Sensor 组件的计算
当应用程序部署在虚拟平台上时,这些计算也适用。
在计算 Sensor 组件的硬件要求时,请考虑可处理的最大流量为 10 Gbps。此最大流量可以在独立服务器上安装的一个 Sensor 上进行处理,也可以在连接到一个 Central Node 的独立服务器上安装的多个 Sensor 上进行处理。连接到一个 Central Node 的所有 Sensor 的总流量不得超过 10 Gbps。
如果网络中包含多个10 Gbps 网段,并且您需要处理这些网段的流量,则必须采用分布式解决方案。
数据在 Endpoint Agent 工作站和 Central Node 之间交换期间,您可以将托管 Sensor 的服务器用作代理服务器,以简化网络规则的配置。例如,如果带有 Endpoint Agent 的工作站位于网络的单独段中,则只需配置 Central Node 和 Sensor 服务器之间的连接即可。
当使用 Sensor 作为代理服务器在 Endpoint Agent 组件和 Central Node 组件之间进行通信时,请考虑以下限制:
- 最多 15,000 台具有 Endpoint Agent 组件的工作站可以连接到单个 Central Node 组件。
- Sensor 服务器和 Central Node 之间允许的最大数据包丢失率为 10%,数据包延迟最多为 100 毫秒。
Central Node 和 Sensor 服务器之间的链接所需的带宽取决于必须处理的流量,计算如下:
典型负载时 10% 的 SPAN 端口流量或峰值负载时 20% 的 SPAN 端口流量 + 电子邮件流量 + ICAP 流量 + Central Node 和 Endpoint Agent 之间的链接要求
Sensor 服务器的硬件要求
Sensor 组件可以与组织的 IT 基础结构集成,如下所示:
- 从 SPAN 端口接收来自网络设备的镜像流量。
- 通过 POP3 协议连接到邮件服务器。
- 通过 SMTP 协议连接到邮件服务器。
- 通过 ICAP 协议从代理服务器接收流量。
下表列出了 Sensor 服务器的硬件要求。这些计算是针对 Sensor 处理来自 SPAN 端口的电子邮件和镜像流量的情况提供的。如果 Sensor 被用作 Endpoint Agent 工作站与 Central Node 之间通信的代理服务器,您还必须考虑链接要求。
Sensor 服务器的硬件要求取决于来自 SPAN 端口的已处理流量
Endpoint Agent 组件的数量 | 处理的流量 (Mbps) | 最小RAM (GB) | 最小逻辑核心数 |
|---|---|---|---|
10000 | 100 | 16 | 4 |
15000 | 500 | 24 | 8 |
15000 | 1000 | 32 | 12 |
15000 | 2000 | 64 | 20 |
15000 | 4000 | 92 | 32 |
15000 | 7000 | 128 | 52 |
15000 | 10000 | 160 | 72 |
CPU 必须支持 BMI2 指令集。
如果您只想处理电子邮件,而不处理来自 SPAN 端口的镜像流量,我们建议使用安装在与 Central Node 相同的服务器上的 Sensor。有关硬件要求的更多详细信息,请参阅 Central Node 组件的计算部分 → Central Node 和 Sensor 服务器的硬件要求。
如果一个 Sensor 服务器通过多种协议处理流量,则若要计算服务器硬件,您必须考虑到邮件服务器或邮件传感器集成需要禁用 SMTP 流量处理。
Sensor 服务器上的磁盘空间要求
建议使用 RAID 1 磁盘阵列。磁盘总空间必须至少为 500 GB。
保存原始网络流量时 Sensor 的硬件要求
如果要保存原始网络流量,则 Sensor 服务器的硬件要求会更高:
- 每 1 Gbps 网络流量需要 0.5 个 CPU。
- 网络流量低于 2 Gbps 时需 6 GB RAM,网络流量超过 2 Gbps 时需 12 GB RAM。
- 以 RAID 阵列或 DAS 池的形式安装单独的磁盘存储,其最大带宽使用以下公式计算:
<磁盘存储带宽> = 3 * <记录流量的最大吞吐量> - 磁盘存储的容量取决于预期的存储时间和保存的最大流量吞吐量,并考虑到过滤器。根据粗略计算,要存储 7 天最大吞吐量为 10 Gbps 的记录流量,需要 750 TiB 的磁盘存储空间。