Руководство по масштабированию

В этом руководстве представлена информация по масштабированию Kaspersky Security Center.

Об этом руководстве

Руководство по масштабированию Kaspersky Security Center 14 (далее также Kaspersky Security Center) адресовано специалистам, которые осуществляют установку и администрирование Kaspersky Security Center, и специалистам, которые осуществляют техническую поддержку организаций, использующих Kaspersky Security Center.

Все рекомендации и расчеты приведены для сетей, в которых Kaspersky Security Center управляет защитой устройств (в том числе мобильных) с установленным программным обеспечением "Лаборатории Касперского". Если мобильные (или любые другие) управляемые устройства, необходимо рассматривать отдельно, это специально оговаривается.

Для достижения и сохранения оптимальной производительности при различных условиях работы вам нужно учитывать количество устройств в сети, топологию сети и необходимый вам набор функций Kaspersky Security Center.

В руководстве приведена следующая информация:

• Ограничения Kaspersky Security Center
• о расчетах для ключевых узлов Kaspersky Security Center – Серверов администрирования и точек распространения:
  • об аппаратных требованиях к Серверам администрирования и к точкам распространения;
  • о расчете количества и иерархии Серверов администрирования;
  • о расчетах количества и конфигурации точек распространения;
• о настройке параметров сохранения событий в базе данных в зависимости от числа устройств в сети;
• общепринятые лучшие практики для оптимизации производительности;
• о настройке параметров некоторых задач для обеспечения оптимальной производительности Kaspersky Security Center;
• о потреблении трафика (нагрузке на сеть) между Сервером администрирования Kaspersky Security Center и каждым защищаемым устройством.

Рекомендуется обращаться к этому руководству в следующих ситуациях:

• при планировании ресурсов перед установкой Kaspersky Security Center;
• при планировании существенных изменений размеров сети, в которой развернут Kaspersky Security Center;
• при переходе от использования Kaspersky Security Center в ограниченном сегменте сети (тестовая среда) к полномасштабному развертыванию Kaspersky Security Center в корпоративной сети;
• при изменениях в наборе используемых функций Kaspersky Security Center.

Информация об ограничениях Kaspersky Security Center

В таблице ниже приведены ограничения текущей версии Kaspersky Security Center.

Ограничения Kaspersky Security Center

Расчеты для Серверов администрирования

В этом разделе приведены аппаратные и программные требования для устройств, которые используются в качестве Серверов администрирования. Также даны рекомендации для расчета количества Серверов администрирования и их иерархии, в зависимости от конфигурации сети организации.

Расчет аппаратных ресурсов для Сервера администрирования

В этом разделе приведены расчеты, которыми можно руководствоваться при планировании аппаратных ресурсов для Сервера администрирования. Отдельно приводится рекомендация по расчету места на диске при использовании Системного администрирования.

Аппаратные требования для СУБД и Сервера администрирования

В таблицах ниже приведены рекомендуемые минимальные аппаратные требования СУБД и Сервера администрирования, полученные в ходе тестирования. Полный список поддерживаемых операционных систем и СУБД см. в перечне аппаратных и программных требований.

Сервер администрирования и СУБД на разных устройствах, в сети 50 000 устройств

Конфигурация устройства с Сервером администрирования

Конфигурация устройства с СУБД

Сервер администрирования и СУБД на одном устройстве, в сети 50 000 устройств

Конфигурация устройства с Сервером администрирования и СУБД

Сервер администрирования и СУБД на разных устройствах, в сети 100 000 устройств

Конфигурация устройства с Сервером администрирования

Конфигурация устройства с СУБД

Тестирование проводилось со следующими настройками:

• на Сервере администрирования включено автоматическое назначение точек распространения, либо точки распространения назначены вручную по рекомендуемой таблице;
• задача резервного копирования сохраняет резервные копии на файловый ресурс, расположенный на отдельном сервере;
• период синхронизации Агентов администрирования настроен в соответствии с таблицей ниже.

  Период синхронизации Агентов администрирования

  Период синхронизации, минуты	Количество управляемых устройств
  15	10 000
  30	20 000
  45	30 000
  60	40 000
  75	50 000
  150	100 000

Расчет места в базе данных

Место, которое будет занято в базе данных, можно приблизительно оценить по следующей формуле:

(600 * C + 2.3 * E + 2.5 * A + 1.2 * N * F), КБ,

где

• "C" – количество устройств.
• "E" – количество сохраняемых событий.
• "A" – суммарное количество объектов Active Directory:
  • учетных записей устройств;
  • учетные записи пользователей;
  • учетных записей групп безопасности;
  • подразделений Active Directory.

  Если сканирование Active Directory выключено, то "A" следует считать равным нулю.

• N – среднее количество инвентаризируемых исполняемых файлов на конечном устройстве.
• F – количество конечных устройств, на которых были инвентаризированы исполняемые файлы.

Если вы планируете включить в параметрах политики Kaspersky Endpoint Security информирование Сервера администрирования о запускаемых программах, то для хранения информации о запускаемых программах в базе данных дополнительно потребуется (0,03 * С) ГБ.

Если Сервер администрирования распространяет обновления Windows (играет роль Windows Server Update Services), то в базе данных дополнительно потребуется 2,5 ГБ.

В ходе работы в базе данных всегда образуется так называемое незанятое пространство (unallocated space). Поэтому реальный размер файла базы данных (по умолчанию файл KAV.MDF в случае использования СУБД "SQL Server") часто оказывается примерно в два раза больше, чем занятое в базе данных место.

Не рекомендуется явно ограничивать размер журнала транзакций (по умолчанию файл KAV_log.LDF, если вы используете SQL Server в качестве СУБД). Рекомендуется оставить значение параметра MAXSIZE по умолчанию. Если вам необходимо ограничить размер этого файла, нужно учесть, что необходимое значение параметра MAXSIZE для KAV_log.LDF составляет 20480 МБ.

Расчет места на диске (с учетом и без учета использования Системного администрирования)

Расчет места на диске без учета использования Системного администрирования

Место на диске Сервера администрирования, требуемое для папки %ALLUSERSPROFILE%\Application Data\KasperskyLab\adminkit, можно приблизительно оценить по формуле:

(724 * C + 0.15 * E + 0.17 * A), КБ

где

• "C" – количество устройств.
• "E" – количество сохраняемых событий.
• "A" – суммарное количество объектов Active Directory:
  • учетных записей устройств;
  • учетные записи пользователей;
  • учетных записей групп безопасности;
  • подразделений Active Directory.

Если сканирование Active Directory выключено, то "A" следует считать равным нулю.

Расчет дополнительного места на диске с учетом использования Системного администрирования

• Обновления. В папке общего доступа требуется дополнительно не менее 4 ГБ для хранения обновлений.
• Инсталляционные пакеты. При наличии на Сервере администрирования инсталляционных пакетов в папке общего доступа дополнительно потребуется количество места, равное суммарному размеру устанавливаемых имеющихся инсталляционных пакетов.
• Задачи удаленной установки. При наличии на Сервере администрирования задач удаленной установки на диске дополнительно потребуется количество места на диске (в папке %ALLUSERSPROFILE%\Application Data\KasperskyLab\adminkit), равное суммарному размеру устанавливаемых инсталляционных пакетов.
• Патчи. Если Сервер администрирования используется для установки патчей, то потребуется дополнительное место на диске:
  • Папка для хранения патчей должна иметь объем дискового пространства, равный суммарному размеру всех загруженных патчей. По умолчанию патчи хранятся в папке %ALLUSERSPROFILE%\Application Data\KasperskyLab\adminkit\1093\.working\wusfiles.

    Вы можете использовать утилиту klsrvswch, чтобы указать другую папку для хранения патчей. Утилита klsrvswch расположена в папке установки Сервера администрирования. Путь установки по умолчанию: <Диск>:\Program Files (x86)\Kaspersky Lab\Kaspersky Security Center.

    Если Сервер администрирования используется в качестве WSUS, то рекомендуется зарезервировать под эту папку не менее 100 ГБ.

  • В папке %ALLUSERSPROFILE%\Application Data\KasperskyLab\adminkit – количество места, равное суммарному размеру тех патчей, на которые ссылаются имеющиеся экземпляры задачи установки обновлений (патчей) и закрытия уязвимостей.

Расчет количества и конфигурации Серверов администрирования

Чтобы снизить нагрузку на главный Сервер администрирования, вы можете назначить в каждую группу администрирования отдельный Сервер администрирования. Количество Серверов администрирования, подчиненных главному Серверу, не может превышать 500.

Рекомендуется выстраивать конфигурацию Серверов администрирования в зависимости от того, как настроена сеть в вашей организации.

Рекомендации по подключению динамических виртуальных машин к Kaspersky Security Center

Динамические виртуальные машины потребляют больше ресурсов, чем статические виртуальные машины.

Дополнительные сведения о динамических виртуальных машинах см. Поддержка динамических виртуальных машин.

При подключении новой динамической виртуальной машины Kaspersky Security Center создает значок этой динамической виртуальной машины в Консоли администрирования и перемещает динамическую виртуальную машину в группу администрирования. После этого динамическая виртуальная машина добавляется в базу данных Сервера администрирования. Сервер администрирования полностью синхронизирован с Агентом администрирования, установленным на этой динамической виртуальной машине.

В сети организации Агент администрирования создает для каждой динамической виртуальной машины следующие сетевые списки:

• оборудование;
• установленное программное обеспечение;
• обнаруженные уязвимости;
• события и списки исполняемых файлов компонента Контроль программ.

Агент администрирования передает эти сетевые списки на Сервер администрирования. Размер сетевых списков зависит от компонентов, установленных на динамической виртуальной машине, и может влиять на производительность Kaspersky Security Center и системы управления базами данных (СУБД). Обратите внимание, что нагрузка может расти нелинейно.

После того, как пользователь заканчивает работу с динамической виртуальной машиной и выключает ее, эта машина удаляется из виртуальной инфраструктуры, записи о ней удаляются из базы данных Сервера администрирования.

Все эти действия используют много ресурсов базы данных Kaspersky Security Center и Сервера администрирования и могут снизить производительность Kaspersky Security Center и СУБД. Рекомендуется подключать к Kaspersky Security Center до 20 000 динамических виртуальных машин.

Вы можете подключить к Kaspersky Security Center более 20 000 динамических виртуальных машин, если подключенные динамические виртуальные машины выполняют стандартные операции (например, обновление баз) и потребляют не более 80% памяти и 75–80% доступных ядер.

Изменение параметров политики, программного обеспечения или операционной системы на динамической виртуальной машине может уменьшить или увеличить потребление ресурсов. Оптимальным считается потребление 80–95% ресурсов.

Расчеты для точек распространения и шлюзов соединений

В этом разделе приведены аппаратные требования к устройствам, которые используются в качестве точек распространения, и рекомендации по расчету количества точек распространения и шлюзов соединений в зависимости от конфигурации сети организации.

Требования для точки распространения

Чтобы обрабатывать до 10 000 клиентских устройств, точка распространения должна отвечать следующим минимальным требованиям (предоставлена конфигурация тестового стенда):

• Процессор: Intel Core i7-7700 CPU, 3.60 ГГц, 4 ядра.
• Оперативная память: 8 ГБ.
• Свободное место на диске: 120 ГБ.

Не рекомендуется назначать Сервер администрирования в качестве точки распространения, так как это увеличит нагрузку на Сервер администрирования.

При наличии на Сервере администрирования задач удаленной установки, на устройстве с точкой распространения дополнительно потребуется дисковое пространство, равное суммарному размеру устанавливаемых инсталляционных пакетов.

При наличии на Сервере администрирования одного или нескольких экземпляров задачи установки обновлений (патчей) и закрытия уязвимостей на устройстве с точкой распространения дополнительно потребуется дисковое пространство, равное удвоенному суммарному размеру всех устанавливаемых патчей.

Если вы используете схему, по которой точки распространения получают обновления баз и программных модулей напрямую с серверов обновлений "Лаборатории Касперского", точки распространения должны быть подключены к сети интернет.

Расчет количества и конфигурации точек распространения

Чем больше клиентских устройств содержит сеть, тем больше требуется точек распространения. Рекомендуется не отключать автоматическое назначение точек распространения. При включенном автоматическом назначении точек распространения Сервер администрирования назначает точки распространения, если число клиентских устройств достаточно велико, и определяет их конфигурацию.

Использование специально выделенных точек распространения

Если вы планируете использовать в качестве точек распространения какие-то определенные устройства (например, выделенные для этого серверы), то можно не использовать автоматическое назначение точек распространения. В этом случае убедитесь, что устройства, которые вы хотите назначить точками распространения, имеют достаточно свободного места на диске, их не отключают регулярно и на них выключен "спящий режим".

Число уникально назначенных точек распространения в сети, содержащей один сегмент, в зависимости от количества сетевых устройств

Число уникально назначенных точек распространения в сети, содержащей несколько сегментов, в зависимости от количества сетевых устройств

Использование клиентских устройств (рабочих станций) в качестве точек распространения

Если вы планируете использовать в качестве точек распространения обычное клиентское устройство (рабочую станцию), то рекомендуется назначать точку распространения, как показано в таблице ниже, чтобы избежать чрезмерной нагрузки на каналы связи и Сервер администрирования:

Число рабочих станций, выполняющих роль точек распространения в сети, которая содержит один сегмент сети, в зависимости от количества сетевых устройств

Число рабочих станций, выполняющих роль точек распространения в сети, которая содержит несколько сегментов сети, в зависимости от количества сетевых устройств

Если точка распространения отключена или по другим причинам недоступна, то управляемые устройства из области действия этой точки распространения могут обращаться за обновлениями к Серверу администрирования.

Расчет количества шлюзов соединений

Если вы планируете использовать шлюз соединений, рекомендуется использовать выделенное устройство для этой функции.

Один шлюз соединений обслуживает не более 10 000 управляемых устройств, включая мобильные устройства.

Хранение информации о событиях для задач и политик

В этом разделе приведены расчеты, связанные с хранением событий в базе данных Сервера администрирования, и даны рекомендации, как минимизировать количество событий и таким образом снизить нагрузку на Сервер администрирования.

По умолчанию в свойствах каждой задачи и каждой политики указано сохранение в журнале всех событий, связанных с выполнением задачи и применением политики.

Однако если задача запускается достаточно часто (например, более одного раза в неделю) и на достаточно большом количестве устройств (например, более 10 000), количество событий может оказаться слишком большим, и события могут заполнить базу данных. В таком случае рекомендуется указать в свойствах задачи один из двух других вариантов:

• Сохранять события, связанные с ходом выполнения задачи. В этом случае с каждого устройства, на котором выполнена задача, в базу данных поступает только информация о запуске задачи, о ее ходе и о ее выполнении (успешном, с предупреждением либо с ошибкой).
• Сохранять только результат выполнения задачи. В этом случае с каждого устройства, на котором выполнена задача, в базу данных поступает только информация о выполнении задачи (успешном, с предупреждением либо с ошибкой).

Если политика определена для достаточно большого количества устройств (например, более 10 000), количество событий также может оказаться слишком большим, и события могут заполнить базу данных. В таком случае рекомендуется выбрать в свойствах политики только наиболее важные события и включить их сохранение. Сохранение всех других событий рекомендуется отключить.

Таким образом вы уменьшаете количество событий в базе данных, увеличиваете скорость работы сценариев, связанных с анализом таблицы событий в базе данных, и снижаете риск вытеснения критических событий большим количеством событий.

Вы также можете уменьшить срок хранения событий, связанных с задачей или политикой. По умолчанию этот срок составляет семь дней для событий, связанных с задачей, и 30 дней для событий, связанных с политикой. При изменении срока хранения событий принимайте в расчет порядок работы, принятый в вашей организации, и количество времени, которое системный администратор может уделять анализу каждого события.

Вносить изменения в параметры хранения событий целесообразно в любом из следующих случаев:

• события об изменении промежуточных состояний групповых задач и о применении политик занимают значительный процент всех событий в базе данных Kaspersky Security Center;
• в журнале событий Kaspersky Event Log появляются записи об автоматическом удалении событий при превышения заданного лимита на общее число событий, хранимых в базе данных.

Выберите параметры регистрации событий, исходя из того, что оптимальное количество событий, поступающих с одного устройства в день, не должно превышать 20. Вы можете немного увеличить максимальное количество событий, если это необходимо, но только в том случае, если количество устройств в вашей сети относительно невелико (менее 10 000).

Особенности и оптимальные параметры некоторых задач

Некоторые задачи имеют особенности, связанные с количеством устройств в сети. В этом разделе даны рекомендации по оптимальной настройке параметров для таких задач.

Обнаружение устройств, задача резервного копирования данных, задача обслуживания базы данных и групповые задачи обновления Kaspersky Endpoint Security входят в базовую функциональность Kaspersky Security Center.

Задача инвентаризации входит в возможность Системного администрирования и недоступна, если эта возможность не активирована.

Частота обнаружения устройств

Не рекомендуется увеличивать установленную по умолчанию частоту поиска устройств, так как это может создать чрезмерную нагрузку на контроллеры домена. Рекомендуется, наоборот, устанавливать расписание опроса с минимально возможной частотой, насколько позволяют потребности вашей организации. В таблице ниже приведены рекомендации по расчету оптимального расписания.

Расписание обнаружения устройств

Задачи резервного копирования данных Сервера администрирования и обслуживания Сервера администрирования

Сервер администрирования перестает функционировать во время выполнения следующих задач:

• Резервное копирование данных Сервера администрирования.
• Обслуживание Сервера администрирования.

Пока выполняются эти задачи, данные не могут поступать в базу данных.

Вам может потребоваться изменить расписание этих задач так, чтобы их выполнение не пересекалось по времени с выполнением других задач Сервера администрирования.

Групповые задачи обновления Kaspersky Endpoint Security

Если источником обновлений является Сервер администрирования, то для групповых задач обновления Kaspersky Endpoint Security версии 10 и выше рекомендуется расписание При загрузке обновлений в хранилище с установленным флажком Автоматически определять интервал для распределения запуска задачи.

Если вы создали на каждой точке распространения локальную задачу загрузки обновлений в хранилище с серверов "Лаборатории Касперского", то для групповой задачи обновления Kaspersky Endpoint Security рекомендуется задать периодическое расписание. Значение периода автономизации в этом случае должно составлять один час.

Задача Инвентаризации

Вы можете снизить нагрузку на базу данных при получении информации о выполняемых файлах. Для этого рекомендуется запускать задачу инвентаризации для Kaspersky Endpoint Security на нескольких эталонных устройствах, на которых установлен стандартный набор программ.

Количество исполняемых файлов, получаемых Сервером администрирования от одного устройства, не может превышать 150 000. При достижении этого ограничения Kaspersky Security Center не получит новые файлы.

Количество файлов на обыкновенном клиентском устройстве, как правило, составляет не более 60 000. Количество исполняемых файлов на файловом сервере может быть больше и может даже превышать порог в 150 000.

Тестовые замеры показали, что на устройстве под управлением операционной системы Windows 7, на котором установлена программа Kaspersky Endpoint Security 11 и не установлены никакие сторонние программы, результаты выполнения задачи инвентаризации следующие:

• Когда флажки Инвентаризация DLL-модулей и Инвентаризации файлов скриптов сняты: около 3000 файлов.
• Когда флажки Инвентаризация DLL-модулей и Инвентаризации файлов скриптов установлены: от 10 000 до 20 000 файлов, в зависимости от количества установленных пакетов обновлений операционной системы.
• Когда установлен только флажок Инвентаризации файлов скриптов: приблизительно 10 000 файлов.

Информация о нагрузке на сеть между Сервером администрирования и защищаемыми устройствами

В этом разделе приводятся результаты тестовых замеров трафика в сети с указанием условий, при которых проводились замеры. Вы можете использовать эту информацию как справочную при планировании сетевой инфраструктуры и пропускной способности каналов внутри организации (либо между Сервером администрирования и организацией, в которой расположены защищаемые устройства). Зная пропускную способность сети, вы также можете приблизительно оценивать, сколько времени должна занять та или иная операция, связанная с передачей данных.

Расход трафика при выполнении различных сценариев

В таблице ниже приводятся результаты тестовых замеров трафика между Сервером администрирования и управляемым устройством при выполнении различных сценариев.

Синхронизация устройства с Сервером администрирования происходит по умолчанию раз в 15 минут либо реже. Однако если вы меняете на Сервере администрирования параметры политики или задачи, то происходит досрочная синхронизация устройств, для которых применима эта политика (или задача), и новые параметры передаются на устройства.

Трафик между Сервером администрирования и управляемым устройством

Средний расход трафика за сутки

Средний расход трафика за сутки между Сервером администрирования и управляемым устройством:

• Трафик от Сервера к управляемому устройству – 840 КБ.
• Трафик от управляемого устройства к Серверу – 1 МБ.

Трафик был измерен при следующих условиях:

• На управляемом устройстве были установлены Агент администрирования и Kaspersky Endpoint Security 11.6 для Windows.
• Устройство не было назначено точкой распространения.
• Системное администрирование не было включено.
• Период синхронизации с Сервером администрирования составляло 15 минут.