Расчеты для компонента Sensor
02 апреля 2024
ID 211923
Эти расчеты применимы также при развертывании приложения на виртуальной платформе.
При расчете аппаратных требований к компоненту Sensor требуется учитывать, что максимальный объем обрабатываемого трафика составляет 10 Гбит/с. Для обработки трафика максимального объема можно использовать как один компонент Sensor, установленный на отдельном сервере, так и несколько компонентов Sensor, установленных на отдельных серверах, которые подключены к одному компоненту Central Node. Суммарный объем передаваемого трафика от всех компонентов Sensor, подключенных к одному компоненту Central Node, не должен превышать 10 Гбит/с.
При наличии в сети более одного сегмента с пропускной способностью 10 Гбит/с и при необходимости обрабатывать трафик в этих сегментах, вам необходимо использовать режим распределенного решения.
Вы можете использовать сервер с компонентом Sensor в качестве прокси-сервера при обмене данными между компонентами Endpoint Agent и компонентом Central Node, чтобы упростить настройку сетевых правил. Например, если компоненты Endpoint Agent находятся в отдельном сегменте сети, то будет достаточно настроить соединение между серверами с компонентами Central Node и Sensor.
При использовании Sensor в качестве прокси-сервера при обмене данными между компонентами Endpoint Agent и компонентом Central Node учитывайте следующие ограничения:
- Максимальное количество компьютеров с компонентом Endpoint Agent, подключенных к одному компоненту Central Node, составляет 15 000 шт.
- Максимально допустимые потери пакетов, пересылаемых между серверами с компонентами Sensor и Central Node, составляют 10% при задержке отправки пакетов до 100 мс.
Требуемая пропускная способность канала связи между серверами с компонентами Central Node и Sensor зависит от объема обрабатываемого трафика и определяется по следующей формуле:
10% от трафика на SPAN-порте при обычной нагрузке или 20% от трафика на SPAN-порте при пиковой нагрузке + почтовый трафик + трафик по протоколу ICAP + требования к каналу связи между компонентами Central Node и Endpoint Agent
Аппаратные требования к компоненту Sensor
Компонент Sensor может быть интегрирован с IT-инфраструктурой организации следующими способами:
- получение зеркалированного трафика от сетевых устройств со SPAN-портов;
- подключение к почтовому серверу по протоколу POP3;
- подключение к почтовому серверу по протоколу SMTP;
- получение трафика от прокси-сервера по протоколу ICAP.
Аппаратные требования к компоненту Sensor приведены в таблице ниже. Расчеты приведены для случая, когда компонент Sensor обрабатывает сообщения электронной почты и зеркалированный трафик со SPAN-портов. Если компонент Sensor используется в качестве прокси-сервера при обмене данными между компонентами Endpoint Agent и компонентом Central Node, следует также учитывать требования к каналам связи.
Аппаратные требования к компоненту Sensor в зависимости от объема обрабатываемого трафика со SPAN-портов
Количество компонентов Endpoint Agent | Объем обрабатываемого трафика (Мбит/c) | Минимальный объем оперативной памяти (ГБ) | Минимальное количество логических ядер |
---|---|---|---|
10000 | 100 | 16 | 4 |
15000 | 500 | 24 | 8 |
15000 | 1000 | 32 | 12 |
15000 | 2000 | 64 | 20 |
15000 | 4000 | 92 | 32 |
15000 | 7000 | 128 | 52 |
15000 | 10000 | 160 | 72 |
Центральный процессор должен поддерживать набор инструкций BMI2.
Если вы хотите обрабатывать только сообщения электронной почты и не обрабатывать зеркалированный трафик со SPAN-портов, мы рекомендуем использовать компонент Sensor, установленный на одном сервере с Central Node. Подробнее об аппаратных требованиях см. в разделе Расчеты для компонента Central Node → Аппаратные требования к серверу с компонентами Central Node и Sensor.
Если один компонент Sensor обрабатывает трафик по нескольким протоколам, то для расчета конфигурации сервера необходимо учитывать, что при настроенной интеграции с почтовым сервером или почтовым сенсором необходимо выключить обработку трафика по протоколу SMTP.
Требования к дисковому пространству на сервере с компонентом Sensor
Рекомендуется использовать дисковый массив RAID 1. Общий объем дискового пространства должен составлять не менее 500 ГБ.