Grundlegendes zu ADC-Leistungsmetriken

Anwendungsbereitstellungsdienste sind für erfolgreiche Anwendungen von entscheidender Bedeutung. Unabhängig davon, ob solche Dienste Skalierbarkeit, Zuverlässigkeit oder Sicherheit verbessern, basieren die meisten Anwendungen auf einem oder mehreren dieser Aspekte. Daher nehmen Application Delivery Controller (ADCs) in den meisten Anwendungs-, Cloud- und Rechenzentrumsdesigns einen entscheidenden Platz ein.

In vielen Umgebungen, einschließlich privater Cloud-Installationen, ist dedizierte ADC-Hardware immer noch die bevorzugte Plattform für die Bereitstellung von Anwendungsbereitstellungsdiensten. Dies liegt daran, dass eine dedizierte Plattform kontrollierte, stabile und konsistente Ressourcen beinhaltet. Ein dediziertes, speziell entwickeltes Gerät kann konstant die Leistung und Zuverlässigkeit liefern, die selbst die anspruchsvollsten Anwendungsworkloads erfordern, da es keine Variationen hinsichtlich Hypervisor, Software oder zugrunde liegender Computerplattform gibt. Darüber hinaus bietet es die Vorteile spezialisierter Hardwarekomponenten, um die CPU von Aufgaben zu entlasten.

Doch was bedeutet „Leistung“ eigentlich? Im Allgemeinen veröffentlichen ADC-Anbieter vier Haupttypen von Metriken zum Nachweis der Leistung:

• Anfragen pro Sekunde (RPS)
• Verbindungen pro Sekunde (CPS)
• Transaktionen pro Sekunde (TPS)
• Durchsatz (oft gemessen in Gigabit pro Sekunde, Gbit/s)

Die Hersteller stellen umfassende Datenblätter mit einer Auflistung dieser und weiterer Plattformmerkmale bereit, darunter Tabellen zum Durchsatz, zu SSL-Transaktionszahlen oder zu gleichzeitigen Verbindungen. Die Interpretation dieser Zahlen und ihrer Relevanz für die Arbeitslast einer Anwendung sowie das Verständnis der wahrscheinlichen Grenzen und Engpässe eines Systems sind für die Auswahl der richtigen Plattform von entscheidender Bedeutung. Wenn Sie lernen, Datenblätter von Anbietern zu interpretieren und die für Ihre Anwendungen relevanten Kennzahlen zu verstehen, können Sie erfolgreicher die richtigen Plattformen für Ihr Unternehmen auswählen.

Ein Application Delivery Controller ist eine Infrastrukturkomponente, die als Anwendungsproxy fungiert und Anwendungsbereitstellungsdienste wie Verkehrsmanagement, Lastausgleich, SSL-Entschlüsselung, Sicherheit auf Anwendungsebene und Zugriffskontrolle für Anwendungen bereitstellt. Clientgeräte und -dienste stellen eine Verbindung zum ADC her und der ADC erstellt eine separate Verbindung zur Anwendung (oder verwendet eine vorhandene erneut). In diese logische Lücke fügt der ADC Anwendungsbereitstellungsdienste ein.

Um die Arbeitslast eines ADC zu verstehen, ist es hilfreich, sich eine TCP-Verbindung und eine Anforderung auf Anwendungsebene anzusehen. Der ADC muss Aufgaben auf mehreren Ebenen des TCP-Stapels ausführen und eine Reihe von Aktivitäten bewältigen, um Anwendungsdienste für den Anwendungsverkehr bereitzustellen. (Siehe Abbildung 1.) Dies kann die Interpretation der Leistungsmesswerte von ADC-Anbietern erschweren. Eine wichtige Voraussetzung zum Verständnis, welche Metriken relevant sind, ist die Identifizierung des Workload-Typs.

Es gibt viele Arten von Anwendungen und daher viele unterschiedliche ADC-Workloads. Während die meisten Produktionsbereitstellungen einen Mix aus Workloads enthalten, haben die Auswirkungen und Anforderungen der einzelnen Workloads Einfluss darauf, welche Komponenten eines ADC am meisten genutzt werden. Sogar innerhalb der Komponenten kann der Arbeitsaufwand unterschiedlich sein. Einige Workloads reagieren empfindlicher auf Latenz, andere empfindlicher auf Jitter; einige Workloads reagieren empfindlich auf Durchsatzgrenzen, während andere stärker von der Verfügbarkeit abhängen.

Hier sind die häufigsten Workloads zusammen mit den wichtigsten Kennzahlen, die sie unterstützen:

• Derzeit besteht die am häufigsten von Websites und vielen mobilen Anwendungen genutzte Arbeitslast aus transaktionalen HTTP-Webanwendungen, die oft SSL und TLS verwenden. Die wichtigsten Metriken für diese Arbeitslast sind alle SSL-Metriken: RPS, TPS und Durchsatz sowie RPS und CPS der Schicht 7.
• DNS ist eine weitere häufige Workload, die in fast allen Internet-Knotenpunkten verwendet wird. DNS wird häufig verwendet, das Verkehrsaufkommen ist gering und die Bereitstellung erfolgt üblicherweise über UDP statt TCP. Daher sind der Durchsatz auf Ebene 3 und Ebene 4 die wichtigsten Kennzahlen.
• Die REST-API erfreut sich zunehmender Verwendung und bezeichnet einen gemeinsamen API-Transport für Dienste. Aus diesem Grund wird REST-API häufig bei der Kommunikation zwischen Maschinen verwendet. Da die REST-API auf HTTP basiert, sind die wichtigsten Kennzahlen dieselben wie für HTTP (alle SSL-Kennzahlen): RPS, TPS und Durchsatz sowie Layer 7 RPS und CPS.
• MQTT ist ein neues Messaging-Protokoll mit vielen Einsatzmöglichkeiten, das in der Kommunikation mit dem Internet der Dinge (IoT) schnell an Bedeutung gewinnt. Wie die REST-API ist MQTT hauptsächlich in Machine-to-Machine-Anwendungen zu finden. Die wichtigsten Kennzahlen für MQTT sind Layer 4-CPS und Durchsatz.
• Diameter ist ein Ersatz für das RADIUS-Authentifizierungsprotokoll, das auf Ebene 4 arbeitet und TCP-Verbindungen über längere Zeiträume offen hält. Die wichtigsten Kennzahlen sind Layer-4-CPS und die Robustheit der Layer-4-Verbindungstabelle.
• Finanzhandelsprotokolle wie FIX, SAIL und OUCH reagieren empfindlich auf Latenzzeiten sowohl auf Layer 4- als auch auf Layer 7-Ebene. Die wichtigsten Kennzahlen sind somit Layer 4 CPS plus Layer 7 RPS und CPS.
• Die WebSocket-Technologie ist eine relativ neue Ergänzung der Workload-Typen, wobei der Server die Kommunikation mit dem Client über eine langlebige Layer-4- und Layer-7-Verbindung initiieren kann. Wichtige Kennzahlen sind CPS der Schicht 4, RPS und CPS der Schicht 7 sowie die Robustheit der Verbindungstabellen der Schicht 4 und 7.
• Protokollierungs- und Warnworkloads werden alle auf Ebene 4 ausgeführt und einige basieren auf der REST-API, die auf Ebene 7 ausgeführt wird. Eine Schlüsselmetrik ist daher Layer-4-CPS und für die auf der REST-API basierenden Layer-7-RPS und CPS.

Die Workload-Mixe entwickeln sich ständig weiter und es werden ständig neue Workloads eingeführt, die jeweils ihre eigenen kritischen ADC-Metriken basierend auf den primären Vorgängen des Workloads haben.

Der Durchsatz eines Netzwerkgeräts ist eine Funktion der Latenz – der Verzögerung, die durch die Verarbeitung des Netzwerkverkehrs entsteht. Zumindest erfordert die Lichtgeschwindigkeit eine Mindestlatenz für elektrische Signale, die über Kupferdrähte übertragen werden, oder für optische Signale, die über Glasfaserkabel laufen. Neben der bloßen Datenübertragung über Kabel oder Glasfaser führt ein ADC jedoch mehrere Vorgänge im Netzwerkverkehr aus. Die maximalen Fähigkeiten eines ADC sind die Summe der Latenzen serieller Operationen, d. h. Operationen, die nicht parallel ausgeführt werden. Glücklicherweise werden viele Vorgänge parallel ausgeführt, die zur Ausführung dieser Vorgänge erforderliche Zeit stellt jedoch weiterhin eine Einschränkung des Gesamtdurchsatzes dar. Ein Ziel der ADC-Designer besteht darin, diese Latenzen zu minimieren, um den Durchsatz zu maximieren.

Die Bewertung der Leistung eines bestimmten ADC und der Versuch, ihn einer bestimmten Bereitstellung anzupassen, kann entmutigend sein. Netzwerkanbieter veröffentlichen Messgrößen auf Grundlage von Tests, deren Ziel darin besteht, eine bestimmte Messgröße auf Kosten anderer zu maximieren. Der Grund für diesen Ansatz besteht darin, eine brauchbare Zahl zu veröffentlichen, die als Orientierung für die Architektur und Entscheidungen dienen kann. Den Anbietern ist jedoch bewusst, dass nicht alle veröffentlichten Zahlen gleichzeitig zutreffen. Um eine Auto-Analogie zu verwenden: Toyota bewirbt sein 2017er Camry-Basismodell mit 178 PS und einem Benzinverbrauch von 6,9 Litern pro 100 Kilometer auf der Autobahn. Es wäre jedoch unvernünftig, von dem Auto zu erwarten, dass es die vollen 178 PS leistet – und dabei das Gaspedal bei 6.000 U/min bis zum Boden durchdrückt – und gleichzeitig 6,9 Liter pro 100 Kilometer verbraucht. In ähnlicher Weise zeigen Netzwerkanbieter individuelle Leistungsmesswerte anhand eines Best-Case-Szenarios für jeden Anbieter. Viele der publizierten Leistungskennzahlen sind in der Regel nicht gleichzeitig reproduzierbar.

Einige der veröffentlichten Metriken können auf verschiedene Verarbeitungsebenen angewendet werden. Beispielsweise könnten Anfragen pro Sekunde Werte für die Verarbeitung auf OSI-Schicht 2 (L2) oder OSI-Schicht 7 (L7) darstellen. Andererseits bezieht sich TPS häufig nur auf die Aushandlung von SSL-Schlüsseln, während sich Layer-7-Anfragen pro Sekunde auf nachfolgende kryptografische Anfragen unter Verwendung einer bestehenden SSL-Sitzung beziehen. Eine bestimmte Arbeitslast beansprucht die verschiedenen ADC-Verarbeitungskomponenten anders als eine andere Arbeitslast. Eine weitere wichtige Erkenntnis hinsichtlich der von ADC veröffentlichten Messdaten besteht darin, dass bei unterschiedlichen Arbeitslasten unterschiedliche Leistungsgrenzen auftreten.

Jede OSI-Netzwerkschicht verfügt über mehrere Metriken, die am häufigsten für diese Schichten veröffentlicht werden. Beispielsweise werden Layer-4-Metriken häufig in Verbindungen pro Sekunde angegeben, und andere Metriken beziehen sich auf den Layer-4-Durchsatz. Die OSI-Schichten 5 und 6 lassen sich nicht ohne Weiteres dem IP-Stapel zuordnen, Dienste wie SSL/TLS und Komprimierung kann man sich jedoch als Schicht 5 und 6 vorstellen. Wie oben erwähnt, werden Tests für jede dieser Kennzahlen häufig mit Datenverkehr durchgeführt, der die jeweilige Kennzahl beansprucht, und stellen keine reale Verkehrslast dar. Beispielsweise ergibt sich der maximale SSL-TPS-Wert aus einem Test mit einer SSL-Nutzlast der Länge Null, sodass keine ADC-Verarbeitungszeit mit der Entschlüsselung von SSL-Daten verschwendet wird. Obwohl dies nur zur Ermittlung der Leistung von SSL-Hardware sinnvoll ist, sendet keine Produktionsanwendung Nutzdaten mit der Länge Null. Ebenso wird der Layer-2-Durchsatz ohne aktiviertes SSL und ohne Layer-7-Verarbeitung getestet, da diese den ADC verlangsamen würden, obwohl diese Funktionen in vielen Produktionsbereitstellungen zum Einsatz kommen. Die meisten ADC-Metriken werden isoliert getestet, die meisten Produktionsumgebungen verwenden jedoch eine Kombination aus ADC-Funktionen, wobei jede Metrik unterschiedliche Komponenten oder Komponentenkombinationen betont. Zu den beteiligten Komponenten können unter anderem die CPU, die Netzwerkschnittstellenkarte (NIC), anwendungsspezifische integrierte Schaltkreise (ASICs) und feldprogrammierbare Gate-Arrays (FPGAs) gehören. Wenn einem ADC eine bestimmte Komponente fehlt, wird stattdessen die CPU verwendet.

Die Paketmetrik gibt an, wie viele Pakete pro Sekunde der ADC verarbeiten kann, und die durch diese Verarbeitung am stärksten beanspruchten Komponenten variieren je nach Schicht. Beispielsweise belastet die Verarbeitung von Layer-2-Paketen in erster Linie die Netzwerkschnittstellenkarte (NIC), während die Verarbeitung von Layer-4-Paketen in erster Linie das FPGA belastet. Die Durchsatzmetrik auf allen Ebenen bezieht sich auf den insgesamt verfügbaren Durchsatz in Gigabit pro Sekunde, während die Verbindungsmetrik misst, wie viele Verbindungen pro Sekunde auf dieser bestimmten Ebene hergestellt werden können. Beispielsweise misst die Layer-4-Verbindungsmetrik, wie viele TCP-Verbindungen pro Sekunde hergestellt werden können.

Die SSL-Verarbeitung ist insofern einzigartig, als dass Sitzungen über Verbindungen hinweg eingerichtet und verwaltet werden. Eine Verbindung kann eine SSL-Sitzung herstellen (dies wird als Transaktion bezeichnet), während nachfolgende Verbindungen eine SSL-Sitzung wiederverwenden können (dies wird als Anforderung bezeichnet). Daher werden Transaktions- und Anforderungsmetriken separat aufgeführt. SSL-Transaktionen dauern bei weitem länger als nachfolgende SSL-Anfragen. Die limitierende Zahl für die Durchsatzleistung ist daher häufig die Transaktionsmetrik. Sobald eine SSL-Sitzung hergestellt und eine nachfolgende Anforderung gestellt wird, muss die Datennutzlast verschlüsselt oder entschlüsselt werden. Der Krypto-ASIC übernimmt die Verschlüsselung und Entschlüsselung; die Leistung wird anhand der Durchsatzmetrik gemessen.

Oft ist es sinnvoll, die Datennutzlast zu komprimieren. Die Komprimierung wird vom Komprimierungs-ASIC durchgeführt und ihr Maßstab ist ebenfalls der Durchsatz.

Schließlich ist Schicht 7 insofern einzigartig, als dass angesichts der komplexen und vielfältigen verfügbaren Optionen zur Verkehrsverwaltung die gesamte Verarbeitung auf Schicht 7 über die CPU erfolgt. Cookie-Persistenz ist eine gängige Funktion der Schicht 7, die jede Benutzersitzung an einen bestimmten Server im Pool bindet und von der CPU ausgeführt wird. Die Metrik für Layer-7-Anfragen bezieht sich auf die Anzahl der Layer-7-Anfragen pro Sekunde, die der ADC ausführen kann. In ähnlicher Weise bezieht sich die Durchsatzmetrik der Schicht 7 auf den gesamten auf Schicht 7 möglichen Durchsatz.

Schließlich erfordert jede Schicht, die den Verbindungsstatus bewahren muss, dass der ADC eine Verbindungstabelle pflegt. Verbindungstabellen sind für TCP-Verbindungen der Schicht 4, SSL-Sitzungen und HTTP-Sitzungen der Schicht 7 üblich. Protokolle mit langlebigen Verbindungen können eine ADC-Verbindungstabelle erschöpfen oder belasten.

Jede Metrik kann dabei helfen, einen bestimmten Leistungsaspekt zu bestimmen. Das Verständnis der verschiedenen Vorgänge, die auf jeder Ebene ausgeführt werden, sowie der Informationen darüber, welche Komponenten von diesen Vorgängen betroffen sind, hilft bei der Bewertung der ADC-Leistungsmetriken für eine bestimmte Bereitstellung.

Jeder Aspekt der ADC-Funktionalität kann von einer CPU bereitgestellt werden. Tatsächlich bieten viele ADC-Hardwareanbieter eine reine Softwareversion an. Dies ist möglich, weil eine CPU der flexibelste verfügbare Hardwaretyp ist und nahezu jede datenzentrierte Aufgabe ausführen kann.

Das Übertragen aller Aspekte der ADC-Funktionalität auf eine CPU hat jedoch seine Grenzen. Von den drei primären Hardwaretypen zur Verarbeitung von Netzwerkverkehr – CPU, ASIC und FPGA – ist die CPU der langsamste und wohl auch teuerste, da sie die Unterstützung von Speicher und Speichercontrollern benötigt. Die anderen beiden Hardwaretypen zur Verarbeitung des Netzwerkverkehrs sind ASIC und FPGA. Ein ASIC ist für die Ausführung einer bestimmten Aufgabe konzipiert, daher der Name. Kein anderer Hardwaretyp kann eine Aufgabe schneller ausführen als ein ASIC, seine Fähigkeiten sind jedoch durch die im Chip integrierten Funktionen beschränkt. Wenn eine Anwendung Funktionen benötigt, die der ASIC nicht bietet, muss die Anwendung stattdessen eine CPU verwenden und die Aufgaben per Software ausführen.

Wenn eine CPU flexibel und langsam, ein ASIC hingegen unflexibel und schnell ist, gibt es dazwischen eine dritte Technologie: das FPGA. Ein FPGA ist langsamer als ein ASIC, aber viel schneller als eine CPU, und es kann so programmiert werden, dass es Aufgaben ausführt, die die FPGA-Designer nicht vorgesehen haben.

Ein gut konzipierter ADC nutzt die Fähigkeiten jedes Hardwaretyps in vollem Umfang: Er überträgt die üblichen und einfachen Aufgaben auf ASIC-Komponenten, führt komplexere Aufgaben auf FPGA-Komponenten aus und verarbeitet die komplexesten und am wenigsten üblichen Aufgaben auf der CPU. Ein Großteil der technischen Magie eines ADC ist das Ergebnis der Koordination der verschiedenen Komponententypen, um die unterschiedlichen Arbeitslasten möglichst effizient zu bewältigen.

Die mit Abstand am häufigsten in einem ADC ausgeführte Aufgabe ist die Paketverarbeitung an den Netzwerkschnittstellen. Eine standardmäßige, handelsübliche Netzwerkkarte ist entweder auf eingehenden Datenverkehr mit hohem Volumen (beispielsweise auf einem Desktop oder einem anderen Benutzergerät) oder auf ausgehenden Datenverkehr mit hohem Volumen (beispielsweise auf einem Server) abgestimmt. Die Besonderheit eines ADC besteht darin, dass er eine Netzwerkkarte erfordert, die auf maximalen Durchsatz in beide Richtungen abgestimmt ist. Keine handelsübliche Netzwerkkarte ist für maximalen Durchsatz in beide Richtungen ausgelegt. Da die ADC-Paketverarbeitung häufig und relativ einfach ist, eignet sie sich gut für einen ASIC. In Cluster-ADC-Umgebungen fungiert ein Disaggregator (DAG)-ASIC als Front-End-Load Balancer und stellt sicher, dass dieselben Client- und Serversitzungen immer über denselben Clusterknoten laufen. Die Verwendung eines DAG in einer Clusterumgebung erleichtert die horizontale Skalierung von ADC-Geräten, um den Verkehrsanforderungen gerecht zu werden. In einem richtig konzipierten ADC kann die gesamte Paketverarbeitung und das Switching auf Schicht 2 in spezieller ASIC-Hardware durchgeführt werden.

Die Verarbeitungsaufgaben der Schichten 3 und 4 sind komplexer und eignen sich daher gut für ein FPGA. Ein FPGA kann Routing-Funktionen sowie Firewall- und Distributed-Denial-of-Service-(DDoS-)Schutz, einschließlich TCP-SYN-Cookies, bereitstellen. Die Verwendung eines FPGA auf dieser Ebene ermöglicht die Verarbeitung und den Schutz auf Schicht 4 und stellt sicher, dass der für die weitere Verarbeitung vorgesehene Datenverkehr ordnungsgemäß zusammengestellt und gefiltert wurde.

Verschlüsselungs- und Komprimierungsverarbeitung, wie etwa SSL oder TLS, und die neuen Funktionen von HTTP/2 sind ein weiterer Einsatzzweck für dedizierte Hardware. Für die kryptografische Verarbeitung wird häufig ein spezialisierter ASIC verwendet, einschließlich der rechenintensiven SSL-Schlüsselaushandlung moderner Chiffren wie der Elliptischen-Kurven-Diffie-Hellman-Verschlüsselung (ECDHE). Sobald die SSL-Schlüsselaushandlung stattgefunden hat, kann die Massenverschlüsselung und -entschlüsselung nachfolgender Anfragen auch von der ASIC-Hardware übernommen werden. Ebenso können Komprimierung und Dekomprimierung mithilfe gängiger Algorithmen durch ASIC-Hardware durchgeführt werden. Durch die Verwendung dedizierter ASIC-Komponenten wird eine schnelle Verarbeitung von Verschlüsselung und Komprimierung ermöglicht.

Die gesamte verbleibende Verarbeitung des Netzwerkverkehrs, die nicht von ASICs und FPGAs bewältigt wird, muss von der CPU verarbeitet werden. Obwohl die CPU im Vergleich zu ASICs und FPGAs langsam ist, ist sie die flexibelste Komponente im ADC. Die CPU ist auch mit Aufgaben betraut, die nichts mit der Netzwerkverarbeitung zu tun haben, wie z. B. der GUI und anderen Konfigurationsaufgaben, der Handhabung von E/A-Interrupts oder sogar der Verarbeitung von Festplattenanforderungen. Da die Anforderungen an die CPU mit der Latenz variieren können und die CPU der letzte Hardwaretyp ist, der den Netzwerkverkehr verarbeitet, sind ADCs bewusst so konzipiert, dass sie so wenig Datenverkehr wie möglich an die CPU weiterleiten und stattdessen so viel wie möglich auf schnelleren ASICs und FPGAs verarbeiten.

Es kann schwierig sein, die veröffentlichten Kennzahlen der Anbieter in die tatsächliche Leistung umzusetzen. Das Verständnis des Zusammenspiels zwischen den unterschiedlichen Workload-Typen, den von ihnen verbrauchten Ressourcen und den Funktionen einer Hardwareplattform kann Ihnen zwar komplex sein, aber dabei helfen, die beste Kaufentscheidung für Ihr Unternehmen zu treffen.

Veröffentlichte Datenblätter und andere Ressourcen erleichtern die Festlegung der richtigen Plattform. Es ist jedoch auch wichtig, sich wann immer möglich direkt auf die Erfahrung und das Fachwissen des Anbieters zu verlassen. Führende Anbieter verfügen über umfassende Erfahrung bei der Anpassung von Arbeitslasten an Plattformen – ein Know-how, das den Kunden unmittelbar zur Verfügung stehen sollte.

Durch die Kombination eines guten Verständnisses der Verkehrseigenschaften Ihrer Anwendung und der Plattformfunktionen mit der Fachkompetenz Ihres Anbieters verringern Sie das Risiko und die potenziellen Kosten einer Unter- oder Überbereitstellung Ihrer Plattform.