Central Node 组件的计算
在虚拟平台上部署应用程序比在物理服务器上部署应用程序需要多 10% 的 CPU 资源。在虚拟磁盘设置中,必须选择厚置备磁盘类型。
具有 Central Node 和 Sensor 组件的服务器的硬件要求
安装 Central Node 和 Sensor 组件的服务器的硬件要求取决于以下条件:
- 处理的流量
要确定用于计算服务器负载的已处理解密流量,请使用以下公式:
<ArtX TLSProxy 1.9.1 传输的解密流量> = 5 * <未加密流量>
要确定 ICAP 服务器上处理的流量以计算服务器上的负载,请使用以下公式:
<
在 ICAP 服务器上处理的流量> = 5 * <未在 ICAP 服务器上处理的流量>
- 每秒处理的电子邮件数
- Endpoint Agent 主机数量
Endpoint Agent 组件可以安装在工作站、终端服务器、文件服务器或网络附加存储 (NAS) 上。
以下“帮助”部分提供了有关代表 Endpoint Agent 组件的应用程序版本与 Kaspersky Anti Targeted Attack Platform 版本的兼容性的信息:Kaspersky Endpoint Agent for Windows、Kaspersky Endpoint Security for Windows、Kaspersky Endpoint Security for Linux、Kaspersky Endpoint Security for Mac。
Kaspersky Endpoint Agent for Windows 也可以安装在 SCADA 服务器上。
要确定具有 Endpoint Agent 组件的有效主机数量来计算服务器负载,可以使用以下公式:
K = A+3*B+20*C
其中
- “K”是具有 Endpoint Agent 组件的主机的最大数量。
- “A”是运行安装了 Endpoint Agent 组件的 Windows 操作系统的终端服务器的工作站和用户数量。
- “B”是运行安装了 Endpoint Agent 组件的 Linux 或 macOS 操作系统的终端服务器的工作站和用户数量。
- “C”是服务器数量。
如果处理的流量大于 1 Gbps,则必须在独立服务器上安装 Central Node 和 Sensor 组件。
具有 Central Node 组件的服务器的硬件要求取决于所使用的功能,如下表所示。
使用 KEDR 功能时对具有 Central Node 组件的服务器的硬件要求
具有 Endpoint Agent 组件的最大主机数量 | 最小RAM (GB) | 3 GHz 时的最小逻辑核心数 | 第一个磁盘子系统(RAID 1 或 RAID 10) | 第二个磁盘子系统 (RAID 10) | |||||
---|---|---|---|---|---|---|---|---|---|
ROPS(每秒读取操作数) | WOPS(每秒写入操作数) | 磁盘阵列大小 (TB) | 阵列中的磁盘数量 | ROPS(每秒读取操作数) | WOPS(每秒写入操作数) | 磁盘阵列大小 (TB) | |||
1000 | 64 | 8 | 100 | 1000 | 1 | 4 | 300 | 200 | 高达 7.2 TB |
3000 | 80 | 12 | 100 | 1000 | 1 | 4 | 700 | 500 | |
5000 | 96 | 16 | 100 | 1000 | 1 | 4 | 1000 | 600 | |
10,000 | 144 | 24 | 100 | 1000 | 1 | 4 | 2000 | 800 | |
15,000 | 192 | 32 | 100 | 1000 | 1 | 4 | 2000 | 800 |
使用 KATA 和 KEDR 功能时,具有 Central Node 组件的服务器的硬件要求
具有 Endpoint Agent 组件的最大主机数量 | 每秒的最大电子邮件数 | 来自具有 Central Node 组件的服务器上的 SPAN 端口的最大流量 | 来自具有 Sensor 组件的服务器上的 SPAN 端口的最大流量 (Mbps) | 最小RAM (GB) | 3 GHz 时的最小逻辑核心数 | 第一个磁盘子系统(RAID 1 或 RAID 10) | 第二个磁盘子系统 (RAID 10) | ||||
---|---|---|---|---|---|---|---|---|---|---|---|
ROPS(每秒读取操作数) | WOPS(每秒写入操作数) | 磁盘阵列大小 (TB) | 阵列中的磁盘数量 | ROPS(每秒读取操作数) | WOPS(每秒写入操作数) | ||||||
1000 | 1 | 200 | 没有处理 | 96 | 16 | 100 | 1000 | 1.9 | 4 | 300 | 300 |
2000 | 2 | 500 | 没有处理 | 128 | 24 | 100 | 1000 | 2 | 4 | 500 | 500 |
5000 | 1 | 1000 | 没有处理 | 160 | 36 | 100 | 1000 | 2 | 4 | 1000 | 600 |
10,000 | 2 | 1000 | 没有处理 | 224 | 48 | 100 | 1000 | 2 | 4 | 2000 | 800 |
5000 | 5 | 没有处理 | 2000 | 144 | 32 | 100 | 1000 | 1.9 | 4 | 1000 | 600 |
10,000 | 20 | 没有处理 | 4000 | 224 | 56 | 100 | 1000 | 1.9 | 4 | 2000 | 800 |
15,000 | 20 | 没有处理 | 4000 | 256 | 64 | 100 | 1000 | 1.9 | 4 | 2000 | 800 |
15,000 | 20 | 没有处理 | 7000 | 320 | 104 | 100 | 1000 | 1.9 | 4 | 2000 | 800 |
15,000 | 20 | 没有处理 | 10,000 | 320 | 144 | 100 | 1000 | 1.9 | 4 | 2000 | 800 |
使用 КАТА 功能时对具有 Central Node 组件的服务器的硬件要求
每秒的最大电子邮件数 | 来自具有 Central Node 组件的服务器上的 SPAN 端口的最大流量 | 来自具有 Sensor 组件的服务器上的 SPAN 端口的最大流量 (Mbps) | 最小RAM (GB) | 3 GHz 时的最小逻辑核心数 | 第一个磁盘子系统(RAID 1 或 RAID 10) | |||
---|---|---|---|---|---|---|---|---|
ROPS(每秒读取操作数) | WOPS(每秒写入操作数) | 磁盘阵列大小 (TB) | 阵列中的磁盘数量 | |||||
2 | 500 | 没有处理 | 64 | 20 | 100 | 1000 | 2 | 4 |
2 | 1000 | 没有处理 | 80 | 28 | 100 | 1000 | 2 | 4 |
5 | 没有处理 | 2000 | 64 | 20 | 100 | 1000 | 2 | 4 |
20 | 没有处理 | 4000 | 80 | 40 | 100 | 1000 | 2 | 2 |
20 | 没有处理 | 7000 | 128 | 72 | 100 | 1000 | 2 | 2 |
20 | 没有处理 | 10,000 | 128 | 112 | 100 | 1000 | 2 | 2 |
Kaspersky Anti Targeted Attack Platform 不支持对软件 RAID 阵列的操作。
CPU 必须支持 BMI2 指令集。
Kaspersky Anti Targeted Attack Platform 组件所需服务器配置的计算示例 如果您想:
您需要两台具有以下硬件的服务器:
上述计算也适用于具有 5000 台装有 Kaspersky Endpoint Security for Linux 的主机或组件组合(例如,9000 台装有 Kaspersky Endpoint Security for Windows 和 2000 台装有 Kaspersky Endpoint Security for Linux 的主机)的基础架构。 |
Central Node 服务器的磁盘空间要求
具有 Central Node 组件的服务器在第一个磁盘子系统上必须至少有 2000 GB 的可用空间,在第二个磁盘子系统上必须至少有 2400 GB 的可用空间。第二个磁盘子系统所需的空间量取决于首选存储策略,可以使用以下公式计算:
150
GB + <Kaspersky Endpoint Agent 或 Kaspersky Endpoint Security for Windows 主机的数量>/15000 * (400 GB + 240 GB * <存储数据的天数>)/0.65,但不超过 12 TB。
该公式可用于粗略估计所需的磁盘空间。实际存储的数据量取决于组织的流量概况,并且可能与计算结果不同。
如果您没有将 Central Node 和 Sensor 组件安装为高可用性集群,则必须使用以下公式计算 事件数据库,GB 和 存储,GB 设置的磁盘空间:
A = F - R,
GB。
其中
- “A”是事件数据库和存储所使用的空间。
- “F”是安装 Central Node 组件的硬盘驱动器的大小。
- “R”是与安装有 Endpoint Agent 组件的已连接主机数量相对应的预留可用空间量 (GB);该参数取自下表。
如果连接到 Central Node 组件的主机数量在列出的值之间,请在计算中使用较大的数字。
预留的可用空间量取决于 Endpoint Agent 主机的数量
Endpoint Agent 主机数量 | 预留的可用空间量 (GB) |
---|---|
1000 | 1000 |
3000 | 1200 |
5000 | 1400 |
10,000 | 1900 |
15,000 | 2400 |
如果您已配置集成以使用 REST API 扫描外部系统对象,则必须提高对 Central Node 服务器的硬件要求。其他硬件要求如下表所示。
具有集成外部系统的 Central Node 组件的服务器的硬件要求
每秒处理的最大对象数 | 其他逻辑核心数 | 具有 Sandbox 组件的其他服务器的数量 |
---|---|---|
8 | 2 | 1 |
16 | 4 | 2 |
24 | 7 | 3 |
如果您配置了集成以使用 REST API 将事件发送到外部系统,则必须提高对 Central Node 服务器的硬件要求,增加 1 个逻辑内核和 6 GB RAM。
如果要节省网络流量,则必须增加对 Central Node 服务器的硬件要求。有关硬件要求的更多详细信息,请参阅 Sensor 组件的计算 → 保存原始网络流量时 Sensor 的硬件要求。
分布式解决方案模式下 PCN 服务器的要求
如果您正在使用分布式解决方案模式,则在计算硬件要求时,必须考虑到 PCN 服务器的硬件要求(RAM 和逻辑核心数)比具有 Central Node 组件的服务器的硬件要求高 10%。下表列出了具有 Central Node 组件的服务器的硬件要求:使用 KEDR 功能时对具有 Central Node 组件的服务器的硬件要求;使用 KATA+KEDR 功能时对具有 Central Node 组件的服务器的硬件要求;使用 КАТА 功能时对具有 Central Node 组件的服务器的硬件要求(见上文)。
您最多可以将 30 台 SCN 服务器连接到一台 PCN 服务器。
通信信道要求
您必须确保具有 Central Node 组件的服务器与每个网段之间有足够的通信信道带宽,具体取决于网段中具有 Endpoint Agent 组件的主机数量。下表列出了带宽要求,具体取决于具有 Endpoint Agent 组件的主机数量。
通信信道带宽取决于 Endpoint Agent 主机的数量
具有 Endpoint Agent 组件的最大主机数量 | 为 Endpoint Agent 组件保留的通信信道所需带宽 (Mbps) |
---|---|
10 | 1 |
50 | 2 |
100 | 3 |
1000 | 20 |
10,000 | 200 |
分布式解决方案模式下 PCN 和 SCN 服务器之间通信信道的最低要求如下表所示。
PCN 和 SCN 服务器之间通信信道的最低要求
具有 Endpoint Agent 组件的最大主机数量 | 每秒的最大电子邮件数 | SPAN 端口的最大流量 (Mbps) | 所需通信信道带宽 (Mbps) |
---|---|---|---|
5000 | 5 | 2000 | 20 |
10,000 | 20 | 4000 | 30 |
Central Node 集群服务器的硬件要求
一个集群必须至少包含 4 台服务器:2 台存储服务器和 2 台处理服务器。如果您有多达 15000 台具有 Kaspersky Endpoint Agent 组件的联机主机,则至少需要 2 台存储服务器和 2 台处理服务器。如果您有 15000 到 30000 台具有 Kaspersky Endpoint Agent 组件的联机主机,则至少需要 2 台存储服务器和 3 台处理服务器。
每台集群服务器必须有两个网络适配器来配置集群和外部子网。集群子网的速率必须高达 10 Gbps。
集群子网还必须满足以下要求:
- 集群子网必须仅包含集群服务器和网络交换机。
- 集群子网必须被隔离。
- 集群服务器必须全部位于同一 L1 或 L2 网段中。为此,您可以将集群中的所有服务器连接到单个网络交换机或使用软件隧道。例如,L2TPv3 或覆盖传输虚拟化 (OTV)。
- “网络延迟”值必须满足“个位数延迟”要求,即该值必须小于10 毫秒。
下表列出了使用 KEDR 功能时集群服务器的硬件要求。
使用 KEDR 功能时处理服务器的硬件要求
最小RAM (GB) | 最小逻辑核心数 | RAID 磁盘阵列类型 | RAID 磁盘阵列中的磁盘数 | 单硬盘容量 (GB) |
---|---|---|---|---|
256 | 48 | RAID 1 | 2 | 1200 |
使用 KEDR 功能时存储服务器的硬件要求
最小RAM (GB) | 最小逻辑核心数 | 第一个磁盘子系统 | 第二个磁盘子系统 | |||
---|---|---|---|---|---|---|
RAID 磁盘阵列类型 | RAID 磁盘阵列中的磁盘数 | 单硬盘容量 (GB) | 磁盘数量 | 单硬盘容量 (GB) | ||
128 | 16 | RAID 1 | 2 | 1200 | 至少 6 | 至少 1200 |
我们建议两个磁盘子系统使用相同大小的磁盘。对于第二个磁盘子系统,您必须使用未组合成 RAID 阵列的磁盘。
磁盘子系统的性能要求相当于使用 KEDR 功能时具有 Central Node 组件的服务器的硬件要求表中指定的性能要求(见上文)。