AMD Epyc: tak czerwoni chcą wypchnąć Intela z chmur i centrów danych

Z desktopowymi procesorami Ryzen na rynku desktopów i zapowiedziąprocesorów Ryzen Threadripper na rynku stacji roboczych, AMDodzyskuje swoją pozycję jako realny konkurent Intela. Przykurczącym się rynku desktopów ma to jednak znacznie głównieprestiżowe, finansowo Ryzen Intela nie zaboli. Zupełnie inaczejwygląda sytuacja z zaprezentowanymi w tym tygodniu serwerowymiczipami Epyc. To właśnie rynek serwerów, centrów obliczeniowych,superkomputerów i chmur jest tym, gdzie się dziś zarabianajwiększe pieniądze.

AMD po raz trzeci wchodzi na rynek serwerów. 12 lat temupojawienie się dwurdzeniowych Opteronów, które w jednym czipie dojednego gniazdka oferowały niemal dwukrotnie większą wydajnośćniż ówczesne Xeony Intela, pozwoliło czerwonym zdobyć niemal 25%procent rynku. Dwa lata później AMD strzeliło sobie w stopę,wprowadzając na rynek czipy Barcelona, ze sprzętowymi błędami iwydajnością – i to w czasie, gdy Intel szybko nadrobiłzaległości. Od tego czasu AMD większej roli na rynku serwerowymnie odgrywało, próby zajęcia się architekturą ARM też żadnychfinansowych korzyści nie przyniosły.

Za tym trzecim razem dostajemy w pewnym sensie powtórkę zpierwszych Opteronów: dwa procesory w miejscu jednego. Cała liniaprocesorów Epyc została pomyślana tak, aby pozwolić na budowaniemałych jednoprocesorowych serwerów, które wydajnością dorównająserwerom dwuprocesorowym – a w efekcie wciśnięcie większejliczby serwerów w mniejszą przestrzeń, w rezultacie zmniejszająckoszty operacyjne. A właśnie wcale nie maksymalna wydajność, leczzużycie energii i zużycie miejsca są głównym problemem dladostawców chmur, hiperskalowych usług webowych i korporacji.

Podstawowy model, Epyc 7251, oferuje 8 rdzeni i 16 wątków, ztaktowaniem 2,1 do 2,9 GHz, przy TDP 120W, w cenie 400 dolarów. Jegoodpowiednikiem u niebieskich jest 8-rdzeniowy, 16-wątkowy XeonE5-2620 v4, który Intel sprzedaje za 422 dolary. Różnicaniewielka, tyle że czip AMD w teście SPECint osiąga o 23% większąwydajność.

Im bardziej w górę, tym różnice robią się większe, nakorzyść AMD. Epyc 7301 to 16 rdzeni i 32 wątki, taktowane 2,2-2,7GHz, z TDP 155 W i w cenie 800 dolarów. W tym segmencie Inteloferuje Xeona E5-2640 v4, z 10 rdzeniami i 20 wątkami, taktowanymi2,4-3,4 GHz, z TDP 90 W – i w cenie 939 dolarów. Wydajnośćprocesora AMD w SPECint o 70% większa.

Na samym szczycie Intel nie ma wręcz zawodnika do wyścigu naliczbę rdzeni. Flagowy Epyc 7601 to 32 rdzenie i 64 wątki,taktowane od 2,2 do 3,2 GHz, z TDP 180 W, w cenie 4000 dolarów.Flagowy Xeon E5-2699A v4 to 22 rdzenie, 48 wątków, TDP 145 W – icena 4938 dolarów. Wynik czipu AMD w SPECint o 47% lepszy.

Same jednak liczby nie oddają sprawiedliwości nowym serwerowymprocesorom AMD. One są ciekawe także pod względem architektury imechanizmów bezpieczeństwa. Wykonane w procesie 14 nm GlobalFoundries, w jednym czipie zawierają cztery krzemowe kostki,upraszczając proces produkcji i jej koszty. W każdej takiej kostcemoże znaleźć się od dwóch do ośmiu rdzeni Zen. Każdy modeludostępnia 128 pasm PCIe i dysponuje ośmiokanałowym kontrolerempamięci DDR4, pozwalającym zaadresować do 2 TB RAM.

Wszystkie te kostki spięte są w autorskiej strukturze InfinityFabric – ta sama struktura wykorzystywana jest też pozaprocesorem, gdyby ktoś chciał skorzystać z wersji Epyca dlaserwerów dwuprocesorowych. Wtedy połowa dostępnych pasm PCIezostaje wykorzystana na komunikację między procesorami, tak więcdwuprocesorowy system Epyc też ma 128 pasm PCIe dla użytkownika.

Dla porównania, konkurencyjne Xeony mają 40 pasm PCIe iobsługują do 1,54 TB RAM. Gorzej też wypadają w kwestii cache –każdy Epyc oferuje 64 KB cache L1 na instrukcje i 32 KB cache L1 nadane (Xeony mają 32 KB cache na oba), oraz 512 KB cache L2 (Xeonymają 256 KB). Cache L3 też jest zwykle więcej (np. Epyc 7301 ma 32MB, podczas gdy Xeon E5-2640 v4 – 25 MB), cache to ma mieć też opołowę mniejsze opóźnienia niż stosowane w czipach Intela.

Z kolei wyższe zużycie energii przez same układy jestkompensowane przez niższe zużycie energii płyt głównych. Epyc tobowiem kompletny System-on-a-Chip, zawiera w sobie mostki północnyi południowy – wystarczy włożyć go na płytę główną, włożyćpamięć RAM i mamy wszystko co potrzebne. Nie bez znaczenia jest to,że płyty główne dla procesorów Epyc będą przez to tańsze, niżte dla Xeonów.

Prawdziwy przewrót AMD robi jednak w dziedzinie bezpieczeństwaprzetwarzanych danych. Epyc to procesor dla paranoików. Załóżmy,że firma uruchamia swoje maszyny wirtualne z Windows Serverem wchmurze Azure. Hiperwizor jest jednak kontrolowany przez Microsoft,więc w teorii wrogi administrator jest w stanie uzyskać wgląd wdane dla niego nieprzeznaczone. Odpowiedzią ze strony AMD jestmechanizm Secure Encrypted Virtualization (SEV). Pozwala on nastworzenie maszyn wirtualnych, które będą chronione przez wszelkiminnym kodem działającym na maszynie, w tym także hiperwizorem isystemem operacyjnym gospodarza.

Wygląda to następująco: każda maszyna wirtualna dostaje swójidentyfikator od hiperwizora, identyfikator ten zostaje powiązany doklucza szyfrującego w kontrolerze. W momencie gdy maszyna wirtualnauzyskuje dostęp do rdzenia procesora, kontroler za pomocą tegoklucza w czasie rzeczywistym szyfruje wszystkie operacje dostępu dopamięci. Hiperwizor nie jest w stanie zobaczyć tego klucza (ma swójwłasny identyfikator zero), więc dla niego cała aktywnośćmaszyny wirtualnej jest zaszyfrowana.

Aby zaradzić atakom, SEV przeprowadza weryfikację maszynwirtualnych podczas ich rozruchu, sprawdza też, czy sam kontrolernie został naruszony. Wszystko to jest zasilane przez umieszczony wkażdym Epycu autorski rdzeń ARM, który zapewnia sprzętoweszyfrowanie AES-128 na wszystkich danych wychodzących z procesora,na wszystkich rdzeniach. Opóźnienie jest niewielkie, rzędu 7 ns,włączenie SEV ma się przekładać na narzut w wydajności nieprzekraczający 2%.

Oprócz tego ultraparanoicznego trybu, Epyc oferuje też trybtransparentny, w którym wszystkie operacje na pamięci sąszyfrowane i deszyfrowane kluczem przechowywanym w kontrolerze iniedostępnym dla żadnego oprogramowania, oraz tryb bezpiecznejzaszyfrowanej pamięci, w którym to system operacyjny możewyznaczyć strony, które powinny być zaszyfrowane sprzętowo.

O nowych Epycach nie można myśleć po prostu jak o tańszychXeonach. Cena owszem, jest atrakcyjniejsza, ale to samo dotyczy teżwydajności i skalowalności pamięci operacyjnej – i to dlawszystkich modeli. Nawet zastąpienie dzisiejszych Xeonów,bazujących na mikroarchitekturze Broadwell nowymi czipami, na baziemikroarchitektury Skylake nie powinno znacząco pomóc – analitycyspodziewają się tam wzrostu wydajności o może 15%.

Sprzętowo gwarantowana kryptografia w procesorze jest jednakprawdziwym wyróżnikiem, szczególnie w czasach, gdy słyszymy oróżnych atakach na maszyny wirtualne i hiperwizory. Dlatego teżnie dziwi wsparcie całej branży IT. Od strony sprzętowejwyprodukowanie serwerów z procesorami Epyc zapowiedziały jużDell-EMC, HPE, Lenovo i Asus. W warstwie software’owej jest równiedobrze – certyfikację swojego oprogramowania prowadzą obecnieMicrosoft, Red Hat, Suse, VMware, Xen i Citrix.

Pierwsze maszyny z procesorami Epyc pojawić się mają na rynkujeszcze w tym roku. Zwykłej małej firmie raczej trudno będzie jekupić, podobno zamówienia wielkich operatorów chmur obliczeniowychmają zgarnąć większość produkcji. Szerszej dostępności należyspodziewać się w 2018 roku.