3.4.3 SSL 层优化实践
SSL 层的优化手段除了软件层面还有一些硬件加速的方案。例如 使用支持 AES-NI 特性的 CPU、或者使用专用 QAT 加速卡。
英特尔® Quick Assist Technology (以下简称 QAT)是Intel公司推出的一种专用硬件加速技术,可以用来提高Web服务器中计算密集的公钥加密以及数据压缩解压的吞吐率以及降低CPU负载。
下面展示了,通过对 ECC、RSA、TLS1.2、TLS1.3 等不同维度的测试,从对 SSL 加速的结果上看,使用 QAT 对 RSA 证书加速后,能提升40%左右的性能。 但不管哪种场景,使用 ECC 证书较 RSA 证书性能提升很多,即使 RSA 使用了 QAT 加速亦是如此。另外 QAT 方案的硬件成本、维护成本较高,综合考虑建议使用 TLS1.3 + ECC 证书方式。
以下为测试数据,供读者参考
| 场景 | QPS | Time | 单次发出请求数 |
|---|---|---|---|
| RSA证书 + TLS1.2 | 316.20 | 316.254ms | 100 |
| RSA证书 + TLS1.2 + QAT | 530.48 | 188.507ms | 100 |
| RSA证书 + TLS1.3 | 303.01 | 330.017ms | 100 |
| RSA证书 + TLS1.3 + QAT | 499.29 | 200.285ms | 100 |
| ECC证书 + TLS1.2 | 639.39 | 203.319ms | 100 |
| ECC证书 + TLS1.3 | 627.39 | 159.390ms | 100 |
数据来源于 爱奇艺QLB团队