More Related Content
Similar to 大規模運用で見えるWebプロトコルの理想と現実、そして今後 #html5j #html5j_b
Similar to 大規模運用で見えるWebプロトコルの理想と現実、そして今後 #html5j #html5j_b (20)
More from Yahoo!デベロッパーネットワーク
More from Yahoo!デベロッパーネットワーク (20)
大規模運用で見えるWebプロトコルの理想と現実、そして今後 #html5j #html5j_b
- 2. Pアジェンダ(前半: 新部) 2
• ヤフーのhttps通信を支える共通Proxyの紹介
AOSSL対応、ハードウェアについて
• 運用について
monitor、deploy、HTTP/2
- 5. P自己紹介 5
名前: 新部 長則
所属: システム統括本部サイトオペレーション本部
インフラ技術4部 CDN運用
担当: 共通Proxyのキャパシティ管理
構築、増設、監視、障害対応など
- 7. PヤフーのProxyの歴史 7
2010年頃 Disk I/O不足
HDD -> SSD 時代
2011年頃 帯域不足
NW増強、DC追加
2013年頃 pushスパイク問題
Proxy、origin共に増設
2015年頃〜 SSL CPU性能不足
システム入れ替え
- 8. PヤフーのProxyの歴史 8
2010年頃 Disk I/O不足
HDD -> SSD 時代
2011年頃 帯域不足
NW増強、DC追加
2013年頃 pushスパイク問題
Proxy、origin共に増設
2015年頃〜 SSL CPU性能不足
システム入れ替え
- 9. PヤフーのProxyの歴史 9
2010年頃 Disk I/O不足
HDD -> SSD 時代
2011年頃 帯域不足
NW増強、DC追加
2013年頃 pushスパイク問題
Proxy、origin共に増設
2015年頃〜 SSL CPU性能不足
システム入れ替え
- 15. P 15
• CPU: 2x Intel Xeon 28cores, 56threads
• Memory: 128 GB
• Storage: NVMe SSD
• Server: 約500以上
※導入時期によりスペックは多少違いあり
共通Proxy Hardware
- 28. P自己紹介 28
名前: 大津 繁樹
所属: システム統括本部サイトオペレーション本部
インフラ技術4部
CTO室スタンダード言語サポート
担当:
IETF標準化
Node.js サポートチーム
- 37. PHTTP/2の現実:サーバから見る
http/2 新規接続 : 再接続 = 11 : 89
http/1.1 新規接続 : 再接続 = 42 : 58
37
49.8%
25.3%
18.4%
6.4%
TCP ( )
http/2 reused connection
http/1.1 reused connection
http/1.1 new connection
http/2 new connection
(ある日のピーク1時間のリクエスト数ベース集計)
HTTP/2でTCP新規接続、TLSハンドシェイクの割合が減っている。
TLSハンドシェイク
CPU
負荷低減?
HTTP/2によ
る接続集約
Domain shardingの
影響
- 41. PTLSの現実:暗号方式のSPOF
99% 以上が Forward Secrecy で ECDHE
鍵交換。統計は取れていないがほと
んどが NIST-P256。
NSAバックドアが公表されたら大混
乱に。x25519の準備を始めないと。
DES3はすぐ切れそう。AESもなんか
あったらChaCha20使えるか?
41
70.3%
25.0%
4.2%
0.2% 0.2%
0.1%
0.0% 0.0%
TLS CipherSuite
ECDHE-RSA-AES128-GCM-SHA256
ECDHE-RSA-AES128-SHA256
ECDHE-RSA-AES128-SHA
DES-CBC3-SHA
AES128-SHA
AES128-GCM-SHA256
ECDHE-RSA-AES256-SHA
ECDHE-RSA-AES256-SHA384
CipherSuites 統計
ECDHE-RSA-AES
- 47. PQUICとは
UDP上でTCP, TLS, HTTP/2の一部を実
現するプロトコル。
Googleが開発、2016年からIETF標準
化が始まる。
現在Googleから出るトラフィックの
30%以上がQUIC。これはインター
ネット全体のおよそ7%相当。
47
ユーザーランド実装 vs kernel実装