シリーズのパフォーマンス テストの実行 VM- firewall - ヒントとコツ
32012
Created On 07/12/20 00:49 AM - Last Modified 03/26/21 18:29 PM
Symptom
- firewallデバイスを通過するホストから iperf コマンドを実行する場合のパフォーマンスのスループットが低い。
- 通常、スループットは単一ストリーム iperf コマンドでは満足できません。
# iperf3 -c 172.17.50.126 -t60 -i1 [ ID] Interval Transfer Bandwidth Retr [ 4] 0.00-60.00 sec 2.15 GBytes 307 Mbits/sec 1758 sender [ 4] 0.00-60.00 sec 2.15 GBytes 307 Mbits/sec receiver
- スループットは 307 Mbps のみですが、 VM-700 IPSEC サポートされているスループットは最大で 6 Gbps です。
- マルチスレッド iperf コマンドの実行に若干の改善:
# iperf3 -c 172.17.50.126 -t60 -i1 -P4 [ ID] Interval Transfer Bandwidth Retr Cwnd [ 4] 0.00-1.00 sec 19.6 MBytes 164 Mbits/sec 11 120 KBytes [ 6] 0.00-1.00 sec 23.5 MBytes 197 Mbits/sec 10 144 KBytes [ 8] 0.00-1.00 sec 20.4 MBytes 171 Mbits/sec 30 102 KBytes [ 10] 0.00-1.00 sec 13.9 MBytes 117 Mbits/sec 34 64.0 KBytes [SUM] 0.00-1.00 sec 77.4 MBytes 649 Mbits/sec 85 # iperf3 -c 172.17.50.126 -t60 -i20 -P16 [SUM] 0.00-60.00 sec 6.01 GBytes 861 Mbits/sec 24601 sender [SUM] 0.00-60.00 sec 6.01 GBytes 860 Mbits/sec receiver
Environment
- プラットフォーム: VM- マイクロソフトの Azure 上のシリーズ, AWS , , GCP VMware など.
- PAN-OS / プラグインバージョン: 任意
- 展開: 既存
Cause
- パフォーマンススループットを測定するために単一セッションのiperfコマンドを実行 firewall することは、推奨される解決策ではありません。
- Iperf は、パケットを すべてのコアとキューに分散できないため、Iperf を使用して拡張することはできません DP NIC 。
この動作を検証するには、 PAN-OS CLI コマンドの出力を確認します。
> debug dataplane pow status > show running resource-monitor
- パフォーマンスの高いスループット テストのもう 1 つの制限は、ネットワークの制限です。 クライアントとサーバーが10Gbネットワークに接続されていない限り、ネットワークはボトルネットとなり、サーバーの完全な処理能力に到達することはできません。
Resolution
- パフォーマンス チームは、マルチ スレッドで Iperf を実行することをお勧めします。
- より多くのセッションをスケールアップします。
- パフォーマンス テストや、複数のコアにセッションを分散させるため、より多くの接続数を生成できる他のツールにwrk を使用してみてください。
- wrk は、 HTTP 単一のマルチコアで実行すると、かなりの負荷を生成することができる最新のベンチマークツールです CPU 。 マルチスレッド設計と、epoll や kqueue などのスケーラブルなイベント通知システムを組み合わせています。
- Wrk ツールを Linux またはホストにインストール MAC し、マルチスレッドのマルチ接続 HTTP トラフィックを生成します。 以下のドキュメントを参照してください。