技术支持

企业产品

Kaspersky Anti Targeted Attack (KATA) Platform

规模调整指南

大小计算器

Central Node 组件的计算
Kaspersky Anti Targeted Attack (KATA) Platform
Online Help
Advice & Solutions FAQ Download Forum Contact support

Central Node 组件的计算

2024年6月26日

ID 247136

另存为 PDF

在虚拟平台上部署应用程序比在物理服务器上部署应用程序需要多 10% 的 CPU 资源。在虚拟磁盘设置中,必须选择厚置备磁盘类型。

具有 Central Node 和 Sensor 组件的服务器的硬件要求

安装 Central Node 和 Sensor 组件的服务器的硬件要求取决于以下条件:

  • 处理的流量

    要确定用于计算服务器负载的已处理解密流量,请使用以下公式:

    <ArtX TLSProxy 1.9.1 传输的解密流量> = 5 * <未加密流量>

    要确定 ICAP 服务器上处理的流量以计算服务器上的负载,请使用以下公式:

    <在 ICAP 服务器上处理的流量> = 5 * <未在 ICAP 服务器上处理的流量>

  • 每秒处理的电子邮件数
  • Endpoint Agent 主机数量

    Endpoint Agent 组件可以安装在工作站、终端服务器、文件服务器或网络附加存储 (NAS) 上。

    以下“帮助”部分提供了有关代表 Endpoint Agent 组件的应用程序版本与 Kaspersky Anti Targeted Attack Platform 版本的兼容性的信息:Kaspersky Endpoint Agent for WindowsKaspersky Endpoint Security for WindowsKaspersky Endpoint Security for LinuxKaspersky Endpoint Security for Mac

    Kaspersky Endpoint Agent for Windows 也可以安装在 SCADA 服务器上。

    要确定具有 Endpoint Agent 组件的有效主机数量来计算服务器负载,可以使用以下公式:

    K = A+3*B+20*C

    其中

    • “K”是具有 Endpoint Agent 组件的主机的最大数量。
    • “A”是运行安装了 Endpoint Agent 组件的 Windows 操作系统的终端服务器的工作站和用户数量。
    • “B”是运行安装了 Endpoint Agent 组件的 Linux 或 macOS 操作系统的终端服务器的工作站和用户数量。
    • “C”是服务器数量。

如果处理的流量大于 1 Gbps,则必须在独立服务器上安装 Central Node 和 Sensor 组件。

具有 Central Node 组件的服务器的硬件要求取决于所使用的功能,如下表所示。

使用 KEDR 功能时对具有 Central Node 组件的服务器的硬件要求

具有 Endpoint Agent 组件的最大主机数量

最小RAM (GB)

3 GHz 时的最小逻辑核心数

第一个磁盘子系统(RAID 1 或 RAID 10)

第二个磁盘子系统 (RAID 10)

ROPS(每秒读取操作数)

WOPS(每秒写入操作数)

磁盘阵列大小 (TB)

阵列中的磁盘数量

ROPS(每秒读取操作数)

WOPS(每秒写入操作数)

磁盘阵列大小 (TB)

1000

64

8

100

1000

1

4

300

200

高达 7.2 TB

3000

80

12

100

1000

1

4

700

500

5000

96

16

100

1000

1

4

1000

600

10,000

144

24

100

1000

1

4

2000

800

15,000

192

32

100

1000

1

4

2000

800

使用 KATA 和 KEDR 功能时,具有 Central Node 组件的服务器的硬件要求

具有 Endpoint Agent 组件的最大主机数量

每秒的最大电子邮件数

来自具有 Central Node 组件的服务器上的 SPAN 端口的最大流量

来自具有 Sensor 组件的服务器上的 SPAN 端口的最大流量 (Mbps)

最小RAM (GB)

3 GHz 时的最小逻辑核心数

第一个磁盘子系统(RAID 1 或 RAID 10)

第二个磁盘子系统 (RAID 10)

ROPS(每秒读取操作数)

WOPS(每秒写入操作数)

磁盘阵列大小 (TB)

阵列中的磁盘数量

ROPS(每秒读取操作数)

WOPS(每秒写入操作数)

1000

1

200

没有处理

96

16

100

1000

1.9

4

300

300

2000

2

500

没有处理

128

24

100

1000

2

4

500

500

5000

1

1000

没有处理

160

36

100

1000

2

4

1000

600

10,000

2

1000

没有处理

224

48

100

1000

2

4

2000

800

5000

5

没有处理

2000

144

32

100

1000

1.9

4

1000

600

10,000

20

没有处理

4000

224

56

100

1000

1.9

4

2000

800

15,000

20

没有处理

4000

256

64

100

1000

1.9

4

2000

800

15,000

20

没有处理

7000

320

104

100

1000

1.9

4

2000

800

15,000

20

没有处理

10,000

320

144

100

1000

1.9

4

2000

800

使用 КАТА 功能时对具有 Central Node 组件的服务器的硬件要求

每秒的最大电子邮件数

来自具有 Central Node 组件的服务器上的 SPAN 端口的最大流量

来自具有 Sensor 组件的服务器上的 SPAN 端口的最大流量 (Mbps)

最小RAM (GB)

3 GHz 时的最小逻辑核心数

第一个磁盘子系统(RAID 1 或 RAID 10)

ROPS(每秒读取操作数)

WOPS(每秒写入操作数)

磁盘阵列大小 (TB)

阵列中的磁盘数量

2

500

没有处理

64

20

100

1000

2

4

2

1000

没有处理

80

28

100

1000

2

4

5

没有处理

2000

64

20

100

1000

2

4

20

没有处理

4000

80

40

100

1000

2

2

20

没有处理

7000

128

72

100

1000

2

2

20

没有处理

10,000

128

112

100

1000

2

2

Kaspersky Anti Targeted Attack Platform 不支持对软件 RAID 阵列的操作。

CPU 必须支持 BMI2 指令集。

Kaspersky Anti Targeted Attack Platform 组件所需服务器配置的计算示例

如果您想:

  • 处理来自吞吐量高达 4 Gbps 的网络设备的流量;
  • 每秒处理 20 封电子邮件;
  • 使用 15000 台具有 Kaspersky Endpoint Security for Windows 的主机 5000 台具有 Kaspersky Endpoint Security for Linux 或 Kaspersky Endpoint Security for Mac 的主机,

您需要两台具有以下硬件的服务器:

  • 具有 Central Node 组件的服务器:至少 256 GB RAM 和至少 64 个逻辑 CPU 核心
  • 具有 Sensor 组件的服务器:至少 92 GB RAM 和至少 32 个逻辑 CPU 核心

上述计算也适用于具有 5000 台装有 Kaspersky Endpoint Security for Linux 的主机或组件组合(例如,9000 台装有 Kaspersky Endpoint Security for Windows 和 2000 台装有 Kaspersky Endpoint Security for Linux 的主机)的基础架构。

Central Node 服务器的磁盘空间要求

具有 Central Node 组件的服务器在第一个磁盘子系统上必须至少有 2000 GB 的可用空间,在第二个磁盘子系统上必须至少有 2400 GB 的可用空间。第二个磁盘子系统所需的空间量取决于首选存储策略,可以使用以下公式计算:

150 GB + <Kaspersky Endpoint Agent 或 Kaspersky Endpoint Security for Windows 主机的数量>/15000 * (400 GB + 240 GB * <存储数据的天数>)/0.65,但不超过 12 TB。

该公式可用于粗略估计所需的磁盘空间。实际存储的数据量取决于组织的流量概况,并且可能与计算结果不同。

如果您没有将 Central Node 和 Sensor 组件安装为高可用性集群,则必须使用以下公式计算 事件数据库,GB存储,GB 设置的磁盘空间:

A = F - R,GB。

其中

  • “A”是事件数据库和存储所使用的空间。
  • “F”是安装 Central Node 组件的硬盘驱动器的大小。
  • “R”是与安装有 Endpoint Agent 组件的已连接主机数量相对应的预留可用空间量 (GB);该参数取自下表。

如果连接到 Central Node 组件的主机数量在列出的值之间,请在计算中使用较大的数字。

预留的可用空间量取决于 Endpoint Agent 主机的数量

Endpoint Agent 主机数量

预留的可用空间量 (GB)

1000

1000

3000

1200

5000

1400

10,000

1900

15,000

2400

如果您已配置集成以使用 REST API 扫描外部系统对象,则必须提高对 Central Node 服务器的硬件要求。其他硬件要求如下表所示。

具有集成外部系统的 Central Node 组件的服务器的硬件要求

每秒处理的最大对象数

其他逻辑核心数

具有 Sandbox 组件的其他服务器的数量

8

2

1

16

4

2

24

7

3

如果您配置了集成以使用 REST API 将事件发送到外部系统,则必须提高对 Central Node 服务器的硬件要求,增加 1 个逻辑内核和 6 GB RAM。

如果要节省网络流量,则必须增加对 Central Node 服务器的硬件要求。有关硬件要求的更多详细信息,请参阅 Sensor 组件的计算 → 保存原始网络流量时 Sensor 的硬件要求。

分布式解决方案模式下 PCN 服务器的要求

如果您正在使用分布式解决方案模式,则在计算硬件要求时,必须考虑到 PCN 服务器的硬件要求(RAM 和逻辑核心数)比具有 Central Node 组件的服务器的硬件要求高 10%。下表列出了具有 Central Node 组件的服务器的硬件要求:使用 KEDR 功能时对具有 Central Node 组件的服务器的硬件要求;使用 KATA+KEDR 功能时对具有 Central Node 组件的服务器的硬件要求;使用 КАТА 功能时对具有 Central Node 组件的服务器的硬件要求(见上文)。

您最多可以将 30 台 SCN 服务器连接到一台 PCN 服务器。

通信信道要求

您必须确保具有 Central Node 组件的服务器与每个网段之间有足够的通信信道带宽,具体取决于网段中具有 Endpoint Agent 组件的主机数量。下表列出了带宽要求,具体取决于具有 Endpoint Agent 组件的主机数量。

通信信道带宽取决于 Endpoint Agent 主机的数量

具有 Endpoint Agent 组件的最大主机数量

为 Endpoint Agent 组件保留的通信信道所需带宽 (Mbps)

10

1

50

2

100

3

1000

20

10,000

200

分布式解决方案模式下 PCN 和 SCN 服务器之间通信信道的最低要求如下表所示。

PCN 和 SCN 服务器之间通信信道的最低要求

具有 Endpoint Agent 组件的最大主机数量

每秒的最大电子邮件数

SPAN 端口的最大流量 (Mbps)

所需通信信道带宽 (Mbps)

5000

5

2000

20

10,000

20

4000

30

Central Node 集群服务器的硬件要求

一个集群必须至少包含 4 台服务器:2 台存储服务器和 2 台处理服务器。如果您有多达 15000 台具有 Kaspersky Endpoint Agent 组件的联机主机,则至少需要 2 台存储服务器和 2 台处理服务器。如果您有 15000 到 30000 台具有 Kaspersky Endpoint Agent 组件的联机主机,则至少需要 2 台存储服务器和 3 台处理服务器。

每台集群服务器必须有两个网络适配器来配置集群和外部子网。集群子网的速率必须高达 10 Gbps。

集群子网还必须满足以下要求:

  • 集群子网必须仅包含集群服务器和网络交换机。
  • 集群子网必须被隔离。
  • 集群服务器必须全部位于同一 L1 或 L2 网段中。为此,您可以将集群中的所有服务器连接到单个网络交换机或使用软件隧道。例如,L2TPv3 或覆盖传输虚拟化 (OTV)。
  • “网络延迟”值必须满足“个位数延迟”要求,即该值必须小于10 毫秒。

下表列出了使用 KEDR 功能时集群服务器的硬件要求。

使用 KEDR 功能时处理服务器的硬件要求

最小RAM (GB)

最小逻辑核心数

RAID 磁盘阵列类型

RAID 磁盘阵列中的磁盘数

单硬盘容量 (GB)

256

48

RAID 1

2

1200

使用 KEDR 功能时存储服务器的硬件要求

最小RAM (GB)

最小逻辑核心数

第一个磁盘子系统

第二个磁盘子系统

RAID 磁盘阵列类型

RAID 磁盘阵列中的磁盘数

单硬盘容量 (GB)

磁盘数量

单硬盘容量 (GB)

128

16

RAID 1

2

1200

至少 6

至少 1200

我们建议两个磁盘子系统使用相同大小的磁盘。对于第二个磁盘子系统,您必须使用未组合成 RAID 阵列的磁盘。

磁盘子系统的性能要求相当于使用 KEDR 功能时具有 Central Node 组件的服务器的硬件要求表中指定的性能要求(见上文)。

另请参阅

Sensor 组件的计算

Sandbox 组件计算

KVM 虚拟化平台上部署的 Central Node 组件的计算

Kaspersky Professional Services
Implementation services. Health check and security system configuration. Contact us if you need expert help.
Kaspersky Premium Support (MSA): High‑priority incident processing
Telephone and web ticket support. Fast response, monitoring and health check. Submit a request and activate the contract (MSA).
Did you find this article helpful?
What can we do better?
Thank you for your feedback! You're helping us improve.
Thank you for your feedback! You're helping us improve.