topic Re: 100% CPU при создании бэкапа VMWare in Russian

100% CPU при создании бэкапа VMWare

Andrey_Bogatyre — Wed, 21 Nov 2018 08:35:15 GMT

Добрый день, коллеги!

Во время ежедневного бэкапа VMWare через Check Point 5400 GAiA R80.10 одно ядро процессора загружается до 100%. Трафик идет через IPSEC туннель, скорость трафика в среднем 20-30 Мбит/с. Включен блэйд Application control. IPS в исключениях.

Запись в таблице соединений:

[gw-01:0]# fwaccel conns
172.20.XXX.XXX 51965 172.20.YYY.YYY 902 6 ...AC..S...... 14/3 3/14 1 0

Скриншот сессии:

График загрузки ЦП:

Кто-нибудь сталкивался с подобной проблемой? какие есть предложения?

Дополнительная информация:

Туннель Site-to-Site r80.10 <->R77.30

Загрузка ЦП на R77.30 во время бэкапа

Re: 100% CPU при создании бэкапа VMWare

Evgeniy_Olkov — Wed, 21 Nov 2018 09:25:20 GMT

Вообще странное поведение. Трафик вроде небольшой для VPN-а. А можете на один график вывести загрузку ЦПУ и трафик бэкапа. Чтобы можно было оценить взаимосвязь?

Первое, с чего бы я начал, это проверил, что проц. грузит именно IPSec. График здесь поможет. Плюс попробуйте снизить сложность алгоритмов шифрования (например с AES256 на AES128). Очень интересно, отразится ли это на загрузке ЦПУ.

Re: 100% CPU при создании бэкапа VMWare

Andrey_Bogatyre — Wed, 21 Nov 2018 10:01:10 GMT

То, что грузит именно трафик бэкапа, это 100% информация, так как сначала его вывел с помощью Netflow, потом неоднократно запускали бэкапы и одновременно следил за нагрузкой на ЧП. как только шел бэкап возникала высокая нагрузка. В CPVIEW:

Можно было увидеть, что самое нагруженное соединение по CPU было именно по бэкапу.

По поводу набора шифрования

График трафика

График с ЧП по шифрованному трафику:

Могу сказать, что ранее проводились тестирования по пропускной способности туннеля между 540(R80.10) и 4200(R77.10), были отключены все блейды, пропускная способность была в среднем 163 Мбит/с и при этом R77.30 грузилось полностью, а на R80.10 средняя загрузка ЦП была 50%.

Пока из идей отключить Application Control Blade и посмотреть как будет ситуация, если ситуация не изменится, то это проблема. Если поможет, то нужно будет оключить для соединения бэкапа AC blade.

Re: 100% CPU при создании бэкапа VMWare

Andrey_Bogatyre — Thu, 22 Nov 2018 12:14:07 GMT

Блэйд APC не отключал. Воспользовался sk94484. Там говорится о том, что если хост не попадает в application rules, то трафик проходит через Implicit Cleanup правило и будет аксселирироваться через SAM.

Matched rules

FWACCEL CONNS во время бэкапа:

Из вывода можно сказать, что бэкап делается в несколько потоков, поэтому нагрузка должна распределяться между ядрами и соединения с использованием tcp/902 не ускоряются и проходят по Medium Path(PXL), но я думаю, что это из-за шифрования трафика.

Для понимая скорости Site-to-Site VPN бэкапа:

Еще раз картинка с CPU: