処理用CPUコアの割り振り

CoreXL閉じた マルチコア処理プラットフォーム上のセキュリティゲートウェイのパフォーマンス向上テクノロジー。複数のCheck Point Firewallインスタンスが、複数のCPUコアで並行して実行されています。のソフトウェア・アーキテクチャには、Secure Network Distributor(SND)が含まれています。

これらはSNDが担当します。

特定のインタフェースと特定の処理用CPUコアの関連付けを、そのCPUコアとのインタフェースのaffinity と呼びます。このアフィニティ閉じた 指定されたCoreXL Firewall インスタンス、VSX Virtual System、インタフェース、ユーザスペースプロセス、またはIRQ を1 つ以上の指定されたCPU コアに割り当てます。により、インタフェースのトラフィックはそのCPUコアに向けられ、CoreXL SND閉じた セキュアネットワークディストリビュータ。以下を担当するCoreXLの一部:ネットワークインタフェースからの着信トラフィックを処理します。許可されたパケットを安全に加速します(SecureXLが有効になっている場合)。ファイアウォールカーネルインスタンス間で高速化されていないパケットを配布します(SNDは、CoreXLファイアウォールインスタンスに割り当てられた接続をマップするグローバルディスパッチテーブルを維持します)。CoreXLファイアウォールインスタンス間のトラフィック分散は、送信元IPアドレス、宛先IPアドレス、およびIPの「プロトコル」タイプに静的に基づいています。CoreXL SNDは、実際にはパケットに「タッチ」しません。特定のFWKデーモンに固執するという決定は、他の何よりも先に、非常に高いレベルの接続の最初のパケットで行われます。SecureXLの設定によっては、ほとんどの場合、SecureXLは復号の計算をオフロードする可能性があります。ただし、ルートベースVPNの場合など、他のいくつかのケースでは、FWKデーモンによって実行されます。はそのCPUコアで実行されるようになります。

特定のCoreXL Firewallインスタンスと特定のCPUコアの関連付けは、CoreXL FirewallインスタンスのそのCPUコアとのaffinity と呼ばれています。

特定のユーザ空間プロセスと特定のCPUコアの関連付けは、そのCPUコアとのプロセスのaffinity と呼ばれます。

すべてのインタフェースのデフォルトのアフィニティ設定は「自動」です。自動アフィニティとは、SecureXLが有効な場合、各インタフェースのアフィニティを一定時間ごとに変更し、利用可能なCPUコア間でバランスをとることを意味します。SecureXLを無効にした場合、すべてのインタフェースのデフォルトの親和性は、使用可能な1つのCPUコアとなります。どちらの場合も、CoreXL Firewallインスタンスが動作する、または別のユーザスペースプロセスのアフィニティとして設定されているすべての処理CPUコアは使用不可とみなされ、これらのCPUコアにインタフェースのアフィニティが設定されません。

以下のセクションで説明するように、CoreXL Firewallインスタンス、CoreXL SND、およびその他のユーザ空間プロセスを、処理用CPUコア間で分散して変更する必要がある場合があります。そのためには、異なるNIC(インタフェース)やユーザ空間のプロセスのアフィニティを変更します。CoreXLを効率的に運用するために、すべてのインタフェースからのトラフィックは、CoreXL Firewallインスタンスを実行していないCPUコアに誘導する必要があります。したがって、インタフェースや他のユーザスペースプロセスのアフィニティを変更した場合、対応する数のCoreXL Firewallインスタンスを設定する必要があります。さらに、CoreXL Firewallインスタンスが他の処理CPUコアで実行されるようにする必要があります。

通常、CoreXL SNDとCoreXL Firewallインスタンスが同じCPUコアを使用することは推奨されません。Security Gateway(Scalable Platform Security Group)が2つのCPUコアしか持たないプラットフォームで動作する場合、CoreXL SNDとCoreXL Firewallインスタンスが1つのCPUコアを使用する必要があります。