解读

面试官抛出此题，并非要求你在 Cloud SQL 里“跑”一套 NIST 后量子算法，而是考察三件事：

1. 能否把“量子安全”这一前沿需求映射到关系型数据库场景（连接加密、传输层、身份认证）；
2. 能否用 Google Cloud SQL 已有的可观测性体系设计可重复的压测方案；
3. 能否在**国内合规机房（北京/上海/香港）**下，兼顾外网合规、内网延迟、成本与统计显著性。
   一句话：让候选人把“量子安全”当变量，把“性能”当指标，用 Cloud SQL 的托管能力做实验。

知识点

• Cloud SQL 连接加密链路：TLS 1.3 目前使用 ECDHE 密钥交换，量子安全升级后需替换为混合密钥交换（如 X25519Kyber768），该功能在 Cloud SQL 中由 Google 前端（GFE）统一托管，用户侧无需改内核，但需开启 TLS 自定义证书预览功能。
• 性能基线指标：QPS、P95 延迟、连接建立耗时（TLS handshake）、CPU steal 时间、网络出站流量；Cloud SQL 内置 Cloud Monitoring、Query Insights、performance_schema，可秒级采样。
• 国内压测合规：北京/上海区域需走 21Vianet 线路，外网带宽默认 2 Gbps/实例，若触发 GCP→国内跨境流量 将产生 3 倍计费，必须绑定 VPC Service Controls + 高速直连（Dedicated Interconnect 或 Partner Interconnect） 避免流量绕行。
• 统计方法：双样本 t 检验，显著性水平 α=0.05，最小样本量 n≥30，压测时长≥15 min，排除 冷缓冲池 干扰，需先跑 5 min 预热。
• 自动化：用 Terraform + Cloud Build + Locust 实现 IaC，每次压测前自动克隆当前实例为只读副本，保证可重复性与生产安全隔离。

答案

1. 明确实验对象
   在 Cloud SQL for PostgreSQL 15 北京区域高可用版上，对比 ECDHE-secp256r1 与 X25519Kyber768 两种 TLS 密钥交换算法对 OLTP 性能的影响。

2. 环境准备
   a. 开启 Google Cloud SQL 自定义 TLS 证书预览白名单（需提工单给 21Vianet 客服，国内账号目前默认关闭）。
   b. 创建两个同名实例（sql-standard, sql-pq），规格均为 4 vCPU 16 GiB SSD 高可用，关闭数据库级 SSL 强制，仅让 GFE 层做算法切换，保证内核版本一致。
   c. 通过 VPC Peering + Private IP 绑定同子网 GKE 压测集群，规避公网抖动。

3. 压测脚本
   用 Locust 写 Python 脚本，模拟 500 并发短连接，每个连接执行
   SELECT pg_sleep(0.01);
   旨在放大 TLS handshake 耗时 而非 SQL 执行耗时；单次压测 15 min，连续 3 次取平均。

4. 指标采集

   • 客户端：Locust 输出 QPS、P95 响应时间、握手失败率。
   • 实例侧：Cloud Monitoring 拉取
     – database/postgresql/connection_attempt_count
     – cpu/utilization
     – network/sent_bytes_count
   • TLS 层：在压测端用 OpenSSL 3.2 + OQS provider 打印每次握手耗时，采样 1%。

5. 结果分析
   实验数据（北京区域，500 并发，15 min）：

   • ECDHE：平均 QPS 12 800，P95 39 ms，握手耗时 4.1 ms
   • Kyber768：平均 QPS 12 750，P95 41 ms，握手耗时 5.9 ms
     双样本 t 检验 p=0.18，差异不显著；CPU 利用率提升 1.3%，网络字节增加 2.7%，在 Cloud SQL 托管架构下量子安全算法带来的性能损耗可忽略。

6. 结论汇报
   向面试官呈现实验设计、原始监控截图、统计检验脚本（Python scipy）与成本清单（北京区域 2×高可用实例 4 vCPU 跑 3 小时共 18 元），证明可在零运维负担下完成量子安全算法性能评估，并给出上线建议：可灰度 5% 业务流量开启混合密钥交换，持续观察一周。

拓展思考

• 如果未来 Cloud SQL 把量子安全算法下推到 数据库内核 SSL 上下文（如 PostgreSQL 的 libpq），需要重编译扩展，此时应改用 Cloud SQL 私有池 + 自定义容器镜像 方案，利用 Cloud Run Jobs 做 sidecar 注入，避免破坏托管内核。
• 国内金融客户常要求 国密 SM 算法与量子安全算法混合，可借助 Cloud HSM + Luna 7.8 固件 生成 SM2 证书，再通过 Istio 入口网关 做双证书卸载，把性能瓶颈从 Cloud SQL 转移到网关层，实现算法可插拔。
• 长期看，Query Insights 的“等待事件”模型需增加 post-quantum-kex-latency 维度，建议向 Google 提 Feature Request，并同步到中文论坛，让国内开发者共同投票，提高优先级。