ওপেনভিপিএন পারফরম্যান্স: কতগুলি সমবর্তী গ্রাহক সম্ভব?

আমি একটি ক্লায়েন্টের জন্য এমন একটি সিস্টেম মূল্যায়ন করছি যেখানে অনেক ওপেনভিপিএন ক্লায়েন্ট একটি ওপেনভিপিএন সার্ভারের সাথে সংযুক্ত থাকে। "অনেকগুলি" অর্থ 50000 - 1000000।

আমি এটা কেন করব? ক্লায়েন্টগুলি এম্বেডড সিস্টেম বিতরণ করা হয়, প্রতিটি সিস্টেমের মালিকদের ডিএসএল রাউটারের পিছনে বসে। সার্ভারের ক্লায়েন্টগুলিতে কমান্ড প্রেরণে সক্ষম হওয়া দরকার। আমার প্রথম নির্বোধ দৃষ্টিভঙ্গি হল ক্লায়েন্টদের একটি ওপেনভিএনএন নেটওয়ার্কের মাধ্যমে সার্ভারের সাথে সংযুক্ত করা। এইভাবে, সুরক্ষিত যোগাযোগ টানেলটি উভয় দিকেই ব্যবহার করা যেতে পারে।

এর অর্থ এই যে সমস্ত ক্লায়েন্ট সর্বদা সার্ভারের সাথে সংযুক্ত থাকে। বহু বছর ধরে সংখ্যক ক্লায়েন্ট সংযুক্ত রয়েছে।

প্রশ্নটি হল: নির্দিষ্ট সংখ্যক ক্লায়েন্টের কাছে পৌঁছালে কি ওপেনভিপিএন সার্ভারটি ফেটে যায়? আমি ইতিমধ্যে সর্বাধিক টিসিপি সংযোগ নম্বর সীমা সম্পর্কে অবগত রয়েছি, সুতরাং (এবং অন্যান্য কারণে) ভিপিএনকে ইউডিপি পরিবহন ব্যবহার করতে হবে।

ওপেনভিপিএন গুরু, আপনার মতামত কী?

আমি সন্দেহ করি যে বৃহত্তর একটি সেটআপ এর আগে কখনও চেষ্টা করা হয়েছিল, তাই চেষ্টা করার সময় আপনি সম্ভবত সীমাবদ্ধতার দিকে ঠেলে দিবেন। আমি ৪০০ ক্লায়েন্টের জন্য ভিপিএন স্থাপনার উপর একটি নিবন্ধ পেয়েছি তবে পাঠ্যটি থেকে বিচার করে লেখক কেবল সিপিইউতে কতজন ক্লায়েন্ট চালানো যেতে পারে সে সম্পর্কে মোটামুটি অনুমানের উপর নির্ভর করেছিলেন এবং তার সেটআপটি কীভাবে সম্পাদন করবে সে সম্পর্কে কিছু বোঝার অভাব ছিল।

আপনার প্রধানত এই দুটি বিষয় বিবেচনা করা প্রয়োজন:

1. আপনার ডেটা স্থানান্তরগুলি যে ব্যান্ডউইথ ব্যবহার করতে যাচ্ছে তার জন্য ভিপিএন সার্ভারের পাশে এনক্রিপশন / ডিক্রিপশন দরকার হবে, সিপিইউ সংস্থান গ্রহণ করবে

2. ওপেনভিপিএন ক্লায়েন্ট সংযোগগুলি কোনও ডেটা স্থানান্তর না করা সত্ত্বেও সার্ভারে মেমরি এবং সিপিইউ সংস্থানগুলি উভয়ই গ্রাস করে

আজ উপলভ্য যে কোনও শালীন পিসি হার্ডওয়্যার ব্লোফিশ বা এইএস -128 এর সাথে একটি গিগাবিট লিঙ্কটি সহজেই পূরণ করবে, এমনকি $ 100 এম্বেড থাকা ডিভাইসগুলি 100 এমবিপিএসের কাছাকাছি হারের পক্ষে সক্ষম , তাই ব্যান্ডউইথের তীব্রতার কারণে সিপিইউ বাধা কোনও উদ্বেগের বিষয় নয়।

ডিফল্ট ৩ke০০ সেকেন্ডের রিকিং ব্যবধানটি দেওয়া হয়েছে, এক হাজার 10,000,000 ক্লায়েন্টের অর্থ হ'ল সার্ভারকে গড়ে প্রতি সেকেন্ডে 278 কী এক্সচেঞ্জগুলি সম্পন্ন করতে সক্ষম হতে হবে। মূল কী এক্সচেঞ্জটি বরং সিপিইউ-নিবিড় কাজ, যদি প্রয়োজন হয় তবে আপনি এটি ডেডিকেটেড হার্ডওয়ারে অফলোড করতে পারেন - ক্রিপ্টোগ্রাফিক এক্সিলারেটর কার্ডগুলি সহজেই পাওয়া যায় এবং এই সংখ্যাটি টিএলএস হ্যান্ডশেকগুলি সহজেই মিলিয়ে যায় এবং অতিক্রম করে। এবং মেমরির বিধিনিষেধগুলি খুব বেশি বিরক্ত করা উচিত নয় - একটি 64-বিট বাইনারি কোনও ভার্চুয়াল মেমরি বিধিনিষেধের যত্ন নেওয়া উচিত যা আপনি অন্যথায় আঘাত হানতে পারেন।

তবে ওপেনভিপিএন সহ আসল সৌন্দর্যটি হ'ল আপনি এটিকে সহজেই স্কেল করতে পারবেন - কেবল ওপেনভিপিএন সার্ভারের একটি স্বেচ্ছাসেবী সংখ্যক সেটআপ করুন এবং নিশ্চিত করুন যে আপনার ক্লায়েন্টগুলি সেগুলি ব্যবহার করছে (যেমন ডিএনএস রাউন্ড-রবিনের মাধ্যমে), আপনার পছন্দসই একটি গতিশীল রাউটিং প্রোটোকল কনফিগার করুন (সাধারণত এটির সরলতার কারণে এটি আরআইপি হবে) এবং আপনার অবকাঠামো যতক্ষণ না পর্যাপ্ত হার্ডওয়ার পেয়েছেন ততক্ষণ ক্লায়েন্টের একটি স্বেচ্ছাসেবী সংখ্যাকে সমর্থন করতে সক্ষম হবেন।

আমি আসলে এটি করেছি, ডিএসএল রাউটারগুলির পিছনে একইভাবে কয়েকশ 'রিমোট সংযোগ থাকা সত্ত্বেও "কেবল"। আমি রিকেইং সংক্রান্ত সমস্যাগুলি সম্পর্কে খুব বেশি মন্তব্য করতে পারি না, তবে কয়েকটি বাস্তব বিষয় যা শিখেছি সে সম্পর্কে:

1) ক্লায়েন্ট মোতায়েন করার সময়, নিশ্চিত হয়ে নিন যে আপনি ক্লায়েন্ট কনফ, vpn1.example.com, vpn2.example.com, vpn3- তে একাধিক ভিপিএন সার্ভার নির্দিষ্ট করেছেন, এমনকি যদি আপনি এখন এইগুলির মধ্যে কেবল একটি বা দুটি সরবরাহ করেন তবে আপনি দিন নিজেকে হেডরুম সঠিকভাবে কনফিগার করা হয়েছে, ক্লায়েন্টরা এলোমেলোভাবে তাদের চেষ্টা করছে যতক্ষণ না তারা কাজ করে।

2) আমরা একটি কাস্টম এডাব্লুএস ভিপিএন সার্ভার ইমেজ ব্যবহার করি, এবং চাহিদা অনুসারে অতিরিক্ত ক্ষমতা সজ্জিত করতে পারি, এবং অ্যামাজন ডিএনএস (আর 5) ডিএনএসের জিনিসগুলি পরিচালনা করে। এটি আমাদের বাকি অবকাঠামো থেকে সম্পূর্ণ বিচ্ছিন্ন।

3) সার্ভার (গুলি) শেষে, সম্ভাব্য ক্লায়েন্টের সংখ্যা সীমাবদ্ধ করার জন্য নেটমাস্কটি সাবধানতার সাথে ব্যবহার করুন। এটি সিপিইউ সমস্যাগুলি হ্রাস করে ক্লায়েন্টদের একটি বিকল্প সার্ভারে জোর করে। আমি মনে করি আমরা আমাদের সার্ভারগুলিকে 300 বা তার বেশি ক্লায়েন্টের মধ্যে সীমাবদ্ধ করি। এই পছন্দটি আমাদের পক্ষ থেকে কিছুটা নির্বিচারে ছিল - আপনার পছন্দ হলে "অন্তর অনুভূতি"।

4) এছাড়াও সার্ভার শেষে, আপনি ফায়ারওয়াল সাবধানে ব্যবহার করা উচিত। সহজ কথায়, আমরা আমাদের এমন কনফিগার করেছি যাতে ক্লায়েন্টরা ভিপিএন সংযোগ করতে পারে, তবে সার্ভারগুলি কোনও পরিচিত আইপি ঠিকানা ব্যতীত সমস্ত এসএসএস সংযোগগুলি ইনবাউন্ডে কঠোরভাবে বাতিল করে দেয়। আমাদের মাঝে মাঝে প্রয়োজন হলে ক্লায়েন্টদের কাছে এসএসএইচ করতে পারি, তারা আমাদের কাছে এসএসএইচ করতে পারে না।

5) ক্লায়েন্ট শেষে আপনার জন্য পুনরায় সংযোগ করার জন্য ওপেনভিপিএন এর উপর নির্ভর করবেন না। 10 এর মধ্যে 9 বার এটি করবে তবে কখনও কখনও এটি আটকে যায়। ক্লায়েন্ট শেষে নিয়মিত ওপেনভিপিএন পুনরায় সেট / পুনঃসূচনা করার জন্য পৃথক প্রক্রিয়া করুন।

6) আপনার ক্লায়েন্টদের জন্য অনন্য কী উত্পন্ন করার একটি উপায় প্রয়োজন যাতে আপনি কখনও কখনও সেগুলি অস্বীকার করতে পারেন। আমরা আমাদের সার্ভার বিল্ড (PXEboot) প্রক্রিয়াটি দিয়ে অভ্যন্তরীণভাবে এটি উত্পন্ন করি। আমাদের সাথে কখনও ঘটেনি, তবে আমরা জানি আমরা এটি করতে পারি।

)) আপনার ভিপিএন সার্ভার সংযোগগুলি কার্যকরভাবে নিরীক্ষণের জন্য আপনার কিছু পরিচালনার সরঞ্জাম, স্ক্রিপ্টগুলির প্রয়োজন হবে।

দুর্ভাগ্যক্রমে এটি কীভাবে করা যায় সে সম্পর্কে খুব বেশি উপাদান নেই, তবে সাবধানতার সাথে কনফিগারেশন সহ এটি সম্ভব।

আপডেট 2018

২০১২ সালের পর থেকে কী কী পরিবর্তন হয়েছে তা নিশ্চিত নয় 2018 2018 সালে আমার অভিজ্ঞতা হিসাবে কেবল একটি আপডেট দিতে চেয়েছিলাম We আমরা ওপি সেটআপের মতো একটি ওপেনভিএনএন নেটওয়ার্ক স্থাপন করেছি। আমাদের এন্ডপয়েন্টগুলি এম্বেড থাকা ডিভাইসের পরিবর্তে ফুল ফোটা লিনাক্স পিসি। প্রতিটি এন্ডপয়েন্টে সেই সাইটের জন্য তথ্য এবং অ্যালার্ম প্রদর্শন করতে ব্যবহৃত একটি মনিটর থাকে এবং আমাদের সার্ভারটি আমাদের সমস্ত পয়েন্টগুলিতে দূরবর্তী স্থানের একক পয়েন্ট দেয়। নেটওয়ার্ক অত্যধিক সক্রিয় নয় তবে কখনও কখনও একসাথে 5-10 রিমোট সেশন থাকে।

একটি একর কোর এবং 2 জিবি র‌্যাম সহ একটি অ্যাজুরি ইমেজে প্রায় 100 ক্লায়েন্টে ওপেনপিএন-এর বর্তমান বিল্ড ব্যবহার করে আমরা গড়ে গড়ে 0.7% মেমরি ব্যবহার করি এবং সিপিইউ ব্যবহার প্রায় সর্বদা 0% এর কাছাকাছি থাকে। আমি এই ছোট পরীক্ষার জন্য যা পেয়েছি তার ভিত্তিতে আমি শালীন চশমা সহ একটি একক সার্ভারটি সহজেই 50000 সমবর্তী পরিচালনা করতে পারি যদি এটির সমর্থন করার জন্য মেষ থাকে। যদি ম্যামের ব্যবহার রৈখিকভাবে মাপানো হয় তবে 16gb ডেডিকেটেড ওপেনপিএন মেশিনে পর্যাপ্ত অতিরিক্ত সহ 50000 ব্যবহারকারীকে পরিচালনা করতে সক্ষম হবে।

উল্লেখযোগ্য আত্মবিশ্বাসের সাথে আমরা এটি বলার মতো বৃহত্তর পর্যায়ে নেই তবে আমি কেবলমাত্র একটি সাম্প্রতিক আপডেট দিতে চেয়েছিলাম যেহেতু প্রাথমিকভাবে আমাদের নেটওয়ার্কটি মোতায়েন করার সময় আমি এটি খুঁজে পেয়েছি এবং এই স্কেলে আরও বেশি সংস্থান ব্যবহারের প্রত্যাশা করছিলাম। এখন, আমি বিশ্বাস করি যে এটি সিপিইউ চালায় তার হার্ডওয়্যার এনক্রিপশন রয়েছে এবং আমি নিশ্চিত নই যে কোন পয়েন্টে ওভারলোড হওয়া ট্রাফিকের ভিত্তিতে হবে তবে শেষ পয়েন্টগুলির জন্য যা খুব বেশি যোগাযোগ করে না এটি সমস্যা হওয়া উচিত নয়।

1000000 এ আপনার একটি একক মেশিনে 200gb র‌্যামের প্রয়োজন হবে (যদি অতিরিক্ত দিয়ে রৈখিকভাবে মাপানো হয়) তবে এটি সম্ভব হলে আমি এই মুহুর্তে ভাবতে পারি আপনি each৪ জিবি র‌্যাম সহ প্রতিটি মেশিন রাখতে চান যাতে আপনার কোনও বিন্দু না থাকে ব্যর্থতা এটি রক্ষণাবেক্ষণ, পুনরায় আরম্ভ এবং উল্লেখযোগ্য সমস্যা ছাড়াই 1 বা 2 টি মেশিনের প্রতিস্থাপনের অনুমতি দেয়।

আমার র্যামের প্রাক্কলনগুলি সম্ভবত ওভারকিলের কারণ আমি পুরো ওপেনপিএন ব্যবহারকে ক্লায়েন্টের সংখ্যায় বিভক্ত করছি যেখানে কেবলমাত্র সেই রামের একটি অংশ ক্লায়েন্টের কারণে।

প্রাথমিকভাবে মোতায়েন হওয়ার পরে আমরা এক বছরে 74 টি সমাপ্তি যুক্ত করেছি। আমি আশা করি যে এই সংখ্যাটি উল্লেখযোগ্যভাবে বাড়তে থাকবে এবং যদি আমরা একটি সুদৃ to় স্কেল এ পৌঁছায় তবে আরও আপডেট করব।

আমি একই ধরণের সমস্যার দিকে নজর দিচ্ছি, যদিও ক্লায়েন্টের সংখ্যা কয়েক হাজারে কয়েকশ হয়ে যাবে।

আমি অনুভব করেছি যে আমি সমস্ত ক্লায়েন্টকে সারাক্ষণ সংযুক্ত রাখতে পারি না।

আমি র্যান্ডমাইজড সময় বিরতিতে ক্লায়েন্টগুলিতে ওপেনভিপিএন ডিমন শুরু করার কথা ভাবছি যাতে তারা পোল হয়েছে কিনা তা তারা পরীক্ষা করতে পারে। যদি সেগুলি হয় তবে তারা কোনও ইমেল বা অন্য কিছু যা তারা অনলাইনে প্রেরণ করে এবং কিছু সময়ের জন্য জীবিত প্যাকেটগুলি প্রেরণ করে যাতে আমি তাদের সাথে সংযোগ রাখতে পারি।

কিছু সময়ের জন্য ট্রাফিক না থাকলে ডিমন বন্ধ হয়ে যাবে।

আমি এখন যে সমস্যার মুখোমুখি হচ্ছি তা হ'ল বর্তমানে সংযুক্ত ভিপিএন ক্লায়েন্টের তালিকা পাওয়া অসম্ভব বলে মনে হচ্ছে ...