F5 Blog

 
アーカイブ 記事を検索

F5 BIG-IP iシリーズ vs. Citrix & A10、SSLパフォーマンス比較

F5が実施した実機テストによれば、新たにリリースされたF5 BIG-IP iシリーズは、比較対象となる他社デバイス(同価格帯の他社製品)に比べ、SSL ECC TPSが5倍高速であることがわかりました。

インターネットの世界は、より幅広い暗号スイートを活用する方向へとシフトしつつあります。このような状況の中、F5は独自のアプローチによって、SSL/TLSにおけるリーダーシップを維持し続けています。これまでもADC(Application Delivery Controller)では、暗号化されたコネクションをソフトウェアで処理する時のパフォーマンス不足を、SSLハードウェアアクセラレータで補完するというアプローチを取ってきました。しかし旧世代のSSLハードウェアアクセラレータはシステムに多くの負荷をかける傾向にあり、アプリケーションパフォーマンスの劣化や、キャパシティの制約をもたらしてきました。BIG-IP iシリーズは、新世代のハードウェアアクセラレータで暗号処理を行うことで、この問題を解決しています。このハードウェアアクセラレータは、ECDHE(Elliptic Curve Diffie–Hellman Ephemeral:エフェメラル楕円曲線ディフィー・ヘルマン)鍵交換のオフロード処理に対応しています。そのため高負荷なTLS環境においても、ECC(Elliptic Curve Cryptography:楕円曲線暗号)/ECDHE暗号スイートの適用が容易になります。

それではBIG-IP iシリーズのパフォーマンスは、他社が市場投入しているデバイスに比べ、どの程度高速なのでしょうか。これを確かめるためF5は、ECDHE-ECDSA-AES128-SHA256 SSL暗号を実機で処理する、厳格なパフォーマンステストを実施しました。比較対象としたのは、A10 NetworksとCitrixのデバイスです。

このテストでは、まずクライアント側から仮想サーバーに対し、ECDHE-ECDSA-AES128-SHA256 SSL暗号を用いたSSL通信を開始します。コネクションが確立されると、クライアントは1つのファイルを要求する単一のリクエストを送り、これに対してサーバーが要求されたファイルと「200 OK」というステータスコードを返します。その後クライアントは4ウェイハンドシェイクによってコネクションを切断します。なおコネクションの再利用は行えないようにしてあります。

その結果を示すのが下の表とグラフです。A10 NetworksとCitrixのデバイスは、いずれも汎用的なマーチャントシリコンでSSL処理をオフローディングしていますが、これらに比べてBIG-IP iシリーズが圧倒的なパフォーマンスを発揮していることがわかります。

Transactions Per Second

 

 

 

 

 File Size

128B

5KB

16KB

512KB

 F5 BIG-IP i7800

27243

27077

26573

5251

 Citrix NetScaler 14080

5103

5087

5060

2156

 A10 Networks 4440S

3976

3910

3891

2135

         

Throughput in Mbps

       

 File size

128B

5KB

16KB

512KB

 F5 BIG-IP i7800

105

1185

3558

22034

 Citrix NetScaler 14080

19

222

677

9047

 A10 Networks 4440S

15

171

521

8955

 

 

実機テストのプロセスと環境について

今回の実機テストも、F5がこれまでに行ってきたものと同様に、マルチフェーズのテストプロセスを採用しています。このプロセスは以下のフェーズで構成されています。

 

1.予備テスト:テスト対象となるデバイスがいずれも同じ方法でネットワークトラフィックを扱えるように、各デバイスを構成し、その動作を検証します。
2.探索的テスト:各デバイスにとって最適なセッティングを決め、それが各テストパターンでどのようなパフォーマンスを発揮するのかを明らかにします。テスト対象となるデバイスの最終的な構成も、このフェーズで確定します。
3.最終テスト:各パターンのテストを、それぞれ複数回実施します。これらのテストは、一貫性のある最良の結果が最低でも3回以上得られるまで繰り返されます。一貫性の基準を満たすまで、更に多くのテストを繰り返すこともあります。
4.最良の結果の決定:各テストパターンで得られた3つの最良の結果を詳細に検証し、いずれが実際のパフォーマンスを代表するのに最適な値なのかを見極めます。ここで選ばれた最良の結果が、このレポートで使用されています。

このレポートに記載されている結果を得るために実施されたテストの回数は、合計で50回を超えています。

 

実機テストの対象製品について

今回の実機テストでは、以下のように同価格帯の製品を、テスト対象として選択しています。

・Citrix 14080 ($113,069)
・A10 4440S ($94,240)
・F5 BIG-IP i7800 ($85,000)

SSL処理に対するアプローチとテスト内容について

SSLによる暗号化処理は、ユーザとアプリケーションとの通信を安全に行うため、世界中で広く利用されています。SSLは標準的な暗号化プロトコルであり、全ての主要OS、Webブラウザ、スマートフォン等で利用可能です。SSLの技術は、安全性の高いオンラインショッピング、安全性の高いリモートアクセス(SSL VPN)等、幅広い用途で活用されており、ビジネスや生活に深く浸透したネットワーク セキュリティ ソリューションだと言えます。SSLによるセキュリティは、鍵交換を行うために用いられる公開鍵暗号と、共有された暗号鍵で暗号化通信を行う対称鍵暗号(RC4や3DES、AESが一般的に用いられます)の組み合わせで実現されています。鍵交換と暗号化通信のための様々な暗号アルゴリズムは、いずれも数値演算の負荷が高く、ほぼ全ての商用利用で満足できるパフォーマンスやスケーラビリティを得るには、サーバー側に特別なハードウェアが必要となります。

鍵交換とハンドシェイクを処理するデバイスが、どの程度の処理能力を持つのかを測定する上で、最も重要な指標となるのが「SSL TPS(Transactions per Second)」です。一般には小さいサイズのファイルを使用した測定が行われますが、これはSSLセッション開始時に発生するハンドシェイク処理のパフォーマンスを測定するためです。この処理は数値演算の負荷が高く、SSLオフローディングの機能を提供する全ての主要ベンダーは、専用ハードウェアでこの処理を高速化しています。その一方で、大きいサイズのファイルやレスポンスのやり取りでは、ハンドシェイク処理の数値演算負荷がもたらす影響は、相対的に小さくなります。ハンドシェイクの処理はセッション開始時に1度だけ行われるため、セッション全体に占めるオーバヘッドの割合が小さくなるからです。パフォーマンスを比較するためのよりバランスの取れた指標を得るには、「対称暗号化(symmetric encryption)」あるいは「バルク暗号化(bulk crypto)」といった、暗号化されたトラフィックのスループットを計測します。「バルク暗号化」の数値は、1秒あたりに暗号化・送信できるデータ量を示します。

SSLトラフィックを処理するためのアプローチは、複数存在します。その1つが、SSLのコネクション開始時のハンドシェイクと鍵交換に特化したハードウェアをデバイスに搭載し、その後継続的に発生するバルク暗号化はCPUで処理するというものです。その一方で、この両方の機能を専用ハードウェアで提供し、高速化するというアプローチもあります。BIG-IP iシリーズは、SSLコネクションとバルク暗号化の両方を最適な形で処理できるように設計されており、業界でもユニークな存在だと言えます。暗号処理を高速化するハードウェアをフルに活用することで、大規模なバルク暗号化処理が複数並行して行われる場合でも、BIG-IP iシリーズは卓越したトランザクションパフォーマンスを発揮します。これによってF5の顧客とシステム管理者は、CPUの処理能力を他の機能に割り当てることが可能になります。

いつものように、幅広い状況でのパフォーマンスがわかるよう、今回のテストも幅広いレンジのファイルサイズ(128B、5KB、16KB、512KB)を使用して実施しています。

一連のテストで使用された鍵の長さは384ビット、これは著名なセキュリティ機関の全てが推奨するサイズです。また暗号アルゴリズムとしては、最も一般的なものの1つである、ECDHE-ECDSA-AES128-SHA256を使用しています。

 

結論

BIG-IP iシリーズは、包括的なSSLソリューションにおいて、F5のリーダーシップを揺るぎないものにする存在だと言えます。この製品はECDHEのオフローディングに対応した専用ハードウェアをサポートする業界初のADCであり、PFS(Perfect Forward Secrecy:前方秘匿性)を実現するためにECC暗号スイートへとシフトしつつあるビジネス現場の動向や、今後も成長し続けるアプリケーションのパフォーマンスを確保し続けたいというニーズに、合致するものだからです。今回実施されたパフォーマンステストは、今後必要となる幅広いレンジの暗号スイートにおいて、BIG-IP iシリーズがいかに高いレベルのパフォーマンスを発揮できるのかを、明確に示したものだと言えるでしょう。

お問い合わせ