Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 1 subscriber
  • Views 1457 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Cluster Performance

jasont
We have 2 x ASG320's in ACTIVE/ACTIVE configuration.

We are seeing performance bottlenecks, pretty much 100% CPU on the master, whilst relatively low (25%) on the secondary machine.  Users are complaining that web sites are slow to respond / timing out etc.  Bandwidth is not an issue for us.

When we scan the web filtering logs, we see that that 60-70% of all requests go via the master, whilst the remainder is via the slave.  We have noticed that a ridiculous amount of CPU seems to be given over to running "inline" reports, "snort" (even though we have IDS switched off), "mysqld", "websec-reporter" etc.  It seems that the core management functionality / reporting is strangling performance.

The obvious point here is that it would be a great advantage to prioritise the slave box for handling the web content filtering, is there any way to achieve this?  We are currently running firmware 7.104 and have 1.1 Million entries in our http.log on a typical day (predomaintely 9-5).

We are at a point whereby we need to further upscale by increasing the cluster, but given the state of how load is distributed in a cluster this seems like a questionable strategy.

Jason.


This thread was automatically locked due to age.
  • 0
    I was inspired to check that this wasn't the network accounting option - this was switched off as expected as we had done so many moons ago when we first upgraded to 7.100.

    However - I noticed that the accounting file was still in excess of 500MB, so it seems that even though the accounting functionality was switched off, that the reports generation routines were no doubt continuing to re-read this 500MB block of old data.

    I've deleted and vacumed the old data out of the way and sure enough the 15 minute gen_inline is over and done with in a few seconds, rather than 5 minutes or so as before.  Needless to day that running a job lasting 5 minutes every 15 minutes is disasterous for performance regardless of how nice it's supposed to be.
  • 0 in reply to jasont
    FYI, Snort will also run if you have IM or P2P settings enabled.

    Barry
  • 0 in reply to BarryG
    Thanks for that.  We've disabled the IM/P2P settings, this has reduced load a bit.

    I've also disabled websec, mailsec and pfilter reporting entirely and the box is now keeping up with load.

    Any ideas if this will have any other unwanted side effects?

    Thanks

    Jason.
  • 0 in reply to jasont
    I was having the same problem with clustering on versions below 7.300.  My problem was the amount of spam that had been stored on the astaro, over 200,000, syncing the email was causing the astaro's to use 100% cpu and then you add the inline_gen_reporting and the astaro's would fail.  So it was better to run as a stand alone.  So with the the update to 7.300 there were a couple of issues that were fixed. 1)Postgres is now used, this increased the processing of the email and everything dramatically, i.e. the user portal is actually usable. 2)the addition of the new spam filters. I could now drop the spam without storing it on the astaro.
    So now I am running in cluster mode with accounting on, spam filtering, web filtering, IM/P2P filtering, SSL VPN's, Active Directory auth.  With all of that running CPU is 10-20% Mem 40-50%.  I did have to turn off the monthly report, but I still get daily and weekly.