Les produits ADC traditionnels mesurent le throughput sur le bus de la plateforme — comme le total de chaque octet qui circule dans l'appliance, sans tenir compte de la frontière franchie. Une seule requête HTTP touche la plateforme plusieurs fois : du client à la plateforme, de la plateforme au backend, du backend à la plateforme, de la plateforme au client en retour. De nombreux fournisseurs comptent chacun de ces passages, de sorte que la même requête se reflète jusqu'à quatre fois dans le throughput du compteur.
À cela s'ajoute la protection au niveau réseau déclenchée avant qu'une requête n'atteigne le vService — blocage DDoS L3/L4, règles de pare-feu réseau, dégradations de réputation IP — qui consomme à son tour des octets reflétés dans le même compteur. Mieux la protection au niveau réseau fonctionne, plus la charge silencieusement ajoutée à votre calcul de throughput est importante.
Dans l'ADC, la bande passante n'est pas licenciée à l'octet mais par tier. Mais le tier que vous choisissez doit être suffisamment élevé pour couvrir tout ce que voit le compteur — c'est pourquoi la mesure sur le bus de la plateforme vous pousse vers un tier plus grand que ne l'exige votre capacité de service réelle. Le modèle TR7 trace la frontière au bord côté client du vService. Le trafic que votre service virtuel sert vers et depuis le côté client est ce qui est mesuré. Le transit interne vers les backends n'est pas mesuré. Le trafic arrêté au niveau réseau sans jamais voir le vService n'est pas mesuré. Le tier que vous licenciez coïncide avec la bande passante que vous utilisez réellement.
La mesure du throughput fonctionne en continu dans la couche de reporting de TR7 ADC. Le même chiffre qui détermine si vous tenez dans votre tier de licence est affiché en direct aux opérateurs — pas de plateforme de facturation séparée, pas de calcul opaque côté fournisseur.
Le compteur s'arrête au bord côté client du vService. Le trafic qui atteint le vService et est traité par lui est compté. Le trafic arrêté en amont du vService — au pare-feu réseau ou par la protection DDoS L3/L4 — n'est pas compté.
Le côté requête entrant du client vers le vService (RX) et le côté réponse sortant du vService vers le client (TX) sont additionnés. C'est la manière standard du secteur d'exprimer le throughput bidirectionnel réel, et elle coïncide avec la façon dont la capacité de service se reflète dans l'expérience utilisateur.
Lorsque le vService transmet une requête au backend et que la réponse revient, ce trafic interne n'est pas compté. Seul le côté client compte dans votre tier de licence.
Le même chiffre de throughput utilisé pour le tier de licence est affiché en temps réel dans la couche de reporting ADC. Les opérateurs peuvent suivre l'accumulation d'usage, voir quelle part du tier est remplie et planifier les changements de capacité de tier avant la période de renouvellement.
La mesure est effectuée à la frontière côté client du vService. Il existe trois types de trafic qui ne sont pas inclus dans le tier de licence car ils n'atteignent jamais cette frontière :
Les paquets abandonnés par les règles de pare-feu au niveau réseau avant que le vService ne les voie ne sont pas dans la fenêtre de mesure. Ils n'ont jamais franchi la frontière du vService.
Le trafic de flood volumétrique bloqué par la protection au niveau réseau avant d'atteindre le vService est exclu. Être une cible fréquente d'attaque ne vous pousse pas vers un tier de licence plus grand.
Lorsque le vService transmet une requête au backend et reçoit la réponse, ce trafic interne n'est pas mesuré. La même requête n'est pas comptée une seconde fois côté backend.
La plupart des produits concurrents mesurent le throughput sur le bus de la plateforme — chaque octet qui traverse leur infrastructure, côté client comme côté backend, est compté. TR7 ne compte que le côté client. Conséquences structurelles :
Une requête traitée par votre service virtuel franchit deux frontières : du client au vService et du vService au backend. Les fournisseurs qui mesurent les deux ajoutent au même chiffre de throughput le second passage, structurellement identique au premier. TR7 ne compte que le passage côté client.
Lorsque la protection au niveau réseau bloque un DDoS L3/L4 ou qu'une règle de pare-feu réseau abandonne un flood, ces octets ne se reflètent pas dans le calcul du throughput. Être une cible de valeur ne devrait pas vous contraindre à un tier de licence plus grand que ne l'exige votre capacité de service réelle.
Comme le trafic dupliqué côté backend n'est pas mesuré, le même tier de licence sur TR7 porte nettement plus de capacité de service réelle que le même tier nominal sur des produits mesurant sur le bus de la plateforme. Sur des charges d'entreprise typiques, l'écart peut atteindre un facteur de plusieurs fois.
Le chiffre de throughput sur lequel votre tier est dimensionné est le même que celui affiché dans la couche de reporting. Les opérateurs peuvent le vérifier en direct, le comparer à l'activité par vService et planifier la capacité de tier bien avant le renouvellement.
Indépendamment du tier de licence global, les vServices individuels peuvent recevoir des limites de bande passante par vService avec une application automatique du QoS en partage équitable. Les déploiements Service Provider répartissent automatiquement la bande passante licenciée entre les locataires.
Banque, gouvernement, paris, services publics — charges de travail qui bloquent en permanence des attaques L3/L4 au niveau réseau. La protection au niveau réseau fait son travail, et vous n'êtes pas contraint de passer à un tier de licence plus grand que ne l'exigent vos vrais utilisateurs.
Black Friday, ventes flash, lancements de billetterie — fenêtres où les vagues de bots et le trafic légitime se disputent la même capacité. Le throughput que votre tier doit couvrir reflète ce que les acheteurs reçoivent réellement, et non les tentatives de bots que le système a déjà bloquées au niveau réseau.
Services à dominante sortante où la charge des réponses domine le profil de bande passante. La mesure RX + TX au bord côté client coïncide avec la façon dont la capacité de service s'exprime dans cette catégorie.
Bande passante licenciée répartie entre les locataires clients avec un QoS automatique en partage équitable. Les limites par vService permettent aux fournisseurs d'offrir des tiers de service différenciés ; la licence globale ne mesure que le total côté client à travers l'ensemble des locataires.
La couche de reporting de TR7 ADC affiche le même chiffre de frontière vService qui détermine votre tier de licence — visible, prévisible, débarrassé de la charge en amont du vService.