【云安全】AWS Nitro系统的安全设计 --Nitro系统之旅

Nitro系统是多年来为AWS云基础设施重新构想虚拟化技术的产物。在这一过程中，虚拟化技术的每个组件都得到了重新实施和替换。虽然客户在这个过程中看到了早些时候发布的EC2实例的成本、性能和安全性的提高，但基于最终的完整Nitro系统（其中每个组件都已更换）的实例与以前的实例类型有着显著的不同。Nitro系统为Amazon EC2的客户提供了增强的安全性、保密性和性能，并为快速交付新的创新技术提供了基础。

Nitro系统的引入包括将通用数据中心CPU上Dom0中运行的软件组件逐步分解为独立的专用服务处理器单元。最初是一个紧密耦合的单片虚拟化系统，一步步转变为专门构建的微服务体系结构。从2017年引入的C5实例类型开始，Nitro系统完全消除了对EC2实例上Dom0的需求。相反，基于KVM的定制开发的最小化管理程序提供了一个轻量级的VMM，同时将以前由Dom0中的设备模型执行的其他功能卸载到一组分立的Nitro卡中。

Nitro System virtualization architecture