Назад | Перейти на главную страницу

Оптимизация завершения SSL-соединения HAProxy (с серверной частью Nginx в Ubuntu)

Как я могу оптимизировать HAProxy с завершением SSL для бэкэндов Nginx в Ubuntu?

Настройка работает нормально и правильно маршрутизирует. Однако, когда я выполняю завершение SSL с помощью HAProxy, это сильно снижает производительность (тесты ниже). Ключ - 4096-битный RSA. HAProxy принудительно использует HTTPS для проверки, затем завершает работу SSL и передает HTTP на внутренние серверы Nginx. Серверы Nginx идентичны и обслуживают несколько статических страниц, например 192.168.1.xx / page1.html, 192.168.1.xx / page2.html и т. Д. (Я включил NodeJS для полноты моей системы, но добавляет только задержку <1 мс. NodeJS можно игнорировать.)

Вот настройки, конфигурации и текущие тесты. Каждая виртуальная машина (ВМ) работает под управлением Ubuntu 14.04 и может иметь различное количество процессоров и оперативной памяти.

Вот конфигурация HAProxy:

    global
            maxconn 40000
            tune.ssl.default-dh-param 2048
            log /dev/log    local0
            log /dev/log    local1 notice
            chroot /var/lib/haproxy
            stats socket /run/haproxy/admin.sock mode 660 level admin
            stats timeout 30s
            user haproxy
            group haproxy

            # Default SSL material locations
            ca-base /etc/ssl/certs
            crt-base /etc/ssl/private

            # Default ciphers to use on SSL-enabled listening sockets.
            # For more information, see ciphers(1SSL). This list is from:
            #  https://hynek.me/articles/harding-your-web-servers-ssl-ciphers/
            ssl-default-bind-ciphers ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS
            ssl-default-bind-options no-sslv3


    defaults
            option forwardfor
            option http-server-close
            stats enable
            stats uri /stats
            stats realm Haproxy\ Statistics
            stats auth user:password
            log     global
            mode    http
            option  httplog
            option  dontlognull
            timeout connect 5000
            timeout client 50000
            timeout server 50000
            errorfile 400 /etc/haproxy/errors/400.http
            errorfile 403 /etc/haproxy/errors/403.http
            errorfile 408 /etc/haproxy/errors/408.http
            errorfile 500 /etc/haproxy/errors/500.http
            errorfile 502 /etc/haproxy/errors/502.http
            errorfile 503 /etc/haproxy/errors/503.http
            errorfile 504 /etc/haproxy/errors/504.http


    frontend www-http
            bind 192.168.1.10:80
            reqadd X-Forwarded-Proto:\ http
            default_backend www-backend

    frontend www-https
            bind 192.168.1.10:443 ssl crt /etc/ssl/private/company.pem
            reqadd X-Forwarded-Proto:\ https
            use_backend node-backend if { path_beg /socket.io }
            default_backend www-backend

    backend www-backend
            redirect scheme https if !{ ssl_fc }
            server www-1 192.168.1.20:80 check
            server www-2 192.168.1.21:80 check
            server www-3 192.168.1.22:80 check

    backend node-backend
            server node-1 192.168.1.30:8888 check

Вот тест ApacheBench (ab) для одного из серверов Nginx:

    $ ab -c 200 -n 10000 http://192.168.1.20/

    Server Software:        nginx/1.4.6
    Server Hostname:        192.168.1.20
    Server Port:            80

    Document Path:          /
    Document Length:        3130 bytes

    Concurrency Level:      200
    Time taken for tests:   2.257 seconds
    Complete requests:      10000
    Failed requests:        0
    Total transferred:      33720000 bytes
    HTML transferred:       31300000 bytes
    Requests per second:    4430.21 [#/sec] (mean)
    Time per request:       45.145 [ms] (mean)
    Time per request:       0.226 [ms] (mean, across all concurrent requests)
    Transfer rate:          14588.55 [Kbytes/sec] received

    Connection Times (ms)
                  min  mean[+/-sd] median   max
    Connect:        4   27 104.3     16    1187
    Processing:     4   18   8.2     16     358
    Waiting:        3   18   7.9     16     334
    Total:          9   45 105.8     32    1225

    Percentage of the requests served within a certain time (ms)
      50%     32
      66%     41
      75%     43
      80%     44
      90%     49
      95%     52
      98%     55
      99%     57
     100%   1225 (longest request)

Вот тест ApacheBench (ab) для HAProxy с http:

    $ ab -c 200 -n 10000 http://192.168.1.10/

    Server Software:        nginx/1.4.6
    Server Hostname:        192.168.1.10
    Server Port:            80

    Document Path:          /
    Document Length:        3130 bytes

    Concurrency Level:      200
    Time taken for tests:   1.918 seconds
    Complete requests:      10000
    Failed requests:        0
    Total transferred:      33720000 bytes
    HTML transferred:       31300000 bytes
    Requests per second:    5215.09 [#/sec] (mean)
    Time per request:       38.350 [ms] (mean)
    Time per request:       0.192 [ms] (mean, across all concurrent requests)
    Transfer rate:          17173.14 [Kbytes/sec] received

    Connection Times (ms)
                  min  mean[+/-sd] median   max
    Connect:        3   18   3.5     18      32
    Processing:     7   20   3.5     19      36
    Waiting:        7   20   3.4     19      36
    Total:         15   38   4.2     37      57

    Percentage of the requests served within a certain time (ms)
      50%     37
      66%     38
      75%     39
      80%     40
      90%     44
      95%     46
      98%     50
      99%     51
     100%     57 (longest request)

Вот тест ApacheBench (ab) для HAProxy с https:

    $ ab -c 200 -n 10000 https://192.168.1.10/

    Server Software:        nginx/1.4.6
    Server Hostname:        192.168.1.10
    Server Port:            443
    SSL/TLS Protocol:       TLSv1,DHE-RSA-AES256-SHA,2048,256

    Document Path:          /
    Document Length:        3130 bytes

    Concurrency Level:      200
    Time taken for tests:   566.303 seconds
    Complete requests:      10000
    Failed requests:        0
    Total transferred:      33720000 bytes
    HTML transferred:       31300000 bytes
    Requests per second:    17.66 [#/sec] (mean)
    Time per request:       11326.069 [ms] (mean)
    Time per request:       56.630 [ms] (mean, across all concurrent requests)
    Transfer rate:          58.15 [Kbytes/sec] received

    Connection Times (ms)
                  min  mean[+/-sd] median   max
    Connect:      483 8982 3326.6  11090   14031
    Processing:    16 2255 3313.0     43   11399
    Waiting:       14 2186 3253.3     35   11252
    Total:       5648 11237 879.1  11212   22732

    Percentage of the requests served within a certain time (ms)
      50%  11212
      66%  11274
      75%  11308
      80%  11321
      90%  11395
      95%  11641
      98%  11847
      99%  14063
     100%  22732 (longest request)

Вот тест OpenSSL на виртуальной машине HAProxy.

    $ openssl speed rsa

                      sign    verify    sign/s verify/s
    rsa  512 bits 0.000081s 0.000006s  12314.6 179042.8
    rsa 1024 bits 0.000277s 0.000017s   3603.7  60563.8
    rsa 2048 bits 0.001852s 0.000058s    539.8  17231.3
    rsa 4096 bits 0.013793s 0.000221s     72.5   4517.4

Итак, я вижу, что HAProxy не может превзойти тест скорости openssl со скоростью 72,5 знака / с, 4517,4 проверки / с. Однако HAProxy с завершением SSL выполняет около 17 запросов в секунду. Конечно, мы можем получить ключ меньшего размера для повышения общей производительности, но это не решает проблемы (если проблема существует) увеличения скорости примерно в 4,5 раза от теста скорости openssl к HAProxy.

Итак, учитывая эту информацию, существует ли оптимальная конфигурация HAProxy, которая повысит производительность? Например, мне чего-то не хватает: когда пользователь посещает страницу впервые, ему нужно «подписать» только один раз, а все параллельные запросы к странице - только «подтвердить». Если это так, то тест AB не позволяет это правильно измерить (поправьте меня, если я ошибаюсь). И для этого должен ли пользователь посещать тот же сервер Nginx? Если да, то нужны ли для этого занятия с палкой?

Пытаясь ответить на свои вопросы, я попытался добавить липкие сеансы из этого сообщения: HAProxy с SSL и липкими сессиями и использовал Siege для тестирования с несколькими URL-адресами. Однако повышения производительности не произошло.

    $ siege -c 100 -r 10 -b -f urls.txt

    Transactions:               1000 hits
    Availability:             100.00 %
    Elapsed time:              22.56 secs
    Data transferred:           2.84 MB
    Response time:              2.17 secs
    Transaction rate:          44.33 trans/sec
    Throughput:             0.13 MB/sec
    Concurrency:               96.06
    Successful transactions:        1000
    Failed transactions:               0
    Longest transaction:            8.96
    Shortest transaction:           0.16

Где urls.txt

    URL=https://192.168.1.10/
    $(URL)
    $(URL)page1.html
    $(URL)page2.html

Итак, я застрял в этом спектакле? В некоторых местах упоминается аналогичная скорость запроса ~ 75 мс / запрос для 4096-битных ключей. https://certsimple.com/blog/measuring-ssl-rsa-keys

Или мой HAProxy плохо настроен и где-то обрабатывает SSL 2x? Ошибка сервера: / questions / 574582 / nginx-ssl-termination-slow

Следует учитывать, что многие HTTP-клиенты (в том числе браузеры) пытаются амортизировать стоимость установления связи SSL с помощью нескольких HTTP-запросов. То есть они создают одно TCP-соединение с сервером, выполняют квитирование SSL, а затем повторно используют это TCP-соединение (с его сессией SSL) для нескольких запросов / ответов, вместо того, чтобы выполнять квитирование SSL для каждого запроса.

Чтобы включить этот тип сценария / теста в свою настройку, вы можете включить -k параметр командной строки для ab, для тебя внешний интерфейс HTTP-запросы.

Еще одно соображение - это использование вами option http-server-close Настройка HAproxy. Это говорит haproxy для создания нового внутреннего TCP-соединения для каждого внешнего HTTP-запроса; это может добавить свои собственные 40-100 мс (если не больше), в зависимости от внутренней сети. Если вы разрешили HAproxy поддерживать эти внутренние TCP-соединения открытыми, это также может уменьшить задержку каждого запроса, о которой сообщает ab.

В зависимости от ожидаемого количества сеансов SSL, также возможно увеличение выделения памяти для кэширования сеансов SSL (HAproxy's tune.ssl.cachesize настройка, возможно, в сочетании с tune.ssl.lifetime для увеличения тайм-аута кэша и, таким образом, увеличения вероятности повторного использования кэша сеанса) позволит возобновлять сеансы SSL (и более быстрые / менее ресурсоемкие квитирования SSL).

Но я думаю, что цифры, представленные ab, при использовании keep-alive (-k), лучше продемонстрирует эффективность повторного использования одного и того же сеанса SSL (через одно и то же TCP-соединение) для многих HTTP-запросов.

Надеюсь это поможет!

Сравните яблоки с яблоками.

Ваш ориентир openssl speed rsa вероятно, не измеряет время DHE, потому что он не использует эфемерные ключи. Это означает, что вы тестируете менее безопасный алгоритм по сравнению с алгоритмом DHE. Последний работает медленнее, с другой стороны, он обеспечивает идеальную прямую секретность (PFS).

Но DHE довольно старый, неэффективный и современные браузеры обычно используют более качественный ECDHE (или даже ECDSA).

Я думаю, вам следует настроить свой тест ab, чтобы обеспечить соблюдение ECDHE-RSA-AES128-SHA256. Я думаю, вам следует запрограммировать свой тест openssl на использование цикла openssl s_client -cipher ECDHE-RSA-AES128-SHA256 (вместо упрощенного openssl speed).