AMDのサーバー向けCPU「EPYC」がLet’s Encryptのデータベースサーバーに採用される

無料のSSL証明書を発行するLet’s Encryptが、データベースサーバーにAMDのサーバー向けCPU「EPYC」を採用したことを明らかにしました。Googleのクラウドサービスやコンテンツデリバリネットワークを提供するCloudflareに追従する形であり、サーバー業界へのAMDの進出が加速しています。

The Next Gen Database Servers Powering Let's Encrypt - Let's Encrypt - Free SSL/TLS Certificates
https://letsencrypt.org/2021/01/21/next-gen-database-servers.html

Let’s Encryptは安全なインターネット通信に不可欠なSSL証明書を無料で発行している認証局です。2億3000万以上のウェブサイトがLet’s Encryptを利用しており、2020年2月には発行した証明書の総数が10億件を超えました。

Let’s Encryptが発行したSSL証明書が10億件を突破したと発表、HTTPSの利用は過去3年で急速に増加 - GIGAZINE

Let’s Encryptでは、登録者や証明書発行プロセスの管理にMariaDBを使用しているとのこと。単一のプライマリーDBで証明書の発行を行い、その配下に多数のリードレプリカを設置するシンプルな構成となっており、セキュリティや信頼性の向上、メンテナンスの煩雑さの低減を可能にしているとLet’s Encryptは語っています。

そんなLet’s Encryptのデータベースサーバーが更新され、CPUやメモリなどがアップグレードされました。アップグレード内容は以下となっています。

まず注目すべきはCPUがIntelのXeonシリーズからAMDのEPYCシリーズへと変更されている点。物理コア数が24コアから64コアへと強化されています。また、EPYC 7452はPCIe 4.0を128レーン備えているため、PCIe 3.0を48レーンしか使えないXeon E5-2650では実現できなかったNVMe SSDの搭載が可能となり、ストレージのスループットが大幅に向上しています。なお、サーバーそのものは2UラックサーバーのDell PowerEdge R7525で、ケースの中身はこんな感じ。

ソフトウェア面については、旧サーバーではハードウェアRAIDでRAID 10を構築していましたが、NVMe SSDで利用できる効率的なハードウェアRAIDが存在しなかったため、新サーバーではOpenZFSによるRAIDを構築しているとのこと。OpenZFSとMariaDBを組み合わせて利用する際の詳しいチューニング内容もGitHubに公開されています。

サーバーアップグレード後のAPIリクエストに対する応答時間を見てみると、旧サーバーでは90ミリ秒ほどかかっていたのに対し、新サーバーでは9ミリ秒に改善しています。

旧サーバーでは、データベースのクエリ応答速度は0.45ミリ秒ほどでしたが……

新サーバーでは0.15ミリ秒にまで改善。

旧サーバーのCPU利用率を見てみると、90％以上の状態が常に続いており、処理に限界があったことがわかります。

新サーバーでは利用率は25％程度に抑えられており、処理に余裕があります。赤枠の急激な変化は、新サーバーをリードレプリカからプライマリーに昇格させたタイミングとのこと。

新サーバーは非常に高価であり、SREチームにとっては大仕事でしたが、Let’s Encryptは今回のアップグレードを「より多くの人がLet’s Encryptでセキュリティやプライバシーを確保する」ために必要だったと語っています。なお、Let’s Encryptは非営利団体によって運営されており、以下のURLから寄付を行うことができます。

Donate - Let's Encrypt - Free SSL/TLS Certificates
https://letsencrypt.org/donate/