CoreXLインスタンスの動的バランシング

はじめに

Check Point アプライアンスでは、R80.40 で、CoreXL閉じた マルチコア処理プラットフォーム上のセキュリティゲートウェイのパフォーマンス向上テクノロジー。複数のCheck Point Firewallインスタンスが、複数のCPUコアで並行して実行されています。 Firewall および SND インスタンスの数を再起動せずに変更する機能(Dynamic Balancing)が追加されました。

重要:

  • デフォルトでは、この機能はenabled です。

  • CoreXL FirewallおよびSNDインスタンスの手動設定は推奨しません。このような設定は、disables CoreXL Dynamic Balancingを使用するためです。

    CoreXL Dynamic Balancingを再び有効にするには、一旦無効にしてから有効にする必要があります。

  • CoreXL Dynamic Balancingの要件については、参照してください。

CoreXL Dynamic Balancingが有効な場合、Security Gateways / Cluster Members / Scalable Platform Security Group Membersは、CoreXL FirewallおよびSNDインスタンスの平均CPU使用率をモニタし、CoreXL Firewallインスタンスの数を自動的に増減させます。

Dynamic Balancing Daemon (dsd) は、各イテレーションで3つのステージを持ちます。

  1. 現在のCPU使用率を調べる。

  2. 現在のCPU使用率から、変更するかどうか、どのような変更を加えるかを決定する。

  3. 必要であれば、以下のいずれかの方法で現在のCoreXLの設定を変更します。

構文

重要:

このコマンドは、CoreXL Dynamic Balancingを有効にします。

シェル

Security Gateway /各クラスタメンバ:

スケーラブルなプラットフォーム上のセキュリティグループ

Gaia Clish

set dynamic-balancing state enable

reboot

N / A

Gaia gClish

N / A

set dynamic-balancing state enable

reboot

エキスパートモード閉じた CheckPoint Gaiaオペレーティングシステムで完全なシステムルート権限を付与する完全なコマンドラインシェルの名前。

dynamic_balancing -o enable

reboot

g_all dynamic_balancing -o enable

g_reboot -a

ベストプラクティス- Scalable Platform Security Groupをアクティブに保つために、Security Group Membersを徐々に再起動することをお勧めします。

重要:

  • 本機能を初めて有効にした後、このような場合、Security Gateway (Scalable Platform Security Group) の再起動が必要になることがあります。

    • 現在のCoreXLの設定は、デフォルトではありません

    • 現在のCPU負荷に対してより多くのCoreXL SNDインスタンスが必要です。

  • 起動後は、再起動なしで本機能の停止、起動、再起動が可能です。

このコマンドは、CoreXL Dynamic Balancingを停止("フリーズ")します。

シェル

Security Gateway /各クラスタメンバ:

スケーラブルなプラットフォーム上のセキュリティグループ

Gaia Clish

set dynamic-balancing state stop

N / A

Gaia gClish

N / A

set dynamic-balancing state stop

エキスパートモード

dynamic_balancing -o stop

g_all dynamic_balancing -o stop

重要:

  • この機能を停止すると、Security Gateway (Scalable Platform Security Group) は最後に設定された CoreXL Balancing の設定を使用します。

  • この変更は、再起動を必要としません

  • この変更は、再起動後も存続します。

  • CoreXL Dynamic Balancingのステータスが「オフ」と表示されます。

このコマンドは、停止していたCoreXL Dynamic Balancingを開始します。

シェル

Security Gateway /各クラスタメンバ:

スケーラブルなプラットフォーム上のセキュリティグループ

Gaia Clish

set dynamic-balancing state start

N / A

Gaia gClish

N / A

set dynamic-balancing state start

エキスパートモード

dynamic_balancing -o start

g_all dynamic_balancing -o start

重要:

  • 本機能を起動すると、Security Gateway(Scalable Platform Security Group)は、CPU使用率に応じてCoreXL Balancingの設定を自動的に変更し続けます。

  • この変更は、再起動を必要としません

  • この変更は、再起動後も存続します。

このコマンドは、CoreXL構成をデフォルトにリセットし、CoreXL Dynamic Balancingを有効にしたままにします。

このコマンドは、"disable"コマンドの後に"enable"コマンドを続けたものと同じです。

シェル

Security Gateway /各クラスタメンバ:

スケーラブルなプラットフォーム上のセキュリティグループ

Gaia Clish

set dynamic-balancing state reset

N / A

Gaia gClish

N / A

set dynamic-balancing state reset

エキスパートモード

dynamic_balancing -r

g_all dynamic_balancing -r

重要:

  • この機能が再起動すると、CoreXLの設定はデフォルトに戻ります(「CoreXLのデフォルト設定」を参照)。

  • この変更は、再起動を必要としません

このコマンドは、CoreXL Dynamic Balancingを無効にします。

シェル

Security Gateway /各クラスタメンバ:

スケーラブルなプラットフォーム上のセキュリティグループ

Gaia Clish

set dynamic-balancing state disable

reboot

N / A

Gaia gClish

N / A

set dynamic-balancing state disable

reboot

エキスパートモード

dynamic_balancing -o disable

reboot

g_all dynamic_balancing -o disable

g_reboot -a

ベストプラクティス- Scalable Platform Security Groupをアクティブに保つために、Security Group Membersを徐々に再起動することをお勧めします。

重要:

  • この機能を無効にすると、CoreXLの設定はデフォルトに戻ります(「CoreXLのデフォルト設定」を参照)。

  • この機能を無効にした後、Security Gateway(Scalable Platform Security Group)の再起動が必要になります。

    コマンドは、該当するメッセージを表示します。

モニタ

  • CLIコマンドを使用して、CoreXL Dynamic Balancingのstatus をモニタすることができます。

    シェル

    Security Gateway /各クラスタメンバ:

    スケーラブルなプラットフォーム上のセキュリティグループ

    Gaia Clish

    show dynamic-balancing state

    N / A

    Gaia gClish

    N / A

    show dynamic-balancing state

    エキスパートモード

    dynamic_balancing -p

    g_all dynamic_balancing -p

  • CPViewツールでCoreXL Dynamic Balancingのstatus をモニタすることができます。

    1. Security Gateway (Scalable Platform Security Group)のコマンドラインに接続する。

    2. Scalable Platform Security Groupで、Gaia gClishにアクセスするか、Expert modeにログインします。

    3. 次を実行します:

      cpview

    4. 上部で次をクリックします。

      SysInfo

    5. このフィールドを調べる。

      DS Status

      • On - CoreXLダイナミックバランシングが有効であることを意味します。

      • Off - CoreXLダイナミックバランシングが無効であることを意味します。

  • CPViewツールでCoreXL Dynamic Balancingのperformance をモニタすることができます。

    1. Security Gateway (Scalable Platform Security Group)のコマンドラインに接続する。

    2. Scalable Platform Security Groupで、Gaia gClishにアクセスするか、Expert modeにログインします。

    3. 次を実行します:

      cpview

    4. 上部で次をクリックします。

      CPU > Overview > Host

    5. これらのセクションを調べます。

      • Overview - 現在のCoreXLインスタンス数と平均CPU使用率を表示します。

      • CPU - CPUコア、それらが実行するCoreXLインスタンスタイプ、およびCPU使用率をカテゴリー別に表示します。

  • このコマンドでCoreXL Firewallインスタンスをモニタすることができます。

    シェル

    Security Gateway /各クラスタメンバ:

    スケーラブルなプラットフォーム上のセキュリティグループ

    Gaia Clish

    fw ctl multik stat

    N / A

    Gaia gClish

    N / A

    fw ctl multik stat

    エキスパートモード

    fw ctl multik stat

    g_fw ctl multik stat

  • このコマンドで、CoreXL Affinityをモニタすることができます。

    シェル

    Security Gateway /各クラスタメンバ:

    スケーラブルなプラットフォーム上のセキュリティグループ

    Gaia Clish

    fw ctl affinity -l -r -a

    N / A

    Gaia gClish

    N / A

    fw ctl affinity -l -r -a

    エキスパートモード

    fw ctl affinity -l -r -a

    g_fw ctl affinity -l -r -a

  • これらのログファイルを調べることができます。

    • CoreXL Dynamic Balancingは、CoreXLの設定を変更すると、$FWDIR/log/dsd.elg ファイルに該当するエントリを書き込みます。

    • CoreXL Dynamic Balancingが起動すると、$FWDIR/log/dynamic_balancing.log ファイルに該当するエントリーが書き込まれます。