RADIUSのスループットとスケーリング

以下のベンチマーク結果を使用して、環境が対応するよう設計されている1分あたりのピーク認証イベントをサポートするのに必要なサーバーのタイプを特定できます。

Okta RADIUS Server Agentは、AWS t2.mediumインスタンス(https://aws.amazon.com/ec2/instance-types/を参照)でベンチマークされています。このインスタンスは、ハードウェア仕様の適度な基準値(2 vCPUコア、4GiBメモリ)を表しています。このベンチマークはOkta RADIUS Server Agentのデフォルト設定で実行されましたが、この設定は通常、ほとんどのお客様の環境に適合しています。

これらのベンチマークはJMeterを使用して、実際のエンド・ユーザーのログイン・フロー(Web VPNログイン(ブラウザー)> Cisco ASA > RADIUS Serverエージェント > Okta)をシミュレートしたものです。

システム仕様:Amazon EC2 t2.medium(2 vCPU、4 GiBメモリ)、Windows Server 2012、Okta RADIUS Server Agent v.2.7.0(スレッド数:15、接続プール・サイズ:20)

到着率(毎秒)要素エラー率%(プライマリ/MFA)CPU%(ピーク時)メモリ使用量MB(ピーク時)
6.5Okta Verify with Push0 / 0320
25セキュリティー上の質問0 / 0320

RADIUSエージェントにはワーカー・スレッドのプールがあり、キューによって受信した要求を受け付けます。スループットはエージェントの内部と外部の多くの要素(ワーカー・プールにある認証スレッドの数、Oktaサービスへの各要求にかかる時間、エンド・ユーザーがプッシュMFA通知に応答するのにかかる時間など)に依存するため、実際の結果は異なる場合があります。独自の展開でスループットをテストし、独自の環境でのパフォーマンスに応じてエージェントを調整することが重要です。

RADIUSエージェントはREST API経由でOktaサービスに接続し、他のHTTPクライアントと同じレート制限が適用されます。容量要件が高い場合、RADIUSエージェントを追加して負荷を分散することで水平方向にスケーリングできますが、Oktaサービスで許可されているAPI呼び出しの合計に対してそれぞれ独立してカウントされることに注意してください。詳細については、https://help.okta.com/en/prev/Content/Topics/Security/API.htm#api_rate_limitingを参照してください。RADIUSエージェントがレート制限されている場合、それらの要求に対してACCESS-REJECT応答が返されます。