مشاركة عبر

تأثير أداء Kerberos على وحدات تخزين Azure NetApp Files NFSv4.1

  • مقالة

تدعم Azure NetApp Files تشفير عميل NFS في أوضاع Kerberos (krb5 وkrb5i وkrb5p) مع تشفير AES-256. توضح هذه المقالة تأثير أداء Kerberos على وحدات تخزين NFSv4.1. يتم إجراء مقارنات الأداء المشار إليها في هذه المقالة مقابل معلمة sec=sys الأمان، واختبار على وحدة تخزين واحدة مع عميل واحد.

خيارات الأمان المتوفرة

خيارات الأمان المتوفرة حاليا لوحدات تخزين NFSv4.1 كما يلي:

  • يستخدم sec=sys واجهات مستخدم UNIX المحلية و GIDs باستخدام AUTH_SYS لمصادقة عمليات NFS.
  • يستخدم sec=krb5 Kerberos V5 بدلا من UNIX UIDs وGIDs المحلية لمصادقة المستخدمين.
  • يستخدم sec=krb5i Kerberos V5 لمصادقة المستخدم ويتحقق من تكامل عمليات NFS باستخدام المجموع الاختباري الآمن لمنع العبث بالبيانات.
  • sec=krb5p يستخدم Kerberos V5 لمصادقة المستخدم وفحص التكامل. يقوم بتشفير حركة مرور NFS لمنع شم نسبة استخدام الشبكة. هذا الخيار هو الإعداد الأكثر أمانا، ولكنه يتضمن أيضا معظم النفقات العامة للأداء.

تم اختبار متجهات الأداء

يصف هذا القسم تأثير الأداء الفردي من جانب العميل للخيارات المختلفة sec=* .

  • تم اختبار تأثير الأداء على مستويين: التزامن المنخفض (التحميل المنخفض) والتزامن العالي (الحدود العليا من الإدخال/الإخراج ومعدل النقل).
  • تم اختبار ثلاثة أنواع من أحمال العمل:
    • عملية صغيرة قراءة/كتابة عشوائية (باستخدام FIO)
    • قراءة/كتابة تسلسلية لعملية كبيرة (باستخدام FIO)
    • حمل عمل بيانات التعريف الثقيلة كما تم إنشاؤه بواسطة تطبيقات مثل git

تأثير الأداء المتوقع

هناك مجالان للتركيز: الحمل الخفيف والحد الأعلى. تصف القوائم التالية إعداد أمان تأثير الأداء حسب إعداد الأمان والسيناريو حسب السيناريو.

نطاق الاختبار

  • يتم إجراء جميع المقارنات مقابل معلمة sec=sys الأمان.
  • تم إجراء الاختبار على وحدة تخزين واحدة، باستخدام عميل واحد.

تأثير أداء krb5:

  • انخفض متوسط IOPS بنسبة 53٪
  • انخفض متوسط معدل النقل بنسبة 53٪
  • زاد متوسط زمن الانتقال بمقدار 0.2 مللي ثانية

تأثير أداء krb5i:

  • انخفض متوسط IOPS بنسبة 55٪
  • انخفض متوسط معدل النقل بنسبة 55٪
  • زاد متوسط زمن الانتقال بمقدار 0.6 مللي ثانية

تأثير أداء krb5p:

  • انخفض متوسط IOPS بنسبة 77٪
  • انخفض متوسط معدل النقل بنسبة 77٪
  • زاد متوسط زمن الانتقال بمقدار 1.6 مللي ثانية

اعتبارات الأداء مع nconnect

لا ينصح باستخدام nconnect خيارات التحميل معا sec=krb5* . تمت ملاحظة انخفاض الأداء عند استخدام الخيارين معا.

توفر واجهة برمجة التطبيقات القياسية للأمان العامة (GSS-API) طريقة للتطبيقات لحماية البيانات المرسلة إلى تطبيقات النظير. قد يتم إرسال هذه البيانات من عميل على جهاز إلى خادم على جهاز آخر. 

عند nconnect استخدام في Linux، تتم مشاركة سياق أمان GSS بين جميع nconnect الاتصالات بخادم معين. TCP هو نقل موثوق به يدعم تسليم الحزمة خارج الطلب للتعامل مع الحزم خارج الطلب في دفق GSS، باستخدام نافذة منزلقة من أرقام التسلسل. عندما يتم تلقي الحزم غير الموجودة في نافذة التسلسل، يتم تجاهل سياق الأمان، ويتم التفاوض على سياق أمان جديد. لم تعد جميع الرسائل المرسلة مع في السياق المهمل الآن صالحة، وبالتالي تتطلب إرسال الرسائل مرة أخرى. يؤدي العدد الأكبر من الحزم في nconnect الإعداد إلى تكرار حزم البيانات خارج النافذة، مما يؤدي إلى السلوك الموضح. لا يمكن ذكر أي نسب مئوية معينة للتدهور مع هذا السلوك.

الخطوات التالية