Query MYSQL eccessivamente lente su DMZ

[coteaz]

Salve amici

vi racconto la mia infrastruttura prima di spiegarvi il problema

ho un server IBM3200 dove ho installato VmWare ESXi; su questa macchina ho tirato su due server, uno interno LAN con win 2008 e uno esterno DMZ con win 2003

le macchine sono collegate tutte ad uno switch a 100mbps managed, zonato tramite vlan

il firewall che uso per queste configurazioni è un netgear prosafe FVX538

sia sulla macchina locale che in quella in DMZ è installato MYSQL 5.1

sulla macchina esterna è installato anche un webserver apache con le estensioni PHP

ovviamente dalla lan raggiungo il webserver in DMZ e quando provo ad eseguire le applicazioni web (quindi webserver e mysql risiedono sulla stessa macchina) va tutto bene ed ho ottimi tempi di risposta; il server è anche pubblicato all'esterno e nn ci sono problemi di lentezza

a questo punto, sempre in ottica di sicurezza, per tenere mysql all'interno della rete, ho provato a cambiare la configurazione della macchina esterna, e a farla puntare su un database interno (quello sul server 2008); quindi la macchina in DMZ chiamerà il server in LAN per tutte le query SQL

sul firewall, ovviamente, ho dovuto creare una regola - LAN DMZ inbound ed ho aperto la porta 3306;

quando provo ad eseguire l'applicazione le query sono lentissime... parliamo di select che restituiscono un paio di valori dopo circa 5 - 10 secondi

ho pensato che fosse un problema di lentezza del server locale dove è installato mysql (forse win2008 lo rallenta, ci sono altri servizi, ecc ecc), così ho aperto il tool di mysql per vedere le statistiche grafiche e mi sono accorto che il processore viene usato all'1%...

quindi ho installato apache + php su un'altra macchina (vista) locale e ho provato a dare come indirizzo del database, quello del server locale win 2008... le applicazioni sono velocissime, quindi ho escluso la lentezza del motore mysql sul server

così ho effettuato la stessa prova dalla macchina vista, però effettuando le query sulla macchina in DMZ e ho riscontrato le stesse lentezze

premettendo che da LAN a DMZ non c'è alcuna regola e di default è tutto consentito

deduco, quindi che il problema è quando passo da una zona all'altra... cioè o da LAN a DMZ oppure da DMZ a LAN sulla 3306

premetto che la lentezza avviene solo su questa porta xkè tranquillamente dalle macchine locali uso le macchine in DMZ via RDP senza alcuna lentezza

sarà il firewall che ha un processore lento? e pure è una chiamata banale, oppure devo vedere un po di sistemare i Qos?

se siete arrivati a leggere fin qui, di sicuro mi risponderete grazie in anticipo

[albgen]

penso che sia colpa del esxi!
se non utilizzi una san(iscsi o fiberchannel) c'è poco da fare...

[coteaz]

perdonami, ma se era quello il problema quando effettuo le query da
pc vista apache LAN -> server 2008 mysql esxi
xkè va velocissimo?

oppure quando db e app risiedono sulla stessa macchina virtuale, lo stesso è veloce!

il problema è quando passo x la DMZ

inoltre ho effettuato un altra prova:

con un firewall SONICWALL TZ180 che non ha la DMZ ho configurato la porta OPT tanto per fare un po di prove

da LAN a OPT consenti
da OPT a LAN nega
da OPT a LAN consenti solo 3306

dunque
con il pc apache in rete LAN, facendo le query sulla OPT è tutto velocissimo, e quindi gia è un risultato in più

invece facendo le query da OPT su MYSQL in LAN resta sempre la lentezza!

ma il problema sono i firewall di fascia bassa?

[fivendra]

Esxi funziona bene e non necessita sempre di infrastrutture da 100.000 euro.
Personalmente si riesce a mettere su infrastrtture decenti anche con semplici NAS usati come Storage per le macchine virtuali...

Il problema è palesemente di rete.
Direi anche io che il colpevole è nel firewall ma mi sembra strano he causi rallentamenti così elevati.
Quanto è caricato il firewall, cioè quanto sotto stress è? Gestisce quante macchine? Operazioni particolari?

[coteaz]

Originariamente inviato da fivendra
Esxi funziona bene e non necessita sempre di infrastrutture da 100.000 euro.
Personalmente si riesce a mettere su infrastrtture decenti anche con semplici NAS usati come Storage per le macchine virtuali...

Il problema è palesemente di rete.
Direi anche io che il colpevole è nel firewall ma mi sembra strano he causi rallentamenti così elevati.
Quanto è caricato il firewall, cioè quanto sotto stress è? Gestisce quante macchine? Operazioni particolari?

durante le prove sono collegate solo 3 macchine, appunto quelle del test, nessuna macchina naviga, per sicurezza ho stattaco la WAN, nessun carico o regola particolare, solo la regola per il server voip

e pure il FW in questione è PER NETGEAR di fasci alta!

ps, grazie x aver difeso ESXi

[albgen]

Originariamente inviato da fivendra
Esxi funziona bene e non necessita sempre di infrastrutture da 100.000 euro.

una san iscsi non costa 100.000 euro ma dai 3000 ai 8-9.000 euro e ti stò parlando di macchine di ultima generazione.

Originariamente inviato da fivendra
Personalmente si riesce a mettere su infrastrtture decenti anche con semplici NAS usati come Storage per le macchine virtuali...

ah beh se per quello puoi utilizzare anche hd normali...

[coteaz]

wewe ma infatti stiamo parlando di una infrastruttura domestica non aziendale

[albgen]

Originariamente inviato da coteaz
...

quindi ho installato apache + php su un'altra macchina (vista) locale e ho provato a dare come indirizzo del database, quello del server locale win 2008... le applicazioni sono velocissime, quindi ho escluso la lentezza del motore mysql sul server
...

mi era sfuggito questo passaggio...

[coteaz]

ma figurati, speriamo di risolvere il problema

sono stato logorroico però peso di aver spiegato bene come stanno le cose

[albgen]

cmq, è molto strana questa situazione.
Non capisco perchè mettendo sulla stessa macchina(che mi pare di capire è la dmz win 2003 virtualizzato) apache mysql e php vada lento.
prova a dare una priorità maggiore a php, apache e mysql...
vedi se cambia qualcosa, ovviamente a livello di prestazioni e ci fai sapere...