描述了对弹性云计算环境的证明支持。装置的一个示例包括:一个或多个处理器,该处理器用于处理数据,包括与托管一个或多个租户的工作负荷相关的数据;编排元件,该编排元件用于根据所选的成员资格策略接收对支持租户的工作负荷的请求,该编排元件用于选择一组一个或多个计算节点来为工作负荷提供计算;以及安全管理器,该安全管理器用于接收成员资格策略并从所选的计算节点接收证明,并且在确定该证明满足成员资格策略的要求后,将一个或多个计算节点添加到计算节点组以为工作负荷提供计算。节点添加到计算节点组以为工作负荷提供计算。节点添加到计算节点组以为工作负荷提供计算。
【技术实现步骤摘要】
对弹性云计算环境的证明支持
[0001]本文描述的实施例大体上涉及电子器件领域,更具体地,涉及云计算环境中的证明(attestation)支持。
技术介绍
[0002]大量计算工作负荷,如人工智能(AI)和机器学习(ML)应用,需要使用多个计算节点。在现代计算架构中,计算节点可以包括多种不同类型的处理器件,包括中央处理单元(CPU)和图形处理单元(GPU),以及不同类型的硬件加速器。在某些操作中,GPU也可以被视为硬件加速器。
[0003]在单个平台上拥有足够数量的计算节点来处理非常大的计算工作负荷通常是不切实际的。因此,此类工作负荷可能会在经由网络连接的不同平台上的多个计算节点上执行。
[0004]然而,在工作负荷的执行生命周期期间,工作负荷的计算需求可能会增加或减少。为满足峰值需求而可能需要的必要计算节点的分配可能会导致来自多个平台的资源过度分配,从而导致计算资源的浪费,或者随着处理需求随时间推移的变化而导致计算节点的证明复杂化。
技术实现思路
[0005]本专利技术实施例提供一种装置,包括:一个或多个处理器,所述处理器用于处理数据;编排元件,所述编排元件用于根据所选的成员资格策略接收对支持租户的工作负荷的请求,所述编排元件用于选择一个或多个计算节点来为所述工作负荷提供计算;以及安全管理器,所述安全管理器用于接收所述成员资格策略并从所述一个或多个所选的一个或多个计算节点接收证明,并且在确定所述证明满足所述成员资格策略的所述要求时,将所述一个或多个计算节点添加到计算节点组以为所述工作负荷提供计算。
[0006]本专利技术实施例还提供相应的装置和系统。
附图说明
[0007]在附图的图中通过示例而非限制的方式示出了本文描述的实施例,其中相似的附图标记指代相似的元件。
[0008]图1是根据一些实施例的提供动态证明支持的弹性云服务环境的图示;
[0009]图2是根据一些实施例的用于提供动态证明支持的云计算环境的计算系统或装置的图示;
[0010]图3是根据一些实施例的提供计算结构的动态证明的操作的图示;
[0011]图4是根据一些实施例的在计算结构的动态证明中添加附加计算节点的操作的图示;
[0012]图5是图示根据一些实施例的用于对弹性云计算环境的证明支持的过程的流程
图;
[0013]图6是图示根据一些实施例的用于在弹性云计算环境中动态修改经证明的计算结构的过程的流程图;
[0014]图7图示了根据一些实施例的用于在云环境中实现动态证明支持的示例性计算架构的一个实施例;
[0015]图8A和8B分别图示了基于一次性散列的签名方案和基于多次性散列的签名方案;
[0016]图9A和9B分别图示了一次性签名方案和多次性签名方案。
具体实施方式
[0017]本文描述的实施例涉及弹性云计算环境中的证明支持。
[0018]在云服务提供商(CSP)运营中,有大量计算节点,它们通常分布在网络中的许多不同服务平台之间。计算节点可以包括处理器件,包括中央处理单元(CPU)和图形处理单元(GPU),以及各种类型的硬件加速器,诸如FPGA(现场可编程门阵列)和专用ASIC(专用集成电路)。这样的计算节点通常也可以称为XPU。这种计算操作能够支持大量工作负荷计算,如人工智能和机器学习应用中。参与执行特定租户的工作负荷的CSP的一组XPU可以被描述为计算结构(compute fabric)。
[0019]运行安全敏感工作负荷的客户需要能够证明计算结构的可信度,从而确保他们的工作负荷在可信的计算结构上运行。在常规操作中,这可以通过静态证明来解决,其中证明在工作负荷的执行开始时发生一次。
[0020]现有解决方案支持静态证明,其中工作负荷所有者(本文称为租户)在发送其工作负荷以在其上运行之前验证XPU(即计算节点)或一组XPU的证明。在此解决方案中,一个或多个XPU提供了证明器件真实性和敏感可配置部件完整性(如固件版本号)的证据。租户或可信的经纪人将在允许工作负荷运行之前验证证明证据。
[0021]然而,在工作负荷的执行生命周期期间,AI/ML工作负荷的计算需求可能会增加或减少。当前的解决方案无法正确处理动态计算结构,其中XPU可能在工作负荷生命周期内的任何时间加入计算结构。此外,随着计算结构变得更大并跨越相关数据中心,结构可能由异构器件诸如CPU、GPU、FPGA和ASIC组成,在这种情况下,这种结构的静态证明没有足够的可扩展性。在从提供不同证明证据的多个供应商处接收异构器件的情况下,可扩展性问题变得更加明显。因此,现有解决方案对于在操作期间可以动态增长和收缩的非常大的工作负荷变得不切实际。
[0022]在一些实施例中,装置、系统或过程将提供可以在不停止或中断工作负荷执行的情况下快速且无缝地执行的动态证明操作。由于计算结构可以由异构计算节点组成,因此需要动态证明以有效方式适应器件差异,而不会因器件特定或供应商特定证明证据要求而延迟,这些要求通常应用于静态证明方案。动态证明简化了对可能由来自多个供应商的不同计算节点组成的大型计算结构(CPU、GPU、FPGA和ASIC)的证明,使此类操作在云服务提供商的数据中心中具有实用性和可部署性。
[0023]图1是根据一些实施例的提供动态证明支持的弹性云服务环境的图示。如图所示,云服务提供商环境100包括对多个不同平台中的工作负荷的支持,如以某种方式连接的多个处理器件110。尽管图1具体示出了云服务提供商,但实施例不限于该特定示例,并且可以
包括其中由第三方为工作负荷提供支持的任何环境。该环境可以被称为弹性环境,因为计算支持可以根据工作负荷的需要进行扩展或收缩。CSP环境的平台包括多个计算节点(XPU),XPU可以是各种不同类型的处理单元,诸如CPU 112和GPU 114,以及不同类型的硬件加速器116。XPU可能源自多个不同的硬件供应商,这具体取决于特定的实现方式。
[0024]多个不同的租户可以连接到CSP环境以接收用于处理各种工作负荷的处理支持,其中一些工作负荷可能非常复杂并且需要大量计算支持。此外,某些工作负荷可能需要特定的安全支持,因此可能需要对指定用于支持此类工作负荷的XPU进行证明。
[0025]如图1所示,租户可以包括具有工作负荷152的租户A 150、具有工作负荷162的租户B 160,直到具有工作负荷172的租户n 170,它们经由特定网络云130连接到CSP环境100。在一个特定示例中,工作负荷152可以是需要大量处理支持的人工智能(AI)或机器学习(ML)工作负荷。在一些实施例中,云提供商可以指定一组特定的显示为计算结构154的XPU,其中,计算结构是一组一个或多个计算单元以支持工作负荷。计算结构154可以包括同构或异构的XPU集合。然而,工作负荷152的需求可能在工作负荷的生命周期期间扩展或收缩,因此具有计算结构的XPU可以随时间的推移而修改,包括添加最初没有分配给计算结构的XPU。
[00本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种装置,包括:一个或多个处理器,用于处理数据;编排元件,所述编排元件用于根据所选的成员资格策略接收对支持租户的工作负荷的请求,所述编排元件用于选择一个或多个计算节点来为所述工作负荷提供计算;以及安全管理器,所述安全管理器用于接收所述成员资格策略并从所选的一个或多个计算节点接收证明,并且在确定所述证明满足所述成员资格策略的要求时,将所述一个或多个计算节点添加到计算节点组以为所述工作负荷提供计算。2.根据权利要求1所述的装置,其中,所述安全管理器进一步将所述成员资格策略和所述安全管理器的证明提供给所述租户以用于所述计算节点组的验证。3.根据权利要求1所述的装置,其中,所述编排元件和所述安全管理器都是同一实体的部分。4.根据权利要求1所述的装置,其中,所述计算节点组包括一个或多个处理单元、一个或多个硬件加速器或两者。5.根据权利要求1所述的装置,其中,所述编排元件用于向所述安全管理器提供关于所选的一个或多个计算节点的指令,或者所述编排元件用于向所选的一个或多个计算节点中的每一个提供联系所述安全管理器的指令。6.根据权利要求1所述的装置,其中,当所述工作负荷需要附加的计算支持时,所述编排元件为所述计算节点组选择一个或多个附加计算节点。7.根据权利要求6所述的装置,其中,所述安全管理器用于获得所述一个或多个附加计算节点的证明,并且在确定所述证明满足所述成员资格策略的要求时,将所述一个或多个附加计算节点添加到所述计算节点组。8.根据权利要求7所述的装置,其中,所述安全管理器用于将所述一个或多个附加计算节点添加到所述计算节点组,而无需所述租户进行交互或评估。9.根据权利要求1所述的装置,其中,所述安全管理器是多个安全管理器中的一个。10.一种装置,包括:用于接收计算租户的工作负荷的请求的装置;用于选择一组一个或多个计算节点来为所述工作负荷提供计算的装置;用于向安全管理器提供成员资格策略的装置,所述成员资格策略包括对所述一个或多个计算节点的要求;用于由所述安全管理器确定其中所述一个或多个计算节点满足所述成员资格策略的要求并且在确定所述一个或多个计算节点满足所述成员资格策略的要求时将所述一个或多个计算节点添加到计算节点组以为所述工作负荷提供计算的装置;以及用于向所述租户提供所述成员资格策略和所述安全管理器的证明以验证所述计算节点组的装置。11.根据权利要求10所述的装置...
【专利技术属性】
技术研发人员:V,
申请(专利权)人:英特尔公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。