UltraSPARC T1 の SSL アクセラレーション + Solaris 10 のカーネル内 SSL プロクシ
(Translate to English)Friday Mar 31, 2006
Web サーバ絡みでもうひとつ. UltraSPARC T1 プロセッサに搭載されている RSA / DSA アクセラレーション機能の利用方法の解説が, 新着 BluePrint として公開された.
(This BluePrint) provides a brief overview of SSL technology, as well as an introduction to the Solaris Cryptographic Framework. Configuration details are included for common security applications, such as Apache, the Sun Java(TM) System Web Server, and secure Java(TM) technology applications, enabling these programs to utilize NCP and KSSL technology. A performance study of secure Web applications is also included.
Using the Cryptographic Accelerator of the UltraSPARC T1 Processor, Sun BluePrints(TM) OnLine - March 2006
以前 T2000 発表の際に出てきた諸情報をいろいろ眺めてたときにも思ったんだけど, 個人的にはやはり Greyhound こと KSSL (Kernel SSL proxy) との組み合わせに強く惹かれる. KSSL は従来外部に置かれたリバース・プロクシやスイッチが行なっていたような SSL の終端処理をカーネル内でやってしまうというもので, おおよその動作はこんな感じ ↓ (なにか間違ってたらツッコミ願います > Sun の中の人, とくに笹沼さんと野崎さん希望 :)
- Web サーバ (に限らないけど) はポート 8080 (非 SSL) をリッスンし, 一方 KSSL はポート 443 (SSL) に反応するよう設定する.
- Web クライアント (に限らないけど) が SSL でポート 443 に接続すると KSSL は SSL ハンドシェイクやその後の復号化処理を行ない, 非 SSL なポート 8080 で待っている背後の Web サーバに平文でリクエストを転送する. Web サーバは平文でコンテンツを KSSL に返却し, それを KSSL が暗号化して Web クライアントに送る.
- しかも一連の SSL 処理はカーネル内で, Web サーバと同じコンテクストで実行されてて, Web サーバからは Web クライアントが直接 non-SSL でポート 8080 に接続してきてるようにみえる.
- さらに芸が細かいことに, Web サーバに設定した非 SSL なポートに外部から接続できなくなったり (KSSL からのみ接続可能), SSL ハンドシェイクのなかで KSSL が Web クライアントの提示してきた SSL 暗号スイートに対応してない場合には従来通り Web サーバに SSL 処理させるようフォールバックすることができたりする.
この KSSL と, UltraSPARC T1 によるハードウェア RSA アクセラレーションを合わせた効果は絶大なようだ. 本 BluePrint 曰く, Sun Java System Web Server の SSL 性能がほぼ倍に向上したという.
ついでに SPECweb2005 の世界記録もたたき出してる (2006 年 1 月 26 日時点).
もしかしてコレ, T2000 の 60 日間無償貸出のベンチマークネタのひとつに最適な気がしてきた. ぼくは社員なので応募するのは無理だけど, 今度の某イベントのデモ用に T2000 が都合ついたらちょっと試してみようかなあ.
|
|
|
|
