ASM商业版结合Intel的Multi-Buffer加解密技术,可以加速Envoy中TLS的处理过程。本文介绍如何启用Multi-Buffer实现TLS加速。

前提条件

  • 已创建ASM商业版(企业版或者旗舰版)实例,且实例为1.10及以上版本。具体操作,请参见创建ASM实例
  • 已创建ACK集群,且集群节点的实例规格族需要支持Multi-Buffer CPU机型Intel Ice Lake。具体操作,请参见创建Kubernetes托管版集群
    以下实例规格族支持Multi-Buffer CPU机型Intel Ice Lake:
    说明 关于实例规格的详细介绍,请参见实例规格族
    规格族系列实例规格族
    g7系列存储增强通用型实例规格族g7se
    通用型实例规格族g7
    安全增强通用型实例规格族g7t
    c7系列计算型实例规格族c7
    RDMA增强型实例规格族c7re
    存储增强计算型实例规格族c7se
    安全增强计算型实例规格族c7t
    r7系列内存型实例规格族r7p
    存储增强内存型实例规格族r7se
    内存型实例规格族r7
    安全增强内存型实例规格族r7t
    其他内存增强型实例规格族re7p
    GPU虚拟化型实例规格族vgn7i-vws
    GPU计算型实例规格族gn7i
    GPU计算型弹性裸金属服务器实例规格族ebmgn7i
    计算型超级计算集群实例规格族sccc7
    通用型超级计算集群实例规格族sccg7
  • 已添加集群到ASM实例。具体操作,请参见添加集群到ASM实例

背景信息

随着网络安全技术的发展,TLS已经成为网络通信的基石。一个TLS会话的处理过程总体上可分为握手阶段和数据传输阶段。握手阶段最重要的任务是使用非对称加密技术协商出一个会话密钥,然后在数据传输阶段,使用该会话密钥对数据执行对称加密操作,再进行数据传输。

在微服务场景下,Envoy无论是作为Ingress Gateway还是作为微服务的代理,都需要处理大量的TLS请求,尤其在握手阶段执行非对称加解密的操作时,需要消耗大量的CPU资源,在大规模微服务场景下这可能会成为一个瓶颈。ASM结合Intel的Multi-Buffer加解密技术,可以加速Envoy中TLS的处理过程。

Multi-Buffer加解密技术使用Intel CPU AVX-512指令同时处理多个独立的缓冲区,即可以在一个执行周期内同时执行多个加解密的操作,成倍的提升加解密的执行效率。Multi-Buffer技术不需要额外的硬件,只需要CPU包含特定的指令集。目前阿里云在Ice Lake处理器中已经包含了最新的AVX-512指令集。Multi 加解密

操作步骤

全局开启

  1. 登录ASM控制台,在左侧导航栏,选择服务网格 > 网格管理
  2. 网格管理页面,单击目标实例名称,然后在左侧导航栏,选择网格实例 > 基本信息
  3. 基本信息页面右侧,单击功能设置
  4. 功能设置更新面板,选中启用基于MultiBuffer的TLS加解密性能优化,然后单击确定
    如果您使用通用型实例规格族g7作为Kubernertes节点,启用Multi-Buffer功能后,每秒查询率(QPS)将提升75%的性能;如果您使用的是弹性裸金属节点,提升的性能将更高。

网关实例级别开启

  • 未创建ASM网关:
    1. 在网格详情页面左侧导航栏,单击ASM网关 > 入口网关,然后单击创建
    2. 创建页面下方,单击高级选项,选中启用基于MultiBuffer的TLS加解密性能优化,进行相关配置。
      配置项说明
      支持的节点亲和性标签选择根据节点标签匹配性能优化的节点。
      轮询延时(毫秒)

      该配置项通常不需要您手动调整。

      Multibuffer的原理是同时处理多个加解密操作。例如Multibuffer可以同时处理8个加解密操作,若请求数量不足8个,则会等待一段时间,直到请求达到8个才会进行处理。如果请求量比较大,很快就能满足8个的处理条件;如果请求量比较小,可能很长时间都满足不了8个的处理条件。此时如果您指定了轮询延迟,当超过这个时间时,即使没有满足8个的处理条件,Multibuffer也会批量对已经有的请求进行加解密,减少等待时间。

      关于创建ASM网关的具体操作,请参见创建入口网关服务

  • 已创建ASM网关:
    1. 在网格详情页面左侧导航栏,单击ASM网关 > 入口网关,然后单击目标网关。
    2. 基本概览 > 网关详情页面的高级选项区域,单击性能优化右侧的编辑图标,选中启用基于MultiBuffer的TLS加解密性能优化,进行相关配置,然后单击确认MultiBuffer
说明 针对Pod级别开启MultiBuffer加速能力,需要ASM为1.14.3或以上版本。关于升级实例的具体操作,请参见升级ASM实例

FAQ

控制面启用了MultiBuffer功能,但数据面Kubernetes集群下的节点不是Intel Ice Lake的机型,有什么影响?

Envoy会输出告警日志,且MultiBuffer功能将不会生效。告警日志

ASM Pro 1.10及以上版本提供了开启TLS加速时的自适应判断能力,若业务或者网关Pod被调度到的Node节点为非Intel Ice Lake机型,则不会下发对应的加速配置,TLS加速不会生效。

如何添加支持MultiBuffer的节点到集群中,并启用MultiBuffer?

  1. 在该Kubernetes集群添加新的节点,且节点的实例规格需要支持Multi-Buffer CPU机型Intel Ice Lake。具体操作,请参见添加已有节点
  2. 在新添加的节点上设置multibuffer-support:true标签。具体操作,请参见管理节点标签
  3. 在ASM网关的YAML配置中添加以下内容。具体操作,请参见网关CRD字段说明

    通过增加节点亲和性,使Gateway实例调度到新添加的支持Multi-Buffer功能的节点上。

    affinity:
        nodeAffinity:
          preferredDuringSchedulingIgnoredDuringExecution:
            - preference:
                matchExpressions:
                  - key: feature.node.kubernetes.io/mb-feature-enabled
                    operator: In
                    values:
                      - 'true'
              weight: 1
  4. 在ASM商业版启用MultiBuffer功能。具体操作,请参见上文启用MultiBuffer

    启用MultiBuffer功能后,该集群新添加的节点即可使用MultiBuffer功能,加速TLS处理过程。