任何人都可以推荐一个好的IPSec软件, 可以使用多个CPU核心来达到在Linux双核四核E5620 Xeon设置(总共16个HT核心)上〜2Gbps的性能? 我曾尝试过OpenSwan和StrongSwan。 OpenSwan KLIPS堆栈只能在单个CPU内核上运行。 而且KLIPS + OCFencryption卸载也似乎执行得非常糟糕,因为它只消耗70%的全部16个CPU核心,而只能提供〜600Mbps。 作为副产品,它也是对TCP数据包进行重新sorting。 到目前为止,使用不同协议的OpenVPN ,我们能够在负载平衡的同一硬件上达到〜2Gbps,没有任何问题。 在16个核心中只有4个以100%被利用。 现在是时候用Ipsec做同样的事情了。 最好应该是OpenSource IPsec解决scheme。 更新: 我的最新发现表明,IPsec NETKEY堆栈可能能够处理两个通信stream量而不会出现问题(但只能在Multiqueue NIC上)。 我无法确认这一点,因为看起来NAPI在高负载下将NIC驱动程序切换到轮询模式,那时所有性能从1.7 Gbps下降到500 Mbps。 另外看来,Ubuntu 10.04并没有考虑到一些内核线程,因此我没有看到如何在所有CPU内核上分配工作负载。
在过去的两个星期里,我们的系统CPU使用率(如sys)显示出现间歇性的严重峰值,持续半分钟,locking大多数进程,包括ssh。 我一直在试图弄清楚这一点,但在上面并没有显示任何相关的信息(系统使用它显示的微不足道的进程),尖峰是间歇性的,我无法使用这个web服务器托pipe的web应用程序的任何工作负载来重现峰值。 如果您对如何debugging高%sys和(有时)%si CPU使用率有任何想法,请分享。 系统规格(不知道是否有任何相关性):专用服务器,CentOS 6,核心i7 950,随时保持一致的4到8 GB RAM,硬盘驱动器在RAID-1中。 附加信息: dmesg输出在尖峰之间不会改变 / var / log / messages在尖峰之间不会改变 这是cat / proc / vmstat 这是mpstat 1在典型秒杀期间的输出 添加07.11.11:看起来像简单的重新启动恢复系统状态,我们可能永远不会知道是什么原因引起的干扰。
执行任一命令: sudo service network restart sudo ifup bond0 结果在以下错误(这是唯一的错误): Bringing up interface eth0: RTNETLINK answers: File exists 以下是涉及的接口的configuration: DEVICE="bond0" IPADDR="10.100.48.6" NETMASK="255.255.254.0" ONBOOT="yes" DEVICE="eth0" MASTER="bond0" SALVE="yes" HWADDR="78:2B:CB:57:B5:B3" NM_CONTROLLED="no" ONBOOT="yes" DEVICE="eth4" MASTER="bond0" SLAVE="yes" HWADDR="00:1B:21:C9:F4:54" NM_CONTROLLED="no" ONBOOT="yes" dmesg输出表明eth0没有准备好当bonding驱动程序试图奴役它: dmesg | egrep '(eth0)|(bond0)' bnx2 0000:01:00.0: eth0: Broadcom NetXtreme II BCM5709 1000Base-T (C0) PCI Express found at mem d4000000, IRQ […]
我试图使标题最有意义,但它仍然看起来很丑。 房屋。 我们在这里的大多数服务器上使用RHEL3-U8作为操作系统,不要问我为什么或者build议升级,这不是今天的计划。 这意味着内核使用2.4.21我没有访问远程服务器,但我知道这是一个netApp NAS机架。 $> smbclient –version Version 3.0.9-1.3E.9 这是/ etc / fstab行: //NASHOSTNAME/share /mnt/mydir smbfs ro,uid=123,gid=123,workgroup=XXXX,credentials=/somefile 0 0 这里是下面的mount输出线 //NASHOSTNAME/share on /mnt/mydir type smbfs (0) 症状。 我可以列出没有问题的份额,甚至在那里光盘。 如果我尝试读取任何文件,则会出现此问题: $> cat /mnt/mydir/fileX.txt cat: /mnt/mydir/fileX.txt: Input/output error 在系统日志(例如/var/log/kernel )中出现以下错误。 7月30日15:40:02主机名内核:smb_errno:类ERRHRD,从命令0x2代码31 7月30日15:40:02主机名内核:smb_errno:类ERRHRD,从命令0x2代码31 7月30日15:40:02主机名内核:smb_open:fileX.txt打开失败,结果= -5 7月30日15:40:02主机名内核:smb_errno:类ERRHRD,从命令0x2代码31 7月30日15:40:02主机名内核:smb_errno:类ERRHRD,从命令0x2代码31 7月30日15:40:02主机名内核:smb_open:fileX.txt打开失败,结果= -5 7月30日15:40:02主机名内核:smb_readpage_sync:fileX.txt打开失败,错误= -5 ERRHRD代码0x001F错误是“通用硬件故障”,尽pipe看起来samba有时会将其用于不同的目的,请参见http://www.ubiqx.org/cifs/SMB.html [Strange behavior Alert] 另外的信息:系统上还有一个SMB挂载点指向一个使用samba的(linux)主机,这个工作正常。 我曾经尝试过 […]
从字面上检查整个互联网之后,我希望我可以在这里得到帮助。 我正尝试使用nfs和单一login将ubuntu 12.04服务器集成到Windows 2012活动目录中。 build立: srv02 Windows服务器 srv03 Ubuntu文件服务器 srv04 Ubuntu应用程序服务器 域名:lettrich.local 领域:LETTRICH.LOCAL 什么工作 Windows 2012 AD安装与dns ntp和dhcp Ubuntu的服务器注册与msktutil广告和获取 用户的kerberos门票(例如kinit [email protected]作品) 和机器(kinit -k [email protected]工程), uids和gids可以使用AD上的UNIX和gssapi上的sssd使用身份pipe理来解决。 什么不行: 在srv03上的srv04上挂载一个NFS共享。 为服务主体获得一张kerberos票。 例如。 sudo kdestroy sudo kinit -k kinit: Client 'host/[email protected]' not found in Kerberos database while getting initial credentials srv03的krb5.keytab,srv04的模拟。 sudo klist -ke Keytab name: FILE:/etc/krb5.keytab KVNO Principal […]
我已经花了好几天的时间,现在我已经设法使用最新的固件使SR-IOV与Mellanox Infiniband卡一起工作。 虚拟函数出现在Dom0中 06:00.1networking控制器:Mellanox Technologies MT27500系列[ConnectX-3虚拟function] 06:00.2networking控制器:Mellanox Technologies MT27500系列[ConnectX-3虚拟function] 06:00.3networking控制器:Mellanox Technologies MT27500系列[ConnectX-3虚拟function] 06:00.4networking控制器:Mellanox Technologies MT27500系列[ConnectX-3虚拟function] 然后,我从Dom0中分离出06:00.1,并将它分配给xen-pciback。 我已经通过这个到一个Xentesting域。 testingDomU里面的lspci显示: 00:01.1networking控制器:Mellanox Technologies MT27500系列[ConnectX-3虚拟function] 我有以下模块加载DomU mlx4_ib rdma_ucm ib_umad ib_uverbs ib_ipoib mlx4驱动程序的dmesg输出显示: [ 11.956787] mlx4_core: Mellanox ConnectX core driver v1.1 (Dec, 2011) [ 11.956789] mlx4_core: Initializing 0000:00:01.1 [ 11.956859] mlx4_core 0000:00:01.1: enabling device (0000 -> 0002) [ 11.957242] mlx4_core […]
我正在尝试使用dockerconfigurationpostgresql安装。 FROM ubuntu:13.10 ADD . /db # install postgres # … RUN chown postgres:postgres /db -R && \ chmod 700 /db -R USER postgres RUN /etc/init.d/postgresql start &&\ createdb test &&\ psql -d test -f /db/all.sql 我可以访问文件夹/ db,但不能访问/ db / plpgsql(其中包含由/db/all.sql执行的文件) 我试图在/ db / plpgsql上的chmod 777,但它也不起作用,权限被拒绝。 postgres@c364bdd94652:/$ ls -l | grep db drwxrwxrwx 5 postgres […]
我们有一个4核心的CPU生产系统,它有很多的cronjobs,拥有恒定的proc队列和一般的负载约1.5。 在晚上,我们用postgres做一些IO密集的东西。 我们生成一个显示负载/内存使用情况(rrd-updates.sh)的图表,有时在高IO负载情况下“失败”。 这几乎每天都在发生,但并不是每个高IO情况都会发生。 我的“正常”解决scheme将是好的和离子postgres的东西,并增加graphics生成的prio。 但是,这仍然失败。 图生成是与鸡群的半线程certificate。 我logging了执行时间,对于graphics生成,在高IO负载期间高达5分钟,似乎导致长达4分钟的丢失图。 时间框架与postgres活动完全匹配(这有时也会发生在白天,虽然不是那么经常),离开postgres(c1 N6 graph_cron vs C2 N3 postgres),在postgres之上(-5 graph_cron vs 10 postgres )没有解决这个问题。 假设没有收集数据,额外的问题是离子/好点子仍然不工作。 即使有90%的IOwait和100的负载,我仍然可以使用数据生成命令,而不会超过5秒的延迟(至less在testing中)。 可悲的是我还没有能够在testing中重现这一点(只有虚拟化的开发系统) 版本: 内核2.6.32-5-686-bigmem Debian Squeeze rrdtool 1.4.3硬件:硬件RAID1中带有LVM的SAS 15K RPM HDD mount选项: ext3和rw,errors = remount-ro 调度程序: CFQ crontab中: * * * * * root flock -n /var/lock/rrd-updates.sh nice -n-1 ionice -c1 -n7 /opt/bin/rrd-updates.sh Oetiker在github上为rrdcache似乎有一个可能相关的BUG: […]
我有一个VMware: 10.10.10.1 , linux in VMware (Guest): 10.10.10.128一个linux in VMware (Guest): 10.10.10.128 , honeypot on Guest: 10.10.10.15和我的Windows (Host): 192.168.1.11 honeypot on Guest: 10.10.10.15一个honeypot on Guest: 10.10.10.15 。 我可以直接从我的Host发送FTP请求到honeypot ,连接build立。 现在我想发送FTP请求到Guest ,这些转发到我的honeypot 。 我把这些规则放在Guest iptables中: iptables -t nat -A PREROUTING -p tcp –dport 21 -j DNAT –to-destination 10.10.10.15:21 iptables -t nat -A POSTROUTING -p tcp -s […]
我目前使用apache,mysql和sshpipe理一个运行ubuntu linux的小型web服务器。 我使用rsync备份到另一台服务器,但是我将它备份到一个/ backup目录。 我想让它设置在第一台服务器出现故障的地方,我可以改变第二台服务器的IP地址,让所有用户,文件,数据库等准备就绪。 有没有人有任何build议最简单/最好的方式去做呢? 注意事项 用户 数据库 Apacheconfiguration 档 确保两个盒子上都安装了相同的软件。 (可能需要在前面做这个)