SSLセッションキャッシュを共有したいだけの人生だった

SSLセッションキャッシュを共有したいだけの人生だった @nojima Cybozu, Inc. nginx Tech Talks 2016-02-09 nginx
Tech Talks 1

SSL のハンドシェイクに 265ms もかかっているとあるサイトに SSL で接続してみる 2016-02-09 nginx Tech
Talks 2

265ms → 138ms (だいたい半分) になった！！もう一度接続してみる 2016-02-09 nginx Tech Talks
3

Why? • SSL セッションキャッシュのおかげ • SSL ハンドシェイクで共有したパラメータ (共有鍵とか) をキャッシュしておく。
• 次回同じセッションIDで接続してきたクライアントに対してはパラメータの共有を省いて、いきなり TLS セッションを開始する。 • 効果 • ラウンドトリップが１往復分減る → レイテンシ減 • サーバ側の計算が減る → スループット増 ※ ブラウザによっては SSL セッションチケットという別の仕組みでセッション再開できるが、 IE や iOS Safari は対応していない。 2016-02-09 nginx Tech Talks 4

ところが nginx の標準機能では、複数のサーバ間でセッションキャッシュを共有できない！！！ 2016-02-09 nginx Tech Talks 5

Client Layer 4 Load Balancer nginx-1 nginx-2 nginx-3 ① 最初のコネクションが
nginx-1 に割り振られる ② nginx-1 にセッションがキャッシュされる ③ 二回目のコネクションが nginx-3 に割り振られる ④ キャッシュがないのでセッション再開できない！！！ DC 2016-02-09 nginx Tech Talks 6

というわけで nginx の SSL セッションキャッシュを共有できるようにするパッチを書いた。 2016-02-09 nginx Tech Talks
7

nginx-ssl-scache-sync-module • nginx が SSL セッションキャッシュを保存する処理にフックして、別のサーバの nginx に対してセッションキャッシュを送り付ける仕組み。
• サイボウズの本番環境で使うために作った。 • 以下の URL で公開中 • https://gist.github.com/nojima/daac8c5710a2766bd638 • 1.9.10 より新しい nginx には当たらないので注意。多分そのうち直します。 2016-02-09 nginx Tech Talks 8

nginx-1 nginx-2 nginx-3 session cache ① SSL接続が来る ② セッション
キャッシュが生成される cache ③ 非同期にセッションキャッシュを送りつける cache cache Client ④ 再び SSL 接続が来る ⑤ セッションが再開できる！ session cache DC 2016-02-09 nginx Tech Talks 9

nginx-ssl-scache-sync-module • よかった点 • パフォーマンス向上 • 前述のとおり、キャッシュによってサーバのスループットが上がる。 • レイテンシも減るが、日本だとあまり実感できない。 •
Just Works!! • サイボウズの本番環境で１年間運用。トラブルなし。 • よくない点 • スケールしない • nginx サーバ台数に比例してセッションを共有する通信の負荷が上がってしまう。 2016-02-09 nginx Tech Talks 10

ところで H2O は？ • H2O はセッションキャッシュの共有を標準でサポートしている。 • しかも memcached を使う方式なのでサーバ台数が増えても
大丈夫。 • 自分たちが memcached を使わなかったのは、OpenSSL の制約の都合上実装できないと思っていたから。 • しかし、H2O は驚きのスーパーハックで解決していた： https://github.com/h2o/h2o/issues/118 2016-02-09 nginx Tech Talks 11

今日言いたかったこと誰か H2O 方式のセッションキャッシュ共有モジュールを書いてくれ！！！！ (or ngx_ssl_session_fetch_by_lua に期待) 2016-02-09 nginx
Tech Talks 12

WE ARE HIRING サイボウズはインフラエンジニアを募集しております 2016-02-09 nginx Tech Talks 13

SSLセッションキャッシュを共有したいだけの人生だった

SSLセッションキャッシュを共有したいだけの人生だった

Yusuke Nojima

More Decks by Yusuke Nojima

Other Decks in Technology

Featured

Transcript

SSLセッションキャッシュを共有したいだけの人生だった @nojima Cybozu, Inc. nginx Tech Talks 2016-02-09 nginx

SSL のハンドシェイクに 265ms もかかっているとあるサイトに SSL で接続してみる 2016-02-09 nginx Tech

265ms → 138ms (だいたい半分) になった！！もう一度接続してみる 2016-02-09 nginx Tech Talks

Why? • SSL セッションキャッシュのおかげ • SSL ハンドシェイクで共有したパラメータ (共有鍵とか) をキャッシュしておく。

ところが nginx の標準機能では、複数のサーバ間でセッションキャッシュを共有できない！！！ 2016-02-09 nginx Tech Talks 5

Client Layer 4 Load Balancer nginx-1 nginx-2 nginx-3 ① 最初のコネクションが

というわけで nginx の SSL セッションキャッシュを共有できるようにするパッチを書いた。 2016-02-09 nginx Tech Talks

nginx-ssl-scache-sync-module • nginx が SSL セッションキャッシュを保存する処理にフックして、別のサーバの nginx に対してセッションキャッシュを送り付ける仕組み。

nginx-1 nginx-2 nginx-3 session cache ① SSL接続が来る ② セッション

nginx-ssl-scache-sync-module • よかった点 • パフォーマンス向上 • 前述のとおり、キャッシュによってサーバのスループットが上がる。 • レイテンシも減るが、日本だとあまり実感できない。 •

ところで H2O は？ • H2O はセッションキャッシュの共有を標準でサポートしている。 • しかも memcached を使う方式なのでサーバ台数が増えても

今日言いたかったこと誰か H2O 方式のセッションキャッシュ共有モジュールを書いてくれ！！！！ (or ngx_ssl_session_fetch_by_lua に期待) 2016-02-09 nginx

WE ARE HIRING サイボウズはインフラエンジニアを募集しております 2016-02-09 nginx Tech Talks 13