Требования к устройствам с сервисами KUMA

Сервисы KUMA (коллекторы, корреляторы и хранилища) устанавливаются на устройствах, находящихся за пределами кластера Kubernetes. Аппаратные и программные требования для этих устройств описаны в этой статье.

Рекомендованные аппаратные и программные требования

В этом разделе перечислены аппаратные и программные требования для обработки потока данных до 40 000 событий в секунду (EPS). Значение нагрузки KUMA зависит от типа анализируемых событий и эффективности нормализатора.

Для повышения эффективности обработки событий количество ядер процессора важнее тактовой чистоты. Например, 8 ядер процессора со средней тактовой частотой могут обрабатывать события эффективнее, чем 4 ядра процессора с высокой тактовой частотой. В таблице ниже перечислены аппаратные и программные требования компонентов KUMA.

Объем оперативной памяти, используемой коллектором, зависит от настроенных способов обогащения (DNS, учетные записи, активы, обогащение данными из Kaspersky CyberTrace) и от того, используется ли агрегирование. На потребление оперативной памяти влияют параметры окна агрегации данных, количество полей, используемых для агрегации данных, объем данных в агрегируемых полях.

Например, с потоком событий 1000 EPS и отключенным обогащением событий (обогащение событий отключено, агрегация событий отключена, 5000 учетных записей, 5000 активов на одного тенанта) одному коллектору требуются следующие ресурсы:

1 процессорное ядро или 1 виртуальный процессор;
512 МБ оперативной памяти;
1 ГБ дискового пространства (без учета кеша событий).

Например, для 5 коллекторов, которые не выполняют обогащение событий, потребуется выделить следующие ресурсы: 5 процессорных ядер, 2,5 ГБ оперативной памяти и 5 ГБ свободного дискового пространства.

Рекомендуемые аппаратные и программные требования для установки сервисов KUMA

	Коллектор	Коррелятор	Хранилище

Процессор	Intel или AMD с поддержкой SSE 4.2: от 4 ядер 8 потоков или 8 виртуальных процессоров.	Intel или AMD с поддержкой SSE 4.2: от 4 ядер 8 потоков или 8 виртуальных процессоров.	Intel или AMD с поддержкой SSE 4.2: от 12 ядер 24 потоков или 24 виртуальных процессоров.
ОЗУ	16 ГБ	16 ГБ	48 ГБ
Свободное место диске	Размер директории /opt: от 500 ГБ.	Размер директории /opt: от 500 ГБ.	Размер директории /opt: от 500 ГБ.
Операционные системы	Ubuntu 22.04 LTS (Jammy Jellyfish). Oracle Linux 8.6, 8.7, 9.2, 9.4. Astra Linux Special Edition РУСБ.10015-01 (2021-1126SE17 обновление 1.7.1). Astra Linux Special Edition РУСБ.10015-01 (2022-1011SE17MD обновление 1.7.2.UU.1). Astra Linux Special Edition РУСБ.10015-01 (2022-1110SE17 обновление 1.7.3). Требуется версия ядра 5.15.0.33 или выше. Astra Linux Special Edition РУСБ.10015-01 (2023-0630SE17MD обновление 1.7.4.UU.1). Astra Linux Special Edition РУСБ.10015-01 (2023-1023SE17MD обновление 1.7.5).
Пропускная способность сети	100 Мбит/с	100 Мбит/с	Скорость передачи данных между узлами ClickHouse должна быть не менее 10 Гбит/с, если поток данных превышает 20 000 EPS.

Установка KUMA поддерживается в следующих виртуальных средах:

VMware 6.5 и выше.
Hyper-V for Windows Server 2012 R2 и выше.
QEMU-KVM 4.2 и выше.
Программный комплекс средств виртуализации "Брест" РДЦП.10001-02.

Рекомендации "Лаборатории Касперского" для серверов хранения

Для серверов хранения данных специалисты "Лаборатории Касперского" рекомендуют следующее:

Ставьте ClickHouse на твердотельные накопители (SSD). Твердотельные накопители помогают повысить скорость доступа к данным. Жесткие диски можно использовать для хранения данных с помощью технологии HDFS.
Чтобы подключить систему хранения данных к серверам хранения, используйте высокоскоростные протоколы, такие как Fibre Channel или iSCSI 10G. Не рекомендуется использовать протоколы уровня приложений, например NFS и SMB, для подключения систем хранения данных.
Используйте файловую систему ext4 на кластерных серверах ClickHouse.
Если вы используете RAID-массивы, используйте RAID 0 для высокой производительности или RAID 10 для высокой производительности и отказоустойчивости.
Для обеспечения отказоустойчивости и производительности подсистемы хранения данных, убедитесь, что узлы ClickHouse разворачиваются строго на разных дисковых массивах.
Если вы используете виртуализированную инфраструктуру для размещения компонентов системы, разворачивайте узлы кластера ClickHouse на разных гипервизорах. В этом случае необходимо запретить двум виртуальным машинам с ClickHouse работать с одним гипервизором.
Для высоконагруженных установок KUMA установите ClickHouse на физических серверах.

Требования к устройствам для установки агентов

Чтобы данные отправлялись в коллектор KUMA, необходимо установить агенты на устройствах сетевой инфраструктуры. Требования к аппаратному и программному обеспечению перечислены в таблице ниже.

Рекомендуемые аппаратные и программные требования для установки агентов

	Устройства с операционной системой Windows	Устройства с операционной системой Linux
Процессор	Одноядерный, 1.4 ГГц или выше	Одноядерный, 1.4 ГГц или выше
ОЗУ	512 МБ	512 МБ
Свободное место диске	1 ГБ	1 ГБ
Операционные системы	Microsoft Windows 2012. Microsoft Windows Server 2012 R2. Microsoft Windows Server 2016. Microsoft Windows Server 2019. Microsoft Windows 10 20H2, 21H1.	Astra Linux Special Edition РУСБ.10015-01 (2023-0426SE17 обновление 1.7.4). Ubuntu 22.04 LTS (Jammy Jellyfish). Debian 11.7 (Bullseye).

В начало