SSL-hardware offloading i fysiske og virtuelle Zevenet load balancers

SENDT AF Zevenet | 22. november 2017

Beskrivelse

Hardware aflæsning bruges til at delegere højtbelastede databehandlingsopgaver direkte til en dedikeret hardwareressource, snarere end en softwareproces for at øge ydeevnen og frigøre generiske computerressourcer. Aktivering af optimering af hardware offload i Zevenet-løsninger giver forbedret ydeevne, gennemstrømning, lavere CPU-belastning og frigør flere ressourcer til andre opgaver.

Det er velkendt, at sikker kommunikation er et must. Det er dog også velkendt, at styring af krypterede transmissioner er a tung byrde til et fælles computersystem. På grund af dette har mange leverandører tilbudt SSL offloading løsninger i mange år, og nogle organisationer har udviklet dedikerede hardwareløsninger til at udføre SSL-aflæsning opgaver.

For nylig har nogle hardwareproducenter besluttet at udvide deres mikroprocessorplatforme til at indlejre hardware, der er i stand til at styre SSL-trafik effektivt. Et eksempel på dette er AES teknologi, senere forbedret med Advanced Encryption Standard Instruction Set (AES-NI). AES-NI er en udvidelse til x86-arkitekturen til mikroprocessorer fra Intel og AMD. Formålet med AES-NI er at forbedre hastigheden af ​​applikationer, der udfører kryptering og dekryptering vha. Advanced Encryption Standard (AES) som AES-128 og AES-256-cifrene. AES-NI var designet til at levere 4x til 8x hastighedsforbedringer, når du bruger AES-cifre til bulk datakryptering og dekryptering. I dag er AES-NI-instruktion integreret i de fleste Intel- og AMD-mikroprocessorer på markedet.

Zevenet 5.1 er i stand til at kontrollere om hovedværdien CPU understøtter AES-NI instruktionssæt og tilbyder brugeren muligheden for udnytte SSL hardware acceleration til HTTPS kommunikation. Det mest interessante aspekt ved denne funktion er, at AES-NI kan bruges i Zevenet fysiske såvel som Virtual Load Balancers kører oven på almindelige hypervisorer på markedet (Vmware, KVM, Xen eller HyperV).

Hvordan virker HTTPS-aflæsning i Zevenet fysisk eller virtuelt apparat?

Klientanmodninger om at åbne en HTTPS-forbindelse til Zevenet Load Balancer Appliance. HTTPS profil Inde i LSLB (Local Service Load Balancing) -kernen genererer HTTPS-tunnelen mellem Zevenet Server og Client. SSL-operationerne sendes til CPU AES-NI-hardwaren for at styre alle krypterings- / dekrypteringsoperationer direkte i hardware til HTTPS-trafikken mellem klient og Zevenet. Endelig vil Zevenet Server videresende trafikken til Backend-serverne.

SSL Hardware-aflæsningstrøm

Hardwareudladningstrøm til Zevenet Load Balancer

Hvordan man bruger det

For det første skal du sørge for at opdatere til Zevenet EE 5.1 eller en større udgivelse. Kontroller også, om din hardware understøtter AES-NI, og aktiver den ved at anvende følgende trin:

Gå til Zevenet Web Panel og opret en ny LSLB Gård med HTTP-profil som følger:

HTTP Farm Creation til SSL-aflæsning

Når først den nye LSLB-gård med HTTP-profil er oprettet, skal du redigere den oprettede gård og vælge HTTPS mulighed for Listener feltet. Nye konfigurerbare parametre vises. På dette tidspunkt kontrollerer Zevenet Load Balancer-systemet AES-support i CPU-hardware. Hvis understøttet, vil SSL-aflæsningsfunktionen være tilgængelig i listen over ciphers som vist nedenfor.

SSL-aflæsning er aktiveret

Vælg her indstillingen SSL-aflæsning og gem ændringer.

Dette vil sende alle HTTPS-trafik, der forvaltes af denne gård, for at blive behandlet af AES-NI instruktionssættet til CPU hardware.

Benchmark-numre

Zevenet Load Balancer kan klare sig 72k SSL-forbindelser per sekund med SSL-aflæsning aktiveret i en Intel® CoreTM i5-6500, Basefrekvens 3.20 GHz med 4-kerner.
Zevenet Load Balancer kan klare sig 93k SSL-forbindelser per sekund med SSL-aflæsning aktiveret i en Intel® Xeon E3-1245 v5, Basefrekvens 3.5 GHz med 2 x 4 kerner.

Del på:

Dokumentation i henhold til GNU Free Documentation License.

Var denne artikel til hjælp?

Relaterede artikler