Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Azure NetApp Files mendukung enkripsi klien NFS dalam mode Kerberos (krb5, krb5i, dan krb5p) dengan enkripsi AES-256. Artikel ini menjelaskan dampak performa Kerberos pada volume NFSv4.1.
Perbandingan performa yang direferensikan dalam artikel ini dibuat terhadap sec=sys parameter keamanan, pengujian pada satu volume dengan satu klien.
Opsi keamanan yang tersedia
Opsi keamanan yang saat ini tersedia untuk volume NFSv4.1 sebagai berikut:
- sec=sys menggunakan UID dan GID UNIX lokal dengan menggunakan AUTH_SYS untuk autentikasi operasi NFS.
- sec=krb5 menggunakan Kerberos V5 alih-alih UID dan GID UNIX lokal untuk autentikasi pengguna.
- sec=krb5i menggunakan Kerberos V5 untuk autentikasi pengguna dan melakukan pemeriksaan integritas operasi NFS menggunakan checksum aman untuk mencegah ganggguan data.
- sec=krb5p menggunakan Kerberos V5 untuk autentikasi pengguna dan pemeriksaan integritas. Mengenkripsi lalu lintas NFS untuk mencegah penyadapan lalu lintas. Opsi ini adalah pengaturan yang paling aman, namun juga melibatkan overhead performa terbanyak.
Vektor kinerja diuji
Bagian ini menjelaskan dampak performa sisi klien tunggal dari berbagai sec=* opsi.
- Dampak performa diuji pada dua tingkat: konkurensi rendah (beban rendah) dan konkurensi tinggi (batas atas I/O dan keluaran).
- Tiga jenis beban kerja diuji:
- Operasi baca/tulis acak berukuran kecil (menggunakan FIO)
- Operasi baca/tulis berurutan skala besar (menggunakan FIO)
- Beban kerja berat metadata sebagaimana dihasilkan oleh aplikasi seperti git
Dampak performa yang diharapkan
Ada dua bidang fokus: beban ringan dan batas atas. Daftar berikut ini menjelaskan pengaturan keamanan dampak performa berdasarkan pengaturan keamanan dan skenario per skenario.
Cakupan Pengujian
- Semua perbandingan dibuat terhadap
sec=sysparameter keamanan. - Tes dilakukan pada satu volume, menggunakan satu klien.
Dampak performa krb5:
- I/OPS rata-rata menurun sebesar 53%
- Throughput rata-rata menurun sebesar 53%
- Latensi rata-rata meningkat sebesar 0,2 milidetik
Dampak performa krb5i:
- Rata-rata I/OPS menurun sebesar 55%%
- Rata-rata throughput menurun sebesar 55%
- Latensi rata-rata meningkat sebesar 0,6 milidetik
Dampak performa krb5p:
- I/OPS rata-rata menurun sebesar 77%
- Throughput rata-rata menurun sebesar 77%
- Latensi rata-rata meningkat sebesar 1,6 milidetik
Pertimbangan mengenai performa dengan nconnect
Tidak disarankan untuk menggunakan nconnect dan sec=krb5* memasang opsi bersama-sama. Menggunakan opsi ini bersama-sama dapat menyebabkan penurunan performa.
Antarmuka Pemrograman Aplikasi Standar Keamanan Generik (GSS-API) menyediakan cara bagi aplikasi untuk melindungi data yang dikirim ke aplikasi serekan. Data ini mungkin dikirim dari klien pada satu komputer ke server di komputer lain.
Ketika nconnect digunakan di Linux, konteks keamanan GSS dibagikan antara semua nconnect koneksi ke server tertentu. TCP adalah protokol transportasi yang andal yang mendukung pengiriman paket tidak berurutan untuk menangani paket seperti itu dalam aliran GSS, dengan menggunakan jendela geser dari nomor urutan. Ketika paket yang tidak berada di jendela urutan paket diterima, konteks keamanan dihapus, dan konteks keamanan baru dinegosiasikan. Semua pesan yang dikirim dalam konteks yang sekarang dihapus tidak lagi valid, sehingga pesan perlu dikirim lagi. Jumlah paket yang lebih banyak pada nconnect pengaturan sering menyebabkan paket berada di luar jendela, sehingga memicu perilaku sebagaimana dijelaskan. Tidak ada persentase degradasi tertentu yang dapat dinyatakan dengan perilaku ini.