Patcha UEFI och esxi mot spectre and meltdown??

Permalänk
Medlem

Patcha UEFI och esxi mot spectre and meltdown??

Så jag tänkte köra esxi (6.7 tror jag det blir) på en HP Z420.
Inte speciellt lastad dock.

Xeon E5-1620 V2
64GB ram ECC

Nu till frågan.
Uppdatera BIOS/UEFI till de nyare med patchar mot spectre and meltdown?
Patcha ESXI 6.7 upp till innan patcharna mot spectre and meltdown?

Anledningarna för att inte göra det är prestandaförlusten..
Anledningarna för att inte bli drabbad av dessa säkerhetshål. Ser sannolikheten för detta som minimal dock??

Vad tycker ni?
Patha upp eller ej?

Permalänk
Medlem

Pressar du grejerna hårt? Om inte så kanske inte en patchning märks av...
Är det hemmalabb-grejer så skulle du säkert klara dig... Men senaste koden är ju alltid najs.

Permalänk
Medlem
Skrivet av Zyphoon:

Pressar du grejerna hårt? Om inte så kanske inte en patchning märks av...
Är det hemmalabb-grejer så skulle du säkert klara dig... Men senaste koden är ju alltid najs.

Vad jag kan läsa från Biosuppdateringarna så är det endast ändring gällande sårbarheterna.
Med Esxi uppdateringarna är det dock mer godis i dem..

Permalänk
Skrivet av xfade:

Så jag tänkte köra esxi (6.7 tror jag det blir) på en HP Z420.
Inte speciellt lastad dock.

Xeon E5-1620 V2
64GB ram ECC

Nu till frågan.
Uppdatera BIOS/UEFI till de nyare med patchar mot spectre and meltdown?
Patcha ESXI 6.7 upp till innan patcharna mot spectre and meltdown?

Anledningarna för att inte göra det är prestandaförlusten..
Anledningarna för att inte bli drabbad av dessa säkerhetshål. Ser sannolikheten för detta som minimal dock??

Vad tycker ni?
Patha upp eller ej?

Du kan testa effekten av detta genom att stänga av hyperthreading i BIOS/UEFI. Märker du ingen större skillnad är det ingen skada skedd. Märker du betydande prestandaförsämring behöver du väga ökad säkerhet kontra prestandaförlust.
(För referens: på jobbet kör jag självklart högsta möjliga säkerhet. På servrarna hemma kör jag mer avslappnat.)

Med det sagt: Spectre/Meltdown-mitigations i ESXi kan justeras - i flera steg fr o m 7u2 - även om du håller servern uppdaterad, så det finns ingen orsak att inte köra senaste version med den motiveringen.

Permalänk
Medlem
Skrivet av Det Otroliga Åbäket:

Du kan testa effekten av detta genom att stänga av hyperthreading i BIOS/UEFI. Märker du ingen större skillnad är det ingen skada skedd. Märker du betydande prestandaförsämring behöver du väga ökad säkerhet kontra prestandaförlust.
(För referens: på jobbet kör jag självklart högsta möjliga säkerhet. På servrarna hemma kör jag mer avslappnat.)

Med det sagt: Spectre/Meltdown-mitigations i ESXi kan justeras - i flera steg fr o m 7u2 - även om du håller servern uppdaterad, så det finns ingen orsak att inte köra senaste version med den motiveringen.

Är det det patcharna gör? Stänger av HT?

Kommer att köra ver6 av esxi (då hårdvaran i hp'n saknar drivrutiner för de flesta av SATA portarna, utom två tror jag det var)
"SCU" kallas de som inte är stödda?
Finns möjligheten i Ver 6 att inte ta prestanda tappet?

Sista frågan...
Hur illa är prestanda tappet om en patchar hårdvara och mjukvara för Specter/Meltdown?
(Beror ju såklart även på var en kör på servern)

Permalänk
Skrivet av xfade:

Är det det patcharna gör? Stänger av HT?

Kommer att köra ver6 av esxi (då hårdvaran i hp'n saknar drivrutiner för de flesta av SATA portarna, utom två tror jag det var)
"SCU" kallas de som inte är stödda?
Finns möjligheten i Ver 6 att inte ta prestanda tappet?

Sista frågan...
Hur illa är prestanda tappet om en patchar hårdvara och mjukvara för Specter/Meltdown?
(Beror ju såklart även på var en kör på servern)

Mitigeringarna - om du slår på dem; de är avstängda ur box - gör effektivt sett att hyperthreading inte används alls (version 1/pre 7u2) eller att den inte används mellan olika virtuella maskiner (version 2). Version 1 är självklart säkrast.

Prestandapåverkan verkar vara högst på I/O-intensiv last, i miljöer som regelbundet ser 80% CPU-belastning eller mer. Jag har själv sett prestandaninskningar runt 20% och har hört skräckhistorier om över 30-procentig prestandapåverkan.

Men som sagt: detta är något du aktivt väljer att slå på.