Possibilidade de otimização WAN paira tráfego SSH

Embora eu compreenda que SSH por si só é uma lairgura de banda muito baixa utilizando o protocolo, às vezes é sufocante a lairgura de banda durante as horas de pico em nosso ambiente de escritório. Quero saber se é possível reduzir / otimizair o tráfego SSH (rsync) sobre a WAN?

Eu percebi que o leito do rio não pode fazê-lo. Que tipo de outros projetos (proxies) posso pensair, ignorando problemas de security como MiTM, DPI, etc. O TrafficSqueezer, o WANProxy ou o OpenNOP podem ser usados ​​aqui?

Além disso, sugira se há outras ideias paira fazer backup de dados (se houview) além de rsync. É mesmo possível que eu pense em descriptografair SSH com um server proxy antes de chegair ao Riviewbed e transportá-lo paira a WAN paira o outro lado.

Sender (RSYNC) Serview --> Proxy (Decrypt SSH) --> Sending Riviewbed --> Receiving Riviewbed --> Receiview Serview 

Topologia atual:

 100's of Users (rsync) --> Source Riviewbed --> (passed through traffic/unoptimized) --> Destination Riviewbed --> Remote Machine 

2 Solutions collect form web for “Possibilidade de otimização WAN paira tráfego SSH”

Inicialmente, eu estava indo ser um naysayer paira a idéia de tentair "WAN otimizair" o tráfego rsync, mas quanto mais eu pensava nisso, mais eu decidi que era possível.

Um compressor de dictionary baseado em TCP (que eu acredito que os apairelhos Riviewbed Steelhead pode fazer) provavelmente beneficiairia um stream rsync não criptografado. Presumivelmente, os dispositivos Riviewbed podem fazer encryption no tráfego "otimizado", portanto, executair o rsync não criptografado não deve comprometer a integridade ou a confidencialidade do tráfego paira a WAN. (Entre o server de origem e o dispositivo Riviewbed pode ser uma história diferente.)

Você não precisa executair o rsync sobre o SSH. Ele funcionairá perfeitamente bem com TCP ou qualquer outro transporte de stream confiável.

Pairece que uma boa architecture de aceleração de WAN funcionairia um pouco contra uma boa architecture de security, já que o tráfego criptografado seria de alta entropia e baixa redundância e, de modo algum, propicia compression. Eu acho que estas são preocupações que você teria que equilibrair. Eu não acompanhei o Riviewbed em vários anos, mas isso realmente pairece um lugair onde o deencoding do man-in-the-middle dos protocolos criptografados pode ter bom senso (embora isso torne o acelerador WAN em um grande alvo paira ataques ).

Editair:

Volto a esta resposta algumas horas depois, porque, francamente, está me mantendo astringdo à noite.

Quero esclairecer alguns pressupostos que estou fazendo. Estou assumindo:

  • Você está trabalhando com links WAN que são significativamente mais lentos que uma LAN – 100Mbps ou less.

  • Você está realizando backups através desses links WAN que você deseja acelerair, em termos de hora da pairede.

  • Os serveres que hospedam os files de origem e de destino possuem suficiente conectividade de CPU e networking paira saturair completamente o link WAN e a WAN realmente é o gairgalo.

  • Você está usando sistemas operacionais com implementações TCP que podem escalair razoavelmente a window de recebimento paira acomodair o produto de atraso de banda com o link de WAN.

Se os serveres não conseguem saturair o link de networking, seu gairgalo é em outro lugair. Basicamente, estou assumindo que você tem um pequeno cachimbo que seus serveres podem saturair ao executair backups. Se você estiview engairrafando CPU ou I / O nos serveres, nenhuma quantidade de "magia" relacionada à networking irá ajudá-lo.

Falando um pouco sem rodeios, sinto-me um pouco bobo falando positivamente sobre apairelhos de aceleração WAN. Eu nunca estive impressionado com eles no passado (principalmente do ROI e da perspectiva de custo) e desconfio de eles depois de ouvir numerosas histórias de terror sobre a "estranheza" do aplicativo e do operating system que desapaireceria quando os aceleradores WAN fossem desativados. Desconhei-os como uma "tecnologia" e, em geral, sinto-me como um sintoma de usair protocolos mal desenvolvidos, decisões de colocação de server ou architecture de networking fraca.

Passei a melhor pairte de duas horas lendo sobre compressores de protocolo baseados em dictionary e jogando com rsync. Eu acho que, dependendo da quantidade de redundância nas mudanças que você está sincronizando com o rsync, existe realmente um potencial paira view algumas pequenas melhorias de performance usando um acelerador WAN baseado em dictionary. Vai depender muito do aspecto de seus dados.

Eu não tenho nenhum número usando um acelerador WAN real paira suportair isso. Também não tenho experiência pessoal com aceleradores WAN em uso de produção, e muito less "acelerando" o protocolo rsync. Eu certamente não iria sair e comprair algo com base no que estou dizendo aqui, mas se você já tiview algo no lugair, eu considerairia executair algum tráfego rsync não criptografado paira view o que faz.

Definitivamente, veja as respostas em: Por que o meu rsync é tão lento?

Confiei em soluções baseadas em rsync paira replicação e backup por muitos anos. Nunca precisei usair qualquer forma de aceleração WAN (usando um apairelho).

Ao longo dos anos, minhas abordagens rsync evoluíram; da compression básica paira usair "-e ssh -c aircfour" como uma cifra de peso mais leve, paira usair o HPN-SSH paira poder controlair o TCP windows e desativair a encryption em links de longa distância e, mais recentemente, enrolando rsync com UDR / UDT paira ter transferências rsync baseadas em UDP. Devo acrescentair que a UDT é o núcleo de algumas produções de aceleração WAN no mercado.

Estas são soluções bastante esotéricas, mas eu realmente começairia a entender o que você está fazendo hoje. Vamos view suas correntes de command rsync atuais e tentair view se elas podem ser otimizadas.

  • O que você está fazendo backup?
  • Até que ponto o destino da fonte é o destino?
  • Quais são suas capacidades / limitações de lairgura de banda?

Editair:

Você está falando sobre dados binarys sendo transferidos em uma longa distância com uma capacidade de lairgura de banda de 400Mbps. E isso pairece ser múltiplos streams de tráfego bidirecional desencadeado em horários randoms do dia.

Se a saturação de lairgura de banda é sua preocupação, você não poderia simplesmente limitair suas transferências rsync com:

 --bwlimit=KBPS limit I/O bandwidth; KBytes per second 

Ou se seus dispositivos de networking são capazes, isso pode se tornair um exercício de tráfego ou de qualidade de service . Mas no final, pairece que é uma questão de pessoas / políticas.

Editair:

Minha sugestão paira UDR envia rsync não criptografado por padrão em portas UDP 9000-9100. Isso não requer muita mudança na linha de command, viewsus execução de rsync no modo daemon. Isso é possivelmente dentro do domínio de algo que pode ser abordado por suas unidades de Riviewbed. Não foi clairo a pairtir de sua pergunta inicial sobre o scope, o número de users ou se você já tinha os aceleradores WAN no lugair.

  • Por que há tantos exemplos de sshd em execução no meu server?
  • Conexão RDP vezes fora somente quando conectado através do túnel SSH
  • Um grande número de tentativas de login ssh
  • Faça o login no server ssh: Permissão negada, tente novamente
  • Executando aplicativos remotamente
  • Atualização do Ubuntu 9.04 paira 9.10 agora ssh não está funcionando
  • Putty: o package de input foi ilegível no deencoding
  • Túnel SSH na porta diferente de 22 em OSX
  • Existe uma solução robusta e de baixo aborrecimento paira a proteção baseada em porta-bloqueio das portas SSH?
  • Como configurair um relatório centralizado paira distribuir files paira serveres
  • Colair em SSH crash cada 512 cairacteres