Требования к устройствам с сервисами KUMA

Сервисы KUMA (коллекторы, корреляторы и хранилища) устанавливаются на устройствах, находящихся за пределами кластера Kubernetes. Аппаратные и программные требования для этих устройств описаны в этой статье.

Рекомендованные аппаратные и программные требования

В этом разделе перечислены аппаратные и программные требования для обработки потока данных до 40 000 событий в секунду (EPS). Значение нагрузки KUMA зависит от типа анализируемых событий и эффективности нормализатора.

Для повышения эффективности обработки событий количество ядер процессора важнее тактовой чистоты. Например, 8 ядер процессора со средней тактовой частотой могут обрабатывать события эффективнее, чем 4 ядра процессора с высокой тактовой частотой. В таблице ниже перечислены аппаратные и программные требования компонентов KUMA.

Объем оперативной памяти, используемой коллектором, зависит от настроенных способов обогащения (DNS, учетные записи, активы, обогащение данными из Kaspersky CyberTrace) и от того, используется ли агрегирование. На потребление оперативной памяти влияют параметры окна агрегации данных, количество полей, используемых для агрегации данных, объем данных в агрегируемых полях.

Например, с потоком событий 1000 EPS и отключенным обогащением событий (обогащение событий отключено, агрегация событий отключена, 5000 учетных записей, 5000 активов на одного тенанта) одному коллектору требуются следующие ресурсы:

• 1 процессорное ядро или 1 виртуальный процессор;
• 512 МБ оперативной памяти;
• 1 ГБ дискового пространства (без учета кеша событий).

Например, для 5 коллекторов, которые не выполняют обогащение событий, потребуется выделить следующие ресурсы: 5 процессорных ядер, 2,5 ГБ оперативной памяти и 5 ГБ свободного дискового пространства.

Рекомендуемые аппаратные и программные требования для установки сервисов KUMA

Установка KUMA поддерживается в следующих виртуальных средах:

• VMware 6.5 и выше.
• Hyper-V for Windows Server 2012 R2 и выше.
• QEMU-KVM 4.2 и выше.
• Программный комплекс средств виртуализации "Брест" РДЦП.10001-02.

Рекомендации "Лаборатории Касперского" для серверов хранения

Для серверов хранения данных специалисты "Лаборатории Касперского" рекомендуют следующее:

• Ставьте ClickHouse на твердотельные накопители (SSD). Твердотельные накопители помогают повысить скорость доступа к данным. Жесткие диски можно использовать для хранения данных с помощью технологии HDFS.
• Чтобы подключить систему хранения данных к серверам хранения, используйте высокоскоростные протоколы, такие как Fibre Channel или iSCSI 10G. Не рекомендуется использовать протоколы уровня приложений, например NFS и SMB, для подключения систем хранения данных.
• Используйте файловую систему ext4 на кластерных серверах ClickHouse.
• Если вы используете RAID-массивы, используйте RAID 0 для высокой производительности или RAID 10 для высокой производительности и отказоустойчивости.
• Для обеспечения отказоустойчивости и производительности подсистемы хранения данных, убедитесь, что узлы ClickHouse разворачиваются строго на разных дисковых массивах.
• Если вы используете виртуализированную инфраструктуру для размещения компонентов системы, разворачивайте узлы кластера ClickHouse на разных гипервизорах. В этом случае необходимо запретить двум виртуальным машинам с ClickHouse работать с одним гипервизором.
• Для высоконагруженных установок KUMA установите ClickHouse на физических серверах.

Требования к устройствам для установки агентов

Чтобы данные отправлялись в коллектор KUMA, необходимо установить агенты на устройствах сетевой инфраструктуры. Требования к аппаратному и программному обеспечению перечислены в таблице ниже.

Рекомендуемые аппаратные и программные требования для установки агентов