Содержание
Руководство по масштабированию
Для достижения и сохранения оптимальной производительности при различных условиях работы программы требуется учитывать количество устройств в сети, топологию сети и необходимую вам функциональность программы.
Выбор оптимальной конфигурации программы состоит из следующих этапов:
- Выбор типовой схемы развертывания
- Расчет аппаратных требований с помощью калькулятора масштабирования
Типовые схемы развертывания и установки компонентов программы
Схема развертывания и установки компонентов программы определяется планируемой нагрузкой на серверы программы.
Программа Kaspersky Endpoint Agent устанавливается на любых компьютерах, которые входят в IT-инфраструктуру организации и работают под управлением операционной системы Windows. На компьютерах с Kaspersky Endpoint Agent необходимо разрешить исходящее соединение с сервером с компонентом Central Node напрямую, без использования прокси-сервера.
Вы можете установить один или несколько компонентов Central Node. При установке нескольких компонентов Central Node вы можете использовать их независимо друг от друга или объединить для централизованного управления в режиме распределенного решения.
Выбор схемы развертывания зависит от используемой функциональности программы. Все приведенные в данном руководстве схемы применимы также для развертывания программы на виртуальной платформе.
Полная функциональность (KATA и KEDR)
При использовании функциональности KATA и KEDR вы можете проверять сетевой и почтовый трафик, а также данные на компьютерах локальной сети организации.
Если в организации установлено более 5000 программ Kaspersky Endpoint Agent, не рекомендуется использовать компонент Central Node для обработки трафика.
Вы можете использовать компонент Sensor в качестве прокси-сервера для соединения хостов с программой Kaspersky Endpoint Agent и Central Node. Один компонент Sensor поддерживает подключение до 1000 хостов с программой Kaspersky Endpoint Agent.
Критерии выбора схемы развертывания при использовании функциональности KATA и KEDR представлены в таблице ниже. Алгоритм выбора следующий:
- В каждой строке таблицы выберите ячейку со значением критерия, соответствующим вашей IT-инфраструктуре.
Если в строке две ячейки с одинаковым значением, необходимо выбрать левую ячейку.
- Выберите самую правую колонку, в которой есть отмеченные ячейки.
Выбор схемы развертывания при использовании функциональности KATA и KEDR
Критерий
Схема на два сервера
Схема на три сервера
Схема на четыре и более серверов
Сетевой и почтовый трафик не может быть принят на одном устройстве
Нет
Да
Да
Да
Количество хостов с программой Kaspersky Endpoint Agent
Нет
От 5000 до 10000
От 5000 до 10000
Более 10000
1 Гбит/с
От 1 до 2 Гбит/с
Более 2 Гбит/с
Более 2 Гбит/с
Количество удаленных инфраструктур, в которых требуется анализировать трафик
Нет
Одна
Две и более
Две и более
Мощности одного компонента Sandbox недостаточно для анализа всех объектов в приемлемые сроки
Нет
Нет
Да
Да
В режиме распределенного решения каждый из компонентов программы должен отвечать аппаратным требованиям, указанным в калькуляторе масштабирования.
Обработка сетевого, почтового и веб-трафика (KATA)
Функциональность KATA рекомендуется использовать, если в организации нет необходимости обрабатывать данные на компьютерах локальной сети организации. В этом случае обрабатывается только сетевой и почтовый трафик.
Критерии выбора схемы развертывания при использовании функциональности KATA представлены в таблице ниже. Алгоритм выбора следующий:
- В каждой строке таблицы выберите ячейку со значением критерия, соответствующим вашей IT-инфраструктуре.
Если в строке две ячейки с одинаковым значением, необходимо выбрать левую ячейку.
- Выберите самую правую колонку, в которой есть отмеченные ячейки.
Выбор схемы развертывания при использовании функциональности KATA
Критерий
Схема на два сервера
Схема на три сервера
Схема на четыре и более серверов
Сетевой и почтовый трафик не может быть принят на одном устройстве
Нет
Да
Да
1 Гбит/с
От 1 до 2 Гбит/с
Более 2 Гбит/с
Количество удаленных инфраструктур, в которых требуется анализировать трафик
Нет
Одна
Две и более
Мощности одного компонента Sandbox недостаточно для анализа всех объектов в приемлемые сроки
Нет
Нет
Да
Обработка данных с компьютеров локальной сети организации (KEDR)
Функциональность KEDR рекомендуется использовать, если в организации нет необходимости обрабатывать трафик. В этом случае обрабатываются только данные на компьютерах локальной сети организации.
В зависимости от наличия в организации стороннего решения Sandbox вы можете использовать одну из следующих схем развертывания:
- схема без компонента Sandbox;
- схема с компонентом Sandbox.
Схема развертывания на два сервера
При использовании функциональности KATA и KEDR вы можете установить программу Kaspersky Endpoint Agent на компьютерах локальной сети организации. При использовании функциональности KATA программа Kaspersky Endpoint Agent не устанавливается.
При использовании этой схемы развертывания компоненты Central Node и Sensor устанавливаются на одном сервере или кластере. Этот сервер или кластер принимает трафик, выполняет первичный анализ трафика и более глубокий анализ извлеченных файлов. По результатам проверки компоненты выявляют признаки целевых атак на IT-инфраструктуру организации.
На другом сервере устанавливается компонент Sandbox.
Схема работы программы при развертывании на два сервера представлена на рисунке ниже.
Схема работы программы при развертывании на два сервера
Схема развертывания на три сервера
При использовании функциональности KATA и KEDR вы можете установить программу Kaspersky Endpoint Agent на компьютерах локальной сети организации. При использовании функциональности KATA программа Kaspersky Endpoint Agent не устанавливается.
При использовании этой схемы развертывания компоненты Sensor, Central Node и Sandbox устанавливаются на отдельных серверах. Компонент Central Node также может быть развернут в виде кластера. Сервер с компонентом Sensor принимает трафик, выполняет первичный анализ, извлекает файлы и пересылает их компоненту Central Node для более глубокого анализа.
При такой схеме развертывания компонент Central Node может принимать трафик и выполнять первичный анализ данных в основной инфраструктуре. В этом случае вы можете установить компонент Sensor на сервере удаленной инфраструктуры, трафик которой требуется анализировать. Если пропускная способность канала в основной инфраструктуре составляет более 2 Гбит/с, то сервер с компонентом Sensor рекомендуется устанавливать в основной инфраструктуре.
Трафик, передаваемый между компонентами Central Node и Sensor, составляет до 20% трафика, получаемого компонентом Sensor.
Схема работы программы при развертывании на три сервера представлена на рис. ниже.
Схема работы программы при развертывании на три сервера
Схема развертывания на четыре и более сервера
При использовании функциональности KATA и KEDR вы можете установить программу Kaspersky Endpoint Agent на компьютерах локальной сети организации. При использовании функциональности KATA программа Kaspersky Endpoint Agent не устанавливается.
При большом объеме трафика вы можете установить несколько компонентов Sensor или несколько компонентов Sandbox на разных серверах. Эта схема рекомендуется для развертывания в крупных организациях.
Вы также можете использовать один компонент Sandbox для подключения к нескольким компонентам Central Node.
Схема работы программы при развертывании на четыре и более сервера представлена на рисунке ниже.
Схема работы программы при развертывании на четыре и более сервера
Схема развертывания функциональности KEDR c компонентом Sandbox
При такой схеме развертывания вам требуется установить компонент Central Node отдельно от компонента Sensor.
Схема работы программы при развертывании функциональности KEDR с компонентом Sandbox представлена на рисунке ниже.
Схема работы программы при развертывании функциональности KEDR с компонентом Sandbox
Схема развертывания функциональности KEDR без компонента Sandbox
Вы можете не устанавливать компонент Sandbox и использовать компонент Central Node только для управления программой Kaspersky Endpoint Agent и анализа данных.
При такой схеме развертывания вам требуется установить компонент Central Node отдельно от компонента Sensor.
Схема работы программы при развертывании функциональности KEDR без компонента Sandbox представлена на рис. ниже.
Схема работы программы при развертывании функциональности KEDR без компонента Sandbox
Калькулятор масштабирования
После того, как вы выбрали схему развертывания, наиболее подходящую для вашей IT-инфраструктуры, вам требуется рассчитать аппаратные требования к серверам для установки компонентов программы.
Расчеты для компонента Sensor
Данные расчеты применимы также при развертывании программы на виртуальной платформе.
При расчете аппаратных требований к компоненту Sensor требуется учитывать, что максимальный объем обрабатываемого трафика для одного компонента Sensor составляет 4 Гбит/с. Наиболее ресурсоемкой технологией является Intrusion Detection System.
Вы можете использовать сервер с компонентом Sensor в качестве прокси-сервера при обмене данными между программой Kaspersky Endpoint Agent и компонентом Central Node, чтобы упростить настройку сетевых правил. Например, если компьютеры с Kaspersky Endpoint Agent находятся в отдельном сегменте сети, то будет достаточно настроить соединение между серверами с компонентами Central Node и Sensor.
При настройке перенаправления трафика Kaspersky Endpoint Agent на компонент Central Node учитывайте следующие ограничения:
- Максимальное количество компьютеров с Kaspersky Endpoint Agent, подключенных к одному компоненту Central Node, составляет 15 000 шт.
- Максимально допустимые потери пакетов, пересылаемых между серверами с компонентами Sensor и Central Node, составляют 10% при задержке отправки пакетов до 100 мс.
Аппаратные требования к серверу с компонентом Sensor зависят от объема обрабатываемого трафика. Требуемая пропускная способность канала связи между серверами с компонентами Central Node и Sensor является суммой трафика компонента Sensor (10% от трафика на SPAN-порте + почтовый трафик + трафик по протоколу ICAP) и требованиям к каналу связи между компонентом Central Node и программой Kaspersky Endpoint Agent (в зависимости от количества компьютеров с Kaspersky Endpoint Agent, трафик которых перенаправляется компонентом Sensor на компонент Central Node).
При расчете аппаратных требований к серверу с компонентом Sensor требуется учитывать, что одна программа Kaspersky Endpoint Agent для Linux дает такую же нагрузку, как три программы Kaspersky Endpoint Agent для Windows.
Если пропускная способность канала связи составляет более 2 Гбит/с, требуется настроить использование одного ядра для обработки сетевых прерываний.
Аппаратные требования к компоненту Sensor в зависимости от обрабатываемого трафика
Компонент Sensor может быть интегрирован с IT-инфраструктурой организации следующими способами:
- получение зеркалированного трафика от сетевых устройств со SPAN-портов;
- подключение к почтовому серверу по протоколу POP3;
- подключение к почтовому серверу по протоколу SMTP;
- получение трафика от прокси-сервера по протоколу ICAP.
Аппаратные требования к компоненту Sensor приведены в таблице ниже. Расчеты приведены для случая, когда компонент Sensor не обрабатывает сообщения электронной почты и трафик по протоколу ICAP. Если компонент Sensor осуществляет перенаправление трафика с компьютеров с Kaspersky Endpoint Agent, следует также учитывать требования к каналам связи.
Аппаратные требования к компоненту Sensor в зависимости от объема обрабатываемого трафика со SPAN-портов
Максимальное количество компьютеров с Kaspersky Endpoint Agent для Windows |
Максимальный объем обрабатываемого трафика (Мбит/c) |
Минимальный объем оперативной памяти (ГБ) |
Минимальное количество логических ядер |
|---|---|---|---|
10000 |
100 |
16 |
4 |
15000 |
500 |
16 |
8 |
15000 |
1000 |
24 |
16 |
15000 |
2000 |
32 |
32 |
15000 |
4000 |
32 |
48 |
Аппаратные требования к компоненту Sensor, интегрированному с почтовым сервером, приведены в таблице ниже. Расчеты приведены для случая, когда компонент Sensor не обрабатывает зеркалированный трафик и трафик по протоколу ICAP.
Аппаратные требования к компоненту Sensor, интегрированному с почтовым сервером
Максимальное количество сообщений электронной почты в секунду |
Минимальный объем оперативной памяти (ГБ) |
Минимальное количество логических ядер |
|---|---|---|
1–4 |
16 |
4 |
5–20 |
16 |
8 |
Для обработки трафика по протоколу ICAP требуется меньше ресурсов, чем для обработки сообщений электронной почты.
Если один компонент Sensor обрабатывает трафик по нескольким протоколам, следует учитывать следующие рекомендации:
- Одновременная обработка трафика по протоколу ICAP и со SPAN-портов рекомендуется для анализа объектов, передаваемых через прокси-сервер по протоколу HTTPS.
Для обработки трафика по протоколу HTTPS прокси-сервер должен поддерживать смену сертификата сервера.
- При настроенной интеграции с почтовыми сенсорами нецелесообразно извлекать SMTP-трафик из SPAN-трафика.
Требования к дисковому пространству на сервере с компонентом Sensor
Рекомендуется использовать дисковый массив RAID 1. Общий объем дискового пространства должен составлять не менее 500 ГБ. Минимальные требования к свободному дисковому пространству для разных типов данных приведены в таблице ниже.
Минимальные требования к дисковому пространству на сервере с компонентом Sensor
Тип данных |
Дисковое пространство (ГБ) |
|---|---|
Дамп базы данных Redis |
16 |
Операционная система |
25 |
Временные файлы |
32 |
Файлы трассировок и пакеты обновлений |
151 |
Всего |
224 |
При объеме обрабатываемого трафика более 1 Гбит/с рекомендуется выделить не менее 600 ГБ дискового пространства.
В началоРасчеты для компонента Central Node
При развертывании программы на виртуальной платформе требуется на 10 процентов больше ресурсов процессора. В параметрах виртуального диска должен быть выбран тип диска Thick Provision.
Чтобы избежать возможного снижения производительности при развертывании приложения на виртуальной платформе, рекомендуется выполнить следующие действия:
- Установить параметры High Latency Sensitivity.
- Зарезервировать всю оперативную память.
- Зарезервировать всю частоту процессора.
Аппаратные требования к серверу с компонентами Central Node и Sensor
Аппаратные требования к серверу, на котором установлены компоненты Central Node и Sensor, зависят от следующих условий:
- объем обрабатываемого трафика;
- количество обрабатываемых сообщений электронной почты в секунду;
- количество хостов с Kaspersky Endpoint Agent.
Программа Kaspersky Endpoint Agent может быть установлена на терминальный сервер, файловый сервер или в сетевое хранилище (NAS).
Если программа Kaspersky Endpoint Agent установлена на терминальный сервер, расчет создаваемой программой нагрузки выполняется следующим образом: одна программа Kaspersky Endpoint Agent на терминальном сервере, обслуживающем X пользователей, дает такую же нагрузку, как X программ Kaspersky Endpoint Agent на хосте (X пользователей = X программ Kaspersky Endpoint Agent).
Если программа Kaspersky Endpoint Agent установлена на файловый сервер или в сетевое хранилище, расчет создаваемой программой нагрузки выполняется следующим образом: одна программа Kaspersky Endpoint Agent на файловом сервере или в сетевом хранилище дает такую же нагрузку, как 20 программ Kaspersky Endpoint Agent на хосте.
При расчете количества хостов с Kaspersky Endpoint Agent требуется учитывать, что одна программа Kaspersky Endpoint Agent для Linux дает такую же нагрузку, как три программы Kaspersky Endpoint Agent для Windows.
Программа Kaspersky Endpoint Agent для Windows также может быть установлена на сервер SCADA.
Если программа Kaspersky Endpoint Agent для Windows установлена на сервер SCADA, расчет создаваемой программой нагрузки выполняется следующим образом: одна программа Kaspersky Endpoint Agent для Windows на сервере SCADA дает такую же нагрузку, как 20 программ Kaspersky Endpoint Agent для Windows на хосте.
Вы можете использовать одновременно программы Kaspersky Endpoint Agent для Linux и Kaspersky Endpoint Agent для Windows.
При объеме обрабатываемого трафика более 1 Гбит/с рекомендуется устанавливать компоненты Central Node и Sensor на отдельных серверах.
На сервере с компонентом Central Node рекомендуется использовать две дисковые подсистемы RAID:
- Первая дисковая подсистема RAID 1 или RAID 10 используется для всех данных, указанных в таблице ниже, кроме базы данных Targeted Attack Analyzer.
- Вторая дисковая подсистема RAID 10 используется для базы данных Targeted Attack Analyzer и хранения части журналов.
Kaspersky Anti Targeted Attack Platform не поддерживает работу с программным RAID-массивом.
Аппаратные требования к серверу с компонентом Central Node в зависимости от используемой функциональности представлены в таблице ниже.
Аппаратные требования к серверу с компонентом Central Node при использовании функциональности KEDR
Максимальное количество хостов с Kaspersky Endpoint Agent для Windows |
Минимальный объем оперативной памяти (ГБ) |
Минимальное количество логических ядер с частотой 3 ГГц |
Первая дисковая подсистема |
Вторая дисковая подсистема |
||||||
|---|---|---|---|---|---|---|---|---|---|---|
ROPS (чтение, операций в секунду) |
WOPS (запись, операций в секунду) |
Объем дискового массива RAID 1 или RAID 10 (ТБ) |
Количество дисков в массиве RAID 1 или RAID 10 |
ROPS (чтение, операций в секунду) |
WOPS (запись, операций в секунду) |
Объем дискового массива RAID 10 (ТБ) |
Количество дисков в массиве RAID 10 |
|||
1000 |
64 |
8 |
100 |
1000 |
1 |
4 |
300 |
200 |
Не более 6 дисков по 2,4 ТБ |
4 |
3000 |
80 |
12 |
100 |
1000 |
1 |
4 |
700 |
500 |
6 |
|
5000 |
96 |
12 |
100 |
1000 |
1 |
4 |
1000 |
600 |
6 |
|
10 000 |
160 |
20 |
100 |
1000 |
1 |
4 |
2000 |
800 |
10 |
|
15 000 |
192 |
32 |
100 |
1000 |
1 |
4 |
2000 |
800 |
12 |
|
Аппаратные требования к серверу с компонентом Central Node при использовании функциональности КАТА и KEDR
Максимальное количество хостов с Kaspersky Endpoint Agent для Windows |
Максимальное количество сообщений электронной почты в секунду |
Макисмальный объем трафика со SPAN-портов на сервере с компонентом Central Node |
Максимальный объем трафика со SPAN-портов на серверах с компонентом Sensor (Мбит/с) |
Минимальный объем оперативной памяти (ГБ) |
Минимальное количество логических ядер с частотой 3 ГГц |
Первая дисковая подсистема |
Вторая дисковая подсистема |
||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
ROPS (чтение, операций в секунду) |
WOPS (запись, операций в секунду) |
Объем дискового массива RAID 1 или RAID 10 (ТБ) |
Количество дисков в массиве RAID 1 или RAID 10 |
ROPS (чтение, операций в секунду) |
WOPS (запись, операций в секунду) |
Объем дискового массива RAID 10 (ТБ) |
Количество дисков в массиве RAID 10 |
||||||
1000 |
1 |
200 |
Не обрабатывается |
96 |
12 |
100 |
1000 |
1,9 |
4 |
300 |
300 |
Не более 6 дисков по 2,4 ТБ |
4 |
2000 |
2 |
500 |
Не обрабатывается |
128 |
20 |
100 |
1000 |
2 |
4 |
500 |
500 |
4 |
|
5000 |
1 |
1000 |
Не обрабатывается |
160 |
36 |
100 |
1000 |
2 |
4 |
1000 |
600 |
4 |
|
10 000 |
2 |
1000 |
Не обрабатывается |
192 |
40 |
100 |
1000 |
2 |
4 |
2000 |
800 |
12 |
|
5000 |
5 |
Не обрабатывается |
2000 |
144 |
20 |
100 |
1000 |
1,9 |
4 |
1000 |
600 |
6 |
|
10 000 |
20 |
Не обрабатывается |
4000 |
192 |
36 |
100 |
1000 |
1,9 |
4 |
2000 |
800 |
12 |
|
15 000 |
20 |
Не обрабатывается |
4000 |
256 |
48 |
100 |
1000 |
1,9 |
4 |
2000 |
800 |
12 |
|
Примеры расчета требуемой конфигурации серверов с компонентами Kaspersky Anti Targeted Attack Platform Если вы хотите:
то вам требуется два сервера со следующими аппаратными характеристиками:
Указанные расчеты справедливы также для инфраструктуры с 5000 хостов с Kaspersky Endpoint Agent для Linux или при совместном использовании программ (например, 9000 хостов с Kaspersky Endpoint Agent для Windows и 2000 хостов с Kaspersky Endpoint Agent для Linux). |
Требования к дисковому пространству на сервере с компонентом Central Node
При отсутствии компонента Sensor на сервере с компонентом Central Node должно быть не менее 2000 ГБ свободного пространства на первой дисковой подсистеме и не менее 2400 ГБ на второй дисковой подсистеме. Объем требуемого пространства на второй дисковой подсистеме зависит от желаемой политики хранения данных и может быть вычислен по следующей формуле:
150 ГБ + <количество хостов с Kaspersky Endpoint Agent для Windows>/15000 * (400 ГБ + 240 ГБ * <срок, за который требуется хранить данные, в днях>), но не более 12 ТБ
Эта формула может быть использована для примерной оценки требуемого дискового пространства. Реальный объем хранимых данных зависит от профиля трафика организации и может отличаться от полученного результата вычислений.
Минимальные требования к свободному дисковому пространству для каждого типа данных приведены в таблице ниже.
Минимальные требования к дисковому пространству на сервере с компонентом Central Node при отсутствии компонента Sensor
Тип данных |
Первая дисковая подсистема (ГБ) |
Вторая дисковая подсистема (ГБ) |
|---|---|---|
База данных Targeted Attack Analyzer |
0 |
1500 |
База данных обнаруженных объектов |
50 |
0 |
Очереди технологий обнаружения |
390 |
0 |
Очередь задач |
1 |
0 |
Данные, полученные после анализа компонентом Sandbox |
300 |
0 |
Карантин |
300 |
0 |
Файлы, ожидающие повторной проверки |
300 |
0 |
Файл дампа базы данных Redis |
16 |
0 |
Операционная система |
25 |
0 |
Временные файлы |
64 |
0 |
Файлы трассировки |
50 |
100 |
Пакеты обновлений |
1 |
0 |
Всего |
1497 |
1600 |
При использовании компонента Sensor на сервере с компонентом Central Node должно быть не менее 1900 ГБ свободного пространства на первой дисковой подсистеме и не менее 3900 ГБ на второй дисковой подсистеме. Минимальные требования к свободному дисковому пространству для каждого типа данных приведены в таблице ниже.
Минимальные требования к дисковому пространству на сервере с компонентом Central Node при использовании компонента Sensor
Тип данных |
Первая дисковая подсистема на сервере с компонентом Central Node (ГБ) |
Вторая дисковая подсистема на сервере с компонентом Central Node (ГБ) |
Дисковое пространство на сервере с компонентом Sensor (ГБ) |
|---|---|---|---|
База данных Targeted Attack Analyzer |
0 |
1500 |
0 |
База данных обнаруженных объектов |
50 |
0 |
0 |
Очереди технологий обнаружения |
390 |
0 |
0 |
Очередь задач |
1 |
0 |
0 |
Данные, полученные после анализа компонентом Sandbox |
300 |
0 |
0 |
Карантин |
300 |
0 |
0 |
Файлы,ожидающие повторной проверки |
300 |
0 |
0 |
Файл дампа базы данных Redis |
16 |
0 |
16 |
Операционная система |
25 |
0 |
25 |
Временные файлы |
32 |
0 |
32 |
Файлы трассировки |
50 |
100 |
150 |
Пакеты обновлений |
1 |
0 |
1 |
Всего |
1465 |
1600 |
224 |
Если вы настроили интеграцию с внешней системой с помощью REST API, вам необходимо выделить дополнительные ресурсы для обработки объектов этой системы. Дополнительные аппаратные требования приведены в таблице ниже.
Дополнительные аппаратные требования к серверу с компонентом Central Node при наличии интегрированных внешних систем
Максимальное количество обрабатываемых объектов в секунду |
Количество дополнительных логических ядер |
Количество дополнительных серверов с компонентом Sandbox |
|---|---|---|
8 |
2 |
1 |
16 |
4 |
2 |
24 |
7 |
3 |
Требования к серверу PCN в режиме распределенного решения
При небольшой нагрузке на серверы SCN аппаратные требования к серверу PCN не отличаются от требований к серверу с компонентом Central Node в автономном режиме.
Аппаратные требования к серверу PCN при наличии 10 серверов SCN с большой нагрузкой приведены в таблице ниже.
Аппаратные требования к серверу PCN
Максимальное количество хостов с Kaspersky Endpoint Agent для Windows |
Максимальное количество сообщений электронной почты в секунду |
Максимальный объем трафика со SPAN-портов (Мбит/с) |
Минимальный объем оперативной памяти (ГБ) |
Минимальное количество логических ядер |
Первая дисковая подсистема |
Вторая дисковая подсистема |
||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|
ROPS (чтение, операций в секунду) |
WOPS (запись, операций в секунду) |
Объем дискового массива RAID 1 или RAID 10 (ТБ) |
Количество дисков в массиве RAID 1 или RAID 10 |
ROPS (чтение, операций в секунду) |
WOPS (запись, операций в секунду) |
Объем дискового массива RAID 10 (ТБ) |
Количество дисков в массиве RAID 10 |
|||||
10 000 |
0 |
0 |
160 |
24 |
100 |
1000 |
1 |
4 |
800 |
800 |
4 |
10 |
1000 |
1 |
200 |
112 |
40 |
100 |
1000 |
1,9 |
4 |
600 |
600 |
1,3 |
4 |
5000 |
5 |
2000 |
160 |
28 |
100 |
1000 |
1,9 |
4 |
300 |
300 |
2,5 |
6 |
10 000 |
20 |
4000 |
208 |
40 |
100 |
1000 |
1,9 |
4 |
1000 |
800 |
4 |
12 |
Требования к каналам связи
Минимальные требования к каналу связи между компьютерами с компонентом Endpoint Agent и сервером с компонентом Central Node приведены в таблице ниже.
Минимальные требования к каналу связи между компьютерами с компонентом Endpoint Agent и сервером с компонентом Central Node
Максимальное количество хостов с Kaspersky Endpoint Agent для Windows |
Требуемая пропускная способность канала связи, зарезервированная для компонентов Endpoint Agent для Windows (Мбит/с) |
|---|---|
10 |
1 |
50 |
2 |
100 |
3 |
1000 |
20 |
10 000 |
200 |
Минимальные требования к каналу связи между серверами PCN и SCN в режиме распределенного решения приведены в таблице ниже.
Минимальные требования к каналу связи между серверами PCN и SCN
Максимальное количество хостов с Kaspersky Endpoint Agent для Windows |
Максимальное количество сообщений электронной почты в секунду |
Максимальный объем трафика со SPAN-портов (Мбит/с) |
Требуемая пропускная способность канала связи (Мбит/с) |
|---|---|---|---|
5000 |
5 |
2000 |
20 |
10 000 |
20 |
4000 |
30 |
Аппаратные требования к серверам кластера Central Node
Кластер должен включать минимум 4 сервера: 2 сервера хранения и 2 обрабатывающих сервера. Если вы хотите обрабатывать трафик от 15 000 хостов с программой Kaspersky Endpoint Agent, вам нужно минимум 2 сервера хранения и 2 обрабатывающих сервера. Для обработки трафика от 30 000 хостов с программой Kaspersky Endpoint Agent вам требуется не менее 2 серверов хранения и 3 обрабатывающих серверов.
Каждый сервер кластера должен иметь два сетевых адаптера для настройки кластерной и внешней подсети. Кластерная подсеть должна функционировать со скоростью 10 Гбит/с. Внешняя подсеть должна функционировать со скоростью 1 Гбит/с.
Для кластерной подсети также должны выполняться следующие требования:
- В кластерную подсеть должны входить только серверы кластера и сетевые коммутаторы.
- Серверы кластера должны находиться в одном L1- или L2-сегменте. Для этого вы можете подключить все серверы кластера к одному коммутатору или использовать программное туннелирование. Например, L2TPv3 или Overlay Transport Virtualization (OTV).
- Значение сетевой задержки ("network latency") должно удовлетворять требованию "single digit latency", то есть в миллисекундах значение должно быть менее 10.
Аппаратные требования к серверам кластера при использовании функциональности KEDR приведены в таблице ниже.
Аппаратные требования к обрабатывающим серверам при использовании функциональности KEDR
Минимальный объем оперативной памяти (ГБ) |
Минимальное количество логических ядер |
Тип массива RAID |
Количество дисков в массиве RAID |
Объем одного жесткого диска (ГБ) |
|---|---|---|---|---|
256 |
48 |
RAID 1 |
2 |
1200 |
Аппаратные требования к серверам хранения при использовании функциональности KEDR
Минимальный объем оперативной памяти (ГБ) |
Минимальное количество логических ядер |
Первая дисковая подсистема |
Вторая дисковая подсистема |
|||
|---|---|---|---|---|---|---|
Тип массива RAID |
Количество дисков в массиве RAID |
Объем одного жесткого диска (ГБ) |
Количество дисков |
Объем одного жесткого диска (ГБ) |
||
128 |
16 |
RAID 1 |
2 |
1200 |
6 |
1200 |
Требования к скорости дисковых подсистем аналогичны требованиям, указанным в таблице Аппаратные требования к серверу с компонентом Central Node при использовании функциональности KEDR (см. выше).
Расчеты для компонента Sandbox
Аппаратные требования к серверу с компонентом Sandbox зависят от типа и объема обрабатываемого трафика и от допустимого времени проверки объекта.
По умолчанию допустимое время проверки объекта составляет 1 час. Для уменьшения этого времени требуется более мощный сервер или большее количество серверов с компонентом Sandbox.
Рекомендуется рассчитывать конфигурацию компонента Sandbox следующим образом:
- Установите компоненты Central Node и Sensor на одном сервере и компонент Sandbox на другом сервере для пилотирования программы.
Для получения достаточных статистических данных необходимо, чтобы программа обрабатывала трафик организации в течение недели.
- Запустите скрипт для записи данных, выполнив команды:
kata-collect --output-dir path-to-folder--output-dir <путь к директории>Когда скрипт завершит работу, в указанную директорию будет помещен архив collect.tar.gz.
- Передайте этот архив для анализа сотрудникам "Лаборатории Касперского".
При одновременном запуске нескольких виртуальных машин скорость обработки объектов из очереди увеличивается.
Аппаратные требования к серверу с компонентом Sandbox
Расчет количества серверов с компонентом Sandbox в зависимости от нагрузки приведен в таблице ниже.
Аппаратные требования к компоненту Sandbox в зависимости от объема обрабатываемого трафика
Максимальное количество сообщений электронной почты в секунду |
Максимальный объем трафика со SPAN-портов (Мбит/с) |
Максимальное количество компьютеров с Kaspersky Endpoint Agent для Windows |
Количество физических серверов с компонентом Sandbox |
|
|---|---|---|---|---|
При использовании |
При использовании |
|||
1 |
200 |
1000 |
1 |
1 |
2 |
500 |
3000 |
1 |
1 |
1 |
1000 |
5000 |
1 |
1 |
5 |
2000 |
5000 |
1 |
1 |
20 |
4000 |
10000 |
2 |
3 |
Оценка количества компонентов Sandbox приведена для серверов следующей конфигурации:
- При установке компонента Sandbox на физический сервер:
- 2 процессора Intel Xeon 8 Core (HT) с частотой 2,6 ГГц или выше.
- 80 ГБ оперативной памяти.
- 2 HDD объемом 300 ГБ каждый, объединенные в массив RAID 1.
- При установке компонента Sandbox на виртуальную машину VMware ESXi:
- Процессор Intel Xeon 15 Core (HT) с частотой 2,1 ГГц или выше;
- 32 ГБ оперативной памяти;
- HDD объемом 300 ГБ.
На виртуальной машине:
- Разрешена вложенная виртуализация.
- Установлены параметры High Latency Sensitivity.
- Зарезервирована вся оперативная память.
- Зарезервирована вся частота процессора.
При установке компонента Sandbox на виртуальную машину VMware ESXi нужно установить ограничение для количества одновременно запускаемых виртуальных машин – 12.
3-4 виртуальные машины компонента Sandbox обеспечивают такую же производительность, как один компонент Sandbox на физическом сервере.