Cloudflare garatzaileek Linuxen diskoaren enkriptatzea azkartzeko adabakietan lan egiten dute

CloudFlare

The Cloudflare garatzaileek kaleratu dute Linux kernelean diskoaren enkriptatze errendimendua optimizatzeko egiten ari diren lanari buruzko informazioa, eta horietatik prestatu dutela aipatu dute adabakiak dm-crypt eta Crypto API azpisistemetarako.

Horrekin batera, proba sintetikoari irakurtzeko eta idazteko banda zabalera bikoizteko baimena eman zitzaion. baita latentzia erdibitu. Benetako makinetan probatzerakoan, enkriptatze orokorra datuekin enkriptatzea erabili gabe disko batekin lan egitean ikusten den mailara murriztu zen.

Enkriptazioa hobetzeko interesa datuak diskoan Cloudflare-k dm-crypt erabiltzen duelako da edukia CDN batean gordetzeko erabiltzen diren unitateetako datuak enkriptatzeko. Dm-kriptak blokearen gailuaren mailan funtzionatzen du eta irakurri eskaerak idazteko eta deszifratzeko I / O eskaerak enkriptatzen ditu, bloke gailuaren eta fitxategi sistemaren kontrolatzailearen arteko geruza gisa jokatuz.

Errendimendua ebaluatzeko dm-crypt I / O proba pakete malgua erabiliz, sPartizio enkriptatuekin lan egiteko abiadura neurtu nuen eta ez dago RAM-an kokatutako RAM diskoan enkriptatuta diskoaren errendimenduaren gorabeherak ezabatzeko.

Zifratu gabeko partizioetarako, irakurtzeko eta idazteko errendimendua 1126 MB / s-koa izan zen, baina enkriptatzea aktibatuta zegoenean, abiadura 7 aldiz jaitsi zen 147 MB ​​/ s-ra.

Hasieran, algoritmo ez-eraginkorren erabilera susmatzen zen kernel sistema kriptografikoan. Baina probek aes-xts algoritmo azkarragoa erabili zuten 256 enkriptatze gakoekin. Horren errendimendua "cryptsetup benchmark" exekutatzean RAM diskoa probatzean lortutako emaitza baino bi aldiz handiagoa da.

dm-kripta

esperimentuak dm-crypt banderekin errendimendua doitzeko ez zuen funtzionatu: –Perf-same_cpu_crypt bandera erabiltzerakoan, errendimendua 136 MB / s-ra jaitsi zen eta –perf-submit_from_crypt_cpus bandera erabiltzen zenean 166 MB / s-ra igo zen.

Azterketa sakonagoa lanaren logikarena erakutsi du dm-crypt ez dela hain erraza dirudienez.

FS kontrolagailutik idazketa eskaera jasotzen denean, dm-crypt-ek ez du berehala prozesatzen, baina "kcryptd" ilaran jartzen du, berehala ulertzen ez dena, baina denbora ona gertatzen denean. Ilaratik, eskaera Linux Crypto APIra bidaltzen da enkriptatzeko.

Lehenengoa irakurtzean, "kcryptd_io" dm-crypt ilarak unitatetik datuak jasotzeko eskaera. gero denborarekin, datuak eskuragarri daude eta "kcryptd" ilaran daude deszifratzeko.

Kcryptd-k eskaera bat bidaltzen du Linux Encryption APIra eta honek informazioa modu sinkronoan deszifratzen du. Eskaerak ez dira beti ilara guztietatik pasatzen, baina kasurik txarrenean, idazketa eskaera 4 aldiz ilaretan ezartzen da eta irakurtzeko eskaera 3 aldiz arte. Isatsean kolpatutako bakoitzak atzerapenak ekartzen ditu, dm-crypt errendimendua nabarmen jaisteko funtsezko arrazoia.

Unitate modernoak azkarragoak eta azkarragoak direla kontuan hartuta, Linux kerneleko baliabideen esleipen sistema berrikusi da eta azpisistema batzuk berriz diseinatu dira, Cloudflare ingeniariek dm-kriptari funtzionamendu modu berria gehitu diote, ilara osagarriak eta dei asinkronoen erabilera ezabatuz.

Modua "force_inline" bereizitako bandaren bidez gaitzen da eta sarrerako eskaerak enkriptatu eta deszifratzen dituen proxy soil baten moduan hartzen du dm-crypt. Crypto APIarekiko elkarreragina enkriptatze algoritmoen aukera esplizituaren bidez optimizatu da Modu sinkronikoan funtzionatzen dute eta ez dute eskaera ilararik erabiltzen.

Karga benetako zerbitzarietan probatzerakoan, hedapen berriak zifratu gabe funtzionatzen duen konfiguraziotik oso hurbileko errendimendua erakutsi du eta Cloudflare cachea duten zerbitzarietan enkriptatzea sartzeak ez du erantzunaren abiaduran eraginik izan.

Etorkizunean, Cloudflare-k prestatutako adabak Linux kernel nagusira transferitzeko asmoa du, baina aurretik aldatu egin beharko dira, karga jakin baterako optimizatuta baitaude eta ez baitituzte aplikazio eremu guztiak estaltzen.

Fuente: https://blog.cloudflare.com


Artikuluaren edukia gure printzipioekin bat dator etika editoriala. Akats baten berri emateko egin klik hemen.

Idatzi lehenengo iruzkina

Utzi zure iruzkina

Zure helbide elektronikoa ez da argitaratuko. Beharrezko eremuak markatuta daude *

*

*

  1. Datuen arduraduna: Miguel Ángel Gatón
  2. Datuen xedea: SPAM kontrolatzea, iruzkinen kudeaketa.
  3. Legitimazioa: Zure baimena
  4. Datuen komunikazioa: datuak ez zaizkie hirugarrenei jakinaraziko legezko betebeharrez izan ezik.
  5. Datuak biltegiratzea: Occentus Networks-ek (EB) ostatatutako datu-basea
  6. Eskubideak: Edonoiz zure informazioa mugatu, berreskuratu eta ezabatu dezakezu.