Расчеты для компонента Sensor
15 ноября 2023
ID 211923
Данные расчеты применимы также при развертывании приложения на виртуальной платформе.
При расчете аппаратных требований к компоненту Sensor требуется учитывать, что максимальный объем обрабатываемого трафика для одного компонента Sensor составляет 4 Гбит/с. Наиболее ресурсоемкой технологией является Intrusion Detection System.
Вы можете использовать сервер с компонентом Sensor в качестве прокси-сервера при обмене данными между компонентами Endpoint Agent и компонентом Central Node, чтобы упростить настройку сетевых правил. Например, если компоненты Endpoint Agent находятся в отдельном сегменте сети, то будет достаточно настроить соединение между серверами с компонентами Central Node и Sensor.
При настройке перенаправления трафика с компонентов Endpoint Agent на компонент Central Node учитывайте следующие ограничения:
- Максимальное количество компьютеров с компонентом Endpoint Agent, подключенных к одному компоненту Central Node, составляет 15 000 шт.
- Максимально допустимые потери пакетов, пересылаемых между серверами с компонентами Sensor и Central Node, составляют 10% при задержке отправки пакетов до 100 мс.
Аппаратные требования к серверу с компонентом Sensor зависят от объема обрабатываемого трафика. Требуемая пропускная способность канала связи между серверами с компонентами Central Node и Sensor определяется по следующей формуле:
10% от трафика на SPAN-порте при обычной нагрузке или 20% от трафика на SPAN-порте при пиковой нагрузке + почтовый трафик + трафик по протоколу ICAP + требования к каналу связи между компонентами Central Node и Endpoint Agent
Требования к каналу связи между компонентами Central Node и Endpoint Agent зависят от количества компонентов Endpoint Agent, трафик которых перенаправляется компонентом Sensor на компонент Central Node. Подробнее о требованиях к каналу связи между компонентами см. в разделе Расчеты для компонента Central Node → Требования к каналам связи.
Если пропускная способность канала связи составляет более 2 Гбит/с, требуется настроить использование одного ядра для обработки сетевых прерываний.
Аппаратные требования к компоненту Sensor в зависимости от обрабатываемого трафика
Компонент Sensor может быть интегрирован с IT-инфраструктурой организации следующими способами:
- получение зеркалированного трафика от сетевых устройств со SPAN-портов;
- подключение к почтовому серверу по протоколу POP3;
- подключение к почтовому серверу по протоколу SMTP;
- получение трафика от прокси-сервера по протоколу ICAP.
Аппаратные требования к компоненту Sensor приведены в таблице ниже. Расчеты приведены для случая, когда компонент Sensor не обрабатывает сообщения электронной почты и трафик по протоколу ICAP. Если компонент Sensor осуществляет перенаправление трафика компонентов Endpoint Agent, следует также учитывать требования к каналам связи.
Аппаратные требования к компоненту Sensor в зависимости от объема обрабатываемого трафика со SPAN-портов
Количество компонентов Endpoint Agent | Объем обрабатываемого трафика (Мбит/c) | Минимальный объем оперативной памяти (ГБ) | Минимальное количество логических ядер |
|---|---|---|---|
10000 | 100 | 16 | 4 |
15000 | 500 | 16 | 8 |
15000 | 1000 | 24 | 16 |
15000 | 2000 | 32 | 32 |
15000 | 4000 | 32 | 48 |
Аппаратные требования к компоненту Sensor, интегрированному с почтовым сервером, приведены в таблице ниже. Расчеты приведены для случая, когда компонент Sensor не обрабатывает зеркалированный трафик и трафик по протоколу ICAP.
Аппаратные требования к компоненту Sensor, интегрированному с почтовым сервером
Количество сообщений электронной почты в секунду | Минимальный объем оперативной памяти (ГБ) | Минимальное количество логических ядер |
|---|---|---|
1–4 | 16 | 4 |
5–20 | 16 | 8 |
Для обработки трафика по протоколу ICAP требуется меньше ресурсов, чем для обработки сообщений электронной почты.
Если один компонент Sensor обрабатывает трафик по нескольким протоколам, то для расчета конфигурации сервера рекомендуется использовать калькулятор масштабирования. При этом следует учитывать следующие рекомендации:
- Одновременная обработка трафика по протоколу ICAP и со SPAN-портов рекомендуется для анализа объектов, передаваемых через прокси-сервер по протоколу HTTPS.
Для обработки трафика по протоколу HTTPS прокси-сервер должен поддерживать смену сертификата сервера.
- При настроенной интеграции с почтовыми сенсорами нецелесообразно извлекать SMTP-трафик из SPAN-трафика.
Требования к дисковому пространству на сервере с компонентом Sensor
Рекомендуется использовать дисковый массив RAID 1. Общий объем дискового пространства должен составлять не менее 500 ГБ. Минимальные требования к свободному дисковому пространству для разных типов данных приведены в таблице ниже.
Минимальные требования к дисковому пространству на сервере с компонентом Sensor
Тип данных | Дисковое пространство (ГБ) |
|---|---|
Дамп базы данных Redis | 16 |
Операционная система | 25 |
Временные файлы | 32 |
Файлы трассировок и пакеты обновлений | 151 |
Всего | 224 |
При объеме обрабатываемого трафика более 1 Гбит/с рекомендуется выделить не менее 600 ГБ дискового пространства.
