ATA-kapasiteetin suunnittelu
Koskee: Advanced Threat Analytics -versio 1.9
Tämän artikkelin avulla voit määrittää, kuinka monta ATA-palvelinta tarvitaan verkon valvontaan. Sen avulla voit arvioida, kuinka monta ATA-yhdyskäytävää ja/tai ATA-kevyttä yhdyskäytävää tarvitset sekä ATA-keskuksen ja ATA-yhdyskäytävien palvelinkapasiteettia.
Huomautus
ATA-keskus voidaan ottaa käyttöön millä tahansa IaaS-toimittajalla, kunhan tässä artikkelissa kuvatut suorituskykyvaatimukset täyttyvät.
Kokotyökalun käyttäminen
Suositeltu ja yksinkertaisin tapa määrittää ATA-käyttöönoton kapasiteetti on käyttää ATA-kokotyökalua. Suorita ATA-muuntotyökalu ja määritä tarvitsemasi ATA-kapasiteetti seuraavien kenttien avulla:
ATA Center -suoritin ja muisti: Täsmää ATA Center -taulukon tulostiedoston Varattujen pakettien/sekunnit -kenttä ATA Center -taulukon TULOStiedoston PACKETS PER SECOND -kenttään ATA Center -taulukossa.
ATA Center -tallennus: Vastaa ATA Center -taulukon tulostiedoston keskimääräinen paketti/sekunti -kenttää ATA Center -taulukon tulostiedoston ATA Center -taulukonPACKETS PER SECOND -kenttään.
ATA-yhdyskäytävä: Vastaa tulostiedoston ATA-yhdyskäytävätaulukon Varattuja paketteja/sekunteja -kenttää ATA-yhdyskäytävätaulukonPACKETS PER SECOND -kenttään tai ATA Lightweight Gateway -taulukkoonvalitsemasi yhdyskäytävätyypin mukaan.
Huomautus
Koska eri ympäristöt vaihtelevat ja niillä on useita erityisiä ja odottamattomia verkkoliikenteen ominaisuuksia, sinun on ehkä muokattava ja hienosäädettävä kapasiteetin käyttöönottoa sen jälkeen, kun olet ottanut ATA:n käyttöön ja suorittanut koon muutostyökalun.
Jos et voi käyttää ATA-kokotyökalua, kerää paketti-/sekuntilaskuritiedot manuaalisesti pienellä keräysvälillä (noin 5 sekuntia) kaikilta toimialueen ohjauskoneiltasi 24 tunnin ajan. Laske sitten kunkin toimialueen ohjauskoneen päivittäinen keskiarvo ja kiireisimmän jakson (15 minuutin) keskiarvo. Seuraavissa osioissa on ohjeet pakettien/sek-laskurin keräämiseen yhdestä toimialueen ohjauskoneesta.
Huomautus
Koska eri ympäristöt vaihtelevat ja niillä on useita erityisiä ja odottamattomia verkkoliikenteen ominaisuuksia, sinun on ehkä muokattava ja hienosäädettävä kapasiteetin käyttöönottoa sen jälkeen, kun olet ottanut ATA:n käyttöön ja suorittanut koon muutostyökalun.
ATA-keskitetty koko
ATA-keskus edellyttää käyttäjän käyttäytymisanalytiikkaan suositeltua vähintään 30 päivän dataa.
| Paketit sekunnissa kaikista DCS-tietokoneista | Suoritin (ytimet*) | Muisti (Gt) | Tietokannan tallennustilaa päivässä (Gt) | Tietokannan tallennustilaa kuukaudessa (Gt) | IOPS** |
|---|---|---|---|---|---|
| 1,000 | 2 | 32 | 0.3 | 9 | 30 (100) |
| 40,000 | 4 | 48 | 12 | 360 | 500 (750) |
| 200,000 | 8 | 64 | 60 | 1,800 | 1,000 (1,500) |
| 400,000 | 12 | 96 | 120 | 3,600 | 2,000 (2,500) |
| 750,000 | 24 | 112 | 225 | 6,750 | 2,500 (3,000) |
| 1,000,000 | 40 | 128 | 300 | 9,000 | 4,000 (5,000) |
*Tämä sisältää fyysisiä ytimiä, ei hypersäikeisiä ytimiä.
**Keskiarvot (huippuluvut)
Huomautus
- ATA-keskus pystyy käsittelemään enintään 1M pakettia sekunnissa kaikista valvotun toimialueen ohjauskoneista. Joissakin ympäristöissä sama ATA-keskus pystyy käsittelemään yli 1 M:n liikennettä, ja jotkin ympäristöt saattavat ylittää ATA-kapasiteetin. Ota meihin yhteyttä osoitteessa azureatpfeedback@microsoft.com saadaksemme apua suurten ympäristöjen suunnitteluun ja arviointiin.
- Jos vapaa tilasi on vähintään 20 % tai 200 Gt, vanhin tietokokoelma poistetaan. Jos tietojen keräämisen pienentäminen tälle tasolle ei onnistu, ilmoitus kirjataan. ATA jatkaa toimintaansa, kunnes kynnysarvo 5 % tai 50 Gt vapaa saavutetaan. Tässä vaiheessa ATA lopettaa tietokannan täyttämisen ja annetaan lisäilmoitus.
- Voit ottaa ATA-keskuksen käyttöön millä tahansa IaaS-toimittajalla, jos tässä artikkelissa kuvatut suorituskykyvaatimukset täyttyvät.
- Luku- ja kirjoitustoimintojen tallennusviiveen tulee olla alle 10 ms.
- Luku- ja kirjoitustoimintojen suhde on noin 1:3 alle 100 000 pakettia sekunnissa ja 1:6 yli 100 000 pakettia sekunnissa.
- Kun Center suoritetaan näennäiskoneena (VM), keskus edellyttää, että kaikki muisti on kohdistettu näennäiskoneelle koko ajan. Lisätietoja ATA Centerin suorittamisesta näennäiskoneena on artikkelissa ATA Centerin vaatimukset.
- Parhaan suorituskyvyn takaamiseksi aseta ATA-keskuksen Power-asetuskorkeaan suorituskykyyn.
- Kun työskentelet fyysisessä palvelimessa, ATA-tietokannan on poistettava muu kuin yhtenäinen muistin käyttö (NUMA) käytöstä BIOSissa. Järjestelmäsi saattaa viitata NUMA:aan solmun välitallennuksena, jolloin sinun on otettava node interleaving käyttöön poistaaksesi NUMA:n käytöstä. Lisätietoja on BIOS-dokumentaatiossa. Tämä ei ole oleellista, kun ATA-keskus on käynnissä näennäispalvelimessa.
Oikean yhdyskäytävätyypin valitseminen käyttöönottoa varten
ATA-käyttöönotossa tuetaan mitä tahansa ATA-yhdyskäytävätyyppien yhdistelmiä:
- Vain ATA-yhdyskäytävät
- Vain kevyet ATA-yhdyskäytävät
- Molempien yhdistelmä
Kun päätät yhdyskäytävän käyttöönottotyypistä, ota huomioon seuraavat edut:
| Yhdyskäytävän tyyppi | Etuja | Kustannus | Käyttöönottotopologia | Toimialueen ohjauskoneen käyttö |
|---|---|---|---|---|
| ATA-yhdyskäytävä | Out of band -käyttöönotto vaikeuttaa hyökkääjien ATA:n löytämistä | Korkeampi | Asennettu toimialueen ohjauskoneen rinnalle (kaistan ulkopuolelle) | Tukee enintään 50 000 pakettia sekunnissa |
| ATA-kevyt yhdyskäytävä | Ei edellytä erillistä palvelin- ja portinpelausmääritystä | Laskea | Asennettu toimialueen ohjauskoneeseen | Tukee enintään 10 000 pakettia sekunnissa |
Seuraavassa on esimerkkejä skenaarioista, joissa toimialueen ohjauskoneiden tulee kuulua ATA:n kevyen yhdyskäytävän piiriin:
Haarasivustot
Pilvipalvelussa käyttöönotetut näennäistoimialueen ohjauskoneet (IaaS)
Seuraavassa on esimerkkejä skenaarioista, joissa toimialueen ohjauskoneiden tulee kuulua ATA-yhdyskäytävän piiriin:
- Pääkonttorin palvelinkeskukset (toimialueen ohjauskone, jossa on yli 10 000 pakettia sekunnissa)
ATA:n kevyen yhdyskäytävän koko
ATA Lightweight Gateway voi tukea yhden toimialueen ohjauskoneen seurantaa toimialueen ohjauskoneen luoman verkkoliikenteen määrän perusteella.
| Paketit sekunnissa* | Suoritin (ytimet**) | Muisti (Gt)*** |
|---|---|---|
| 1,000 | 2 | 6 |
| 5,000 | 6 | 16 |
| 10,000 | 10 | 24 |
*Pakettien sekuntikohtainen kokonaismäärä toimialueen ohjauskoneessa, jota tietty ATA-kevyt yhdyskäytävä valvoo.
**Tämän toimialueen ohjauskoneen asentamien muiden kuin hypersäikeisten ytimien kokonaismäärä.
Vaikka hypersäikeytys on hyväksyttävää ATA Lightweight Gatewaylle, kapasiteetin suunnittelussa on laskettava todelliset ytimet eikä hypersäikeiset ytimet.
Tämän toimialueen ohjauskoneen asentaman muistin kokonaismäärä.
Huomautus
- Jos toimialueen ohjauskoneessa ei ole ATA Lightweight Gatewayn tarvitsemia resursseja, toimialueen ohjauskoneen suorituskyky ei muutu, mutta ATA-kevyt yhdyskäytävä ei ehkä toimi odotetulla tavalla.
- Kun yhdyskäytävää suoritetaan näennäiskoneena , yhdyskäytävä edellyttää, että kaikki muisti on kohdistettu näennäiskoneelle koko ajan. Lisätietoja ATA-yhdyskäytävän suorittamisesta näennäiskoneena on kohdassa Dynaamiset muistivaatimukset).
- Parhaan suorituskyvyn takaamiseksi aseta ATA-kevyt yhdyskäytävän Power-asetuskorkeaan suorituskykyyn.
- Tarvitaan vähintään 5 Gigatavua tilaa, ja suosittelemme 10 Gt:n tilaa, mukaan lukien ATA-binaaritiedostoihin, ATA-lokeihin ja suorituskykylokeihin tarvittava tila.
ATA-yhdyskäytävän koko
Ota huomioon seuraavat ongelmat, kun päätät, kuinka monta ATA-yhdyskäytävää otetaan käyttöön.
-
Active Directory -toimialueet ja toimialueet
ATA voi valvoa useiden toimialueiden liikennettä yhdestä Active Directory -toimialuepuuryhmästä. Useiden Active Directory -puuryhmien valvonta edellyttää erillisiä ATA-käyttöönottoja. Älä määritä yksittäistä ATA-käyttöönottoa, joka valvoo toimialueen ohjauskoneiden verkkoliikennettä eri puuryhmästä. -
Portin peilaus
Porttien peilauksen huomioon otettavat seikat saattavat edellyttää useiden ATA-yhdyskäytävien käyttöönottoa tietoyhdyskäytävää tai haarasivustoa kohden. -
Kapasiteetti
ATA-yhdyskäytävä voi tukea useiden toimialueen ohjauskoneiden seurantaa sen mukaan, kuinka paljon verkkoliikennettä valvotaan toimialueen ohjauskoneissa.
| Paketit sekunnissa* | Suoritin (ytimet**) | Muisti (Gt) |
|---|---|---|
| 1,000 | 1 | 6 |
| 5,000 | 2 | 10 |
| 10,000 | 3 | 12 |
| 20,000 | 6 | 24 |
| 50,000 | 16 | 48 |
*Keskimääräinen määrä paketteja sekunnissa kaikista toimialueen ohjauskoneista, joita tietty ATA-yhdyskäytävä valvoo niiden kiireisimpänä tuntina.
*Toimialueen ohjauskoneen portin peilatun liikenteen kokonaismäärä ei voi ylittää ATA-yhdyskäytävän capture NIC:n kapasiteettia.
**Hypersäie on poistettava käytöstä.
Huomautus
- Kun yhdyskäytävää suoritetaan näennäiskoneena , yhdyskäytävä edellyttää, että kaikki muisti on kohdistettu näennäiskoneelle koko ajan. Lisätietoja ATA-yhdyskäytävän suorittamisesta näennäiskoneena on kohdassa Dynaamiset muistivaatimukset.
- Parhaan suorituskyvyn takaamiseksi aseta ATA-yhdyskäytävän Power-asetuskorkeaan suorituskykyyn.
- Tarvitaan vähintään 5 Gigatavua tilaa, ja suosittelemme 10 Gt:n tilaa, mukaan lukien ATA-binaaritiedostoihin, ATA-lokeihin ja suorituskykylokeihin tarvittava tila.