Cloudflare Entwéckler schaffen op Patches fir Disk Disk Encryption op Linux ze beschleunegen

Cloudflare

der Cloudflare Entwéckler hunn erausbruecht Informatioun iwwer d'Aarbecht déi se maache fir d'Disk Verschlësselungsperformance am Linux Kernel ze optimiséieren, vun deem se erwähnen datt se virbereet hunn Patcher fir dm-crypt a Crypto API Subsystemer.

Mat deem, de syntheteschen Test erlaabt d'Bandbreedung ze verduebele fir ze liesen an ze schreiwen, wéi och hallef Latenz. Beim Testen op echte Maschinnen gouf d'Verschlësselungskäschte reduzéiert op bal den Niveau dee gesi gouf wann Dir mat enger Disk arbeitet ouni Dateverschlësselung ze benotzen.

Interesse fir d'Verschlësselung ze verbesseren Daten op Disk et ass well Cloudflare benotzt dm-crypt fir Date op Drive'en ze verschlëssele fir Inhalt op engem CDN ze cache. Dm-Krypta funktionnéiert um Blockapparatniveau a verschlësselt I / O Ufroen fir Liesufroen ze schreiwen an z'entschlësselen, als Schicht tëscht dem Blockapparat an dem Dateisystem Driver.

Fir d'Performance ze evaluéieren dm-crypt benotzt de flexiblen I / O Test Package, se huet d'Geschwindegkeet fir mat verschlësselte Partisiounen ze schaffen gemooss an net verschlësselt op enger RAM Disk am RAM fir Fluktuatiounen an der Disk Performance ze eliminéieren.

Fir onverschlësselte Partitionen ass d'Lies- a Schreifleeschtung bei 1126MB / s bliwwen, awer wann d'Verschlësselung ageschalt war, ass d'Geschwindegkeet 7 Mol op 147MB / s gefall.

Am Ufank. d'Benotzung vun ineffizienten Algorithmen gouf verdächtegt am Kernel kryptographesche System. Awer d'Tester hunn de méi schnellsten aes-xts Algorithmus mat 256 Verschlësselungsschlëssel benotzt, deem seng Leeschtung beim "Cryptsetup Benchmark" méi wéi zweemol méi héich ass wéi d'Resultat kritt beim Test vun der RAM Disk.

dm-Krypta

D'Experimenter mat dm-crypt Fändelen Leeschtung unzepassen huet net geschafft: Wann Dir de -perf-same_cpu_crypt Fändel benotzt, ass d'Performance souguer op 136MB / s erofgaang, a wann Dir de -perf-submit_from_crypt_cpus Fändel benotzt, ass se nëmmen op 166MB / s eropgaang.

Eng méi déif Analyse vun der Logik vun der Aarbecht huet gewisen datt dm-crypt net sou einfach ass wéi et schéngt.

Wann eng Schreiffro vum FS Controller kritt ass, veraarbecht dm-crypt et net direkt, awer setzt se op d '"kcryptd" Schlaang, déi net direkt verstanen ass, awer wann eng gutt Zäit geschitt. Aus der Schlaang gëtt d'Ufro un de Linux Crypto API fir Verschlësselung geschéckt.

Wann Dir als éischt liest, sinn dm-Krypt Schlaangen "kcryptd_io" eng Ufro fir Daten aus der Eenheet ze kréien. Nodeems mat der Zäit sinn d'Donnéeën verfügbar an si stinn an der Schlaang "kcryptd" fir Entschlësselung.

Kcryptd schéckt eng Ufro un d'Linux Encryption API, déi d'Informatioun asynchront entschlësselt. Ufroe ginn net ëmmer duerch all Schlaangen, awer am schlëmmste Fall, schreift Ufro ass op Schlaangen bis zu 4 Mol gesat an d'liesen Ufro bis 3 Mol. All Hit am Schwanz féiert zu Verspéidungen, déi de wesentleche Grond fir e wesentleche Réckgang vun der dm-Krypt Leeschtung sinn.

Bedenkt datt modern Fuerwerer méi séier a méi clever ginn, gouf de Ressourcenallokatiounssystem am Linux Kernel iwwerschafft an e puer Subsystemer sinn nei designt ginn, Cloudflare Ingenieuren hunn en neie Betribsmodus der dm-Krypta bäigefüügt, andeems d'Benotzung vun zousätzlech Schlaangen an asynchrone Uriff eliminéiert gëtt.

De Modus gëtt vun engem getrennten "force_inline" Fändel aktivéiert an hëlt dm-Krypta a Form vun engem einfachen Proxy dee verschlësselt an entschlësselt Entréeën Ufroen. Interaktioun mat Crypto API gouf optimiséiert duerch eng explizit Wiel vu Verschlësselungsalgorithmen Si funktionnéieren am synchronen Modus a benotzen keng Ufro Schlaangen.

Beim Testen vun der Belaaschtung op echte Serveren huet déi nei Implementatioun Performance ganz no bei der Konfiguratioun gewisen déi ouni Verschlësselung funktionnéiert an d'Inklusioun vu Verschlësselung op Servere mat Cloudflare Cache huet keng Äntwertgeschwindegkeet.

An der Zukunft, Cloudflare plangt d'preparéiert Patches an den Haapt Linux Kernel ze transferéieren, awer virdrun musse se geännert ginn, well se fir eng gewësse Belaaschtung optimiséiert sinn an net all Gebidder vun der Uwendung ofdecken.

Source: https://blog.cloudflare.com


Den Inhalt vum Artikel hält sech un eis Prinzipie vun redaktionnell Ethik. Fir e Feeler ze mellen klickt hei.

Gitt d'éischt fir ze kommentéieren

Gitt Äre Kommentar

Är Email Adress gëtt net publizéiert ginn. Néideg Felder sinn markéiert mat *

*

*

  1. Responsabel fir d'Daten: Miguel Ángel Gatón
  2. Zweck vun den Donnéeën: Kontroll SPAM, Kommentarmanagement.
  3. Legitimatioun: Är Zoustëmmung
  4. Kommunikatioun vun den Donnéeën: D'Donnéeë ginn net un Drëttubidder matgedeelt ausser duerch legal Verpflichtung.
  5. Datenspeicher: Datebank gehost vun Occentus Networks (EU)
  6. Rechter: Zu all Moment kënnt Dir Är Informatioun limitéieren, recuperéieren an läschen.