Logiciels et hautes performances : Pourquoi ils ne doivent pas nécessairement s’exclure mutuellement
À ce stade, les avantages de la migration des environnements dominés par le matériel vers des architectures cloud et définies par logiciel sont bien connus : évolutivité accrue, agilité opérationnelle et flexibilité économique, pour n’en citer que quelques-uns. Mais il existe également une idée fausse répandue selon laquelle pour réaliser ces gains, les organisations sont obligées de faire un sacrifice concernant les performances de leurs applications. Après tout, comment une infrastructure partagée et virtualisée peut-elle offrir les mêmes performances qu’un matériel personnalisé et dédié ?
Et même si de nombreuses nouvelles applications cloud natives sans état sont conçues pour évoluer horizontalement à mesure que la demande augmente, il existe encore des milliers de charges de travail monolithiques avec des exigences d'état qui les limitent à une évolution verticale pour satisfaire une demande accrue. Pour ces applications, de meilleures performances logicielles (et une plus grande évolutivité) sont cruciales, car nombre d’entre elles ne pourront pas, ou ne pourront tout simplement pas, être réarchitecturées lorsqu’elles migreront vers le cloud.
Découvrez BIG-IP Virtual Edition (VE)
Depuis le lancement de BIG-IP VE il y a dix ans, l'une des questions les plus fréquemment posées par les clients est la suivante : « Quel niveau de mise à l'échelle et de performances de traitement du trafic sommes-nous susceptibles d'atteindre avec VE par rapport à votre matériel ? » Il y a toutes ces années, l’écart entre les deux était considérable, car les premiers VE n’étaient destinés qu’à remplacer le matériel de distribution d’applications destiné aux applications spécifiques à faible trafic. À l'époque, VE n'était capable de traiter qu'environ 1 Gbit/s de trafic tout en gérant une fraction des requêtes et connexions L4/L7 possibles dans le matériel.
Aujourd'hui, les VE peuvent désormais traiter plus de 100 Gbit/s de trafic application et égaler tous les appareils, à l'exception des plus performants, en termes d'autres mesures de traitement du trafic. Dans cet article, nous examinerons certaines améliorations récentes de VE et les technologies d'accélération prises en charge qui ont contribué à combler l'écart de performances par rapport à ses homologues physiques, tout en offrant un aperçu du prochain projet d'optimisation VE sur lequel nous travaillons avec les SmartNIC.
- Pilotes VE Poll-Mode personnalisés qui optimisent la virtualisation des E/S à racine unique (SR-IOV)
Pour ceux qui ne connaissent pas les principes fondamentaux de la virtualisation, le concept de base implique un serveur physique hébergeant une couche logicielle (OS/hyperviseur) qui émule les fonctions du matériel sous-jacent et permet à plusieurs machines virtuelles distinctes (BIG-IP VE par exemple) avec des systèmes d'exploitation potentiellement distincts de s'exécuter dessus. Bien qu'ils soient idéaux pour optimiser l'utilisation des ressources du serveur physique et permettre la mobilité des applications, la couche d'hyperviseur supplémentaire et le commutateur virtuel associé requis augmentent la latence et entravent les performances, car les requêtes doivent la traverser avec toutes les copies et interruptions associées.
L'utilisation de SR-IOV permet cependant à VE d'interagir directement avec l'interface réseau (NIC) sur le serveur physique, en contournant la couche de commutation virtuelle et en améliorant la latence et les performances. Bien que SR-IOV soit une technologie assez courante de nos jours (la plupart des fournisseurs de cartes réseau la prenant en charge), les pilotes invités inclus dans le noyau du système d'exploitation ou ceux fournis par les fournisseurs de cartes réseau sont génériques et non optimisés spécifiquement pour BIG-IP. C'est pourquoi F5 a également beaucoup investi dans le développement de pilotes en mode sondage VE pour une gamme d'adaptateurs NIC de premier plan , contribuant ainsi à accélérer le traitement des paquets VE lors de l'utilisation de SR-IOV. C'est cette approche qui a permis aux VE d'atteindre des débits L4 allant jusqu'à 20 Gbit/s sur AWS (en utilisant AWS Elastic Network Adapter dans les instances Gen5), jusqu'à 10 Gbit/s sur Azure (en utilisant Azure Accelerated Networking) et de dépasser 85 Gbit/s dans les environnements de cloud privé (en utilisant la carte réseau Mellanox CX5 100G ).
De plus, il est possible d'atteindre plus de 100 Gbit/s en effectuant une agrégation de liens, qui combine essentiellement plusieurs ports NIC distincts pour créer un chemin de données unique à haut débit. En utilisant cette approche, vous pouvez découvrir comment un seul VE a atteint 108 Gbit/s en utilisant trois cartes réseau Intel 40G dans cet article DevCentral.
- Déchargement du traitement cryptographique avec la technologie Intel Quick Assist (QAT)
Plus de la moitié du trafic Web est désormais crypté, et avec la croissance explosive des appareils IoT et le mouvement mondial vers la 5G, la quantité de données devant être cryptées devrait augmenter de manière exponentielle. Fonctionnant dans une architecture proxy complète entre les clients et les serveurs, BIG-IP VE décrypte tout le trafic crypté, ce qui lui permet d'inspecter, d'analyser et de bloquer les charges utiles malveillantes, avant de recrypter les données et de les acheminer vers la destination souhaitée. Et même si VE a été optimisé pour fournir un cryptage logiciel hautes performances, ce processus peut toujours représenter une charge pour les ressources du processeur, réduisant ainsi le nombre de cycles de traitement disponibles pour d'autres tâches L7, iRules ou l'application des politiques.
Pour atténuer cet effet pour les charges de travail avec des exigences de traitement cryptographique importantes, VE décharge le chiffrement sur Intel QAT, un accélérateur matériel spécialement conçu pour le traitement et la compression cryptographiques. Ce faisant, VE est en mesure de décharger ces tâches gourmandes en ressources CPU, de libérer des cycles de calcul et d’augmenter les performances globales. On peut en trouver la preuve dans cette étude récente sur l’impact de l’utilisation du QAT avec VE, qui a montré :
- Réduction de l'utilisation du processeur jusqu'à 45 %
- Augmentation du débit en vrac jusqu'à 200 %
- Augmentation des transactions par seconde (TPS) jusqu'à 500 %
- Introduction des VE hautes performances non bridés
- Avenir – Atténuation des attaques DDoS à grande échelle grâce à une carte réseau intelligente d'Intel
Avant la disponibilité des VE hautes performances de F5, tous les VE utilisaient un modèle de licence à débit limité où les licences étaient alignées pour définir les niveaux de débit et la quantité de CPU (200 Mbps et 2 vCPU, par exemple). Pour les applications plus petites, une instance de 25 Mbps suffirait probablement, ou inversement, pour les applications très demandées, la plus grande instance de 10 Gbit/s pourrait être plus appropriée.
Mais qu’en est-il des applications avec des exigences plus élevées ? Ou ceux qui ont des besoins imprévisibles ? Alors que F5 s'orientait vers la prise en charge de cartes réseau à bande passante plus élevée et dépassait les 10 Gbit/s, nous avons introduit des VE hautes performances qui étaient concédés sous licence en fonction du nombre de vCPU qu'ils étaient autorisés à utiliser. Les performances maximales atteignables avec les VE hautes performances dépendent plutôt du nombre de vCPU qui leur sont attribués, de 8 vCPU à 24 vCPU par incréments de 4 vCPU. En plus de permettre à VE d'extraire chaque dernier « paquet par seconde » de chaque CPU, cette approche est également plus adaptée aux cas d'utilisation intensive du CPU, notamment l'atténuation des attaques DDoS et le cryptage SSL/TLS.
Apprenez-en plus sur les capacités de High Performance VE dans la fiche technique BIG-IP VE.
Les attaques par déni de service distribué (DDoS) continuent d’être l’une des formes de cyberattaques les plus efficaces et les plus utilisées, et tout le monde, des joueurs en ligne frustrés aux équipes cybernétiques des États-nations, les utilise pour mettre hors ligne les applications et les services ciblés. Utilisant potentiellement des milliers de connexions disparates provenant de machines situées partout dans le monde, ces attaques peuvent rapidement submerger les solutions de sécurité, en particulier celles qui n’ont pas la capacité suffisante pour les atténuer. Et avec la transition mondiale vers la 5G, les attaques DDoS ne vont qu’augmenter en taille, en gravité et en complexité, car il devient plus facile de former des botnets massifs et paralysants en ressources avec moins d’appareils.
Heureusement, vous aurez bientôt la possibilité de décharger des fonctions spécifiques gourmandes en ressources CPU, notamment l’atténuation des attaques DDoS de BIG-IP VE sur la carte d’accélération programmable N3000 d’Intel, une SmartNIC avec FPGA (Field Programmable Gate Array) intégrée. Lorsqu'il est correctement programmé par F5 en s'appuyant sur notre vaste expérience de plus de 10 ans dans l'utilisation des FPGA, ce SmartNIC est capable d'augmenter de manière exponentielle les capacités d'atténuation DDoS de VE. En fait, les premiers tests réalisés par F5 ont montré que cette solution combinée sera capable de résister à une attaque DDoS 70 fois plus importante que VE en utilisant uniquement le processeur, contribuant ainsi à sécuriser vos applications et votre réseau.
Cette intégration devrait être disponible plus tard cette année, et des informations supplémentaires sont disponibles dans cette fiche de solution .