= Сообщение: 9147 из 10753 ===================================== RU.UNIX.BSD = От : Eugene Grosbein 2:5006/1 12 Aug 19 05:26:54 Кому : Alex Korchmar 12 Aug 19 05:26:54 Тема : Re: interrupt cpu usage FGHI : area://RU.UNIX.BSD?msgid=grosbein.net+0c61497b На : area://RU.UNIX.BSD?msgid=ddt.demos.su+46c7fef3 = Кодировка сообщения определена как: IBM866 ================================= Ответ: area://RU.UNIX.BSD?msgid=2:5059/37@FidoNet+5d533432 ============================================================================== 11 авг. 2019, воскресенье, в 09:51 NOVT, Alex Korchmar написал(а):
AG>>> Таки добрался. Заменил me на таблицу. Передёрнул затв.. э правила AG>>> файйволла - AG>>> нагрука упала почти на 20 попугаев по графикам cpu usage в кактусе. AG>>> http://stlk.name/scr/photo_2019-08-09_17-11-13.jpg EG>> А выкинул бы это место вообще, перенеся фильтрацию доступа к сервисам EG>> в hosts.allow - ещё упала бы. AK> а с каких пор фильтрация in-kernel работает медленнее чем в user-space?
Ты сравниваешь несравнимое. Файрвол in-kernel проверяет каждый пакет как минимум один раз, чтобы принять решение - отфильтровать его или нет, а контекст тут - нагруженный сервер доступа (BRAS) с транзитным трафиком и фильтрация доступа к нему по ssh/snmp/etc.
Проверки файрволом неизбежно ведут к повышению latency для *всего* трафика в том числе и из-за блокировок внутри файрвола, так что уменьшение работы на этом уровне или вообще отказ от файрвола (где это возможно) и перенос контроля доступа к ssh на userland таки повышает производительность, потому как объём работы несравнимый.
Правда, в последние мажорные релизы было проведено немало работы по уменьшению задержек в ядре - убраны лишние дублирующие друг друга локи, статистические счетчики обновляются в структурах per-cpu, чтобы не требовать синхронизации между ядрами, сами локи помаленьку заменяются на EPOCH (lockless-алгоритмы).