Forefront性能優化四步走
在部署安全產品的時候,管理人員往往需要考慮如何在安全與性能之間取得均衡。任何一款安全產品,總會降低現有網絡的性能。因為畢竟中間多了一個處理環節。現在的問題是,這個后果是否在用戶可以忍受的范圍之內?如果明顯降低現有應用的性能,那么管理人員就必須對其進行優化。Forefront系統也不例外。在這篇文章中筆者就談談性能優化的基本思路及可行的措施。筆者將此總結為四步走。
第一步:性能優化規劃
沒有目標的話,大部分事情都干不好。性能優化尤其如此。因為性能優化本來就是一個虛無縹緲的內容。如果沒有既定目標的話,就很難辦。筆者認為,對于Forefront安全系統來說,性能優化的第一步是制定可以接受的性能基線。
如現在有一家企業,他們要部署Forefront系統來保障企業內部網絡的安全。在部署之前,最好先對企業的當前網絡狀況進行一個評估。如這家企業可能上了ERP系統,那么就可以先對這ERP系統的性能進行評估。如用戶登錄系統的速度、生成一張復雜報表(如安全庫存報表)所需要的時間等等。然后在這個基礎之上,對上Forefront系統之后的性能指標進行預測。如果部署了Forefront之后系統的性能明顯下降,那么就要根據這些指標來對部署后的系統進行性能的優化。
總之,在性能優化中,要根據企業的實際情況來制訂一條可以被用戶所接受的性能基線(至少是大部分用戶都可以認同)。如果不這么做,沒有定義系統所需功能的性能參數,那么在后續優化的時候,就好像大海撈針,很難找到下手的地方。打一個形象的比喻。這就好像是病人的抽血檢驗單。單據上一般都有三列內容:指標的名稱、指標的標準值、指標的實際值。將實際值與理論值進行對比,醫生就可以判斷哪個指標有問題。然后再抽絲剝繭的去分析造成這個指標不正常的原因,并找出對應的措施。性能優化跟這個抽血檢驗是相同的道理。沒有一個基線,管理員就很很難確定性能需要優化的區域。為此筆者強烈建議,在性能優化的時候,第一步就是要制定可以接受的性能基線。
第二步:對比數據分析性能薄弱環節
基線定義完之后,接下去就需要搜集企業實際的性能數據。然后將實際收集到的內容與基線進行對比,找出企業性能的薄弱環節。或者說,對照最佳性能對收集到的性能數據進行評估。在這個步驟中,筆者要強調以下兩個問題。
一是要將服務器端與客戶端分開評估。在收集實際性能數據的時候,大家會發現部署了Forefront系統之后,其對于服務器與客戶端的性能影響是不同的。一個比較特例的情況就是系統部署之后,服務器的性能下降了,但是客戶端的性能反而上升了。這里面的原因很復雜。總之一個基本的原則,就是客戶端與服務器端需要分開評估。只有如此最后得到的結果才會比較切合實際。
二是要抓住重點、抓住主要矛盾。筆者認為,相對來說部署Forefront系統這后,對于服務器的影響是最大的。特別是客戶端數量一多,每次進行更新(假設從WSUS服務器進行更新),服務器的性能就會明顯下降。
第三步:性能優化實施
以上兩個步驟完成之后(薄弱環節與性能評估數據都有了),接下去就可以開藥方,進行具體的治療了。在這一步中,筆者認為可以采取如下措施。
一是增加服務器或者客戶端的資源。如可以升級服務器的CPU或者內存,來提高計算機的數據處理能力。或者說,將原來的存儲系統進行升級,由單塊硬盤升級為磁盤陣列。當然,具體的措施還是需要根據第二步的評估結果來。如由于是磁盤的I/O問題所導致的性能下降,就可能需要通過磁盤陣列來解決。
二是對內存資源進行規劃。如Forefront服務器可能跟其他應用服務部署在同一臺主機上。此時不同的服務可能會爭奪資源。如當客戶端進行升級更新的時候,WSUS服務就會占用比較多的內存。從而就會影響到同一臺主機上的其他服務的正常運行。由于客戶端更新作業并不是經常發生。為此增加內存雖然可以解決問題,但是投資比較大。在這種情況下,比較合理的做法是對內存資源進行限制。如設置最多運行Forefront服務可以使用的內存,即設置各種服務內存資源使用的上限,以最大程度上保障不同服務的獨立性,防止因為某種服務占用了比較多的資源而給其他服務造成不利的影響。
三是調整網絡系統的相關設置。有時候企業網絡的性能可能根源不在于Forefront系統。或者說,Forefront系統其只是一個導火線,將原來就存在的網絡性能問題暴露出來了。在這種情下,管理人員就需要深入進行分析。比如有一次筆者給客戶部署Forefront系統的時候,就遇到過這種問題。他們上了Forefront之后,視頻會議系統就特別的卡。在這之前,視頻會議雖然不怎么流暢,但是還可以接受。還好筆者還有思科網絡方面的基礎。經過分析之后,發現主要是企業網絡流量的問題。當用戶通過電爐、BT等工具下載軟件或者電影的時候,視頻就明顯會有一卡一卡的現象。為此筆者就對網絡參數進行了調整,對流量采取了優先級管理。多媒體信息具有優先通過的權利。通過這個調整之后,問題就解決了。這個案例給魏的提示是,性能優化是一個比較綜合的問題。當Forefront在這里扮演的是“導火線”角色時,問題就會變得復雜,因為原因比較難找。在這種情況下,往往需要對網絡系統進行相關的調整。
第四步:性能優化追蹤
以上內容完成之后,接下去要做的工作,就是對最后的成果進行評估。也就是說,優化完成一段時間后,如一個星期或者一個月以后,再對企業網絡性能的數據進行收集。然后將這個數據與網絡性能基線、上次收集到的數據進行對比。就如此治療一段時間后再抽血檢查,以判斷治療是否起到了預期的效果。
最后筆者給一個小小的建議。如果看了這篇文章對性能優化還是云里霧里的話,那么筆者建議就去找一張化驗單。看看化驗單中的內容,在性能優化方面會給我們不少的啟示。
【編輯推薦】
