ヘビーロギング用CPUコアの割り当て

Security Gatewayが非常に多くのログを生成する場合、ログを生成するfwd デーモンに処理用CPUコアを割り当てることが推奨される場合があります。

注：この変更により、CoreXL マルチコア処理プラットフォーム上のセキュリティゲートウェイのパフォーマンス向上テクノロジー。複数のCheck Point Firewallインスタンスが、複数のCPUコアで並行して実行されています。 Firewallインスタンスで使用可能なCPUコアの数が減少します。

クラスタに関する重要な注：。

すべてのクラスタ冗長構成で連携する2つ以上のセキュリティゲートウェイ（ハイアベイラビリティまたは負荷分散）をクラスタ化します。メンバで、同じようにCoreXLを設定する必要があります。
CoreXLを有効にする、CoreXLを無効にする、またはCoreXL Firewallインスタンスの数を変更する場合、この変更をバージョンアップとして扱う必要があります。

フルメンテナンスウィンドウをスケジュールし、R81.10 Installation and Upgrade Guide - 章Upgrading ClusterXL Deployments の指示に従います。

Minimal Effort Upgrade 手順（ダウンタイムが必要）、またはZero Downtime Upgrade 手順（ダウンタイムはないが、アクティブな接続が失われる）のいずれかを実行します。バージョンアップの代わりに、各クラスタメンバにCoreXLを設定します。

fwd デーモンに処理用 CPU コアを割り当てること。

アフィニティーの設定」を参照してください。

ステップ

手順

Security Gateway/各クラスタメンバクラスタの一部であるセキュリティゲートウェイ。のコマンドラインに接続します。

注 - Scalable Platforms (MaestroおよびChassis) では、該当するセキュリティーグループの Gaia Portal Check Point Gaiaオペレーティングシステム用のWebインタフェース。に接続する必要があります。

エキスパートモード CheckPoint Gaiaオペレーティングシステムで完全なシステムルート権限を付与する完全なコマンドラインシェルの名前。にログインします。

次を実行します:

cpconfig

Check Point CoreXL オプションの番号を入力します。

CoreXL Firewallインスタンスの数を減らす。

IPv4およびIPv6 CoreXL Firewallインスタンスの設定を参照してください。

cpconfig メニューを終了します。

どの処理CPUコアがCoreXL Firewallインスタンスを実行し、どのCPUコアがインタフェースからのトラフィックを処理するかを調べます。

Security Gateway /各クラスタメンバ:

fw ctl affinity -l -r

スケーラブルプラットフォームセキュリティグループ:

g_fw ctl affinity -l -r

fw ctl affinity参照してください。

$FWDIR/conf/fwaffinity.conf ファイルをバックアップする。

Security Gateway /各クラスタメンバ:

cp -v $FWDIR/conf/fwaffinity.conf{,_BKP}

スケーラブルプラットフォームセキュリティグループ:

g_cp -v $FWDIR/conf/fwaffinity.conf{,_BKP}

$FWDIR/conf/fwaffinity.conf ファイルを編集します。

Security Gateway (各クラスタメンバ) と Scalable Platform Security Group にも同じ構文が適用されます。

vi $FWDIR/conf/fwaffinity.conf

残りの CPU コアのうち 1 つをfwd デーモンに割り当てる。

そのためには、fwd デーモンのアフィニティ指定されたCoreXL Firewall インスタンス、VSX Virtual System、インタフェース、ユーザスペースプロセス、またはIRQ を1 つ以上の指定されたCPU コアに割り当てます。ーをその CPU コアに設定します。

n fwd <CPU ID>

例えば、fwd デーモンを CPU コア#2 にアフィンする場合、次の行を追加します。

n fwd 2

注：CoreXL SND セキュアネットワークディストリビュータ。以下を担当するCoreXLの一部：ネットワークインタフェースからの着信トラフィックを処理します。許可されたパケットを安全に加速します（SecureXLが有効になっている場合）。ファイアウォールカーネルインスタンス間で高速化されていないパケットを配布します（SNDは、CoreXLファイアウォールインスタンスに割り当てられた接続をマップするグローバルディスパッチテーブルを維持します）。CoreXLファイアウォールインスタンス間のトラフィック分散は、送信元IPアドレス、宛先IPアドレス、およびIPの「プロトコル」タイプに静的に基づいています。CoreXL SNDは、実際にはパケットに「タッチ」しません。特定のFWKデーモンに固執するという決定は、他の何よりも先に、非常に高いレベルの接続の最初のパケットで行われます。SecureXLの設定によっては、ほとんどの場合、SecureXLは復号の計算をオフロードする可能性があります。ただし、ルートベースVPNの場合など、他のいくつかのケースでは、FWKデーモンによって実行されます。インスタンスを実行するCPUコアは、これらのCPUコアがインタフェースのアフィニティに明示的に定義されている場合のみ、避けることが重要です。インタフェースのアフィニティが自動モードで設定されている場合、fwd デーモンは CoreXL Firewall インスタンスが実行されていないすべての CPU コアを使用できます。インタフェースからのトラフィックは、自動的に他のCPUコアに振り分けられます。

変更内容をファイルに保存し、エディタを終了します。

Scalable Platform Security Groupで、$FWDIR/conf/fwaffinity.conf の設定ファイルを他のすべてのSecurity Group Membersにコピーします。

asg_cp2blades $FWDIR/conf/fwaffinity.conf

新しいコンフィギュレーションをロードします。

すぐに読み込むには

Security Gateway /各クラスタメンバ:

$FWDIR/scripts/fwaffinity_apply

スケーラブルプラットフォームセキュリティグループ:

g_all $FWDIR/scripts/fwaffinity_apply

後で読み込むには、再起動します。

Security Gateway /各クラスタメンバ:

reboot

スケーラブルプラットフォームセキュリティグループ:

g_reboot -a