Beskrivelse #
Aflæsning af hardware bruges til at uddelegere meget belastede computeropgaver til en dedikeret hardwareressource direkte i stedet for en softwareproces for at øge ydeevnen og frigøre generiske computerressourcer. Aktivering af hardware-offload-optimeringer i RELIANOID løsninger giver forbedret ydeevne, gennemløb, lavere CPU-belastning og frigør flere ressourcer til andre opgaver.
Det er velkendt, at sikker kommunikation er et must. Det er dog også velkendt, at håndtering af krypterede transmissioner er en tung byrde til et almindeligt computersystem. På grund af dette har mange leverandører i årevis tilbudt SSL-aflastningsløsninger, og nogle organisationer har udviklet dedikerede hardwareløsninger til at udføre SSL-aflæsning opgaver.
For nylig har nogle hardwareproducenter besluttet at udvide deres mikroprocessorplatforme til at integrere hardware, der er i stand til at administrere SSL-trafik effektivt. Et eksempel på dette er AES teknologi, senere forbedret med Advanced Encryption Standard Instruktion Sæt (AES-NI). AES-NI er en udvidelse til x86-arkitekturen til mikroprocessorer fra Intel og AMD. Formålet med AES-NI er at forbedre hastigheden af applikationer, der udfører kryptering og dekryptering ved hjælp af Advanced Encryption Standard (AES) som AES-128 og AES-256 chiffer. AES-NI er designet til at give 4x til 8x hastighedsforbedringer ved brug af AES-cifre til bulk datakryptering og dekryptering. I dag er AES-NI-instruktioner indlejret i de fleste Intel- og AMD-mikroprocessorer på markedet.
RELIANOID 5.1 er i stand til at kontrollere, om hovedværts-CPU'en understøtter AES-NI-instruktionssættet og tilbyde brugeren mulighed for udnyttelse af SSL-hardwareacceleration til HTTPS kommunikation. Det mest interessante aspekt af denne funktion er, at AES-NI kan bruges i RELIANOID fysiske såvel som virtuelle belastningsbalancere kører oven på almindelige hypervisorer på markedet (Vmware, KVM, Xen eller HyperV).
Hvordan fungerer HTTPS Offloading i RELIANOID fysisk eller virtuel apparat? #
Kunden anmoder om at åbne en HTTPS-forbindelse til RELIANOID Load Balancer apparat. HTTPS profil Inde i LSLB (Local Service Load Balancing) kerne genererer HTTPS-tunnelen mellem RELIANOID Server og klient. SSL-operationerne sendes til CPU'en AES-NI-hardware for at styre alle krypterings-/dekrypteringsoperationer direkte i hardware for HTTPS-trafikken mellem klient og RELIANOID. Endelig RELIANOID Serveren videresender trafikken til Backend-serverne.
Hvordan man bruger det #
For det første skal du sørge for at opdatere til RELIANOID EE 5.1 eller en nyere udgivelse. Derudover skal du kontrollere, om din hardware understøtter AES-NI, og aktivere den ved at anvende følgende trin:
Gå til RELIANOID Webpanel og opret et nyt LSLB Gård med HTTP-profil som følger:
Når den nye LSLB-farm med HTTP-profil er oprettet, skal du redigere den oprettede farm og vælge HTTPS mulighed for Lytterfelt. Nye konfigurerbare parametre vil blive vist. På dette tidspunkt RELIANOID Load Balancer-systemet vil kontrollere AES-understøttelse i CPU-hardware. Hvis det understøttes, vil SSL-aflastningsfunktionen være tilgængelig på listen over ciphers som vist nedenfor.
Vælg her muligheden SSL-aflæsning og gem ændringer.
Dette vil sende al HTTPS-trafik, der administreres af denne farm, til at blive behandlet af CPU-hardwarens AES-NI-instruktionssæt.
Benchmark-tal #
RELIANOID Load Balancer er i stand til at styre ca 72k SSL-forbindelser i sekundet med SSL-offloading aktiveret i en Intel® CoreTM i5-6500, basisfrekvens 3.20 GHz med 4 kerner.
RELIANOID Load Balancer er i stand til at styre ca 93k SSL-forbindelser i sekundet med SSL-offloading aktiveret i en Intel® Xeon E3-1245 v5, basisfrekvens 3.5 GHz med 2 x 4 kerner.
