Balazs Scheidler wrote:
A fenti probléma enyhíthető lenne kicsit, ha a kripto műveleteket külön thread/processz végezné, nem? Ebben az esetben gyakorlatilag Nem vegeztunk, pedig erdekes lenne. Jobban vegig gondolva nem hiszem, hogy jobb megoldas out-of-line vegezni a kripto muveleteket a masodik processzoron, ez mindenkeppen latency-t ad hozza. Inkabb arra kell figyelni, hogy az emlitett kripto kodok lehetoleg lockolas nelkul fussanak. Ezt kifejtenéd kicsit? Hogyhogy lockolás nélkül? Ha jól sejtem, jelenleg minden openssl-t használó része a Zorpnak külön forkolt processzben fut és nem többszálú. Hol jön itt képbe a lockolás?
Latency... Gyanítom, hogy a memóriasávszélesség (legrosszabb esetben) azért nagyobb, mint a legnagyobb PCI buszé. :) Arról nem is beszélve, hogy a kernel egy processzt futásidőben is áttehet másik processzorra és mivel a kripto nincs szétválasztva mondjuk a protokollelemzéstől, így viszonylag rossz ötletnek tűnik az erre forkolt processzt processzorhoz kötni. De lehet, hogy teljesen hülyeség, ehhez tényleg meg kellene nézni valami életszerű környezetben.
Persze, azt hiszem ezt már csak durva firmware hackkel lehetne megoldani. De erre is volt már példa. :) naja, ha az openssl magan a kartyan futna es lenne ott egy kulon TCP/IP stack. Semmi sem lehetetlen. :)
1) az openssl-ben van processzen beluli session cache, ezt kulon implementalni nem kell 2) megneztem kozelebbrol, es sajnos ahogy a Zorp hasznalja az SSL-t, ugy ez a cache nem mukodik. fel is vettem egy hibajegyet ezzel kapcsolatban. Nagyszerűen hangzik, köszönöm. :)
Jobbat kérdezek (ha van): van lehetőség arra, hogy mondjuk memcached-del ezt a session store-t több gépen is használhatóvá tegyük? bar a memcached-t nem ismerem, de az OpenSSL lehetove teszi un. "external session id cache" letrehozasat, ezt hasznalja az apache is a fork()-olt processzek kotzi adatmegosztashoz. Gondolom ez működik TCP/UDP socketen is.
Lehet, hogy teoretikus a kérdés, mert nem kezeltek ilyen infót, hülye vagyok a zorphoz, na. :) jelenleg session informaciot csak a peldanyon belul lehet megtartani, ott viszont eleg egyszeru. (azaz azt meg lehet oldani kizarolag Zorp-bol, hogy a sikeres POP3 authentikacio utan mukodik az SMTP, bar ugye ezt mar tulhaladta a kor az SMTP auth miatt). Az igaz, de az, hogy a lehetőséget biztosítja a Zorp azért jelent valamit. :)
-- Attila Nagy e-mail: Attila.Nagy@fsn.hu Adopt a directory on our free software phone @work: +361 371 3536 server! http://www.fsn.hu/?f=brick cell.: +3630 306 6758