BIG-IPと競合製品のパフォーマンス比較評価 - F5ネットワークスジャパン ...

f5 PERFORMANCE REPORTアプリケーション・デリバリ・コントローラのパフォーマンス・レポートSSL TPS パフォーマンスは、 暗 号 化 の 負 荷 軽 減 機 能 の 指 標 となります。 小 さい 応 答 サイズに 対 しては、 新 しい SSL セッションの 開 始 時 に 発 生 する RSA ハンドシェイク 処 理 を 主 に 測 定 します。この RSA 処 理 はリソースを 大 量 に 消 費 するため、すべての 主 要 な SSL オフロードベンダーは 特 殊なハードウェアを 使 用 してこのタスクの 高 速 化 を 実 現 しています。サイズの 大 きい 応 答 については、RSA 処 理 のコストはあまり 関 係 がありません。RSA 処 理 はセッション 開 始 時 に 一 度 だけ 発 生 するため、 実 際 には、パフォーマンスは 対 称 暗 号 化 やバルク 暗 号 化 としても 知 られる 暗 号 化 トラフィックのスループットで 比 較 されます。バルク 暗 号 化 は、 指 定 の 秒 単 位 で 暗 号 化 できるデータ 量 の 指 標 です。ベンダーがバルク 暗 号 化 を 処 理できる SSL 専 用 ハードウェアを 持 っていれば、 大 きい 応 答 サイズのテストで 明 白 になります。公 開 鍵 の 処 理 ( 小 さいファイル)とバルク 暗 号 化 ( 大 きいファイル) 両 方 のパフォーマンスを 実 証 するために、テストはさまざまなファイルサイズで 実 施 しました。SSL TPSSSL スループット60,0006GF5 BIG-IP 8800F5 BIG-IP 88001 秒 あたりの HTTPS リクエスト 数50,00040,00030,00020,00010,000Citrix NetScaler 12000Cisco ACE 8-Gbps1 秒 あたりの L2 ビット 数 (bps)5G4G3G2G1GCitrix NetScaler 12000Cisco ACE 8-Gbps0128B 2KB 8KB 64KB512KB0128B 2KB 8KB 64KB512KBリクエストしたファイルのサイズリクエストしたファイルのサイズ分 析 - SSL パフォーマンスSSL トラフィックの 処 理 はリソースを 大 量 に 消 費 するため、すべての ADC はなんらかの 形 式 のハードウエアによる SSL 高 速 化 機 能 を 搭 載 します。ハードウェアによる 高 速 化 で、SSL パフォーマンスは 大 幅 に 向 上 しますが、どんなに 優 れた SSL ハードウェアであってもそのドライバソフトウェアの 速 度 に 左 右 されることは 言 うまでもありません。TCP/IP 処 理 (SSL ハードウェアはこのタスクを 支 援 しません)を 実 行 するのが ADC のソフトウェアであることに 変 わりはないためです。また、ADC には SSL 高 速 化 ハードウェア(ドライバ) 間 のデータを 仲 介 するソフトウェアも 必 要 です。SSL トラフィックを 処 理 するために 必 要 なすべてのコンポーネントを 使 用 した 場 合 、デバイスの SSL パフォーマンスの 結 果 が TCP/IP の 効 率 、SSLドライバの 効 率 、SSL 高 速 化 ASIC の 速 度 と 数 量 の 組 み 合 わせであるのは 当 然 のことです。BIG-IP 8800 は、 小 さい 応 答 サイズで1 秒 あたり 最 大 48,300 の 新 規 SSL トランザクション、および 大 きい 応 答 サイズで 5.5Gbps を 超 えるスループットに 達 し、 他 社 製 品 を 圧 倒 して SSL パフォーマンスの 分 野 をリードし 続 けています。Citrix NetScaler は 28,000 SSL TPS を 達 成 し、その 公 表 仕 様 を 満 たしました。Citrix NetScaler の SSL スループットは 大 きい 応 答 サイズで 2.6Gbpsに 達 しました。Cisco ACE は 唯 一 12,100 SSL TPS を 達 成 するにとどまりました。この 結 果 は、 公 表 されている ACE の 仕 様 における 予 想 値 15,000 SSL TPS を19.2% 下 回 っています。128 バイトテストの「 起 動 」 段 階 では、Cisco ACE が 1 つの 測 定 サイクルに 対 して 約 20,000 SSL TPS を 達 成 し、 次 の 測定 サイクルでは 約 14,000 であったことが 示 されました。これらの 起 動 中 ( 定 常 状 態 の 前 )の 2 つの 変 則 的 な 高 い 測 定 値 の 後 、Cisco ACE は 約12,000 SSL TPS を 継 続 して 示 しました。テストが 15,000 SSL TPS のみに 変 更 された 場 合 、Cisco ACE は 小 さい 応 答 サイズに 対 してほぼ 15,000に 近 い SSL TPS パフォーマンスを 維 持 できることが 論 証 されました。テストガイドラインではベンダーごとに 特 殊 な 設 定 が 許 されないため、この論 理 はテストされませんでした。この 動 作 は Cisco ACE のみに 影 響 しました。Cisco ACE のテスト 中 に、 応 答 サイズ 128 バイトから 8KB において(サイズとともにスループットが 増 加 するにもかかわらず)SSL TPS 数 がほとんど 変 化 しないことが 判 明 しました。これはおそらく SSL ハードウェアがボトルネックではなく、より 高 いパフォーマンスの 妨 げとなっていたのはSSL ドライバやその 他 のソフトウェアであることを 示 しています。 同 じような 動 作 が L7 HTTP 検 査 パフォーマンスでも 確 認 されました( 上 記 を 参 照 )。ACE は、512KB の 応 答 サイズではスループットが 不 自 然 に 低 下 しましたが、これは 回 避 策 のない 既 知 の 問 題 と 思 われます(FAQ の 項 目 を 参 照 )。この 動 作 は、 再 起 動 やその 他 の 診 断 作 業 の 後 でも 継 続 して 再 現 しました。