Zabezpečení je jednou z nejdůležitějších věcí, které je třeba zvážit, když jste online. Čím více je vaše online komunikace zabezpečena šifrováním, tím lépe. Šifrování dat v minulosti zpomalovalo výpočetní rychlost, což se s moderními CPU zlepšilo. Ale můžeme udělat víc. OpenVPN právě představila nový vývoj, který svým uživatelům zvýší rychlost tím, že dojde místo v jádře:OpenVPN Data Channel Offload (DCO).
Co je prostor jádra?
Jádro je to, co se načte, když zapnete počítač (bez ohledu na operační systém). Je to základní vrstva pro všechny ostatní vrstvy. Hardware tvoří základ, prostor jádra navrchu, následovaný uživatelským prostorem. Úplně nahoře jsou programy, které používáte. Čím výše ve vrstvě, tím dále jste od hardwaru a tím pomaleji váš program běží. Takže když přemýšlíte o šifrování dat, může to být problém. Výměna dat mezi těmito dvěma vrstvami stojí výpočetní výkon, což představuje překážku pro rychlost OpenVPN.
U VPN v uživatelském prostoru, jako je OpenVPN, omezují rychlosti režie šifrování a kontextové přepínače. U moderních CPU se režie šifrování zlepšila díky rozšířením, jako je Intel AES-NI, což zase zvyšuje rychlost pro uživatele OpenVPN. Ale režie s kontextovými přepínači stále potřebuje řešení. S tím, jak se zvyšuje osobní a firemní rychlost internetu a aplikace využívají větší šířku pásma, uživatelé očekávají vysoké rychlosti online komunikace. Dopad této režie je tedy znatelnější.
Otočení konvenční moudrosti na hlavu:OpenVPN DCO
Nyní máme OpenVPN Data Channel Offload, neboli ovpn-dco. OpenVPN DCO implementuje modul jádra Linuxu, který zpracovává datový kanál OpenVPN. OpenVPN již neposílá datový provoz mezi uživatelem a prostorem jádra pro směrování a šifrování/dešifrování. Operace na užitečné zátěži probíhají v jádře Linuxu, který optimalizuje výkon. To snižuje latenci a náklady na přenos dat mezi uživatelem a prostorem jádra.
Kromě toho je nyní šifrování vícevláknové. Multi-threading je proces rozdělování úloh nebo úloh do menších jednotek a jejich přiřazení různým CPU. Co to znamená pro koncového uživatele? Přenos dat probíhá mnohem rychleji.
James Yonan, technický ředitel OpenVPN, hovoří o důležitosti vykládky:„Vykládání je skutečně svatým grálem jak bezpečnosti, tak výkonu, protože nám umožňuje přijmout průmyslové standardní protokoly, jako je SSL/TLS, ale přesunem zpracování paketů do prostoru jádra nebo hardwaru, můžeme posunout výkon až na hranice rychlosti drátu.“
OpenVPN DCO začleňuje celý datový kanál OpenVPN do modulu jádra, přičemž ponechává řídicí kanál mimo jádro a nadále používá standardní protokoly SSL/TLS, včetně podpory funkcí TLS 1.3.
Testování rychlosti
Abyste si udělali představu o zlepšení rychlosti, zde jsou výsledky testů s vývojovou verzí OpenVPN 2.6 dco ve třech různých konfiguracích:
Níže uvedená čísla výkonu jsou výsledky testů iperf3 provedených na systému AMD ThreadRipper 3970x s Hyper-V jako hypervizor s hosty Linux a Windows. Použitý šifrovací algoritmus je AES-256-GCM.
Dostupnost OpenVPN DCO
OpenVPN Cloud, naše VPN nové generace, již spustilo DCO v produkci, kde vidíme řádové nárůsty výkonu na straně serveru a očekáváme, že podobné zisky zaznamenáme u klienta, až se ovpn-dco rozšíří na straně klienta.
Tento vývoj je neuvěřitelně vzrušující, protože odstranění tohoto nechvalně známého úzkého hrdla není nějakým vznešeným dlouhodobým budoucím cílem – už se to děje.
- Klient OpenVPN3 Linux je k dispozici jako beta.
- ovpn-dco-win je aktuálně k dispozici jako technická verze a bude oficiálně k dispozici jako součást vydání 2.6 ve 4. čtvrtletí 2021.
- Linux OpenVPN server ve spojení s modulem DCO dosahuje skutečně působivých rychlostí. Tech Preview je venku s vývojáři, kteří pracují na široké verzi právě teď.
OpenVPN Inc. věří v open source a plně to podporuje. Vývojáři pracující na OpenVPN3 a OpenVPN Cloud převezmou tyto působivé nové schopnosti a vrátí je zpět komunitě. OpenVPN 2.6.0 vydáme ve 4. čtvrtletí tohoto roku, včetně podpory DCO. Dokud používáte vývojové sestavení OpenVPN 2.6, budete si moci užít obrovské zlepšení rychlosti přenosu dat, když si nainstalujete open source modul DCO na platformy Windows nebo Linux. V budoucí verzi také začleníme modul DCO pro Windows do OpenVPN Connect v3; tímto způsobem mohou všichni uživatelé Windows těžit z této zvýšené rychlosti. OpenVPN Access Server bude také těžit z modulu DCO pro Linux, když tuto funkci zavedeme v budoucí verzi OpenVPN Access Server.