Кіраўніцтва па тэхналогіях
Аптымізацыя прадукцыйнасці NGFW з дапамогай
Працэсары Intel® Xeon® у публічным воблаку
Аўтары
Сян Ван
Джайпракаш Патыдар
Дэклан Доэрці
Эрык Джонс
Субхікша Равісундар
Хэцын Чжу
Уводзіны
Брандмаўэры наступнага пакалення (NGFW) ляжаць у аснове рашэнняў сеткавай бяспекі. Традыцыйныя брандмаўэры выконваюць праверку трафіку з улікам стану, звычайна на аснове порта і пратакола, якія не могуць эфектыўна абараняць ад сучаснага шкоднаснага трафіку. NGFW развіваюцца і пашыраюцца на аснове традыцыйных брандмаўэраў, дадаючы пашыраныя магчымасці глыбокай праверкі пакетаў, у тым ліку сістэмы выяўлення/прадухілення ўварванняў (IDS/IPS), выяўленне шкоднасных праграм, ідэнтыфікацыю і кантроль праграм і г.д.
NGFW — гэта рэсурсаёмістыя вылічальныя нагрузкі, якія выконваюць, напрыклад,ampт. е. крыптаграфічныя аперацыі для шыфравання і дэшыфравання сеткавага трафіку, а таксама складанае супастаўленне правілаў для выяўлення шкоднаснай дзейнасці. Intel пастаўляе асноўныя тэхналогіі для аптымізацыі рашэнняў NGFW.
Працэсары Intel абсталяваны рознымі архітэктурамі набораў інструкцый (ISA), у тым ліку Intel® Advanced Encryption Standard New Instructions (Intel® AES-NI) і Intel® QuickAssist Technology (Intel® QAT), якія значна паскараюць прадукцыйнасць крыптаапрацоўкі.
Intel таксама інвесціруе ў аптымізацыю праграмнага забеспячэння, у тым ліку для Hyperscan. Hyperscan — гэта высокапрадукцыйная бібліятэка для супастаўлення радкоў і рэгулярных выразаў. Яна выкарыстоўвае тэхналогію SIMD (адной інструкцыі і некалькіх дадзеных) на працэсарах Intel для павышэння прадукцыйнасці супастаўлення шаблонаў. Інтэграцыя Hyperscan у сістэмы NGFW IPS, такія як Snort, можа палепшыць прадукцыйнасць да 3 разоў на працэсарах Intel.
NGFW часта пастаўляюцца ў якасці прылады бяспекі, разгорнутай у дэмілітарызаванай зоне (DMZ) карпаратыўных цэнтраў апрацоўкі дадзеных. Аднак існуе вялікі попыт на віртуальныя прылады NGFW або праграмныя пакеты, якія можна разгарнуць у публічным воблаку, у карпаратыўных цэнтрах апрацоўкі дадзеных або на перыферыі сеткі. Гэтая мадэль разгортвання праграмнага забеспячэння вызваляе карпаратыўныя ІТ-спецыялісты ад эксплуатацыйных выдаткаў і накладных выдаткаў на абслугоўванне, звязаных з фізічнымі прыладамі. Яна паляпшае маштабаванасць сістэмы і забяспечвае гнуткія варыянты закупак і пакупак.
Усё большая колькасць прадпрыемстваў пераходзяць на разгортванне рашэнняў NGFW у публічным воблаку. Ключавой прычынай гэтага з'яўляецца перавага ў кошце.tagзапуску віртуальных прылад у воблаку.
Аднак, паколькі пастаўшчыкі паслуг сувязі (CSP) прапануюць мноства тыпаў інстанцый з рознымі вылічальнымі характарыстыкамі і цэнамі, выбар інстанцыі з найлепшым агульным коштам уласнай уласнасці (TCO) для NGFW можа быць складаным.
У гэтым артыкуле прадстаўлена эталонная рэалізацыя NGFW ад Intel, аптымізаваная з выкарыстаннем тэхналогій Intel, у тым ліку Hyperscan. Яна прапануе надзейнае пацверджанне характарыстыкі прадукцыйнасці NGFW на платформах Intel. Яна ўваходзіць у пакет праграмнага забеспячэння NetSec Reference Software ад Intel. Мы таксама прапануем інструмент аўтаматызацыі шматхладзьбоўных сетак (MCNAT) у тым жа пакеце для аўтаматызацыі разгортвання эталоннай рэалізацыі NGFW на асобных пастаўшчыках публічных воблачных сэрвісаў. MCNAT спрашчае аналіз агульнага карыстальніцкага кошту для розных вылічальных экзэмпляраў і дапамагае карыстальнікам выбраць аптымальны вылічальны экзэмпляр для NGFW.
Каб даведацца больш пра пакет праграмнага забеспячэння NetSec Reference, звяжыцеся з аўтарамі.
Гісторыя версій дакумента
| Рэвізія | Дата | Апісанне |
| 001 | Сакавік 2025 г | Першапачатковы выпуск. |
1.1 Тэрміналогія
Табліца 1. Тэрміналогія
| Абрэвіятура | Апісанне |
| DFA | Дэтэрмінаваны канчатковы аўтамат |
| DPI | Глыбокая праверка пакетаў |
| HTTP | Пратакол перадачы гіпертэксту |
| IDS/IPS | Сістэма выяўлення і прадухілення ўварванняў |
| ISA | Архітэктура набору інструкцый |
| MCNAT | Інструмент аўтаматызацыі шматхмарных сетак |
| НФА | Недэтэрмінаваны канчатковы аўтамат |
| NGFW | Брандмаўэр наступнага пакалення |
| PCAP | Захоп пакетаў |
| PCRE | Бібліятэка рэгулярных выразаў, сумяшчальная з Perl |
| Рэгулярны выраз | Рэгулярны выраз |
| SASE | Бяспечны доступ Service Edge |
| SIMD | Тэхналогія некалькіх дадзеных з адной інструкцыяй |
| TCP | Пратакол кіравання перадачай |
| URI | Уніфікаваны ідэнтыфікатар рэсурсу |
| WAF | Web Брандмаўэр прыкладанняў |
1.2 Даведачная дакументацыя
Табліца 2. Даведачныя дакументы
Перадгісторыя і матывацыя
Сёння большасць пастаўшчыкоў NGFW пашырылі сваю прысутнасць з фізічных прылад NGFW да віртуальных рашэнняў NGFW, якія можна разгарнуць у публічным воблаку. Разгортванне NGFW у публічным воблаку атрымлівае ўсё большае распаўсюджванне дзякуючы наступным перавагам:
- Маштабаванасць: лёгкае маштабаванне міжгеаграфічных вылічальных рэсурсаў для задавальнення патрабаванняў да прадукцыйнасці.
- Эканамічнасць: гнуткая падпіска, якая дазваляе аплачваць карыстанне. Выключае капітальныя выдаткі і зніжае эксплуатацыйныя выдаткі, звязаныя з фізічнымі прыладамі.
- Убудаваная інтэграцыя з хмарнымі сэрвісамі: бесперашкодная інтэграцыя з публічнымі хмарнымі сэрвісамі, такімі як сеткі, сродкі кантролю доступу і інструменты штучнага інтэлекту/машыннага навучання.
- Абарона воблачных рабочых нагрузак: лакальная фільтрацыя трафіку для карпаратыўных рабочых нагрузак, размешчаных у публічным воблаку.
Зніжэнне кошту выканання рабочай нагрузкі NGFW у публічным воблаку з'яўляецца прывабнай прапановай для карпаратыўнага выкарыстання.
Аднак выбар экзэмпляра з найлепшай прадукцыйнасцю і агульным коштам уласнага ўтрымання для NGFW з'яўляецца складанай задачай, улічваючы шырокі спектр варыянтаў воблачных экзэмпляраў з рознымі працэсарамі, памерамі памяці, прапускной здольнасцю ўводу-вываду, і кожны з іх мае розную цану. Мы распрацавалі эталонную рэалізацыю NGFW, каб дапамагчы ў аналізе прадукцыйнасці і агульнага кошту ўласнасці розных публічных воблачных экзэмпляраў на базе працэсараў Intel. Мы прадэманструем паказчыкі прадукцыйнасці і суадносін прадукцыйнасці і кошту выдаткаў у якасці кіраўніцтва па выбары правільных экзэмпляраў на базе Intel для рашэнняў NGFW у публічных воблачных сэрвісах, такіх як AWS і GCP.
Рэалізацыя эталоннай NGFW
Кампанія Intel распрацавала пакет праграмнага забеспячэння NetSec Reference (апошняя версія 25.05), які прапануе аптымізаваныя эталонныя рашэнні, выкарыстоўваючы ISA і паскаральнікі, даступныя ў найноўшых працэсарах і платформах Intel, для дэманстрацыі аптымізаванай прадукцыйнасці ў лакальнай карпаратыўнай інфраструктуры і ў воблаку. Эталоннае праграмнае забеспячэнне даступна па ўласнай ліцэнзіі Intel (IPL).
Асноўныя асаблівасці гэтага праграмнага пакета:
- Уключае шырокі партфель эталонных рашэнняў для сетак і бяспекі, фрэймворкі штучнага інтэлекту для хмарных і карпаратыўных цэнтраў апрацоўкі дадзеных і перыферыйных месцаў.
- Забяспечвае час для выхаду на рынак і хуткага ўкаранення тэхналогій Intel.
- Даступны зыходны код, які дазваляе рэплікаваць сцэнарыі разгортвання і тэставыя асяроддзя на платформах Intel.
Каб даведацца больш пра атрыманне апошняй версіі праграмнага забеспячэння NetSec Reference, звяжыцеся з аўтарамі.
Як важная частка пакета праграмнага забеспячэння NetSec Reference, эталонная рэалізацыя NGFW вызначае характарыстыкі прадукцыйнасці NGFW і аналіз агульнай вартасці ўласнасці на платформах Intel. Мы забяспечваем бясшвоўную інтэграцыю тэхналогій Intel, такіх як Hyperscan, у эталонную рэалізацыю NGFW. Гэта стварае трывалую аснову для аналізу NGFW на платформах Intel. Паколькі розныя апаратныя платформы Intel прапануюць розныя магчымасці ад вылічэнняў да ўводу-вываду, эталонная рэалізацыя NGFW прадстаўляе больш зразумелае ўяўленне. view магчымасцей платформы для працоўных нагрузак NGFW і дапамагае паказаць параўнанне прадукцыйнасці паміж пакаленнямі працэсараў Intel. Гэта дае падрабязнае разуменне паказчыкаў, у тым ліку вылічальнай прадукцыйнасці, прапускной здольнасці памяці, прапускной здольнасці ўводу-вываду і спажывання энергіі. На падставе вынікаў тэстаў прадукцыйнасці мы можам далей правесці аналіз агульнай вартасці ўласнасці (з улікам прадукцыйнасці на долар) на платформах Intel, якія выкарыстоўваюцца для NGFW.
Апошняя версія (25.05) эталоннай рэалізацыі NGFW уключае наступныя ключавыя функцыі:
- Базавы брандмаўэр з адсочваннем стану
- Сістэма прадухілення ўварванняў (IPS)
- Падтрымка найноўшых працэсараў Intel, у тым ліку працэсараў Intel® Xeon® 6, аднакрышталічнага камп'ютара Intel Xeon 6 і г.д.
У будучых рэлізах плануецца рэалізаваць наступныя дадатковыя функцыі:
- Праверка VPN: расшыфроўка IPsec-трафіку для праверкі кантэнту
- Праверка TLS: проксі-сервер TLS для разрыву злучэнняў паміж кліентам і серверам, а затым выканання праверкі змесціва тэкставага трафіку.
3.1 Архітэктура сістэмы
На малюнку 1 паказана агульная архітэктура сістэмы. У якасці асновы для пабудовы сістэмы мы выкарыстоўваем праграмнае забеспячэнне з адкрытым зыходным кодам:
- VPP забяспечвае высокапрадукцыйнае рашэнне для плоскасці дадзеных з базавымі функцыямі брандмаўэра з адсочваннем стану, у тым ліку спісамі кантролю доступу (ACL) з адсочваннем стану. Мы ствараем некалькі патокаў VPP з наладжанай афіннасцю ядра. Кожны рабочы паток VPP прывязаны да выдзеленага ядра працэсара або да патоку выканання.
- У якасці IPS абраны Snort 3, які падтрымлівае шматструменнасць. Рабочыя патокі Snort прывязаныя да выдзеленых ядраў працэсара або патокаў выканання.
- Snort і VPP інтэграваны з дапамогай убудовы Snort для VPP. Ён выкарыстоўвае набор пар чэргаў для адпраўкі пакетаў паміж VPP і Snort. Пары чэргаў і самі пакеты захоўваюцца ў агульнай памяці. Мы распрацавалі новы кампанент збору дадзеных (DAQ) для Snort, які мы называем VPP Zero Copy (ZC) DAQ. Ён рэалізуе функцыі API Snort DAQ для атрымання і перадачы пакетаў шляхам чытання і запісу ў адпаведныя чэргі. Паколькі карысная нагрузка знаходзіцца ў агульнай памяці, мы лічым гэта рэалізацыяй з нулявым капіяваннем.
Паколькі Snort 3 — гэта працаёмкая вылічальная нагрузка, якая патрабуе больш вылічальных рэсурсаў, чым апрацоўка плоскасці дадзеных, мы спрабуем наладзіць аптымізаванае размеркаванне ядраў працэсара і збалансаваць колькасць патокаў VPP і патокаў Snort3, каб атрымаць найвышэйшую прадукцыйнасць сістэмы на працуючай апаратнай платформе.
На малюнку 2 (на старонцы 6) паказаны вузел графа ў VPP, у тым ліку тыя, што з'яўляюцца часткай ACL і Snort. pluginsМы распрацавалі два новыя вузлы графа VPP:
- snort-enq: прымае рашэнне аб балансаванні нагрузкі адносна таго, які паток Snort павінен апрацоўваць пакет, а затым ставіць пакет у адпаведную чаргу.
- snort-deq: рэалізаваны як уваходны вузел, які апытвае некалькі чэргаў, па адной на кожны працоўны паток Snort.
3.2 Аптымізацыі Intel
Наша эталонная рэалізацыя NGFW мае перавагуtagз наступных аптымізацый:
- Snort выкарыстоўвае высокапрадукцыйную бібліятэку супастаўлення некалькіх рэгулярных выразаў Hyperscan, каб забяспечыць значнае павышэнне прадукцыйнасці ў параўнанні з пошукавай сістэмай па змаўчанні ў Snort. На малюнку 3 паказана інтэграцыя Hyperscan са Snort для...
паскарае як апрацоўку літаралаў, так і супастаўленне рэгулярных выразаў. Snort 3 забяспечвае ўбудаваную інтэграцыю з Hyperscan, дзе карыстальнікі могуць уключыць Hyperscan праз канфігурацыю file або параметры каманднага радка.
- VPP бярэ перавагуtagмаштабаванне на баку атрымання (RSS) у сеткавых адаптарах Intel® Ethernet для размеркавання трафіку паміж некалькімі рабочымі патокамі VPP.
- Інструкцыі Intel QAT і Intel AVX-512: будучыя выпускі з падтрымкай IPsec і TLS будуць улічваць перавагі...tagтэхналогіі паскарэння крыптаграфіі ад Intel. Intel QAT паскарае прадукцыйнасць крыптаграфіі, асабліва крыптаграфіі з адкрытым ключом, якая шырока выкарыстоўваецца для ўстанаўлення сеткавых злучэнняў. Intel AVX-512 таксама павышае крыптаграфічную прадукцыйнасць, у тым ліку VPMADD52 (аперацыі множання і назапашвання), вектарны AES (вектарная версія інструкцый Intel AES-NI), vPCLMUL (вектарызаванае множанне без пераносу, якое выкарыстоўваецца для аптымізацыі AES-GCM) і алгарытм бяспечнага хэшавання Intel® Secure Hash Algorithm – New Instructions (Intel® SHA-NI).
Воблачнае разгортванне эталоннай рэалізацыі NGFW
4.1 Канфігурацыя сістэмы
Табліца 3. Канфігурацыі тэстаў
| Метрыка | Каштоўнасць |
| Выпадак выкарыстання | Праверка адкрытага тэксту (прашыўка + IPS) |
| Прафесіянал па дарожным рухуfile | HTTP 64 КБ GET (1 GET на падключэнне) |
| VPP ACL | Так (2 спісы кантролю доступу (ACL) з захаваннем стану) |
| Правілы фыркання | Lightspd (~49 тыс. правілаў) |
| Палітыка Snort | Бяспека (уключана ~21 тыс. правілаў) |
Мы засяроджваемся на сцэнарыях праверкі адкрытага тэксту на аснове выпадкаў выкарыстання і ключавых паказчыкаў эфектыўнасці (KPI) у RFC9411. Генератар трафіку можа ствараць HTTP-транзакцыі памерам 64 КБ з 1 GET-запытам на падключэнне. ACL настроены на дазвол IP-адрасоў у зададзеных падсетках. Для бенчмаркінгу мы выкарысталі набор правілаў Snort Lightspd і палітыку бяспекі ад Cisco. Таксама быў выдзелены сервер для абслугоўвання запытаў ад генератараў трафіку.
Як паказана на малюнках 4 і 5, тапалогія сістэмы ўключае тры асноўныя вузлы экзэмпляра: кліент, сервер і проксі-сервер для разгортвання публічнага воблака. Існуе таксама бастыённы вузел для абслугоўвання падключэнняў ад карыстальніка. Як кліент (пад кіраваннем WRK), так і сервер (пад кіраваннем Nginx) маюць адзін выдзелены сеткавы інтэрфейс плоскасці дадзеных, а проксі-сервер (пад кіраваннем NGFW) мае два сеткавыя інтэрфейсы плоскасці дадзеных для тэставання. Сеткавыя інтэрфейсы плоскасці дадзеных падключаны да выдзеленай падсеткі A (кліент-проксі) і падсеткі B (проксі-сервер), якія падтрымліваюць ізаляцыю ад трафіку кіравання экзэмплярам. Выдзеленыя дыяпазоны IP-адрасоў вызначаюцца з адпаведнымі правіламі маршрутызацыі і ACL, запраграмаванымі ў інфраструктуры, каб забяспечыць паток трафіку.
4.2 Разгортванне сістэмы
MCNAT — гэта праграмны інструмент, распрацаваны кампаніяй Intel, які забяспечвае аўтаматызацыю для бесперабойнага разгортвання сеткавых нагрузак у публічным воблаку і прапануе рэкамендацыі па выбары найлепшага воблачнага экзэмпляра ў залежнасці ад прадукцыйнасці і кошту.
MCNAT наладжваецца з дапамогай серыі прафесійныхfile, кожны з якіх вызначае зменныя і налады, неабходныя для кожнага экзэмпляра. Кожны тып экзэмпляра мае сваю ўласную прафесіюfile якія затым можна перадаць у інструмент MCNAT CLI для разгортвання гэтага канкрэтнага тыпу экзэмпляра ў зададзенага пастаўшчыка хмарных паслуг (CSP). НапрыкладampВыкарыстанне каманднага радка паказана ніжэй і ў Табліцы 4.
Табліца 4. Выкарыстанне каманднага радка MCNAT
| Варыянт | Апісанне |
| –разгортванне | Дае інструкцыю інструменту стварыць новае разгортванне |
| -u | Вызначае, якія ўліковыя дадзеныя карыстальніка выкарыстоўваць |
| -c | CSP для стварэння разгортвання на (AWS, GCP і г.д.) |
| -s | Сцэнар для разгортвання |
| -p | профіfile выкарыстоўваць |
Інструмент каманднага радка MCNAT можа ствараць і разгортваць экзэмпляры за адзін крок. Пасля разгортвання экзэмпляра, наступныя этапы канфігурацыі ствараюць неабходную канфігурацыю SSH для доступу да экзэмпляра.
4.3 Тэставанне сістэмы
Пасля разгортвання экзэмпляраў MCNAT усе тэсты прадукцыйнасці можна будзе праводзіць з дапамогай набору інструментаў прыкладанняў MCNAT.
Спачатку нам трэба наладзіць тэставыя выпадкі ў tools/mcn/applications/configurations/ngfw-intel/ngfw-intel.json, як паказана ніжэй:
Тады мы можам выкарыстоўваць exampкаманду ніжэй, каб запусціць тэст. DEPLOYMENT_PATH — гэта месца, дзе захоўваецца стан разгортвання мэтавага асяроддзя, напрыклад, tools/mcn/infrastructure/infrastructure/examples/ngfw-ntel/gcp/terraform.tfstate.d/tfws_default.
Ён запускае NGFW з зададзеным наборам правілаў для http-трафіку, згенераванага WRK на кліенце, адначасова замацоўваючы шэраг ядраў працэсара, каб сабраць поўны набор паказчыкаў прадукцыйнасці для тэставанага экзэмпляра. Пасля завяршэння тэстаў усе дадзеныя фарматуюцца ў выглядзе CSV-файла і вяртаюцца карыстальніку.
Ацэнка прадукцыйнасці і выдаткаў
У гэтым раздзеле мы параўноўваем разгортванні NGFW на розных воблачных экзэмплярах на базе працэсараў Intel Xeon у AWS і GCP.
Гэта дае рэкамендацыі па пошуку найбольш прыдатнага тыпу воблачнага экзэмпляра для NGFW зыходзячы з прадукцыйнасці і кошту. Мы выбіраем экзэмпляры з 4 віртуальнымі працэсарамі, бо яны рэкамендуюцца большасцю пастаўшчыкоў NGFW. Вынікі на AWS і GCP ўключаюць:
- Прадукцыйнасць NGFW на невялікіх тыпах экзэмпляраў, якія размяшчаюць 4 віртуальныя працэсары з уключанай тэхналогіяй Intel® Hyper-Threading (тэхналогія Intel® HT) і гіперсканаваннем.
- Паляпшэнне прадукцыйнасці ад пакалення да пакалення працэсараў Intel Xeon Scalable першага пакалення да працэсараў Intel Xeon Scalable пятага пакалення.
- Паляпшэнне прадукцыйнасці на адзінку выдаткаванага капіталу ад пакалення да пакалення — ад працэсараў Inte® Xeon Scalable першага пакалення да працэсараў Intel Xeon Scalable пятага пакалення.
5.1 Разгортванне AWS
5.1.1 Спіс тыпаў экзэмпляраў
Табліца 5. Экземпляры AWS і пагадзінныя стаўкі па патрабаванні
| Тып экзэмпляра | Мадэль працэсара | vCPU | Памяць (ГБ) | Прадукцыйнасць сеткі (Гбіт/с) | Па запыцеurlстаўка y ($) |
| c5-xlarge | Маштабуемыя працэсары Intel® Xeon® 2-га пакалення | 4 | 8 | 10 | 0.17 |
| c5n-xlarge | Маштабуемыя працэсары Intel® Xeon® 1-га пакалення | 4 | 10.5 | 25 | 0.216 |
| c6i-xlarge | Маштабуемыя працэсары Intel® Xeon® 3-га пакалення | 4 | 8 | 12.5 | 0.17 |
| c6in-xlarge | Маштабуемыя працэсары Intel Xeon 3-га пакалення | 4 | 8 | 30 | 0.2268 |
| c7i-xlarge | Маштабуемыя працэсары Intel® Xeon® 4-га пакалення | 4 | 8 | 12.5 | 0.1785 |
У табліцы 5 паказана большview экзэмпляраў AWS, якія мы выкарыстоўваем. Больш падрабязную інфармацыю пра платформу глядзіце ў раздзеле "Канфігурацыя платформы". Там таксама пералічаны даныя па патрабаванні.urlхуткасць y (https://aws.amazon.com/ec2/pricing/on-demand/) для ўсіх выпадкаў. Вышэйпаказаны паказчык быў па патрабаванні на момант публікацыі гэтага артыкула і тычыцца заходняга ўзбярэжжа ЗША.
Па запыцеurlСтаўка можа адрознівацца ў залежнасці ад рэгіёна, даступнасці, карпаратыўных акаўнтаў і іншых фактараў.
5.1.2 Вынікі
На малюнку 6 параўноўваецца прадукцыйнасць і паказчык прадукцыйнасці за гадзіну для ўсіх згаданых да гэтага часу тыпаў экзэмпляраў:
- Палепшаная прадукцыйнасць з экзэмплярамі на базе новых пакаленняў працэсараў Intel Xeon. Абнаўленне з c5.xlarge (на базе працэсара Intel Xeon Scalable 2-га пакалення) да c7i.xlarge (на базе працэсара Intel Xeon Scalable 4-га пакалення).
паказвае паляпшэнне прадукцыйнасці ў 1.97 раза. - Прадукцыйнасць у разліку на долар палепшылася з выкарыстаннем экзэмпляраў на базе новых пакаленняў працэсараў Intel Xeon. Абнаўленне з c5n.xlarge (на базе працэсара Intel Xeon Scalable 1-га пакалення) да c7i.xlarge (на базе працэсара Intel Xeon Scalable 4-га пакалення) паказвае паляпшэнне прадукцыйнасці ў 1.88 раза.
5.2 Разгортванне GCP
5.2.1 Спіс тыпаў экзэмпляраў
Табліца 6. Экземпляры GCP і пагадзінныя стаўкі па патрабаванні
| Тып экзэмпляра | Мадэль працэсара | vCPU | Памяць (ГБ) | Прапускная здольнасць выхаднога канала па змаўчанні (Гбіт/с) | Па запыцеurlстаўка y ($) |
| n1-std-4 | Intel® Xeon® 1-га пакалення Маштабуюцца працэсары |
4 | 15 | 10 | 0.189999 |
| n2-std-4 | 3-га пакалення Intel® Xeon® Маштабуюцца працэсары |
4 | 16 | 10 | 0.194236 |
| c3-std-4 | Intel® Xeon® 4-га пакалення Маштабуюцца працэсары |
4 | 16 | 23 | 0.201608 |
| n4-std-4 | Intel® Xeon® 5-га пакалення Маштабуюцца працэсары |
4 | 16 | 10 | 0.189544 |
| c4-std-4 | Intel® Xeon® 5-га пакалення Маштабуюцца працэсары |
4 | 15 | 23 | 0.23761913 |
У табліцы 6 паказана большview экзэмпляраў GCP, якія мы выкарыстоўваем. Больш падрабязную інфармацыю пра платформу глядзіце ў раздзеле "Канфігурацыя платформы". Там таксама пералічаны экзэмпляры па патрабаванні.urlхуткасць y (https://cloud.google.com/compute/vm-instance-pricing?hl=en) для ўсіх выпадкаў. Вышэйпаказаны паказчык быў па запыце на момант публікацыі гэтага дакумента і тычыцца заходняга ўзбярэжжа ЗША. Па запыцеurlСтаўка можа адрознівацца ў залежнасці ад рэгіёна, даступнасці, карпаратыўных акаўнтаў і іншых фактараў.
5.2.2 Вынікі
На малюнку 7 параўноўваецца прадукцыйнасць і паказчык прадукцыйнасці за гадзіну для ўсіх згаданых да гэтага часу тыпаў экзэмпляраў:
- Прадукцыйнасць палепшылася з экзэмплярамі на базе новых пакаленняў працэсараў Intel Xeon. Абнаўленне з n1-std-4 (на базе працэсара Intel Xeon Scalable 1-га пакалення) да c4-std-4 (на базе працэсара Intel Xeon Scalable 5-га пакалення) паказвае паляпшэнне прадукцыйнасці ў 2.68 раза.
- Палепшылася прадукцыйнасць у разліку на долар з выкарыстаннем экзэмпляраў на базе новых пакаленняў працэсараў Intel Xeon. Абнаўленне з n1-std-4 (на базе працэсара Intel Xeon Scalable 1-га пакалення) да c4-std-4 (на базе працэсара Intel Xeon Scalable 5-га пакалення) паказвае паляпшэнне прадукцыйнасці ў 2.15 раза.
Рэзюмэ
З ростам распаўсюджвання шмат- і гібрыдных мадэляў разгортвання воблачных сэрвісаў, размяшчэнне рашэнняў NGFW у публічным воблаку забяспечвае паслядоўную абарону ў розных асяроддзях, маштабаванасць для задавальнення патрабаванняў бяспекі і прастату з мінімальнымі намаганнямі па абслугоўванні. Пастаўшчыкі сеткавай бяспекі прапануюць рашэнні NGFW з рознымі тыпамі воблачных экзэмпляраў у публічным воблаку. Вельмі важна мінімізаваць агульны кошт валодання (TCO) і максымізаваць прыбытак ад інвестыцый (ROI) з дапамогай правільнага воблачнага экзэмпляра. Ключавыя фактары, якія неабходна ўлічваць, ўключаюць вылічальныя рэсурсы, прапускную здольнасць сеткі і цану. Мы выкарыстоўвалі эталонную рэалізацыю NGFW у якасці рэпрэзентатыўнай нагрузкі і выкарысталі MCNAT для аўтаматызацыі разгортвання і тэставання на розных тыпах публічных воблачных экзэмпляраў. Згодна з нашым бенчмаркінгам, экзэмпляры з найноўшым пакаленнем працэсараў Intel Xeon Scalable на AWS (на базе 4-га пакалення працэсараў Intel Xeon Scalable) і GCP (на базе 5-га пакалення працэсараў Intel Xeon Scalable) забяспечваюць паляпшэнне як прадукцыйнасці, так і агульнага кошту валодання. Яны паляпшаюць прадукцыйнасць да 2.68 раза, а прадукцыйнасць у гадзіну да 2.15 раза ў параўнанні з папярэднімі пакаленнямі. Гэтая ацэнка дае надзейныя рэкамендацыі па выбары публічных воблачных экзэмпляраў на базе Intel для NGFW.
Дадатак А Канфігурацыя платформы
Канфігурацыі платформы
c5-xlarge – «Пратэставана Intel па стане на 03. 17 вузел, 25 працэсар Intel(R) Xeon(R) Platinum 1CL з частатой 1 ГГц, 8275 ядры, падтрымка HT уключана, рэжым Turbo уключаны, агульны аб'ём памяці 3.00 ГБ (2x8 ГБ DDR1 8 МТ/с [Невядома]), BIOS 4, мікракод 2933x1.0, 0 адаптар эластычнай сеткі (ENA), 5003801x 1 ГБ крамы Amazon Elastic Block Store, Ubuntu 1 LTS, 32-22.04.5-aws, gcc 6.8.0, NGFW 1024, Hyperscan 11.4».
c5n-xlarge – «Пратэставана Intel па стане на 03. 17 вузел, 25 працэсар Intel(R) Xeon(R) Platinum 1M з частатой 1 ГГц, 8124 ядры, HT уключаны, Turbo уключаны, агульны аб'ём памяці 3.00 ГБ (2×10.5 ГБ DDR1 10.5 МТ/с [Невядома]), BIOS 4, мікракод 2933x1.0, 0 адаптар эластычнай сеткі (ENA), 2007006 крама блокаў Amazon Elastic Block Store 1 ГБ, Ubuntu 1 LTS, 32-22.04.5-aws, gcc 6.8.0, NGFW 1024, Hyperscan 11.4»
c6i-xlarge – «Пратэставана Intel па стане на 03. 17 вузел, 25 працэсар Intel(R) Xeon(R) Platinum 1C з частатой 1 ГГц, 8375 ядры, падтрымка HT уключана, рэжым Turbo уключаны, агульны аб'ём памяці 2.90 ГБ (2x8 ГБ DDR1 8 МТ/с [Невядома]), BIOS 4, мікракод 3200xd1.0f0, 0003 адаптар эластычнай сеткі (ENA), 6x 1 ГБ крамы Amazon Elastic Block Store, Ubuntu 1 LTS, 32-22.04.5-aws, gcc 6.8.0, NGFW 1024, Hyperscan 11.4».
c6in-xlarge – «Пратэставана Intel па стане на 03. 17 вузел, 25 працэсар Intel(R) Xeon(R) Platinum 1C з частатой 1 ГГц, 8375 ядры, падтрымка HT уключана, рэжым Turbo уключаны, агульны аб'ём памяці 2.90 ГБ (2x8 ГБ DDR1 8 МТ/с [Невядома]), BIOS 4, мікракод 3200xd1.0f0, 0003 адаптар эластычнай сеткі (ENA), 6x 1 ГБ крамы Amazon Elastic Block Store, Ubuntu 1 LTS, 32-22.04.5-aws, gcc 6.8.0, NGFW 1024, Hyperscan 11.4»
c7i-xlarge – «Пратэставана Intel па стане на 03. 17 вузел, 25 працэсар Intel(R) Xeon(R) Platinum 1C з частатой 1 ГГц, 8488 ядры, падтрымка HT уключана, рэжым Turbo уключаны, агульны аб'ём памяці 2.40 ГБ (2x8 ГБ DDR1 8 MT/s [Невядома]), BIOS 4, мікракод 4800x1.0b0, 2 адаптар эластычнай сеткі (ENA), 000620x 1G Amazon Elastic Block Store, Ubuntu 1 LTS, 32-22.04.5-aws, gcc 6.8.0, NGFW 1024, Hyperscan 11.4»
n1-std-4 – «Пратэставана Intel па стане на 03. 17 вузел, 25 працэсар Intel(R) Xeon(R) з частатой 1 ГГц, 1 ядры, падтрымка HT уключана, Turbo уключана, агульны аб'ём памяці 2.00 ГБ (2x15 ГБ аператыўнай памяці []), BIOS Google, мікракод 1xffffffff, 15 прылада, 0x 1 ГБ пастаянны дыск, Ubuntu 1 LTS, 32-22.04.5gcp, gcc 6.8.0, NGFW 1025, Hyperscan 11.4».
n2-std-4 – Тэсціравана Intel па стане на 03. 17 вузел, 25 працэсар Intel(R) Xeon(R) з частатой 1 ГГц, 1 ядры, падтрымка HT уключана, рэжым Turbo уключаны, агульны аб'ём памяці 2.60 ГБ (2x16 ГБ аператыўнай памяці []), BIOS Google, мікракод 1xffffffff, 16 прылада, 0x 1 ГБ пастаянны дыск, Ubuntu 1 LTS, 32-22.04.5gcp, gcc 6.8.0, NGFW 1025, Hyperscan 11.4”
c3-std-4 – Тэсціравана Intel па стане на 03. 14 вузел, 25 працэсар Intel(R) Xeon(R) Platinum 1C з частатой 1 ГГц і частатой 8481 ГГц, 2.70 ядры, падтрымка HT уключана, рэжым Turbo уключаны, агульны аб'ём памяці 2.60 ГБ (2x16 ГБ аператыўнай памяці []), BIOS Google, мікракод 1xffffffff, 16 віртуальны Ethernet вылічальнага механізму [gVNIC], 0x 1 ГБ nvme_card-pd, Ubuntu 1 LTS, 32-22.04.5-gcp, gcc 6.8.0, NGFW 1025, Hyperscan 11.4”
n4-std-4 – Тэсціравана Intel па стане на 03. 18 вузел, 25 працэсар Intel(R) Xeon(R) PLATINUM 1C з частатой 1 ГГц, 8581 ядры, падтрымка HT уключана, рэжым Turbo уключаны, агульны аб'ём памяці 2.10 ГБ (2x16 ГБ аператыўнай памяці []), BIOS Google, мікракод 1xffffffff, 16 віртуальны Ethernet вылічальнага механізму [gVNIC], 0x 1 ГБ nvme_card-pd, Ubuntu 1 LTS, 32-22.04.5-gcp, gcc 6.8.0, NGFW 1025, Hyperscan 11.4”
c4-std-4 – Тэсціравана Intel па стане на 03. 18 вузел, 25 працэсар Intel(R) Xeon(R) PLATINUM 1C з частатой 1 ГГц, 8581 ядры, падтрымка HT уключана, рэжым Turbo уключаны, агульны аб'ём памяці 2.30 ГБ (2x15 ГБ аператыўнай памяці []), BIOS Google, мікракод 1xffffffff, 15 віртуальны Ethernet вылічальнага механізму [gVNIC], 0x 1G nvme_card-pd, Ubuntu 1 LTS, 32-22.04.5-gcp, gcc 6.8.0, NGFW 1025, Hyperscan 11.4”
Дадатак B Канфігурацыя праграмнага забеспячэння Intel NGFW Reference
| Канфігурацыя праграмнага забеспячэння | Версія праграмнага забеспячэння |
| Хост-АС | Ubuntu 22.04 LTS |
| Ядро | 6.8.0-1025 |
| Складальнік | GCC 11.4.0 |
| WRK | 74eb9437 |
| WRK2 | 44a94c17 |
| VPP | 24.02 |
| Хрып | 3.1.36.0 |
| DAQ | 3.0.9 |
| LuaJIT | 2.1.0-бэта3 |
| Libpcap | 1.10.1 |
| PCRE | 8.45 |
| ЗЛІБ | 1.2.11 |
| Гіперсканаванне | 5.6.1 |
| ЛЗМА | 5.2.5 |
| NGINX | 1.22.1 |
| ДПДК | 23.11 |
Прадукцыйнасць залежыць ад выкарыстання, канфігурацыі і іншых фактараў. Даведайцеся больш на www.Intel.com/PerformanceIndex.
Вынікі прадукцыйнасці заснаваны на тэставанні на даты, паказаныя ў канфігурацыях, і могуць не адлюстроўваць усе агульнадаступныя абнаўленні. Падрабязнасці канфігурацыі глядзіце ў рэзервовым капіраванні. Ні адзін прадукт або кампанент не можа быць абсалютна бяспечным.
Intel адмаўляецца ад усіх відавочных і пэўных гарантый, уключаючы, без абмежавання, падразумныя гарантыі таварнасці, прыдатнасці для пэўнай мэты і адсутнасці парушэнняў, а таксама любыя гарантыі, якія вынікаюць з ходу працы, ходу здзелак або выкарыстання ў гандлі.
Тэхналогіі Intel могуць запатрабаваць актываванага абсталявання, праграмнага забеспячэння або актывацыі службы.
Intel не кантралюе і не правярае дадзеныя трэціх асоб. Вы павінны пракансультавацца з іншымі крыніцамі, каб ацаніць дакладнасць.
Апісаныя прадукты могуць утрымліваць канструктыўныя дэфекты або памылкі, вядомыя як памылкі, якія могуць прывесці да адхілення прадукту ад апублікаваных спецыфікацый. Бягучыя характарыстыкі памылак даступныя па запыце.
© Карпарацыя Intel. Intel, лагатып Intel і іншыя знакі Intel з'яўляюцца гандлёвымі маркамі карпарацыі Intel або яе даччыных кампаній. Іншыя назвы і брэнды могуць быць заяўлены як уласнасць іншых.
0425/XW/MK/PDF 365150-001US
Дакументы / Рэсурсы
 |
Intel аптымізуе брандмаўэры наступнага пакалення [pdfКіраўніцтва карыстальніка Аптымізацыя брандмаўэраў наступнага пакалення, аптымізацыя, брандмаўэры наступнага пакалення, брандмаўэры пакалення, брандмаўэры |