パフォーマンスが2倍になります! Cloud Native GatewayはTLSハードウェアアクセラレーションをサポート

パフォーマンスが2倍になります! Cloud Native GatewayはTLSハードウェアアクセラレーションをサポート

ネットワーク環境がますます複雑になるにつれて、従来の HTTP プレーンテキスト伝送プロトコルによってもたらされる伝送セキュリティ リスクも増大しています。そのため、HTTPS 暗号化伝送プロトコルは業界で一般的に認知され、広く使用されています。全ての物事には二つの側面がある。 HTTPS はより高い伝送セキュリティをもたらしますが、認証とデータの暗号化および復号化が必要であるため、HTTPS を使用すると、Web サイトのアクセス速度が HTTP よりも「遅く」なり、サーバーの CPU 消費量が増加し、マシンのコストが「高価」になります。

業界では、HTTPS のパフォーマンスを最適化するための調査も数多く行われてきました。従来のソフトウェア最適化ソリューションには、セッション再利用、OCSP ステープル、False Start、動的レコード サイズ、TLS1.3、HSTS などがあります。ただし、ソフトウェアをどのように最適化しても、増大するトラフィック速度に対応することはできません。さらに、CPU のムーアの法則は終焉期に入り、CPU を集中的に使用する計算をオフロードする専用ハードウェアが業界で一般的なソリューションとなっています。

1. ゲートウェイが HTTPS 最適化 (TLS オフロード最適化) に最適なパスであるのはなぜですか?

ゲートウェイは、ビジネス アプリケーションに入るための要求トラフィックの橋頭保として、ビジネス間で共通する要求である HTTPS 最適化の着陸地点として非常に適しています。具体的なメリットは以下のとおりです。

運用・保守コストの削減: ゲートウェイによる HTTPS の統一的な処理は、各事業体による分散的な処理よりも運用・保守コストが低くなるのは明らかです。

マシン コストの削減: 通常、ゲートウェイはクラスター化された規模で展開され、統合された HTTPS 最適化により、マシン コストの大幅な最適化が実現されます。

ビジネス効率の向上: ゲートウェイが HTTPS を処理すると、ビジネスは独自のロジックに集中するだけでよくなり、ビジネス開発の効率が向上します。

2. アリババのハードウェアアクセラレーションの探求

Alibaba の統合アクセス ゲートウェイ Tengine は、グループのすべての入力トラフィックを担当します。 HTTPS の全面的な推進により、ゲートウェイに課せられるパフォーマンス上の課題も非常に大きくなります。ビジネスは技術革新を推進します。 2017 年、アクセス ゲートウェイはハードウェア アクセラレーションの分野で第一歩を踏み出し、QAT カード ハードウェア アクセラレーション ソリューションの試行を開始しました。

1. QATカードに基づくTLSハードウェアアクセラレーションソリューション

全体的なソリューションは、Tengine の ssl_async 命令、OpenSSL + QAT エンジン、QAT ドライバーの 3 つの部分で構成されます。 Tengine は、OpenSSL-1.1.0 の非同期インターフェイスに適応することで、秘密鍵操作をハードウェアの QAT エンジンにオフロードします。エンジンは QAT ドライバーを介してハードウェアを呼び出し、非対称アルゴリズムを完了して結果を取得します。スキーム図は次のとおりです。

利点

  • HTTPS オフロードは独立したハードウェア QAT によって実行されるため、CPU 消費量は増加しません。さまざまな暗号化スイートでテストしたところ、全体的なパフォーマンスは非常に良好でした。

ソリューションの欠点

  • 運用および保守コストが非常に高く、独立した QAT カードを事前に別途購入する必要があり、電子商取引のプロモーション中に突然のトラフィック シナリオに柔軟に対応することが特に困難です。
  • 現在のコンテナ化されたデプロイメントの状況では、QAT の使用には多くの安定性の問題があります。

2. CPUマルチバッファ機能に基づくTLSオフロード高速化ソリューション

Alibaba Cloud は、Tengine QAT を調査および実践した後、オープンソースの Envoy をベースにした MSE クラウドネイティブ ゲートウェイ製品をリリースしました。学生の中には、なぜ社内の Tengine ではなく Envoy が選ばれたのか疑問に思う人もいるかもしれません。

2021年、アリババクラウドは最新のXeonプロセッサIce Lakeを搭載したECS製品をリリースしました。CPUのハードウェア特性を活かして、コンピューティング能力を50%以上大幅に向上させます。提供される暗号化アクセラレーション機能には、マルチバッファ ライブラリとの連携により AES、RSA、EC などの暗号化計算を高速化できる Vector AES が含まれます。この機能により、HTTPS ハードウェア アクセラレーションは専用ハードウェア アクセラレーション カードの制限から解放されます。 CPU 組み込み命令と SIMD メカニズムを組み合わせて使用​​すると、HTTPS パフォーマンスを大幅に向上させることもできます。これに基づいて、クラウドネイティブゲートウェイは適応の完了を先導し、ハードウェアアクセラレーションのパフォーマンス上の利点をユーザーにもたらし、ユーザーのリソースコストを増やすことなく HTTPS のパフォーマンスを大幅に向上させました。

上図のストレス テスト データから、TLS ハードウェア アクセラレーションを使用した後、TLS ハンドシェイク遅延が通常の HTTPS リクエストと比較して半分に短縮され、最大 QPS が 80% 以上増加していることがわかります。

ソリューションストレステスト

(1)ストレステストの基本環境

  • クラウドネイティブゲートウェイ仕様:1C2G * 1
  • ストレステストツール: Grafana k6
  • リクエストサイズ: 1kb
  • 証明書: RSA2048
  • 暗号スイート:ECDHE-RSA-CHACHA20-POLY1305(TLS1.2)TLS_AES_256_GCM_SHA384(TLS1.3)

(2)ストレステストの結論

1C2G の場合、ハードウェア アクセラレーションを有効にすると、最大 QPS が 80% 以上増加し、TLS ハンドシェイク時間が半分になります。注: シングルコアの極限パフォーマンスを観察しやすいため、1C2G 仕様が使用されます。

(3)テストデータ

TLS バージョン

ハードウェアアクセラレーションを有効にするかどうか

同時実行性

品質保証

TLSハンドシェイクの平均時間

TLSハンドシェイクの最大時間

1.2

有効になっていません

200

1009

98.5ミリ秒

177.37ミリ秒

1.2

有効になっていません

500

1004

313.84ミリ秒

457.56ミリ秒

1.3

有効になっていません

200

995

77.81ミリ秒

177.24ミリ秒

1.3

開ける

200

1886

48.71ミリ秒

104.04ミリ秒

1.2

開ける

200

1876

59.98ミリ秒

113.55ミリ秒

1.2

開ける

500

1873

145.81ミリ秒

262.91ミリ秒

ハードウェアアクセラレーションなしで500の同時データ

500同時接続、ハードウェアアクセラレーションが有効な場合のデータ

利点

  • 独立したハードウェアサポートは必要なく、運用・保守コストが低く、弾力的に拡張・縮小が容易です。
  • 適用可能なシナリオが広がります。

3. 最後に

ハードウェアアクセラレーション機能が正式にリリースされました。自作のハードウェア アクセラレーション マシンと比較すると、基盤となるハードウェア アクセラレーション マシンの運用やメンテナンスを気にすることなく、同じ仕様で HTTPS パフォーマンスを 2 倍にすることができます。詳細については、「クラウド ネイティブ ゲートウェイの構築」のハードウェア アクセラレーション マシンの購入を参照してください。

<<:  ハイブリッド クラウド – 企業にとって最適なソリューションか?

>>:  MongoDB と Amazon Web Services がグローバルパートナーシップを拡大

推薦する

Linode - バックアップ価格が値下げされました!月額2.5ドルから

ガンダムのVPSプロバイダーであるLinodeは、かつてデータ損失事件を起こしました。予想外なことに...

徹底分析: AWS やその他のクラウド コンピューティング大手は 2018 年にどのような計画を立てるのでしょうか?

最近では、企業規模は企業がクラウド サービス プロバイダーを選択する上で重要な要素ではなくなり、市場...

電子商取引ウェブサイトの購入プロセスに関する考察:ユーザーを動機付ける方法

今日、私は「UCD Spark Collection 2」の、電子商取引、特に購入プロセスの設計につ...

itldcはどうですか? Chicago VPSの実際のテスト結果を共有します!

itldcはどうですか? itldc Chicago VPS はいかがでしょうか?シカゴは米国中東部...

Baidu のアルゴリズムは「常に変化」しています。ウェブマスターはどうすれば素早く適応できるでしょうか?

ウェブマスターが何かを投稿するたびに、管理者がそれを常に「広告ジャンク」と見なすのはなぜでしょうか。...

Docker コンテナの実例: コンテナ セキュリティのベスト プラクティス

オープンソースの詳細については、以下をご覧ください。 51CTO オープンソース基本ソフトウェアコミ...

Youmi.com CEO 王立文氏:人々の競争力の半分は緊急でないことから生まれる

ビジネスを始めるということは、誰も歩んだことのない道を歩むことを意味し、ビジネスを始めるには洞察力、...

123systems - 年間 30 ドル / 4 コア / 2g メモリ / 35g ハード ドライブ / 3T トラフィック / 4 つのデータ センター

123systems は、私の記憶が正しければ、ダラスのデータセンターに常に VPS を設置してきま...

directspace-$5/KVM/1g メモリ/40g SSD/2T トラフィック/10G ポート

Directspace の Web サイトが刷新され、コンピューター ルームがアップグレードされまし...

Kafka はメッセージ損失の問題をどのように解決しますか?

[[415220]]この記事はWeChatの公開アカウント「Micro Technology」から転...

SiteGround - 70% オフセール/ブラックフライデー

SiteGround.com ブラックフライデーセール、全品 70% オフ、11 月 29 日から ...

企業ウェブサイトの構築と保守:プロフェッショナルなサービスチームが鍵

インターネットの発展に伴い、多くの企業が自社のコーポレートサイトを開設しており、ほとんどの企業が自社...

簡単な議論: SEO は「役に立たない」テクノロジーですか?

私は長い間、SEO 業界についての記事を書きたいと思っていました。 SEO はテクノロジー業界と見な...

AIは中国のSaaS状況を打破できるか?

SaaS はバリューチェーンが短く、拡張性が速く、キャッシュフローが高いという優れたビジネスですが、...