Am√©lioration des performances de NGINX avec le noyau TLS et SSL_sendfile () - ūüŹÜ Serveur g√©r√©
Février 4 2022

Amélioration des performances de NGINX avec le noyau TLS et SSL_sendfile ()

Déplacez l'implémentation cryptographique de l'espace utilisateur vers l'espace noyau.

TLS du noyau NGINX

Transport Layer Security (TLS) est un protocole de cryptage extr√™mement populaire. L'impl√©mentation de TLS dans le noyau (kTLS) am√©liore les performances en r√©duisant consid√©rablement le besoin d'op√©rations de copie entre l'espace utilisateur et le noyau.

La combinaison de kTLS et sendfile()cela signifie que les donn√©es sont chiffr√©es directement dans l'espace du noyau, avant d'√™tre transmises √† la pile r√©seau pour transmission. Cela √©limine le besoin de copier les donn√©es dans l'espace utilisateur pour qu'elles soient chiffr√©es par les biblioth√®ques TLS, puis de les renvoyer dans l'espace du noyau pour la transmission. kTLS permet √©galement de d√©charger le traitement TLS sur le mat√©riel, y compris d√©chargement du traitement cryptographique sym√©trique TLS vers les p√©riph√©riques r√©seau .

Les noyaux Linux et FreeBSD modernes prennent en charge le d√©chargement TLS dans le noyau, et maintenant NGINX Open Source le fait aussi ! NGINX 1.21.4 introduit la prise en charge de kTLS lorsque vous avez besoin de fichiers statiques avec SSL_sendfile(), ce qui peut grandement am√©liorer les performances. Comme d√©crit ci-dessous, le noyau et OpenSSL doivent √™tre compil√©s avec kTLS pour que NGINX puisse √™tre utilis√© SSL_sendfile().

Dans ce blog, nous détaillons quel système d'exploitation et quelles versions d'OpenSSL prennent en charge kTLS et montrons comment créer et configurer le noyau et NGINX pour kTLS. Pour vous donner une idée de l'amélioration des performances que vous pouvez attendre de kTLS, nous partageons également les spécifications et les résultats de nos tests sur FreeBSD et Ubuntu.

Observation: Les impl√©mentations de kTLS sont assez r√©centes et √©voluent rapidement. Ce blog d√©crit la prise en charge de kTLS √† partir de novembre 2021, mais gardez un Ňďil sur les annonces sur nginx.org et le Blog NGINX sur les modifications apport√©es aux informations et instructions fournies ici.

Conditions générales

  • Syst√®me d'exploitation - L'un des suivants :
    • FreeBSD 13.0+. Depuis novembre 2021, FreeBSD 13.0+ est le seul syst√®me d'exploitation qui prend en charge kTLS dans NGINX sans une construction manuelle de NGINX pour incorporer OpenSSL 3.0.0+. Tu vois Activer NGINX avec kTLS sur FreeBSD .
    • Une distribution Linux bas√©e sur la version 4.17 ou ult√©rieure du noyau Linux, bien que nous vous recommandons d'utiliser celles bas√©es sur la version 5.2 ou ult√©rieure dans la mesure du possible. (La prise en charge de KTLS est actuellement disponible dans la version 4.13, mais OpenSSL 3.0.0 n√©cessite la version 4.17 ou ult√©rieure de l'en-t√™te du noyau.)
  • OpenSSL - Version 3.0.0 ou ult√©rieure
  • NGINX - Version 1.21.4 ou ult√©rieure

Amélioration des performances avec kTLS

Lors de la diffusion de fichiers statiques dans des conditions de charge √©lev√©e, SSL_sendfile()Est-il possible augmenter le d√©bit √† 2 fois l'espace utilisateur TLS, mais la taille de l'augmentation des performances d√©pend de mani√®re significative de divers facteurs (performances du disque, charge du syst√®me, etc.). Vous pouvez √©galement r√©duire l'utilisation du processeur si votre carte r√©seau prend en charge le d√©chargement TLS.

Riepilogo

NGINX 1.21.4 introduit la prise en charge de kTLS lors de la diffusion de fichiers statiques avec SSL_sendfile(). Nos tests montrent que les performances s'am√©liorent entre 8% et 29%, selon le syst√®me d'exploitation.

 

Vous avez des doutes ? Vous ne savez pas par o√Ļ commencer ? Contactez-nous


Nous avons toutes les réponses à vos questions pour vous aider à faire le bon choix.

Discute avec nous

Discutez directement avec notre support avant-vente.

0256569681

Contactez-nous par téléphone pendant les heures de bureau 9h30 - 19h30

Contactez-nous en ligne

Ouvrez une demande directement dans l'espace contact.

INFORMATIONS

ManagedServer.it est le premier fournisseur italien de solutions d'hébergement hautes performances. Notre modèle d'abonnement est abordable et prévisible, afin que les clients puissent accéder à nos technologies d'hébergement fiables, à nos serveurs dédiés et au cloud. ManagedServer.it offre également d'excellents services d'assistance et de conseil sur l'hébergement des principaux CMS Open Source tels que WordPress, WooCommerce, Drupal, Prestashop, Magento.

Remonter en haut