Central Node 组件的计算

在虚拟平台上部署应用程序比在物理服务器上部署应用程序需要多 10% 的 CPU 资源。在虚拟磁盘设置中,必须选择厚置备磁盘类型。

为了避免在虚拟平台上部署应用程序时可能出现的性能下降,我们建议:

具有 Central Node 和 Sensor 组件的服务器的硬件要求

安装 Central Node 和 Sensor 组件的服务器的硬件要求取决于以下条件:

如果处理的流量大于 1 Gbps,则必须在独立服务器上安装 Central Node 和 Sensor 组件。

下表列出了根据所使用的功能对 Central Node 服务器的硬件要求。

请注意,启用事件链扫描功能后,Central Node 服务器将适用不同的硬件要求。请参阅“启用事件扫描索功能的 Central Node 服务器的硬件要求”部分。

使用 KEDR 功能时对具有 Central Node 组件的服务器的硬件要求

具有 Endpoint Agent 组件的最大主机数量

最小 RAM (GB)

3 GHz 时的最小逻辑核心数

第一个磁盘子系统(RAID 1 或 RAID 10)

第二个磁盘子系统 (RAID 10)

ROPS(每秒读取操作数)

WOPS(每秒写入操作数)

磁盘阵列大小 (TB)

阵列中的磁盘数量

ROPS(每秒读取操作数)

WOPS(每秒写入操作数)

磁盘阵列大小 (TB)

1000

64

8

100

1000

1

4

300

200

大至 7.2 TB

3000

80

12

100

1000

1

4

700

500

5000

96

16

100

1000

1

4

1000

600

10,000

144

24

100

1000

1

4

2000

800

15,000

192

32

100

1000

1

4

2000

800

使用 KATA 和 KEDR 功能时,具有 Central Node 组件的服务器的硬件要求

具有 Endpoint Agent 组件的最大主机数量

每秒的最大电子邮件数

来自具有 Central Node 组件的服务器上的 SPAN 端口的最大流量

来自具有 Sensor 组件的服务器上的 SPAN 端口的最大流量 (Mbps)

最小 RAM (GB)

3 GHz 时的最小逻辑核心数

第一个磁盘子系统(RAID 1 或 RAID 10)

第二个磁盘子系统 (RAID 10)

ROPS(每秒读取操作数)

WOPS(每秒写入操作数)

磁盘阵列大小 (TB)

阵列中的磁盘数量

ROPS(每秒读取操作数)

WOPS(每秒写入操作数)

1000

1

200

没有处理

96

16

100

1000

1.9

4

300

300

2000

2

500

没有处理

128

24

100

1000

2

4

500

500

5000

1

1000

没有处理

160

36

100

1000

2

4

1000

600

10,000

2

1000

没有处理

224

48

100

1000

2

4

2000

800

5000

5

没有处理

2000

144

32

100

1000

1.9

4

1000

600

10,000

20

没有处理

4000

224

56

100

1000

1.9

4

2000

800

15,000

20

没有处理

4000

256

64

100

1000

1.9

4

2000

800

15,000

20

没有处理

7000

320

104

100

1000

1.9

4

2000

800

15,000

20

没有处理

10,000

320

144

100

1000

1.9

4

2000

800

使用 КАТА 功能时对具有 Central Node 组件的服务器的硬件要求

每秒的最大电子邮件数

来自具有 Central Node 组件的服务器上的 SPAN 端口的最大流量

来自具有 Sensor 组件的服务器上的 SPAN 端口的最大流量 (Mbps)

最小 RAM (GB)

3 GHz 时的最小逻辑核心数

第一个磁盘子系统(RAID 1 或 RAID 10)

ROPS(每秒读取操作数)

WOPS(每秒写入操作数)

磁盘阵列大小 (TB)

阵列中的磁盘数量

2

500

没有处理

64

20

100

1000

2

4

2

1000

没有处理

80

28

100

1000

2

4

5

没有处理

2000

64

20

100

1000

2

4

20

没有处理

4000

80

40

100

1000

2

2

20

没有处理

7000

128

72

100

1000

2

2

20

没有处理

10,000

128

112

100

1000

2

2

如果您使用聚合流量的设备(例如网络包代理或网络轻触),则在计算硬件要求时,混合企业流量将被列为带有中央节点组件的服务器上的 SPAN 端口的最大流量带有传感器组件的服务器上的 SPAN 端口的最大流量列中的流量

Kaspersky Anti Targeted Attack Platform 不支持对软件 RAID 阵列的操作。

CPU 必须支持 BMI2、AVX 和 AVX2 指令集。

Kaspersky Anti Targeted Attack Platform 组件所需服务器配置的计算示例

如果您想:

  • 处理来自吞吐量高达 4 Gbps 的网络设备的流量;
  • 每秒处理 20 封电子邮件;
  • 使用 15000 台具有 Kaspersky Endpoint Security for Windows 的主机 5000 台具有 Kaspersky Endpoint Security for Linux 或 Kaspersky Endpoint Security for Mac 的主机,

您需要两台具有以下硬件的服务器:

  • 具有 Central Node 组件的服务器:至少 256 GB RAM 和至少 64 个逻辑 CPU 核心
  • 具有 Sensor 组件的服务器:至少 92 GB RAM 和至少 32 个逻辑 CPU 核心

上述计算也适用于具有 5000 台装有 Kaspersky Endpoint Security for Linux 的主机或组件组合(例如,9000 台装有 Kaspersky Endpoint Security for Windows 和 2000 台装有 Kaspersky Endpoint Security for Linux 的主机)的基础架构。

Central Node 服务器的磁盘空间要求

具有 Central Node 组件的服务器在第一个磁盘子系统上必须至少有 2000 GB 的可用空间,在第二个磁盘子系统上必须至少有 2400 GB 的可用空间。第二个磁盘子系统所需的空间量取决于首选存储策略,可以使用以下公式计算:

150 GB + <Kaspersky Endpoint Agent 或 Kaspersky Endpoint Security for Windows 主机的数量>/15,000 * (400 GB + 380 GB * <存储数据的天数>)/0.65,但不超过 12 TB。

如果要使用事件链扫描功能,请使用以下公式计算第二个磁盘子系统上的空间要求:

150 GB + <Kaspersky Endpoint Agent 或 Kaspersky Endpoint Security for Windows 主机的数量>/15,000 * (600 GB + 380 GB * <存储数据的天数>)/0.65,但不超过 12 TB。

这些公式可用于粗略估计所需的磁盘空间。实际存储的数据量取决于组织的流量概况,并且可能与计算结果不同。

如果您没有将 Central Node 和 Sensor 组件安装为高可用性集群,则必须使用以下公式计算事件数据库,GB存储,GB 设置的磁盘空间:

A = F - R,GB。

其中

如果连接到 Central Node 组件的主机数量在列出的值之间,请在计算中使用较大的数字。

预留的可用空间量取决于 Endpoint Agent 主机的数量

Endpoint Agent 主机数量

预留的可用空间量 (GB)

1000

1000

3000

1200

5000

1400

10,000

1900

15,000

2400

如果您已配置集成以使用 REST API 扫描外部系统对象,则必须提高对 Central Node 服务器的硬件要求。其他硬件要求如下表所示。

具有集成外部系统的 Central Node 组件的服务器的硬件要求

每秒处理的最大对象数

其他逻辑核心数

具有 Sandbox 组件的其他服务器的数量

8

2

1

16

4

2

24

7

3

如果您配置了集成以使用 REST API 将事件发送到外部系统,则必须提高对 Central Node 服务器的硬件要求,增加 1 个逻辑内核和 6 GB RAM。

如果要节省网络流量,则必须增加对 Central Node 服务器的硬件要求。有关硬件要求的更多详细信息,请参阅“Sensor 组件的计算” → “保存原始网络流量时 Sensor 的硬件要求”。

分布式解决方案模式下 PCN 服务器的要求

如果您正在使用分布式解决方案模式,则在计算硬件要求时,必须考虑到 PCN 服务器的硬件要求(RAM 和逻辑核心数)比具有 Central Node 组件的服务器的硬件要求高 10%。下表列出了具有 Central Node 组件的服务器的硬件要求:使用 KEDR 功能时对具有 Central Node 组件的服务器的硬件要求;使用 KATA+KEDR 功能时对具有 Central Node 组件的服务器的硬件要求;使用 КАТА 功能时对具有 Central Node 组件的服务器的硬件要求(见上文)。

您最多可以将 30 台 SCN 服务器连接到一台 PCN 服务器。

通信信道要求

您必须确保具有 Central Node 组件的服务器与每个网段之间有足够的通信信道带宽,具体取决于网段中具有 Endpoint Agent 组件的主机数量。下表列出了带宽要求,具体取决于具有 Endpoint Agent 组件的主机数量。

通信信道带宽取决于 Endpoint Agent 主机的数量

具有 Endpoint Agent 组件的最大主机数量

为 Endpoint Agent 组件保留的通信信道所需带宽 (Mbps)

10

1

50

2

100

3

1000

20

10,000

200

分布式解决方案模式下 PCN 和 SCN 服务器之间通信信道的最低要求如下表所示。

PCN 和 SCN 服务器之间通信信道的最低要求

具有 Endpoint Agent 组件的最大主机数量

每秒的最大电子邮件数

SPAN 端口的最大流量 (Mbps)

所需通信信道带宽 (Mbps)

5000

5

2000

20

10,000

20

4000

30

Central Node 集群服务器的硬件要求

一个集群必须至少包含 4 台服务器:2 台存储服务器和 2 台处理服务器。如果您有多达 15000 台具有 Kaspersky Endpoint Agent 组件的联机主机,则至少需要 2 台存储服务器和 2 台处理服务器。如果您有 15000 到 30000 台具有 Kaspersky Endpoint Agent 组件的联机主机,则至少需要 2 台存储服务器和 3 台处理服务器。

每台集群服务器必须有两个网络适配器来配置集群和外部子网。集群子网的速率必须高达 10 Gbps。

集群子网还必须满足以下要求:

下表列出了使用 KEDR 功能时集群服务器的硬件要求。

使用 KEDR 功能时处理服务器的硬件要求

最小RAM (GB)

最小逻辑核心数

RAID 磁盘阵列类型

RAID 磁盘阵列中的磁盘数

单硬盘容量 (GB)

256

48

RAID 1

2

1200

使用 KEDR 功能时存储服务器的硬件要求

最小RAM (GB)

最小逻辑核心数

第一个磁盘子系统

第二个磁盘子系统

RAID 磁盘阵列类型

RAID 磁盘阵列中的磁盘数

单硬盘容量 (GB)

磁盘数量

单硬盘容量 (GB)

128

16

RAID 1

2

1200

至少 6

至少 1200

我们建议两个磁盘子系统使用相同大小的磁盘。对于第二个磁盘子系统,您必须使用未组合成 RAID 阵列的磁盘。

磁盘子系统的性能要求相当于使用 KEDR 功能时具有 Central Node 组件的服务器的硬件要求表中指定的性能要求(见上文)。

另请参阅

Sensor 组件的计算

KVM 虚拟化平台上部署的 Central Node 组件的计算

Sandbox 组件计算

页面顶部