本文延續前篇效能校正的經驗談,上篇文章探討了關於應用程式本身可以最佳化的部分,包含了應用程式以及框架兩個部分。本篇文章將繼續剩下最佳化步驟的探討。
Speculative Execution Mitigations
接下來探討這個最佳化步驟對於效能有顯著的提升,但是本身卻是一個非常具有爭議性的步驟,因為其涉及到整個系統的安全性問題。
如果大家對前幾年非常著名的安全性漏洞 Spectre/Meltdown 還有印象的話,本次這個最佳化要做的就是關閉這類型安全性漏洞的處理方法。
標題的名稱 Speculative Execution Migitations 主要跟這漏洞的執行概念與 Pipeline 有關,有興趣理解這兩種漏洞的可以自行研究。
作者提到,大部分情況下這類型的防護能力都應該打開,不應該關閉。不過作者認為開關與否應該是一個可以討論的空間,特別是如果已經確認某些特別情境下,關閉防護能力帶來的效能如果更好,其實也是一個可以考慮的方向。
舉例來說,假設今天你運行了基於 Linux 使用者權限控管與 namespaces 等機制來建立安全防護的多使用者系統,那這類型的防護能力就不能關閉,必須要打開來防護確保整體的 Security Boundary 是完整的。 但是如果今天透過 AWS EC2 運行一個單純的 API Server,假設整個機器不會運行任何不被信任的程式碼,同時使用 AWS Nitro Enclaves 來保護任何的機密資訊,那這種情況下是否有機會可以關閉這類型的檢查?
作者根據 AWS 對於安全性的一系列說明認為 AWS 本身針對記憶體的部分有很強烈的保護,包含使用者之間沒有辦法存取 Hyperviosr 或是彼此 instance 的 Memory。
總之針對這個議題,有很多的空間去討論是否要關閉,以下就單純針對關閉防護能力帶來的效能提升。
作者總共關閉針對四種攻擊相關的處理能力,分別是
Spectre V1 + SWAPGS
Spectre V2
Spectre V3/Meltdown
MDS/Zombieload, TSX Anynchronous Abort
與此同時也保留剩下四個,如 iTLB multihit, SRBDS 等
這種設定下,整體的運作效能再次提升了 28% 左右,從 347k req/s 提升到 446k req/s。
註: 任何安全性的問題都不要盲從亂遵循,都一定要評估判斷過
Syscall Auditing/Blocking
大部分的情況下,Linux/Docker 處理關於系統呼叫 Auditing/Blocking 兩方面所帶來的效能影響幾乎微乎其微,不過當系統每秒執行數百萬個系統呼叫時,這些額外的效能負擔則不能忽視,如果仔細觀看前述的火焰圖的話就會發線 audit/seccomp 等數量也不少。
Linux Kernel Audit 子系統提供了一個機制來收集與紀錄任何跟安全性有關的事件,譬如存取敏感的機密檔案或是呼叫系統呼叫。透過這些內容可以幫助使用者去除錯任何不被預期的行為。
Audit 子系統於 Amazon Linux2 的環境下預設是開啟,但是本身並沒有被設定會去紀錄系統呼叫的資訊。
即使 Audit 子系統沒有真的去紀錄系統呼叫的資訊,該子系統還是會對每次的系統呼叫產生一點點的額外處理,所以作者透過 auditctl -a never,task 這個方式來將整體關閉。
註: 根據 Redhat bugzilla issue #1117953, Fedora 預設是關閉這個行為的
Docker/Container 透過一連串 Linux Kernel 的機制來隔離與控管 Container 的執行權限,譬如 namespace, Linux capabilities., cgroups 以及 seccomp。
Seccomp 則是用來限制這些 Container 能夠執行的系統呼叫類型
大部分的容器化應用程式即使沒有開啟 Seccomp 都能夠順利的執行,執行 docker 的時候可以透過 --security-opt seccomp=unconfined 這些參數告訴系統運行 Container 的時候不要套用任何 seccomp 的 profile.
將這兩個機制關閉後,系統帶來的效能提升了 11%,從 446k req/s 提升到 495k req/s。
從火焰圖來看,關閉這兩個設定後,syscall_trace_enter 以及 syscall_slow_exit_work 這兩個系統呼叫也從火焰圖中消失,此外作者發現 Amazon Linux2 預設似乎沒有啟動 Apparmor 的防護,因為不論有沒有關閉效能都沒有特別影響。
Disabling iptables/netfilter
再來的最佳化則是跟網路有關,大名鼎鼎的 netfilter 子系統,其中非常著名的應用 iptables 可以提供如防火牆與 NAT 相關功能。根據前述的火焰圖可以觀察到,netfilter 的進入 function nf_hook_slow 佔據了大概 18% 的時間。
將 iptables 關閉相較於安全性來說比較沒有爭議,反而是功能面會不會有應用程式因為 iptables 關閉而不能使用。預設情況下 docker 會透過 iptables 來執行 SNAT與 DNAT(有-p的話)。
作者認為現在環境大部分都將 Firewall 的功能移到外部 Cloud 來處理,譬如 AWS Security Group 了,所以 Firewall 的需求已經減少,至於 SNAT/DNAT 這類型的處理可以讓容器與節點共享網路來處理,也就是運行的時候給予 “–network=host” 的模式來避免需要 SNAT/DNAT 的情境。
作者透過修改腳本讓開機不會去預設載入相關的 Kernel Module 來達到移除的效果,測試起來整體的效能提升了 22%,從 495k req/s 提升到 603k req/s
註: 這個議題需要想清楚是否真的不需要,否則可能很多應用都會壞掉
作者還特別測試了一下如果使用 iptables 的下一代框架 nftables 的效能,發現 nftables 的效能好非常多。載入 nftables 的kernel module 並且沒有規則的情況下,效能幾乎不被影響(iptables 則相反,沒有規則也是會影響速度)。作者認為採用 nftables 似乎是個更好的選擇,能夠有效能的提升同時也保有能力的處理。
不過 nftables 的支援相較於 iptables 來說還是比較差,不論是從 OS 本身的支援到相關第三方工具的支援都還沒有這麼完善。就作者目前的認知, Debian 10, Fedora 32 以及 RHEL 8 都已經轉換到使用 nftables 做為預設的處理機制,同時使用 iptables-nft 這一個中介層的轉換者,讓所有 user-space 的規則都會偷偷的轉換為底層的 nftables。
Ubuntu 似乎要到 20.04/20.10 的正式版本才有嘗試轉移到的動作,而 Amazon Linux 2 依然使用 iptables 來處理封包。
下篇文章會繼續從剩下的五個最佳化策略繼續介紹
https://talawah.io/blog/extreme-http-performance-tuning-one-point-two-million/
同時也有15部Youtube影片,追蹤數超過7,310的網紅Kenmin Lin,也在其Youtube影片中提到,雖然才開局不到一週 也是可惜了我在 D2JSP 蒐集到的裝備 巫師之刺、守護天使、45全抗底材精神盾 人物全抗 90% 想說穩穩的 正要開始刷 The Pit 經濟起飛 結果還是死在網路斷線 想玩 Hardcore 專家級真的要三思啊 命運不是掌握在自己手中 這種感覺真的不是很好 T__T...
「network issue」的推薦目錄:
- 關於network issue 在 矽谷牛的耕田筆記 Facebook 的精選貼文
- 關於network issue 在 StarFab Accelerator Facebook 的最佳解答
- 關於network issue 在 矽谷牛的耕田筆記 Facebook 的精選貼文
- 關於network issue 在 Kenmin Lin Youtube 的最佳貼文
- 關於network issue 在 阿康嚼舌根GOODSKANG Youtube 的最讚貼文
- 關於network issue 在 ANZU CHANNEL Youtube 的最佳解答
- 關於network issue 在 How to Fix All Network & Internet Issues In Windows 10/8/7 的評價
network issue 在 StarFab Accelerator Facebook 的最佳解答
🚀 【飛捷XStarFab加速器】專屬軟硬體資源、加速產品打造 🚀
2020年, Yallvend 透過與飛捷的 #技術合作,七天打造出「健保署購買紀錄與多元支付智慧終端機」,共同提升藥局消費者便利性及購買效率:https://pse.is/3erujz
「創立公司以來,我最明白的就是本身資源的不足,若各位也有相同的困擾,可以透過 #飛捷xStarFab加速器 ,利用飛捷豐富的 #硬體資源 與 #行銷全球的網路,一起把創意跟夢想行銷到全球!」—— #業安科技 Duncan Huang CEO
Join us to be bigger and do more with Flytech together!
✅ 申請資格:
-依法設立之公司
-擁有紮實、具競爭力的技術
-符合其中一領域:智慧零售、餐旅、醫療、製造、交通
-有意與飛捷inefi平台共同建構解決方案,或與飛捷硬體產品有整合機會
✅ 四大關鍵技術:#inefi 平台UEM SaaS服務、#AI影像與影音辨識、#IoT、#AMR
📌 報名資訊
第一期徵案截止:2021/6/3
報名連結 : https://pse.is/3et9vd
計畫官網 : https://pse.is/3dfbxy
🚀 2021 Flytech x StarFab Accelerator is Calling for Applications until June 3🚀
In 2020, Yallavend co-created with Flytech to develop a POS system that records masks purchases, and processes multi-payments.
“Ever since starting my own company, I’ve realized how difficult it is to obtain sufficient resources. If you have a similar issue, I recommend applying for the FlyTech x StarFab Accelerator where you can utilize FlyTech’s hardware resources and global marketing network. This is how you could combine your creativity and dreams and show it to the world!” -- Duncan Huang, CEO of Yallavend
Join us to be bigger and do more with Flytech together!
📌 Program Info
✅ Program features: product collaboration with Flytech, the opportunity to pitch for NTD 3 million strategic investment, network with senior executives
✅ We are looking for: inefi UEM platform SaaS service, #AIImage & video recognition, IoT, AMR
✅ Verticals: Smart Retail, Hospitality, Healthcare, Manufacturing, and Automobile
Apply here : https://pse.is/3et9vd
network issue 在 矽谷牛的耕田筆記 Facebook 的精選貼文
本文是一篇 2017 年的文章,雖然已經四年之久,但是我認為本篇文章值得一讀。
作者團隊於 2017 年時正在經歷如何將 VM 上的各種 Java 應用程式轉移到 Kubernetes 內的 Container,而本篇文章則是探討到底 Container 是如何透過 Linux Control Group 以及 namespace 實作的,透過對這些底層實作的瞭解,才有辦法針對 Container 效能部分去除錯與提升。
這種文章探討的都是很底層的概念,建議所有人都閱讀一遍,好好複習關於 cgroups/namespace 的概念,透過對這些概念的理解與掌握,能夠更有系統的去解釋何謂Docker Container,何謂輕量級虛擬化。
以下幫大家節錄一些重點,還是推薦自行閱讀全文
1. cgroup 用來隔離與限制 CPU,Memory,Disk,Network Bandwidth 等資源的用量
2. namespace 則是用來限制 ipc, pid, mount ,network, utc 等資訊的可視性,不同 namespace 內看到的資訊是獨立的,但是最終彼此還是屬於同一個 Kernel。
3. 任何沒有被 cgroup 規範的應用程式都會被自動包含到 root cgroup 的規範,不同發行版其位置不同,譬如 /sys/fs/cgropu.
假設今天透過 docker run 去運行一個 java 應用程式
a. Docker 會創建一個 pid namespace,接者運行 Java 前先把該應用程式給掛到新的 pid namespace 上並且賦予該 java 應用程式 PID 1
註: Host 上還是可以觀察到該 Java 應用程式,因為除了 Host 本身外,每個 pid namespace 都有自己的老爸,而老爸是可以看到小孩資訊的,這意味 docker dameon 雖然創建新的 pid namespace,但是host的pid namespace 實際是新 namespace 的老爸
b. 從老爸的視角來看,可以看到該 Java 應用程式也會有一個不同的 PID,而這個 PID 也會於 cgroup 系統中有自己的設定
4. CPU Cgroup 則是會用 share 為單位來定義每個 task 可以獲得多少相對的 CPU 時間,相對的算法是去計算 task 擁有的 share 數量佔了整個 cgroup 階層元件中的多少百分比。
舉例: 捨去其他服務單純考慮運行三個 Container 且有 4 Core CPU 的環境,三個 Container Task 分別給予 2048,1024,1024 share 的話,第一個 Container 大致是會被分配到兩個 CPU Time
5. CPU shares 沒有辦法去保證每個 task 最小用量是多少,所以需要透過 CPU Quotas 的概念來設定 CPU.cfs_quota_us(假設使用 CFS 這個排成演算法)以及 CPU.cfs_period_us(預設100ms)。
概念大概就是 cfs_period_us 定義的時間內,你最小可以使用多少時間,所以假如設定 cfs_quota_us 為 100ms,則預設情況下該 process 可以使用的量就是 100ms/100ms = 1 ~= 1 Core CPU
k8s 與上述的相關bug 可參考下列 issue
https://github.com/kubernetes/kubernetes/issues/67577
6. JVM 看到的是系統上全部的 CPU 資源,但是 Contaienr 本身當被限制 CPU 用量時,會有資訊落差,造成 GC 運行的效果不如預期,因為其認為系統有超多 CPU,而不知道自己其實被限制的CPU很少。
原文滿精彩的,推薦閱讀
https://engineering.squarespace.com/blog/2017/understanding-linux-container-scheduling
network issue 在 Kenmin Lin Youtube 的最佳貼文
雖然才開局不到一週
也是可惜了我在 D2JSP 蒐集到的裝備
巫師之刺、守護天使、45全抗底材精神盾
人物全抗 90% 想說穩穩的
正要開始刷 The Pit 經濟起飛
結果還是死在網路斷線
想玩 Hardcore 專家級真的要三思啊
命運不是掌握在自己手中
這種感覺真的不是很好 T__T
network issue 在 阿康嚼舌根GOODSKANG Youtube 的最讚貼文
春季蘋果新品發表會就在下週了!有哪些新品就來一起看看吧
===========================
下週三4/21台灣時間 01:00 我會開直播,睡不著就來一起聊天吧!
直播連結:https://youtu.be/nuOo6fUMrYA
===========================
阿康 IG & FB
IG:https://instagram.com/goodskang
FB :https://www.facebook.com/goodskang/
===========================
00:00 高雄市政府發表會
00:21 發表會直播日期
00:50 兩個產品確定
01:09 iPad Pro 2021 規格
01:33 三月其實要有發表會的
01:58 Mini LED 好處
02:24 蘋果的小賊技
03:01 新 Apple Pencil & 巧控鍵盤
03:27 新巧控鍵盤設計方向
03:56 為什麼巧控鍵盤跟 iPad Pro 無法取代筆電
04:34 期待降價?
04:46 新款 iPad mini
05:25 AirPods 3 終於要來了嗎
06:05 更多新顏色的手機殼、錶帶
06:30 AirTags
06:56 更多 AirTags 第三方配件
07:24 Apple TV
07:52 獨家 Apple Arcade 遊戲
08:20 新款 M1X / M2 的 iMac?
08:52 更多新 iMac 不同配色
09:15 新 iMac 尺寸?
09:45 兩個大問題
===========================
加入頻道會員贊助阿康更多經費拍片:https://www.youtube.com/channel/UCuQ7s6G50qzqgDbQB6qKDDw/join
===========================
拍攝器材:Sony a6400 + SEL18135, iPhone 12 Pro Max / iPhone 11 Pro, 智雲Smooth 4, GoPro Max
收音設備:RODE Wireless Go, 鐵三角 audio-technica AT9934, RODE VideoMicro, iPhone 12 Pro Max / iPhone 11 Pro 和 GoPro Max 內建
剪輯軟體:Final Cut Pro X
片內素材:Pexels (若有非我實拍)
背景音樂:Epidemicsound, https://www.epidemicsound.com/referral/weo8gd/
===========================
影片企劃:阿康 Kang
影片攝影:阿康 Kang
後製剪輯:阿康 Kang
===========================
素材與資料來源:
https://www.macrumors.com/2021/04/12/high-end-ipad-pro-mini-led-production-issue/
https://www.macrumors.com/2021/03/17/thunderbolt-ipad-pro-coming-in-april/
https://9to5mac.com/2021/04/13/apple-april-event-roundup/
https://9to5mac.com/guides/imac-2021/
https://9to5mac.com/2021/04/07/apple-officially-opens-find-my-network-to-third-party-products-as-airtags-launch-looms/
https://www.macrumors.com/guide/apple-pencil-3/
https://9to5mac.com/2021/03/23/ios-code-reveals-a14x-processor-ahead-of-rumored-ipad-pro-upgrades/
===========================
版權聲明:此影片若有其餘用採用素材,皆以幫助素材擁有者推廣為主,若有採用都會在影片敘述標注讓觀眾知道出處與來源,若版權擁有者對於附註或是其餘想法問題,還請讓我知道
Content / Right:All Material / Section / Pictures / in this video is 100% in order to help the source owners gain more exposure, all reference / credit is obviously attached in the description for viewers, any content that may be right-violated or unclear please feel free to let me know.
=========廠商專區==========
工商影片秉持公開、公正原則
所以我在影片內一定會提廠商 Sponsor 資訊
還請各位廠商大大乾爹乾媽們見諒囉!
===========================
合作邀約請寄:goodskang@gmail.com
或是也可到我的 Facebook & IG 私訊,可能會比較快收得到哦!
===========================
#AppleEvent #四月發表會 #春意滿載 #iMac #iPadPro #AirPods3 #AirTag #iPadMini #春季發表會 #iPhone12 #iPhone12ProMax #iPhone12Pro #iPhone12ProMax開箱 #iPhone12Mini
network issue 在 ANZU CHANNEL Youtube 的最佳解答
Chào mừng các bạn đến với kỉ nguyên mới của game Moba
Nếu thấy hay thì đừng quên ẤN ĐĂNG KÍ KÊNH VÀ CHUÔNG THÔNG BÁO NHÉ ^^
LOL MOBILE | UPDATE 1.0 CỰC MỚI CHO TỐC CHIẾN CHÂU Á VIỆT NAM CÓ LỢI GÌ ? - ANZU ( LOL WILDRIFT)
Còn nữa hãy để lại like , chia sẻ và ý kiến dưới mỗi video các bạn thấy hay nha ! Chúc mọi người xem vui vẻ
Hãy đến với Sở thú của ZUu nhé :https://www.facebook.com/Anzufortnite/
® I do not own any of the content of the song or picture it has been uploaded for promotion purposes only. If any producer or label has an Issue with any upload, contact me directly through YouTube private messaging system or email : [email protected]
©LIÊN HỆ TÔI NẾU CÓ VẤN ĐỀ VỀ BẢN QUYỀN :
✉️ Gmail: [email protected]
-----------------
====================
© Bản quyền thuộc về ANZU CHANNEL
© Copyright by ANZU CHANNEL ☞ Do not Reup
©ANZU CHANNEL
#Thông tin cập nhật
#LEE SIN
#AKALI
#SERAPHINE
#KAI'SA
#EVELYNN
#DRAVEN
#DARIUS
@PewDiePie
@PEWPEW
@StarBoyVN Tốc Chiến
@Gcaothu CHANNEL @Gcaothu Live @Liên Minh Huyền Thoại: Tốc Chiến @tố
network issue 在 How to Fix All Network & Internet Issues In Windows 10/8/7 的推薦與評價
... <看更多>