6.2.2 龙蜥社区助力云原生网关实现TLS硬件加速 - 上海费芮网络科技
网络信息传输的可靠性、机密性和完整性要求日渐提升,HTTPS协议已经广泛应用。HTTPS的SSL/TLS协议涉及加解密、校验、签名 等密码学计算,消耗较多CPU计算资源。因此CPU硬件厂商推出过多种加速卸载方案,如AES-NI, QAT, KAE, ARMv8安全扩展等。
业界软件生态在优化HTTPS的性能上也做了诸多探索,传统的软件优化方案有Session复用、OCSP Stapling、False Start、 dynamic record size、TLS1.3、HSTS等, 但软件层面的优化无法满足流量日益增长的速度,CPU硬件加速成为业界一个通用的解决 方案。
上海费芮网络科技有限公司之前一直使用Nginx Ingress,使用过程中遇到运维成本高、安全差、原生功能弱等痛点,期望能够找到 一款替代产品;在接触MSE云原生网关后,在上线前的测试过程中对于HTTPS安全加速功能非常认可,测试验证开启后的加速效果 非常明显;结合网关提供的Nginx Ingress注解兼容功能 + HTTPS安全加速两个差异功能,用户最终选择使用MSE云原生网关来替代 Nginx Ingress网关。
加速效果
注:测试采用HTTPS短连接且关闭session ticket复用。
加速后:
1C2G压测HTTPS QPS从1004提升到1873,提升约86%。
TLS握手RT从313.84ms降到145.81ms,下降一倍。
方案优点
无需独立专用的硬件支持,运维成本低且易于弹性扩缩容。
通用CPU加速特性的适用场景更广泛。
