简介&＃xff1a;业界在优化 HTTPS 的性能上也做了诸多探索&＃xff0c;传统的软件优化方案有 Session 复用、OCSP Stapling、False Start、dynamic record size、TLS1.3、HSTS 等, 但软件层面如何优化也无法满足流量日益增长的速度&＃xff0c;加上 CPU 摩尔定律已入暮年&＃xff0c;使得专用硬件卸载 CPU 密集型运算成为业界一个通用解决方案。

作者&＃xff5c;井轶

审核&校对&＃xff5c;如葑

随着网络环境的日渐复杂&＃xff0c;传统 HTTP 明文传输协议带来的传输安全风险也日渐升高&＃xff0c;因此 HTTPS 的密文传输协议得到了业界的普遍认可与广泛应用&＃xff1b;任何事情都有其两面性&＃xff0c;HTTPS 带来更高传输安全性的同时&＃xff0c;由于需要做认证及数据加解密&＃xff0c;相比 HTTP 使用 HTTPS 后使得网站访问速度变“慢”&＃xff0c;且导致服务器 CPU 消耗变高、从而机器成本变得更“贵”。

业界在优化 HTTPS 的性能上也做了诸多探索&＃xff0c;传统的软件优化方案有 Session 复用、OCSP Stapling、False Start、dynamic record size、TLS1.3、HSTS 等, 但软件层面如何优化也无法满足流量日益增长的速度&＃xff0c;加上 CPU 摩尔定律已入暮年&＃xff0c;使得专用硬件卸载 CPU 密集型运算成为业界一个通用解决方案。

网关为什么是 HTTPS 优化&＃xff08;TLS 卸载优化&＃xff09;的最佳路径&＃xff1f;

网关作为请求流量进入业务应用的桥头堡&＃xff0c;对于 HTTPS 优化这种跨业务的通用诉求是非常适合的落脚点&＃xff0c;具体优势如下&＃xff1a;

• 运维降本&＃xff1a;网关统一处理 HTTPS 显然相比各业务分散处理运维成本更低。
• 机器降本&＃xff1a;通常网关采用集群化的规模部署&＃xff0c;统一 HTTPS 优化能够带来显著的机器成本优化。
• 业务提效&＃xff1a;网关处理 HTTPS 后&＃xff0c;业务只需关注自身逻辑即可&＃xff0c;提升业务开发效率。

阿里在硬件加速上的探索

阿里统一接入网关 Tengine 承担着集团所有的入口流量&＃xff0c;随着 HTTPS 化的全面推进&＃xff0c;对于网关的性能挑战也非常大。业务驱动了技术创新&＃xff0c;2017 年接入网关在硬件加速领域也迈出了第一步&＃xff0c;开始尝试 QAT 卡硬件加速方案。

基于 QAT 卡的 TLS 硬件加速方案

整体方案由三部分组成&＃xff1a;Tengine的ssl_async 指令、OpenSSL &＃43; QAT Engine 及 QAT Driver。其中 Tengine 通过适配 OpenSSL-1.1.0 的异步接口&＃xff0c;将私钥操作卸载至硬件的 QAT engine 中&＃xff0c;引擎通过 QAT 驱动调用硬件完成非对称算法取回结果。方案图示如下&＃xff1a;

方案优点

• HTTPS 卸载由独立硬件 QAT 完成&＃xff0c;不额外增加 CPU 消耗&＃xff0c;使用不同的加密套件测试&＃xff0c;整体上性能非常好。详细性能数据可见文末文章链接《在阿里的统一接入层上进行了硬件加速的探索》。

方案缺点

• 运维成本非常高&＃xff0c;独立的 QAT 卡需要提前独立采购&＃xff0c;尤其对于电商大促的突发流量场景无法做到弹性。
• 在目前容器化部署的大背景下&＃xff0c;QAT 的使用有很多稳定性问题。

基于 CPU Multi-Buffer 特性的 TLS 卸载加速方案

在经历 Tengine QAT 的探索实践后&＃xff0c;阿里云推出了基于开源 Envoy 构建的 MSE 云原生网关产品&＃xff0c;读到这里有的同学可能会疑惑为什么选择 Envoy 而不是内部的 Tengine&＃xff0c;关于这个问题的答案在《阿里巴巴云原生网关三位一体的选择与实践》 中。

阿里云 2021 年发布了 搭载最新至强处理器 Ice Lake 的 ECS 产品&＃xff0c;利用 CPU 的硬件特性使得算力大幅提升 50% 以上。其中提供的 Crypto Acceleration 特性&＃xff0c;包括 Vector AES &＃xff0c;通过 multi-buffer lib 配合&＃xff0c;能够加速 AES、 RSA、EC 等密码学计算。利用该特性使得 HTTPS 硬件加速得以摆脱专用硬件加速卡的限制&＃xff0c;使用 CPU 内置指令结合 SIMD 机制也可以大幅提升 HTTPS 的性能。基于此云原生网关率先完成了对其适配&＃xff0c;将硬件加速的性能优势带给用户&＃xff0c;在不增加用户资源成本的同时大幅度提升 HTTPS 的性能。

从上图压测数据可以看出使用 TLS 硬件加速后&＃xff0c;相比普通 HTTPS 请求 TLS 握手时延降低一倍&＃xff0c;极限 QPS 提升 80% 以上。

方案压测

1、压测基础环境

• 云原生网关规格: 1C2G * 1
• 压测工具&＃xff1a;Grafana k6
• 请求大小: 1kb
• 证书&＃xff1a;RSA2048
• 加密套件:

ECDHE-RSA-CHACHA20-POLY1305(TLS1.2) TLS_AES_256_GCM_SHA384(TLS1.3)

2、压测结论

1C2G 情况下&＃xff0c;开启硬件加速后极限 QPS 提高 80% 以上&＃xff0c;TLS 握手时间降低一倍。注&＃xff1a;采用 1C2G 规格是因为更容易观察单核极限性能。

3、测试数据

500 并发没开启硬件加速时的数据

500 并发&＃xff0c;开启硬件加速时的数据

方案优点

• 无需独立硬件支持&＃xff0c;运维成本低且易于弹性扩缩容。
• 适用场景更广泛。

写在最后

目前硬件加速功能已经正式上线&＃xff0c;相比自建&＃xff0c;您无需关心底层硬件加速机器的运维就能在同规格下获取一倍的 HTTPS 性能提升&＃xff0c;具体可参考新建云原生网关进行硬件加速机器的购买。

相关链接

《在阿里的统一接入层上进行了硬件加速的探索》阿里七层流量入口 Tengine硬件加速探索之路-阿里云开发者社区

《阿里云上新了&＃xff1a;搭载最新至强处理器 Ice Lake&＃xff0c;算力提升 50% 以上》

阿里云上新了&＃xff1a;搭载最新至强处理器Ice Lake&＃xff0c;算力提升50%以上-阿里云开发者社区

新建云原生网关

新建云原生网关 - 微服务引擎MSE - 阿里云

原文链接

本文为阿里云原创内容&＃xff0c;未经允许不得转载。