Kerberos'un Azure NetApp Files NFSv4.1 birimleri üzerindeki performans etkisi
Azure NetApp Files, AES-256 şifrelemesi ile Kerberos modlarında (krb5, krb5i ve krb5p) NFS istemci şifrelemesini destekler. Bu makalede, Kerberos'un NFSv4.1 birimleri üzerindeki performans etkisi açıklanmaktadır. Bu makalede başvuruda bulunulan performans karşılaştırmaları, tek bir istemciyle tek bir birim üzerinde test edilen güvenlik parametresiyle yapılır sec=sys .
Kullanılabilir güvenlik seçenekleri
NFSv4.1 birimleri için şu anda kullanılabilen güvenlik seçenekleri şunlardır:
- sec=sys , NFS işlemlerinin kimliğini doğrulamak için AUTH_SYS kullanarak yerel UNIX UID'leri ve GID'leri kullanır.
- sec=krb5 , kullanıcıların kimliğini doğrulamak için yerel UNIX UID'ler ve GID'ler yerine Kerberos V5 kullanır.
- sec=krb5i , kullanıcı kimlik doğrulaması için Kerberos V5 kullanır ve verilerde değişiklik yapılmasını önlemek için güvenli sağlama toplamları kullanarak NFS işlemlerinin bütünlük denetimini gerçekleştirir.
- sec=krb5p , kullanıcı kimlik doğrulaması ve bütünlük denetimi için Kerberos V5 kullanır. Trafik algılamayı önlemek için NFS trafiğini şifreler. Bu seçenek en güvenli ayardır, ancak en fazla performans ek yükünü de içerir.
Test edilen performans vektörleri
Bu bölümde, çeşitli sec=* seçeneklerin tek istemci tarafı performans etkisi açıklanmaktadır.
- Performans etkisi iki düzeyde test edilmiştir: düşük eşzamanlılık (düşük yük) ve yüksek eşzamanlılık (G/Ç ve aktarım hızının üst sınırları).
- Üç tür iş yükü test edildi:
- Küçük işlem rastgele okuma/yazma (FIO kullanarak)
- Büyük işlem sıralı okuma/yazma (FIO kullanarak)
- Git gibi uygulamalar tarafından oluşturulan meta veri ağır iş yükü
Beklenen performans etkisi
İki odak alanı vardır: hafif yük ve üst sınır. Aşağıdaki listelerde, güvenlik ayarına ve senaryoya göre performans etkisi güvenlik ayarı açıklanmaktadır.
Test Kapsamı
- Tüm karşılaştırmalar güvenlik parametresine
sec=sysgöre yapılır. - Test, tek bir istemci kullanılarak tek bir birimde gerçekleştirilir.
Krb5'in performans etkisi:
- Ortalama IOPS %53 azaldı
- Ortalama aktarım hızı %53 azaldı
- Ortalama gecikme süresi 0,2 ms arttı
krb5i'nin performans etkisi:
- Ortalama IOPS %55 azaldı
- Ortalama aktarım hızı %55 azaldı
- Ortalama gecikme süresi 0,6 ms arttı
Krb5p'nin performans etkisi:
- Ortalama IOPS %77 azaldı
- Ortalama aktarım hızı %77 azaldı
- Ortalama gecikme süresi 1,6 ms arttı
Performansla ilgili dikkat edilmesi gerekenler nconnect
Seçenekleri birlikte kullanmak nconnect ve sec=krb5* bağlamak önerilmez. İki seçenek birlikte kullanıldığında performans düşüşü gözlemlenmiştir.
Genel Güvenlik Standart Uygulama Programlama Arabirimi (GSS-API), uygulamaların eş uygulamalara gönderilen verileri koruması için bir yol sağlar. Bu veriler bir makinedeki istemciden başka bir makinedeki bir sunucuya gönderilebilir.
nconnect Linux'ta kullanıldığında, GSS güvenlik bağlamı belirli bir sunucuya yapılan nconnect tüm bağlantılar arasında paylaşılır. TCP, sıralı sayılardan oluşan kayan bir pencere kullanarak bir GSS akışındaki sıra dışı paketlerle başa çıkmak için sıra dışı paket teslimini destekleyen güvenilir bir aktarımdır. Sıra penceresinde olmayan paketler alındığında, güvenlik bağlamı atılır ve yeni bir güvenlik bağlamı anlaşması yapılır. Şimdi atılan bağlamda ile gönderilen tüm iletiler artık geçerli olmadığından iletilerin yeniden gönderilmesi gerekir. Bir nconnect kurulumdaki daha fazla paket sayısı, açıklanan davranışı tetikleyerek sık sık pencere dışı paketlere neden olur. Bu davranışla belirli bir düşüş yüzdesi belirtemez.