On Sat, Nov 9, 2019 at 7:22 AM Michel Py <mic...@arneill-py.sacramento.ca.us> wrote:
> > > PS2: Netflix utilisent également des AMD et surprend sur les > performances réseaux : > > > https://www.phoronix.com/scan.php?page=news_item&px=Netflix-NUMA-FreeBSD-Optimized > > Bonjour, je suis dans l'équipe qui travaille sur ce sujet chez Netflix… mais je viens de l'ancien monde (Cisco/Juniper chez gros telco) et je passe mon temps libre à jouer avec du routeur logiciel. Donc je vais en profiter pour quelques précisions et avertissements: 1. Oui il est possible de servir du 200Gb/s TLS sur des serveurs classiques. Les améliorations étant reversées dans FreeBSD -head (branche de dev) c'est dispo pour tout le monde. Ensuite il ne s'agit que de la partie OS, reste maintenant à faire les bons choix matériels et l'optimisation du serveur web (nginx dans notre cas). 2. Servir de la VOD est assez simple car les paquets émis font la taille maximale permise, donc le travail d'optimisation se concentre essentiellement sur les problèmes de bande passante (disque -> carte réseau). Par contre dans le cas d'un routeur, avant la notion de bande passante c'est le nombre de paquets par seconde (pps) routé qui est l'unité de base. C'est-à-dire que si j'installe 2 interfaces 100Gb sur serveur, le premier exercice va être de vérifier comment il réagit, non pas en recevant un flux à 100Gb/s, mais plutôt 148 Millions pps en cas de DoS… et ce n'est pas la même chose. 3. Concernant la gestion d'un DoS, à partir de 10Mpps va falloir utiliser des cartes réseau disposant de fonctionnalités d'assistance matérielle comme un firewall supportant le line-rate. Je l'ai testé sur une carte Chelsio 40Gb en lui envoyant un DoS d'environ 50Mpps et elle a fait parfaitement le boulot (j'ai juste eu besoin d'aide de Chelsio pour le paramétrage car la documentation est très rare sur le sujet). Maintenant il y a d'autre problématique concernant la limite des règles de ce firewall en elle même. 4. Et le dernier point: Je ne suis pas sûr que de se lancer dans une solution de routeur logiciel «DIY» (c'est-à-dire autre qu'un 6Wind/Netgate TNSR ou équivalent acheté clé en main) dans une optique de faire essentiellement des économies soit une bonne idée. Car il va falloir embaucher un profil capable de comprendre et de débugger: le fonctionnement matériel d'un serveur/CPU moderne, le noyau, les drivers réseau et le FRR ou Bird. Donc oui vous allez économiser en licence, mais je ne pense pas qu'un profil «kernel C» soit au même prix qu'un admin Cisco/Juniper. Cordialement, Olivier --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
