Forefront TMG 2010 硬體建議事項

發佈時間: 2009年11月

更新日期: 2010年2月

適用於: Forefront Threat Management Gateway (TMG)

安裝 Forefront TMG 之前,建議您先檢閱本主題以確保硬體足以進行部署。執行 Forefront TMG 之伺服器的硬體需求各有不同,而且取決於許多因素:

  • 您所啟用的功能。

  • 並行使用者的數目。

  • 可用的廣域網路 (WAN) 頻寬上限。

本主題將描述一般部署實例的硬體建議事項。請注意,Forefront TMG 能夠支援的範圍超過表 1 所列的值。RTM 所提供的硬體測試結果顯示單一 Forefront TMG 伺服器 (部署成安全網路閘道) 最多可合理支援 12,169 位並行使用者以及 487 Mbps 的尖峰 WAN 頻寬。若要支援這種等級的功能、使用者和頻寬,您需要配備 2 個 Intel Xeon Core i7 3333 MHz 處理器 (每個處理器含有 8 核心) 和 12 GB RAM 的高階伺服器。

下表顯示一般部署實例的硬體建議事項。

表 1:一般部署實例的硬體建議事項

  Proxy 伺服器1 安全網路閘道2 安全網路閘道2 安全郵件閘道3 安全郵件閘道3

使用者

1,500

750

1,500

4,000

10,000

WAN 頻寬

100 Mbps

50 Mbps

100 Mbps

10 Mbps

20 Mbps

CPU:AMD Opteron

1 個雙核心

1 個四核心

2 個四核心

1 個四核心

2 個四核心

CPU:Intel Xeon 4

1 個雙核心

1 個 Core2 Quad

2 個 Core2 Quad

1 個 Core i7 Quad5

1 個 Core2 Quad

2 個 Core2 Quad

1 個 Core i7 Quad5

記憶體

2 GB

4 GB

8 GB

4 GB

8 GB

用於記錄的磁碟空間

150 GB

80 GB

150 GB

10 GB

20 GB

用於網頁快取的額外磁碟

1

0

1

不適用

不適用

網路介面

100 Mbps

100 Mbps

100 Mbps

100 Mbps

100 Mbps

note附註:
1 包含網頁快取和 URL 篩選。

2 包含 URL 篩選、惡意程式碼檢查、HTTPS 檢查、網路檢查系統、網頁快取、郵件保護和 SIP/VoIP 保護。

3 包含郵件保護,例如反垃圾郵件和惡意程式碼防護。

4 “Core2” 是指具備 Intel Core 微基礎架構的處理器。“Core i7” 是指具備 Intel 微基礎架構 (代號 Nehalem) 的處理器。

5 請確定特定 Core i7 處理器具有 Intel 超執行緒技術。

Important重要事項:
如果部署中的使用者數目或頻寬超過上表所顯示的值,或者您想要在啟用的功能方面調整實例,建議您從下載中心 (http://go.microsoft.com/fwlink/?LinkId=182886) (英文) 下載容量規劃工具。

下列各節將提供有關如何根據部署正確佈建和設定伺服器硬體的指引:

伺服器硬體設計

請根據目前和未來的需求設計伺服器硬體,以便為成長做準備。您可能會想要考慮新增處理器、新增記憶體以及採用容量至少為估計需求兩倍或三倍的可靠儲存子系統。請注意,由於硬體技術的快速發展,在很短的時間內,升級選項可能會不適用於您的伺服器平台。如果未來的需求迫使您提升系統效能,這可能會造成嚴重的問題。例如,需要額外處理器的情況。

處理器考量

請務必選取支援的處理器,並且考量處理器效能建議事項。

選取支援的處理器

在實際執行環境中,您必須選擇能夠與 Windows Server x64 版本搭配運作的處理器。

只有當您將 Forefront TMG 發行製造 (RTM) 版本安裝在執行 Windows Server 2008 x64 Edition 或 Windows Server 2008 R2 作業系統且具備 x64 相容處理器的電腦上時,實際執行環境才支援此版本。

您可以選取支援 Intel 延伸記憶體 64 技術的 Intel 處理器或是支援 AMD64 的 AMD 處理器。如需有關這些選項的詳細資訊,請參閱 Intel 64 架構網站 (http://www.intel.com/technology/intel64/) (英文) 或 AMD Opteron 處理器系列網站 (http://www.amd.com/us-en/Processors/ProductInformation/0,,30_118_8825,00.htm) (英文)。Forefront TMG 是設計成只能在具備 x64 功能的處理器 (例如上述處理器) 上運作,無法在 Itanium 架構系統上運作。

不論您所選取的處理器為何,建議您使用 Windows Server 目錄 (http://go.microsoft.com/fwlink/?LinkId=64547) (英文) 中所列的伺服器產品。

處理器效能建議事項

在多核心和多執行緒的處理器上執行時,Forefront TMG 會大幅提升優勢。多核心技術對於 Forefront TMG 所產生的效能優勢主要取決於使用的特定處理器。以價格和效能而言,多核心處理器是 Forefront TMG 伺服器的絕佳選項。

在尖峰工作時段中,伺服器的處理器使用率應該維持低於 70% 的負載。這個百分比等級是考量到極端負載的時段。如果處理器使用率一直超過 75%,處理器效能就會被視為瓶頸。

下列因素會直接影響伺服器中的 CPU 效能:

  • 處理器時脈速度。

  • 處理器的數目。

  • 每個處理器的核心數目 (四核心處理器會比雙核心處理器提供較佳的價格/效能比率)。

  • 超執行緒:與舊型架構不同的是,目前市面上各種架構中的超執行緒可提供幾乎線性的容量提升。如果您部署了具備超執行緒功能的處理器,請務必在系統的 BIOS 中啟用此功能。

就效能而言,選取預算範圍內速度最快的處理器將產生最佳的成果。Forefront TMG 可以充分使用多個處理器,而且使用具備多處理器的伺服器可改善效能。

Tip提示:
部署 Intel 微基礎架構 “Nehalem” 處理器時,建議您根據下列方式設定電腦的 BIOS 以達到最佳效能成果:

  • 啟用 Intel 超執行緒 (H-T) 技術以大幅提高輸送量。

  • 將「CPU 閒置狀態」設定為「高效能模式」。雖然這樣做會取消省電的節能和環保優勢,不過我們在測試中發現,從省電提升為效能模式時,其轉換過程可能會對效能造成不良影響。

儲存考量

您必須針對不同的部署實例和大小考量 Forefront TMG 的磁碟空間需求。

Forefront TMG 具有下列磁碟空間需求:

  • 系統:保存 OS 和程式檔案,約為 40 GB。

  • 記錄:建議您儲存 3 天的記錄 (除了當日以外)。計算必要的儲存空間時,請估計每位使用者每天會針對網頁流量建立大約 25 MB 的記錄,這表示 1000 位使用者每天會建立大約 25 GB 的記錄。因此,您需要 100 GB 的空間來儲存這段時間的記錄。

    note附註:
    如果您的實例只有記錄 SMTP 流量 (如安全郵件閘道實例),每位使用者每天會建立大約 0.5 MB 的記錄。

  • 網頁快取:某些實例需要不同的實體磁碟機進行快取。建議您將任何磁碟上的快取檔案限制為最大 40 GB。如需詳細資料,請參閱<快取考量>。

最多 500 位使用者的部署

如果您要針對低於 500 位使用者部署 Forefront TMG,在大部分情況下,250 GB 硬碟就足以滿足系統、記錄和快取的需求。您可以安裝單一硬碟或小型的獨立磁碟容錯陣列 (RAID) 來提供備援。

超過 500 位使用者的部署

如果您要針對超過 500 位使用者部署 Forefront TMG,硬體需求就會增加,而且如果您啟用了網頁快取,可能必須新增磁碟機 (請參閱下面的<快取考量>)。下表將根據使用者的數目顯示建議的硬碟大小。

表 2:系統和記錄的建議空間

使用者數目上限 硬碟大小

2000

250 GB

4000

500 GB

10000

1 TB

13000

2 TB

快取考量

如果您在超過 500 位使用者的部署中啟用網頁快取,基於效能考量,應該設有一個或多個專門用於網頁快取的個別實體磁碟。雖然每個磁碟區的實際最大快取檔案大小是 64 GB,不過建議的最大快取檔案大小為 40 GB (每個實體磁碟機)。將更多磁碟空間配置給快取會降低效能。根據您的實例,如果您需要更多磁碟空間進行快取,請針對每個 40 GB 快取檔案使用個別的實體磁碟機。可能的設定有兩種:

  • 多個實體磁碟 (非 RAID):將一個硬碟用於系統和記錄,而將個別的硬碟用於快取。這個選項包含部署超過實際取用的儲存空間,因為每個磁碟機只有 40 GB 應該用於快取。

  • RAID (最好使用 RAID-5 來提供備援):RAID 可提供較大的彈性。您最多可以將每個磁碟的 40 GB 配置給快取,並且將每個磁碟的其餘空間用於系統和記錄。

網路介面卡考量

Gigabit 介面卡的一般輸送量

在測試期間,我們發現一張 1 Gigabit Ethernet 介面卡所支援的輸送量約為每秒 600 MB (Mbps)。

接收端調整

請使用具備接收端調整 (RSS) 的網路介面卡,這項技術可讓封包接收處理依照可用的電腦處理器數目進行調整。這種介面卡可讓 Windows 網路子系統充分運用多核心和多核心處理器架構。

備援建議事項

部署陣列

建議您部署 Forefront TMG 電腦的陣列以提供備援 (只有 Forefront TMG Enterprise Edition 才提供陣列支援)。判斷部署所需的電腦數目之後,請至少額外新增一部電腦以提供備援,讓您的部署在電腦故障或進行其他必要的維護期間能夠繼續運作。

負載平衡

部署 Forefront TMG 陣列需要負載平衡機制:網路負載平衡 (NLB)、DNS 循環配置資源或硬體負載平衡器。

Important重要事項:
在測試期間,我們發現 NLB 的總頻寬上限約為 500 Mbps。如果您的流量超過此限制,表示您的部署需要不同的負載平衡機制。

如需有關備援和負載平衡的詳細資訊,請參閱規劃 Forefront TMG 伺服器的高可用性和延展性

資源

相關主題

顯示: