В ритейле «Черная пятница» – это день, когда ИТ инфраструктура либо приносит компании годовую выручку, либо превращается в тыкву, сжигая репутацию и деньги.
Один e-com заказчик решил подготовиться заранее. Команда в рамках обновления железа выбрала новый NGFW. В брошюре устройства красовалось: «Производительность в режиме защиты – 10 Гбит/с». Учитывая, что их реальный канал не превышал 5 Гбит/с, ИТ директор был спокоен: «Запас двукратный, выдержим».
Но перед финальной подписью решили провести «генеральную репетицию». При тестировании для создания реалистичного микса используют генератор трафика, в таких случаях обычно подается следующий профиль трафика: 50 000+ покупателей – каждый на мобильном телефоне или в магазине на терминале кассира. Результаты часто заставляют заказчика экстренно пересматривать закупку. Почему? Ответ смотрите ниже:
Когда 10 превращается в 3: налог на шифрование
Первое, что делается при тестировании – эмуляция реального трафика пользователей. Сегодня это не просто поток данных, а на 100% зашифрованный TLS 1.3. Для NGFW это значит, что он должен не просто «пропускать» пакеты, а работать в режиме MITM. Как только включается SSL-инспекция с современными шифрами типа ECDHE, процессоры устройства начинают задыхаться.
Результат теста №1: производительность падает на 62%. CPU просто не успевает обрабатывать криптографические хендшейки при массовом наплыве покупателей.
Битва «слонов» с «мышами» в очередях
Далее в микс трафика добавляются «слоны» – тяжелые потоки (например, автоматическая синхронизация складских баз и бэкапы). Казалось бы, ну загрузят они канал, и что? Тут проявился эффект bufferbloat. Тяжелые пакеты бэкапов забили буферы интерфейсов. В итоге мелкие, но критически важные «мыши» (транзакции с касс) начали отбрасываться.
Парадокс или результат теста №2: канал загружается всего на 60%, но платежи в магазинах начинают «отваливаться» из-за задержек. Маркетинговые цифры из документации устройства этот сценарий не учитывают, там-то пакеты были одинаковые и «удобные».
«Шторм» подключений: почему замерла сеть
Последним этапом имитируется Connection Storm – ситуация, когда тысячи людей одновременно открывают приложение и сайт в поисках скидок. Проблема даже не в объеме трафика (в гигабитах), а в количестве новых сессий в секунду. Железо, которое номинально подходит по характеристикам, «ложится» именно на этапе установки соединений. Таблицы сессий переполняются, и устройство перестает отвечать на новые запросы, хотя общая нагрузка на канал далека от пиковой.
Верить ли даташитам?
Если бы этот ритейлер доверился цифрам из брошюры и не провел стресс-тест на базе генератора трафика, в день распродаж их ждал бы коллапс.
Чему может научить этот кейс:
1. Маркетинговые гигабиты – это миф. Они измеряются на «чистом» трафике без шифрования и проверок.
2. Профиль важнее объема. Нужно смешивать «слонов» и «мышей», включать дешифровку и имитировать лавину сессий.
3. Контролируемый стресс-тест дешевле простоя. За два дня в лаборатории можно найти «узкое горлышко», на устранение которого в реальных условиях уйдут недели (и миллионы убытков).
В Облачной лабе РУТЕСТ мы создаем «цифровых двойников» таких нагрузок. Это позволяет увидеть реальный предел прочности сети до того, как его проверит на прочность покупатель.
---
Подписывайтесь на наш канал в ТГ, где мы регулярно публикуем материалы про нагрузочное и функциональное тестирование ИТ/ИБ решений и инфраструктуры.