Выделение дисков сервера
Это известно по слухам (например, Gartner), что Cisco выпустит продукт брандмауэра следующего поколения для замены линейки продуктов ASA в 2012. Текущие брандмауэры Cisco обеспечивают "традиционную" основанную на порте сетевую безопасность, но не предлагают вида защиты "следующего поколения" от угроз прикладного уровня.
С бюджетом, который Вы упомянули, я буду рассматривать Сети Пало-Альто PA 2050 или возможно кластер двух PA-500s или 2020-е PA. Определенные потребности Вашей организации с точки зрения пропускной способности, одновременных сессий и брандмауэра/портов маршрутизатора управляли бы более определенным выбором в пределах Вашего установленного бюджета.
, Если Вы - менеджер по справочной службе, Вы, вероятно, очень знакомы с действительностью, что определенные типы угроз могут закончить Ваши существующие устройства периметра, и что Ваши существующие журналы брандмауэра предоставляют только очень ограниченную информацию о природе Вашего сетевого трафика. Например, Вы видите, что устройство установило исходящую связь с портом 80 или 443 к IP-адресу WAN, но Вы не можете знать, было ли приложение на самом деле просмотром веб-страниц.
Переключение на брандмауэр следующего поколения является различием ночи-и-дня:
- А традиционный брандмауэр знает, что три определенных IP-адреса установили исходящие связи с определенными IP-адресами на указанных портах TCP.
- А брандмауэр следующего поколения может сказать Вам, что пользователь
johndпросто отправил файл, названный "Примечания Встречи Коммерческой тайны CONFIDENTIAL.docx" к FTP-сайту в Китае, что пользовательjerrytкомпьютер генерирует трафик, указывающий, что это заражено червем BirdFlu, и что пользовательflorencen(у кого, возможно, есть доступ к сайтам социальных сетей для маркетинга целей) отправляет очень много сообщений Чата Facebook. - Еще более выразительно, я заметил, что брандмауэры Пало-Альто представляют этот тип информации способом, которая является чистой, хорошо организована, доступен, и действенным.
С Cisco января 2012 даже не симулирует предлагать брандмауэр с этим типом видимости прикладного уровня. Sonicwall и Watchguard пытаются очень трудно продать их брандмауэры как наличие подобных наборов функций, но они не противостоят бок о бок сравнение. До сих пор единственными поставщиками брандмауэра, которые придумали по-настоящему востребованные реализации глубокой проверки пакетов прикладного уровня, является Пало-Альто и возможно Контрольная точка (с которым у меня есть очень ограниченный личный опыт).
Персональный фон: компания, на которую я раньше работал, имеет пару PA-500s, и я могу засвидетельствовать лично, что ничто иное, что я видел даже, не приближается. Они были для двух сайтов, один приблизительно с 80 сотрудниками и другим приблизительно с 120; каждый сайт имел 2 интернет-соединения, составляющие в целом приблизительно 60 Мбит/с пропускной способности WAN. Я не делаю свои брандмауэры продажи проживания, но клиенты часто платят мне, чтобы установить новые брандмауэры и/или настроить их для безопасности и контрольного соответствия.
Это - сложный вопрос для ответа, потому что большая часть его зависит от шаблонов доступа к диску и загрузки. Например, если весь свет выставки Вашего VM для модерирования активности диска одна большая установка RAID10, скорее всего, даст Вам лучшую общую производительность через весь VMs.
Однако, если Вы имеете один, или пара, VM's, которые имеют нетипично высокие шаблоны использования диска, совершенно возможно, что Вы могли закончить с одним или двумя VM's, негативно влияющими на производительность всей остальной части VMs путем перегрузки диска. На основе тестирования производительности в моем последнем задании мы обнаружили, что на самом деле получили намного лучшую производительность путем разделения дисков на наших серверах VM (мы также работали с 8 дисковыми серверами) в 4 отдельных пар RAID1. Мы затем отбросили бы VM's на почти (или иногда полностью) пары выделенного диска. Это имеет результат потенциального ограничения максимальной производительности дисков для этого VM (по сравнению с RAID10), но также и удаление способности этого VM для отрицательного влияния на другой VMs потому что его дисковое использование.
С нашей установкой и очень высокой загрузкой диска это поместило на серверах, мы нашли, что 4 пары RAID1, выполняющие 4 VMs, были хорошим решением (и более экономически эффективный, чем 4 отдельных сервера). Это не может иметь смысла для Вас, однако, поскольку очень ситуация отличается.
Для определенной установки Вы упоминаете, я, вероятно, склонился бы к одному большому RAID10. Сервер SUS/Reporting является основным, который я мог бы быть обеспокоен, и если бы я знал наверняка (через тестирование и сравнительное тестирование), что SUS VM собирался повлиять на остальную часть их, то я мог бы отложить его к своей собственной паре RAID1 и остальной части RAID10 дисков.
Одно последнее соображение является требованиями к пространству на диске. Путем движения с одним большим RAID10 Вы делаете свое целое (получающееся) дисковое количество доступным для разрезания и разделения однако, Вы хотите. Если Вы идете с другой установкой, такой как перед упомянутыми парами RAID1, Вы ставите ограничения, как легко можно разделить то дисковое пространство. Если Ваш VM's каждый будет меньшим, чем размер отдельного диска, то это не проблема. Если они будут больше, затем расположить с интервалами, другая точка для учета.
То, что я сделал бы, является 1 большим Набегом 10. Раздел на 64 ГБ в запуске для ОС, остальных для V: диск - гиперпротив.
Вещи становятся более сложными с высокопроизводительным SQL Server, но затем... Я в 12 дисках в данный момент там еще с 8 прибытиями или так soonish ;)