よくある質問

CPUの脆弱性(CVE-2017-5715およびCVE-2017-5753(Spectre))に対するサービス基盤の対応による性能影響について教えてください。

(:更新)

Enterprise Cloud 2.0 仮想サーバーにおけるVMを収容しているホストについて、CVE-2017-5715およびCVE-2017-5753(Spectre)の脆弱性を緩和するためのサービス基盤側の対応実施前後の性能影響につきまして、Unixbenchで検証を行った結果をご案内いたします。

Unixbenchの結果より、サービス基盤側の対応による性能影響はほぼないことが確認されておりますが、ゲストOS上のパッチ適用につきましては、間接分岐の予測を制限する(IBRS)方式とRetpolineという手法を用いた場合で性能差があり、Retpoline方式の方が性能低下を抑えることが期待できます。

 

[2018/11/9追記]

■サービス基盤(ホストOS)の対応(NTT Com実施)
・下記の検証条件におけるサービス基盤側の脆弱性対応によるUnixbenchでの性能影響はほぼないことが確認されておりますが、お客さま環境によっては、CPU、メモリ、スループット等が低下する可能性がございます。影響度合いはお客さまのシステム環境に依存します。(特に、お客さまOS がWindows Server 2012 R2の際にみられる傾向がございます)
■お客さまOS(ゲストOS)側の対応(お客さま実施)
・上記ご案内のとおり、お客さまOS上でも脆弱性対応を有効にすると性能影響を与える可能性がございますので、予めご注意ください。

 

※ゲストOS上のパッチ適用に関する注意事項

・Retpoline方式

RedHat Enterprise Linux 7.3でRetpolineに対応したカーネルは

kernel-3.10.0-514.44.1.el7.x86_64 以降となります。( https://access.redhat.com/errata/RHSA-2018:0399

・IBRS方式

間接分岐の予測を制限する(IBRS)方式は、サービス基盤側の対応が行われた後に、

カーネルをアップデートしたお客さまインスタンスが停止・起動されることで初めて有効となります。

<Unixbench Tests検証結果に関する注釈>

・各ケースの内容につきましては下記を参照ください。

・Case-A

 サービス基盤側の対応実施前かつゲストOS上パッチ適用なし(kernel version: kernel-3.10.0-514)

・Case-B

 サービス基盤側の対応実施後かつゲストOS上パッチ適用なし(kernel version: kernel-3.10.0-514)

・Case-C

 サービス基盤側の対応実施後かつゲストOS上パッチ適用済(IBRS方式 )(kernel version: kernel-3.10.0-693.11.6.el7.x86_64)

・Case-D

 サービス基盤側の対応実施後かつゲストOS上パッチ適用済(Retpoline方式 )(kernel version: kernel-3.10.0-693.21.1.el7.x86_64 )

 

・いずれもRed Hat Enterprise Linuxのオフィシャルイメージから作成したVM、かつRed Hat Enterprise Linuxのデフォルト設定の状態Unixbenchを行った結果となります。

・Unixbenchのテスト項目の内容につきましては下記を参照ください。

テスト項目内容
Dhrystone 2 using register variables2つのレジスタを使ってシステム(整数)プログラミングの性能
Double-Precision Whetstone浮動小数点演算性能
Execl Throughput関数の呼び出し性能
File Copy 1024 bufsize 2000 maxblocksファイルのコピー(バッファサイズ1024バイト)
File Copy 256 bufsize 500 maxblocksファイルのコピー(バッファサイズ256バイト)
File Copy 4096 bufsize 8000 maxblocksファイルのコピー(バッファサイズ4096バイト)
Pipe Throughputパイプ処理のスループット
Pipe-based Context Switchingパイプベースのコンテキストのスイッチング処理
Process Creationプロセス作成
Shell Scripts (1 concurrent)1つだけシェルスクリプトの実行
Shell Scripts (8 concurrent)8つ同時にシェルスクリプトの実行
System Call Overheadシステムコールでのオーバーヘッド
System Benchmarks Index Scoreシステムベンチマークの総合スコア

・本検証結果はあくまで参考値であり、性能を保証するものではありませんので、予めご了承ください。

参考: CPU脆弱性(CVE-2017-5754(Meltdown)/CVE-2017-5715およびCVE-2017-5753(Spectre))の対応状況

このFAQは参考になりましたか?

参考になった 参考にならなかった
  • ECL2.0
  •  
  • 仮想サーバー
  •  

関連するページ

サービスの改善にご協力をお願いいたします

こちらのFAQは参考になりましたか? ご意見がございましたら、ぜひお聞かせください。

ありがとうございました

ご意見は送信されました。