Software und hohe Leistung: Warum sie sich nicht gegenseitig ausschließen müssen
Mittlerweile sind die Vorteile einer Migration von hardwaredominierten Umgebungen zu Cloud- und softwaredefinierten Architekturen hinlänglich bekannt – verbesserte Skalierbarkeit, betriebliche Agilität und wirtschaftliche Flexibilität, um nur einige zu nennen. Allerdings herrscht häufig die falsche Vorstellung, dass Unternehmen zur Erzielung dieser Vorteile Abstriche bei der Leistung ihrer Apps machen müssten. Denn wie kann eine gemeinsam genutzte, virtualisierte Infrastruktur auch nur annähernd die gleiche Leistung erbringen wie kundenspezifische, dedizierte Hardware?
Und obwohl viele neue, zustandslose, Cloud-native-Apps so konzipiert sind, dass sie bei steigender Nachfrage horizontal skalieren, gibt es immer noch Tausende monolithischer Workloads mit zustandsbehafteten Anforderungen, die eine vertikale Skalierung zur Befriedigung der gestiegenen Nachfrage einschränken. Für diese Apps ist eine höhere Softwareleistung (und Skalierbarkeit) von entscheidender Bedeutung, da viele davon beim Wechsel in die Cloud nicht neu konzipiert werden können oder wollen.
Geben Sie BIG-IP Virtual Edition (VE) ein
Seit der Einführung von BIG-IP VE vor einem Jahrzehnt lautet eine der am häufigsten von Kunden gestellten Fragen etwa: „ Welche Skalierungs- und Verkehrsverarbeitungsleistung werden wir mit VE im Vergleich zu Ihrer Hardware voraussichtlich erreichen? “ Vor all den Jahren war die Lücke zwischen den beiden beträchtlich, da die frühen VEs eigentlich nur dazu gedacht waren, App-Delivery-Hardware zu ersetzen, die für bestimmte Apps mit geringem Datenverkehr zuständig war. Damals war VE nur in der Lage, etwa 1 Gbit/s Datenverkehr zu verarbeiten und gleichzeitig nur einen Bruchteil der in der Hardware möglichen L4/L7-Anfragen und -Verbindungen zu bewältigen.
Doch heute können VEs unter den richtigen Bedingungen über 100 Gbit/s Application verarbeiten und bei anderen Datenverkehrsverarbeitungsmetriken mit allen anderen Geräten außer den leistungsstärksten mithalten. In diesem Artikel werfen wir einen Blick auf einige aktuelle VE-Erweiterungen und unterstützte Beschleunigungstechnologien , die dazu beigetragen haben, die Leistungslücke zu den physischen Gegenstücken nahezu zu schließen. Gleichzeitig bieten wir einen kleinen Vorgeschmack auf das nächste VE-Optimierungsprojekt, an dem wir mit SmartNICs arbeiten.
- Benutzerdefinierte VE-Polling-Mode-Treiber, die die Single-Root-E/A-Virtualisierung (SR-IOV) optimieren
Für diejenigen, die mit den Grundlagen der Virtualisierung nicht vertraut sind: Das Kernkonzept besteht aus einem physischen Server, auf dem eine Softwareschicht (Betriebssystem/Hypervisor) gehostet wird, die die Funktionen der zugrunde liegenden Hardware emuliert und die Ausführung mehrerer unterschiedlicher virtueller Maschinen (z. B. BIG-IP VE) mit möglicherweise unterschiedlichen Betriebssystemen ermöglicht. Dies ist zwar ideal für die Optimierung der Ressourcennutzung des physischen Servers und die Aktivierung der App-Mobilität, die erforderliche zusätzliche Hypervisor-Schicht und der zugehörige virtuelle Switch erhöhen jedoch die Latenz und beeinträchtigen die Leistung, da Anforderungen mit allen zugehörigen Kopien und Unterbrechungen durch diese Schicht geleitet werden müssen.
Durch die Verwendung von SR-IOV kann VE jedoch direkt mit der Netzwerkschnittstelle (NIC) auf dem physischen Server interagieren. Dabei wird die virtuelle Switch-Schicht umgangen und Latenz und Leistung verbessert. Obwohl SR-IOV heutzutage eine recht gängige Technologie ist (die von den meisten NIC-Anbietern unterstützt wird), sind die im Betriebssystemkernel enthaltenen oder von den NIC-Anbietern bereitgestellten Gasttreiber generisch und nicht speziell für BIG-IP optimiert. Aus diesem Grund hat F5 auch stark in die Entwicklung von VE-Polling-Mode-Treibern für eine Reihe führender NIC-Adapter investiert, die die VE-Paketverarbeitung bei Verwendung von SR-IOV beschleunigen. Mit diesem Ansatz konnten VEs L4-Durchsätze von bis zu 20 Gbit/s auf AWS (mit AWS Elastic Network Adapter in Gen5-Instanzen), bis zu 10 Gbit/s auf Azure (mit Azure Accelerated Networking) und über 85 Gbit/s in privaten Cloud-Umgebungen (mit Mellanox CX5 100G NIC ) erreichen.
Darüber hinaus können durch Link Aggregation über 100 Gbit/s erreicht werden. Dabei werden im Wesentlichen mehrere unterschiedliche NIC-Ports kombiniert, um einen einzigen Datenpfad mit hohem Durchsatz zu erstellen. Mit diesem Ansatz können Sie in diesem DevCentral- Artikel erfahren, wie eine einzelne VE mit drei 40G Intel-NICs 108 Gbit/s erreicht hat.
- Auslagern kryptografischer Verarbeitung mit der Intel Quick Assist Technology (QAT)
Weit über die Hälfte des Webverkehrs ist mittlerweile verschlüsselt, und mit dem explosionsartigen Wachstum von IoT-Geräten und der weltweiten Umstellung auf 5G wird die Menge der zu verschlüsselnden Daten exponentiell ansteigen. BIG-IP VE arbeitet in einer Vollproxyarchitektur zwischen Clients und Servern und entschlüsselt den gesamten verschlüsselten Datenverkehr. So kann es bösartig aussehende Nutzdaten prüfen, analysieren und blockieren, bevor es die Daten erneut verschlüsselt und an das gewünschte Ziel weiterleitet. Und obwohl VE für die Bereitstellung einer softwarebasierten Hochleistungsverschlüsselung optimiert wurde, kann dieser Prozess immer noch eine Belastung für die CPU-Ressourcen darstellen und die Anzahl der für andere L7-Aufgaben, iRules oder die Richtliniendurchsetzung verfügbaren Verarbeitungszyklen reduzieren.
Um diesen Effekt bei Workloads mit erheblichen Anforderungen an die kryptografische Verarbeitung zu mildern, verlagert VE die Verschlüsselung auf Intel QAT – einen Hardwarebeschleuniger, der speziell für die kryptografische Verarbeitung und Komprimierung entwickelt wurde. Auf diese Weise kann VE diese CPU-intensiven Aufgaben auslagern, Rechenzyklen freigeben und die Gesamtleistung steigern. Belege hierfür finden sich in dieser aktuellen Studie über die Auswirkungen der Verwendung von QAT mit VE, die zeigte:
- Reduzierung der CPU-Auslastung um bis zu 45 %
- Steigerung des Schüttgutdurchsatzes um bis zu 200 %
- Steigerung der Transaktionen pro Sekunde (TPS) um bis zu 500 %
- Einführung ungedrosselter Hochleistungs-VEs
- Zukunft – Hyperscale DDoS Mitigation mit einem SmartNIC von Intel
Vor der Verfügbarkeit der High Performance VEs von F5 nutzten alle VEs ein Lizenzmodell mit Durchsatzbegrenzung, bei dem die Lizenzen an festgelegte Durchsatzstufen und CPU-Mengen (z. B. 200 Mbit/s und 2 vCPUs) angepasst waren. Für kleinere Apps reicht wahrscheinlich eine Instanz mit 25 Mbit/s aus, für Apps mit hohen Anforderungen ist hingegen möglicherweise die größte Instanz mit 10 Gbit/s besser geeignet.
Aber was ist mit Apps mit höheren Anforderungen? Oder diejenigen mit unvorhersehbaren Anforderungen? Als F5 dazu überging, NICs mit höherer Bandbreite und über 10 Gbit/s zu unterstützen, führten wir High Performance VEs ein, die entsprechend der Anzahl der vCPUs lizenziert wurden, die sie verwenden durften. Die mit High Performance VEs erreichbare maximale Leistung hängt stattdessen von der Anzahl der ihnen zugewiesenen vCPUs ab – von 8 vCPUs bis 24 vCPUs in Schritten von 4 vCPUs. Dieser Ansatz ermöglicht es VE nicht nur, jedes letzte „Paket pro Sekunde“ aus jeder CPU herauszuholen, sondern unterstützt auch CPU-intensive Anwendungsfälle wie DDoS-Minderung und SSL/TLS-Verschlüsselung besser.
Erfahren Sie mehr über die Funktionen von High Performance VE im BIG-IP VE- Datenblatt .
Distributed-Denial-of-Service-Angriffe (DDoS) gehören noch immer zu den wirksamsten und am weitesten verbreiteten Formen von Cyberangriffen. Vom frustrierten Online-Gamer bis hin zu Cyber-Teams von Nationalstaaten werden sie von allen genutzt, um gezielt Apps und Dienste offline zu schalten. Bei diesen Angriffen werden potenziell Tausende unterschiedlicher Verbindungen von Rechnern auf der ganzen Welt genutzt. Dadurch können Sicherheitslösungen schnell überfordert werden – insbesondere solche, deren Kapazitäten zur Abwehr dieser Angriffe nicht ausreichen. Und mit der weltweiten Umstellung auf 5G werden DDoS-Angriffe in Größe, Schwere und Komplexität nur noch zunehmen, da es einfacher wird, mit weniger Geräten riesige, ressourcenbelastende Botnetze zu bilden.
Glücklicherweise werden Sie jedoch bald die Möglichkeit haben, bestimmte CPU-intensive Funktionen, einschließlich der DDoS-Minderung, von BIG-IP VE auf Intels (N3000 Programmable Acceleration Card) auszulagern – eine SmartNIC mit eingebettetem Field Programmable Gate Array (FPGA). Bei korrekter Programmierung durch F5 unter Nutzung unserer umfassenden über 10-jährigen Erfahrung mit FPGAs ist dieser SmartNIC in der Lage, die DDoS-Minderungsfähigkeiten von VE exponentiell zu steigern. Tatsächlich haben erste Tests von F5 gezeigt, dass diese kombinierte Lösung einem 70-mal stärkeren DDoS-Angriff standhalten kann als VE, das nur die CPU verwendet – und so dazu beiträgt, Ihre Apps und Ihr Netzwerk zu schützen.
Diese Integration wird voraussichtlich im Laufe dieses Jahres allgemein verfügbar sein. Weitere Informationen finden Sie in dieser Lösungsübersicht .