kevit
какие задержки между клиентом и базой?
kevit
суть проблемы в том что сначала надо собрать TCP, потом openvpn его расшифрует, потом засунет в tun0 или куда там оно отконфигурено
kevit
в теории может помочь отключение фрагментации внутри самого openvpn и подбор mtu в туннеле. но для начала надо понять что тормозит.
Rishat
Задержка меньше 1 мс
Pavel
и надо еще не забывать о фрагментации, хотя ovpn вроде mtu понижает, чтоб пакеты не двоились (всмысле фрагментировались)
Rishat
Причем скорость на тестах iperf около 20 мб/с
Rishat
Я ранее уже пробовал тюнить openvpn - особых результатов не дало, сейчас смотрю в сторону ipsec StrongSwan
Aleksey
а теория с тем что проблема в том что дело в фрагментации подтверждается ?
Aleksey
чот мне думается что для достижения чего то нужного надо поиграть шифрами(шрифтами конечно) что бы определить те которые проц делает аппаратно
kevit
да там не в этом проблема
kevit
была бы проблема в шифровании был бы прогружен проц
kevit
там много коннектов, соответственно много пакетов, скорее всего машина простаивает в ожидании пока соберется порезанный пакет туннеля чтобы его расшифровать.
Ivan
Мы как временное решение для миграции использовали GRE, но даже не знаю поддерживает ли оно шифрование
Ivan
оно простое как 3 рубля
Aleksey
скорее всего как то не очень инженерно.
Aleksey
tcpdump чего гооврит ?
Aleksey
надо снять трафик на тунельном интерфейсе и на интерфейсе который out
Aleksey
и увидеть
Aleksey
можно просто на out и увидеть там добивку
Rishat
там много коннектов, соответственно много пакетов, скорее всего машина простаивает в ожидании пока соберется порезанный пакет туннеля чтобы его расшифровать.
есть предположение что поддержка aes инструкций сpu как то может укорить этот процесс, скоро смогу проверить на дедиках
kevit
это очень просто проверить, поменять aes на bluefish
Aleksey
meh
Pavel
не думаю что дело в алгоритме
Pavel
20мбит/с
Pavel
настолько упасть пропускная не может
Aleksey
это точно шейпер у провайдера. для шифрованных каналов им надо онлайн расшивровку делать а на большей скорости они не справляются.
Aleksey
(вариант теории заговора)
kevit
там же 1мс, это локалка
Aleksey
чорт не прокатило
Rishat
Уточнение пока это тестовый стенд на квм виртуалках в рамках 1 собственного дедика
kevit
(
Aleksey
шифрование в локалке требование регулятора ?
Rishat
База 16 ядер ram 16 , хост с sysbench 4 ядра 4 гига
Rishat
требваниие архитектора
kevit
я бы рекомендовал во1 выключить фрагментацию в openvpn и посмотреть, во2 поиграть с mtu, внутри виртуалок его вообще можно выкрутить на 50к, во3 поменять на блюфиш. в такой последовательности.
kevit
btw у openvpn вроде был мануал по performance
sexst
Он жеж тупо в юзерспейсе висит. И все отсылаемое несколько раз гоняется между кернелспейсом и юзерспейсом. Отсюда и говняная производительность. Нужно быстро - юзайте ipsec.
Vitaliy
коллеги, кто завтра будет на DevOops?
Igor
http://i.juick.com/p/2886746.png
Igor
об/мин :)
Ivan
http://www.bing.com/translator 👍
Andy
дурацкий вопрос - как создать с нуля БД dynamodb с помощью Java из Lambda? Задачка - по расписанию создавать пустую БД и заполнять ее данными. Как обновлять существующие таблицы нашел примеры, а как создавать нет (
Dmitry
Кто-то знает тулзу, чтобы типа iftop, но могла писать хистори, так чтобы потом посмотреть график
Nklya
Я помню, что я писал собственно iftop'om в файлики
Nklya
Ну мне для другого было нужно
Nklya
заббикс?)))
Dmitry
Мне надо поднять тачку на час, пульнуть с нее траф и потом посмотреть отчёт
Dmitry
Неохота ради такого тащить мониторинг
Vladimir
Поставь нетдату
Vladimir
Или снап и стриминг сетевых метрик в графану напрямую
Dmitry
да я вот, наверное просто склонюсь к варианту с прометеем все таки
Dmitry
поставлю нод экспортеры и стрельну
Dmitry
и\или glances
Pavel
Просто чтоб потом посмотреть, все равно нужно будет чтото отдельное
Vladimir
Ну можно было б снап и графану взять
Vladimir
А после стрельбы сделать экспорт
Vladimir
Так на ноде ничего не нужно кроме снапа
Pavel
Если разово, то я бы контейнер с какимнить забб ксом хуябиксом поставил
Vladimir
Но если уже есть Прометей, то лучше его
Pavel
Думаю его нет, иначе все описанное выше извращения какието)
Dmitry
его есть и много
Vladimir
да я вот, наверное просто склонюсь к варианту с прометеем все таки
Vladimir
/думаю что есть
Dmitry
но для такого я подниму отдельный
Dmitry
с обычным static_config
Nklya
А почему не посмотреть трафик штатным CloudWatch?
Igor
http://www.ipv6buddy.com/
Magistr
чатик, а ни у кого не завалялось Cloud Computing: Concepts, Technology & Architecture книжка
aadz
Завалялось только https://rutracker.net/forum/tracker.php?f=1560&nm=Cloud+Computing
Magistr
нето к сожалению https://www.amazon.com/Cloud-Computing-Concepts-Technology-Architecture/dp/0133387526 вот на амазоне
Denis
Не забываем смотреть https://www.alldaydevops.com/schedule
Igor
https://github.com/yarrick/pingfs
Igor
True cloud storage.
Rad
а вы пробовали их тапком ?
Rad
они похоже на свет лезут