Dampak performa Kerberos pada volume Azure NetApp Files NFSv4.1
Azure NetApp Files mendukung enkripsi klien NFS dalam mode Kerberos (krb5, krb5i, dan krb5p) dengan enkripsi AES-256. Artikel ini menjelaskan dampak performa Kerberos pada volume NFSv4.1. Perbandingan performa yang direferensikan dalam artikel ini dibuat terhadap sec=sys parameter keamanan, pengujian pada satu volume dengan satu klien.
Opsi keamanan yang tersedia
Opsi keamanan yang saat ini tersedia untuk volume NFSv4.1 sebagai berikut:
- sec=sys menggunakan UID dan GID UNIX lokal dengan menggunakan AUTH_SYS untuk autentikasi operasi NFS.
- sec=krb5 menggunakan Kerberos V5 alih-alih UID dan GID UNIX lokal untuk autentikasi pengguna.
- sec=krb5i menggunakan Kerberos V5 untuk autentikasi pengguna dan melakukan pemeriksaan integritas operasi NFS menggunakan checksum aman untuk mencegah ganggguan data.
- sec=krb5p menggunakan Kerberos V5 untuk autentikasi pengguna dan pemeriksaan integritas. Hal tersebut mengenkripsi lalu lintas NFS untuk mencegah lalu lintas mengendus. Opsi ini adalah pengaturan yang paling aman, namun juga melibatkan overhead performa terbanyak.
Vektor performa diuji
Bagian ini menjelaskan dampak performa sisi klien tunggal dari berbagai sec=* opsi.
- Dampak performa diuji pada dua tingkat: konkurensi rendah (beban rendah) dan konkurensi tinggi (batas atas I/O dan keluaran).
- Tiga jenis beban kerja diuji:
- Operasi kecil acak baca/tulis (menggunakan FIO)
- Operasi besar berurutan baca/tulis (menggunakan FIO)
- Beban kerja berat metadata sebagaimana dihasilkan oleh aplikasi seperti git
Dampak performa yang diharapkan
Ada dua bidang fokus: beban ringan dan batas atas. Daftar berikut ini menjelaskan pengaturan keamanan dampak performa berdasarkan pengaturan keamanan dan skenario per skenario.
Cakupan Pengujian
- Semua perbandingan dibuat terhadap
sec=sysparameter keamanan. - Tes dilakukan pada satu volume, menggunakan satu klien.
Dampak performa krb5:
- IOPS rata-rata menurun sebesar 53%
- Throughput rata-rata menurun sebesar 53%
- Latensi rata-rata meningkat sebesar 0,2 mdtk
Dampak performa krb5i:
- IOPS rata-rata menurun sebesar 55%
- Throughput rata-rata menurun 55%
- Latensi rata-rata meningkat sebesar 0,6 mdtk
Dampak performa krb5p:
- IOPS rata-rata menurun sebesar 77%
- Throughput rata-rata menurun sebesar 77%
- Latensi rata-rata meningkat sebesar 1,6 mdtk
Pertimbangan performa dengan nconnect
Tidak disarankan untuk menggunakan nconnect dan sec=krb5* memasang opsi bersama-sama. Penurunan performa telah diamati saat menggunakan dua opsi dalam kombinasi.
Antarmuka Pemrograman Aplikasi Standar Keamanan Generik (GSS-API) menyediakan cara bagi aplikasi untuk melindungi data yang dikirim ke aplikasi serekan. Data ini mungkin dikirim dari klien pada satu komputer ke server di komputer lain.
Ketika nconnect digunakan di Linux, konteks keamanan GSS dibagikan antara semua nconnect koneksi ke server tertentu. TCP adalah transportasi andal yang mendukung pengiriman paket yang tidak berurutan untuk menangani paket yang tidak berurutan dalam aliran GSS, menggunakan jendela geser nomor urutan. Ketika paket yang tidak berada di jendela urutan diterima, konteks keamanan dibuang, dan konteks keamanan baru dinegosiasikan. Semua pesan yang dikirim dengan dalam konteks yang sekarang dibuang tidak lagi valid, sehingga mengharuskan pesan dikirim lagi. Jumlah paket yang nconnect lebih besar dalam pengaturan menyebabkan paket di luar jendela yang sering, memicu perilaku yang dijelaskan. Tidak ada persentase degradasi tertentu yang dapat dinyatakan dengan perilaku ini.
Langkah berikutnya
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk