パフォーマンスが2倍になります! Cloud Native GatewayはTLSハードウェアアクセラレーションをサポート

パフォーマンスが2倍になります! Cloud Native GatewayはTLSハードウェアアクセラレーションをサポート

ネットワーク環境がますます複雑になるにつれて、従来の HTTP プレーンテキスト伝送プロトコルによってもたらされる伝送セキュリティ リスクも増大しています。そのため、HTTPS 暗号化伝送プロトコルは業界で一般的に認知され、広く使用されています。全ての物事には二つの側面がある。 HTTPS はより高い伝送セキュリティをもたらしますが、認証とデータの暗号化および復号化が必要であるため、HTTPS を使用すると、Web サイトのアクセス速度が HTTP よりも「遅く」なり、サーバーの CPU 消費量が増加し、マシンのコストが「高価」になります。

業界では、HTTPS のパフォーマンスを最適化するための調査も数多く行われてきました。従来のソフトウェア最適化ソリューションには、セッション再利用、OCSP ステープル、False Start、動的レコード サイズ、TLS1.3、HSTS などがあります。ただし、ソフトウェアをどのように最適化しても、増大するトラフィック速度に対応することはできません。さらに、CPU のムーアの法則は終焉期に入り、CPU を集中的に使用する計算をオフロードする専用ハードウェアが業界で一般的なソリューションとなっています。

1. ゲートウェイが HTTPS 最適化 (TLS オフロード最適化) に最適なパスであるのはなぜですか?

ゲートウェイは、ビジネス アプリケーションに入るための要求トラフィックの橋頭保として、ビジネス間で共通する要求である HTTPS 最適化の着陸地点として非常に適しています。具体的なメリットは以下のとおりです。

運用・保守コストの削減: ゲートウェイによる HTTPS の統一的な処理は、各事業体による分散的な処理よりも運用・保守コストが低くなるのは明らかです。

マシン コストの削減: 通常、ゲートウェイはクラスター化された規模で展開され、統合された HTTPS 最適化により、マシン コストの大幅な最適化が実現されます。

ビジネス効率の向上: ゲートウェイが HTTPS を処理すると、ビジネスは独自のロジックに集中するだけでよくなり、ビジネス開発の効率が向上します。

2. アリババのハードウェアアクセラレーションの探求

Alibaba の統合アクセス ゲートウェイ Tengine は、グループのすべての入力トラフィックを担当します。 HTTPS の全面的な推進により、ゲートウェイに課せられるパフォーマンス上の課題も非常に大きくなります。ビジネスは技術革新を推進します。 2017 年、アクセス ゲートウェイはハードウェア アクセラレーションの分野で第一歩を踏み出し、QAT カード ハードウェア アクセラレーション ソリューションの試行を開始しました。

1. QATカードに基づくTLSハードウェアアクセラレーションソリューション

全体的なソリューションは、Tengine の ssl_async 命令、OpenSSL + QAT エンジン、QAT ドライバーの 3 つの部分で構成されます。 Tengine は、OpenSSL-1.1.0 の非同期インターフェイスに適応することで、秘密鍵操作をハードウェアの QAT エンジンにオフロードします。エンジンは QAT ドライバーを介してハードウェアを呼び出し、非対称アルゴリズムを完了して結果を取得します。スキーム図は次のとおりです。

利点

  • HTTPS オフロードは独立したハードウェア QAT によって実行されるため、CPU 消費量は増加しません。さまざまな暗号化スイートでテストしたところ、全体的なパフォーマンスは非常に良好でした。

ソリューションの欠点

  • 運用および保守コストが非常に高く、独立した QAT カードを事前に別途購入する必要があり、電子商取引のプロモーション中に突然のトラフィック シナリオに柔軟に対応することが特に困難です。
  • 現在のコンテナ化されたデプロイメントの状況では、QAT の使用には多くの安定性の問題があります。

2. CPUマルチバッファ機能に基づくTLSオフロード高速化ソリューション

Alibaba Cloud は、Tengine QAT を調査および実践した後、オープンソースの Envoy をベースにした MSE クラウドネイティブ ゲートウェイ製品をリリースしました。学生の中には、なぜ社内の Tengine ではなく Envoy が選ばれたのか疑問に思う人もいるかもしれません。

2021年、アリババクラウドは最新のXeonプロセッサIce Lakeを搭載したECS製品をリリースしました。CPUのハードウェア特性を活かして、コンピューティング能力を50%以上大幅に向上させます。提供される暗号化アクセラレーション機能には、マルチバッファ ライブラリとの連携により AES、RSA、EC などの暗号化計算を高速化できる Vector AES が含まれます。この機能により、HTTPS ハードウェア アクセラレーションは専用ハードウェア アクセラレーション カードの制限から解放されます。 CPU 組み込み命令と SIMD メカニズムを組み合わせて使用​​すると、HTTPS パフォーマンスを大幅に向上させることもできます。これに基づいて、クラウドネイティブゲートウェイは適応の完了を先導し、ハードウェアアクセラレーションのパフォーマンス上の利点をユーザーにもたらし、ユーザーのリソースコストを増やすことなく HTTPS のパフォーマンスを大幅に向上させました。

上図のストレス テスト データから、TLS ハードウェア アクセラレーションを使用した後、TLS ハンドシェイク遅延が通常の HTTPS リクエストと比較して半分に短縮され、最大 QPS が 80% 以上増加していることがわかります。

ソリューションストレステスト

(1)ストレステストの基本環境

  • クラウドネイティブゲートウェイ仕様:1C2G * 1
  • ストレステストツール: Grafana k6
  • リクエストサイズ: 1kb
  • 証明書: RSA2048
  • 暗号スイート:ECDHE-RSA-CHACHA20-POLY1305(TLS1.2)TLS_AES_256_GCM_SHA384(TLS1.3)

(2)ストレステストの結論

1C2G の場合、ハードウェア アクセラレーションを有効にすると、最大 QPS が 80% 以上増加し、TLS ハンドシェイク時間が半分になります。注: シングルコアの極限パフォーマンスを観察しやすいため、1C2G 仕様が使用されます。

(3)テストデータ

TLS バージョン

ハードウェアアクセラレーションを有効にするかどうか

同時実行性

品質保証

TLSハンドシェイクの平均時間

TLSハンドシェイクの最大時間

1.2

有効になっていません

200

1009

98.5ミリ秒

177.37ミリ秒

1.2

有効になっていません

500

1004

313.84ミリ秒

457.56ミリ秒

1.3

有効になっていません

200

995

77.81ミリ秒

177.24ミリ秒

1.3

開ける

200

1886

48.71ミリ秒

104.04ミリ秒

1.2

開ける

200

1876

59.98ミリ秒

113.55ミリ秒

1.2

開ける

500

1873

145.81ミリ秒

262.91ミリ秒

ハードウェアアクセラレーションなしで500の同時データ

500同時接続、ハードウェアアクセラレーションが有効な場合のデータ

利点

  • 独立したハードウェアサポートは必要なく、運用・保守コストが低く、弾力的に拡張・縮小が容易です。
  • 適用可能なシナリオが広がります。

3. 最後に

ハードウェアアクセラレーション機能が正式にリリースされました。自作のハードウェア アクセラレーション マシンと比較すると、基盤となるハードウェア アクセラレーション マシンの運用やメンテナンスを気にすることなく、同じ仕様で HTTPS パフォーマンスを 2 倍にすることができます。詳細については、「クラウド ネイティブ ゲートウェイの構築」のハードウェア アクセラレーション マシンの購入を参照してください。

<<:  ハイブリッド クラウド – 企業にとって最適なソリューションか?

>>:  MongoDB と Amazon Web Services がグローバルパートナーシップを拡大

推薦する

中国移動の楊潔会長:CloudQingは力強い未来を築き、新たな旅を始める

4月25日、2023 Mobile Cloud Conferenceが盛大に開幕しました。中国移動の...

キッズランドから見る玩具小売業界の変貌

[51CTO.comからのオリジナル記事] 2020年は特別な年です。多くの企業が危機に直面しており...

共同購入サイトの60%が「死に絶えた」:割引は70%に増加

ウェブサイトの数が3,000を下回り、割引率は70%に上昇長引いていた共同購入戦争は一掃段階に入った...

企業にとってウェブサイト構築の価値とは何でしょうか?なぜウェブサイトを構築する必要があるのでしょうか?

2018年最もホットなプロジェクト:テレマーケティングロボットがあなたの参加を待っています2000年...

fliphost - 3.5 USD/2 IP/256 MB RAM/500 GB SSD/無制限トラフィック/3 つのデータセンター

Fliphost.net は 3 周年を迎えます (Fraphost、fliphost、clouds...

企業ウェブサイトを構築する際に注意すべき4つの問題について簡単に説明します。

Baidu の検索エンジンプロモーションを行う最適化担当者にとって、接するサイトの大半は企業サイトだ...

電子商取引イノベーションサービス事例:ビジュアル商品検索

1. データマイニングと精密マーケティングサービス2. ビジュアル商品検索(画像コンテンツ認識検索)...

リースウェブ - 3.5 ドル / シンガポール / G ポート / KVM / 1g メモリ / 40G ハードディスク / 4T トラフィック

昨日のニュース: リースウェブは、シンガポールのデータセンターで KVM 仮想化に基づく VPS を...

ユーザーの注目を減らすための手順 eコマースアプリのデザインから学んだ9つの成功のヒント

【はじめに】 買い手であっても売り手であっても、最も重要な点は、製品設計によってまず行動を起こせるか...

簡単な議論:業務効率を向上させるためにプロモーションスタッフを評価する方法

プロモーション担当者はどのように評価すべきでしょうか? 草の根のウェブマスターでない場合は、一般的に...

パーソナライズされた検索を妨げる可能性のある主な要因

最近の広告研究財団の会議で、私はメディア計画、メディア購入、メディアターゲティングにおけるコミュニテ...

仙羽を狙う? JD.comが中古電子商取引市場に復帰!

中古品取引はもはや新しい言葉ではなく、私たちの日常生活のいたるところで目にするようになりました。たと...

360トークによるプロモーションとマーケティング

オンラインプロモーションとマーケティングの第一歩は、トラフィックの多い場所からトラフィックを傍受する...

ネズミ年の幸運と健康を祈ります

親愛なる友人の皆さん、子年の幸福、名声、富、平和、そして健康をお祈りします。大晦日に一言言わせていた...

Baidu Clickerからウェブサイトの直帰率がランキングに影響するかどうかを確認します

SEO ブラックハットといえば、最近登場した SEO 不正ツール、Baidu Clicker につい...