【存储知识小讲堂系列】为什么NVMe-OF很重要

为什么NVMe-OF很重要？

NVMe发展的过程，就是不断给SSD“开绿灯”的过程。

今天我们已经知道，SSD的出现带给存储系统性能提升是革命性的，然而在当时的年代里，SSD却面临着“有力使不出”的瓶颈。

这是因为是当时的存储系统都是面向机械硬盘而设计的。早期的全闪或混闪阵列中很多是在使用传统的存储技术——SATA SSD，这类存储基于AHCI(Advanced Host Controller Interface，高级主机控制器接口)命令协议。而AHCI是为机械硬盘而生，采用AHCI的SATA III总线只允许数据传输速度达到600MB/s。

因此，为了让SSD在存储中跑得更畅快，NVMe规范诞生了。

NVMe全称是Nonvolatile Memory Express（非易失性内存标准），NVMe是一种基于性能并从头开始创建新存储协议，它可以使我们能够充分利用SSD和存储类内存（SCM）的速度。

NVMe替代了原有的AHCI规范，并且软件层面的处理命令也进行了重新定义，不再采用SCSI／ATA命令规范。并且NVMe SSD利用了计算机或服务器中的PCIe高速总线，将其直接连接到计算机，从而减少了CPU开销，简化了操作，降低了延迟，提高了IOPS和吞吐量。

什么是端到端NVMe？

关注戴尔易安信的童鞋一定经常看到，当我们在描述PowerMax或PowerStore时，会常常使用到支持“端到端NVMe”这个词汇。其实，这也意味着SSD的性能还能得到进一步的释放。

这是因为当时的全闪存阵列大部分是在存储后端支持NVMe SSD，与使用SATA或SAS SSD的全闪存阵列相比，确实带来了性能的提升。然而，这并不意味NVMe SSD已经发挥出了它的性能极限。事实上，NVMe SSD全闪存阵列理论上可以提供更大的性能提升——比使用SAS和SATA SSD的全闪存阵列多10倍性能。

这种巨大的性能差异源于这样一个事实，即当时的全闪存阵列控制器架构也是为了适应机械硬盘而设计的，而在使用NVMe SSD时，这种控制器就成为了阻碍，为此，阵列控制器以及存储网络协议必须不断发展。

而NVMe over Fabrics（简称NVMe-OF）的出现，就是将NVMe应用到前端，作为存储阵列与前端主机连接的通道，取代过去的FC、iSCSI。由此，主机可以使用本机NVMe协议直接与NVMe SSD通信，进一步提高性能和降低延时。

说到这儿，小编必须要提一下2016年发布的DSSD D5存储，它是戴尔易安信推出的业界初款端到端NVMe存储。这款存储专为性能而生，其控制器、闪存模组到前端主机I/O卡全都是专属规格，其性能可达到千万级的IOPS和100 GB每秒的吞吐量，而且延时能则降到100微秒——性能数据足以秒杀当前市面上任何一款存储系统。

不过，也许是因为设计理念太过超前，这款产品并没有延续下去，而是转化为宝贵的技术资产，戴尔易安信PowerMax和PowerStore上所支持的端到端NVMe技术，实际上就有来自DSSD的技术积淀。

戴尔易安信PowerStore采用英特尔®至强®可扩展处理器,该处理器可以优化工作负载,可靠性强,还有高计算力、高稳定性和高效敏捷性，不仅帮助PowerStore轻松满足既定工作负载，也可以为数字化变革做好准备。

不是所有NVMe都是相等的，这就是为什么NVMe-OF很重要。

今天，NVMe由于其低延迟和高吞吐量的多任务处理速度而变得越来越受欢迎。虽然NVMe也用于个人计算机中以改进视频编辑，游戏等，但通过NVMe-oF，企业中可以看到真正的好处，特别是在分秒必争的企业场景。如实时客户互动，人工智能 (AI)、机器学习 (ML)等。处理和访问数据的速度越快，对业务就越能带来价值。

版本，避免勒索病毒通过未修复的漏洞进行攻击。内外网分开，严格的防火墙策略，严禁未经授权的访问等等。这些都是基本的防御措施，可以在一定程度上防止勒索病毒攻击。

但请注意，对于有组织的、内外结合的且以勒索赎金为目的勒索病毒攻击，这些基本措施是很难完全有效的！

国家保密局官网转载了《保密科学技术》杂志2018年12月刊的文章，文章中提到防范勒索病毒需要系统治理，构建多层防御。特别指出了可参考美国国家标准技术研究院（NIST）发布的旨在帮助遭受勒索病毒攻击的企业恢复数据的专门指南，构建防御体系。

在NIST网络安全参考架构中，包含了识别、保护、检测、响应和恢复等五个环节，五个环节是一个整体，相辅相成，构成一个多层次的防御体系。其中保护环节是容易被用户疏忽的环节。如前面谈到，仅仅依靠通用的数据备份系统是无法防止勒索病毒攻击的。

因此，保护是NIST架构中非常重要的一环，又是容易被用户忽视的一环。只有保护有效，才能在遭受勒索病毒攻击后，进行有效的恢复。NIST网络安全参考架构如下图所示▼

什么样的数据保护

能够在病毒攻击后恢复数据？

我们看到，在NIST网络安全参考架构中，保护变成极为重要的一环，如何才能有效保护数据呢？基于数据保护的较佳实践，戴尔科技提出了建立备份、容灾和Cyber Recovery多重数据保护的较佳数据保护能力模型，即：

❶ 对所有业务相关的数据都要进行本地备份，做到基本的保护。

❷ 对关键业务数据，除了本地备份外，还要做到异地容灾，防止站点级别的灾难。

❸ 对于至关重要的数据，除了建立本地备份和异地容灾外，还需要建立防止勒索病毒的Cyber Recovery Vault数据避风港，防止数据被勒索病毒绑架后，需要付出巨大代价恢复数据。

怎样建立完善的Cyber

Recovery Vault数据避风港？

组织要建立完善的Cyber Recovery Vault数据避风港，可以遵循以下几个步骤：

初步：优化已有的备份系统，包括：

❶ 优化备份系统的第 一招，叫“离”，即备份服务器尽量远离容易受勒索病毒攻击的平台，具体措施包括选择不容易受勒索病毒感染的操作系统，及时修复软件漏洞，保持较新的操作系统补丁等。同时，备份索引必须在备份作业完成后自动备份到备份设备。防止备份服务器被勒索病毒绑架后，备份索引丢失而无法恢复数据。

❷ 优化备份系统的第二招，叫“舍”，即备份过程必须通过重复数据删除技术，舍去大量重复数据，提高备份效率，确保较高效的方式快速完成备份，以便为接下来将备份数据复制到Cyber Recovery Vault数据避风港做好准备。

❸ 优化备份系统的第三招，叫“断”，即断开备份主机与备份储存的直接联系，较大程度地避免备份主机及备份数据同时被勒索病毒感染。这里的“断”，指的是只能通过专用协议才能访问，不能通过NFS、CIFS、ISCSI/FC等通用协议直接读写，通过专用的协议，可做到传输加密，备份数据加锁等功能。

第二步：建立Cyber Recovery Vault数据避风港，包括：

❶ 在上一步优化备份系统的的基础上，将数据快速复制到Cyber Recovery Vault数据避风港，同时利用Air Gap技术设置自动的网络弹性隔离，通过Air Gap技术，使得数据中心与Cyber Recovery Vault数据避风港之间的连接只有在数据复制期间连通，其他时间网络自动断开，且所有的网络访问都是从Cyber Recovery Vault数据避风港单向发起访问，较大限度地减少网络攻击入侵Cyber Recovery Vault数据避风港的风险。

❷ 数据复制到Cyber Recovery Vault数据避风港后，对数据进行快照拷贝，并锁定数据，在锁定期间，不容许篡改！这一招可简单称为“锁”。

❸ 数据锁定后，还需要对数据进行扫描，通过AI/机器学习等算法，侦测数据是否完整，是否被破坏或者加密，形成分析报告。这一招可简单称为“侦”。

Cyber Recovery Vault数据避风港架构示意图如下所示▼

通过以上两个步骤，可以说已经建立起了比较完善的Cyber Recovery数据避风港。基于前面提到的较佳数据保护能力模型，戴尔科技集团建议企业级用户建立覆盖备份、容灾、Cyber Recovery全方位的数据保护。通过戴尔科技集团业界领先的数据保护套件DPS suites和专用备份设备PowerProtect DD或者备份一体机IDPA进行构建。

下图显示了戴尔科技集团全面数据保护解决方案体系结构概览。这个体系完美契合前面所讨论的较佳数据保护能力模型，亦具备“断”、“舍”、“离”、“锁”、“侦”等特点，完全符合NIST网络安全架构的较佳实践，可帮助企业级客户有效抵御勒索病毒攻击、内部恶意删除、数据中心灾难等，为企业的发展保驾护航。

与其“亡羊补牢”，不如“未雨绸缪”，面对来势汹汹的勒索病毒，组织只有建立更完备的数据安全策略，抛弃一切遭遇不可能发生在自己身上的幻想，脚踏实地做好数据保护，遵循较佳数据保护能力模型，建立起备份+容灾+Cyber Recovery的多重数据保护系统，才能在防不胜防的风险中确保组织的数据安全。

戴尔科技集团Cyber Recovery网络恢复软件及服务，提供了业务弹性和从勒索病毒攻击中的数据恢复能力。创新的自动化、工作流程和安全分析工具，结合分层的数据保护方法，能够确保关键数据的重要副本被隔离但仍然可用，使企业免遭各种恶意网络攻击的威胁，支持企业尽快恢复业务流程。

让身处数字时代的企业能够能把数据保护主动权握在手中，为数据驱动价值构筑安全防线。