AM by ikhwan.koo