CDN更快一步,蓝汛QUIC协议的应用与测试

CDN 行业的技术出发点就是把用户访问网站业务的时间缩短,再缩短。因此,CDN服务商都尽可能把服务节点部署到离最终网民接近的网络节点上。除了从系统部署方式上提高网民访问的速度,减少网络传输的时间之外,在网民用于访问网站的网络协议上也在不断地演进变化。本文将根据蓝汛对QUIC协议的应用和测试经验,在该协议的开发、配置和启动等技术环节进行分享。

由SPDY到HTTP/2

2009年,Google在 “Make the Web faster” 的目标下,针对HTTP协议提出了SPDY。当时,提出SPDY的目标是在HTTP基础上,将页面加载的速度提高50%,同时也将部署未来新的应用协议的复杂性降低。

SPDY被证明是成功的,因为它在以下4个方面提升了整体的性能:

多路复用:通过同一个域名使用1个或者相对于HTTP/1.1更少的TCP连接数,SPDY避免了头部阻塞(HOL),同时由于减少了TCP连接,也就降低了新开TCP连接的系统开销。

头部压缩:通过对HTTP Header中反复发送的字段进行压缩,通过SPDY之后,请求头和响应头的体积都大大减小。

请求的优先级区分:高优先级的资源被优先请求,因此,对于页面解析的关键元素也就被优先下载展示。

Server Push / Server Hint: Server Push 在用户端还没有请求的前提下,由服务端推送相关内容给用户端;Server Hint是在服务端将一些资源标记了优先级,用户端在请求的时候可以根据目前的带宽情况(限制情况)决定是否下载。

因为SPDY在针对HTTP/1.x上性能的提升,IETF HTTP 工作组基于SPDY通过HTTP/2来优化HTTP协议。

HTTP/2 借鉴了SPDY的优化策略和思路,然而,两者之间也有不同点:

HTTP/2和SPDY的主要区别在于头部压缩的算法: HTTP/2使用的是HPACK压缩的方式,而SPDY使用的是DEFLATE方式压缩。

尽管如此,HTTP/2和SPDY还都是基于TCP作为连接层的基础,因此,性能的提升都是在同一个基础之上的。TCP协议饱受诟病的那些拥塞和丢包处理的方式影响着它们的性能发挥。

由TCP到UDP,QUIC的提出

QUIC 是(Quick Udp Internet Connection)的首字母缩写。是由 Google 提出的使用 UDP 进行多路并发传输的协议。

QUIC相比上文中 TCP+TLS+HTTP/2 组合有如下优势 :

减少了 TCP 三次握手及 TLS 握手时间。

改进的拥塞控制。

避免队头阻塞的多路复用。

连接迁移。

前向冗余纠错。

根据Jana Iyengar在2016年IETF柏林会议上针对QUIC的架构(如下图)采用QUIC采用UDP替代TCP实现的传输方式相对于TCP+TLS+HTTP/2的架构有了很大的变化。

目前看,早期在Google应用QUIC协议的业务效果相当不错,93%的业务没有因为QUIC应用不成功而回滚到原先架构;应用QUIC协议的业务降低 了5%的页面加载时间,而Youtube应用QUIC后,播放中再缓存降低了30%。

QUIC开发和测试

QUIC测试开发环境搭建:目前国内有的厂商已经在部分应用平台使用了QUIC协议,然而,支持QUIC的公有云目前还都没有。因此,我们如果需要测试QUIC的应用和平台,还需要自己进行搭建。下面,就将我们在内部进行QUIC初期测试时候的经验分享给大家。

Chrome浏览器打开QUIC:搭建一个最简单的实验环境,我们需要一个支持QUIC的server端和支持QUIC的客户端。

支持QUIC的客户端,最简单直接的方式就是采用Chrome浏览器。通常而言,Chrome浏览器还没有打开QUIC协议的支持,因此,需要通过以下步骤来操作:

在Chrome地址栏输入chrome://flags访问实验性的功能开关

在页面中搜索QUIC关键字

将QUIC的开关由“Default”变为“Enable”

重启Chrome

QUIC协议打开后,要检视相关的连接和配置需要通过在Chrome浏览器地址栏输入chrome://net-internals/#quic 来打开相关的页面。

由这个截图,我们可以看到,目前chrome(69)的QUIC版本是v43,这是个相当新的版本,当然也会对QUIC的server端选择造成困扰。

Caddy Server支持QUICCaddy 和我们常用的Apache、Nginx一样,是一个Web Server,而且是使用go语言开发的。相对于后两者,它具备以下一些优点:

内建对HTTP/2的支持

对Let’sencrypt的支持

对QUIC支持

对多核系统的支持

易于部署

对IPv6的支持

其中第2、第3点是满足我们后面的实验的重要功能需求。

安装Caddy server

我们采用的是Centos7系统,安装Caddy使用直接从getcaddy.com直接拉取编译好的版本:

$ curl -s https://getcaddy.com | bash

脚本执行的过程中,需要提供sudo权限让caddy程序安装到/usr/local/bin目录下。

等脚本执行完我们需要为caddy创建一个没有登录权限的用户,如“caddy”:

$ sudo adduser -r -d /var/www -s /sbin/nologin caddy

然后我们要建立www的目录,配置文件caddyfile的目录,及其他一些相关权限:

$ sudo mkdir /etc/caddy

$ sudo chown -R root:caddy /etc/caddy

$ sudo touch /etc/caddy/Caddyfile

$ sudo mkdir /etc/ssl/caddy

$ sudo chown -R caddy:root /etc/ssl/caddy

$ sudo chmod 0770 /etc/ssl/caddy

$ sudo mkdir /var/www

$ sudo chown caddy:caddy /var/www

配置caddy的系统服务

由于我们使用的是Centos 7,使用的是systemd管理系统服务。方便的是,caddy的systemd服务脚本可以从以下地址下载:

$sudo curl -s

https://raw.githubusercontent.com/mholt/caddy/master/dist/init/linux-systemd/caddy.service-o /etc/systemd/system/caddy.service

我们需要修改一下caddy的service文件:

/etc/systemd/system/caddy.service当中User和Group信息,将它们改为caddy:

; User and group the process will run as.

User=caddy

Group=caddy

reload一下,以使修改生效:

$ sudo systemctl daemon-reload

现在,在启动caddy之前,我们还需要配置一下Let’sencrypt的自动TLS。

配置Let’s encrypt自动TLS

要通过Caddy使用Let’sencrypt的自动TLS,要满足以下条件:

Caddy需要绑定443端口,同时,这个端口要从外网可访问

Caddy HTTP只能设定为80端口,同时,TLS不能从caddy的配置里关掉

Caddy里面的server设置的域名必须是真实可解析的域名,不能使localhost,证书将绑定这个域名

Caddy必须设定用于私钥恢复的邮件地址

我们来配置/etc/caddy/Caddyfile来满足要求:

假设我们的域名是quictesting.net,那么我们的配置文件可以是这样:

quictesting.net {

root /var/www

gzip

tls admin@quictesting.net

}

别忘了在/var/www下面放上一个index.html文件,比如Hello World 。

$ sudo systemctl restart caddy

启动Caddy,然后我们再使用Chrome来访问,可以观察header信息:

说明Let’sencrypt的HTTPS已经起作用了。然而,这个时候,QUIC还没有启动呢。

启动Caddy QUIC

通过修改systemd的服务启动选项来启动QUIC服务。

别忘了reload daemon以保证配置生效。这时候,我们再用chrome来访问,看看header的变化。发现在响应头多了一行:

表明Caddy现在系统的QUIC版本是39。因此,这个时候,我们用Chrome去看QUIC信息,发现没有active connection,原因就在于此。

解决方案:关于升级Caddy 使用的libquic,我们将在下期CC-Tech与您分享。