Web屋のネタ帳

たとえばapacheとmod_sslの組み合わせでSSL(つまりhttps://)しているサイトは多いだろう。 ところがSSL処理というものはかなりCPUのパワーを食う。気がついたときにはSSLの処理が実はWebサーバのCPUの半分近くを食ってました、なんてことになる。で、やむにやまれず高価なSSLアクセラレータを買おうということになる。

ところが、SSLアクセラレータというと、アプライアンス型、つまり普通のサーバかルーターみたいに見える専用ハードウェアを買ってしまう人が多いらしい。ベンダーもそのほうが儲かるから、PCIカード型のSSLアクセラレータの存在なんて教えないのかもしれない。もちろん、アプライアンス型のほうが既存のソフトウェア構成に極力手を加えずに導入できるというメリットに飛びついてしまわざるを得なかった、というケースも多いだろう。

知っている人は知っている話だが、米国のYahooでは、SSL(つまりhttps://)の処理はWebサーバに仕込んだ専用PCIカードにやらせている、とYahooの中の人がもう何年も前からカンファレンスなどで繰り返し講演している。

（一部訳： カード無しのWebサーバが通常の80番ポートアクセス(つまりだたのhttp://)をさばくのと同じだけのアクセス数を、PCIカードつきのサーバがSSLでさばいています）
2006年7月 O’Reilly Open Source Convention 講演資料より

アプライアンス型のSSLアクセラレータは1台100万から200万円をくだらないものが多い。一方でPCIカード型は20万円から30万円くらいのようだ。中小企業にとってこの差は大きい。先日の記事でwebサイトの構成の例を示したが、ついでに リバースプロキシ側のWebサーバにPCIカード型のSSLアクセラレータをあらかじめ仕込んでおくという方法も一案だと思う。

追記：
先日書いていた負荷分散関係の記事（これとかこれとか）にからんで、Ultramonkeyというオープンソースの負荷分散ソフトウェアについても調べていたのだが、そのドキュメントをよく見るとこんなことが書いてあった。

＜付録B＞ B ksslに関する注意点及び補足説明
ksslはサーバマシン上のCPUでも動作しますが、性能面を考慮しAEP Systems社の SSLアクセラレータカード(AEP1000L)使用を前提として設計されております。 しかしながら、現在AEP1000Lは製造中止となっております。 kssl+AEP1000Lの代替として、nCipher社のnFastUltraなどのSSLアクセラレータ カード(ksslとAEP1000Lの機能面を包含）が利用できます。
SourceForge.jp: View Document UltraMonkey-L7_admin_manual-v1.3

2005年12月のNTTコムウェア社のニュースリリースでも動作確認環境として同様のことが書いてある。 結局のところ、通常のCPUでのソフトウェア処理では、専用チップでのハードウェア処理には到底かなわないということか。