よくある質問
CPUの脆弱性(CVE-2017-5715およびCVE-2017-5753(Spectre))に対するサービス基盤の対応による性能影響について教えてください。
Enterprise Cloud 2.0 仮想サーバーにおけるVMを収容しているホストについて、CVE-2017-5715およびCVE-2017-5753(Spectre)の脆弱性を緩和するためのサービス基盤側の対応実施前後の性能影響につきまして、Unixbenchで検証を行った結果をご案内いたします。
Unixbenchの結果より、サービス基盤側の対応による性能影響はほぼないことが確認されておりますが、ゲストOS上のパッチ適用につきましては、間接分岐の予測を制限する(IBRS)方式とRetpolineという手法を用いた場合で性能差があり、Retpoline方式の方が性能低下を抑えることが期待できます。
※ゲストOS上のパッチ適用に関する注意事項
・Retpoline方式
RedHat Enterprise Linux 7.3でRetpolineに対応したカーネルは
kernel-3.10.0-514.44.1.el7.x86_64 以降となります。( https://access.redhat.com/errata/RHSA-2018:0399 )
・IBRS方式
間接分岐の予測を制限する(IBRS)方式は、サービス基盤側の対応が行われた後に、
カーネルをアップデートしたお客さまインスタンスが停止・起動されることで初めて有効となります。
<Unixbench Tests検証結果に関する注釈>
・各ケースの内容につきましては下記を参照ください。
・Case-A
サービス基盤側の対応実施前かつゲストOS上パッチ適用なし(kernel version: kernel-3.10.0-514)
・Case-B
サービス基盤側の対応実施後かつゲストOS上パッチ適用なし(kernel version: kernel-3.10.0-514)
・Case-C
サービス基盤側の対応実施後かつゲストOS上パッチ適用済(IBRS方式 )(kernel version: kernel-3.10.0-693.11.6.el7.x86_64)
・Case-D
サービス基盤側の対応実施後かつゲストOS上パッチ適用済(Retpoline方式 )(kernel version: kernel-3.10.0-693.21.1.el7.x86_64 )
・いずれもRed Hat Enterprise Linuxのオフィシャルイメージから作成したVM、かつRed Hat Enterprise Linuxのデフォルト設定の状態Unixbenchを行った結果となります。
・Unixbenchのテスト項目の内容につきましては下記を参照ください。
| テスト項目 | 内容 |
| Dhrystone 2 using register variables | 2つのレジスタを使ってシステム(整数)プログラミングの性能 |
| Double-Precision Whetstone | 浮動小数点演算性能 |
| Execl Throughput | 関数の呼び出し性能 |
| File Copy 1024 bufsize 2000 maxblocks | ファイルのコピー(バッファサイズ1024バイト) |
| File Copy 256 bufsize 500 maxblocks | ファイルのコピー(バッファサイズ256バイト) |
| File Copy 4096 bufsize 8000 maxblocks | ファイルのコピー(バッファサイズ4096バイト) |
| Pipe Throughput | パイプ処理のスループット |
| Pipe-based Context Switching | パイプベースのコンテキストのスイッチング処理 |
| Process Creation | プロセス作成 |
| Shell Scripts (1 concurrent) | 1つだけシェルスクリプトの実行 |
| Shell Scripts (8 concurrent) | 8つ同時にシェルスクリプトの実行 |
| System Call Overhead | システムコールでのオーバーヘッド |
| System Benchmarks Index Score | システムベンチマークの総合スコア |
・本検証結果はあくまで参考値であり、性能を保証するものではありませんので、予めご了承ください。
参考: CPU脆弱性(CVE-2017-5754(Meltdown)/CVE-2017-5715およびCVE-2017-5753(Spectre))の対応状況
