Software y alto rendimiento: Por qué no tienen por qué ser mutuamente excluyentes
A estas alturas, los beneficios de migrar de entornos dominados por hardware a arquitecturas definidas por software y en la nube son bien conocidos: mayor escalabilidad, agilidad operativa y flexibilidad económica, por nombrar solo algunos. Pero también existe la idea errónea de que, para lograr estas ganancias, las organizaciones se ven obligadas a hacer sacrificios en cuanto al rendimiento de sus aplicaciones. Después de todo, ¿cómo puede una infraestructura virtualizada compartida acercarse al mismo rendimiento que un hardware dedicado y personalizado?
Y aunque muchas aplicaciones nuevas, nativas de la nube y sin estado están diseñadas para escalar horizontalmente a medida que crece la demanda, todavía hay miles de cargas de trabajo monolíticas con requisitos con estado que las restringen a escalar verticalmente para satisfacer una mayor demanda. Para estas aplicaciones, un mayor rendimiento del software (y escalabilidad) es crucial, ya que muchas no podrán rediseñarse (o simplemente no podrán) a medida que migran a la nube.
Presentamos BIG-IP Virtual Edition (VE)
Desde el inicio de BIG-IP VE hace una década, una de las preguntas más frecuentes de los clientes es algo así como: " ¿Qué nivel de escalabilidad y rendimiento de procesamiento de tráfico es probable que experimentemos con VE en comparación con su hardware? " Hace muchos años, la brecha entre ambos era considerable, ya que los primeros VE solo estaban destinados a reemplazar el hardware de entrega de aplicaciones que gestionaba aplicaciones específicas de bajo tráfico. En aquel entonces, VE solo era capaz de procesar alrededor de 1 Gbps de tráfico y manejar una fracción de las solicitudes y conexiones L4/L7 posibles en el hardware.
Sin embargo, si avanzamos hasta el día de hoy, dadas las condiciones adecuadas, los VE ahora pueden procesar más de 100 Gbps de tráfico de aplicação e igualar a todos los dispositivos, excepto los de mayor rendimiento, en otras métricas de procesamiento de tráfico. En este artículo, analizaremos algunas mejoras recientes de VE y las tecnologías de aceleración compatibles que han ayudado a cerrar prácticamente la brecha de rendimiento con respecto a sus contrapartes físicas, al tiempo que brindamos un adelanto del próximo proyecto de optimización de VE en el que estamos trabajando con SmartNIC.
- Controladores de modo de sondeo VE personalizados que optimizan la virtualización de E/S de raíz única (SR-IOV)
Para aquellos que no están familiarizados con los fundamentos de la virtualización, el concepto central implica un servidor físico que aloja una capa de software (SO/hipervisor) que emula las funciones del hardware subyacente y permite que múltiples máquinas virtuales distintas (BIG-IP VE, por ejemplo) con sistemas operativos potencialmente distintos se ejecuten sobre él. Si bien es excelente para optimizar la utilización de recursos del servidor físico y permitir la movilidad de las aplicaciones, la capa de hipervisor adicional y el conmutador virtual asociado requeridos aumentan la latencia y obstaculizan el rendimiento ya que las solicitudes deben pasar a través de él con todas las copias e interrupciones asociadas.
Sin embargo, el uso de SR-IOV permite que VE interactúe directamente con la interfaz de red (NIC) en el servidor físico, evitando la capa de conmutador virtual y mejorando la latencia y el rendimiento. Si bien SR-IOV es una tecnología bastante común en la actualidad (la mayoría de los proveedores de NIC la admiten), los controladores invitados que vienen incluidos en el kernel del sistema operativo o aquellos proporcionados por los proveedores de NIC son genéricos y no están optimizados específicamente para BIG-IP. Por esta razón, F5 también ha invertido fuertemente en el desarrollo de controladores de modo de sondeo de VE para una gama de adaptadores NIC líderes , lo que ayuda a acelerar el procesamiento de paquetes de VE al usar SR-IOV. Este enfoque ha permitido a los VE alcanzar velocidades de capa 4 de hasta 20 Gbps en AWS (usando el adaptador de red elástica de AWS en instancias Gen5), hasta 10 Gbps en Azure (usando Azure Accelerated Networking) y superar los 85 Gbps en entornos de nube privada (usando la tarjeta de red Mellanox CX5 de 100 G ).
Además, es posible alcanzar más de 100 Gbps realizando una agregación de enlaces, que esencialmente combina múltiples puertos NIC distintos para crear una única ruta de datos de alto rendimiento. Con este enfoque, puede aprender cómo un solo VE logró 108 Gbps usando tres NIC Intel de 40 G en este artículo de DevCentral.
- Descarga del procesamiento criptográfico con la tecnología Intel Quick Assist (QAT)
Actualmente, más de la mitad del tráfico web está encriptado y, con el crecimiento explosivo de los dispositivos IoT y el movimiento global hacia 5G, la cantidad de datos que necesitan encriptarse aumentará exponencialmente. Al operar dentro de una arquitectura de proxy completo entre clientes y servidores, BIG-IP VE descifra todo el tráfico cifrado, lo que le permite inspeccionar, analizar y bloquear cargas útiles de apariencia maliciosa, antes de volver a cifrar los datos y enrutarlos a su destino deseado. Y aunque VE ha sido optimizado para ofrecer cifrado basado en software de alto rendimiento, este proceso todavía puede ser una carga para los recursos de la CPU, lo que reduce la cantidad de ciclos de procesamiento disponibles para otras tareas L7, iRules o aplicación de políticas.
Para mitigar este efecto en cargas de trabajo con requisitos de procesamiento criptográfico significativos, VE descarga el cifrado a Intel QAT, un acelerador de hardware diseñado específicamente para el procesamiento y la compresión criptográfica. Al hacerlo, VE puede descargar estas tareas que consumen mucha CPU, liberar ciclos de cómputo y aumentar el rendimiento general. Prueba de ello se puede encontrar en este estudio reciente sobre el impacto del uso de QAT con VE, que mostró:
- Reducción de la utilización de la CPU de hasta un 45%
- Aumento del rendimiento masivo de hasta un 200%
- Aumento de transacciones por segundo (TPS) de hasta un 500%
- Introducción de vehículos eléctricos de alto rendimiento sin estrangulamiento
- Futuro: Mitigación de DDoS a gran escala mediante una SmartNIC de Intel
Antes de la disponibilidad de los VE de alto rendimiento de F5, todos los VE utilizaban un modelo de licencia con tasa de rendimiento limitada donde las licencias se alineaban para establecer niveles de rendimiento y cantidad de CPU (200 Mbps y 2 vCPU, por ejemplo). Para aplicaciones más pequeñas, probablemente sería suficiente una instancia de 25 Mbps o, por el contrario, para aplicaciones con alta demanda, podría ser más apropiada una instancia más grande de 10 Gbps.
¿Pero qué pasa con las aplicaciones con mayores exigencias? ¿O aquellos con requisitos impredecibles? A medida que F5 pasó a soportar NIC de mayor ancho de banda y superar los 10 Gbps, presentamos VE de alto rendimiento que tenían licencia según la cantidad de vCPU que podían usar. El rendimiento máximo alcanzable con VE de alto rendimiento depende, en cambio, de la cantidad de vCPU que se le asignan: desde 8 vCPU hasta 24 vCPU en incrementos de 4 vCPU. Además de permitir que VE exprima hasta el último "paquete por segundo" de cada CPU, este enfoque también es más compatible con casos de uso intensivo de CPU, incluida la mitigación de DDoS y el cifrado SSL/TLS.
Obtenga más información sobre las capacidades de VE de alto rendimiento en la hoja de datos de BIG-IP VE.
Los ataques de denegación de servicio distribuido (DDoS) siguen siendo una de las formas de ciberataque más eficaces y utilizadas: desde jugadores en línea frustrados hasta equipos cibernéticos de estados nacionales los utilizan para dejar fuera de línea aplicaciones y servicios específicos. Estos ataques, que potencialmente utilizan miles de conexiones dispares desde máquinas ubicadas en todo el mundo, pueden saturar rápidamente las soluciones de seguridad, especialmente aquellas que no tienen capacidad suficiente para mitigarlos. Y con la transición global a 5G, los ataques DDoS solo aumentarán en tamaño, gravedad y complejidad a medida que sea más fácil formar botnets masivos que consumen recursos con menos dispositivos.
Afortunadamente, pronto tendrá la capacidad de descargar funciones específicas que requieren un uso intensivo de la CPU, incluida la mitigación de DDoS de BIG-IP VE, en la tarjeta de aceleración programable N3000 de Intel, una SmartNIC con una matriz de puertas programables en campo (FPGA) incorporada. Cuando F5 lo programa correctamente aprovechando nuestra amplia experiencia de más de 10 años en el uso de FPGA, este SmartNIC es capaz de aumentar exponencialmente las capacidades de mitigación de DDoS del VE. De hecho, las primeras pruebas realizadas por F5 han demostrado que esta solución combinada podrá soportar un ataque DDoS 70 veces mayor en magnitud que VE usando solo CPU, lo que ayudará a mantener seguras sus aplicaciones y su red.
Se espera que esta integración esté disponible de forma general a finales de este año; hay información adicional disponible en este resumen de la solución .