Was gibt’s neues in ONTAP 9 – CIFS Teil 3

Was gibt’s neues in ONTAP 9 – CIFS Teil 3

 

9.png

Willkommen zurück zu Teil 3. Das Thema heute: „SMB3 Encryption“

 

Bereits mit clustered Data ONTAP 8.3.x hatten wir den Support für SMB3 Encryption eingeführt.

Wurden viele SMB Sessions verschlüsselt, hatten wir allerdings in einigen Kundensituationen

aufgrund höherer CPU Auslastung mit den ein oder anderen Performance-Herausforderungen zu kämpfen.

 

Grund dafür, bei SMB Encryption in ONTAP 8.3.x wurden die Daten erst von den Disken gelesen,

mittels ONTAP Software Methoden „encryptet“ und anschließend verschlüsselt über die

Netzwerkverbindung übertragen.

 

Mit ONTAP 9 haben wir den Support der INTEL AES-NI Hardware Beschleunigung eingeführt.

D.h. Teile der Ver- bzw. Entschlüsselung finden direkt in der INTEL CPU statt.

Damit werden, verglichen zu reiner Software-basierender Verschlüsselung (ONTAP 8.3.x),

deutlich weniger CPU Zyklen benötigt und somit die Performance signifikant verbessert.

 

Per Default ist in ONTAP 9 die INTEL AES-NI Hardware Acceration aktiviert,

Voraussetzung dafür ist allerdings ein NetApp Controller mit einer INTEL AES-NI fähigen CPU.

 

Welche INTEL CPU diese AES-NI Technologie unterstützen können Sie u.a. hier in Erfahrung bringen:

http://ark.intel.com/search/advanced/?s=t&AESTech=true

 

Welche CPU in Ihrem NetApp Controller zum Einsatz kommt, finden Sie in unserem Hardware Universe

oder Sie fragen einfach Ihren zuständigen SE, der Ihnen gerne dbzgl. Auskunft gibt.

 

Wie sieht das Ganze in der Praxis aus?

 

Dazu habe ich für den heutigen Blog eine kleine Testumgebung aufgebaut.

Wie man im folgenden Bild sehen kann, nutze ich auf einem ONTAP 8.3.1 System ein Volume mit zwei

Shares namens SMB3encryption als auch SMB3nonencryption. Wie der Name schon vermuten lässt,

wurde auf einem der beiden Shares die Option SMB3 Encryption aktiviert.

 

1.png

 

Kopiere ich nun von meinen Windows Client, in meinem Fall ein Windows Server 2012R2,

auf das Share „SMB3nonEncryption“ erreiche ich einen Durchsatz von rund 106MB/s.

 

2.png

 

Kopiere ich dieselben Dateien, auf das Share SMB3Encryption sinkt mein Durchsatz auf rund 30MB/s.

 

3.png

 

Selbigen Test habe ich auch auf einem anderen NetApp System mit ONTAP 9 und einer AES-NI fähigen CPU durchgeführt.

Auch auf diesem System habe ich, wie im nächsten Bild zu sehen, ein Volume mit zwei Shares, einmal mit und einmal

ohne Verschlüsselung angelegt.

 

4a.png

 

 

Kopiere ich erneut dieselben Dateien, erhalte ich auch mit ONTAP 9 auf das SMB3NonEncrypted Share einen Durchsatz von rund 109MB/s.

 

4.png

 

Kopiert man nun auf das SMB3Encryption Share sinkt der Durchsatz nur um wenige MB/s auf rund 87,5MB/s.

 

5.png

 

 

Fazit:

 

Bei ONTAP 8.3.1 mit vs. ohne Encryption hatte ich in meinen Tests im Durchschnitt ein Leistungsdelta von rund 70-75% gesehen.

Bei ONTAP 9 war das Performancedelta zwischen Encryption an vs. aus deutlich geringer und lag in einigen Tests bei ca. 15-25%.

D.h. eine signifikante Verbesserung durch AES-NI.

 

Sicherlich sollte ich an dieser Stelle noch erwähnen, dass mein Test für den heutigen Blog nicht wirklich 100% aussagekräftig ist,

da ich i.d.R. meine Labumgebung niemals exklusiv für mich alleine nutzen kann.

Insofern sind sicherlich die ein oder anderen Schwankungen zu berücksichtigen.

 

Dennoch hoffe ich, war der heutige Blog für Sie interessant. Als weiteren Tipp möchte ich noch auf den Weg geben,

dass man trotz AES-NI immer noch bedacht mit dem Thema SMB3 Encryption umgehen sollte,

denn Verschlüsselung ist und bleibt CPU- bzw. Rechenintensiv.