SIZING

Wählen Sie die Hardware nach dem Deployment, nicht nach dem Datenblatt.

Zedmos-Durchsatz wird vom Single-Thread-CPU-Score, dem NIC-Fast-Path-Support und dem Umfang der aktivierten Inspektions-Pipeline bestimmt. Unten finden Sie die empfohlene Hardware-Stufe pro Deployment-Größe — abgeleitet aus dem Kostenprofil der Engine, nicht aus einem kontrollierten Labor-Benchmark.

EMPFOHLENE STUFEN

Hardware-Bänder nach Deployment-Größe

Jede Stufe geht davon aus, dass Zedmos die einzige ressourcen-intensive Workload auf dem Host ist. Planen Sie zusätzliche Reserven ein, wenn weitere Dienste mitlaufen (Suricata, Log-Shipper, Observability).

SOHO / Heimlabor

soho

Aktive Geräte

Bis zu 50 aktive Geräte

WAN-Bandbreite

Bis 200 Mbit/s WAN

NIC

1 GbE, igb(4) oder em(4)

CPU

Intel N100 / J4125-Klasse, 4 Kerne, hoher Single-Thread-Score

RAM

4 GB

Festplatte

120 GB SSD

Kleines Büro

small

Aktive Geräte

50-250 aktive Geräte

WAN-Bandbreite

200-500 Mbit/s WAN

NIC

1 GbE Multi-Queue, igb(4)

CPU

Intel i3 / Xeon E-23xx, 4-6 Kerne

RAM

8 GB

Festplatte

240 GB SSD

Niederlassung

branch

Aktive Geräte

250-1000 aktive Geräte

WAN-Bandbreite

500 Mbit/s - 1 Gbit/s WAN

NIC

1 GbE Multi-Queue oder 10 GbE, ix(4) / ixl(4)

CPU

Intel i5 / Xeon E-24xx, 6-8 Kerne

RAM

16 GB

Festplatte

480 GB SSD

Mittelstand

midmarket

Aktive Geräte

1000-2500 aktive Geräte

WAN-Bandbreite

1-2 Gbit/s WAN

NIC

10 GbE Multi-Queue, ixl(4)

CPU

Intel Xeon Silver / Gold, 8-12 Kerne

RAM

32 GB

Festplatte

960 GB NVMe

Hub / SD-WAN-Konzentrator

hub

Aktive Geräte

2500+ aktive Geräte

WAN-Bandbreite

2-5 Gbit/s WAN

NIC

10/25 GbE Multi-Queue, ixl(4) oder mlx5(4)

CPU

Intel Xeon Gold / AMD EPYC, 16+ Kerne

RAM

64 GB

Festplatte

1.92 TB NVMe

Warum keine Gbit/s- oder Latenz-Tabelle?

Der DPI-Durchsatz hängt vom Traffic-Mix (HTTPS vs. QUIC vs. Bulk), NIC-Offload (LRO, Prüfsumme, RSS-Queues) und Single-Thread-CPU-Score ab. Eine synthetische 64-Byte-UDP-Flood-Zahl sagt nichts über das Verhalten unter realem Verkehr aus. Wählen Sie die Stufe, die zu Ihrer Geräteanzahl und WAN-Bandbreite passt, und validieren Sie mit einem 24-Stunden-Passiv-Tap, bevor Sie inline gehen.

WIE SIZEN

Was wirklich den Unterschied macht

Single-Thread-Score schlägt Core-Anzahl

Die Paket-Pipeline läuft in gepinnten Workern pro NIC-Queue. Eine 4-Kern-CPU mit hohem Single-Thread-Score schlägt eine 12-Kern-CPU mit niedriger Pro-Kern-Frequenz für Inline-DPI.

NIC mit FreeBSD-Fast-Path-Support wählen

Intel em(4), igb(4), ix(4) und ixl(4) verfügen über native Fast-Path-Treiber. Realtek- und Broadcom-1-GbE-Chips funktionieren, kosten aber Durchsatz und erzeugen Jitter unter Last.

TLS- / SNI-Inspektion erhöht CPU-Last

Aktivierte TLS-Handshake-Inspektion für Kategorie- und Policy-Durchsetzung kostet pro Session ca. 30-40% mehr CPU. Wählen Sie eine Stufe höher, wenn TLS-Inspektion standardmäßig aktiv ist.

Log-Ebene braucht eigenes RAM-Budget

Die obigen RAM-Angaben decken Engine und Control-Plane ab. Wenn der Log-Store (Elasticsearch, ClickHouse) mitgehostet wird, planen Sie zusätzlich 8-16 GB ein und legen das Log-Volume auf eine separate NVMe.

VOR INLINE-EINSATZ VALIDIEREN

Auf Ihrem Verkehr testen, nicht auf unserem

Setzen Sie zuerst 24 Stunden im passiven Monitor-Modus an einem SPAN-Port ein. Beobachten Sie die CPU-Last des Engine-Workers während Ihrer realen Spitzenzeit. Wenn auf einem Kern in der Stoßzeit Reserven bleiben, haben Sie Reserven für Inline. Wenn nicht, steigen Sie eine Stufe auf, bevor Sie bridgen oder routen.