Cloudflare әзірлеушілері Linux-та дискілерді шифрлауды жылдамдату үшін патчтармен жұмыс істейді

CloudFlare

The Cloudflare әзірлеушілері шығарылды Linux ядросындағы дискіні шифрлау өнімділігін оңтайландыру бойынша жүргізіп жатқан жұмыстары туралы ақпарат, олар дайындалғандығы туралы dm-crypt және Crypto API ішкі жүйелеріне арналған патчтар.

Сонымен бірге, синтетикалық тест оқылым мен жазудың өткізу қабілетін екі есеге арттыруға мүмкіндік берді, сондай-ақ кідірісті екі есеге азайту. Нақты машиналарда тестілеу кезінде шифрлау үстеме ақы деректерді шифрлауды қолданбай дискімен жұмыс істеу кезінде байқалатын деңгейге дейін азайтылды.

Шифрлауды жақсартуға деген қызығушылық дискідегі деректер бұл Cloudflare dm-crypt қолданады CDN-де мазмұнды кэштеу үшін пайдаланылатын дискілердегі деректерді шифрлау үшін. Dm-crypt блоктың құрылғысы деңгейінде жұмыс істейді және блок-құрылғы мен файлдық жүйенің драйвері арасындағы қабат рөлін орындай отырып, оқылған сұраныстарды жазу және дешифрлеу үшін енгізу-шығару сұраныстарын шифрлайды.

Өнімділікті бағалау dm-crypt икемді енгізу-шығару сынағын пайдалану арқылы, се шифрланған бөлімдермен жұмыс істеу жылдамдығын өлшеді және дискінің жұмысындағы ауытқуларды жою үшін жедел жадта орналасқан жедел жадының дискісіне шифрланбаған.

Шифрланбаған бөлімдер үшін оқу мен жазудың өнімділігі 1126 МБ / с деңгейінде қалды, бірақ шифрлау қосылған кезде жылдамдық 7 есе төмендеп, 147 МБ / с дейін құрады.

Бастапқыда, тиімсіз алгоритмдерді қолдануға күдік туды ядро криптографиялық жүйесінде. Бірақ тесттерде 256 шифрлау кілттері бар aes-xts жылдам алгоритмі қолданылды, оның «криптовалюта эталонын» іске қосу кезінде жедел жады дискіні тексеру кезінде алынған нәтижеден екі есе артық.

дм-крипт

Тәжірибелер dm-crypt жалаушаларымен өнімділікті реттеу үшін жұмыс істемеді: –Perf-same_cpu_crypt жалаушасы қолданылған кезде, өнімділік тіпті 136МБ / с дейін төмендеді, ал –perf-submit_from_crypt_cpus жалаушасы қолданылған кезде ол тек 166МБ / с дейін өсті.

Тереңірек талдау жұмыс логикасы dm-криптінің қарапайым емес екенін көрсетті меніңше.

FS контроллерінен жазу туралы сұрау түскен кезде, dm-crypt оны бірден өңдемейді, бірақ «kcryptd» кезегіне қояды, ол бірден түсінілмейді, бірақ жақсы уақыт пайда болады. Кезектен бастап, шифрлау үшін сұрау Linux Crypto API-ге жіберіледі.

Алдымен оқығанда, dm-crypt «kcryptd_io» кезектері блоктан мәлімет алу туралы сұраныс. Кейін біраз уақытқа дейін деректер қол жетімді және олар шифрды ашу үшін «kcryptd» кезегінде тұр.

Kcryptd Linux Encryption API сұранысын жібереді, ол ақпаратты асинхронды түрде шифрдан шығарады. Сұранымдар барлық кезектерден өте бермейді, бірақ ең нашар жағдайда, жазу сұранысы кезекте 4 есеге дейін орнатылады және оқу сұранысы 3 есеге дейін. Құйрықтағы әрбір соққы кешігуге әкеледі, dm-crypt өнімділігінің айтарлықтай төмендеуінің негізгі себебі болып табылады.

Заманауи дискілер тезірек және ақылды болғанын ескере отырып, Linux ядросында ресурстарды бөлу жүйесі қайта қаралды және кейбір ішкі жүйелер қайта жасақталды, Cloudflare инженерлері dm-crypt-те жаңа жұмыс режимін қосты, қосымша кезектер мен асинхронды қоңырауларды пайдалануды болдырмады.

Режим жеке «force_inline» жалаушасымен қосылып, dm-crypt-ті келіп түсетін сұраныстарды шифрлайтын және шифрын шешетін қарапайым прокси түріне келтіреді. Крипто API-мен өзара әрекеттесу шифрлау алгоритмдерін нақты таңдау арқылы оңтайландырылды Олар синхронды режимде жұмыс істейді және сұраныс кезектерін қолданбайды.

Нақты серверлерге жүктемені сынау кезінде жаңа енгізу шифрлаусыз жұмыс істейтін конфигурацияға өте жақын өнімділігін көрсетті және Cloudflare кэші бар серверлерге шифрлауды қосу жауап жылдамдығына әсер етпеді.

Келешекте, Cloudflare дайындалған патчтарды негізгі Linux ядросына өткізуді жоспарлап отыр, бірақ бұған дейін оларды өзгерту керек болады, өйткені олар белгілі бір жүктеме үшін оңтайландырылған және барлық қолдану аймақтарын қамтымайды.

Дерек көзі: https://blog.cloudflare.com


Мақаланың мазмұны біздің ұстанымдарымызды ұстанады редакторлық этика. Қате туралы хабарлау үшін нұқыңыз Мұнда.

Бірінші болып пікір айтыңыз

Пікіріңізді қалдырыңыз

Сіздің электрондық пошта мекен-жайы емес жарияланады. Міндетті өрістер таңбаланған *

*

*

  1. Деректерге жауапты: Мигель Анхель Гатан
  2. Деректердің мақсаты: СПАМ-ны басқару, түсініктемелерді басқару.
  3. Заңдылық: Сіздің келісіміңіз
  4. Деректер туралы ақпарат: заңды міндеттемелерді қоспағанда, деректер үшінші тұлғаларға жіберілмейді.
  5. Деректерді сақтау: Occentus Networks (ЕО) орналастырған мәліметтер базасы
  6. Құқықтар: Сіз кез-келген уақытта ақпаратты шектей, қалпына келтіре және жоя аласыз.