Spectre touche tous les processeurs modernes, AMD compris.
Il va falloir faire un choix entre sécurité et pérennité vs. les performances ... choix évident, et pour atteindre le même niveau de perfs il va falloir acheter des serveurs et donc des processeurs...
Le mar. 17 déc. 2019 à 22:24, Jean-Francois Maeyhieux b4b1@free.fr a écrit :
Les performances des processeurs intel ces 10 dernières années n'ont que peu évoluées et en réalité, les gains de performance sont issus notamment des optimisations sur les mécanismes de prédiction et la gestion de la cache, qui sont par essence les domaines impactées par les failles de cette année.
Intel s'est reposé sur ses lauriers devant un manque de concurrence à la hauteur et n'a que peut progresser sur la finesse de gravure et utilise toujours la même architecture depuis trop de générations. Ce retard leur est actuellement difficile à rattraper, faute d'innovation en R&D depuis 10 ans.
AMD, quant à lui est revenu sur le devant de la scène ces 2 dernières années et pour le choix d'un processeur pour une workstation, je te conseille sans hésiter un AMD Ryzen 9 3900X qui présente 12 coeurs et 24 threads pour un prix raisonable et le tout gravé en 7nm pour les coeurs (14nm pour la partie controlleur, anciennement northbridge). Des tests de scalabilité montre que l'idéal serait 10 coeurs sur cette architecture. Donc je pense que le 3900X est plus intéressant que le 3950X avec ses 16 coeurs et 32 threads. De plus l'architecture étant différente et bien plus moderne, les failles concernant Intel ne les concernent pas (seulement 3 failles mitigées pour un AMD contre 14 pour un Intel).
En datacenter, AMD a son jeu à jouer maintenant car le rythme des mitigations à appliquer aux processeurs Intel impliquent un temps de maintenance imprévu non négligeable (14 failles en 1 an) tout en apportant ses régréssions de performances. Ce qui représente une charge de travail conséquente et non productive aux sysadmins.
Cordialement,
Jean-François Maeyhieux Atanar Technologies http://www.atanar.com
Le mardi 17 décembre 2019 à 20:49 +0000, Vincent Duvernet a écrit :
Et dire que les nouveaux processeurs doivent nous apporter plus de performances. Pour ma part, je n'ai pas vraiment mesuré l'impact des 2 failles. Avant même que leur existence ne soit dévoilée, je trouvais déjà certains CPU décevants. Ma vieille workstation Terra i7-970 avec 32 GB de RAM et un SSD compile plus vite (avec un facteur x5 de mémoire sur des batchs) par rapport A mon portable Dell Inspiron 7773 avec son i7-8850U, 16 GB de RAM et un SSD. Alors oui, c'est une génération U oui mais elle a presque 10 ans de moins, ça fait mal.
Pour les Windowsiens, j'ai trouvé 2 outils qui recherchent la faille : https://www.grc.com/inspectre.htm (très rapide)
https://www.ashampoo.com/en/usd/psr/1304/security-software/spectre-meltdown-... (lui a mouliné un certains
temps)
Comme j'envisage de remplacer mon vieux i7, je me pose pas mal de question pour savoir quel sera le meilleur choix pour Visual Studio 2019 (et un peu de gaming de temps en temps, on se refait pas ^^). Intel i7/i9, Intel Xeon, AMD ? Revoir le sujet des perfs de spectre et meltdown revenir me fait m'interroger sérieusement.
Vincent
-----Message d'origine----- De : FRsAG frsag-bounces@frsag.org De la part de Jean-Francois Maeyhieux Envoyé : mardi 17 décembre 2019 18:32 À : frsag@frsag.org Objet : Re: [FRsAG] Impact sur les performances des protections contre Spectre/Meltdown
Je confirme ce que te dit Florian, certaines mises à jour du microcode corrigent soit directement une faille, soit corrigent une faille de concert avec l'OS (principalement le kernel).
Je te conseille d'utiliser le script spectre-meltdown-checker qui fait un diagnostic de l'état du système vis à vis de chaque faille. Tu y découvriras pour chaque faille le ou les pré-requis au niveau du micro-code et/ou de l'OS: https://github.com/speed47/spectre-meltdown-checker
Cela te permettra potoentiellement de downgrader le microcode pour revenir à tes anciennes performances.
A noter, le micro-code se met à jour:
- soit par flashage du BIOS
- soit par chargement du microcode au boot de ta machine:
- via un initrd (prise en compte en début de boot)
- via un service (prise en compte plus tard dans la phase de boot)
De plus, tu as remarqué une dégradation de l'usage CPU mais l'impact principal de ces correctifs concernent tout ce qui est relatif aux appels systèmes donc principalement les I/O car à chaque appel système depuis le user-space, il faut flusher le cache du CPU ! J'ai pu remarqué des pertes de l'ordre de 30% notamment sur les accès disques en écriture aléatoire.
Ces correctifs sont vraiment vicieux car à chaque correctif, Intel nous dit que l'impact est de l'ordre de quelques pourcents mais tout les correctifs cumulés entrainent de sérieuses régréssions des performances au final.
Cordialement,
Jean-François Maeyhieux Atanar Technologies http://www.atanar.com
Le mardi 17 décembre 2019 à 17:50 +0100, Greg a écrit :
Oui, et en cas d'absence de ces microcodes, les protections ne peuvent fonctionner, et donc c'est comme si elles étaient désactivées.
Le mar. 17 déc. 2019 à 16:48, Florian Stosse < florian.stosse@gmail.com> a écrit :
Hello,
A tout hasard, est ce que tu appliques également les mises à jour du microcode Intel à la volée lors du boot, avec le paquet intel- microcode ? La différence de performances peut aussi venir de là.
-- Florian STOSSE | Ingénieur en sécurité informatique
Le mar. 17 déc. 2019 à 16:26, Greg greg-frsag@duchatelet.net a écrit :
Bonjour,
Les derniers Kernel semblent plus mauvais en terme de performance. Un serveur fonctionnait sur un kernel "maison" 4.14, j'ai voulu le remettre en kernel officiel Debian Buster donc 4.19, les performances se sont écroulées: hausse de la conso CPU, du load, et augmentation des temps de réponse PHP de l'ordre de +50% ! Le dernier kernel 5.3 n'apportera aucune solution.
On peut depuis le 5.2 désactiver les protections contre les failles de sécurité affectant tous les processeurs modernes (pas que Intel, mais aussi ARM, AMD et MIPS) avec le paramètre de boot mitigations=off C'est mieux, mais je ne retrouve pas les perfs du 4.14 (conso CPU et temps de réponse).
Lien vers la doc sur ces paramètres:
https://linuxreviews.org/HOWTO_make_Linux_run_blazing_fast_(again)_on_Intel_...
Voilà ce que ça donne sur un serveur en production :
Savez vous ce qu'il faudrait faire pour retourner au niveau de perf du 4.14 ?
Merci !
Greg _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
Liste de diffusion du FRsAG http://www.frsag.org/
Liste de diffusion du FRsAG http://www.frsag.org/
Liste de diffusion du FRsAG http://www.frsag.org/