性能提升一倍,云原生网关支持 TLS 硬件加速
簡介:業界在優化 HTTPS 的性能上也做了諸多探索,傳統的軟件優化方案有 Session 復用、OCSP Stapling、False Start、dynamic record size、TLS1.3、HSTS 等, 但軟件層面如何優化也無法滿足流量日益增長的速度,加上 CPU 摩爾定律已入暮年,使得專用硬件卸載 CPU 密集型運算成為業界一個通用解決方案。
作者|井軼
審核&校對|如葑
隨著網絡環境的日漸復雜,傳統 HTTP 明文傳輸協議帶來的傳輸安全風險也日漸升高,因此 HTTPS 的密文傳輸協議得到了業界的普遍認可與廣泛應用;任何事情都有其兩面性,HTTPS 帶來更高傳輸安全性的同時,由于需要做認證及數據加解密,相比 HTTP 使用 HTTPS 后使得網站訪問速度變“慢”,且導致服務器 CPU 消耗變高、從而機器成本變得更“貴”。
業界在優化 HTTPS 的性能上也做了諸多探索,傳統的軟件優化方案有 Session 復用、OCSP Stapling、False Start、dynamic record size、TLS1.3、HSTS 等, 但軟件層面如何優化也無法滿足流量日益增長的速度,加上 CPU 摩爾定律已入暮年,使得專用硬件卸載 CPU 密集型運算成為業界一個通用解決方案。
網關為什么是 HTTPS 優化(TLS 卸載優化)的最佳路徑?
網關作為請求流量進入業務應用的橋頭堡,對于 HTTPS 優化這種跨業務的通用訴求是非常適合的落腳點,具體優勢如下:
- 運維降本:網關統一處理 HTTPS 顯然相比各業務分散處理運維成本更低。
- 機器降本:通常網關采用集群化的規模部署,統一 HTTPS 優化能夠帶來顯著的機器成本優化。
- 業務提效:網關處理 HTTPS 后,業務只需關注自身邏輯即可,提升業務開發效率。
阿里在硬件加速上的探索
阿里統一接入網關 Tengine 承擔著集團所有的入口流量,隨著 HTTPS 化的全面推進,對于網關的性能挑戰也非常大。業務驅動了技術創新,2017 年接入網關在硬件加速領域也邁出了第一步,開始嘗試 QAT 卡硬件加速方案。
基于 QAT 卡的 TLS 硬件加速方案
整體方案由三部分組成:Tengine的ssl_async 指令、OpenSSL + QAT Engine 及 QAT Driver。其中 Tengine 通過適配 OpenSSL-1.1.0 的異步接口,將私鑰操作卸載至硬件的 QAT engine 中,引擎通過 QAT 驅動調用硬件完成非對稱算法取回結果。方案圖示如下:
方案優點
- HTTPS 卸載由獨立硬件 QAT 完成,不額外增加 CPU 消耗,使用不同的加密套件測試,整體上性能非常好。詳細性能數據可見文末文章鏈接《在阿里的統一接入層上進行了硬件加速的探索》。
方案缺點
- 運維成本非常高,獨立的 QAT 卡需要提前獨立采購,尤其對于電商大促的突發流量場景無法做到彈性。
- 在目前容器化部署的大背景下,QAT 的使用有很多穩定性問題。
基于 CPU Multi-Buffer 特性的 TLS 卸載加速方案
在經歷 Tengine QAT 的探索實踐后,阿里云推出了基于開源 Envoy 構建的 MSE 云原生網關產品,讀到這里有的同學可能會疑惑為什么選擇 Envoy 而不是內部的 Tengine,關于這個問題的答案在《阿里巴巴云原生網關三位一體的選擇與實踐》 中。
阿里云 2021 年發布了 搭載最新至強處理器 Ice Lake 的 ECS 產品,利用 CPU 的硬件特性使得算力大幅提升 50% 以上。其中提供的 Crypto Acceleration 特性,包括 Vector AES ,通過 multi-buffer lib 配合,能夠加速 AES、 RSA、EC 等密碼學計算。利用該特性使得 HTTPS 硬件加速得以擺脫專用硬件加速卡的限制,使用 CPU 內置指令結合 SIMD 機制也可以大幅提升 HTTPS 的性能。基于此云原生網關率先完成了對其適配,將硬件加速的性能優勢帶給用戶,在不增加用戶資源成本的同時大幅度提升 HTTPS 的性能。
從上圖壓測數據可以看出使用 TLS 硬件加速后,相比普通 HTTPS 請求 TLS 握手時延降低一倍,極限 QPS 提升 80% 以上。
方案壓測
1、壓測基礎環境
- 云原生網關規格: 1C2G * 1
- 壓測工具:Grafana k6
- 請求大小: 1kb
- 證書:RSA2048
- 加密套件:
ECDHE-RSA-CHACHA20-POLY1305(TLS1.2) TLS_AES_256_GCM_SHA384(TLS1.3)
2、壓測結論
1C2G 情況下,開啟硬件加速后極限 QPS 提高 80% 以上,TLS 握手時間降低一倍。注:采用 1C2G 規格是因為更容易觀察單核極限性能。
3、測試數據
| TLS版本 | 是否開啟硬件加速 | 并發度 | QPS | TLS握手平均時間 | TLS握手最長時間 |
| 1.2 | 未開啟 | 200 | 1009 | 98.5ms | 177.37ms |
| 1.2 | 未開啟 | 500 | 1004 | 313.84ms | 457.56ms |
| 1.3 | 未開啟 | 200 | 995 | 77.81ms | 177.24ms |
| 1.3 | 開啟 | 200 | 1886 | 48.71ms | 104.04ms |
| 1.2 | 開啟 | 200 | 1876 | 59.98ms | 113.55ms |
| 1.2 | 開啟 | 500 | 1873 | 145.81ms | 262.91ms |
500 并發沒開啟硬件加速時的數據
500 并發,開啟硬件加速時的數據
方案優點
- 無需獨立硬件支持,運維成本低且易于彈性擴縮容。
- 適用場景更廣泛。
寫在最后
目前硬件加速功能已經正式上線,相比自建,您無需關心底層硬件加速機器的運維就能在同規格下獲取一倍的 HTTPS 性能提升,具體可參考新建云原生網關進行硬件加速機器的購買。
相關鏈接
《在阿里的統一接入層上進行了硬件加速的探索》阿里七層流量入口 Tengine硬件加速探索之路-阿里云開發者社區
《阿里云上新了:搭載最新至強處理器 Ice Lake,算力提升 50% 以上》
阿里云上新了:搭載最新至強處理器Ice Lake,算力提升50%以上-阿里云開發者社區
新建云原生網關
新建云原生網關 - 微服務引擎MSE - 阿里云
原文鏈接
本文為阿里云原創內容,未經允許不得轉載。?
總結
以上是生活随笔為你收集整理的性能提升一倍,云原生网关支持 TLS 硬件加速的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 技术分享:从双11看实时数仓Hologr
- 下一篇: 宜创科技:低代码技术赋能企业数字化