[GTER] Hardware ServerU L-100 / L-800

Patrick Tracanelli eksffa at freebsdbrasil.com.br
Wed Feb 25 15:28:24 -03 2015 

> On 25/02/2015, at 14:40, Fabiano Ribeiro <fabiano.ribeiro at gerenciatec.com.br> wrote:
> 
> Patrick,
> 
>     Essa "placa" a que você se refere para fazer o trabalho sujo seria o
> que ? Uma GPU no barramento do hardware ?

Oi Fabiano.

Não.

Uma Chelsio, Cavium ou Napatech. São com esses 3 que trabalhamos. Tem mais opções no mercado mas nós especificamente, confiamos nesses. Tem muito produto totalmente fechado no mercado que usam aceleração e offloading de um desses fabricantes mas não deixam isso claro, e acabam “vendendo um milagre” que na verdade pertence a outro santo. 

Se colocássemos nas especificações da ServerU oq a L-800 pode fazer com uma expansão Chelsio ou Cavium, é “brutal” a diferença, mas preferimos deixar na especificação o que vai se conseguir vanilla, na configuração default. Isso deve mudar em breve nos EUA, mas no Brasil, bom… estamos brigando com a questão fiscal pra conseguir por elas no PPB e viabilizar por aqui.

Agora que eu li meu e-mail, desculpem a dislexia huhauhahua, tem frase que ficou duro de engolir. É a pressa ;-)


> 
> Em 25 de fevereiro de 2015 12:54, Patrick Tracanelli <
> eksffa at freebsdbrasil.com.br> escreveu:
> 
>> 
>>> On 24/02/2015, at 20:32, Rubens Kuhl <rubensk at gmail.com> wrote:
>>> 
>>> Qualquer x86 vai comer isso com farinha. O ServerU é legal pela
>> integração,
>>> consumo etc.,  mas 200 regras stateful é pouco para um PC.
>>> 
>>> 
>>> Rubens
>> 
>> Maais ou menos, mais ou menos. Infelizmente não é bem assim pra x86 ou
>> qualquer outra arquitetura.
>> 
>> O casfre perguntou sobre regras e não states. E uma regra é tudo que você
>> precisa pra gerar milhões de states e esgotar sua RAM. Vira e mexe essa
>> discussão acontece no NANOG, e os pontos sempre dão pano pra manga. Mas
>> vamos simplificar, IPTables vai consumir 4K por state sem contará, 5 a 6K
>> com conntrack. PF e IPFW vão gastar 4K de memória por state sem NAT. Dai ja
>> é fácil observar que tenha 2G, 4G, 8G ou 128G de RAM, o recurso e finito e
>> pode esgotar mesmo com 1 única regra.
>> 
>> Isso independe da máquina, nada específico de ServerU, no site cada
>> ServerU tem seus limites informados.
>> 
>> Da mesma forma 1 regra é tudo que você precisa pra acabar com a CPU de
>> qualquer máquina. Mesmo máquinas com mais processamento. Por exemplo, tenho
>> um cliente, provedor (que está aqui na lista inclusive) que desvia um
>> tráfego em paralelo tão alto de pro PeerApp que ele apenas 4 regras de fwd
>> fazem uma máquina com quase o dobro de processamento da ServerU sentar (na
>> prática, um Xeon 16 CPU @2.2Ghz) com apenas 4 regras de fwd. A solução pra
>> isso existe, poderia-se fazer com netmap-ipfw ou com uma placa que faça o
>> trabalho sujo ao invés de exaurir as CPU. Nesse cliente em específico o
>> segundo caso foi que fizemos. Antes disso ele tentou com uma caixa cisco
>> que também sentou, e uma caixa brocade que nem sei pra que ela se destina,
>> mas também sentou. Uma máquina com mais CPU que a L-800 sentou, então a
>> L-800 sentaria exceto se usasse a mesma estratégia de offload em hardware
>> próprio, que no caso da SU teria pelo menos 3 opções a mais de expansões.
>> 
>> Ou seja 50 mil regras num x86 pode não fazer nem cócegas; 4 regras (ou até
>> menos) pode ser suficiente pra acabar com qualquer máquina. Na prática
>> pouco importa o número de regras, um firewall muito mal feito com 50 mil
>> regras que são sempre processadas e os pacotes só dão match na última, vai
>> gastar menos CPU pra evaluation do kernel (system) do que a ação vai gastar
>> de CPU com interrupções, principalmente se a ação não for um drop simples.
>> Ações mais elaboradas como fwd, divert, tee, nat, route-to, mangle, serão
>> mais CPU-intensive na efetivação da ação do que no evaluation das regras.
>> 
>> Os limites de fato são sessões simultâneas e PPS filtrado. No caso das
>> ServerU, estão no datasheet e está no site. Testamos individualmente com os
>> sistemas de referência, e esses valores vão variar de sistema pra sistema,
>> por exemplo:
>> 
>> Aba “Firewall & IDS” - http://www.serveru.us/pt/netmapl800
>> 
>> No caso da L-100 por exemplo (http://www.serveru.us/pt/netmapl100)
>> podemos ver que um Linux vai suportar mais que o pfSense. E ambos vão
>> suportar mais que um ROS.
>> 
>> Se você esperar mais PPS e mais sessões do que está la, a máquina pode não
>> dar conta. Independente do numero de regras carregada.
>> 
>> Infelizmente a maioria dos fabricantes pouco se importam em testar e
>> deixar claro onde estão os limites. Exceto iXsystems mas o foco deles acaba
>> sendo outro. Nós tentamos ser o mais transparente possível pra indicar qual
>> o limite das ServerU. E no caso de firewall o limite certamente não está no
>> numero de regras.
>> 
>> --
>> Patrick Tracanelli
>> 
>> --
>> gter list    https://eng.registro.br/mailman/listinfo/gter
>> 
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter

--
Patrick Tracanelli

FreeBSD Brasil LTDA.
Tel.: (31) 3516-0800
316601 at sip.freebsdbrasil.com.br
http://www.freebsdbrasil.com.br
"Long live Hanin Elias, Kim Deal!"

More information about the gter mailing list