VMware vSphere 6.5 e VM Encryption: quale impatto sulle prestazioni

La funzione VM Encryption, introdotta nella versione 6.5 di vSphere, consente di criptare i dati delle macchine virtuali. Ma a quale prezzo?

 

A metà Novembre 2016 VMware ha lanciato l’ultima versione dell’apprezzata suite vSphere (6.5): tra le principali novità anche la possibilità di proteggere la macchina virtuale con tecniche di cifratura. L’impiego di queste ultime per tutelare la sicurezza dei dati è una soluzione in uso già da diversi anni in ambito IT ma che non si è mai realmente affermata nel mondo della virtualizzazione. Ed il motivo è abbastanza semplice, la cifratura riduce sensibilmente le prestazioni globali andando ad impattare sulla CPU e sullo storage (latenza I/O e throughput).

A distanza di alcuni mesi, il portale Server Watch ha deciso di indagare sulla soluzione proposta da VMware, ovvera il criptaggio della VM da hypervisor. Analizziamo sintenticamente il documento VMware per poi vedere a quali conclusioni è giunto l’editorialista.

vSphere 6.5 ed SSD

La funzionalità VM encryption, recita il report pubblicato da VMware, “mette al sicuro i dati VMDK – criptando le I/O di una VM (che ha attivato la funzione VM encryption) – prima che vengano archiviati nel VMDK”. Le operazioni I/O in uscita dal virtual disk controller sono per la precisione criptate da un modulo nel kernel prima che siano inviate al kernel storage layer. Il processo di cifratura si appoggia alle API vSphere pensate per il filtraggio delle I/O (VAIO) – alle quali ci si può riferire anche con il termine IOFilter. L’IOFilter, prosegue il documento, è un framework ESXi che consente di intercettare le I/O della VM nel VSCSI (virtual SCSI emulation layer).

vSphere 6.5 IOFilter

IOFilter design – Fonte: VMware

Nel paragrafo dedicato ai vari test si sottolinea in apertura che l’overhead causato dall’I/O filtering ha un impatto trascurabile su qualsiasi unità storage a basse prestazioni  (hard disk). Nel caso in cui si utilizzino invece unità più performanti (SSD ed SSD NVMe), l’overhead può avere un’incidenza non trascurabile sulle latenze e sul throughput. Nel primo test viene valutato l’impatto dell’I/O filtering sull’SSD Intel s3700 (500MB/s lettura sequenziale, 75,000 IOPS lettura), unità non eccessivamente costosa pensata principalmente per i data center.

Test 512KB sequantial read

Fonte: VMware

Dalle sessioni di scrittura e lettura sequenziale 512KB emergono dei valori sostanzialmente invariati per quanto riguarda latenze e thorughput. Molto più accentuato è invece l’impatto sulla CPU che vede salire anche del 400% il numero di cicli per I/O. I risultati della scrittura/lettura casuale 4KB, che non riportiamo qui di seguito ma potete consultare nel documento ufficiale, confermano le stesse osservazioni.

vSphere 6.5 ed NVMe

Gli SSD NVMe (NVM Express) rappresentano la soluzione “senza compromessi” per l’ambito enterprise. Venendo meno i limiti imposti dallo standard SATA, pensato per gli hard disk ma utilizzato anche dagli “SSD classici”, gli SSD NVMe sono in grado di garantire latenze molto basse e un througput considerevole. Il modello utilizzato da VMware è un Samsung PM1725 NVMe PCIe (750,000 IOPS lettura).

512KB sequantial read NVME

Fonte: VMware

Le soluzioni NVMe sono chiaramente ostacolate dalla funzionalità che VMware ha introdotto in vSphere 6.5. In generale si assiste ad un calo delle prestazioni intorno al 30-50% e ad un incremento simile per le latenze. L’utilizzo della CPU rimane ugualmente alto – come nel caso precedente.

Conclusioni

L’editorialista afferma che l’utilizzo dell’utile funzionalità VM Encryption varia in base all’hardware impiegato dagli utenti. Se si utilizzano hard disk ed SSD con interfaccia SATA l’unico requisito da soddisfare è quello di disporre di adeguata capacità computazionale e quindi CPU performanti.

Discorso completamente differente per chi si appoggia a SSD NVMe: per via delle pessime prestazioni e latenze, da sommare agli immancabili costi derivanti da un utilizzo maggiore della CPU, si sconsiglia l’attivazione di VM Encryption.

Fonti: 1, 2

 

 

Facci sapere cosa ne pensi!

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *