asmelnik

Спасибо всем неравнодушным и ответившим по существу проблемы.

Всякое решение плодит новые проблемы.(один из законов Мэрфологии)

Похоже время ответить на вопрос и закрыть тему

Context switch per second (Linux) 1.3млн это много или мало?
Если коротко — это для конфигурации
E5-2699v4 — 2шт
RAM 378Gb
Довольно много, но не предел.
Достигнутый максимум 1.5 млн.
Достигнут был при следующих условиях:
Совет от edo1h,

1. mitigations=off, это снизит стоимость переключения контекста;
2. «Зажал» бы частоту процессора и отключил всякие c3, энергосберегающие опции плохо совместимы с короткими запросами.
processor.max_cstate=1 intel_idle.max_cstate=1 к параметрам ядра, плюс поставить pstate-frequency и запустить pstate-frequency -p max (если помогло, то в systemd включаем pstate-frequency@max)

Дал направление копания, итоговый набор параметров ядра совпал с советом выше.
mitigations=off intel_idle.max_cstate=1 processor.max_cstate=1

Замечания jcmvbkbc, res2001, Everything_is_bad натолкнули на мысль разделить задачи сервера на более-менее автономные блоки и исследовать как по отдельности, так и взаимосвязи между ними.

Результат оказался для меня неожиданным (об этом в п.3)

1. Сеть
Тюнинг сетевой подсистемы дал снижение количества прерываний/сек (не слишком значительное, но это положительным образом сказалось на результатах).
Убрал bonding интерфейсов (выигрыш на уровне погрешностей измерения, но иногда(хоть и крайне редко) при работающем bonding наблюдались всплески interrupts, которые полностью отсутствовали при выключенном bonding в течении 4-х дней)
Максимальный размер буферов на адаптере.
Воспользовался tuned + корректировка параметров sysctl.
Профиль network-latency субъективно подошел лучше всего.

2. Работа nginx-а
Тут дало положительный эффект запуск 2-х независимых серверов на 2-х dummy интерфейсах. Не могу пока предположить с чем связано.

3. Неожиданный эффект — т.к. логирование таки необходимо, довольно много сливалось в rsyslog по unix.socket (сеть не вариант, нагрузка выше заметно)
Вот отказ от заливки логов nginx-а в rsyslog снял 75-76% (С 1.3млн до 0.3млн на пиках нагрузки) количества «Context switch per second».
Буквально «на коленке» на python написал заменитель, вся задача — сообщение из unix.socket записать в файл в нужном формате.

Итог, сервер выполняет те же функций:
«Context switch per second» -- снизился на 50% от исходного.
Нагрузка на CPU — снижение примерно на 25-30%.
При тех нагрузках, при которых ранее появлялись отказы, отказов нет.

На работе мой пк подключен к датчику через патчкорд. Адрес пк в сети 10.49.210.30, маска 255.255.0.0. Сам датчик пингуется по адресу 10.49.23.1

Решение 1.
а) На датчике должен быть прописан "шлюз" для сети 10.7.0.0/24 (или шлюз по умолчанию), и этот "шлюз" должен быть ваш рабочий ПК 10.49.210.30. (без этого никак)
б) На рабочем ПК разрешить маршрутизацию IP пакетов (как-то такhttps://remont-comp-pomosh.ru/otvet_mastera/vopros-otvet/v... )
в)

На рабочем пк интерфейс с адресом 10.7.0.2 и я установил разрешенные адреса только 10.7.0.0/24,

это ошибка, убрать. Вам с домашнего ПК на этот интерфейс будут приходить пакеты для датчика с ip 10.49.23.1, а вы их запретили.
г)

На рабочем пк route add 10.49.23.0 mask 255.255.255.0 10.7.0.3

УБРАТЬ
На Домашнем ПК "route add 10.49.0.0 mask 255.255.0.0 10.7.0.2"
Маршрутизация работает только по адресу назначения, а не по источнику (по источнику тоже можно, но это явно не ваш уровень)
Когда с Домашнего ПК начнет пинговаться ip 10.49.210.30 (рабочего ПК) тогда можно продолжить искать что не так.

Решение 2:
a)

На рабочем пк route add 10.49.23.0 mask 255.255.255.0 10.7.0.3

УБРАТЬ
На Домашнем ПК "route add 10.49.0.0 mask 255.255.0.0 10.7.0.2"
Маршрутизация работает только по адресу назначения, а не по источнику (по источнику тоже можно, но это явно не ваш уровень)
Когда с Домашнего ПК начнет пинговаться ip 10.49.210.30 (рабочего ПК)
б) На рабочем ПК разрешить маршрутизацию IP пакетов (как-то такhttps://remont-comp-pomosh.ru/otvet_mastera/vopros-otvet/v... )
в) на рабочем ПК настраиваем NAT на интерфейсе с 10.49.210.30
https://pc.ru/articles/internet-connection-sharing раздел "Настройка шлюза"

Решение 3:
Выяснить какие TCP и UDP порты вам реально нужны для датчика (ping не нужен)
и пробросить порты на рабочем ПК.
т.е. будете вы обращаться к датчику по ip 10.7.0.2,
как пример
https://winitpro.ru/index.php/2014/12/23/nastrojka...

[I] Dec 12 09:05:29 ipsec: 10[CFG] selected proposal: ESP:AES_CBC=128/HMAC_SHA1_96/NO_EXT_SEQ
[I] Dec 12 09:05:29 ipsec: 10[IKE] inbound CHILD_SA VirtualIPServerIKE2{129} established with SPIs c77a5cd1_i ceba567a_o and TS 0.0.0.0/0 === 192.168.20.7/32
[W] Dec 12 09:05:29 ndm: IpSec::CryptoMapInfo: "VirtualIPServerIKE2": crypto map remote client "timerman" @ "192.168.12.98" from "94.73.250.34" disconnected.
[W] Dec 12 09:05:29 ndm: IpSec::CryptoMapInfo: "VirtualIPServerIKE2": crypto map is up: remote client "timerman" @ "192.168.12.98" with IP "192.168.20.7" connected.

И что тут не понятно???
Клиент ходил с одного IP "94.73.250.34", и вдруг решил заглянуть с "192.168.20.7".
Естественно все переинициализировалось.

Ищите почему ваши клиенты прыгают по IP как зайцы.

Кстати, если "192.168.20.7" -- IP "внутри" туннеля, то вы трафик туннельный "заворачиваете" опять же в туннель.
А Бутылка клейна в сетях плохой вариант.

Теория говорит, что можно.
При достаточной вычислительной мощности и времени.
Для некоторых алгоритмов время исчисляется часами, для некоторых на современном этапе развития вычислительной техники -- годами, для некоторых -- веками....

Цитата:
23 июня 2022 года американский производитель телекоммуникационного оборудования операторского и корпоративного уровня Cisco решил полностью уйти из России и Беларуси. Компания закроет все представительства и прекратит сотрудничество с клиентами и поддержку.

«Cisco прекращает все деловые операции, включая продажи и предоставление услуг в России и Беларуси на обозримое будущее», — пояснила компания.
https://habr.com/ru/news/673130/

Можете сами себя сертифицировать в России :)

Симуляторов и был вагон, и есть вагон (например https://www.testking.com/CCNA-certification-traini...)
Ищете ломаные, китайцы их выкладывают постоянно (только ставить/запускать сильно рекомендую на виртуалке.. ибо можно таааакого нахвататься)

Как вариант можете попробовать в Казахстане в любом Pearson VUE центре сдать.

CISCO сертификат от географии не зависит.

Обычный NAT на 2-м микротике, как WAN интерфейс указывается интерфейс к 3-ему микротику.
Если вам пошаговую инструкцию то как пример
https://ooomarat.com/mikrotik-nastrojka-nat.html
Если прям сделать за вас -- так вам не в Q&A, а на "Фриланс" :)