Virtualisierte pfSense frißt CPU?



  • Moin,

    da ich von Virtualisierung kaum mehr verstehe als eine Kuh vom Klavier spielen muss ich jetzt hier mal nachfragen:

    Hardware: Dell T20 mit E3-1225 V3 & 20GB Ram , onboard Lan und Intel Corporation 82575GB quad Port Nic 2 Ports davon exklusiv für die VM (WAN & einige VLans) der LAN Port ist per Netzwerkbrücke mit dem Host verbunden, habe momentan kein Switch Port mehr frei  :'(. Software Ubuntu LTS 16.04.1 Server ohne GUI, mit Qemu KVM als Hypervisor.
    Guest: pfSense 2.3.2 (amd64) full Install, 3 GB Ram, kein Squid, kein AV

    Wenn ich per FTP ein Knoppix Image sauge kommt das mit rund 10 MByte/s rein, soweit kein Problem, aber ich habe der VM maximal 2 Kerne zu Verfügung gestellt und die Last des Servers geht auf 175-200% lt. Top, sprich 2 Kerne haben satt zu tun. Die CPU Frequenz bleibt bei allen Kernen oberhalb 3Ghz :o

    Meine APU 2C4 macht das genauso mit knapp 15% Last  :o.

    Ich dachte eigentlich das die KVM Geschichte einen guten Wirkungsgrad von ~95-98% hat, dann kann der Leistungsfresser ja eigentlich nur die Anbindung der NICs sein? Ist da noch was zu optimieren?

    WAN: Wirtgerät enp3s0f0 macvtap Source mode: Passthrough Gerätemodell e1000
    Vlan: Wirtgerät enp3s0f1 macvtap Source mode: Passthrough Gerätemodell e1000 4 VLans auf der pfSense definiert.
    LAN: Bridge br0: Wirtgerät eno1 Gerätemodell e1000

    -teddy



  • Kenne mich mit KVM nicht aus und würde dir als Hypervisor statt KVM zum Wechsel zur kostenfreien ESXI 6.0 Version anraten, die für deinen Zwecke alles abdeckt und kostenfrei ist.

    Ansonsten würde ich versuchen bezüglich LAN-Ports kein Passthrough verwenden, sondern virtualisierte Netzwerkkarten.

    Bei ESXI verwende ich statt den E1000 die VmxNet3 Treiber.



  • Moin,

    mit ESXI kann ich nichts anfangen die Unterstützung für Passtrough ist nur eingeschränkt, damit bekomme ich Probleme mit meinen DVB-S2 Tunern, das durchreichen funktioniert nicht zuverlässig, damit funktioniert mein VDR nicht und der Haussegen gerät in Schieflage, das kann ich nicht riskieren :-X

    -teddy



  • e1000 sollte in pfSense eh problemlos funktionieren.

    Ich habe unlängst mal eine größere Datenmenge per SMB über eine virtualisierte pfSense auf KVM laufen lassen. Hätte nicht bemerkt, dass die CPU-Auslastung in die Höhe geschnellt wäre und die Auslastungsanzeige hatte ich vor meinen Augen in der unteren Leiste. Die VM hat auch e1000, glaube ich jedenfalls zu wissen.

    Du kannst es aber auch mit virtIO-NICs versuchen, auch wenn das beim Durchreichen wenig Sinn vermuten lässt. Proxmox empfielt es auch so.
    https://doc.pfsense.org/index.php/VirtIO_Driver_Support



  • Der Leistungsfresser kann tatsächlich irgenwie nicht sein, es sei den du hast irgendwo ein loop gebaut/übersehen. Versuchs mal mit XEN! Anleitungen dazu müssten sich eigentlich auf Uu finden. Sollte dir das zuweit gehen, wäre auch VB + phpVB,  Proxmox VE oder OpenVZ eine Option.



  • Moin,

    ich spiele nachher nochmals mit den Einstellungen der Netzwerkkarte, aber es war reproduzierbar, Download angestoßen, sofort ging die Last hoch, gefühlt linear mit dem Durchsatz. Durchsatz runter, Last weg. Ohne Datenverkehr kasperte der Server bei 5-10% rum.
    Habe zwischenzeitlich mal im englischsprachigen Teil des Forums mal reingeschnuppert, da gab es auch solche Meldungen  :'(, kann sie aber noch nicht bewerten. https://forum.pfsense.org/index.php?topic=113602.0

    -teddy


  • Rebel Alliance Moderator

    Ich würde auch erstmal zum Test mit VirtIO raten und bin gespannt was das an CPU bei dir ausmacht. Das ist aber trotzdem ein sehr schräges Verhalten.



  • Ich würde mal mit den erweiterten Netzwerkeinstellungen variieren, also TSO, LTO, Hardware offloading etc.


Log in to reply