DIV CSS 佈局教程網

在浏覽互聯網時，我們都知道，通過SSL進行加密是非常重要的。在貝寶（PayPal），安全是我們的首要任務。我們使用端到端的加密，不僅只是我們的公共網站，對於我們的內部服務調用也同樣如此。SSL加密技術將在很大程度上影響node.js的性能。我們已經花時間調整我們的對外服務，並充分地利用他們。下面是一些我們發現能顯著地提高SSL對外性能的SSL配置調整清單。

SSL密碼

開箱即用，Node.js 的SSL使用一組非常強大的密碼算法。特別是，迪菲赫爾曼密鑰交換和橢圓曲線算法是極其昂貴的。而且當你在默認配置中用了太多的對外SSL調用，Node.js的性能將從根本上得到削弱。為了得到它到底有多慢這個結論，這兒有個服務調用的CPU樣本：

918834.0ms 100.0% 0.0 node (91770)
911376.0ms 99.1% 0.0  start
911376.0ms 99.1% 0.0  node::Start
911363.0ms 99.1% 48.0  uv_run
909839.0ms 99.0% 438.0  uv__io_poll
876570.0ms 95.4% 849.0   uv__stream_io
873590.0ms 95.0% 32.0    node::StreamWrap::OnReadCommon
873373.0ms 95.0% 7.0     node::MakeCallback
873265.0ms 95.0% 15.0     node::MakeDomainCallback
873125.0ms 95.0% 61.0     v8::Function::Call
873049.0ms 95.0% 13364.0    _ZN2v88internalL6InvokeEbNS0
832660.0ms 90.6% 431.0     _ZN2v88internalL21Builtin
821687.0ms 89.4% 39.0      node::crypto::Connection::ClearOut
813884.0ms 88.5% 37.0       ssl23_connect
813562.0ms 88.5% 54.0       ssl3_connect
802651.0ms 87.3% 35.0        ssl3_send_client_key_exchange
417323.0ms 45.4% 7.0         EC_KEY_generate_key
383185.0ms 41.7% 12.0        ecdh_compute_key
1545.0ms 0.1% 4.0          tls1_generate_master_secret
123.0ms 0.0% 4.0           ssl3_do_write
...

讓我們重點關注一下密鑰的生成：

802651.0ms 87.3% 35.0 ssl3_send_client_key_exchange
417323.0ms 45.4% 7.0 EC_KEY_generate_key
383185.0ms 41.7% 12.0 ecdh_compute_key

這個調用87%的時間都花在了生成密鑰上！

這些密碼能被改變以減少密集的計算。這個想法已經在https（或代理）得以實現了。例如：

var agent = new https.Agent({
  "key": key,
  "cert": cert,
  "ciphers": "AES256-GCM-SHA384"
});

上面的密鑰已經沒用昂貴的迪菲赫爾曼密鑰交換。用相似的東西代替之後，在下面的樣例中我們能看到顯著的變化：

...
57945.0ms 32.5% 16.0 ssl3_send_client_key_exchange
28958.0ms 16.2% 9.0 generate_key
26827.0ms 15.0% 2.0 compute_key
...

通過OpenSSL文檔，你可以學習更多關於密碼串的東西。

SSL會話恢復
 
如果您的服務器支持SSL會話恢復，那麼你可以通過https（或代理）來傳遞會話。你也可以將代理的createConnection函數包裹起來：

var createConnection = agent.createConnection;

agent.createConnection = function (options) {
  options.session = session;
  return createConnection.call(agent, options);
};

通過給連接增加簡短的握手機制，會話恢復能降低連接數的使用。

保持活動
 
允許代理保持活動將緩和SSL握手。一個保持活動的代理，比如agentkeepalive可以修復結點保持活動的問題，但在Node0.12中它是非必須的。

另一個需要銘記在心的東西是代理的maxSockets，這個值高的話能對性能造成負面的影響。在你創建的對外連接數量的基礎上控制你的maxSockets值。

Slab的大小
 
tls.SLAB_BUFFER_SIZE決定了被tls客戶端（服務器）使用的slab緩沖區的分配大小。它的大小默認為10MB。

這些分配的區間將會擴展你的rss且會增加垃圾回收的時間。這意味著高容量將會影響到性能。把這個容量調整到一個比較低的值可以改善內存和垃圾收集的性能。在0.12 版本中，slab的分配已經得到改善了，沒有必須再調整了。

SSL在0.12中近期的改變
 
測試Fedor的SSL增強版。

測試說明

運行一個作為SSL服務代理的http服務，全部運行在本機上。

v0.10.22

Running 10s test @ http://127.0.0.1:3000/
20 threads and 20 connections
Thread Stats Avg Stdev Max +/- Stdev
Latency 69.38ms 30.43ms 268.56ms 95.24%
Req/Sec 14.95 4.16 20.00 58.65%
3055 requests in 10.01s, 337.12KB read
Requests/sec: 305.28
Transfer/sec: 33.69KB

v0.11.10-pre (從主版本構建)

Running 10s test @ http://127.0.0.1:3000/
20 threads and 20 connections
Thread Stats Avg Stdev Max +/- Stdev
Latency 75.87ms 7.10ms 102.87ms 71.55%
Req/Sec 12.77 2.43 19.00 64.17%
2620 requests in 10.01s, 276.33KB read
Requests/sec: 261.86
Transfer/sec: 27.62KB

這沒有太多的區別，但這應歸於默認密碼，所以讓我們調整密碼的代理選項。例如：

var agent = new https.Agent({
  "key": key,
  "cert": cert,
  "ciphers": "AES256-GCM-SHA384"
});

v0.10.22

Running 10s test @ http://localhost:3000/
20 threads and 20 connections
Thread Stats Avg Stdev Max +/- Stdev
Latency 59.85ms 6.77ms 95.71ms 77.29%
Req/Sec 16.39 2.36 22.00 61.97%
3339 requests in 10.00s, 368.46KB read
Requests/sec: 333.79
Transfer/sec: 36.83KB

v0.11.10-pre (從主版本構建)

Running 10s test @ http://localhost:3000/
20 threads and 20 connections
Thread Stats Avg Stdev Max +/- Stdev
Latency 38.99ms 5.96ms 71.87ms 86.22%
Req/Sec 25.43 5.70 35.00 63.36%
5160 requests in 10.00s, 569.41KB read
Requests/sec: 515.80
Transfer/sec: 56.92KB

正如我們所見，經過Fedor的修改，這有著巨大的區別：從0.10到0.12性能差不多差著2倍左右！

總結

有人可能會問“為什麼不僅僅只是關掉SSL呢，關了之後它就會變得快起來”，且對於一些人來說這也是一種選擇。實際上，當我問別人他們是如何解決SSL性能問題的時候這是比較有代表性的答案。但是，如果企業SSL要求的任何東西只增加不減少；且盡管已經做了很多來改善Node.js中的SSL，性能調整仍然還是需要的。我希望上述的一些技藝能夠幫助你調整SSL用例性能。