Расчеты для компонента Sensor
12 августа 2024
ID 211923
Эти расчеты применимы также при развертывании приложения на виртуальной платформе.
При расчете аппаратных требований к компоненту Sensor требуется учитывать, что максимальный объем обрабатываемого трафика составляет 10 Гбит/с. Для обработки трафика максимального объема можно использовать как один Sensor, установленный на отдельном сервере, так и несколько Sensor, установленных на отдельных серверах, которые подключены к одному Central Node. Суммарный объем передаваемого трафика от всех Sensor, подключенных к одному серверу Central Node, не должен превышать 10 Гбит/с.
При наличии в сети более одного сегмента с пропускной способностью 10 Гбит/с и при необходимости обрабатывать трафик в этих сегментах, вам необходимо использовать режим распределенного решения.
Вы можете использовать сервер Sensor в качестве прокси-сервера при обмене данными между рабочими станциями с Endpoint Agent и Central Node, чтобы упростить настройку сетевых правил. Например, если рабочие станции с Endpoint Agent находятся в отдельном сегменте сети, то будет достаточно настроить соединение между серверами Central Node и Sensor.
При использовании Sensor в качестве прокси-сервера при обмене данными между компонентами Endpoint Agent и компонентом Central Node учитывайте следующие ограничения:
- Максимальное количество рабочих станций с компонентом Endpoint Agent, подключенных к одному компоненту Central Node, составляет 15 000 шт.
- Максимально допустимые потери пакетов, пересылаемых между серверами Sensor и Central Node, составляют 10% при задержке отправки пакетов до 100 мс.
Требуемая пропускная способность канала связи между серверами Central Node и Sensor зависит от объема обрабатываемого трафика и определяется по следующей формуле:
10% от трафика на SPAN-порте при обычной нагрузке или 20% от трафика на SPAN-порте при пиковой нагрузке + почтовый трафик + трафик по протоколу ICAP + требования к каналу связи между Central Node и Endpoint Agent
Аппаратные требования к серверу Sensor
Компонент Sensor может быть интегрирован с IT-инфраструктурой организации следующими способами:
- получение зеркалированного трафика от сетевых устройств со SPAN-портов;
- подключение к почтовому серверу по протоколу POP3;
- подключение к почтовому серверу по протоколу SMTP;
- получение трафика от прокси-сервера по протоколу ICAP.
Аппаратные требования к серверу Sensor приведены в таблице ниже. Расчеты приведены для случая, когда Sensor обрабатывает сообщения электронной почты и зеркалированный трафик со SPAN-портов. Если Sensor используется в качестве прокси-сервера при обмене данными между рабочим станциями с Endpoint Agent и Central Node, следует также учитывать требования к каналам связи.
Аппаратные требования к серверу Sensor в зависимости от объема обрабатываемого трафика со SPAN-портов
Количество компонентов Endpoint Agent | Объем обрабатываемого трафика (Мбит/c) | Минимальный объем оперативной памяти (ГБ) | Минимальное количество логических ядер |
---|---|---|---|
10000 | 100 | 16 | 4 |
15000 | 500 | 24 | 8 |
15000 | 1000 | 32 | 12 |
15000 | 2000 | 64 | 20 |
15000 | 4000 | 92 | 32 |
15000 | 7000 | 128 | 52 |
15000 | 10000 | 160 | 72 |
Центральный процессор должен поддерживать набор инструкций BMI2, AVX и AVX2.
Если вы хотите обрабатывать только сообщения электронной почты и не обрабатывать зеркалированный трафик со SPAN-портов, мы рекомендуем использовать Sensor, установленный на одном сервере с Central Node. Подробнее об аппаратных требованиях см. в разделе Расчеты для компонента Central Node → Аппаратные требования к серверу Central Node и Sensor.
Если один сервер Sensor обрабатывает трафик по нескольким протоколам, то для расчета конфигурации сервера необходимо учитывать, что при настроенной интеграции с почтовым сервером или почтовым сенсором необходимо выключить обработку трафика по протоколу SMTP.
Требования к дисковому пространству на сервере Sensor
Рекомендуется использовать дисковый массив RAID 1. Общий объем дискового пространства должен составлять не менее 500 ГБ.
Аппаратные требования к Sensor при использовании сохранения сырого сетевого трафика
Если вы используете функционал сохранения сырого сетевого трафика, вам необходимо дополнительно увеличить следующие аппаратные характеристики сервера Sensor:
- 0,5 CPU для каждого 1 Гбит/c сетевого трафика.
- 6 ГБ оперативной памяти, если скорость сетевого трафика менее 2 Гбит/с или 12 ГБ оперативной памяти, если скорость сетевого трафика 2 Гбит/с и более.
- Установить отдельное дисковое хранилище в виде пула RAID-массива или DAS с максимальной пропускной способностью, определяемой по формуле:
<пропускная способность дискового хранилища> = 3 * <максимальный объем записываемого трафика>
- Емкость дискового хранилища определяется от желаемого времени хранения и максимального объема сохраняемого трафика с учетом фильтров. По примерным расчетам, для хранения записанного трафика максимальным объемом 10 Гбит/с в течении 7 дней, необходимо дисковое хранилище емкостью 750 ТиБ.