パフォーマンスが2倍になります! Cloud Native GatewayはTLSハードウェアアクセラレーションをサポート

ネットワーク環境がますます複雑になるにつれて、従来の HTTP プレーンテキスト伝送プロトコルによってもたらされる伝送セキュリティ リスクも増大しています。そのため、HTTPS 暗号化伝送プロトコルは業界で一般的に認知され、広く使用されています。全ての物事には二つの側面がある。 HTTPS はより高い伝送セキュリティをもたらしますが、認証とデータの暗号化および復号化が必要であるため、HTTPS を使用すると、Web サイトのアクセス速度が HTTP よりも「遅く」なり、サーバーの CPU 消費量が増加し、マシンのコストが「高価」になります。

業界では、HTTPS のパフォーマンスを最適化するための調査も数多く行われてきました。従来のソフトウェア最適化ソリューションには、セッション再利用、OCSP ステープル、False Start、動的レコード サイズ、TLS1.3、HSTS などがあります。ただし、ソフトウェアをどのように最適化しても、増大するトラフィック速度に対応することはできません。さらに、CPU のムーアの法則は終焉期に入り、CPU を集中的に使用する計算をオフロードする専用ハードウェアが業界で一般的なソリューションとなっています。

1. ゲートウェイが HTTPS 最適化 (TLS オフロード最適化) に最適なパスであるのはなぜですか?

ゲートウェイは、ビジネス アプリケーションに入るための要求トラフィックの橋頭保として、ビジネス間で共通する要求である HTTPS 最適化の着陸地点として非常に適しています。具体的なメリットは以下のとおりです。

運用・保守コストの削減: ゲートウェイによる HTTPS の統一的な処理は、各事業体による分散的な処理よりも運用・保守コストが低くなるのは明らかです。

マシン コストの削減: 通常、ゲートウェイはクラスター化された規模で展開され、統合された HTTPS 最適化により、マシン コストの大幅な最適化が実現されます。

ビジネス効率の向上: ゲートウェイが HTTPS を処理すると、ビジネスは独自のロジックに集中するだけでよくなり、ビジネス開発の効率が向上します。

2. アリババのハードウェアアクセラレーションの探求

Alibaba の統合アクセス ゲートウェイ Tengine は、グループのすべての入力トラフィックを担当します。 HTTPS の全面的な推進により、ゲートウェイに課せられるパフォーマンス上の課題も非常に大きくなります。ビジネスは技術革新を推進します。 2017 年、アクセス ゲートウェイはハードウェア アクセラレーションの分野で第一歩を踏み出し、QAT カード ハードウェア アクセラレーション ソリューションの試行を開始しました。

1. QATカードに基づくTLSハードウェアアクセラレーションソリューション

全体的なソリューションは、Tengine の ssl_async 命令、OpenSSL + QAT エンジン、QAT ドライバーの 3 つの部分で構成されます。 Tengine は、OpenSSL-1.1.0 の非同期インターフェイスに適応することで、秘密鍵操作をハードウェアの QAT エンジンにオフロードします。エンジンは QAT ドライバーを介してハードウェアを呼び出し、非対称アルゴリズムを完了して結果を取得します。スキーム図は次のとおりです。

利点

• HTTPS オフロードは独立したハードウェア QAT によって実行されるため、CPU 消費量は増加しません。さまざまな暗号化スイートでテストしたところ、全体的なパフォーマンスは非常に良好でした。

ソリューションの欠点

• 運用および保守コストが非常に高く、独立した QAT カードを事前に別途購入する必要があり、電子商取引のプロモーション中に突然のトラフィック シナリオに柔軟に対応することが特に困難です。
• 現在のコンテナ化されたデプロイメントの状況では、QAT の使用には多くの安定性の問題があります。

2. CPUマルチバッファ機能に基づくTLSオフロード高速化ソリューション

Alibaba Cloud は、Tengine QAT を調査および実践した後、オープンソースの Envoy をベースにした MSE クラウドネイティブ ゲートウェイ製品をリリースしました。学生の中には、なぜ社内の Tengine ではなく Envoy が選ばれたのか疑問に思う人もいるかもしれません。

2021年、アリババクラウドは最新のXeonプロセッサIce Lakeを搭載したECS製品をリリースしました。CPUのハードウェア特性を活かして、コンピューティング能力を50％以上大幅に向上させます。提供される暗号化アクセラレーション機能には、マルチバッファ ライブラリとの連携により AES、RSA、EC などの暗号化計算を高速化できる Vector AES が含まれます。この機能により、HTTPS ハードウェア アクセラレーションは専用ハードウェア アクセラレーション カードの制限から解放されます。 CPU 組み込み命令と SIMD メカニズムを組み合わせて使用​​すると、HTTPS パフォーマンスを大幅に向上させることもできます。これに基づいて、クラウドネイティブゲートウェイは適応の完了を先導し、ハードウェアアクセラレーションのパフォーマンス上の利点をユーザーにもたらし、ユーザーのリソースコストを増やすことなく HTTPS のパフォーマンスを大幅に向上させました。

上図のストレス テスト データから、TLS ハードウェア アクセラレーションを使用した後、TLS ハンドシェイク遅延が通常の HTTPS リクエストと比較して半分に短縮され、最大 QPS が 80% 以上増加していることがわかります。

ソリューションストレステスト

（１）ストレステストの基本環境

• クラウドネイティブゲートウェイ仕様：1C2G * 1
• ストレステストツール: Grafana k6
• リクエストサイズ: 1kb
• 証明書: RSA2048
• 暗号スイート:ECDHE-RSA-CHACHA20-POLY1305(TLS1.2)TLS_AES_256_GCM_SHA384(TLS1.3)

（２）ストレステストの結論

1C2G の場合、ハードウェア アクセラレーションを有効にすると、最大 QPS が 80% 以上増加し、TLS ハンドシェイク時間が半分になります。注: シングルコアの極限パフォーマンスを観察しやすいため、1C2G 仕様が使用されます。

（３）テストデータ

ハードウェアアクセラレーションなしで500の同時データ

500同時接続、ハードウェアアクセラレーションが有効な場合のデータ

利点

• 独立したハードウェアサポートは必要なく、運用・保守コストが低く、弾力的に拡張・縮小が容易です。
• 適用可能なシナリオが広がります。

3. 最後に

ハードウェアアクセラレーション機能が正式にリリースされました。自作のハードウェア アクセラレーション マシンと比較すると、基盤となるハードウェア アクセラレーション マシンの運用やメンテナンスを気にすることなく、同じ仕様で HTTPS パフォーマンスを 2 倍にすることができます。詳細については、「クラウド ネイティブ ゲートウェイの構築」のハードウェア アクセラレーション マシンの購入を参照してください。