在部署安全产品的时候,管理人员往往需要考虑如何在安全与性能之间取得均衡。任何一款安全产品,总会降低现有网络的性能。因为毕竟中间多了一个处理环节。现在的问题是,这个后果是否在用户可以忍受的范围之内?如果明显降低现有应用的性能,那么管理人员就必须对其进行优化。Forefront系统也不例外。在这篇文章中笔者就谈谈性能优化的基本思路及可行的措施。笔者将此总结为四步走。
第一步:性能优化规划
没有目标的话,大部分事情都干不好。性能优化尤其如此。因为性能优化本来就是一个虚无缥缈的内容。如果没有既定目标的话,就很难办。笔者认为,对于Forefront安全系统来说,性能优化的第一步是制定可以接受的性能基线。
如现在有一家企业,他们要部署Forefront系统来保障企业内部网络的安全。在部署之前,最好先对企业的当前网络状况进行一个评估。如这家企业可能上了ERP系统,那么就可以先对这ERP系统的性能进行评估。如用户登录系统的速度、生成一张复杂报表(如安全库存报表)所需要的时间等等。然后在这个基础之上,对上Forefront系统之后的性能指标进行预测。如果部署了Forefront之后系统的性能明显下降,那么就要根据这些指标来对部署后的系统进行性能的优化。
总之,在性能优化中,要根据企业的实际情况来制订一条可以被用户所接受的性能基线(至少是大部分用户都可以认同)。如果不这么做,没有定义系统所需功能的性能参数,那么在后续优化的时候,就好像大海捞针,很难找到下手的地方。打一个形象的比喻。这就好像是病人的抽血检验单。单据上一般都有三列内容:指标的名称、指标的标准值、指标的实际值。将实际值与理论值进行对比,医生就可以判断哪个指标有问题。然后再抽丝剥茧的去分析造成这个指标不正常的原因,并找出对应的措施。性能优化跟这个抽血检验是相同的道理。没有一个基线,管理员就很很难确定性能需要优化的区域。为此笔者强烈建议,在性能优化的时候,第一步就是要制定可以接受的性能基线。
第二步:对比数据分析性能薄弱环节
基线定义完之后,接下去就需要搜集企业实际的性能数据。然后将实际收集到的内容与基线进行对比,找出企业性能的薄弱环节。或者说,对照最佳性能对收集到的性能数据进行评估。在这个步骤中,笔者要强调以下两个问题。
一是要将服务器端与客户端分开评估。在收集实际性能数据的时候,大家会发现部署了Forefront系统之后,其对于服务器与客户端的性能影响是不同的。一个比较特例的情况就是系统部署之后,服务器的性能下降了,但是客户端的性能反而上升了。这里面的原因很复杂。总之一个基本的原则,就是客户端与服务器端需要分开评估。只有如此最后得到的结果才会比较切合实际。
二是要抓住重点、抓住主要矛盾。笔者认为,相对来说部署Forefront系统这后,对于服务器的影响是最大的。特别是客户端数量一多,每次进行更新(假设从WSUS服务器进行更新),服务器的性能就会明显下降。
第三步:性能优化实施
以上两个步骤完成之后(薄弱环节与性能评估数据都有了),接下去就可以开药方,进行具体的治疗了。在这一步中,笔者认为可以采取如下措施。
一是增加服务器或者客户端的资源。如可以升级服务器的CPU或者内存,来提高计算机的数据处理能力。或者说,将原来的存储系统进行升级,由单块硬盘升级为磁盘阵列。当然,具体的措施还是需要根据第二步的评估结果来。如由于是磁盘的I/O问题所导致的性能下降,就可能需要通过磁盘阵列来解决。
二是对内存资源进行规划。如Forefront服务器可能跟其他应用服务部署在同一台主机上。此时不同的服务可能会争夺资源。如当客户端进行升级更新的时候,WSUS服务就会占用比较多的内存。从而就会影响到同一台主机上的其他服务的正常运行。由于客户端更新作业并不是经常发生。为此增加内存虽然可以解决问题,但是投资比较大。在这种情况下,比较合理的做法是对内存资源进行限制。如设置最多运行Forefront服务可以使用的内存,即设置各种服务内存资源使用的上限,以最大程度上保障不同服务的独立性,防止因为某种服务占用了比较多的资源而给其他服务造成不利的影响。
三是调整网络系统的相关设置。有时候企业网络的性能可能根源不在于Forefront系统。或者说,Forefront系统其只是一个导火线,将原来就存在的网络性能问题暴露出来了。在这种情下,管理人员就需要深入进行分析。比如有一次笔者给客户部署Forefront系统的时候,就遇到过这种问题。他们上了Forefront之后,视频会议系统就特别的卡。在这之前,视频会议虽然不怎么流畅,但是还可以接受。还好笔者还有思科网络方面的基础。经过分析之后,发现主要是企业网络流量的问题。当用户通过电炉、BT等工具下载软件或者电影的时候,视频就明显会有一卡一卡的现象。为此笔者就对网络参数进行了调整,对流量采取了优先级管理。多媒体信息具有优先通过的权利。通过这个调整之后,问题就解决了。这个案例给魏的提示是,性能优化是一个比较综合的问题。当Forefront在这里扮演的是“导火线”角色时,问题就会变得复杂,因为原因比较难找。在这种情况下,往往需要对网络系统进行相关的调整。
第四步:性能优化追踪
以上内容完成之后,接下去要做的工作,就是对最后的成果进行评估。也就是说,优化完成一段时间后,如一个星期或者一个月以后,再对企业网络性能的数据进行收集。然后将这个数据与网络性能基线、上次收集到的数据进行对比。就如此治疗一段时间后再抽血检查,以判断治疗是否起到了预期的效果。
最后笔者给一个小小的建议。如果看了这篇文章对性能优化还是云里雾里的话,那么笔者建议就去找一张化验单。看看化验单中的内容,在性能优化方面会给我们不少的启示。
【编辑推荐】