🔥 热搜 🔥
上海习近平新疆鄂州父女瓜乌鲁木齐疫情H工口小学生赛高习明泽芊川一笑图包印尼排华
分类
社会娱乐国际人权科技经济其它
🔥 热搜 🔥
上海习近平新疆鄂州父女瓜乌鲁木齐疫情H工口小学生赛高习明泽芊川一笑图包印尼排华
分类
社会娱乐国际人权科技经济其它
查看原文
其他

你不知道的 HTTPS 压测

拂衣 阿里云云栖号 2022-07-13

作 者|拂衣


程序员进修班


01 引言

随着互联网安全规范的普及,使用 HTTPS 技术进行通信加密,实现网站和 APP 的可信访问,已经成为公认的安全标准。本文将介绍针对 HTTPS 协议做压力测试的关注点,以及使用 PTS 做 HTTPS 压测的技术优势和最佳实践。

常见的网站或者 APP 中需要做压测的 3 种场景:

  • 新开发的系统或功能上线前需要了解其性能水位情况。

  • 对系统进行技术调优、系统扩容前后通过压测进行性能比对。

  • 参加平台活动前对系统进行性能评估。

02 什么是 HTTPS
HTTPS 的英文全称是:Hyper Text Transfer Protocol over Secure Socket Layer,它是以安全为目标的 HTTP 通道。从全称上可以看出,它其实不是一种新的应用层协议,只是 HTTP 协议将通信接口用 SSL 替代了 TCP。HTTP 协议中,应用层 HTTP 直接与传输层 TCP 通信,在 HTTPS 协议中 ,应用层 HTTP 与 SSL 通信,SSL 再与传输层的 TCP 通信,具体如图:


HTTPS 通过 SSL 层的加密,可以防止网站被篡改和劫持。下面我们简单看下 HTTPS 是如何进行加密解密的:

首先客户端和服务端会协商加密算法和协议版本。协商结束后,服务端发送公钥给客户端,客户端拿到公钥后,生成一个随机密码串(Pre-master secret),并通过公钥加密返回给服务端。服务端使用私钥解密密文后,得到此随机密码串(Pre-master secret),之后通过协商的随机数和加密算法,生成对称加密密钥。至此,双方得到了同一个密钥,后续使用此密钥实现对称加密解密。


我们知道对称加密性能更好,但只要持有密钥,就能将劫持的密文解密,无法解决被劫持的问题。非对称加密相对更安全,但同时加密解密性能开销大。可以看出 HTTPS 在握手阶段使用了非对称加密,在后续的通信中使用了对称加密,既保证了安全性,又最大限度保证了性能。

03 HTTPS 压测的关注点

1 SSL 握手策略

HTTPS 在握手阶段有加密解密的过程,所以相比 HTTP 更消耗计算资源。压测引擎为了模拟海量用户执行请求,往往底层会在全局或线程维度,复用 TCP 连接和 SSL 握手信息。这提高了施压机的性能,但对希望每次循环模拟不同客户端行为的场景来说,施压机只模拟了足够的流量压力,并没有模拟足够的 SSL 握手计算压力,可能造成压力模拟不够准确的问题,如下图所示:


因此,在 HTTPS 压测中,需要根据压测场景的具体业务逻辑,指定每次循环是否重置 SSL 握手状态,准确模拟 SSL 握手计算压力。

2 SSL 协议版本

HTTPS 压测,在客户端(施压机)和服务端进行 SSL 握手的第一步,客户端会告知给服务端自己支持的最高 SSL 协议版本,然后服务端会从自己和客户端支持版本的交集中,取最高的版本作为实际使用的 SSL 版本。

在压测时,需要评估出真实客户端的主流版本,并配置到施压引擎上。避免因 SSL 版本不同,造成 SSL 握手计算压力模拟不准确。

04 Why PTS— PTS 做 HTTPS 压测的优势

JMeter、Gatling、K6 等开源压测工具对 HTTPS 有不同程度的支持。JMeter[1]支持配置循环是否重置 SSL 握手状态,并且支持配置客户端 SSL 协议版本,但是默认不支持 HTTP2 协议。Gatling[2]默认每个虚拟用户共享 SSL 上下文,不支持控制循环重置 SSL 握手状态。K6[3]目前只支持设置 SSL 协议版本。

PTS 作为云上压测工具,支持如下 HTTPS 相关特性:

  • 支持 HTTP2

HTTP2 相比较 HTTP1.1 性能大幅提升,且目前主流浏览器均已支持 HTTP2 协议。为了模拟真实客户端,建议使用 HTTP2 协议。

  • 支持设置 SSL 握手策略

支持配置循环是否重置 SSL 握手状态,可以根据业务场景,选择是否重置。

  • 支持指定 SSL 协议版本

使用 PTS 压测,可以更真实的模拟客户端发起的 HTTPS 压力,使压测结果更可信。

05 How to — 如何用 PTS 做 HTTPS 压测
1 设置 SSL 握手策略


对于 HTTPS 压测,在串联链路每次循环时,需要选择是否重置 SSL 连接状态。如果选择重置,在串联链路每一次循环执行时,会重新初始化 SSL 状态,这样可以更准确模拟每次循环代表不同用户的压测场景,同时会对施压机带来一定的性能开销。

使用场景

  • 场景一:HTTPS 压测,希望模拟 100 个用户登录,同时保持这 100 个用户不断重复访问系统。此时串联链路每次循环执行,模拟的是同一个虚拟用户的行为。应将此开关置为“否”,然后设置并发数为 100。

  • 场景二:HTTPS 压测,希望模拟 5 分钟内,每个时刻都有 100 个不同用户对系统访问。此时串联链路每次循环执行,模拟的是不同虚拟用户的行为。为了保证压力模拟真实性,应将此开关置为“是”,然后设置并发数为 100。同时因为打开此开关后,施压机有额外的性能开销,建议扩展施压机IP数。

2 设置 SSL 协议版本

这里列出一些常用浏览器对 SSL 版本的支持情况供您参考:


可以看出,主流浏览器在 2018~2020 年前后都支持了 TLSv1.3。因此,如果您的压测场景模拟的客户端较新,建议您选择 TLSv1.3 作为 SSL 版本;相反,如果您的压测场景需要模拟旧版本的浏览器客户端,建议您选择 TLSv1.2 作为 SSL 版本。

3 如何录制 HTTPS 流量

各压测工具都提供了基于代理的流量录制工具,方便录制下客户端的流量,并快速构建压测脚本。对于 HTTPS 协议的录制,除了配置代理,还需要信任证书,操作比较复杂。

PTS 提供了免配置证书的录制方案:浏览器插件,支持快速录制 HTTPS 流量,解密并转换为 PTS 压测场景,同时支持导出为 JMeter 脚本,欢迎下载[4]使用,详细操作可参考文档[5]。


同时针对移动流量录制,PTS 提供了云真机和本地设备 2 种方案。其中云真机已预置 PTS 代理配置,支持在浏览器操作手机,录制流量,无需配置代理和证书,详细操作可参考文档[6]。


06 总结

综上,本文主要阐述了:

  • 什么是 HTTPS

  • HTTPS 压测中的注意点

  • 如何用 PTS 做 HTTPS 压测

参考文档


[1] JMeter(官方文档):
https://jmeter.apache.org/usermanual/component_reference.html?

[2] Gatling(官方文档):
https://gatling.io/docs/gatling/reference/current/http/ssl/

[3] K6:
https://k6.io/docs/using-k6/options/#tls-version

[4] 下载(PTS HTTPS录制器插件):
https://chrome.google.com/webstore/detail/alibaba-cloud-pts%E5%BD%95%E5%88%B6%E5%99%A8/noonnhdncblnaknhoebaglpcihelliff

[5] 文档(PTS 录制器使用文档—Chrome 浏览器场景):
https://help.aliyun.com/document_detail/187749.html

[6] 文档(PTS 录制器使用文档—Android 手机端场景)
https://help.aliyun.com/document_detail/72519.html

[7] PTS HTTPS设置文档:
https://help.aliyun.com/document_detail/143194.html



 技 术 好 文 

🔥无线运维的起源与项目建设思考

🔥敏捷开发落地指南 | 好的每日站会,应该这么开

达摩院新一代人机对话技术体系及应用

微服务应用成功落地 企业需要什么样的微服务治理?


 企 业 案 例 

🔥 企业上云|数字化转型经验分享

阿里云主长春:助力“专精特新”,数字科技陪伴企业成长

云钉低代码新模式、新能力、新机遇

推文科技:AI 解决方案助力内容出海



您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存