灰度蚂蚁金服SSL/TLS实践 合规 性能 安全软硬件一体解决方案 Intel QAT Cavium Nitrox软硬件一体解决方案 SSL握手性能 提升3倍 • 对Spanner实现了异步化改造 • 对openssl进行了异步化引擎改造 • 实现多芯片卡的负载均衡协议实现的改造-MTLS MTLS：1) 轻量级TLS库，小于50k；2) 优化的TLS协议 0-RTT • 减少握手延迟 • 代价：握手前发送的数据不能 TLS扩展安全合规能力持续升级 国密算法 • 拥抱监管 • 安全可控 • 金融科技 AntTLS库 • 基于OpenSSL • 全面拥抱TLS1.3 • 国密优化实现，国密单证书标准支撑 • 支持SGX等可信机制 • 多硬件卡Engine • Mobile，iot设备等多终端支持 • OpenSSL Committer无线移动战役 操作响应慢 操作无响应 Push没消息 Push消息慢 海外消息慢

TLS单核性能测试 12 Ø环境 ü CPU： Intel(R) Xeon(R) CPU E5-2430 0 @ 2.20GHz ü 内存： 1.5G Ø软件 ü Nginx-1.13.8 with OpenSSL ü Caddy on go-1.10.2 ü Caddy-boring on go-1.10.2 Ø场景 ü Case1 ü 证书：RSA 2048 ü Cipher：ECDHE-RSA-AES256-GCM-SHA384 ØGolang 对 RSA 上没有优化，并且暂无优化计划 ØGolang 对 p256 有汇编优化， p256MulInternal， p256SqrInternal等椭 圆曲线函数实现与OpenSSL相同 ØGolang 对 p384 没有优化，boring SSL golang 性能是 golang 实现6倍 ØGolang 对 AES-GCM 有汇编优化，性能是 boring SSL

亲和性 • 带权重的轮询：仅可用于在 Service 之间，并且目前只支持 File Provider • Mirror：将发送到服务的请求镜像复 制到其他服务去，目前只支持 File ProviderMiddlewares配置 • 静态配置：Traefik 启动时的 配置，Provider 连接信息、要 监听的 EntryPoints，通过配置 文件、命令行参数、环境变量 定义 version: '3' services: reverse-proxy: image: traefik:v2.0 # 开启 web UI 并且告诉 Traefik 注册 Docker Provider command: --api.insecure=true --providers.docker ports: - "80:80" # HTTP 端口 - "8080:8080" # Web

协议投递过程 �23 微博Service Mesh实践 - WeiboMesh WM ⽬目标机器器 WM 请求机器器 client server motan2/simple provider http/cgi/… motan2/simple pointerService Mesh Meetup · BeiJing Weibo Mesh 控制⾯面 �24 微博Service PHP-FPM provider Restful handler Registry cgi cgi HTTP http filter register discoverService Mesh Meetup · BeiJing 反向代理理特点 �33 微博Service Mesh实践 - WeiboMesh ➢ 提供HTTP/cgi provider，可扩展 ➢ HT

Policy ScopeConfigService Mesh Sidecar 的TLS 生产级落地实践 开关切换 RPC 通信场景下，为保证平滑无损的TLS切换能力，需 要分别控制 Server (Provider) 和 Client (Consumer)端的 TLS 行为  对于Server 端利用Istio 的Policy CRD 实现 Namespace + Service 粒度的开关控制