Vamos a experiências reais para se ter uma idéia da coisa. Cenário de implementação a 4 anos (até 5 meses atrás) Servidor P4 HT com 2gb de ram e disco de 120Gb (7500rpm) Proxy squid com autenticação NTLM e cache ativado Filtros aos montes e cheio de regra de quem pode e quem não pode / o que pode e o que não pode. Usuários: 618 Rede toda no 100Mbps com switchs 3com/Dlink e alguns cisco
Migração (a 5 meses em funcionamento + 3 meses de migração e testes - 8 meses total) Lâmina Dual Xeon com 32Gb de ram e disco de 146Gb SAS com Xen Vm com processamento OnDemand (média de 1.5Ghz) e até 4Gb de ram OnDemand (Uso médio de 1.8Gb) e disco em storage via fibra. Placa de rede tipo WIC (4 portas 1Gb) 1 só para o Proxy para rede Interna O mesmo cenário anterior de software só que com 834 usuários Meu cliente ficou muito mais satisfeito pois agora a VM tem redundância física e lógica além da interface de gerenciamento. Foram feitas homologações com Endian e PfSense e ele falou que queria o PfSense e como já há módulo nativo de redundância entre os dois caras + um interface bem "bunitinha" como diz o cliente, foi um caso de sucesso de implementação em geral já que houve migração de firewall + proxy + AD (Samba4) + Servidores físicos para VM (Win2k3 e Win2k8). Os clientes da rede não sentiram mudanças mas perceberam a melhora nas requisições já que era comum esperar o carregamento de sites/downloads que demoravam demais ou tinha que ficar no famoso F5/Ctrl-R O interessante desse caso inteiro, é que bate em tudo que o Max falou acima. Memória/Proc/Disco/Configuração se você conseguir dimensionar seu uso, o projeto e a implementação será mais tranquila e menos problemática. Abraços 2010/11/17 Max Miorim <[email protected]> > 2010/11/17 Flávio Barros <[email protected]>: > > Bom dia. > > > > Meu chefe me solicitou que passasse o proxy que atualmente está em uma > > máquina física para uma VM configurado no XEN-Citrix. > > > > Levando em consideração que a rede na qual o proxy está tem > aproximadamente > > 300 hosts. > > Pergunto: > > 01. Quais os impactos ? > A principio nenhum, vai ser mais uma máquina para administrar. > > > 02. A VM vai suportar o tráfego ? > Se o hardware do dom0 tiver suporte para as extensões de virtualização > (SVM para os AMDs, VMx para os Intel) e tu der os recursos de hardware > necessários (principalmente memória e disco, se for só cache). > > > 03. O desempenho vai cair surgindo com isso lentidão no acesso à Internet > ? > Pode ser que sim, pode ser que não. Depende de como tu configurou o > proxy e dos recursos que tu vai liberar para este domU. > > > 04. É recomendado deixar o proxy em uma máquina separada mesmo ? > Eu acho um pouco mais fácil fazer a intercepção de pacotes quando a > máquina do proxy é diferente do firewall. Claro que estou falando de > uma intercepção mais "limpa" e não os proxies tansparentes que > qualquer zezinho coloca p/ não pedir autenticação e forçar todo mundo > p/ passar pelo cache - é mais algo tipo WCCP ou TPROXY. > > E tem também a questão segurança: se o proxy é comprometido, não afeta > o firewall e vice-versa. > > No mais, eu não diria que é uma regra (todo proxy tem que ficar em uma > máquina separada), mas dependendo do caso pode ser um recurso útil. > > -- > GUS-BR - Grupo de Usuários de Slackware Brasil > http://www.slackwarebrasil.org/ > http://groups.google.com/group/slack-users-br > > Antes de perguntar: > http://www.istf.com.br/perguntas/ > > Para sair da lista envie um e-mail para: > [email protected]<slack-users-br%[email protected]> > -- *kram3r* -- GUS-BR - Grupo de Usuários de Slackware Brasil http://www.slackwarebrasil.org/ http://groups.google.com/group/slack-users-br Antes de perguntar: http://www.istf.com.br/perguntas/ Para sair da lista envie um e-mail para: [email protected]
