文档首页/ 弹性云服务器 ECS/ 技术白皮书/ QingTian系统安全技术白皮书/ QingTian系统组件/ QingTian Cards
更新时间:2025-10-16 GMT+08:00
查看PDF
分享

QingTian Cards

在逻辑上,QingTian Cards由一个主卡和多个从卡组成。

  • 主卡:也称为QingTian控制器,负责管理服务器系统的所有其它组件及固件。
  • 从卡:也称I/O功能卸载卡,提供专用的网络加速、存储加速、管控面加速及加密卸载等功能。

QingTian Cards包含了ECS服务管理计算节点所需要的所有控制接口,这些控制接口用于预置和管理主机CPU、内存和存储资源。对于ECS服务控制面来说,中心节点只需要对接QingTian Cards,不需对接到服务器。服务器不包含存储和网络,来自ECS服务控制面的所有的虚拟机生命周期管理的命令,都直接下发到QingTian Cards,由QingTian Cards单向地操作前端服务器,比如创建虚拟机,关闭虚拟机,设备热插拔,虚拟机热迁移等。

QingTian Cards还提供服务器所有与外部交互的I/O接口,包括VPC网络接口、EVS块存储接口。对于服务器来说,它与外部世界交互的所有组件(无论是逻辑入站还是出站)都通过QingTian Cards来完成。QingTian Cards以PCIe设备形式连接到服务器上,可独立供电。卡上封装了华为自研的SPU芯片,用于固件启动和定制的极简OS运行。QingTian Cards支持卡上OS和关键虚拟化组件的热升级,并且跟主机服务器上的固件和系统组件升级相互独立,卡上系统的更新对客户业务几乎无感知,并且也不会影响任何原有的安全防护功能。

QingTian控制器

QingTian系统支持基于UEFI Secure Boot标准的安全启动。服务器加电后,QingTian控制器首先执行安全启动,此时的主机系统处于等待状态。QingTian控制器中系统级芯片(SoC)的安全启动过程如下:

  1. 启动只读存储器(boot ROM)。
  2. 验证存储在QingTian控制器所连接闪存中的初期启动阶段固件的签名完整性,完成QingTian控制器自身的安全启动。
  3. 验证所连接闪存中的QingTian Hypervisor镜像签名完整性,实现扩展信任链到前端主机系统。
    • 如果镜像签名验证失败,则上报启动异常事件并停止继续启动
    • 如果镜像签名验证通过,则通知主机系统继续执行安全启动。

如果主机系统的安全启动失败,则上报启动异常事件。如发现启动异常,该节点会从服务节点中被摘除,因此不会运行客户的工作负载。

QingTian控制器也是物理服务器与云服务控制平面之间隔离的“安全网关”。云服务控制平面(包括ECS/BMS、EVS、VPC)在逻辑上独立且采用微服务架构,QingTian控制器将其统一抽象为“ECS Control Plane”进行交互。在交互模式上,遵循“ECS Control Plane --> QingTian Controller --> QingTian Hypervisor”的单向控制方法,仅允许单向发起连接初始化,所有反方向的连接初始化都被视为异常。

作为唯一通道,QingTian控制器将物理服务器与外部控制平面进行隔离,所有进出流量必须经由QingTian控制器进行安全转发。

  • QingTian控制器向ECS控制平面提供基于mTLS的双向认证通信链路,确保数据传输链路的端到端加密。
  • QingTian控制器API还提供基于API上下文属性的条件访问控制,来限制每个控制平面组件仅能调用其业务必需的最小API集合。同时,系统全量记录所有API操作日志(包括源网络上下文、身份上下文、调用参数、时间戳等信息),并支持实时的API异常调用检测。
  • QingTian控制器通过专用网络与ECS控制平面通信,控制面进出流量与租户流量(如EVS存储数据流量、VPC网络流量)完全隔离。
图1 QingTian控制器交互模式

I/O功能卸载

QingTian系统逻辑上区分专有的I/O功能硬件卸载卡。这些硬件卸载卡与主控制器采用相同的系统级芯片(SoC)和基础固件架构,按不同功能需求,额外配备了专用加速硬件和定制化固件应用,比如VPC专用卡、EVS块存储专用卡。这些加速卡通过集成于SoC中的硬件加密卸载引擎和安全密钥存储,为网络及存储提供数据加密功能及加速。

华为云自研VPC加密:面向通用场景的标准安全协议IPsec、TLS不适用于大规模、高性能云数据中心的通信加密,华为云根据自身业务安全需求,推出了云网络CAE加密算法,用于满足华为云网络的多种场景下的加密传输要求,例如VPC内的用户虚机间加密传输、分布式云跨站点加密传输等。华为云支持在所有ECS实例之间提供安全和加密的连接,在某些实例支持使用QingTian专用VPC卸载卡实现实例之间的额外的传输流量加密。CAE协议默认使用AES-256-GCM算法自动透明加密实例之间的传输流量,加密协议在设计上支持匿名性(Anonymity)、抗重放(Anti-Replay)、前向安全(Forward-Secrecy)和后量子安全(Post-Quantum)。

专用的I/O卸载卡提供基于端到端加密的数据密钥导入和加解密算法的硬件加速功能,支持AES等标准密码算法以及GCM/XTS加密模式。用于EVS、VPC网络的加密密钥仅以明文形式存在于QingTian Cards内部的硬件密钥保护子系统中,华为云运维人员以及主机系统上运行的任何客户代码都无法访问它们。为了避免密钥分发系统可能存在的单点安全失效问题,控制面系统的多个密钥管理组件会独立实现多个密钥材料的安全分发。数据面无需执行密钥协商过程,而是在运行时基于控制面下发的多个密钥材料进行派生得到数据密钥,并实现密钥的小时级自动轮转。这一密钥分发机制更适用于云计算SDN架构,其能节省大量的密钥协商过程中的性能消耗,可以支持更大规模和范围内的通信加密。

当系统运行在QingTian Hypervisor模式下,QingTian Cards提供的I/O设备会通过SR-IOV(单根输入/输出虚拟化)技术细分为多个VF(虚拟功能),同时支持I/O设备直通虚拟机。这些VF可直接分配给VM,使VM获得对硬件接口(如网卡、存储控制器)的直接访问权限。在数据传输路径上,客户业务数据(如处理、存储或托管的内容)直接在客户ECS实例与QingTian Cards提供的虚拟化I/O设备间传输,绕过Hypervisor层实现硬件级数据直通。基于攻击面最小化原则,该方案使得I/O路径仅涉及VM、VF硬件及物理设备,这最大限度地减少了I/O路径中对软件和硬件的依赖,进而实现更高的安全性以及接近裸机的性能。

父主题: QingTian系统组件

相关文档