Onderzoekers bouwen ssl-proxy met gpu-versnelling
Studenten van een Koreaanse universiteit hebben een ssl-proxy ontwikkeld die de cryptografische berekeningen kan uitbesteden aan een gpu. Daardoor kan beveiligd internetverkeer goedkoper en sneller worden afgehandeld.
Het afhandelen van https-verkeer vergt veel van servers die op al het inkomende en uitgaande internetverkeer encryptie moeten toepassen. Koreaanse studenten ontwikkelden een ssl-proxy, genaamd SSLShader, die de cryptografische berekeningen die voor ssl-verkeer moeten worden gedaan, aan een gpu kan uitbesteden. De ssl-proxy presteerde bij een test twee tot vier keer zo snel als de https-module in de lighttpd-webserver.
De onderzoekers maakten de in ssl gebruikte rsa-, aes- en hmac-sha1-algoritmen geschikt om door een gpu te worden uitgevoerd. SSLShader gebruikt de gpu alleen wanneer kan worden geprofiteerd van het parallel uitvoeren van rekentaken: bij weinig verkeer handelt de cpu het rekenwerk af. Het is overigens onbekend of SSLShader van de Cuda- of opencl-api gebruikmaakt.
Voor het testen van de prestaties van de proxy werd een server met een Intel Xeon 5650-cpu gebruikt, die over zes cores een kloksnelheid van 2,66GHz beschikt. De gpu was een nVidia GeForce GTX480, een high-end-videokaart voor desktops. Die beschikt over 480 Cuda-cores. Hoewel het niet bepaald om budgethardware gaat, was de setup redelijk betaalbaar, waardoor het voor minder kapitaalkrachtige websites aantrekkelijker kan worden om ssl-versleuteling toe te passen. Probleem daarbij is echter dat veel serverracks niet over ruimte voor doorsnee videokaarten beschikken. Het is echter onduidelijk of de software al geschikt is voor gebruik in de praktijk; de studenten geven niet aan wanneer ze de software zullen vrijgeven.
Reacties (71)
Een goede zaak dat steeds meer taken uitbesteed worden aan de GPU. Gewoon omdat dit vaak een krachtig onderdeel is van de computer die bijna alleen met games volledig belast wordt.
Tenzij je natuurlijk niet over zo'n kaart beschikt.
Alleen een on-board VGA plug.
En een super oude Pentium 4 ;)!
Kijken hoe dat loopt.
Alleen een on-board VGA plug.
En een super oude Pentium 4 ;)!
Kijken hoe dat loopt.
We houden toch geen rekening met oude hardware, mensen die nog een Pentium 4 hebben zijn niet echt Tweakers en zitten nu met een extreem trage pc omdat die in 10 jaar niet onderhouden is.
Als je met die mensen rekening moet houden kan je helemaal niks doen.
Als je met die mensen rekening moet houden kan je helemaal niks doen.
[Reactie gewijzigd door Wolfos op 26 januari 2011 15:02]
Niet echt Tweakers? Je moet júist kunnen tweaken om met die procs goede resultaten te behalen. En het kan, ik heb zelf nog meerdere (werkende) machines met PIV's erin.
OT: in hoeverre kun je een standaard onboard chip hier ook voor gebruiken? Of missen die bepaalde instructiesets?
@player-x: ik denk dan aan hogere doorvoersnelheden bij een real-time TrueCrypt partitie. Daar kan hardwarematige AES best veel verschil maken. Maar ik doel eigenlijk meer op hardware acceleration die ze o.a. in Firefox 4 willen steken, kan die een standaard onboard videochip aanspreken (hetzij met vrij weinig extra rekenkracht tot gevolg, maar toch)?
OT: in hoeverre kun je een standaard onboard chip hier ook voor gebruiken? Of missen die bepaalde instructiesets?
@player-x: ik denk dan aan hogere doorvoersnelheden bij een real-time TrueCrypt partitie. Daar kan hardwarematige AES best veel verschil maken. Maar ik doel eigenlijk meer op hardware acceleration die ze o.a. in Firefox 4 willen steken, kan die een standaard onboard videochip aanspreken (hetzij met vrij weinig extra rekenkracht tot gevolg, maar toch)?
[Reactie gewijzigd door Rick2910 op 26 januari 2011 16:17]
Wat is het nut om HTTPS verkeer aan de cliënt zijde versnelling toe te passen?
Daar kan zelfs een oude 386 nog mee uit de voeten.
Nee dit is iets voor bv een server die gelijktijdig 10.000/sec+ HTTPS bezoekers moet bedienen, en dan gaan all die op zich redelijk kleine berekeningen op eens wel tellen.
Kan me voorstellen dat net-admin van Gmail of Hotmail servers best geïnteresseerd zijn in deze ontwikkeling.
@Rick2910
Wat heeft TrueCrypt in gods naam te doen met een ssl-proxy?
En de hardware acceleration die ze in FF4 gebouwd hebben is voor dingen als video niet de HTTPS verbindingen.
Daar kan zelfs een oude 386 nog mee uit de voeten.
Nee dit is iets voor bv een server die gelijktijdig 10.000/sec+ HTTPS bezoekers moet bedienen, en dan gaan all die op zich redelijk kleine berekeningen op eens wel tellen.
Kan me voorstellen dat net-admin van Gmail of Hotmail servers best geïnteresseerd zijn in deze ontwikkeling.
@Rick2910
Wat heeft TrueCrypt in gods naam te doen met een ssl-proxy?
En de hardware acceleration die ze in FF4 gebouwd hebben is voor dingen als video niet de HTTPS verbindingen.
[Reactie gewijzigd door player-x op 28 januari 2011 13:53]
aan de andere kant valt er te zeggen - en echte tweaker upgrade z'n pc's wel regelmatig, vroeger toen ik als x jarig pikkie tegen jullie almachtige tweakers opkeek (in de begin dagen van tweakers.net) werden er nog steeds veel verschillende low budget upgrades gedan, werden er vooral veel celeron en lage p4 enorm overgeclockt om spelle p4's te evenaren, al je die analogie doortrekt koop je nu de goedkopere dualcore en ulock je de xtra core's voeg je wat andere trickie dingen toe en klok je ze naar 3,5 ghz (in plaats van <2. het blijven gebruiken van 10+ jaar oude meuk mag dan een leuke prestatie klinken, maar met windows xp (wat nog steeds redelijk mee kan) is daar weinig tweaker-waardigs aan...
ontopic: elke grafische kaart die cuda / of openCL aan kan zou je hier voor kunnen gebruiken, maar een pci-e kaartje met tenminste 128mb eigen geheuge lijkt me dan toch wel aanbevolen.
nu nog even IP'v6 doordrukken zodat zelfs elke budget webhosting pakket een eigen 1ip heelft. en je kunt http uitfaseren ten gunste van https - zelfs een GT 210 zou mogelijk al sneller kunnen zijn dan een standaard cpu. lijkt me een prima idee om voortaan alle post en get data via ssl te sturen, dan wordt het MitM in ieder geval al weer een stuk lastiger. en zullen de kosten nauwelijks stijgen, klinkt goed....
ontopic: elke grafische kaart die cuda / of openCL aan kan zou je hier voor kunnen gebruiken, maar een pci-e kaartje met tenminste 128mb eigen geheuge lijkt me dan toch wel aanbevolen.
nu nog even IP'v6 doordrukken zodat zelfs elke budget webhosting pakket een eigen 1ip heelft. en je kunt http uitfaseren ten gunste van https - zelfs een GT 210 zou mogelijk al sneller kunnen zijn dan een standaard cpu. lijkt me een prima idee om voortaan alle post en get data via ssl te sturen, dan wordt het MitM in ieder geval al weer een stuk lastiger. en zullen de kosten nauwelijks stijgen, klinkt goed....
Wellicht enigszins offtopic, maar...
Oh? Ik gebruik een Athlon XP3200+; mijn machine heeft niet eens PCIe. Leg mij eens uit wat er zo 'extreem traag' aan is dat ik mijn dagelijkse bezigheden er niet mee kan uitvoeren?
Het is mijn stelligste overtuiging dat de moderne 'snelle PC' eerder te lijden heeft onder ontstellend grote penisnijd dan dat de gebruiker zich afvraagt of hij al die FLOPS wel nodig heeft. Ik heb het nu niet over de jongens en meiden die zich bezighouden met programmeren van zware softwarepakketten, of die een zwak hebben voor video-editing, of die persé de laatste blood-and-gore games in ultrahoge resoluties met alle bells'n'whistles aan willen spelen. Dat zijn zaken waar je FLOPS voor nodig hebt, en het is duidelijk dat mijn machine die niet aan boord heeft. Maar gewoon surfen, syncen met allerhande portable meuk, mijn eigen databeesjes met enkele tienduizenden records bijhouden, af en toe een handig tooltje in elkaar flansen of de computer een paar dagen aan het werk zetten om wat complexere berekeningen uit te voeren, spelen met programmeertechnieken (ik houd nogal van virtual machines), emailen, filmpjes kijken, en echte ouderwetsch leuke games spelen die het niet moeten hebben van audiovisuele porno maar wel van verslavende gameplay?
Toegegeven, een Tweaker in de zin dat ik me met het nieuwste van het nieuwste bemoei ben ik niet. Ik noem dat eerder fervent aanhanger zijn van The Cult Of The New: altijd op zoek naar het nieuwste voor weer een nieuwe high, en als de crash komt op naar de volgende shot! Ik voel me wel Tweaker in de zin dat ik me uitstekend vermaak met de nog steeds ruime mogelijkheden die mijn 'extreem trage PC' mij biedt, en dat ik het wereldje een beetje bijhoud zodat ik weet wat er op hard- en softwaregebied gaande is. Dit soort artikelen (over het gebruik van de GPU om encryptie te versnellen) is dan prima leesvoer.
Oh? Ik gebruik een Athlon XP3200+; mijn machine heeft niet eens PCIe. Leg mij eens uit wat er zo 'extreem traag' aan is dat ik mijn dagelijkse bezigheden er niet mee kan uitvoeren?
Het is mijn stelligste overtuiging dat de moderne 'snelle PC' eerder te lijden heeft onder ontstellend grote penisnijd dan dat de gebruiker zich afvraagt of hij al die FLOPS wel nodig heeft. Ik heb het nu niet over de jongens en meiden die zich bezighouden met programmeren van zware softwarepakketten, of die een zwak hebben voor video-editing, of die persé de laatste blood-and-gore games in ultrahoge resoluties met alle bells'n'whistles aan willen spelen. Dat zijn zaken waar je FLOPS voor nodig hebt, en het is duidelijk dat mijn machine die niet aan boord heeft. Maar gewoon surfen, syncen met allerhande portable meuk, mijn eigen databeesjes met enkele tienduizenden records bijhouden, af en toe een handig tooltje in elkaar flansen of de computer een paar dagen aan het werk zetten om wat complexere berekeningen uit te voeren, spelen met programmeertechnieken (ik houd nogal van virtual machines), emailen, filmpjes kijken, en echte ouderwetsch leuke games spelen die het niet moeten hebben van audiovisuele porno maar wel van verslavende gameplay?
Toegegeven, een Tweaker in de zin dat ik me met het nieuwste van het nieuwste bemoei ben ik niet. Ik noem dat eerder fervent aanhanger zijn van The Cult Of The New: altijd op zoek naar het nieuwste voor weer een nieuwe high, en als de crash komt op naar de volgende shot! Ik voel me wel Tweaker in de zin dat ik me uitstekend vermaak met de nog steeds ruime mogelijkheden die mijn 'extreem trage PC' mij biedt, en dat ik het wereldje een beetje bijhoud zodat ik weet wat er op hard- en softwaregebied gaande is. Dit soort artikelen (over het gebruik van de GPU om encryptie te versnellen) is dan prima leesvoer.
zie m'n bovenstaande post, xp is een os van al weer 10 jaar oud, met die gedachten kun je best nog met een p1 en windows 95 an de slag, de vraag i nu waarom zou je met moderne software nog rekening moeten houden met computers en software die eigenlijk al afgeschreven had moeten zijn (economische afschrijving van een pc is meestal 3 soms 5 jaar....
als je 10 jaar oude pc het nog doet, prima maar verwacht niet dat mensen met dualcores en quadcores nog bereid zijn om langzamere (lees inefficientere voor hun pc) software te draaien omdat jij niet met je tijd mee gaat.... kortom de meeste software zal nog wel draaien, maar lang niet meer alles ...
er zullen vast nog wel hacks zijn om je pc nog eens 5 jaar mee te laten komen in pc land, en je bent meer dan vrij daar gebruik van te maken, maar ga iig niet lopen klagen dat er dingen niet meer willen, dat doe ik ook niet m'n m'n sock939 max2gb pc en m'n am2 systeempjes. terweil weet dat er al i7's zijn en games die een quadcore vereisen... soms moet je dan gewoon je beperkingen accepteren PUNT
als je 10 jaar oude pc het nog doet, prima maar verwacht niet dat mensen met dualcores en quadcores nog bereid zijn om langzamere (lees inefficientere voor hun pc) software te draaien omdat jij niet met je tijd mee gaat.... kortom de meeste software zal nog wel draaien, maar lang niet meer alles ...
er zullen vast nog wel hacks zijn om je pc nog eens 5 jaar mee te laten komen in pc land, en je bent meer dan vrij daar gebruik van te maken, maar ga iig niet lopen klagen dat er dingen niet meer willen, dat doe ik ook niet m'n m'n sock939 max2gb pc en m'n am2 systeempjes. terweil weet dat er al i7's zijn en games die een quadcore vereisen... soms moet je dan gewoon je beperkingen accepteren PUNT
Ehm, hoe kan oude software nou langzamer lopen op een nieuwere proc? Of bedoel je dat nieuwe software veel efficiënter is? Beide statements zijn onzin, want je kunt best in je software gebruik maken van processor statements die oude CPU's niet hebben, zodat die terug vallen op de main core terwijl de nieuwe proc's er wel voordeel van hebben. Het een sluit het ander niet uit. Het is niet zo dat oude PC's een blok aan het been vormen van de ontwikkelaars; ze laten alleen duidelijk zien wanneer code zeer inefficiënt is geschreven. Op nieuwere machines zie je dat soms niet. En bedenk wel dat geoptimaliseerde code ook sneller draait op nieuwere machines, dus uiteindelijk heeft iedereen hier profijt van. Kijk bijvoorbeeld naar Vista en Windows 7. Zelfde hardware, maar het nieuwe OS loopt veel sneller op dezelfde hardware. Kijk naar Linux: daar kun je vaak met een 1GHz machine nog uit de voeten. En economische waarde, daar doe ik als particulier niet aan. Mijn machine is pas op als ik er functioneel niks meer mee kan. Mijn huidige machine uit 2003 doet het nog prima, zelfs met een modern OS en moderne software.als je 10 jaar oude pc het nog doet, prima maar verwacht niet dat mensen met dualcores en quadcores nog bereid zijn om langzamere (lees inefficientere voor hun pc) software te draaien omdat jij niet met je tijd mee gaat....
[Reactie gewijzigd door Rick2910 op 26 januari 2011 16:31]
Als je singlethreaded software hebt, die verder ook geen multicore ondersteund, dan kan het best zijn dat de software sneller is op oude singlecores. Metname de kloksnelheid ligt lager tegenwoordig omdat er vaak gebruik wordt gemaakt van meerdere cores.
geef je overschot van gelijk behalve ... dat je vermeld een fan te zijn van virtualisatie; nja ik ook maareuh, jou XP3200+ met bijbehorend AM2 bordje oid ondersteunen (hoogst waarschijnlijk, je bordje zou eventueel nog kunnen dankzij BC) geen hardwarematige virtualisatie van je proc/mem/...
Je zou beter af zijn met een amd met AMD-V of een intel met VTx en bijpassende chipset met virtualisatie ondersteuning op hardware niveau..
was nou voor mij 1 van de enige redenen voor aanschaf van een "nieuwe" pc (is ook weeral even geleden) met veel te veel ramm - lekker veel test omgevingen!
OT : vraag me af of er zware wijzigingen in server hardware te wachten staat (of al is aan het gebeuren? ben weeral een paar jaartjes uit de server-markt) - komende van veel plaats voor ramm, meerdere procs, ... gekoppeld aan een ideale airflow met onboard 1 of ander low end intel gpu lijkt het me met al deze nieuwberichten er meer en meer op te lijken dat er aardig wat GPUs moeten ingecalculeerd worden dezer dagen. ..
Overigens lijkt me, indien het zo efficient is, het gebruik van de GPU voor versleuteling wel toekomstgericht intressant inzake het behoud van een "open" internet (nuja, beetje vreemde statement aangezien geencrypteerde dingen nou niet "open" pur sang zijn - maar wel net dat tikkeltje lastiger voor uncle sam om mee te kijken over je schouder)
Je zou beter af zijn met een amd met AMD-V of een intel met VTx en bijpassende chipset met virtualisatie ondersteuning op hardware niveau..
was nou voor mij 1 van de enige redenen voor aanschaf van een "nieuwe" pc (is ook weeral even geleden) met veel te veel ramm - lekker veel test omgevingen!
OT : vraag me af of er zware wijzigingen in server hardware te wachten staat (of al is aan het gebeuren? ben weeral een paar jaartjes uit de server-markt) - komende van veel plaats voor ramm, meerdere procs, ... gekoppeld aan een ideale airflow met onboard 1 of ander low end intel gpu lijkt het me met al deze nieuwberichten er meer en meer op te lijken dat er aardig wat GPUs moeten ingecalculeerd worden dezer dagen. ..
Overigens lijkt me, indien het zo efficient is, het gebruik van de GPU voor versleuteling wel toekomstgericht intressant inzake het behoud van een "open" internet (nuja, beetje vreemde statement aangezien geencrypteerde dingen nou niet "open" pur sang zijn - maar wel net dat tikkeltje lastiger voor uncle sam om mee te kijken over je schouder)
Een Pentium 4 is uitermate ongeschikt voor dit soort werk, het verbruikt namelijk ongelofelijk veel stroom voor z'n prestaties. Als je TCO uitrekent heb je binnen een jaar de aanschaf van een Atom-bord en RAM terugverdiend.
En sowieso, in die low-end categorie heb je Via CPUs die sinds jaar en dag hardwarematige versnelling hebben van encryptieberekeningen.
Kortom, juist iets in de high-end zoals dit is vernieuwend.
En sowieso, in die low-end categorie heb je Via CPUs die sinds jaar en dag hardwarematige versnelling hebben van encryptieberekeningen.
Kortom, juist iets in de high-end zoals dit is vernieuwend.
dit gaat dus om de server markt, consumenten zullen hier nooit mee te maken krijgen ! En ik ken geen enkele host die met atom of via bordjes werkt.
Juist in de huidige tijd van energiebesparing (de prijs van energie in datacenters is enorm gestegen, veel meer dan voor thuisgebruik), zie je dit steeds vaker. Vroeger was ruimte en dataverbruik je grootste kostenpost in een datacenter, nu is het stroom.
Zie hier bijvoorbeeld, is wel heel erg low-end maar het is een hoster.
Edit: Ik heb geen binding met het gelinkte bedrijf en ben er ook geen klant van, ik wou het alleen linken om te laten zien dat er al hosters zijn die met Atoms werken.
Zie hier bijvoorbeeld, is wel heel erg low-end maar het is een hoster.
Edit: Ik heb geen binding met het gelinkte bedrijf en ben er ook geen klant van, ik wou het alleen linken om te laten zien dat er al hosters zijn die met Atoms werken.
[Reactie gewijzigd door GekkePrutser op 26 januari 2011 15:59]
aan de consumenten kant kun je ook ovewegen om een netwerkkaart toe te voegen die een APU is tussen een netwerk-prosessor een een ssl-versneller dat kan onboard (als nieuwe onboard nic) en op pci-e net als de huidige netwerk en/of vga kaartjes...
ik ken overigens wel hosts die atom330's gebruiken, voor sommige dingen heb je namelijk helemaal niet zoveel power nodig, en kune beter 4 slome treads op een a330 draaien dan 2 op een xeon.
ik ken overigens wel hosts die atom330's gebruiken, voor sommige dingen heb je namelijk helemaal niet zoveel power nodig, en kune beter 4 slome treads op een a330 draaien dan 2 op een xeon.
idd, het gpgpu aspect mag van mij wel zo veel mogelijk worden uitgebreid!
En natuurlijk hoeft dit niet persé met een 480 gedaan te worden, als het kan worden ingevoerd in een driver voor nvidia kan je met een beetje videokaart voldoende extra snelheid creëren gok ik.
En natuurlijk hoeft dit niet persé met een 480 gedaan te worden, als het kan worden ingevoerd in een driver voor nvidia kan je met een beetje videokaart voldoende extra snelheid creëren gok ik.
Een krachtig onderdeel van desktops ja, vergeet niet dat het hier om servers gaat he, daar zit standaard geen (snelle) videokaart in. Voor desktops zou het leuk zijn, echter in welke situatie heb je nu bij desktops te maken met complexe SSL encryptie op grote schaal? Die paar keer dat je het gebruikt kan je processor dat prima afhandelen.
Bij servers moet je nu alsnog videokaarten gaan aanschaffen, daar gaat de vlieger 'onbelaste hardware' niet op.
Bij servers moet je nu alsnog videokaarten gaan aanschaffen, daar gaat de vlieger 'onbelaste hardware' niet op.
Als blijkt dat je door de inzet van 1 grafische kaart een veelvoud aan processoren achterwege kan laten dan is het opeens weer een stuk interessanter.
Er zal veel meer outside of the box gedenkt moeten gaan worden om een aantal complexe problemen die hedentendage bestaan op te lossen.
Er zal veel meer outside of the box gedenkt moeten gaan worden om een aantal complexe problemen die hedentendage bestaan op te lossen.
Dedicated PU's en co-processors zijn niet echt "outside of the box" maar al lange tijd gemeengoed. Zie onder andere http://en.wikipedia.org/wiki/SSL_acceleration
Het grote voordeel van GPU's is natuurlijk de volumes waarin ze gemaakt worden. Er wordt wel eens gegrapt dat de eerste chip van een bepaald type een paar miljard kost, en elke volgende chip een euro om te maken. Als je dan gaat kijken wat je aan Gb/s/$ krijgt, dan zou zo'n GPU het zomaar kunnen winnen.
dr zijn al best oplossingen hiervoor hoor.
Er zijn dus al netwerk kaarten die dit soort versnellingen kunnen doen (meen ik) en als ze niet bestaan heb je altijd nog appliances die het kunnen. Cisco (uiteraard) is een van de spelers die dat soort spul aanbiedt. (http://www.cisco.com/en/U.../ps2706/ps4156/index.html )
Er zijn dus al netwerk kaarten die dit soort versnellingen kunnen doen (meen ik) en als ze niet bestaan heb je altijd nog appliances die het kunnen. Cisco (uiteraard) is een van de spelers die dat soort spul aanbiedt. (http://www.cisco.com/en/U.../ps2706/ps4156/index.html )
Mwa de gemiddelde server heeft nou niet bepaald een sterke videokaart 
bovendien zijn er al verschillende crypto accelerators verkrijgbaar die in feite het zelfde doen als deze oplossing.
Desalniettemin een interessant project.
bovendien zijn er al verschillende crypto accelerators verkrijgbaar die in feite het zelfde doen als deze oplossing.Desalniettemin een interessant project.
Als een server 2x zoveel clients kan verwerken door er een videokaart in te stoppen, dan zit er overmorgen een videokaart in 
.
.
Maar is dat wel zo? De hier getoonde resultaten zijn een vergelijking tussen software en GPU-hardware, de vergelijking met de huidige crypto accelerators zie ik nergens.
het verschil is dat je nu een massa product (videokaart) kan gebruiken voor een specialistische taak, ik kan me voorstellen dat een videokaart een stuk goedkoper is, performance wise, dan een daarvoor ontwikkelde ssl accelerator
true, een gt210 (kan ook cuda aan) koop je mogelijk voor minder dan 20 ex btw en in bulk nog veel goedkoper. ik denk dat ie mist deze code goed geoptimaliseeerd is beter presteerd dan zo'n ssl-kaartje ... en 10x goedkoper is...
Nadeel is alleen dat je er 0 support op hebt, iets wat voor bedrijven wel van belang kan zijn.
Wil je een kaart met goede support dan ben je toch gauw rond de 1000 euro kwijt.
Wil je een kaart met goede support dan ben je toch gauw rond de 1000 euro kwijt.
[Reactie gewijzigd door Zer0 op 26 januari 2011 22:24]
En hoe zit het met het energieverbruik?
Je hebt kans dat een blade onvoldoende koeling biedt, en/of dat je koelingskosten hoger worden. Dat laatste is een variabele kostenpost wat alleen maar 'groeit', en heeft veel economisch gezien veel meer impact dan de eenmalige aanschafkosten. Een extra Xeon / blade plaatsen zou zomaar veel voordeliger kunnen zijn.
Je hebt kans dat een blade onvoldoende koeling biedt, en/of dat je koelingskosten hoger worden. Dat laatste is een variabele kostenpost wat alleen maar 'groeit', en heeft veel economisch gezien veel meer impact dan de eenmalige aanschafkosten. Een extra Xeon / blade plaatsen zou zomaar veel voordeliger kunnen zijn.
Je weet wat zo'n crypto accelerator kost ?
Dan is het ineens super interesant.
Dan is het ineens super interesant.
Een via cpu heeft de hardware standaard en ook intel is de hardware in cpus aan het inbouwen. Dus de kosten voor ssl offloading vallen erg mee tegenwoordig. Dat neemt niet weg dat gpus hier een interesante optie zijn. Eerlijk gezegd vallen de resultaten mij nog een beetje tegen voor een highend gpu met een hele hoop paralelle threads. Dedicated hardware presteert beter.
dedicated presteerd beter? - bron???
verder is het maar de vraag hoe goed deze studenten kunnen rekenen lees of de algoritmes niet nog verbeterd kunnen worden
verder is het maar de vraag hoe goed deze studenten kunnen rekenen lees of de algoritmes niet nog verbeterd kunnen worden
Laat ik het heel simpel zeggen. Onze eigen SSL servers halen met dedicated chips een verbetering van meer dan 4x de throughput met lighttpd....
En ja, misschien kan men nog wat verbeteren maar dat neemt niet weg dat de huidige resultaten niet echt fantastisch zijn.
En ja, misschien kan men nog wat verbeteren maar dat neemt niet weg dat de huidige resultaten niet echt fantastisch zijn.
In theorie natuurlijk erg leuk maar dit betekent wel dat je al je servers met videokaarten moet gaan uitrusten, daar is lang niet altijd ruimte voor en in bladeservers is daar vaak helemaal geen optie voor.
Is het dan geen handigere optie te investeren in een extra snelle CPU of sowieso een extra CPU? Tenzij je gigantisch veel SSL verkeer krijgt lijkt het mij dat juist voor kleinere websites aantrekkelijker is gewoon een processor erbij te schalen, die kan namelijk voor meer dan alleen SSL verkeer ingezet worden.
Is het dan geen handigere optie te investeren in een extra snelle CPU of sowieso een extra CPU? Tenzij je gigantisch veel SSL verkeer krijgt lijkt het mij dat juist voor kleinere websites aantrekkelijker is gewoon een processor erbij te schalen, die kan namelijk voor meer dan alleen SSL verkeer ingezet worden.
AMD & Intel bouwen nu GPU's in hun CPU's. Dus bij het plaatsen van een APU heb je dus die mogelijkheden zonder een losse videokaart.
een extra cpu in je blade betekend een ander moederbord, of een nieuwe cpu die aan het einde van de rit nog steeds minder zuinig, waarom zou je dan niet een apu (cpu+gpu ineen) inbouwen, of je moederbord fabrikant vragen om een mobo te bouwen waar naast 2 cpu's ook alle pci-e banen naar onboard openCL/Cuda chip leiden.
vaak zie je bij blade dat ze gewoon 2 gbit nics hebben met hoguit 4 pci-e lanes. wellicht nog 1je voor de sata controller en dan heb je het wel gehad, terweil de meeste chipsets toch echt 32 banen zouden kunnen ondersteunen - waaom zou je die 16 overgebleven baantjes dan niet inzetten voor een ssl-versneller...
vaak zie je bij blade dat ze gewoon 2 gbit nics hebben met hoguit 4 pci-e lanes. wellicht nog 1je voor de sata controller en dan heb je het wel gehad, terweil de meeste chipsets toch echt 32 banen zouden kunnen ondersteunen - waaom zou je die 16 overgebleven baantjes dan niet inzetten voor een ssl-versneller...
dit is echt super tof.
ik vraag me af hoe ze de link hebben gelegdt van een GPU naar een ssl decrypter
ik vraag me af hoe ze de link hebben gelegdt van een GPU naar een ssl decrypter
"Het is overigens onbekend of SSLShader van de Cuda- of opencl-api gebruikmaakt."
Waarschijnlijk Cuda, openCL is imho zo veel trager dat CUDA gewoon de meest interessante optie is.
bron?
Als je het artikel er op naslaat op pagina 1 van de pdf lijkt het CUDA te zijn.
De gpu was een nVidia GeForce GTX480, een high-end-videokaart voor desktops.
Het probleem voor 1U servers is dat er geen ruimte is voor zulke kaarten. Leuke ontwikkeling maar niet geschikt totdat de videokaarten kleiner worden of we gaan straks de IGP's zien die hier dankbaar gebruik van kunnen maken.
Het probleem voor 1U servers is dat er geen ruimte is voor zulke kaarten. Leuke ontwikkeling maar niet geschikt totdat de videokaarten kleiner worden of we gaan straks de IGP's zien die hier dankbaar gebruik van kunnen maken.
In de publication staat bij de keywords: CUDA
"We run experiments with a dual Intel X5550 (total of 8 cores) system with two NVIDIA GTX480 cards"
http://sites.google.com/s...ssl-ea.pdf?attredirects=0
"We run experiments with a dual Intel X5550 (total of 8 cores) system with two NVIDIA GTX480 cards"
http://sites.google.com/s...ssl-ea.pdf?attredirects=0
Misschien een domme vraag maar, het verschil is dus dat het ssl encrypten nu aan de kant van de gebruiker (door de gpu) word gedaan ipv serverside? Maar waarom laten ze dat dan niet doen door de cpu aan de gebruiker, die is doorgaans toch nog sneller dan de gpu?
Nee, het wordt nog steeds severside gedaan. Immers als je het enkel clientside encrypt moet de server het alsnog decrypten en zal de communicatie van de server naar de gebruiker alsnog encryptieloos gebeuren, beide kanten moeten dus encrypten en decrypten. De client heeft echter maar een paar verbindingen waarbij dat moet gebeuren, de server tientallen tot (vele) duizenden tegelijk. De client kan dat prima met de CPU afhandelen zonder er wat van te merken, de server moet daar echt op geschaald zijn.
Zon vermoeden had ik al, maar servers hebben toch (bijna) nooit een grafische kaart, of vergis ik me daarin? 
Dat klopt, hoogstens een simpele zodat je snel een monitor aan kan sluiten bij troubleshooting. Daarom is dit dus niet direct een handige techniek omdat er a) ruimte moet zijn voor een videokaart en b) geld in een videokaart gestoken moet worden.
Dat maakt dat ik niet direct sta te springen, offloading is goed maar als daar aparte hardware voor aangeschaft moet worden zie ik liever een ROI calculatie dan een happy grafiekje.
Dat maakt dat ik niet direct sta te springen, offloading is goed maar als daar aparte hardware voor aangeschaft moet worden zie ik liever een ROI calculatie dan een happy grafiekje.
Is dan bovendien ook niet zo dat een grafische kaart met een redelijke gpu al gauw duurder word dan bv een extra/betere cpu/server?
Dat is dus de ham vraag in dit geval, is dit goedkoper dan een dedicated kaart voor SSL en is het goedkoper dan een extra processor bijplaatsen. Hangt er natuurlijk ook vanaf of je bijvoorbeeld blades hebt of 2u servers.
Vergeet vooral de warmte ontwikkeling van zo'n gpu niet... zeker in een rack omgeving is dit nou niet zo heel leuk om erbij the hebben.
De warmteonwikkeling van een paar extra CPU's is ook niet grappig. Het grote voordeel van GPU's is dat ze per berekening veel zuiniger zijn.
Het gaat om het decrypten van het ssl verkeer aan de serverzijde. Niet over her encrypten aan de clientzijde
[Reactie gewijzigd door snakeye op 26 januari 2011 14:53]
Nee, door de gpu van de server. SSL zou niet werken als het volledig client-side gedaan werd
Nee.. voor ssl verkeer moet de CPU van de server een hoop werk verzetten. Wat ze hier gedaan hebben is de server inplaats van zijn CPU een GPU te geven. En dat bleek een stuk sneller te zijn. Maar dit gebeurd allemaal aan de kant van de server.
Overigens de server is ook de enige het ssl verkeer kan decrypten, het is maar goed dat de gebruiker dat niet kan. Anders zou ik jou ssl verkeer kun gaan lezen en dat is niet bedoeling natuurlijk.
Overigens de server is ook de enige het ssl verkeer kan decrypten, het is maar goed dat de gebruiker dat niet kan. Anders zou ik jou ssl verkeer kun gaan lezen en dat is niet bedoeling natuurlijk.
Hoe zie je dat voor je? De data onversleuteld naar de client versturen, daar versleutelen, en weer ontsleutelen zodat de applicatie er wat mee kan doen? Dan kun je net zo goed alles onversleuteld sturenMaar waarom laten ze dat dan niet doen door de cpu aan de gebruiker, die is doorgaans toch nog sneller dan de gpu?
Wel raar dat het SSL Shader programma, bijna, exponentieel steeds sneller wordt en bij lighttpd het steeds langzamer wordt (met uitzondering van 2048 bits met 16.000 transacties).
Is het programma dan niet o.a. de beperkende factor? Is goed dat ze een programma hebben geschreven voor GPU's, maar is het niet een beetje kort door de bocht?
Is het programma dan niet o.a. de beperkende factor? Is goed dat ze een programma hebben geschreven voor GPU's, maar is het niet een beetje kort door de bocht?
http://www.google.nl/imgr...=9&ved=1t:429,r:1,s:0 Ik vermoed dat ze het willen gebruiken icm met dit ding... Tesla Server van Nvidia Zit vol met videokaarten die normaal 3D zooi renderen en andere crap. En met behulp van deze software kan je het aan dit ding overlaten ipv je andere servers...
Zit vol met videokaarten die normaal 3D zooi renderen en andere crap. En met behulp van deze software kan je het aan dit ding overlaten ipv je andere servers...
Er zijn ook gewoon SSL accelerators te koop, de prijs van zo'n ding ligt lager dan zo'n high-end videokaart. In principe hetzelfde idee, maar dan speciaal ervoor ontworpen...
http://en.wikipedia.org/wiki/SSL_acceleration
Ben dan ook benieuwd hoe de benchmarks uitpakken als deze oplossing daar tegen wordt uitgezet.
http://en.wikipedia.org/wiki/SSL_acceleration
Ben dan ook benieuwd hoe de benchmarks uitpakken als deze oplossing daar tegen wordt uitgezet.
Mark
Ook ben je zeer beperkt in wat je met een appliance kan doen en is er vaak nog een licentie model waardoor gelimiteerd bent.
Hopelijk dat deze methode wat meer "software" oplossing en meer concurrentie brengt.
Overigens is energie verbruik + warmte ontwikkeling wel een probleem met huidige GPU's.
Hier een gedateerd artikel over hoe en waarom flexible opensource SSL accelerator.
http://www.o3magazine.com/4/a/0/2.html
Appliances voor een beetje site betaal je lachend 100.000 euro.Er zijn ook gewoon SSL accelerators te koop, de prijs van zo'n ding ligt lager dan zo'n high-end videokaart. In principe hetzelfde idee, maar dan speciaal ervoor ontworpen...
Ook ben je zeer beperkt in wat je met een appliance kan doen en is er vaak nog een licentie model waardoor gelimiteerd bent.
Hopelijk dat deze methode wat meer "software" oplossing en meer concurrentie brengt.
Overigens is energie verbruik + warmte ontwikkeling wel een probleem met huidige GPU's.
Hier een gedateerd artikel over hoe en waarom flexible opensource SSL accelerator.
http://www.o3magazine.com/4/a/0/2.html
[Reactie gewijzigd door totaalgeenhard op 26 januari 2011 16:01]
Dat is al lang niet meer zo:
http://cgi.ebay.nl/BROADC...ACCELERATOR-/230462448630
5.000 concurrent SSL sessions -> 299 euro
http://cgi.ebay.nl/ws/eBa...tem&item=270694270701
10.000 concurrent SSL sessions -> 690 euro.
http://cgi.ebay.nl/ws/eBa...tem&item=270694270708
100.000 concurrent SSL sessions -> 1690 euro.
Het lijkt mij te onhandig om een GPU-based oplossing in een server te gebruiken als je voor die bedragen dedicated spul kan kopen, ook al is het refurbished.
http://cgi.ebay.nl/BROADC...ACCELERATOR-/230462448630
5.000 concurrent SSL sessions -> 299 euro
http://cgi.ebay.nl/ws/eBa...tem&item=270694270701
10.000 concurrent SSL sessions -> 690 euro.
http://cgi.ebay.nl/ws/eBa...tem&item=270694270708
100.000 concurrent SSL sessions -> 1690 euro.
Het lijkt mij te onhandig om een GPU-based oplossing in een server te gebruiken als je voor die bedragen dedicated spul kan kopen, ook al is het refurbished.
Neem je oude afgeschreven "rommel" als uitgangspunt ?
Ik hoop niet dat ik ooit eens achteraf bij één van je projecten betrokken wordt :-)
Bovendien is meestal de licentie niet overdraagbaar, dus je kunt wel eigenaar van de hardware maar niet van de licentie en daarmee gebruiksrecht. (o.a. Nortel en Cisco in het verleden))
In sommige omgevingen betaald men maandelijks al meer voor support/licentie dan voor de hoogste prijs die jij aangeeft. (ik ken wel een paar gevalletje van een paar ton ton per maand voor HA/loadbalanced en uiteraard managed omgeving).
Zoals ik al aangaf op dit moment is energie en warmte ontwikkeling van GPU's te hoog als alternatief.
Als je naar artikel kijkt waar ik naar verwijs zie je meteen de flexibiliteit die je hebt indien je zelf een oplossing geheel naar eigen wensen kunt inrichten. (Apache als reverse proxy).
Het is niet denkbaar dat in professionele organisaties die meestal een proven technologie policy hebben, iets gebouwd mag worden, maar als in de daar onderliggende markt (internet startups markt b.v.) steeds meer naar el-cheapo oplossingen wordt gegrepen op basis van grafische kaarten zullen de marktpartijen moeten concurreren.
Een goed en heel recent voorbeeld is Cisco MKB lijn waarover gisteren hier een artikel over stond. Dat zal een onwijze succes worden.
Ik hoop niet dat ik ooit eens achteraf bij één van je projecten betrokken wordt :-)
Bovendien is meestal de licentie niet overdraagbaar, dus je kunt wel eigenaar van de hardware maar niet van de licentie en daarmee gebruiksrecht. (o.a. Nortel en Cisco in het verleden))
In sommige omgevingen betaald men maandelijks al meer voor support/licentie dan voor de hoogste prijs die jij aangeeft. (ik ken wel een paar gevalletje van een paar ton ton per maand voor HA/loadbalanced en uiteraard managed omgeving).
Zoals ik al aangaf op dit moment is energie en warmte ontwikkeling van GPU's te hoog als alternatief.
Als je naar artikel kijkt waar ik naar verwijs zie je meteen de flexibiliteit die je hebt indien je zelf een oplossing geheel naar eigen wensen kunt inrichten. (Apache als reverse proxy).
Het is niet denkbaar dat in professionele organisaties die meestal een proven technologie policy hebben, iets gebouwd mag worden, maar als in de daar onderliggende markt (internet startups markt b.v.) steeds meer naar el-cheapo oplossingen wordt gegrepen op basis van grafische kaarten zullen de marktpartijen moeten concurreren.
Een goed en heel recent voorbeeld is Cisco MKB lijn waarover gisteren hier een artikel over stond. Dat zal een onwijze succes worden.
Google draait anders ook prima op goedkope 'rommel'. Zolang alles redundant is maakt dat niets uit natuurlijk.
En die partijen die een paar ton per maand betalen voor hun meuk zijn natuurlijk niet de doelgroep voor SSL offloading naar een GPU, tenzij Cisco e.d. het gaan leveren, dus dat die partijen bestaan is niet echt relevant.
Als ik moet kiezen tussen afgeschreven maar refurbished en geintegreerde enterprise hardware en een tooltje + GPU in een server dan is de keuze snel gemaakt hoor. 100.000 concurrent sessies voor 1690 euro is pas el-cheapo, voor dat geld kan je er gewoon 4 kopen.
En die partijen die een paar ton per maand betalen voor hun meuk zijn natuurlijk niet de doelgroep voor SSL offloading naar een GPU, tenzij Cisco e.d. het gaan leveren, dus dat die partijen bestaan is niet echt relevant.
Als ik moet kiezen tussen afgeschreven maar refurbished en geintegreerde enterprise hardware en een tooltje + GPU in een server dan is de keuze snel gemaakt hoor. 100.000 concurrent sessies voor 1690 euro is pas el-cheapo, voor dat geld kan je er gewoon 4 kopen.
Heb jij een bron waaruit blijkt dat Google tweedehandse afgeschreven spullen via EBAY of ander kanaal aanschaft en in operationele omgeving gebruikt?
Waarom zouden zij niet de doelgroep zijn indien er een bewezen, commercieel product wordt gebouwd op basis hiervan ?
CUDA is niet alleen maar bedoeld om je Games er gelikt te laten uitzien....
http://nl.wikipedia.org/wiki/CUDA
ps: "rommel" staat tussen aanhalingstekens als je online toepassing hebt die concurrent 100.000 moet kunnen afhandelen (daar staat dus een webfarm achter, dus waarschijnlijk ook nog een loadbalancer van > 20.000 euro...) zal je waarschijnlijk al een omzet hebben van meer dan een miljoen per maand..... (alleen al een site met alleen google ads zal tonnen opleveren.)
Als beheerder en directie zul je bij dergelijke omzetten graag spullen gebruiken waarachter een organisatie met dito support.
Waarom zouden zij niet de doelgroep zijn indien er een bewezen, commercieel product wordt gebouwd op basis hiervan ?
CUDA is niet alleen maar bedoeld om je Games er gelikt te laten uitzien....
http://nl.wikipedia.org/wiki/CUDA
ps: "rommel" staat tussen aanhalingstekens als je online toepassing hebt die concurrent 100.000 moet kunnen afhandelen (daar staat dus een webfarm achter, dus waarschijnlijk ook nog een loadbalancer van > 20.000 euro...) zal je waarschijnlijk al een omzet hebben van meer dan een miljoen per maand..... (alleen al een site met alleen google ads zal tonnen opleveren.)
Als beheerder en directie zul je bij dergelijke omzetten graag spullen gebruiken waarachter een organisatie met dito support.
Dadelijk komen er ook Intel-loze processoren op een Serverboard te staan.
Denk maar even aan ATI en NVidia processor op je Serer.
Goh, ik zie gelijk een verlichting voor iedereen die anti-Intel is.
Dat spreekt dan toch wel raar en je zegt 'Hé die mijne draait op ATI i.p.v. Intel.
Denk maar even aan ATI en NVidia processor op je Serer.
Goh, ik zie gelijk een verlichting voor iedereen die anti-Intel is.
Dat spreekt dan toch wel raar en je zegt 'Hé die mijne draait op ATI i.p.v. Intel.
ATi bestaat niet meer, het is AMD
Op dit item kan niet meer gereageerd worden.
Populair: Tablets E3 2013 Mobiele telefoons Google Sony Apple Microsoft Games Politiek en recht Consoles
© 1998 - 2013 Tweakers.net B.V. onderdeel van De Persgroep, ook uitgever van Computable.nl, Autotrack.nl en Carsom.nl • Hosting door True
