Le 25/09/2014 14:47, Fabien V. a écrit :
25 septembre 2014 09:14 "Guillaume Tournat" <guilla...@ironie.org> a
écrit:
Chaque instance (vdom) dans Fortinet est autonome, mais consomme de la
RAM. Surtout avec du
filtrage UTM.
Et surtout consomme aussi du CPU. Le problème des VDOMs en soit, c'est
que tu ne peux pas limiter l'usage CPU et RAM à un VDOM (seulement
nombres de sessions et éventuellement BP). Donc un seul VDOM peut
vautrer les 8 ou 9 autres (suivant si on compte le root ou pas) par un
simple pic de charge sur une plateforme.
Ca peut paraitre logique d'un point de vue logiciel / hw, mais en
revanche, c'est compliqué à expliquer aux 8/9 autres clients que sa
plateforme est lente à cause d'un pic de charge de la plateforme du
voisin.
Dans FortiOS 5.2, la nouvelle version majeure, il est possible de
visualiser la consommation de chaque vdom.
Il est prévu dans la roadmap de pouvoir contingenter mieux.
Ceci étant, dans le cadre d'une mise en cluster HA de deux appliances,
en mode actif/actif, le traitement
UTM est réparti sur les 2 boitiers.
Enfin, au dela de 80/90% d'utilisation des ressources, il existe un mode
"conservative", ou le firewall
va bypasser certains traitements UTM pour éviter de gaufrer le firewall
(les ACL ne sont pas impactées).
Il revient en mode normal dès que les ressources sont dispos.
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
