Manuel MARTINEZ
Le 25 août 2012 à 00:33, "Salim Gasmi" <sa...@sdv.fr> a écrit : > Bonsoir, > > Ici à SdV, nous avons 4 serveurs qui servent de LB à toute notre infra > (ce sont des "pauvres" serveurs monopro 3Ghz). > Ils tournent avec la solution Aloha (donc Open Source LVS+HAProxy > repackagé) et nous tenons des centaines de milliers de requêtes par > seconde, plus d'un million de sessions pour un trafic dans les 10Gb/s et > ce je le rappelle avec seulement 4 serveurs. > > Comme l'architecture est scalable (suffit de rajouter des serveurs) pour > tenir n fois plus, ce que tu cites me semble tout a fait possible avec > style 10 serveurs. > > Le cout serait ridicule : 10 serveurs a 4K€ + 0€ de licence soft, cela > ne fait que 40K€, on est très très loin du budget d'une solution > propriétaire (j'ai sur mon bureau des devis de la plupart des > équipementiers pour des gros LB et c'est des prix à 6 chiffres). > > Le cout de formation/maintenance est le même, dans les deux cas il faut > s'approprier la techno qu'elle soit open source ou propriétaire. > > Si A10 (ou F5 ou ..) sait faire moins cher que 40K€ pour loadbalancer > des milliers de serveurs sortant 10Gb/s+, 1M+ sessions, le tout en > cluster redondant et scalable, je serai extrêmement surpris (mais > heureux d'avoir tord). Ok, Je suis désolé mais même en prix liste, pour ce budget je sais que faire plus performant... :-( Moi pour 35k, j'ai 2 appliances 1U, en actif/actif 155w chacune, 14Gbps, 600k RPS, 64M de sessions, du RAM caching, du SSL cavium, etc... > > Si les grosses boites prennent des appliances, c'est surtout pour > l'aspect solution clef en main, le support en cas de souci, la bonne > image de l’équipementier mais pas le prix ! > > Salim > > Le 24/08/2012 17:45, Manuel Martinez a écrit : >> Attention, je ne dénigre pas les solutions basées sur de l'open source d'un >> point de vue fonctionnel, je pense qu'il faut de tout pour contenter tout le >> monde... >> >> Mais pour du gros LOAD balancing, en NAT64, avec du multiplexage TCP, de >> l'insertion de header XForwarded-for, plusieurs dizaines de Gbps de contenu >> dynamique, plusieurs centaines de milliers de requêtes par secondes, tout en >> maintenant quelques millions de sessions TCP, dont 1/4 en SSL, sans rajouter >> 100ms de latence vers une centaine de serveurs, ben je demande à voir encore >> la conf HW et Soft de HA proxy super eco free qui tient ça, et le prix qui >> va avec. >> >> Je ne dis pas que tout le monde a besoin d'autant de perf, c'est aussi pour >> ça qu'on a des équipements plus petits (et moins chers) et même des versions >> VM >> >> Manuel >> >> -----Message d'origine----- >> De : Baptiste [mailto:bed...@gmail.com] >> Envoyé : vendredi 24 août 2012 16:15 >> À : Manuel Martinez >> Cc : o...@ovh.net; frnog-t...@frnog.org >> Objet : Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6 >> >> Pour quel type de fonctions exactement??? >> >> j'aimerais bien savoir :) >> >> Baptiste >> >> >> 2012/8/24 Manuel Martinez <mmarti...@a10networks.com>: >>> Bon moi j'ai tendance à ne pas me fier à ce genre d'étude... >>> Quand c'est financé par une constructeur c'est souvent biaisé (je suis >>> bien placé)... :-) >>> >>> Ensuite bon ben Slowloris detection support c'est dans la roadmap, ça va >>> arriver, on a déjà 1 Oles qui nous hurle dessus en permanence, ça va on a >>> compris.... >>> >>> Et puis moi j'ai pas dit qu'A10 avait la plus grosse (ou la plus petite), >>> en taille, je crois que le CRS-1 explose tout, non ? >>> Mais que pour certaines fonctions ben un Hardware LB, ça atteint un niveau >>> de perf pour lequel il faudrait acheter des serveurs bien plus chers et en >>> quantité si on voulait faire la même chose en open-source. >>> Après si comme certain vous pouvez acheter du HP Octo Xeon 48Gb de RAM, >>> avec du SFP+ 10G pour rien, et que l'encombrement et la conso d'une dizaine >>> de ce type d'équipements ne vous fait pas peur, foncez, rien que pour le >>> defi technique, c'est intéressant, mais si A10 ou F5 ou autre a intéressé >>> certaines boites, c'est parce qu'in fine, ça revient moins cher un HLB, >>> c'est tout... >>> >>> Manuel >>> >>> PS: Merci Vince, au plaisir ;-) >>> >>> -----Message d'origine----- >>> De : Baptiste [mailto:bed...@gmail.com] Envoyé : vendredi 24 août 2012 >>> 15:29 À : Manuel Martinez Cc : o...@ovh.net; frnog-t...@frnog.org >>> Objet : Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6 >>> >>> En effet, ça sent le troll.... >>> >>> plus de 80% des attaques comportent moins de 20mb de traffic.... et >>> sont du type slowloris (plus ou moins évolué) (source Radware) >>> >>> <troll> >>> A quoi bon jouer à la plus grosse quand on n'a même pas la plus petite ???? >>> >>> Je pose la question >>> </troll> >>> >>> Baptiste >>> >>> >>> 2012/8/24 Manuel Martinez <mmarti...@a10networks.com>: >>>> Ça sent le troll... >>>> Je me demande ce qu'il fait le ha proxy en face de plusieurs botnets avec >>>> 10 millions de syn cookie / sec à forger, plusieurs millions de connexions >>>> simultanées à maintenir pour quelques centaines de VIPs, et je ne sais >>>> combien de serveurs... >>>> Elle tourne encore l'archi d'OVH, non? >>>> >>>> Manuel Martinez >>>> >>>> Le 24 août 2012 à 11:45, "Baptiste" <bed...@gmail.com> a écrit : >>>> >>>>>> tes gears en AX5100 sont pas mal, même si on a eu une phase de 1an >>>>>> de bugs à fixer presque chaque semaine. >>>>>> depuis 6 mois c'est stable enfin. mais ça ne tient que 2M de conn >>>>>> simu. et malgré mes demandes depuis 2 ans d'ajouter la gestion des >>>>>> attaques "slowloris" bahh il n'y a rien qui a été fait. en bref, la >>>>>> gestion de bug 8/10, ajoute de fonctionalité 0/10. >>>>> >>>>> Ah merde, l'argument qui tue en avant-vente !!!!!! >>>>> Meci oles :) >>>>> >>>>> Bloquer un slowloris, c'est une ligne de conf dans HAProxy >>>>> >>>>> a+ >>>> >>> >> >> >> >> --------------------------- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ > > > -- > Salim Gasmi -- Directeur Technique -- SdV Plurimedia > ------------------------------------------------------------------------------ The information contained in this message, and any attachments, are or may be privileged and/or confidential and protected from disclosure and may also be covered by the Electronic Communications Privacy Act, 18 U.S.C. 2510-2521. If the recipient of this message is not the intended recipient or authorized to receive this information for the addressee, you are hereby notified that any dissemination, distribution or copying of this communication is strictly prohibited. If you have received this communication in error please delete it from your computer immediately --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
