11 Mbit connect drops to 5mbit behind Astaro

I had given Astaro access to all 4 cores as I did the other VMs - I had not placed any cpu limitations on any of them VMs. 

I'm using VMWare ESXi which only lists sockets and cores - not vcpus. So by saying I should use 2 vcpus are you saying that I should not give Astaro access to all 4 cores of my processor? (Mine was set to 1 socket 4 cores). If so, what is the reason to limit Astaro to only 2 of my 4 cores? I would think that would make Antivirus even slower?

Hi John,

William is correct that you should reduce how many vCPU's you assign to each VM.

VMWare themselves warn about assigning too many vCPU's to VM's. The short & simple answer is that when a VM requests CPU time, ESX(i) has to wait until at least that many physical cores are free before allowing it. In the case of your 4 vCPU virtual machine, ESXi has to wait till the entire CPU is idle before scheduling that one VM. With a 2 vCPU VM, it can schedule two VM's simultaneously, which helps with performance.

As a practical note, we've found that more then 2 vCPU's is usually overkill for most windows machines, even Windows Server (excluding large SQL Server installs). And on Astaro, for home use I've found that 2 vCPU's is more then enough, even with everything turned on. My home ASG vm is still running at maybe 1Mbps below line speed.

Hi John,

William is correct that you should reduce how many vCPU's you assign to each VM.

VMWare themselves warn about assigning too many vCPU's to VM's. The short & simple answer is that when a VM requests CPU time, ESX(i) has to wait until at least that many physical cores are free before allowing it. In the case of your 4 vCPU virtual machine, ESXi has to wait till the entire CPU is idle before scheduling that one VM. With a 2 vCPU VM, it can schedule two VM's simultaneously, which helps with performance.

As a practical note, we've found that more then 2 vCPU's is usually overkill for most windows machines, even Windows Server (excluding large SQL Server installs). And on Astaro, for home use I've found that 2 vCPU's is more then enough, even with everything turned on. My home ASG vm is still running at maybe 1Mbps below line speed.

Some further tuning is required....what is your line speed drew?

However, in DHCP, 'DNS Server 1' should be the private IP of "Internal (Address)" and the second DNS server should be blank or one of the OpenDNS servers.  If those both were left blank, then that would indeed cause very slow DNS resolution when using Web Security in Transparent mode.

Sorry for being slow, but I'm not certain where in the Astaro you're talking about. Are you referring to Network Services > DNS > Forwarders? If so, that does not allow me to select Internal (Address) . . . 

Anti-Virus doesn't have that impact on throughput.  You asked a different question before, so I gave you a method to test download speed.

Originally I thought the problem was merely Astaro, but after I originally posted, I turned off Antivirus and my download speeds increased as I documented above. In your previous post though you said: 

 Try downloading a file that's big enough to trigger the Astaro please wait screen, but smaller than the maximum scan size, and then time the download and then the virus-scan time.

Isn't that referring to testing the download speed with and without Antivirus enabled which is what I did? If not, could you explain further? Guess I'm not as familiar with Astaro as I thought to be able to understand your instructions [:(]

I'm not tlaking about the host..vcpus means the number of cpus assigned to the vm inside the vm settings.

I think we may be talking about the same thing - ESXi doesn't use the term vcpu on the virtual machine configuration screen - it lists sockets and cores. (See the red hightlights on my attachment)

drop the vcpus inside the astaro vm to 2. There is an apparent problem with astaro inside of vm's with more than 2 vcpus assigned to the vm.

Thanks, as my attachment shows, I've updated that to be only 2 cores instead of all 4 cores now. (I'm assuming updating the VM properies was all I needed to do, right? i.e. there is nothing to change inside of the Astaro management interface itself right?)

What are the ram assignments for the other vm's and how much ram is assigned to the astaro vm? .

As shown in my screen shot, I've given Astaro the ability to use up to 1792MB of ram. My Web Server windows install which I plan to run SQL Server from (for small databases) has 4GB max allotted and my other windows install for just file storage has 2GB max allotted. I have not set any minimums allotmnets on any of the VMs, but don't currently plan to add any more VMs either.

go download a linux iso or something

Yes, I was downloading a 194MB ISO of parted magic for my test. I can run more tests tonight when I get home if you feel it's needed yet

How do you have http proxy setup? 

Are you talking about the SOCKS5 proxy (Network Protection > Advanced > SOCKS Proxy)? Or are you talking about Web Protection > Web Filtering? And what specifically did you want to know?

Ill have to log into my esxi to show you how to set the required reservations.  try twit.tv for downloads and see what you get I can't read everything well on my phone....:-)

However, in DHCP, 'DNS Server 1' should be the private IP of "Internal (Address)" and the second DNS server should be blank or one of the OpenDNS servers.  If those both were left blank, then that would indeed cause very slow DNS resolution when using Web Security in Transparent mode.
Sorry for being slow, but I'm not certain where in the Astaro you're talking about. Are you referring to Network Services > DNS > Forwarders? If so, that does not allow me to select Internal (Address) . . . 

'Network Services >> DHCP' or the equivalent if you're using a different DHCP server.

 Try downloading a file that's big enough to trigger the Astaro please wait screen, but smaller than the maximum scan size, and then time the download and then the virus-scan time.
Isn't that referring to testing the download speed with and without Antivirus enabled which is what I did? If not, could you explain further? Guess I'm not as familiar with Astaro as I thought to be able to understand your instructions [:(]

Yeah, that wasn't clear except to those of us that already know, was it? [:)]  That test actually skips a lot of the other things that make the online speed tests invalid, and the final part is making sure you can separate the AV time out because you're essentially doing a single-threaded download where each step happens sequentially...

One categorization request followed by one DNS resolution followed by one download follwed by one AV scan (I recommend single-scan).  In the case of a normal webpage, these things are happening all at once for several, different URLs.

Cheers - Bob

'Network Services >> DHCP' or the equivalent if you're using a different DHCP server.

Yes, I have two DHCP servers - one for the internal network and one for the DMZ. Both have DNS 1 set to their respective interface addresses. Both have DNS 2 set to 0.0.0.0. BTW, what is the advantage to adding an IP address for OpenDNS in DNS 2?

One categorization request followed by one DNS resolution followed by one download follwed by one AV scan (I recommend single-scan). 

Ah - thanks! Okay - I just found a 100MB test file to use from http://cachefly.cachefly.net/100mb.test (as the ISO didn't seem to be triggering the antivirus scan - at least not long enough to time) The 100 MB test file with the Antivirus engine one took approx 75 seconds to download and about 12 seconds to scan. Without the web filter / antivirus downloading it took 67 seconds. 

So I guess while it does slow it down slightly it isn't nearly as bad as I first thought! Thanks!!! [:)]

Ill have to log into my esxi to show you how to set the required reservations.  try twit.tv for downloads and see what you get I can't read everything well on my phone....:-)

Are you talking about the resource tab on the ESXi VM? One thing that confused me about that tab is why the upper limit is 4788 Mhz when my cpu is only 2.4 Ghz . . . 

I was able to download something from twit.tv and it seemed to go fast; however, mp4s apparently don't trigger the antivirus engine.

Frankly you shouldn't be scanning anything over 30 megs....turn on dual scan...and set the file scanning size limit to 30 megs.  Anything larger than that gvets bypassed by a/v and everything else gets scanned by both egines

I have the same speed drop using the v8.304  AST120 and 220 units. Have not tested on a 320 yet.
I found this:
Anti-virus scanning set to 1meg file. This will give you some increase in speed but not full.
Web filtering OFF and you get 100% of your speed back.  Web filter ON and your clipped about 25% of your real bandwidth.
Ping times are around 200-250ms vs my true pings without AST being around 15-50ms.

I manage over 15 AST units in 15offices and in some cases the users complained so much I had to disable the Web filtering.
Im awaiting the net major release and HOPE they have fixed this issue.