Upgrade to Pro — share decks privately, control downloads, hide ads and more …

SSLセッションキャッシュを共有したいだけの人生だった

Avatar for Yusuke Nojima Yusuke Nojima
February 08, 2016
Technology
6
3k

 SSLセッションキャッシュを共有したいだけの人生だった

@nojima (Cybozu, Inc)
nginx tech talks
2016-02-08
http://eventdots.jp/event/578421

Avatar for Yusuke Nojima

Yusuke Nojima

February 08, 2016
Tweet

More Decks by Yusuke Nojima

See All by Yusuke Nojima
インフラ自動化の落とし穴と宣言的アーキテクチャ
Avatar for Yusuke Nojima nojima
24
12k
Nginx Hacking Guide
Avatar for Yusuke Nojima nojima
0
690

Other Decks in Technology

See All in Technology
生成AIシステムとAIエージェントに関する性能や安全性の評価
Avatar for shibuiwilliam shibuiwilliam
1
150
プロダクト負債と歩む持続可能なサービスを育てるための挑戦
Avatar for SansanTech sansantech
PRO
1
990
How We Built a Secure Sandbox Platform for AI
Avatar for GMO Flatt Security flatt_security
1
120
信頼性が求められる業務のAIAgentのアーキテクチャ設計の勘所と課題
Avatar for Koji Miyata miyatakoji
0
160
Dev Containers と Skaffold で実現する クラウドネイティブ開発環境 ローカルのみという制約に挑む / Cloud-Native Development with Dev Containers and Skaffold: Tackling the Local-Only Constraint
Avatar for 株式会社ビットキー / Bitkey Inc. bitkey
PRO
0
140
転職したら勘定系システムのクラウド化担当だった件 〜銀行勘定系システムをEKSで稼働させるまで〜
Avatar for Toru Kono torukouno
0
100
Service Monitoring Platformについて
Avatar for LINEヤフーTech (LY Corporation Tech) lycorptech_jp
PRO
0
360
Android Studio Otter の最新 Gemini 機能 / Latest Gemini features in Android Studio Otter
Avatar for Yuki Anzai yanzm
0
380
re:Inventにおける製造業のこれまでとこれから
Avatar for 濱田孝治 hamadakoji
0
370
単一Kubernetesクラスタで実現する AI/ML 向けクラウドサービス
Avatar for Preferred Networks pfn
PRO
1
370
組織の“見えない壁”を越えよ!エンタープライズシフトに必須な3つのPMの「在り方」変革 #pmconf2025
Avatar for Masakazu Inaba masakazu178
1
930
クラウドネイティブ時代の 開発プロセス再設計 〜速さと品質を両立するには〜
Avatar for Sammy(MoritaMasami) moritamasami
0
120

Featured

See All Featured
Embracing the Ebb and Flow
Avatar for Simon Collison colly
88
4.9k
Fight the Zombie Pattern Library - RWD Summit 2016
Avatar for Marcelo Somers marcelosomers
234
17k
Context Engineering - Making Every Token Count
Avatar for Addy Osmani addyosmani
9
420
Documentation Writing (for coders)
Avatar for Carmen Chung carmenintech
76
5.1k
The Power of CSS Pseudo Elements
Avatar for Geoffrey Crofte geoffreycrofte
80
6.1k
Art, The Web, and Tiny UX
Avatar for Lynn Fisher lynnandtonic
303
21k
Agile that works and the tools we love
Avatar for Rasmus Luckow-Nielsen rasmusluckow
331
21k
GraphQLとの向き合い方2022年版
Avatar for Yosuke Kurami quramy
49
14k
Practical Tips for Bootstrapping Information Extraction Pipelines
Avatar for Matthew Honnibal honnibal
25
1.6k
個人開発の失敗を避けるイケてる考え方 / tips for indie hackers
Avatar for panda_program panda_program
118
20k
Music & Morning Musume
Avatar for Bryan Veloso bryan
46
7k
CoffeeScript is Beautiful & I Never Want to Write Plain JavaScript Again
Avatar for Sam Stephenson sstephenson
162
15k

Transcript

  1. SSLセッションキャッシュを 共有したいだけの人生だった @nojima Cybozu, Inc. nginx Tech Talks 2016-02-09 nginx

    Tech Talks 1

  2. SSL のハンドシェイクに 265ms もかかっている とあるサイトに SSL で接続してみる 2016-02-09 nginx Tech

    Talks 2

  3. 265ms → 138ms (だいたい半分) になった!! もう一度接続してみる 2016-02-09 nginx Tech Talks

    3

  4. Why? • SSL セッションキャッシュのおかげ • SSL ハンドシェイクで共有したパラメータ (共有鍵とか) をキャッシュ しておく。

    • 次回同じセッションIDで接続してきたクライアントに対しては パラメータの共有を省いて、いきなり TLS セッションを開始する。 • 効果 • ラウンドトリップが1往復分減る → レイテンシ減 • サーバ側の計算が減る → スループット増 ※ ブラウザによっては SSL セッションチケットという別の仕組みでセッション再開できるが、 IE や iOS Safari は対応していない。 2016-02-09 nginx Tech Talks 4

  5. ところが nginx の標準機能では、 複数のサーバ間でセッションキャッシュを 共有できない!!! 2016-02-09 nginx Tech Talks 5

  6. Client Layer 4 Load Balancer nginx-1 nginx-2 nginx-3 ① 最初のコネクションが

    nginx-1 に割り振られる ② nginx-1 にセッションがキャッシュされる ③ 二回目のコネクションが nginx-3 に割り振られる ④ キャッシュがないので セッション再開できない!!! DC 2016-02-09 nginx Tech Talks 6

  7. というわけで nginx の SSL セッションキャッシュを 共有できるようにするパッチを書いた。 2016-02-09 nginx Tech Talks

    7

  8. nginx-ssl-scache-sync-module • nginx が SSL セッションキャッシュを保存する処理にフック して、別のサーバの nginx に対してセッションキャッシュを 送り付ける仕組み。

    • サイボウズの本番環境で使うために作った。 • 以下の URL で公開中 • https://gist.github.com/nojima/daac8c5710a2766bd638 • 1.9.10 より新しい nginx には当たらないので注意。多分そのうち直し ます。 2016-02-09 nginx Tech Talks 8

  9. nginx-1 nginx-2 nginx-3 session cache ① SSL接続 が来る ② セッション

    キャッシュ が生成される cache ③ 非同期に セッション キャッシュを 送りつける cache cache Client ④ 再び SSL 接続が来る ⑤ セッションが再開できる! session cache DC 2016-02-09 nginx Tech Talks 9

  10. nginx-ssl-scache-sync-module • よかった点 • パフォーマンス向上 • 前述のとおり、キャッシュによってサーバのスループットが上がる。 • レイテンシも減るが、日本だとあまり実感できない。 •

    Just Works!! • サイボウズの本番環境で1年間運用。トラブルなし。 • よくない点 • スケールしない • nginx サーバ台数に比例してセッションを共有する通信の負荷が上がってしまう。 2016-02-09 nginx Tech Talks 10

  11. ところで H2O は? • H2O はセッションキャッシュの共有を標準でサポートしている。 • しかも memcached を使う方式なのでサーバ台数が増えても

    大丈夫。 • 自分たちが memcached を使わなかったのは、OpenSSL の制約の都合 上実装できないと思っていたから。 • しかし、H2O は驚きのスーパーハックで解決していた: https://github.com/h2o/h2o/issues/118 2016-02-09 nginx Tech Talks 11

  12. 今日言いたかったこと 誰か H2O 方式のセッションキャッシュ 共有モジュールを書いてくれ!!!! (or ngx_ssl_session_fetch_by_lua に期待) 2016-02-09 nginx

    Tech Talks 12

  13. WE ARE HIRING サイボウズはインフラエンジニアを 募集しております 2016-02-09 nginx Tech Talks 13