本文延續前篇效能校正的經驗談，上篇文章探討了關於應用程式本身可以最佳化的部分，包含了應用程式以及框架兩個部分。本篇文章將繼續剩下最佳化步驟的探討。

Speculative Execution Mitigations
接下來探討這個最佳化步驟對於效能有顯著的提升，但是本身卻是一個非常具有爭議性的步驟，因為其涉及到整個系統的安全性問題。
如果大家對前幾年非常著名的安全性漏洞 Spectre/Meltdown 還有印象的話，本次這個最佳化要做的就是關閉這類型安全性漏洞的處理方法。
標題的名稱 Speculative Execution Migitations 主要跟這漏洞的執行概念與 Pipeline 有關，有興趣理解這兩種漏洞的可以自行研究。

作者提到，大部分情況下這類型的防護能力都應該打開，不應該關閉。不過作者認為開關與否應該是一個可以討論的空間，特別是如果已經確認某些特別情境下，關閉防護能力帶來的效能如果更好，其實也是一個可以考慮的方向。

舉例來說，假設今天你運行了基於 Linux 使用者權限控管與 namespaces 等機制來建立安全防護的多使用者系統，那這類型的防護能力就不能關閉，必須要打開來防護確保整體的 Security Boundary 是完整的。 但是如果今天透過 AWS EC2 運行一個單純的 API Server，假設整個機器不會運行任何不被信任的程式碼，同時使用 AWS Nitro Enclaves 來保護任何的機密資訊，那這種情況下是否有機會可以關閉這類型的檢查?

作者根據 AWS 對於安全性的一系列說明認為 AWS 本身針對記憶體的部分有很強烈的保護，包含使用者之間沒有辦法存取 Hyperviosr 或是彼此 instance 的 Memory。
總之針對這個議題，有很多的空間去討論是否要關閉，以下就單純針對關閉防護能力帶來的效能提升。

作者總共關閉針對四種攻擊相關的處理能力，分別是

Spectre V1 + SWAPGS
Spectre V2
Spectre V3/Meltdown
MDS/Zombieload, TSX Anynchronous Abort
與此同時也保留剩下四個，如 iTLB multihit, SRBDS 等
這種設定下，整體的運作效能再次提升了 28% 左右，從 347k req/s 提升到 446k req/s。

註: 任何安全性的問題都不要盲從亂遵循，都一定要評估判斷過

Syscall Auditing/Blocking
大部分的情況下，Linux/Docker 處理關於系統呼叫 Auditing/Blocking 兩方面所帶來的效能影響幾乎微乎其微，不過當系統每秒執行數百萬個系統呼叫時，這些額外的效能負擔則不能忽視，如果仔細觀看前述的火焰圖的話就會發線 audit/seccomp 等數量也不少。

Linux Kernel Audit 子系統提供了一個機制來收集與紀錄任何跟安全性有關的事件，譬如存取敏感的機密檔案或是呼叫系統呼叫。透過這些內容可以幫助使用者去除錯任何不被預期的行為。
Audit 子系統於 Amazon Linux2 的環境下預設是開啟，但是本身並沒有被設定會去紀錄系統呼叫的資訊。

即使 Audit 子系統沒有真的去紀錄系統呼叫的資訊，該子系統還是會對每次的系統呼叫產生一點點的額外處理，所以作者透過 auditctl -a never,task 這個方式來將整體關閉。

註: 根據 Redhat bugzilla issue #1117953, Fedora 預設是關閉這個行為的

Docker/Container 透過一連串 Linux Kernel 的機制來隔離與控管 Container 的執行權限，譬如 namespace, Linux capabilities., cgroups 以及 seccomp。
Seccomp 則是用來限制這些 Container 能夠執行的系統呼叫類型

大部分的容器化應用程式即使沒有開啟 Seccomp 都能夠順利的執行，執行 docker 的時候可以透過 --security-opt seccomp=unconfined 這些參數告訴系統運行 Container 的時候不要套用任何 seccomp 的 profile.

將這兩個機制關閉後，系統帶來的效能提升了 11%，從 446k req/s 提升到 495k req/s。

從火焰圖來看，關閉這兩個設定後，syscall_trace_enter 以及 syscall_slow_exit_work 這兩個系統呼叫也從火焰圖中消失，此外作者發現 Amazon Linux2 預設似乎沒有啟動 Apparmor 的防護，因為不論有沒有關閉效能都沒有特別影響。

Disabling iptables/netfilter
再來的最佳化則是跟網路有關，大名鼎鼎的 netfilter 子系統，其中非常著名的應用 iptables 可以提供如防火牆與 NAT 相關功能。根據前述的火焰圖可以觀察到，netfilter 的進入 function nf_hook_slow 佔據了大概 18% 的時間。

將 iptables 關閉相較於安全性來說比較沒有爭議，反而是功能面會不會有應用程式因為 iptables 關閉而不能使用。預設情況下 docker 會透過 iptables 來執行 SNAT與 DNAT(有-p的話)。
作者認為現在環境大部分都將 Firewall 的功能移到外部 Cloud 來處理，譬如 AWS Security Group 了，所以 Firewall 的需求已經減少，至於 SNAT/DNAT 這類型的處理可以讓容器與節點共享網路來處理，也就是運行的時候給予 “–network=host” 的模式來避免需要 SNAT/DNAT 的情境。

作者透過修改腳本讓開機不會去預設載入相關的 Kernel Module 來達到移除的效果，測試起來整體的效能提升了 22%，從 495k req/s 提升到 603k req/s

註: 這個議題需要想清楚是否真的不需要，否則可能很多應用都會壞掉

作者還特別測試了一下如果使用 iptables 的下一代框架 nftables 的效能，發現 nftables 的效能好非常多。載入 nftables 的kernel module 並且沒有規則的情況下，效能幾乎不被影響(iptables 則相反，沒有規則也是會影響速度)。作者認為採用 nftables 似乎是個更好的選擇，能夠有效能的提升同時也保有能力的處理。

不過 nftables 的支援相較於 iptables 來說還是比較差，不論是從 OS 本身的支援到相關第三方工具的支援都還沒有這麼完善。就作者目前的認知， Debian 10, Fedora 32 以及 RHEL 8 都已經轉換到使用 nftables 做為預設的處理機制，同時使用 iptables-nft 這一個中介層的轉換者，讓所有 user-space 的規則都會偷偷的轉換為底層的 nftables。
Ubuntu 似乎要到 20.04/20.10 的正式版本才有嘗試轉移到的動作，而 Amazon Linux 2 依然使用 iptables 來處理封包。

下篇文章會繼續從剩下的五個最佳化策略繼續介紹

https://talawah.io/blog/extreme-http-performance-tuning-one-point-two-million/

📰 蘭陽講堂傾聽老樹心聲　守護大地平安自在

人生病了，找醫生治療；如果，樹生病了呢？法鼓山蘭陽分院邀請日本國家認證的樹醫生、現任職中興大學園藝系副教授劉東啟，於3/20分享「如何傾聽老樹的語言」，期望民眾能對樹木多一些了解，進而守護我們生活的環境。

這場演講讓聽眾學習樹木語言、理解樹木的需求之外，更深一層其實是在學習以「尊重」的態度，來對待每一棵樹、每一個人，乃至每一個眾生。從尊重出發，才能真正瞭解人與樹、人與環境之間，找到彼此共好的對待方式。

「您今天用了多少樹呢？」一開場，劉教授問大家。我們腳下踩的地板、手上拿的筆記本、平日吃的水果…都來自「樹」。樹，是地球上最偉大的供養者。

劉東啟表示，地球的生命來自於太陽的能量，而樹正是能量的轉換者。森林能有效減緩全球暖化速度、涵養水源、保護土壤，提供人類及許多生物生存所需，因此正確理解樹木可說是人類文明很重要的一件事。

劉東啟表示，植物與動物的構造不同，不可以用對待動物的思維來理解樹木，應該要拋開錯誤的認知，用心傾聽它的聲音，才能真正的保護它，創造出人與自然和諧共處的環境。

林小姐聽完演講說，經過老師的解釋，才明白如何透過與樹對話幫助生活周遭的樹木群，保護樹木不是少數人的工作，政府、民眾都有責任。人們每天匆忙趕路，卻很少抬頭看看身邊正在開花的樹，聽了老師分享後，也才真的抬頭欣賞。

聽眾王老師表示，原來我們一直都用人的角度來照顧樹，因為不懂它真正的需求，採取的是自私的、自以為是為它好的做法，結果反而造成傷害。這也讓她反思到自己和學生之間的點滴，覺得自己要再多些覺察，去瞭解學生真正需要什麼，再採取行動，讓彼此都好。

法鼓山蘭陽分院「平安自在 任意門」第二場講座將於4/17邀請心理學家鄭石岩，以「我好你也好，建立群我心關係」為講題，傳授如何穿透人我的藩籬，安己安人，達成和諧的群我關係。講座免費參加，請上蘭陽分院官網： http://ly.ddm.org.tw 報名，或電(03)961-0296洽詢。

#法鼓山蘭陽分院

\\ Blender初學全攻略 - 純手作療癒音樂盒 募資期間優惠中！ //

小深藍和Hahow一同開設的超初階3D繪圖線上課程，開始募資啦~

小深藍專用上課通道：https://tinyurl.com/LDB06
(走別的路錢錢會被分掉！拜託走這裡XD)

Blender是一套跨平台的3D繪圖算繪軟體，內建的EEVEE即時算繪引擎以及強大的3D、2D多媒體創作能力，讓你能夠輕易的完成各種風格的動、靜態作品。

在本次的課程中包含了從建模、材質、燈光、骨架到動畫的操作技巧以及創作流程基礎教學，讓你學習如何從頭到尾完成療癒音樂盒的動畫專案。

創作愛好者OK！
多媒體相關科系學生OK！
自由接案者OK！
軟體轉換者OK！
完全沒有3D基礎也OK！

讓我們一起進入Blender自由創造的世界吧！

感謝大家！

小深藍專用上課通道：https://tinyurl.com/LDB06

這場大部分都是腰射
而已我拿的是平行步槍跟轉換者
在白金場完全凌虐近距離的敵人！
到鑽石就不能2把腰射步槍了 要配一把霰彈槍或301

#APEX英雄 #Waisun #腰射之鬼

身法0分 槍法100分 上分全靠賽
看我這季怎樣上鑽石！
每天晚上6點Twitch直播
有時候會早點開

🌟🌟🌟🌟🌟🌟🌟🌟🌟🌟🌟🌟🌟🌟🌟
想看我玩什麼遊戲又想看得舒壓的
在下方留言讓我知道吧！
用行動來支持我的頻道！
訂閱 點讚 開啟小鈴鐺🔔
也可以入會員來支持我做出更好的作品！
🌟🌟🌟🌟🌟🌟🌟🌟🌟🌟🌟🌟🌟🌟🌟

🔴Twitch直播👾: https://www.twitch.tv/waisun

🐱IG: https://www.instagram.com/datwaisun/

✨Facebook: https://www.facebook.com/DatWaisunguy/

E-mail 合作聯絡 : chwai3721@hotmail.com

用垃圾轉換者做出各種龍

決鬥重溫：
https://duellinks.konami.net/att/02feb98af779132505fbd577738e9c8633a4f2e8db
------------------------------------------------
日本語版：https://youtu.be/uTDHJYW6zFY
English version: https://youtu.be/aa9DVOXSU7g

隱蔽騎士－鐵鉤－的一回殺combo
必要卡片張數：7張(場上：軍神概布、隱蔽騎士－鐵鉤－、閃光俠、電光槍×3，墓地：AD轉換者)
可能還需要二重召喚什麼的來湊齊它們

決鬥重溫：
https://duellinks.konami.net/att/02256c4ce99bf70044a238b10e21273ba7d6d2020b
------------------------------------------------
日本語版：https://youtu.be/Mvm1gKQVudg
English version: https://youtu.be/J6i2J2DX8jc