我遇到了在同一虚拟机管理程序(在 Qemu/KVM 下运行)上的两个虚拟机之间运行 Wireguard 隧道的性能问题,我将非常感谢任何有关此问题的见解/建议。我遇到的问题是,各种基准测试显示wireguard 连接/隧道的速度比wireguard 运行的“正常”网络连接的速度慢约80-90%。 Wireguard 配置是一个简单的点对点配置。
两台物理计算机之间的相同 Wireguard 配置运行良好,只会导致性能损失约 4-5%。这让我相信问题出在虚拟化层的某个地方。我已经尝试了很多事情,但没有取得积极的结果:
- 增加虚拟机的 CPU 和 RAM 没有任何效果。
- 在这些虚拟机上测试加密/解密任务的性能,没有发现明显的性能下降。因此这些虚拟机的 CPU 性能似乎还不错。
- 在虚拟机管理程序 BIOS 中启用了对 CPU 的虚拟化支持
- 我尝试了一些不同的 MTU 大小,没有真正的区别。
- Qemu/KVM 内的 CPU 固定和各种 CPU 设置没有区别。
- Wireguard 正在内核模式下运行
- 我在不同的机器/虚拟机管理程序组合(例如 VirtualBox)上使用相同的设置遇到了相同的问题,这让我相信我在某种程度上做了一些错误的配置。所有在虚拟机上运行的东西似乎都有这个问题。
- 不同的Linux发行版似乎也没有什么区别
这是有关我的设置和基准的更多信息。这两个虚拟机称为wireguard-client-01和wireguard-server:
wireguard-client-01 网络信息:
[root@wireguard-client-01 ~]# ip a
2: enp1s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
link/ether 52:54:00:d4:fa:89 brd ff:ff:ff:ff:ff:ff
inet 192.168.2.41/24 brd 192.168.2.255 scope global dynamic noprefixroute enp1s0
valid_lft 863813sec preferred_lft 863813sec
inet6 fd00::5054:ff:fed4:fa89/64 scope global dynamic noprefixroute
valid_lft 7021sec preferred_lft 3421sec
inet6 fe80::5054:ff:fed4:fa89/64 scope link noprefixroute
valid_lft forever preferred_lft forever
3: wg0: <POINTOPOINT,NOARP,UP,LOWER_UP> mtu 1420 qdisc noqueue state UNKNOWN group default qlen 1000
link/none
inet 10.8.0.2/24 scope global wg0
valid_lft forever preferred_lft forever
wireguard-服务器网络信息:
2: enp1s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
link/ether 52:54:00:73:c2:6d brd ff:ff:ff:ff:ff:ff
inet 192.168.2.40/24 brd 192.168.2.255 scope global dynamic noprefixroute enp1s0
valid_lft 863677sec preferred_lft 863677sec
inet6 fd00::5054:ff:fe73:c26d/64 scope global dynamic noprefixroute
valid_lft 6880sec preferred_lft 3280sec
inet6 fe80::5054:ff:fe73:c26d/64 scope link noprefixroute
valid_lft forever preferred_lft forever
3: wg0: <POINTOPOINT,NOARP,UP,LOWER_UP> mtu 1420 qdisc noqueue state UNKNOWN group default qlen 1000
link/none
inet 10.8.0.1/24 scope global wg0
valid_lft forever preferred_lft forever
wireguard 服务器 wg0 配置:
[Interface]
Address = 10.8.0.1/24
SaveConfig = true
ListenPort = 51820
PrivateKey = <my_private_key>
[Peer]
PublicKey = E0eS7oBffTDg8Qj4ZeIUhxA0GUC3HrSfacrjP54hFQI=
AllowedIPs = 10.8.0.2/32
Endpoint = 192.168.2.41:48671
Wireguard-client-01 wg0 配置:
[Interface]
PrivateKey = <my_private_key>
Address = 10.8.0.2/24
[Peer]
PublicKey = h+kDKK/2Y+WXRiO9lSQ0RT3HsRi0m6OckOkEJep/2jM=
AllowedIPs = 10.8.0.0/24
Endpoint = 192.168.2.40:51820
iperf3 对“普通”网络接口的基准测试:
[root@wireguard-client-01 ~]# iperf3 --client 192.168.2.40
Connecting to host 192.168.2.40, port 5201
[ 5] local 192.168.2.41 port 57836 connected to 192.168.2.40 port 5201
[ ID] Interval Transfer Bitrate Retr Cwnd
[ 5] 0.00-1.00 sec 913 MBytes 7.66 Gbits/sec 2 3.11 MBytes
[ 5] 1.00-2.00 sec 956 MBytes 8.00 Gbits/sec 2 3.11 MBytes
[ 5] 2.00-3.00 sec 958 MBytes 8.05 Gbits/sec 5 3.11 MBytes
[ 5] 3.00-4.00 sec 1.05 GBytes 9.00 Gbits/sec 3 3.11 MBytes
[ 5] 4.00-5.00 sec 998 MBytes 8.37 Gbits/sec 5 3.11 MBytes
[ 5] 5.00-6.00 sec 1014 MBytes 8.50 Gbits/sec 4 3.11 MBytes
[ 5] 6.00-7.00 sec 1.02 GBytes 8.75 Gbits/sec 4 3.11 MBytes
[ 5] 7.00-8.00 sec 960 MBytes 8.06 Gbits/sec 5 3.11 MBytes
[ 5] 8.00-9.00 sec 1.17 GBytes 10.0 Gbits/sec 2 3.11 MBytes
[ 5] 9.00-10.00 sec 1022 MBytes 8.58 Gbits/sec 3 3.11 MBytes
- - - - - - - - - - - - - - - - - - - - - - - - -
[ ID] Interval Transfer Bitrate Retr
[ 5] 0.00-10.00 sec 9.90 GBytes 8.50 Gbits/sec 35 sender
[ 5] 0.00-10.03 sec 9.89 GBytes 8.47 Gbits/sec receiver
iperf Done.
与wireguard隧道相比的iperf3基准(请注意比特率的差异下降了约80%):
[root@wireguard-client-01 ~]# iperf3 --client 10.8.0.1
Connecting to host 10.8.0.1, port 5201
[ 5] local 10.8.0.2 port 39384 connected to 10.8.0.1 port 5201
[ ID] Interval Transfer Bitrate Retr Cwnd
[ 5] 0.00-1.00 sec 125 MBytes 1.05 Gbits/sec 106 1.59 MBytes
[ 5] 1.00-2.00 sec 120 MBytes 1.01 Gbits/sec 0 1.74 MBytes
[ 5] 2.00-3.00 sec 132 MBytes 1.11 Gbits/sec 0 1.83 MBytes
[ 5] 3.00-4.00 sec 176 MBytes 1.48 Gbits/sec 22 1.40 MBytes
[ 5] 4.00-5.00 sec 221 MBytes 1.85 Gbits/sec 0 1.50 MBytes
[ 5] 5.00-6.00 sec 191 MBytes 1.61 Gbits/sec 0 1.58 MBytes
[ 5] 6.00-7.00 sec 42.5 MBytes 357 Mbits/sec 0 1.58 MBytes
[ 5] 7.00-8.00 sec 191 MBytes 1.60 Gbits/sec 0 1.65 MBytes
[ 5] 8.00-9.00 sec 194 MBytes 1.63 Gbits/sec 169 1.21 MBytes
[ 5] 9.00-10.00 sec 214 MBytes 1.79 Gbits/sec 0 1.36 MBytes
- - - - - - - - - - - - - - - - - - - - - - - - -
[ ID] Interval Transfer Bitrate Retr
[ 5] 0.00-10.00 sec 1.57 GBytes 1.35 Gbits/sec 297 sender
[ 5] 0.00-10.04 sec 1.57 GBytes 1.34 Gbits/sec receiver
iperf Done.
我非常感谢有关此问题的任何建议,并提前感谢您的帮助!