よくある質問
CPUの脆弱性(CVE-2017-5715およびCVE-2017-5753(Spectre))に対するサービス基盤の対応による性能影響について教えてください。
Enterprise Cloud 2.0 仮想サーバーにおけるVMを収容しているホストについて、CVE-2017-5715およびCVE-2017-5753(Spectre)の脆弱性を緩和するためのサービス基盤側の対応実施前後の性能影響につきまして、Unixbenchで検証を行った結果をご案内いたします。
Unixbenchの結果より、サービス基盤側の対応による性能影響はほぼないことが確認されております。
[2020/11/12追記]
■サービス基盤(ホストOS)の対応(NTT Com実施)
・下記の検証条件におけるサービス基盤側の脆弱性対応によるUnixbenchでの性能影響はほぼないことが確認されております。スループットについてはパフォーマンスが改善していることを確認しております。ただし、影響度合いはお客さまのシステム環境に依存します。
※ゲストOS上のパッチ適用に関する注意事項
・Retpoline方式
RedHat Enterprise Linux 7.3でRetpolineに対応したカーネルは
kernel-3.10.0-514.44.1.el7.x86_64 以降となります。( https://access.redhat.com/errata/RHSA-2018:0399 )
<Unixbench Tests検証結果に関する注釈>
・各ケースの内容につきましては下記を参照ください。
・Case-A
基盤バージョンアップ前のゲストOS上パッチ適用なし
・Case-B
基盤バージョンアップ前のゲストOS上パッチ適用済(Retpoline方式 )
・Case-C
基盤バージョンアップ後のゲストOS上パッチ適用なし
・Case-D
基盤バージョンアップ後のゲストOS上パッチ適用済(Retpoline方式 )
・いずれもRed Hat Enterprise Linuxのオフィシャルイメージから作成したVM、かつRed Hat Enterprise Linuxのデフォルト設定の状態Unixbenchを行った結果となります。
・Unixbenchのテスト項目の内容につきましては下記を参照ください。
テスト項目 | 内容 |
Dhrystone 2 using register variables | 2つのレジスタを使ってシステム(整数)プログラミングの性能 |
Double-Precision Whetstone | 浮動小数点演算性能 |
Execl Throughput | 関数の呼び出し性能 |
File Copy 1024 bufsize 2000 maxblocks | ファイルのコピー(バッファサイズ1024バイト) |
File Copy 256 bufsize 500 maxblocks | ファイルのコピー(バッファサイズ256バイト) |
File Copy 4096 bufsize 8000 maxblocks | ファイルのコピー(バッファサイズ4096バイト) |
Pipe Throughput | パイプ処理のスループット |
Pipe-based Context Switching | パイプベースのコンテキストのスイッチング処理 |
Process Creation | プロセス作成 |
Shell Scripts (1 concurrent) | 1つだけシェルスクリプトの実行 |
Shell Scripts (8 concurrent) | 8つ同時にシェルスクリプトの実行 |
System Call Overhead | システムコールでのオーバーヘッド |
System Benchmarks Index Score | システムベンチマークの総合スコア |
・本検証結果はあくまで参考値であり、性能を保証するものではありませんので、予めご了承ください。
参考: CPU脆弱性(CVE-2017-5754(Meltdown)/CVE-2017-5715およびCVE-2017-5753(Spectre))の対応状況