保护 Redis Enterprise 免受 Meltdown 和 Spectre 漏洞的影响

随着最近安全漏洞的发现——Meltdown (CVE-2017-5754) 和 Spectre (CVE-2017-5753 和 CVE-2017-5715) —— Redis 的工程、DevOps 和支持团队一直在努力确保我们的云服务、Redis Enterprise Cloud (REC) 和 Redis Enterprise VPC (REV)，得到保护。

截至目前，我们所有在 AWS、Azure、GCP 和 IBM 云上的 REC 和 REV 集群均已由我们的云合作伙伴针对 Meltdown 进行了修补。此外，一些云供应商已经设法减轻了Spectre 的分支目标注入 (CVE-2017-5715)。

Redis Enterprise Software (RES) 客户

• 在上述公共云上使用 RES（并在专用实例上部署 RES，在这些实例上不与其他应用程序共享）的客户可以信赖虚拟机管理程序安全补丁。当 Redis 模块被禁用或者使用 Redis 的认证模块时，一个分离的 Redis 或 Redis Enterprise 实例不会受到 Meltdown 或 Spectre 的影响。
• 在本地使用 RES 的客户应部署内核页表隔离 (PKTI) 补丁。我们仍在等待所有主要发行版（例如 Amazon Linux、Red Hat Enterprise Linux 和 Ubuntu）的正式补丁发布，并会在未来几天提供其他建议。   

性能影响

Redis 的工程团队已经进行了一系列测试，以验证对我们云服务性能的影响。我们发现此补丁对我们的 Redis Enterprise VPC 服务的影响微乎其微，在 2.5% 到 5% 之间，而对我们的 Redis Enterprise Cloud 服务的影响在 5% 到 30% 之间，这些影响根据集群实例类型和云基础设施而略有不同。我们最初的测试在我们的 Redis on RAM 产品上执行，我们计划在未来几天和几周内将这些测试扩展到我们的 Redis on Flash 产品上。

在过去几天里，我们已经成功地为一些客户解决了性能问题。

我们的 REV 测试片段

我们在 AWS 上测试了一个 3 节点 REV 集群，以下是我们的发现

Meltdown 修复之前

Meltdown 修复之后

我们观察到吞吐量的影响微乎其微（2.5% 到 5%），几乎没有影响延迟。

测试参数

===========

Redis 团队