Рекомендуемые системные требования:
Процессор |
64-разрядный (x64) с тактовой частотой от 3GHz, с количеством ядер от 4 (без учета гипертрединга) |
Оперативная память |
от 8Gb DDR3 или DDR4 |
Жесткий диск |
от 500Гб |
Сетевая карта |
2 сетевые карты: для управления и отправки пакетов на блокировку - обычная для приема зеркала - производительная сетевая карта, подобрать можно в разделе "Сетевые карты" |
Обязательно использовать физический сервер. Виртуальные машины можно использовать только в целях тестирования.
Carbon Reductor должен использовать сервер исключительно один, несогласованное программное обеспечение устанавливать запрещено.
Если Вам требуется обрабатывать более 1 Гбит/с трафика, обязательно нужно посчитать: справится ли Ваша конфигурация с нагрузкой. Сделать это можно в разделе "Формула рассчета мощности сервера".
Перед вводом сервера в эксплуатацию обязательно отключите все опции связанные с энергосбережением в BIOS/UEFI.
Обязательно проверьте, что вашего оборудования нет в списке Плохо совместимого оборудования. |
Формула рассчета мощности сервера
Приблизительно рассчитать какой объем трафика сможет обработать Ваш сервер можно по формуле:
pps (пакетов в секунду) = 50 * количество физических ядер процессора * количество мегагерц +/- 20%
Например, сервер с восьмиядерным процессором Intel Core i7 9700k 3.60 GHz, по формуле получаем:
50 * 8 * 3600 = 1440000 +/- 20%
число от 1 728 000 до 1 152 000 пакетов в секунду. То есть, максимальное количество пакетов, обрабатываемых на этом сервере будет где-то между этими числами.
Точное число зависит от многих факторов: материнской платы, сетевой карты и даже коммутаторов и активности пользователей в Вашей сети - что трудно спрогнозировать.
Обязательно рассчитывайте мощность сервера с запасом: формула рассчета дает приблизительные данные, а алгоритмы фильтрации могут изменяться, в следствии новых требований фильтрации трафика и объема рееста запрещенных сайтов. |
В Carbon Reductor есть экспериментальные опции FWBOOST, которые значительно повышают производительность фильтрации, повышая коэфицент в формуле до 150:
pps (пакетов в секунду) = 150 * количество физических ядер процессора * количество мегагерц +/- 30% Эти опции рассчитаны на крупных операторов с большими нагрузками: от 1,5 млн pps и производительными серверами, что позволит обрабатывать большие потоки трафика, без покупки очень дорогих серверов. |
Рекомендуемые конфигурации
Обязательно рассчитывайте мощность сервера с запасом: формула рассчета дает приблизительные данные, а алгоритмы фильтрации могут изменяться, в следствии новых требований фильтрации трафика и объема рееста запрещенных сайтов.
Все представленные примеры подобраны с учётом "поставить и не беспокоиться ни за один потенциально потерянный пакет", то есть имеет место запас производительности. При появлении новых требований Роскомнадзора по фильтрации трафика продукт может изменяться и требования для надёжной работы будут изменяться соответственно. Данные указаны по суммарному объёму отправляемого для анализа зеркала трафика.
Нагрузка, до гбит/сек | Тип сервера | Процессор | Оперативная память | Материнская плата, платформа | Сетевые карты |
---|---|---|---|---|---|
1 | ATX | 1 x Intel Core i3 8100 3.6GHz, 4 ядра | 1 x 8Gb DDR4 2400MHz | H310M или любая другая с LGA1151v2 сокетом | 1 х Intel I350-T2, 1Гбит/сек, RJ45 |
1 | 1U | 1 x Intel Xeon E3-1240v6, 3.7GHz, 4 ядра | 2 x 4Gb DDR4 2133MHz, ECC | SL1000/1U2G4 | 1 x Intel I350-T2, 1Гбит/сек, RJ45 |
2 | ATX | 1 x Intel Core i3 8350k, 4GHz, 4 ядра | 1 x 8Gb DDR4 2400MHz | H310M или любая другая с LGA1151v2 сокетом | 1 х Intel I350-T2, 1Гбит/сек, RJ45 |
2 | 1U | 1 x Intel Xeon E3-1285v6, 4.1GHz, 4 ядра | 2 x 4Gb DDR4 2133MHz, ECC | SL1000/1U2G4 | 1 x Intel I350-T2, 1Гбит/сек, RJ45 |
3 | ATX | 1 x Intel Core i5-9600k, 3.7GHz, 6 ядер | 1 x 8Gb DDR4 2400MHz | H310M или любая другая с LGA1151v2 сокетом | 1 x Intel 82599en, single port, 10Гбит/сек, SFP+ |
3 | 1U | 1 x Intel Xeon E5-1680v6, 3.4GHz, 8 ядер | 1x8Gb DDR4 2400MHz, ECC | SL1500/1U2G4 | 1 x Intel 82599, dual port, 10Гбит/сек, SFP+ |
4 | ATX | 1 x Intel Core i7 9700k, 3.6GHz, 8 ядер | 1 x 8Gb DDR4 2400MHz | H310M или любая другая с LGA1151v2 сокетом | 1 x Mellanox ConnectX-3 MCX311A-XCCT, single-port, 10Гбит/сек |
5 | ATX | 2 x Intel Xeon E5-2667 V4, 3.2GHz, 8 ядер | 2 x 8Gb DDR4 2400MHz | HP Proliant ML350 G9 SFF CTO | 2 x Mellanox ConnectX-3 MCX311A-XCCT, single-port, 10Гбит/сек |
5 | 2U | 2 x Intel Xeon E5-2667V4, 3.2GHz, 8 ядер | 2 x 8Gb DDR4 2666MHz ECC | SL2500/2U8LG3 | 2 x Intel 82599, dual port, 10Гбит/сек, SFP+ |
6 | ATX | 1 x Intel Core i9-7960X, 2.8GHz, 16 ядер | 1 x 8Gb DDR4 2666MHz | MSI X299 SLI PLUS или любая другая с LGA2066 сокетом | 1 x Mellanox ConnectX-3 MCX311A-XCCT, single-port, 10Гбит/сек |
7 | ATX | 2 x Intel Xeon E5-2687W v4, 3GHz, 12 ядер | 2 x 8Gb DDR4 2400MHz | HP Proliant ML350 G9 SFF CTO | 2 x Intel 82599, dual port, 10Гбит/сек, SFP+ |
10 | 1U | 2 x Intel Xeon Gold 6154, 3GHz, 18 ядер | 2 x 8Gb DDR4 2666MHz | SuperServer 1029P-WT | 2 x Mellanox ConnectX-3 MCX311A-XCCT, single-port, 10Гбит/сек |
16 | 1U | 2 x Intel Xeon Gold 6154, 3GHz, 18 ядер | 2 x 8Gb DDR4 2666MHz | SuperServer 1029P-WT | 2 x Mellanox ConnectX-3 MCX312B-XCCT, dual-port, 10Гбит/сек |
Сетевые карты
Большинство сетевых карт имеют неоптимальные настройки по умолчанию, что может приводить к пропускам. Carbon Reductor настраивает часть параметров автоматически при загрузке.
Распределение прерываний (RSS) опасно настраивать автоматически: сетевая карта может "зависнуть", а для многопроцессорных систем сложно определить его оптимальную конфигурацию, поэтому мы настраиваем эту опцию только вручную.
При установке нового оборудования обращайтесь в техническую поддержку - мы поможем исключить потери пакетов и подтвердим, что оборудование справляется с текущей нагрузкой.
Рекомендованные
Вендор | Модель | Тип | Число очередей (макс.) |
Размер буфера (макс.) |
Макс. наблюдавшаяся нагрузка на 1 порт с отсутствием потерь и др. проблем |
Проблемы |
---|---|---|---|---|---|---|
Mellanox | MT27520 Family [ConnectX-3 Pro] |
10 Гбит/сек | rx=128 | rx=8192 | 6.5 Гбит/сек | Число очередей может быть равным только степени двойки, неоптимально на 6-ядерных процессорах |
Broadcom Emulex |
OneConnect 10Gb NIC (be3) Device e729 |
10 Гбит/сек | combined=4 | rx=1024 tx=2048 |
1 Гбит/сек | Малое максимальное число очередей, малый размер rx-буфера. Подойдёт для 800-900мбит/сек. Нужно увеличивать параметр модуля rx_frag_size * |
Intel | 82599ES, 82599EB (2 порта) 82599EN (1 порт) (ixgbe driver) |
10 Гбит/сек | combined=63 | rx=4096 tx=4096 |
3.5 гбит/сек | Нужно отключать опции LRO и GRO. В остальном хороши, популярны, легко купить замену при необходимости |
Intel | X710 (i40e driver) | 10 Гбит/сек | combined=64 | rx=4096 | 4.5 Гбит/сек | Скорее всего способна обрабатывать и больший объём трафика. |
Intel | I210, I211, I350 (igb driver) 82576, 82575EB |
1 Гбит/сек | combined=8 (иногда rx и tx очереди раздельны) |
rx=4096 tx=4096 |
800 мбит/сек | В некоторых ситуациях требует пересборки драйвера без поддержки LRO, в противных случаях зависает. |
* увеличение rx_frag_size для Emulex
Из коробки иногда не хватает значения rx_frag_size, из-за чего растёт счётчик dropped пакетов, но решается очень просто:
echo options be2net rx_frag_size=8192 > /etc/modprobe.d/be2net.conf reboot