Cloudflare Developers Linux'тагы Дисктин Шифрленишин Ылдамдатуу Үчүн Тактар ​​иштейт

Cloudflare

The Cloudflare иштеп чыгуучулары чыгарды Linux өзөгүндө диск шифрлөөнүн иштешин оптималдаштыруу боюнча жасап жаткан иштери жөнүндө маалымат, алар даярдалгандыгын белгилешет dm-crypt жана Crypto API подсистемалары үчүн патчтар.

Ушуну менен, синтетикалык тест окууга жана жазууга өткөрүү жөндөмүн эки эсе көбөйтүүгө мүмкүнчүлүк берди, ошондой эле кечигүүнү эки эсеге кыскартуу. Чыныгы машиналарда тестирлөөдө, шифрлөө үстүнкү бөлүгү маалыматтарды шифрлөөнү колдонбостон, диск менен иштөөдө байкалган деңгээлге чейин төмөндөгөн.

Шифрлөөнү жакшыртууга кызыгуу дисктеги маалыматтар анткени Cloudflare dm-crypt колдонот CDNдеги кэшти сактоо үчүн колдонулган дисктердеги маалыматтарды шифрлөө үчүн. Dm-crypt блоктун түзүлүшүнүн деңгээлинде иштейт жана блоктук шайман менен файл тутумунун драйверинин ортосундагы катмар катары иш алып барган, окуу сурамдарын жазуу жана шифрин ачуу үчүн I / O сурамдарын шифрлейт.

Натыйжалуулугун баалоо үчүн dm-crypt ийкемдүү I / O тест пакетин колдонуп, сe шифрленген бөлүктөр менен иштөө ылдамдыгын өлчөдү жана дисктин иштешинин олку-солку болушун жоюу үчүн оперативдүү эс тутумунда жайгашкан RAM дискине шифрленген эмес.

Шифрленбеген бөлүктөр үчүн окуу жана жазуу көрсөткүчтөрү 1126 Мб / с түздү, бирок шифрлөө күйгүзүлгөндө, ылдамдык 7 эсе төмөндөп, 147 Мб / сек.

Биринчи учурда, натыйжасыз алгоритмдерди колдонуу шектелген ядронун криптографиялык тутумунда. Бирок тесттер 256 шифрлөө ачкычтары бар aes-xts ылдамыраак алгоритмин колдонгон, алардын "криптсетуп эталонун" иштеткенде, оперативдүү эс тутумдун дискисин тестирлөөдө алынган натыйжадан эки эсе жогору.

dm-crypt

Эксперименттер dm-crypt желектери менен натыйжалуулугун жөндөө үчүн иштеген жок: -Perf-same_cpu_crypt желеги колдонулганда, аткаруу 136MB / s чейин төмөндөгөн, ал эми --perf-submit_from_crypt_cpus желеги колдонулганда, ал 166MB / s чейин гана көбөйгөн.

Тереңирээк талдоо иштин логикасы dm-crypt ушунчалык жөнөкөй эмес экендигин көрсөттү көрүнгөндөй.

FS контроллеринен жазуу өтүнүчү келип түшкөндө, dm-crypt аны дароо иштетпейт, тескерисинче, "kcryptd" кезегине коет, ал дароо түшүнүксүз, бирок жакшы убакыт келгенде. Кезектен баштап, суроо-талап шифрлөө үчүн Linux Crypto APIге жөнөтүлөт.

Алгач окуганда, dm-crypt "kcryptd_io" кезектери бирдиктен маалыматтарды алуу өтүнүчү. ошондо убакыттын өтүшү менен, маалыматтар жеткиликтүү жана алар чечмелөө үчүн "kcryptd" кезекке турушат.

Kcryptd Linux Encryption API сурам жөнөтөт, ал маалыматты асинхрондуу чечмелейт. Сурамдар бардык эле кезектерден өтө бербейт, бирок эң начар учурда, жазуу өтүнүчү кезекте 4 эсеге чейин коюлат жана окуу талабы 3 эсеге чейин. Кезекте турган ар бир сокку кечигүүгө алып келет, dm-crypt өндүрүмдүүлүгүнүн олуттуу төмөндөшүнүн негизги себеби болуп саналат.

Заманбап дисктер ылдамыраак жана акылдуураак болуп калгандыгын эске алып, Linux өзөгүндө ресурстарды бөлүштүрүү тутуму кайра каралып чыккан жана айрым подсистемалар кайрадан иштелип чыккан, Cloudflare инженерлери dm-cryptке жаңы иштөө режимин кошуп, кошумча кезектерди жана асинхрондук чалууларды колдонууну жокко чыгарды.

Режим өзүнчө "force_inline" желеги менен иштетилип, dm-crypt келип түшкөн сурамдарды шифрлеп жана чечмелеген жөнөкөй прокси түрүнө өтөт. Crypto API менен өз ара аракеттенүү шифрлөө алгоритмдерин так тандоо аркылуу оптималдаштырылды Алар синхрондуу режимде иштешет жана суроо-талап кезектерин колдонушпайт.

Чыныгы серверлердеги жүктү текшерүүдө, жаңы жайылтуу шифрлөөсүз иштеген конфигурацияга жакын иштешин көрсөттү жана Cloudflare кэши бар серверлерге шифрлөөнү киргизүү жооп ылдамдыгына таасирин тийгизген жок.

Келечекте, Cloudflare даярдалган патчтарды негизги Linux ядросуна өткөрүүнү пландап жатат, бирок ага чейин аларды өзгөртүү керек болот, анткени алар белгилүү бир жүктөмгө ылайыкташтырылган жана колдонуунун бардык тармактарын камтыбайт.

булагы: https://blog.cloudflare.com


Макаланын мазмуну биздин принциптерге карманат редакциялык этика. Ката жөнүндө кабарлоо үчүн чыкылдатыңыз бул жерде.

Комментарий биринчи болуп

Комментарий калтырыңыз

Сиздин электрондук почта дареги жарыяланбайт. Милдеттүү талаалар менен белгиленет *

*

*

  1. Маалыматтар үчүн жооптуу: Мигель Анхель Гатан
  2. Маалыматтын максаты: СПАМды көзөмөлдөө, комментарийлерди башкаруу.
  3. Мыйзамдуулук: Сиздин макулдугуңуз
  4. Маалыматтарды берүү: Маалыматтар үчүнчү жактарга юридикалык милдеттенмелерден тышкары билдирилбейт.
  5. Маалыматтарды сактоо: Occentus Networks (ЕС) тарабынан уюштурулган маалыматтар базасы
  6. Укуктар: Каалаган убакта маалыматыңызды чектеп, калыбына келтирип жана жок кыла аласыз.