Получают ли ядра ЦП виртуальных машин выгоду от аппаратного шифрования?

Получают ли ядра ЦП виртуальных машин выгоду от аппаратного шифрования?

Я запускаю Proxmox и несколько виртуальных машин на нем. Я хочу настроить прокси-сервер nginx, который будет заниматься разгрузкой SSL для всех моих служб. Мне интересно, будет ли запуск его на одной из виртуальных машин означать, что не будет аппаратного шифрования, что сильно повлияет на производительность, в отличие от запуска его непосредственно на хосте.
Когда я просматриваю /proc/cpuinfoна хосте, я вижу следующие записи:

processor   : 0
vendor_id   : AuthenticAMD
cpu family  : 23
model       : 113
model name  : AMD Ryzen 5 3600 6-Core Processor
stepping    : 0
microcode   : 0x8701021
cpu MHz     : 3352.873
cache size  : 512 KB
physical id : 0
siblings    : 12
core id     : 6
cpu cores   : 6
apicid      : 13
initial apicid  : 13
fpu     : yes
fpu_exception   : yes
cpuid level : 16
wp      : yes
flags       : fpu vme de pse tsc msr pae mce cx8 apic sep mtrr pge mca cmov pat pse36 clflush mmx fxsr sse sse2 ht syscall nx mmxext fxsr_opt pdpe1gb rdtscp lm constant_tsc rep_good nopl nonstop_tsc cpuid extd_apicid aperfmperf pni pclmulqdq monitor ssse3 fma cx16 sse4_1 sse4_2 movbe popcnt aes xsave avx f16c rdrand lahf_lm cmp_legacy svm extapic cr8_legacy abm sse4a misalignsse 3dnowprefetch osvw ibs skinit wdt tce topoext perfctr_core perfctr_nb bpext perfctr_llc mwaitx cpb cat_l3 cdp_l3 hw_pstate sme ssbd mba sev ibpb stibp vmmcall fsgsbase bmi1 avx2 smep bmi2 cqm rdt_a rdseed adx smap clflushopt clwb sha_ni xsaveopt xsavec xgetbv1 xsaves cqm_llc cqm_occup_llc cqm_mbm_total cqm_mbm_local clzero irperf xsaveerptr wbnoinvd arat npt lbrv svm_lock nrip_save tsc_scale vmcb_clean flushbyasid decodeassists pausefilter pfthreshold avic v_vmsave_vmload vgif umip rdpid overflow_recov succor smca
bugs        : sysret_ss_attrs spectre_v1 spectre_v2 spec_store_bypass
bogomips    : 7187.19
TLB size    : 3072 4K pages
clflush size    : 64
cache_alignment : 64
address sizes   : 43 bits physical, 48 bits virtual
power management: ts ttp tm hwpstate cpb eff_freq_ro [13] [14]

/proc/cpuinfoв виртуальной машине отображается гораздо меньше флагов, а именно aesфлаг тоже отсутствует.

processor   : 5
vendor_id   : AuthenticAMD
cpu family  : 15
model       : 6
model name  : Common KVM processor
stepping    : 1
microcode   : 0x1000065
cpu MHz     : 3593.248
cache size  : 512 KB
physical id : 0
siblings    : 6
core id     : 5
cpu cores   : 6
apicid      : 5
initial apicid  : 5
fpu     : yes
fpu_exception   : yes
cpuid level : 13
wp      : yes
flags       : fpu vme de pse tsc msr pae mce cx8 apic sep mtrr pge mca cmov pat pse36 clflush mmx fxsr sse sse2 ht syscall nx lm rep_good nopl cpuid extd_apicid tsc_known_freq pni cx16 x2apic hypervisor cmp_legacy 3dnowprefetch vmmcall
bugs        : fxsave_leak sysret_ss_attrs swapgs_fence spectre_v1 spectre_v2
bogomips    : 7186.49
TLB size    : 1024 4K pages
clflush size    : 64
cache_alignment : 64
address sizes   : 40 bits physical, 48 bits virtual
power management:

решение1

Отвечаю на свой собственный вопрос после проведения некоторого тестирования. Моя настройка: proxmox box с несколькими виртуальными машинами и контейнерами LXC. Изначально я настроил свой прокси в одной из виртуальных машин. Производительность сильно пострадала из-за виртуализированного процессора. После того, как я поместил прокси в контейнер LXC на proxmox, удалив слой виртуализации KVM, я попытался загрузить 7 ГБ iso на proxmox. Скорость была просто молниеносной, в то время как рабочий процесс nginx использовал 50% одного ядра, в то время как в виртуальной машине рабочий процесс nginx занимал целое ядро ​​со скоростью в несколько раз ниже.
edit:
Это происходит только при выборе типа ЦП proxmox по умолчанию - kvm64. После некоторых дополнительных раскопок я обнаружил, что это делается по умолчанию для включения живой миграции виртуальной машины на другой хост, который может иметь другой тип ЦП. Эмулируемый KVM ЦП имеет меньше флагов, но гарантированно работает везде.
Тип ЦП можно изменить на такой, hostкоторый будет передавать все флаги ЦП виртуальной машине, что позволит, среди прочего, реализовать аппаратное шифрование.
источник

Связанный контент