估計安全作業事件的處理器需求
資料的安全傳輸包括通過安全通訊端層 (SSL) 或傳輸層加密 (TLS) 這樣的安全傳輸協定處理作業事件。通過安全傳輸處理的交易通常需要額外的計算能力,首先要建立安全階段作業 (稱為訊號交換),然後再加密和解密傳輸資料。根據使用的加密演算法 (如 40 位元或 128 位元加密演算法),可能額外需要大量計算能力。
考慮在非安全交易的同層級上執行安全交易時,您必須規劃額外的計算能力。根據作業事件的特性以及處理作業事件的 Sun JavaTM Enterprise System 服務,安全作業事件需要的計算能力最多可能是非安全作業事件的四倍。
當評估處理安全交易的處理能力時,請分析使用實例來判定需要安全傳輸的交易百分比。如果安全交易的效能需求與非安全交易相同,則需修改 CPU 數量的估計值,將安全交易所需的額外計算能力考慮在內。
在某些使用方案中,安全傳輸可能只需要用來認證。一旦使用者經由系統認證,就不需要額外的資料傳輸安全性評量。在其他方案中,所有的交易可能都需要安全傳輸。
例如,瀏覽線上電子商務網站的產品目錄時,客戶在結束選擇並準備「結帳」以購買產品前的所有作業事件都可以是不安全的。不過,某些使用方案 (像是針對銀行或證券經紀商的部署) 卻需要大部分或全部作業事件都是安全的,它們為安全和非安全作業事件都套用同一效能標準。
安全交易的 CPU 估計
本節繼續以範例部署說明如何計算既包括安全作業事件又包括非安全作業事件的理論性使用實例的 CPU 需求。
若要估計安全作業事件的 CPU 需求,請進行以下計算:
-
先計算 CPU 估計的基準數字 (如上一節處理器需求估計範例中所述)。
-
計算需要安全傳輸的作業事件的百分比,然後計算安全作業事件的 CPU 估計。
-
計算非安全交易已減少的 CPU 估計。
-
將安全估計與非安全估計相加以計算總 CPU 估計。
-
將總 CPU 估計增訂為偶數。
安全交易的 CPU 估計顯示以 Portal Server 的使用實例和使用分析為基礎的範例計算,該計算有如下假設:
-
所有的登入都需要安全認證。
-
所有登入佔用 Portal Server 總負載的 10%。
-
安全交易的效能需求與非安全交易的效能需求相同。
若要說明處理安全交易的額外計算能力,處理這些交易的 CPU 數目將以 4 倍增加。如同此範例中的其他 CPU 圖例,這個係數是隨意的,且僅限於描述之用。
|
步驟 |
說明 |
計算 |
結果 |
|---|---|---|---|
|
1 |
先計算所有 Portal Server 作業事件的基準估計。 |
來自研究尖峰負載使用的使用實例的基準估計是 4 個 CPU。 |
- - - - - |
|
2 |
計算安全交易的額外 CPU 估計。假設安全作業事件需要的 CPU 能力是非安全作業事件的四倍。 |
10% 的基準估計需要安全傳輸:
0.10 x 4 CPU = 0.4 CPU
增加安全交易的 CPU 能力 4 倍:
4 x 0.4 = 1.6 CPU |
1.6 CPU |
|
3 |
計算非安全交易已減少的 CPU 估計。 |
90% 的基準估計是不安全的:
0.9 x 4 CPU = 3.6 CPU |
3.6 CPU |
|
4 |
計算安全和非安全交易的已調整總 CPU 估計。 |
安全估計 + 非安全估計 = 總計:
1.6 CPU + 3.6 CPU = 5.2 CPU |
5.2 CPU |
|
5 |
增訂為偶數。 |
5.2 CPU ==> 6 CPU |
6 CPU |
依據本範例中的安全作業事件計算,可以對安全交易的 CPU 估計中的總 CPU 估計進行修改,額外增加 2 個 CPU 和四十億位元組的記憶體,得到 Portal Server 的下列總計。
|
元件 |
CPU |
記憶體 |
|---|---|---|
|
Portal Server |
6 |
12 GB |
處理 SSL 作業事件的專用硬體
專用硬體裝置,例如 SSL 加速卡和其他裝置,可用來提供處理安全階段作業建立的計算能力,和資料的加密和解密。使用專用硬體來進行 SSL 作業時,計算能力專供 SSL 計算的某一部份使用,這部份通常是建立安全階段作業的「訊號交換」作業。
此硬體可能對您最後的部署架構有益。不過,鑒於硬體的專門化特性,請先估計 CPU 能力層面的安全作業事件效能需求,然後再考慮使用專用硬體處理額外負載的利益。
當使用專用硬體時要考慮的一些因素是使用實例是否支援使用硬體 (例如,需要大量「SSL訊號交換作業」作業的使用實例),以及此類硬體帶給設計的複雜性附加層面。該複雜性包括安裝、配置、測試和裝置管理。
- © 2010, Oracle Corporation and/or its affiliates