Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Az Azure NetApp Files támogatja az NFS-ügyféltitkosítást Kerberos módban (krb5, krb5i és krb5p) AES-256 titkosítással. Ez a cikk a Kerberos NFSv4.1 kötetekre gyakorolt teljesítményét ismerteti.
A cikkben hivatkozott teljesítmény-összehasonlítások a sec=sys biztonsági paraméteren alapulnak, és egyetlen köteten tesztelnek egyetlen ügyféllel.
Elérhető biztonsági beállítások
Az NFSv4.1 kötetekhez jelenleg elérhető biztonsági beállítások a következők:
- a sec=sys helyi UNIX-felhasználói felületeket és GID-ket használ az NFS-műveletek hitelesítéséhez AUTH_SYS használatával.
- a sec=krb5 a helyi UNIX-azonosítók és GID-k helyett Kerberos V5-öt használ a felhasználók hitelesítéséhez.
- a sec=krb5i a Kerberos V5-öt használja a felhasználói hitelesítéshez, és biztonságos ellenőrzőösszegekkel végzi el az NFS-műveletek integritás-ellenőrzését az adatok manipulációjának megakadályozása érdekében.
- a sec=krb5p a Kerberos V5-öt használja a felhasználói hitelesítéshez és az integritás ellenőrzéséhez. Titkosítja az NFS-forgalmat, hogy megakadályozza a forgalom lehallgatását. Ez a beállítás a legbiztonságosabb beállítás, de a legnagyobb teljesítményterhelést is magában foglalja.
Tesztelt teljesítményvektorok
Ez a szakasz a különböző sec=* lehetőségek egyetlen ügyféloldali teljesítményhatását ismerteti.
- A teljesítményre gyakorolt hatást két szinten tesztelték: alacsony egyidejűség (alacsony terhelés) és magas egyidejűség (az I/O felső határértékei és az átviteli sebesség).
- A számítási feladatok három típusát teszteltük:
- Kis művelet véletlenszerű olvasás/írás (FIO használatával)
- Nagy műveletek szekvenciális olvasása/írása (FIO használatával)
- Metaadat-intenzív munkaterhelés, amelyet olyan alkalmazások generálnak, mint a git
Várható teljesítményhatás
A fókusznak két területe van: a könnyű terhelés és a felső határ. Az alábbi listák biztonsági beállítások és forgatókönyvek szerint ismertetik a teljesítményre gyakorolt hatást.
Tesztelési hatókör
- Minden összehasonlítás a
sec=sysbiztonsági paraméterrel történik. - A teszt egyetlen köteten, egyetlen ügyfél használatával történt.
A krb5 teljesítményre gyakorolt hatása:
- Az átlagos I/OPS 53%-val csökkent.
- Az átlagos átviteli sebesség 53%-kal csökkent.
- Az átlagos késés 0,2 ms-tal nőtt
A krb5i teljesítményre gyakorolt hatása:
- Az átlagos I/OPS 55-tel csökkent%
- Az átlagos átviteli sebesség 55%-kal csökkent%
- Az átlagos késés 0,6 ms-kal nőtt
A krb5p teljesítményre gyakorolt hatása:
- Az átlagos I/OPS csökkent 77%
- Az átlagos átviteli sebesség 77% csökkent.
- Az átlagos késés 1,6 ms-kal nőtt
Teljesítménnyel kapcsolatos szempontok nconnect
Nem ajánlott együtt használni a nconnect és a sec=krb5* csatolási opciókat. A beállítások együttes használata teljesítménycsökkenést okozhat.
Az általános biztonsági standard alkalmazásprogramozási felület (GSS-API) lehetővé teszi az alkalmazások számára a társalkalmazásoknak küldött adatok védelmét. Ezek az adatok elküldhetők az egyik gépen lévő ügyfélről egy másik gépen lévő kiszolgálóra.
Linux nconnect esetén a GSS biztonsági környezete meg van osztva az nconnect adott kiszolgálóval létesített összes kapcsolat között. A TCP egy megbízható átvitel, amely támogatja a rendelésen kívüli csomagkézbesítést a GSS-adatfolyamban lévő, rendelésen kívüli csomagok kezeléséhez a sorszámokat tartalmazó tolóablak használatával. Ha olyan csomagokat fogadnak, amelyek nem szerepelnek a sorrendi ablakban, akkor a biztonsági kontextust elvetik, és új biztonsági kontextust egyeztetnek. A most elvetett környezetben küldött összes üzenet már nem érvényes, ezért az üzeneteket ismét el kell küldeni. A nconnect beállításban lévő nagyobb számú csomag gyakori ablakon kívüli csomagokat eredményez, ezzel aktiválva a leírt viselkedést. Ezzel a viselkedéssel nem határozható meg konkrét csökkenési százalékérték.