Планирование емкости ATA
Область применения: Advanced Threat Analytics версии 1.9
Эта статья поможет определить, сколько серверов ATA необходимо для мониторинга сети. Она помогает оценить, сколько шлюзов ATA и (или) упрощенных шлюзов ATA вам нужно, а также емкость сервера для центра ATA и шлюзов ATA.
Примечание.
Центр ATA можно развернуть на любом поставщике IaaS при условии выполнения требований к производительности, описанных в этой статье.
Использование средства определения размера
Рекомендуемый и самый простой способ определить емкость для развертывания ATA — использовать средство определения размера ATA. Запустите средство определения размера ATA и в результатах файла Excel используйте следующие поля для определения необходимой емкости ATA:
ЦП и память центра ATA. В таблице ЦЕНТРА ATA совпадите поле Занято пакетов/с в файле результатов таблицы ЦЕНТРА ATA с полем PACKETS PER SECOND таблицы ATA Center.
Хранилище центра ATA. Совпадите поле Среднее число пакетов/с в файле результатов таблицы ЦЕНТРА ATA с полем PACKETS PER SECOND таблицы ATA Center.
Шлюз ATA. В зависимости от выбранного типа шлюза в таблице шлюза ATA в файле результатов совпадите поле"Пакеты в секунду" в таблице шлюза ATA или упрощенном шлюзе ATA.
Примечание.
Так как разные среды различаются и имеют несколько особых и непредвиденных характеристик сетевого трафика, после первоначального развертывания ATA и запуска средства определения размера может потребоваться настроить и точно настроить развертывание для емкости.
Если вы не можете использовать средство определения размера ATA, вручную соберите данные счетчика пакетов в секунду с небольшим интервалом сбора (около 5 секунд) со всех контроллеров домена в течение 24 часов. Затем для каждого контроллера домена вычислите среднее ежедневное и среднее значение самого загруженного периода (15 минут). В следующих разделах содержатся инструкции по сбору счетчика пакетов в секунду из одного контроллера домена.
Примечание.
Так как разные среды различаются и имеют несколько особых и непредвиденных характеристик сетевого трафика, после первоначального развертывания ATA и запуска средства определения размера может потребоваться настроить и точно настроить развертывание для емкости.
Определение размера центра ATA
Центру ATA требуется рекомендуемое не менее 30 дней данных для аналитики поведения пользователей.
| Количество пакетов в секунду от всех контроллеров домена | ЦП (ядра*) | Память (ГБ) | Хранилище базы данных в день (ГБ) | Хранилище базы данных в месяц (ГБ) | Операции ввода-вывода в секунду** |
|---|---|---|---|---|---|
| 1,000 | 2 | 32 | 0.3 | 9 | 30 (100) |
| 40 000 | 4 | 48 | 12 | 360 | 500 (750) |
| 200 000 | 8 | 64 | 60 | 1,800 | 1,000 (1,500) |
| 400,000 | 12 | 96 | 120 | 3 600 | 2,000 (2,500) |
| 750,000 | 24 | 112 | 225 | 6,750 | 2,500 (3,000) |
| 1,000,000 | 40 | 128 | 300 | 9,000 | 4,000 (5,000) |
*Сюда входят физические ядра, а не ядра с гиперпотоками.
**Средние числа (пиковые числа)
Примечание.
- Центр ATA может обрабатывать агрегированное не более 1 МЛН пакетов в секунду от всех отслеживаемых контроллеров домена. В некоторых средах один и тот же центр ATA может обрабатывать общий трафик, превышающий 1 МЛН, а некоторые среды могут превышать емкость ATA. Свяжитесь с нами по адресу azureatpfeedback@microsoft.com для получения помощи в планировании и оценке больших сред.
- Если объем свободного места достигает не менее 20 % или 200 ГБ, самая старая коллекция данных удаляется. Если невозможно успешно сократить сбор данных до этого уровня, будет зарегистрировано оповещение. ATA будет продолжать работать до достижения порогового значения в 5% или 50 ГБ бесплатного использования. На этом этапе ATA перестанет заполнять базу данных и будет выдано дополнительное оповещение.
- Центр ATA можно развернуть на любом поставщике IaaS, если выполнены требования к производительности, описанные в этой статье.
- Задержка хранилища для операций чтения и записи должна быть менее 10 мс.
- Соотношение между действиями чтения и записи составляет примерно 1:3 ниже 100 000 пакетов в секунду и 1:6 выше 100 000 пакетов в секунду.
- При запуске Центра в качестве виртуальной машины Центр должен постоянно выделять ей всю память. Дополнительные сведения о запуске центра ATA в качестве виртуальной машины см. в разделе Требования центра ATA.
- Для оптимальной производительности установите для параметра питания центра ATA значение Высокая производительность.
- При работе на физическом сервере база данных ATA должна отключить неоднородный доступ к памяти (NUMA) в BIOS. Ваша система может называться NUMA чередованием узлов. В этом случае необходимо включить чередование узлов, чтобы отключить NUMA. Дополнительные сведения см. в документации по BIOS. Это не актуально, если центр ATA работает на виртуальном сервере.
Выбор подходящего типа шлюза для развертывания
В развертывании ATA поддерживается любое сочетание типов шлюзов ATA:
- Только шлюзы ATA
- Только упрощенные шлюзы ATA
- Сочетание обоих вариантов
При выборе типа развертывания шлюза учитывайте следующие преимущества:
| Тип шлюза | Преимущества | Стоимость | Топология развертывания | Использование контроллера домена |
|---|---|---|---|---|
| Шлюз ATA | Развертывание вне полосы усложняет обнаружение ata злоумышленниками | Higher | Устанавливается рядом с контроллером домена (вне диапазона) | Поддерживает до 50 000 пакетов в секунду |
| Упрощенный шлюз ATA | Не требует выделенного сервера и конфигурации зеркального отображения портов. | Lower | Установленный на контроллере домена | Поддерживает до 10 000 пакетов в секунду |
Ниже приведены примеры сценариев, в которых контроллеры домена должны быть охвачены упрощенным шлюзом ATA.
Сайты филиалов
Виртуальные контроллеры домена, развернутые в облаке (IaaS)
Ниже приведены примеры сценариев, в которых контроллеры домена должны быть охвачены шлюзом ATA.
- Центры обработки данных штаб-квартиры (с контроллерами домена с более чем 10 000 пакетов в секунду)
Размер упрощенного шлюза ATA
Упрощенный шлюз ATA может поддерживать мониторинг одного контроллера домена в зависимости от объема сетевого трафика, генерируемого контроллером домена.
| Количество пакетов в секунду* | ЦП (ядра**) | Память (ГБ)*** |
|---|---|---|
| 1,000 | 2 | 6 |
| 5,000 | 6 | 16 |
| 10,000 | 10 | 24 |
*Общее количество пакетов в секунду на контроллере домена, отслеживаемом определенным упрощенным шлюзом ATA.
**Общее количество ядер, не относящихся к hyper-потокам, установленных этим контроллером домена.
Хотя использование гиперпотоков приемлемо для упрощенного шлюза ATA, при планировании емкости следует учитывать фактические ядра, а не ядра с гиперпотоками.
Общий объем памяти, установленной этим контроллером домена.
Примечание.
- Если у контроллера домена нет ресурсов, необходимых для упрощенного шлюза ATA, производительность контроллера домена не влияет, но упрощенный шлюз ATA может работать неправильно.
- При запуске шлюза в качестве виртуальной машины шлюз должен постоянно выделять ей всю память. Дополнительные сведения о запуске шлюза ATA в качестве виртуальной машины см. в разделе Требования к динамической памяти.
- Для оптимальной производительности установите для параметра питания упрощенного шлюза ATA значение Высокая производительность.
- Требуется не менее 5 ГБ места и рекомендуется 10 ГБ, включая пространство, необходимое для двоичных файлов ATA, журналов ATA и журналов производительности.
Определение размера шлюза ATA
При принятии решения о том, сколько шлюзов ATA следует развернуть, учитывайте следующие проблемы.
-
Леса и домены Active Directory
ATA может отслеживать трафик из нескольких доменов из одного леса Active Directory. Для мониторинга нескольких лесов Active Directory требуются отдельные развертывания ATA. Не настраивайте одно развертывание ATA для мониторинга сетевого трафика контроллеров домена из разных лесов. -
Зеркальное отображение портов
Рекомендации по зеркальным отображениям портов могут потребовать развертывания нескольких шлюзов ATA для каждого шлюза данных или сайта филиала. -
Емкость
Шлюз ATA может поддерживать мониторинг нескольких контроллеров домена в зависимости от объема сетевого трафика отслеживаемых контроллеров домена.
| Количество пакетов в секунду* | ЦП (ядра**) | Память (ГБ) |
|---|---|---|
| 1,000 | 1 | 6 |
| 5,000 | 2 | 10 |
| 10,000 | 3 | 12 |
| 20,000 | 6 | 24 |
| 50 000 | 16 | 48 |
* Общее среднее количество пакетов в секунду от всех контроллеров домена, отслеживаемых конкретным шлюзом ATA в течение самого загруженного часа дня.
*Общий объем трафика, отражаемого через порты контроллера домена, не может превышать емкость сетевого адаптера записи в шлюзе ATA.
**Hyper-threading должен быть отключен.
Примечание.
- При запуске шлюза в качестве виртуальной машины шлюз должен постоянно выделять ей всю память. Дополнительные сведения о запуске шлюза ATA в качестве виртуальной машины см. в разделе Требования к динамической памяти.
- Для оптимальной производительности установите для параметра Питания шлюза ATA значение Высокая производительность.
- Требуется не менее 5 ГБ места и рекомендуется 10 ГБ, включая пространство, необходимое для двоичных файлов ATA, журналов ATA и журналов производительности.