= Сообщение: 8903 из 10753 ===================================== RU.UNIX.BSD =
От : Anton Gorlov 2:5059/37 04 May 19 13:28:56
Кому : Eugene Grosbein 04 May 19 13:28:56
Тема : interrupt cpu usage
FGHI : area://RU.UNIX.BSD?msgid=2:5059/37@FidoNet+5ccd6969
На : area://RU.UNIX.BSD?msgid=grosbein.net+75bde2f5
= Кодировка сообщения определена как: CP866 ==================================
Ответ: area://RU.UNIX.BSD?msgid=grosbein.net+455dd2c9
==============================================================================
Привет Eugene!
30 апр 19 года (а было тогда 20:08)
Eugene Grosbein в своем письме к Anton Gorlov писал:
AG>> %SAMP IMAGE FUNCTION CALLERS
AG>> 30.2 kernel ipfw_chk ipfw_check_packet
[skip]
EG> Есть в правилах ipfw слово "me"?
Да есть. Фильтруется доcтуп к snmp/ssh
EG> in_localip используется, в частности, когда ipfw проверяет,
EG> является ли IP-адрес (src или dst) собственным адресом роутера,
EG> и для этого код проходит по списку этих адресов,
EG> захватывая блокировку, чтобы не спаниковать, если в это же время
EG> происходит создание или удаление интерфейсов.
EG> Это всё не самые дешевые операции.
Да это понятно. Там всего 7 адресов висит, включая линковочные подсети. Динамического создания интерфейсов нет.
А если вместо me прописать явным образом адреса в правилах, например через ipfw table что-то изменится или тоже cамое,вид сбоку?
EG> Hу и вообще, желательно строить правила так, чтобы большинство
EG> пакетов проходили по минимальному количеству правил,
EG> как можно раньше уходя на allow или эквивалент, для этого
EG> можно использовать skipto.
Да так оно и есть. Дропаю входящие ко мне, потом netbios и порт 4444 (несколько раз на него прилетало всякое непотребство)
и остальное в allow.
Ну ещё deny icmp from any to any in icmptype 5,9,13,14,15,16,17
EG> В идеале для загруженной системы надо вообще отключать все пакетные
EG> фильтры, а доступ к ssh и прочим сервисам фильтровать средствами самих
EG> сервисов и/или через /etc/hosts.allow
Уху. Правда не уврен что net-snmp это умеет (вернее даже увtрен, что не умеет) - по крайней мере ldd /usr/local/sbin/snmpd | grep wrap молчит,в отличие от sshd.
EG> Hо тут-то система недогружена сильно.
Ещё вариант повесить acl на 65 кошке, которая в данном случае по L2 смотрит на bgp. Но стоит ли?
AG>> Смущает, что в ЧHH LA до 3-4 скачет.
EG> А надо, чтобы в час наибольшей нагрузки система обрабатывала
EG> эту нагрузку святым духом? Повышение нагрузки под нагрузкой -
EG> так и должно быть.
В этом месте вопрсов как бы и нет.
EG> Hельзя сравнивать LA в разных операционных системах,
EG> они несравнимо по-разному считаются. Hо можно сравнивать
EG> количество idle CPU.
Вот тут да..не подумал тчо оно по разному считается.
EG> Кроме того, "более слабый проц" может означать более
EG> старую аппаратуру без NUMA. А использование железа с NUMA
EG> накладывает особые требования на конфигурирование,
EG> а иначе можно получить значительные тормоза просто
EG> на копировании данных между разными доменами.
В моём случае в сервере всего 1 процессор и если верить fgrep -i numa-domain /var/run/dmesg.boot
все сететвые находятся в 1 домене:
=====
ix0: <Intel(R) PRO/10GbE PCI-Express Network Driver, Version - 3.2.12-k> port 0xe020-0xe03f mem 0xfb780000-0xfb7fffff,0xfb804000-0xfb807fff irq 40 at device 0.0 numa-domain 0 on pci5
ix1: <Intel(R) PRO/10GbE PCI-Express Network Driver, Version - 3.2.12-k> port 0xe000-0xe01f mem 0xfb680000-0xfb6fffff,0xfb800000-0xfb803fff irq 44 at device 0.1 numa-domain 0 on pci5
igb0: <Intel(R) PRO/1000 Network Connection, Version - 2.5.3-k> mem 0xfb400000-0xfb4fffff,0xfb50c000-0xfb50ffff irq 26 at device 0.0 numa-domain 0 on pci2
igb1: <Intel(R) PRO/1000 Network Connection, Version - 2.5.3-k> mem 0xfb300000-0xfb3fffff,0xfb508000-0xfb50bfff irq 28 at device 0.1 numa-domain 0 on pci2
igb2: <Intel(R) PRO/1000 Network Connection, Version - 2.5.3-k> mem 0xfb200000-0xfb2fffff,0xfb504000-0xfb507fff irq 29 at device 0.2 numa-domain 0 on pci2
igb3: <Intel(R) PRO/1000 Network Connection, Version - 2.5.3-k> mem 0xfb100000-0xfb1fffff,0xfb500000-0xfb503fff irq 30 at device 0.3 numa-domain 0 on pci2
igb4: <Intel(R) PRO/1000 Network Connection, Version - 2.5.3-k> mem 0xfba00000-0xfbafffff,0xfbb04000-0xfbb07fff irq 32 at device 0.0 numa-domain 0 on pci3
igb5: <Intel(R) PRO/1000 Network Connection, Version - 2.5.3-k> mem 0xfb900000-0xfb9fffff,0xfbb00000-0xfbb03fff irq 36 at device 0.1 numa-domain 0 on pci3
igb6: <Intel(R) PRO/1000 Network Connection, Version - 2.5.3-k> port 0xc000-0xc01f mem 0xfbd00000-0xfbd7ffff,0xfbd80000-0xfbd83fff irq 18 at device 0.0 numa-domain 0 on pci8
igb7: <Intel(R) PRO/1000 Network Connection, Version - 2.5.3-k> port 0xb000-0xb01f mem 0xfbc00000-0xfbc7ffff,0xfbc80000-0xfbc83fff irq 19 at device 0.0 numa-domain 0 on pci9
=====
� С уважением. Anton aka Stalker
Linux Registered User #386476
[#*TEAM:*#] [#_Злой СисОп_#] [*Heavy Metal!*] [*_Усачи_*]
--- GoldED+/LNX 1.1.5-b20160322
* Origin: Ave, Caesar, morturi te salutant (2:5059/37)
|
