FogBugz On Demand hizmetini vermek için yalnızca OpenBSD yönlendiricileri / güvenlik duvarları kullanıyoruz. Transit bir rol oynamıyorsanız ve amaca yönelik donanım ve entegre yazılımın sağlayabileceği son derece yüksek pps verime ihtiyaç duymadıkça, sağlam donanım üzerindeki OpenBSD daha yönetilebilir, ölçeklenebilir ve ekonomik bir çözüm olacaktır.
OpenBSD'yi IOS veya JUNOS ile karşılaştırmak (deneyimlerime göre):
Avantajları
- Pf firewall esneklik, yönetilebilir konfigürasyon ve diğer servislerle entegrasyon açısından eşsizdir (spamd, ftp-proxy vb. İle sorunsuz çalışır). Yapılandırma örnekleri adalet yapmaz.
- Ağ geçidinizde bir * nix'in tüm araçlarına sahip olursunuz: syslog, grep, netcat, tcpdump, systat, top, cron, vs.
- Gereken araçları ekleyebilirsiniz: iperf ve iftop Çok faydalı buldum
- tcpdump. Yeterince söylendi.
- Unix gazileri için sezgisel yapılandırma
- Mevcut konfigürasyon yönetimi ile kusursuz entegrasyon (cfengine, kukla, senaryolar, her neyse).
- Gelecek gen özellikleri ücretsizdir ve eklenti modülü gerektirmez.
- Performans eklemek ucuz
- Destek sözleşmesi yok
Dezavantajları
- IOS / JUNOS, konfigürasyonun tamamını boşaltmayı / yüklemeyi kolaylaştırır. Herhangi bir konfigürasyon yönetimi aracı olmadığında, konfigürasyonunuz yazıldıktan sonra dağıtılması daha kolay olacaktır.
- Bazı arayüzler OpenBSD'de kullanılamaz veya sabit değildir (örneğin, iyi desteklenmiş ATM DS3 kartlarını bilmiyorum).
- Üst düzey özel Cisco / Juniper tipi cihazlar sunucu donanımından daha yüksek pps işlemlerini gerçekleştirecek
- Destek sözleşmesi yok
ISS benzeri bir ortamda omurga yönlendiricileri veya özel ağ bağlantılarıyla etkileşime geçen kenar yönlendiricileri hakkında konuşmadığınız sürece, OpenBSD iyi olmalı.
Donanım
Yönlendiricinizin performansındaki en önemli şey NIC’lerinizdir. Aldıkları her paket için kesintiye uğrayan NIC'leriniz varsa hızlı bir CPU hızla orta şiddette boğulacak. En azından kesintiyi azaltma / birleştirmeyi destekleyen gigabit NIC'lerini arayın. Broadcom (bge, bnx) ve Intel (em) sürücüleri ile iyi şanslar yaşadım.
CPU hızı özel donanımdan daha önemlidir, ancak endişelenecek bir şey yoktur. Herhangi bir modern sunucu sınıfı CPU, herhangi bir zorlama göstermeden önce bir ton trafiği yönetecektir.
Kendine iyi bir CPU al (birden fazla çekirdek henüz pek bir işe yaramadı, bu yüzden ham GHz'e bak) iyi ECC RAM, güvenilir bir sabit disk ve sağlam bir kasa. Sonra her şeyi ikiye katlayın ve aktif / pasif bir CARP kümesi olarak iki düğümü çalıştırın. 4.5'in pfsync güncellemesinden bu yana aktif / aktif çalıştırabilirsiniz, ancak bunu test etmedim.
Yönlendiricilerim, 1U ikiz düğüm konfigürasyonlarında yük dengeleyicilerimizle yan yana çalışıyor. Her düğümde:
- Supermicro SYS-1025TC-TB şasi (dahili Intel Gigabit NIC'ler)
- Xeon Harpertown Dört Çekirdekli 2GHz CPU (yük dengeleyicilerim birden fazla çekirdek kullanıyor)
- 4GB Kingston ECC Kayıtlı RAM
- Çift bağlantı noktalı Intel Gigabit eklenti NIC
Konuşlandırıldığından beri sağlamlar. Bununla ilgili her şey trafik yükümüz için çok üzüldüğü halde, 800Mbps'den daha yüksek kapasiteleri test ettim (NIC sınırlı, CPU çoğunlukla boştaydı). VLAN'ları yoğun şekilde kullanıyoruz, bu yüzden bu yönlendiriciler çok fazla iç trafiği de ele almalı.
Her 1U kasanın iki düğüme güç sağlayan tek bir 700W PSU'ya sahip olması nedeniyle güç verimliliği harika. Yönlendiricileri ve dengeleyicileri birden fazla şasi üzerinden dağıttık, böylece tüm şasiyi kaybedebiliriz ve hemen hemen kesintisiz bir yük devretme yapabiliriz (teşekkür ederim pfsync ve CARP).
İşletim sistemleri
Bazıları OpenBSD yerine Linux veya FreeBSD kullanarak bahsetti. Sunucularımın çoğu FreeBSD'dir, ancak OpenBSD yönlendiricileri birkaç sebepten dolayı tercih ediyorum:
- Linux ve FreeBSD'den daha güvenli ve istikrarlı bir odaklanma
- Herhangi bir Açık Kaynak İşletim Sisteminin en iyi dokümantasyonu
- İnovasyonları bu tür bir uygulama etrafında toplanmıştır (bkz. Pfsync, ftp-proxy, sazan, vlan yönetimi, ipsec, sasync, eğer varsa, pflogd, vb.
- FreeBSD, pf limanında çok sayıda sürüm yayınladı.
- pf iptables, ipchains, ipfw veya ipf'ten daha şık ve yönetilebilir
- Yalın kurulum / yükleme işlemi
Bununla birlikte, Linux veya FreeBSD'yi yakından tanıyorsanız ve yatırım yapacak zamanınız yoksa, bunlardan biriyle gitmek daha iyi bir fikirdir.