基于飛騰 CPU 的自主可控存儲

０引言在國家科技實力不斷發(fā)展的今天，面對國產(chǎn)化替代的發(fā)展趨勢，在國家的政策推動下以及各黨政軍民的市場作用下，各行業(yè)客戶對自主可控的國產(chǎn)化產(chǎn)品有了迫切的需求。自主可控技術(shù)的發(fā)展對國家信息安全建設(shè)起到了核心支撐作用。而數(shù)據(jù)安全是信息安全的核心組成部分，是信息產(chǎn)業(yè)體系安全可控的保障。存儲作為數(shù)據(jù)的最終載體，它對于網(wǎng)絡(luò)安全來說是一道必須守住的“底線”。一方面，由于存儲系統(tǒng)有層層技術(shù)壁壘，核心軟硬件具有較高的技術(shù)門檻；另外一方面，由于歷史原因，存儲系統(tǒng)的核心軟硬件技術(shù)是被少數(shù)幾家國際存儲巨頭所掌控，而且存儲相關(guān)的標(biāo)準(zhǔn)制定也深受歷史發(fā)展策略的影響。為了守住底線，突破技術(shù)壁壘，打通上下游，進行自主研發(fā)，本項目以飛騰CPU為基礎(chǔ)，自主研發(fā)的安全可信的存儲系統(tǒng)為核心，實現(xiàn)對關(guān)鍵數(shù)據(jù)的保護和加密。自主可控存儲系統(tǒng)是國產(chǎn)存儲發(fā)展歷史上的一個里程碑，它實現(xiàn)了從硬件架構(gòu)、軟件系統(tǒng)再到核心算法的自主可控，并且能夠真正形成產(chǎn)品市場落地與應(yīng)用。１總體介紹存儲作為數(shù)據(jù)安全的重點，本項目通過自主研發(fā)（硬件架構(gòu)、軟件系統(tǒng)和核心算法）來解決長期以來困擾我國信息安全基礎(chǔ)建立在“沙灘上”（IT系統(tǒng)設(shè)備主要都是依賴國外進口）的問題，通過底層系統(tǒng)植入安全可信的模塊解決安全“打補丁”的問題，深度解決數(shù)據(jù)的安全存儲的保障問題。目前研發(fā)的基于飛騰CPU的自主可控存儲（如圖1所示），為數(shù)據(jù)安全的保障提供了一款高效、安全、可控的技術(shù)選項。更為重要的是，研發(fā)的自主可控存儲系統(tǒng)在國產(chǎn)化的同時，在性能、可靠性及功能上完全不遜色于國際巨頭的產(chǎn)品。

圖1基于飛騰CPU的自主可控存儲硬件實體產(chǎn)品系統(tǒng)設(shè)計適合各種對數(shù)據(jù)可靠性及性能要求較高的存儲應(yīng)用，如中小型數(shù)據(jù)庫、中小型醫(yī)院核心業(yè)務(wù)系統(tǒng)（HIS、LIS等）、新媒體制作、視頻非線編、高清視頻監(jiān)控、高清制作網(wǎng)、高性能計算、私有云環(huán)境下云計算等，并廣泛應(yīng)用于政府、大中型企業(yè)、能源、交通物流、醫(yī)療、國防、新媒體、廣電、影視特效制作等行業(yè)。２系統(tǒng)架構(gòu)整個自主可控存儲體系設(shè)計按照國際通用標(biāo)準(zhǔn)設(shè)計，從前端的SAN和NAS統(tǒng)一架構(gòu)，到國際通用的控制器雙活模式等全部按照標(biāo)準(zhǔn)中端存儲設(shè)計。如圖2所示，硬件架構(gòu)上采用雙控制器架構(gòu)，控制器使用飛騰1500A16核處理器，控制器之間采用PCI-Ex8的鏈接；控制器和硬盤之間通過SAS接口相連，兩個控制器可以同時訪問同一組硬盤，從而在硬件上支持高可靠。

圖2自主可控國產(chǎn)唯一一體化統(tǒng)一存儲架構(gòu)在高可用的硬件架構(gòu)上，本產(chǎn)品從軟件上以共享的磁盤訪問為基礎(chǔ)，使用PCI-E的互聯(lián)機制實現(xiàn)了雙控雙活的存儲系統(tǒng)。同時使用軟件將SSD、HDD和NVME的緩存統(tǒng)一管理和使用，通過FC、iSCSI、NFS、CIFS等協(xié)議為用戶提供統(tǒng)一混合存儲系統(tǒng)。３技術(shù)創(chuàng)新3.1

基于飛騰CPU

的多核性能優(yōu)化存儲系統(tǒng)經(jīng)過優(yōu)化，可以直接調(diào)用Linux內(nèi)核的驅(qū)動，實現(xiàn)了性能最大程度的優(yōu)化：（1）

優(yōu)化IO部分的中斷、數(shù)據(jù)處理方法，采用中斷和CPU核心綁定的方法，讓數(shù)據(jù)和CPU核心匹配，減少CPU間的數(shù)據(jù)訪問開銷；（2）

修改協(xié)議處理、RAID算法和磁盤IO調(diào)度的接口，將部分異步隊列調(diào)用轉(zhuǎn)換成同步函數(shù)調(diào)用，減少異步隊列導(dǎo)致的線程切換延時；（3）

使用硬件多終端的配置，讓不同的IO分散到對應(yīng)的CPU和起對應(yīng)的內(nèi)存，減少CPU核心之間的耦合，提高CPU使用效率。最終，提高了系統(tǒng)多線程效率和多核CPU的使用率，減少了多核CPU之間的耦合，使得系統(tǒng)的存儲IO處理效率提升50%以上。3.2

混合統(tǒng)一存儲系統(tǒng)功能技術(shù)存儲系統(tǒng)實現(xiàn)了FCSAN、IPSAN、NAS三種架構(gòu)的支持,提供了多種協(xié)議訪問方式（FCP、iSCSI、CIFS、NFS、FTP）。SAN+NAS一體化的陣列是當(dāng)前系統(tǒng)產(chǎn)品化的關(guān)鍵，在面對兩地多中心的用戶場景中，該架構(gòu)設(shè)計能夠解決高可靠、高可用、防丟失的問題。相應(yīng)的系統(tǒng)功能（快照功能、全閃＋機械硬盤混合使用、遠(yuǎn)程鏡像）能進一步豐富數(shù)據(jù)使用場景以及保障用戶的數(shù)據(jù)安全。3.3

三大性能優(yōu)勢通過數(shù)據(jù)的全生命周期管理，實現(xiàn)了三大性能優(yōu)勢：（1）

全閃＋機械盤混合存儲系統(tǒng)，以全閃技術(shù)為渲染、建模等業(yè)務(wù)提供百萬幾倍的I/O，能夠通過數(shù)據(jù)過程周期管理技術(shù)把生產(chǎn)后的數(shù)據(jù)遷移到機械磁盤上；（2）

性能優(yōu)化的文件系統(tǒng)，為大尺寸對象提供優(yōu)化，高效并發(fā)分享非結(jié)構(gòu)化數(shù)據(jù)；（3）

擁有隨機寫/

寫吞吐能力，每套存儲系統(tǒng)都可以提供全閃高性能I/O能力以及具備海量機械盤存儲能力。高性能的數(shù)據(jù)分層一是通過全閃＋機械盤方式降低了使用成本；二是解決了生產(chǎn)存儲和歸檔存儲的數(shù)據(jù)遷移難題，為用戶最大程度的節(jié)約整體存儲系統(tǒng)所擁有的成本。3.4

加密存儲功能的融合如圖3所示，本款產(chǎn)品在存儲系統(tǒng)的控制管理做到了：一是通過磁盤等存儲介質(zhì)中只保存加密數(shù)據(jù)，避免關(guān)鍵數(shù)據(jù)泄露；二是加密過程在存儲端完成，對與使用端透明，可以直接保護已有的大量應(yīng)用軟件的數(shù)據(jù)安全；三是獨立的密鑰管理系統(tǒng)保證了密鑰的安全性，擁有成熟的、國家認(rèn)證的、經(jīng)過驗證的密鑰管理系統(tǒng)。

圖3存儲操作系統(tǒng)的控制管理４成果當(dāng)前自主可控存儲的研發(fā)已取得突破性的成果：一是核心要素測試可用。（1）

功能測試用例執(zhí)行覆蓋率100%，測試通過率95%（部分非強制功能沒有實現(xiàn)）；（2）

安全測試用例執(zhí)行率100%，通過率100%；UI測試用例執(zhí)行率100%，通過率100%；（3）

模擬測試用例執(zhí)行率100%，通過率100%；穩(wěn)定性測試，6套設(shè)備穩(wěn)定運行7*24小時未出現(xiàn)死機或無響應(yīng)的問題，測試通過；（4）

高可用測試用例執(zhí)行率100%，通過率100%；性能測試初步結(jié)果，可達到45萬IOPS。二是形成自主知識產(chǎn)權(quán)的源碼。目前推出了基于飛騰芯片F(xiàn)T1500A的自主可控統(tǒng)一存儲產(chǎn)品，所有源代碼完全基于自主開發(fā)。５結(jié)語隨著近年來網(wǎng)信產(chǎn)業(yè)的迅猛發(fā)展，數(shù)據(jù)已然成為用戶的核心資產(chǎn)，從個人隱私意識的逐步提高到數(shù)據(jù)安全意識的提升再到國家對于信息安全、數(shù)據(jù)安全的重視，信息產(chǎn)業(yè)核心基礎(chǔ)設(shè)施的國產(chǎn)化替代浪潮已經(jīng)撲面而來。網(wǎng)絡(luò)安全是新基建的前提，自主可控則是實現(xiàn)