Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 14 replies
  • Subscribers 0 subscribers
  • Views 2184 views
  • Users 0 members are here
Options
Suggested

[9.194-5][Question] minimum ressources for 9.2

mod2402
Hi there,

what are the minimum ressources needed for 9.2? Will the final release work without limitation at appliances with 2GByte RAM like an asg 220 REV 5?

In my testlab I need for my virtual appliance at least 3Gbyte RAM.

regards
mod
Parents
  • 0
    In my opinion it depends in the configuration of  IPS and webfiltering. With webfiltering set to mem and IPS left to standard in my expirience 2gb are too few with 64bit version. I set webfiltering to disk and IPS to one thread and the memusage doesn`t hit the 30% of my 4 GB in home Version of 9.108. But i habe only 20 devices with Internet Connections and concurrent peaks up to 1500.
    With the Standard configuration i`ve been  between 40 and 50%.
Reply
  • 0
    In my opinion it depends in the configuration of  IPS and webfiltering. With webfiltering set to mem and IPS left to standard in my expirience 2gb are too few with 64bit version. I set webfiltering to disk and IPS to one thread and the memusage doesn`t hit the 30% of my 4 GB in home Version of 9.108. But i habe only 20 devices with Internet Connections and concurrent peaks up to 1500.
    With the Standard configuration i`ve been  between 40 and 50%.
Children
  • 0 in reply to ChristianKüppers
    In my opinion it depends in the configuration of  IPS and webfiltering. With webfiltering set to mem and IPS left to standard in my experience 2gb are too few with 64bit version. I set webfiltering to disk and IPS to one thread and the memusage doesn`t hit the 30% of my 4 GB in home Version of 9.108. But i habe only 20 devices with Internet Connections and concurrent peaks up to 1500.
    With the Standard configuration i`ve been  between 40 and 50%.


    Well many folks including myself have done extensive testing.  I was talking about ram shortages in UTM before v9 was released.  I showed it's ram hungriness in the v9 beta back in the last v8 version.  Simply put..unless you are using only webfilter(without any local database of any kind) OR ips AND with less than 25 users you are going to have high ram usage and start digging into swap.  Now that we are this far into v9 I don't see any way with EITHER of these on in any capacity to not use swap.  

    Swap is more than a magnitude slower than main memory.  The ram usage in a sub 4Gig installed ram scenario is misleading.  What UTM does is it puts everything it can into swap and then uses up to 50% of main memory as a file cache.  The problem comes when something needs that file caching for programs.  In a normal Linux machine(provided there is enough ram) more ram is simply allocated to the system while keeping swap down to less than 10%.  Now I've had the devs say swap is simply ram to be used.  That's true..but not in the way they stated.  Swap is simply an overflow bucket.  If you are invading that to more than 10% you have a problem...you are trying to stuff 10 pounds of stuff into a 5 pound(or smaller bag).  The floor around the bag CAN be used as storage...but when you need to put something in the bag something has to be dug out..put on the floor..and then the floor item has to be stuffed into the bag and then you can go.  That bag-floor-bag transaction is MUCH slower than if everything fit into the bag.  V9.2 on onward simply doesn't stand a chance of fitting into 2 gigs of ram without swapping.  Once you start digging into the swap your performance craters.  That is being played out now.  The BEST solution is 4 gigs of ram minimum.  Once i can play with 9.2 i may have to up those recommendations depending on how ram usage goes.

    Attached is a graphic of my utm installations.  The hhab one is a utm 110 with basicguard.  This means it is automatically set to single scan using sophos engine.  I am also only using 4494 of 19126 patterns.  This is a HIPAA covered entity so i do have portscan detection going.  This machine has 10 users behind it.  You can see what it's doing into it's swap.  I've been able to avoid a huge slowdown because the swap is confined to overnight operations but if 9.2 wants more ram this isn't going to be enough and i'll have to scale back reporting or some of the protections even further.  Right now i have a kernel tweak installed that forces the system to release the file cache before digging into swap.  It was the only way to keep this machine from falling over. If i have to scale back protection it'll be time for something else at this client.  The other installs are 3-8 gigs and as you can see they are running fine.  They all have fullguard with everything on.  ETC is mine..fbc is my church...howard is another client.  ETC i've tweaked to have it stay within 3 gigs.  I'm getting ready to raise it to 4 gigs so i can remove my tweaks.  The other two installs run at their default kernel settings..[:)]  if you click on my installed configs link you'll see the details of each installation.

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

  • 0 in reply to William Warren
    I like that resource discussion - we had it from time to time over the years here in the forum.

    Why I generally agree with all people complaining, that swapping makes a system slower, I disagree often in view of how much slower...Are we talking about a 1% performance hit or a 75% performance hit ?

    Swapping isn't generally bad, as it tries more or less intelligently to swap out actually unused parts out of memory onto disk.

    Depending on your real memory usage vs. availably physical memory swapping may slow down a system noticeably. A UTM with 2GB Memory it also will swap, but you often may not see a huge difference to 4GB depending on the workload on the UTM.

    Finally it's not a problem, if content get swapped out to disk, but more, how often content is requested back from disk to memory (or vice versa on high memory load).

    Over the time I personally found, that lot used swapspace only idicates, that more memory may help keeping data in memory, but it doesn't necessarily also mean, that my system runs slow as a brakepad on tarmac, because the swapped out data maybe isn't used at all (and therefor will not, or at least not often requested back from disk into memory).

    I also have seen systems going into knees without high memory, zero swap usage and CPU usage at all, because the bottleneck was disk I/O.

    So if I have a slow system which is swapping or not, has not 100% CPU usage, i first check in top on linux console the %wa value (I/O wait), which means, that the processor is waiting for data from a I/O subsystem (usually a slow disk).
    I like the iowait explanantion here ==> Linux And High I/o Wait

    So my personal experience is - swapping slows a system NOTICEABLY down, IF %wa is gets high, especially constantly over longer times. If %wa is zero, or at least near zero within single digit percentage, everything also should run smooth - absolutely independent of if your system is using swapspace or not [H]

    And to answer the topics question - I think with UTM9.2 2GB is minimum requirement for smaller enviroments, 4GB should be fine for most scenarios up to 200-300 Users, and as always....more physical memory usually did never hurt anyone - so if you can afford more memory and/or faster disks, go for it ;o)
Unfiltered HTML