În prezent, folosim rsyslog pentru a strânge jurnalele de la ~ 1 milion de dispozitive IoT, obișnuiam să folosim syslog UDP în text simplu, iar serverul nostru le gestionează bine cu încărcare minimă a sistemului, dar acum, pentru că trebuie să trimitem niște date sensibile în interiorul syslogului, am decis pentru a activa TLS, dar după ce l-am încercat cu doar 20.000 de dispozitive, serverul nostru continuă să scadă jurnalele deoarece toate nucleele CPU sunt încărcate la 100%.
Se pare că TCP TLS nu este foarte potrivit pentru această cantitate mare de solicitări, deoarece clientul syslog tocmai a trimis un mesaj apoi s-a deconectat, forțându-l să reia procesul de strângere de mână TLS de fiecare dată când dorește să trimită un jurnal. Există vreun alt mecanism de criptare inclus în rsyslog pe care l-aș fi putut folosi? Mă gândeam la un fel de criptare asimetrică cu o cheie statică, astfel încât să nu fie nevoie să facă strângerea de mână de fiecare dată?
M-am gândit la VPN, dar OpenVPN va crea o încărcare și mai mare pe serverul VPN, în timp ce hardware-ul clientului nostru nu are un nucleu suficient de recent pentru o configurare Wireguard ușoară.
Serverul nostru actual rsyslog are 40 de nuclee (80 HT), 48 GB RAM, așa că dacă trebuie să cumpărăm mai mult server pentru a configura un fel de sistem de echilibrare a sarcinii, atunci va exista o constrângere semnificativă a costurilor.
