nginx 异步openssl Intel QAT硬件加速方案

已于 2022-11-02 17:10:48 修改
阅读量3.2k 收藏 4
点赞数
分类专栏: 网络安全 nginx开发学习汇总 文章标签: nginx openssl intel 网络优化
于 2021-11-23 15:18:11 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/realmardrid/article/details/117456917
版权

参考 

​​​​​​​CentOS7安装QAT 1.7加密卡_Remy的学习记录-CSDN博客

GitHub - intel/QAT_Enginehttps://01.org/sites/default/files/downloads/intelr-quickassist-technology/337003-001-intelquickassisttechnologyandopenssl-110.pdfhttps://01.org/sites/default/files/downloads/intelr-quickassist-technology/337003-001-intelquickassisttechnologyandopenssl-110.pdf

Intel QuickAssist简介

通过内核空间中的设备驱动程序和用户空间中的库访问qat技术加速器。加密服务通过标准引擎框架提供给openssl。引擎构建在用户空间库之上,qat api接口跨版本无需修改。这种分层和与openssl框架的集成允许应用程序无缝利用。将异步支持添加到openssl-1.1.0中意味着应用程序还可以使用标准化API驱动更高级别的性能。

ASYNC_JOB结构构建在许多原语上(在执行过程中不被打断),以允许创建和管理轻量级执行上下文。添加到openssl-1.1.0提供了创建和管理异步作业所需的所有功能(类似协程),但没有主动管理这些资源。管理留给利用此功能的用户代码。

从逻辑上讲,ASYNC_JOB 结构作为openssl-1.1.0中加密复合体的一部分实现,即libcrypto,并由TLS堆栈使用。这允许应用程序继续以与以前相同的方式使用众所周知的openssl api,在应用程序中尽可能利用异步作业。ASYNC_JOB是openssl-1.1.0中可公开访问的API,因此,应用程序也可以直接与EVP API结合使用,或通过openssl-1.1.0 api间接使用。

qat+nginx+openssl异步的技术堆栈图

为什么选择异步?

为了有效地使用加速功能,需要一种机制,允许应用程序在等待英特尔QAT加速器完成未完成的操作时继续执行。该编程模型与非阻塞Berkeley软件分发(BSD)套接字非常相似。操作在主应用程序的上下文之外执行,允许应用程序在加速器并行处理操作时充分利用可用的处理器周期。此功能由应用程序控制,应用程序必须更新以支持异步行为,因为它最了解何时调度每个TLS连接。

异步处理流程

第一次SSL_accept 1th调用。当应用程序将TLS连接标识为具有异步功能时,标准openssl调用将获取异步作业上下文,从而允许堆栈的底层暂停执行,在本例中,在qat引擎中。

这将导致函数返回到应用程序,并显示错误状态SSL_ERROR_WANT_ASYNC。

然后,应用程序可以注册与此TLS连接关联的文件描述符(fd),并使用标准epoll/select/poll调用等待响应的可用性。

一旦应用程序收到通知,它就可以使用该TLS连接再次调用相关的openssl api 第二次SSL_accept 2nd,从而完成响应处理。

或者应用程序可以放弃使用fd和事件通知,而不是在返回成功响应之前连续调用openssl api。

在因特尔官方文档web服务器的异步优势中提到,openssl 1.1.0以上版本支持了异步,结合intel quickassist技术和nginx* 1.0负载平衡,增加了5.6倍连接数处理,相同配置情况下3.9倍于同步调用。

openssl异步处理和同步处理流程:

以卸载TLS1.2 RSA为例,对比openssl、qat+openssl同步、qat+openssl异步每秒连接数。

流水线允许引擎在单个TLS连接上并行执行多个对称加密操作,从而提高批量传输的吞吐量。当为TLS上下文启用管道时,每个SSL_写入操作的输入缓冲区被拆分为多个独立记录,引擎可以同时处理这些记录。然后,操作结果以正确的顺序写入套接字,这对客户端是透明的。在有足够数据可用的情况下,还支持备用方向(SSL_读取)。

安装

QAT_Engine-0.6.10.tar.gz

cd QAT_Engine-0.6.10/qat_contig_mem

# make

# make load

# make test

cd QAT_Engine-0.6.10

# ./configure --with-qat_dir=/tmp/QAT\

--with-openssl_dir=/root/openssl-1.1.1g\

--with-openssl_install_dir=/usr/lib64/ssl\

--enable-upstream_driver \

--enable-usdm

# make

# make install
 

# cp /path/to/QAT_Engine-0.6.10/qat/config/c6xx/multi_process_event-driven_optimized/*/etc

# service qat_servicestop

# service qat_servicestart

安装qat1.7驱动

KVM虚拟机网卡和QAT SR-IOV 配置要点 - 简书

Intel® QuickAssist Technology (Intel® QAT) Driver for Linux* for Intel® Server Boards and Systems Based on Intel® 62X Chipset

 cd /root/QAT

 ./configure

 make

 make install

安装openssl-1.1.1g

 cd /root/openssl-1.1.1g

 ./config --prefix=/root/openssl-1.1.1g/.openssl  -Wl,-rpath,\${LIBRPATH}

 make depend

 make

 make install

//指定openssl安装目录下的lib

export OPENSSL_ENGINES=/root/openssl-1.1.1b/.openssl/lib/engines-1.1

//指定openssl安装目录下的lib

export  LD_LIBRARY_PATH=$LD_LIBRARY_PATH:/usr/lib64:/root/openssl-1.1.1b/.openssl/lib:/root/openssl-1.1.1b/.openssl/lib/engines-1.1/  

//指定openssl源路径

 export PERL5LIB=$PERL5LIB:/root/openssl-1.1.1b

 export OPENSSL_CONF=/root/openssl-1.1.1b/.openssl/ssl/openssl.cnf

安装qat_config_mem

 cd /root/QAT_Engine/qat_contig_mem/

 make

 make load

 make test (Hello world!)

安装QAT_Engine

 cd /root/QAT_Engine

 ./autogen.sh

 ./configure \

 --with-qat_dir=/root/QAT \

 --with-openssl_dir=/root/openssl-1.1.1b\

 --with-openssl_install_dir=/root/openssl-1.1.1b/.openssl \

 --enable-upstream_driver \

 --enable-usdm

 make

 make install

qat Engine加载

# cd /root/openssl-1.1.1b/apps

# ./openssl engine -t -c-vvvv qat

(qat) Reference implementation of QAT crypto engine
 [RSA, DSA, DH, AES-128-CBC-HMAC-SHA1, AES-128-CBC-HMAC-SHA256, AES-256-CBC-HMAC-SHA1, AES-256-CBC-HMAC-SHA256, TLS1-PRF]
     [ available ]
     ENABLE_EXTERNAL_POLLING: Enables the external polling interface to the engine.
          (input flags): NO_INPUT
     POLL: Polls the engine for any completed requests
          (input flags): NO_INPUT
     SET_INSTANCE_FOR_THREAD: Set instance to be used by this thread
          (input flags): NUMERIC
     GET_NUM_OP_RETRIES: Get number of retries
          (input flags): NO_INPUT
     SET_MAX_RETRY_COUNT: Set maximum retry count
          (input flags): NUMERIC
     SET_INTERNAL_POLL_INTERVAL: Set internal polling interval
          (input flags): NUMERIC
     GET_EXTERNAL_POLLING_FD: Returns non blocking fd for crypto engine
          (input flags): NO_INPUT
     ENABLE_EVENT_DRIVEN_POLLING_MODE: Set event driven polling mode
          (input flags): NO_INPUT
     GET_NUM_CRYPTO_INSTANCES: Get the number of crypto instances
          (input flags): NO_INPUT
     DISABLE_EVENT_DRIVEN_POLLING_MODE: Unset event driven polling mode
          (input flags): NO_INPUT
     SET_EPOLL_TIMEOUT: Set epoll_wait timeout
          (input flags): NUMERIC
     SET_CRYPTO_SMALL_PACKET_OFFLOAD_THRESHOLD: Set QAT small packet threshold
          (input flags): STRING
     ENABLE_INLINE_POLLING: Enables the inline polling mode.
          (input flags): NO_INPUT
 [ available ]
     ENABLE_EXTERNAL_POLLING: Enables the external polling interface to the engine.
          (input flags): NO_INPUT
     POLL: Polls the engine for any completed requests
          (input flags): NO_INPUT
     SET_INSTANCE_FOR_THREAD: Set instance to be used by this thread
          (input flags): NUMERIC
     GET_NUM_OP_RETRIES: Get number of retries
          (input flags): NO_INPUT
     SET_MAX_RETRY_COUNT: Set maximum retry count
          (input flags): NUMERIC
     SET_INTERNAL_POLL_INTERVAL: Set internal polling interval
          (input flags): NUMERIC
     GET_EXTERNAL_POLLING_FD: Returns non blocking fd for crypto engine
          (input flags): NO_INPUT
     ENABLE_EVENT_DRIVEN_POLLING_MODE: Set event driven polling mode
          (input flags): NO_INPUT
     GET_NUM_CRYPTO_INSTANCES: Get the number of crypto instances
          (input flags): NO_INPUT
     DISABLE_EVENT_DRIVEN_POLLING_MODE: Unset event driven polling mode
          (input flags): NO_INPUT
     SET_EPOLL_TIMEOUT: Set epoll_wait timeout
          (input flags): NUMERIC
     SET_CRYPTO_SMALL_PACKET_OFFLOAD_THRESHOLD: Set QAT small packet threshold
          (input flags): STRING
     ENABLE_INLINE_POLLING: Enables the inline polling mode.
          (input flags): NO_INPUT

service qat_service restart

lsmod | grep qat

service qat_service status

rsa2048 性能测试

./openssl speed -engine qat -elapsed -multi [num] -async_jobs [num] rsa2048

进程数

加密算法

异步

实例数

sign/s

verify/s

8

rsa2048

72

101860.5

882608.9

8

rsa2048

72

17362.0

110056.6

nginx async patch

GitHub - intel/asynch_mode_nginx

阿里七层流量入口 Tengine硬件加速探索之路 - 知乎

其实还有很多东西需要补充,后续会把qat相关的东西全部系统性的整理出来。

securitysun
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SSL加速卡的使用,对HTTPS 七层负载机的性能提升
toontong的专栏
01-29 6299
SSL加速卡使用,编译驱动 一、编译驱动 1. 厂家提供2个SDK包,SDK与Drive,要自行编译。 DX_SDK_v2.2.2L_PUBLIC_20151225.tar.gz DX_SDK_v2.2.2L_EXAR_20151225.tar.gz 要先解压PUBIBC包,make and make install后, 在同样的目录解压EXAR包,再make
nginxopenssl、zlib、pcre最新包
10-23
Nginx 的事件模型是异步非阻塞的,这使得它在处理大量并发连接时表现出色。在Web服务领域,Nginx 常被用来作为静态资源服务器,同时也可以作为负载均衡器和反向代理,将请求分发到多个后端服务器,提高网站的响应...
OpenSSL/GmSSL 动态引擎
ayang1986的专栏
11-10 2541
OpenSSL/GmSSL 动态引擎
openssl异步说明
focus on security
02-24 2212
Asyn mode是OpenSSL支持异步I/O(AIO)的模式,在这个模式下openssl硬件加速卡等不占用cpu的操作剥离出来,单独交给一个叫asyn job的结构去做。在asyn job执行的过程中,cpu可以把当前任务暂停,切换上下文(保存/恢复栈,寄存器等,用__setjump, longjump实现)返回给user。User需要主动(或者等待硬件加速卡的事件通知)去epoll这个as...
借助 NGINX 实现 QUIC+HTTP/3 对 OpenSSL 的支持
最新发布
NGINX开源社区的博客
06-12 1051
阅读本文,了解 NGINXOpenSSL 兼容层如何通过 QUIC TLS 接口规避挑战(目前 OpenSSL 不支持该接口)。‌
OpenSSL硬件加速实现
maimang1001的专栏
01-07 711
OpenSSL 可通过引擎接口将加密操作委托给各种硬件设备进行执行。在该接口之上实现的引擎 cryptodev 可用于将加密操作卸载(offload)到由操作系统内核控制的硬件设备上。Cryptodev 引擎最初是为 OpenBSD 开发的,后来相同的 API 被移植到 GNU/Linux 操作系统,通过 OCF 和 cryptodev-linux 等多个驱动程序来实现。
性能提升一倍!云原生网关支持 TLS 硬件加速
阿里巴巴中间件
02-18 741
作者|井轶审核&校对|如葑随着网络环境的日渐复杂,传统 HTTP 明文传输协议带来的传输安全风险也日渐升高,因此 HTTPS 的密文传输协议得到了业界的普遍认可与广泛应用;任何事情...
英特尔QAT加速卡说明(一)
热门推荐
墨染锦年的博客
03-17 5万+
英特尔Quick Assist Technology (以下简称QAT)是英特尔针对网络安全和数据存储推出的一个硬件加速技术。QAT支持对称数据加密算法(如AES)中的密码操作和验证操作运算和公钥非对称数据加密算法(如RSA、椭圆曲线等)中的加密运算。 逻辑实例 可以将逻辑实例视为到硬件的通道。逻辑实例允许地址域(即内核空间和单个用户空间进程)配置由该地址域使用的环,并定义该环的行为。QAT Ac...
加密硬件加速
maimang1001的专栏
01-07 516
本文主要讲述如何在 OpenSSL 中使用加密硬件加速(crypto hardware acceleration)。许多互联网应用程序,如 OpenSSH 和 OpenVPN,依赖于 OpenSSL 进行加密/解密。因此,使用硬件实现可以加速加密速度,减少CPU使用率。
nginx_openssl_pcre_zlib.zip
04-26
这些文件涉及的是四个重要的开源项目,分别是NginxOpenSSL、PCRE(Perl Compatible Regular Expressions)和Zlib。让我们逐一深入理解这些组件及其在IT行业中的作用。 首先,Nginx(从nginx-1.16.0.tar.gz推断...
Linux 离线 安装Nginx必要环境, 包含openssl模块
03-25
在Linux环境中,离线安装Nginx及其依赖项,特别是openssl模块,是一项常见的任务,尤其在没有互联网连接或者网络受限的服务器上。本教程将详细解释如何进行这一操作。 首先,你需要确保你的Linux系统是基于RPM(Red...
QAT engine
10-13
QAT SUPPORT ,采用intel QAT的硬件加密引擎,加速加解密运算,和解压缩速率
nginx1.25.3升级openssl-1.1.1w
12-19
--with-openssl=../openssl-1.1.1w \ --with-pcre=../pcre-8.45 \ --with-zlib=../zlib-1.3 \ --with-http_ssl_module \ --without-http_memcached_module \ --with-http_stub_status_module \ --with-...
Nginx+openssl+zlib+pcre.rar
06-03
NginxOpenSSL、zlib和PCRE是四个在Web服务器和网络编程领域至关重要的组件,它们在构建高效、安全的互联网服务中扮演着重要角色。以下是对这些组件的详细解释: 1. **Nginx**:Nginx是一款高性能的HTTP和反向代理...
通过RPM方式安装NGINX需要升级openssl
05-22
通过RPM方式安装NGINX,需要升级openssl 安装命令:rpm -ivh openssl-libs-1.0.2k-25.el7_9.x86_64.rpm --force
nginx源码包(nginx+pcre+openssl+zlib)
11-23
Nginx 的源代码由多个组件组成,包括基础的 Nginx 引擎以及与其他软件的集成,如 PCRE(Perl Compatible Regular Expressions)、OpenSSL 和 zlib。本压缩包包含的版本是 Nginx 1.21.0,PCRE 8.40,OpenSSL 1.1.1g ...
QAT】英特尔QAT加速技术|Intel QuickAssist Technology
小鱼菜鸟的博客
08-13 1227
英特尔QAT加速卡说明(一) https://blog.csdn.net/qq_44710568/article/details/104915276 英特尔QAT加速卡说明(二) https://shiyixin.blog.csdn.net/article/details/104915469 相关测试: http://www.axiomtek....
提升TLS性能的利器:QAT加速引擎
weixin_37097605的博客
05-05 1332
▌什么是异步模式异步是一个重要且应用广泛的思想。现代很多高级语言比如python, .NET和Node.js等都支持异步编程,许多应用程序库比如Glib都提供了异步接口来...
利用密码机实现openssl异步引擎
qq_36472340的博客
07-24 292
openssl中的加解密运算非常消耗cpu,会导致nginx的ssl连接数跟不上,现阶段大多数利用intel QAT加密卡实现openssl异步机制,让耗时的加解密运算在加密卡中执行。本文利用密码机通过网络实现异步openssl异步机制利用协程,需要配合异步加密卡,或者通过网络连接密码机来进行实现,通过将耗时的加解密运算丢给密码机,能够大大提高ssl握手连接数。
openssl QAT
08-31
OpenSSL QAT是指OpenSSL与英特尔快速加密技术(Intel QuickAssist Technology)的结合。通过将OpenSSLQAT驱动程序结合使用,可以加速SSL/TLS协议的性能。在配置OpenSSL QAT时,通常需要设置一些参数。 引用中提到了一个设置OpenSSL QAT安装目录的参数`--with-openssl_install_dir=/root/openssl-1.1.1b/.openssl`。这个参数指定了OpenSSL的安装目录,也就是QAT驱动程序的安装路径。 引用中提到了一个设置OpenSSL配置文件路径的参数`export OPENSSL_CONF=/root/openssl-1.1.1b/.openssl/ssl/openssl.cnf`。这个参数指定了OpenSSL的配置文件路径,其中包含了QAT驱动程序的配置信息。 通过配置好这些参数,可以使OpenSSL能够正确使用QAT驱动程序,从而提高SSL/TLS协议的性能。 除了配置参数,还可以通过对比不同的实现方式来评估OpenSSL QAT的性能。引用提到了针对TLS1.2 RSA卸载的例子,比较了普通的OpenSSL、同步QAT OpenSSL异步QAT OpenSSL的每秒连接数。这个比较可以帮助我们了解QAT加速对性能的影响。 总之,OpenSSL QAT是通过将OpenSSL与英特尔快速加密技术结合使用,来提高SSL/TLS协议的性能的。配置OpenSSL QAT需要设置安装目录和配置文件路径,并可以通过比较不同实现方式来评估性能。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [nginx 异步openssl Intel QAT硬件加速方案](https://blog.csdn.net/realmardrid/article/details/117456917)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值