Logiciels et hautes performances : Pourquoi ils ne doivent pas nécessairement s’exclure mutuellement
À ce stade, les avantages de la migration des environnements dominés par le matériel vers des architectures cloud et définies par logiciel sont bien connus : évolutivité accrue, agilité opérationnelle et flexibilité économique, pour n’en citer que quelques-uns. Mais il existe également une idée fausse répandue selon laquelle pour réaliser ces gains, les organisations sont obligées de faire un sacrifice concernant les performances de leurs applications. Après tout, comment une infrastructure partagée et virtualisée peut-elle offrir les mêmes performances qu’un matériel personnalisé et dédié ?
Et même si de nombreuses nouvelles applications cloud natives sans état sont conçues pour évoluer horizontalement à mesure que la demande augmente, il existe encore des milliers de charges de travail monolithiques avec des exigences d'état qui les limitent à une évolution verticale pour satisfaire une demande accrue. Pour ces applications, de meilleures performances logicielles (et une plus grande évolutivité) sont cruciales, car nombre d’entre elles ne pourront pas, ou ne pourront tout simplement pas, être réarchitecturées lorsqu’elles migreront vers le cloud.
Découvrez BIG-IP Virtual Edition (VE)
Depuis le lancement de BIG-IP VE il y a dix ans, l'une des questions les plus fréquemment posées par les clients est la suivante : « Quel niveau de mise à l'échelle et de performances de traitement du trafic sommes-nous susceptibles d'atteindre avec VE par rapport à votre matériel ? » Il y a toutes ces années, l’écart entre les deux était considérable, car les premiers VE n’étaient destinés qu’à remplacer le matériel de distribution d’applications destiné aux applications spécifiques à faible trafic. À l'époque, VE n'était capable de traiter qu'environ 1 Gbit/s de trafic tout en gérant une fraction des requêtes et connexions L4/L7 possibles dans le matériel.
Aujourd'hui, les VE peuvent désormais traiter plus de 100 Gbit/s de trafic application et égaler tous les appareils, à l'exception des plus performants, en termes d'autres mesures de traitement du trafic. Dans cet article, nous examinerons certaines améliorations récentes de VE et les technologies d'accélération prises en charge qui ont contribué à combler l'écart de performances par rapport à ses homologues physiques, tout en offrant un aperçu du prochain projet d'optimisation VE sur lequel nous travaillons avec les SmartNIC.
- Pilotes VE Poll-Mode personnalisés qui optimisent la virtualisation des E/S à racine unique (SR-IOV)
Si vous n’êtes pas familier avec les bases de la virtualisation, le concept clé consiste à faire en sorte qu’un serveur physique héberge une couche logicielle (système d’exploitation/hyperviseur) qui simule les fonctions du matériel sous-jacent et permet à plusieurs machines virtuelles distinctes (comme BIG-IP VE) avec des systèmes d’exploitation différents de fonctionner dessus. Cette méthode optimise l’utilisation des ressources du serveur physique et facilite la mobilité des applications, mais la couche supplémentaire de l’hyperviseur et le commutateur virtuel requis augmentent la latence et réduisent les performances, car les requêtes doivent les traverser avec toutes les copies et interruptions associées.
L'utilisation de SR-IOV permet cependant à VE d'interagir directement avec l'interface réseau (NIC) sur le serveur physique, en contournant la couche de commutation virtuelle et en améliorant la latence et les performances. Bien que SR-IOV soit une technologie assez courante de nos jours (la plupart des fournisseurs de cartes réseau la prenant en charge), les pilotes invités inclus dans le noyau du système d'exploitation ou ceux fournis par les fournisseurs de cartes réseau sont génériques et non optimisés spécifiquement pour BIG-IP. C'est pourquoi F5 a également beaucoup investi dans le développement de pilotes en mode sondage VE pour une gamme d'adaptateurs NIC de premier plan , contribuant ainsi à accélérer le traitement des paquets VE lors de l'utilisation de SR-IOV. C'est cette approche qui a permis aux VE d'atteindre des débits L4 allant jusqu'à 20 Gbit/s sur AWS (en utilisant AWS Elastic Network Adapter dans les instances Gen5), jusqu'à 10 Gbit/s sur Azure (en utilisant Azure Accelerated Networking) et de dépasser 85 Gbit/s dans les environnements de cloud privé (en utilisant la carte réseau Mellanox CX5 100G ).
De plus, il est possible d'atteindre plus de 100 Gbit/s en effectuant une agrégation de liens, qui combine essentiellement plusieurs ports NIC distincts pour créer un chemin de données unique à haut débit. En utilisant cette approche, vous pouvez découvrir comment un seul VE a atteint 108 Gbit/s en utilisant trois cartes réseau Intel 40G dans cet article DevCentral.
- Déchargement du traitement cryptographique avec la technologie Intel Quick Assist (QAT)
Plus de la moitié du trafic web est désormais chiffrée, et avec la croissance rapide des objets connectés et la transition mondiale vers la 5G, le volume de données à chiffrer va augmenter de façon exponentielle. Fonctionnant comme un proxy complet entre clients et serveurs, BIG-IP VE déchiffre tout le trafic chiffré, ce qui lui permet d’inspecter, d’analyser et de bloquer les charges suspectes avant de rechiffrer les données et de les acheminer vers leur destination. Même si VE est optimisé pour fournir un chiffrement logiciel performant, ce processus peut toujours peser sur les ressources CPU, réduisant les cycles de traitement disponibles pour d’autres tâches L7, iRules ou l’application des politiques.
Pour atténuer cet impact sur les charges de travail nécessitant un traitement cryptographique important, VE transfère le chiffrement vers Intel QAT—un accélérateur matériel conçu spécifiquement pour le traitement cryptographique et la compression. Ainsi, VE libère le processeur de ces tâches gourmandes en ressources, vous permet de récupérer des cycles de calcul et améliore les performances globales. Vous trouverez la confirmation dans cette étude récente sur l’impact de l’utilisation de QAT avec VE, qui démontre :
- Réduction de l'utilisation du processeur jusqu'à 45 %
- Augmentation du débit en vrac jusqu'à 200 %
- Augmentation des transactions par seconde (TPS) jusqu'à 500 %
- Introduction des VE hautes performances non bridés
- Avenir – Atténuation des attaques DDoS à grande échelle grâce à une carte réseau intelligente d'Intel
Avant la disponibilité des VE hautes performances de F5, tous les VE utilisaient un modèle de licence à débit limité où les licences étaient alignées pour définir les niveaux de débit et la quantité de CPU (200 Mbps et 2 vCPU, par exemple). Pour les applications plus petites, une instance de 25 Mbps suffirait probablement, ou inversement, pour les applications très demandées, la plus grande instance de 10 Gbit/s pourrait être plus appropriée.
Mais qu’en est-il des applications avec des exigences plus élevées ? Ou ceux qui ont des besoins imprévisibles ? Alors que F5 s'orientait vers la prise en charge de cartes réseau à bande passante plus élevée et dépassait les 10 Gbit/s, nous avons introduit des VE hautes performances qui étaient concédés sous licence en fonction du nombre de vCPU qu'ils étaient autorisés à utiliser. Les performances maximales atteignables avec les VE hautes performances dépendent plutôt du nombre de vCPU qui leur sont attribués, de 8 vCPU à 24 vCPU par incréments de 4 vCPU. En plus de permettre à VE d'extraire chaque dernier « paquet par seconde » de chaque CPU, cette approche est également plus adaptée aux cas d'utilisation intensive du CPU, notamment l'atténuation des attaques DDoS et le cryptage SSL/TLS.
Apprenez-en plus sur les capacités de High Performance VE dans la fiche technique BIG-IP VE.
Les attaques par déni de service distribué (DDoS) restent l'une des formes de cyberattaque les plus efficaces et courantes, utilisées par tous, des joueurs en ligne frustrés aux équipes cyber nationales, pour rendre inaccessibles des applications et services ciblés. En mobilisant potentiellement des milliers de connexions disparates depuis des machines réparties dans le monde entier, ces attaques submergent rapidement les solutions de sécurité, surtout celles dotées d’une capacité insuffisante pour les contrer. Avec la généralisation de la 5G à l’échelle mondiale, les attaques DDoS vont augmenter en taille, en intensité et en complexité, car il devient plus facile de créer d’immenses botnets qui paralysent les ressources avec moins d’appareils.
Bientôt, vous pourrez décharger certaines fonctions très gourmandes en CPU, comme la mitigation des attaques par déni de service distribué, de BIG-IP VE vers la carte d'accélération programmable N3000 d'Intel—une SmartNIC dotée d’un FPGA (Field Programmable Gate Array) intégré. Grâce à notre expertise de plus de dix ans en programmation FPGA, F5 optimise cette SmartNIC pour multiplier considérablement la capacité de VE à combattre les attaques DDoS. Les premiers tests menés par F5 confirment que cette solution combinée peut résister à des attaques DDoS soixante-dix fois plus intenses que celles supportées par VE utilisant uniquement le processeur, assurant ainsi la protection efficace de vos applications et de votre réseau.
Cette intégration devrait être disponible plus tard cette année, et des informations supplémentaires sont disponibles dans cette fiche de solution .