在虚拟平台上部署应用程序比在物理服务器上部署应用程序需要多 10% 的 CPU 资源。在虚拟磁盘设置中,必须选择厚置备磁盘类型。
为了避免在虚拟平台上部署应用程序时可能出现的性能下降,您需要执行以下操作:
带有嵌入式 Sensor 的 Central Node 服务器的硬件要求
带有嵌入式 Sensor 的 Central Node 服务器的硬件要求取决于以下条件:
要确定用于计算服务器负载的已处理解密流量,请使用以下公式:
<ArtX TLSProxy 1.9.1 传输的解密流量> = 5 * <未加密流量>
要确定 ICAP 服务器上处理的流量以计算服务器上的负载,请使用以下公式:
<在 ICAP 服务器上处理的流量> = 5 * <未在 ICAP 服务器上处理的流量>
Endpoint Agent 组件可以安装在工作站、终端服务器、文件服务器或网络附加存储 (NAS) 上。
以下“帮助”部分提供了有关代表 Endpoint Agent 组件的应用程序版本与 Kaspersky Anti Targeted Attack Platform 版本的兼容性的信息:Kaspersky Endpoint Agent for Windows、Kaspersky Endpoint Security for Windows、Kaspersky Endpoint Security for Linux、Kaspersky Endpoint Security for Mac。
Kaspersky Endpoint Agent for Windows 也可以安装在 SCADA 服务器上。
要确定具有 Endpoint Agent 组件的有效主机数量来计算服务器负载,可以使用以下公式:
K = A+3*B+20*C
其中
如果处理的流量大于 1 Gbps,则必须在独立服务器上安装 Central Node 和 Sensor 组件。
下表列出了根据所使用的功能对 Central Node 服务器的硬件要求。
请注意,启用事件链扫描功能后,Central Node 服务器将适用不同的硬件要求。请参阅“启用事件扫描索功能的 Central Node 服务器的硬件要求”部分。
使用 KEDR 功能时对 Central Node 服务器的硬件要求
具有 Endpoint Agent 组件的最大主机数量 |
最小 RAM (GB) |
3 GHz 时的最小逻辑核心数 |
第一个磁盘子系统(RAID 1 或 RAID 10) |
第二个磁盘子系统 (RAID 10) |
|||||
|---|---|---|---|---|---|---|---|---|---|
ROPS(每秒读取操作数) |
WOPS(每秒写入操作数) |
磁盘阵列大小 (TB) |
阵列中的磁盘数量 |
ROPS(每秒读取操作数) |
WOPS(每秒写入操作数) |
磁盘阵列大小 (TB) |
|||
1000 |
80 |
10 |
100 |
250 |
1 |
4 |
300 |
250 |
大至 12 TB |
3000 |
96 |
16 |
100 |
500 |
1 |
4 |
500 |
500 |
|
5000 |
112 |
20 |
100 |
500 |
1 |
4 |
700 |
600 |
|
10000 |
160 |
32 |
100 |
500 |
1 |
4 |
1000 |
800 |
|
15000 |
208 |
44 |
100 |
500 |
1 |
4 |
1500 |
1000 |
|
使用 KATA 和 KEDR 功能时,具有 Central Node 组件的服务器的硬件要求
具有 Endpoint Agent 组件的最大主机数量 |
每秒的最大电子邮件数 |
来自具有 Central Node 组件的服务器上的 SPAN 端口的最大流量 |
来自具有 Sensor 组件的服务器上的 SPAN 端口的最大流量 (Mbps) |
最小 RAM (GB) |
3 GHz 时的最小逻辑核心数 |
第一个磁盘子系统(RAID 1 或 RAID 10) |
第二个磁盘子系统 (RAID 10) |
||||
|---|---|---|---|---|---|---|---|---|---|---|---|
ROPS(每秒读取操作数) |
WOPS(每秒写入操作数) |
磁盘阵列大小 (TB) |
阵列中的磁盘数量 |
ROPS(每秒读取操作数) |
WOPS(每秒写入操作数) |
||||||
1000 |
1 |
200 |
没有处理 |
128 |
24 |
100 |
1000 |
1.9 |
4 |
300 |
300 |
2000 |
2 |
500 |
没有处理 |
144 |
32 |
100 |
1000 |
2 |
4 |
500 |
500 |
5000 |
1 |
1000 |
没有处理 |
192 |
48 |
100 |
1000 |
2 |
4 |
1000 |
600 |
10000 |
2 |
1000 |
没有处理 |
240 |
60 |
100 |
1000 |
2 |
4 |
2000 |
800 |
5000 |
5 |
没有处理 |
2000 |
176 |
60 |
100 |
1000 |
1.9 |
4 |
1000 |
600 |
10000 |
20 |
没有处理 |
4000 |
240 |
96 |
100 |
1000 |
1.9 |
4 |
2000 |
800 |
15000 |
20 |
没有处理 |
4000 |
288 |
108 |
100 |
1000 |
1.9 |
4 |
2000 |
800 |
15000 |
20 |
没有处理 |
7000 |
320 |
144 |
100 |
1000 |
1.9 |
4 |
2000 |
800 |
15000 |
20 |
没有处理 |
10000 |
336 |
180 |
100 |
1000 |
1.9 |
4 |
2000 |
800 |
如果您想在“Brest”或“RED Virtualization”虚拟平台上安装 Central Node 组件并使用 KEDR 或 KATA+KEDR 功能,则需要将最低逻辑内核数增加 20%。如果您想在 Hypervisor 操作系统级别缓解 Spectre 或 Meltdown 类型的漏洞,则需要额外将最小逻辑内核数量增加 1.5 倍。虚拟服务器的其他硬件要求与物理服务器的要求类似,如上表所列。
使用 КАТА 功能时对具有 Central Node 组件的服务器的硬件要求
每秒的最大电子邮件数 |
来自具有 Central Node 组件的服务器上的 SPAN 端口的最大流量 |
来自具有 Sensor 组件的服务器上的 SPAN 端口的最大流量 (Mbps) |
最小 RAM (GB) |
3 GHz 时的最小逻辑核心数 |
第一个磁盘子系统(RAID 1 或 RAID 10) |
|||
|---|---|---|---|---|---|---|---|---|
ROPS(每秒读取操作数) |
WOPS(每秒写入操作数) |
磁盘阵列大小 (TB) |
阵列中的磁盘数量 |
|||||
2 |
500 |
没有处理 |
72 |
24 |
100 |
1000 |
2 |
4 |
2 |
1000 |
没有处理 |
88 |
36 |
100 |
1000 |
2 |
4 |
5 |
没有处理 |
2000 |
80 |
44 |
100 |
1000 |
2 |
4 |
20 |
没有处理 |
4000 |
96 |
72 |
100 |
1000 |
2 |
2 |
20 |
没有处理 |
7000 |
128 |
108 |
100 |
1000 |
2 |
2 |
20 |
没有处理 |
10000 |
144 |
144 |
100 |
1000 |
2 |
2 |
如果您想在“Brest”或“RED Virtualization”虚拟平台上安装 Central Node 组件并使用 KATA 功能,则需要将最低逻辑内核数增加 30%。如果您想在 Hypervisor 操作系统级别缓解 Spectre 或 Meltdown 类型的漏洞,则需要额外将最小逻辑内核数量增加 1.5 倍。虚拟服务器的其他硬件要求与物理服务器的要求类似,如上表所列。
使用 KATA、KEDR 和 NDR 功能时,具有 Central Node 组件的服务器的硬件要求
与 KEDR 功能集成的 Endpoint Agent 主机的最大数量 |
每秒的最大电子邮件数 |
来自具有 Central Node 组件的服务器上的 SPAN 端口的最大流量 |
来自具有 Sensor 组件的服务器上的 SPAN 端口的最大流量 (Mbps) |
最小 RAM (GB) |
3 GHz 时的最小逻辑核心数 |
第一个磁盘子系统(RAID 1 或 RAID 10) |
第二个磁盘子系统 (RAID 10) |
||||
|---|---|---|---|---|---|---|---|---|---|---|---|
ROPS(每秒读取操作数) |
WOPS(每秒写入操作数) |
磁盘阵列大小 (TB) |
阵列中的磁盘数量 |
ROPS(每秒读取操作数) |
WOPS(每秒写入操作数) |
||||||
1000 |
1 |
200 |
没有处理 |
160 |
28 |
100 |
1000 |
2 |
4 |
400 |
500 |
2000 |
2 |
500 |
没有处理 |
176 |
40 |
100 |
1000 |
2 |
4 |
600 |
800 |
5000 |
1 |
1000 |
没有处理 |
224 |
56 |
100 |
1200 |
2 |
4 |
1200 |
1000 |
10000 |
2 |
1000 |
没有处理 |
272 |
68 |
100 |
1200 |
2 |
4 |
2200 |
1200 |
5000 |
5 |
没有处理 |
2000 |
208 |
64 |
100 |
1200 |
2 |
4 |
1200 |
1000 |
10000 |
20 |
没有处理 |
4000 |
272 |
104 |
100 |
1500 |
2 |
4 |
2200 |
1200 |
15000 |
20 |
没有处理 |
4000 |
320 |
116 |
100 |
1500 |
2 |
4 |
2200 |
1200 |
15000 |
20 |
没有处理 |
7000 |
352 |
152 |
200 |
2000 |
2 |
4 |
2300 |
1200 |
15000 |
20 |
没有处理 |
10000 |
384 |
188 |
200 |
2000 |
2 |
4 |
2300 |
1200 |
作为与 NDR 功能块集成的一部分,最多 1000 个 Endpoint Agent 组件可以连接到单个 Central Node 组件。
使用 KATA 和 KEDR 功能时,具有 Central Node 组件的服务器的硬件要求
每秒的最大电子邮件数 |
来自具有 Central Node 组件的服务器上的 SPAN 端口的最大流量 |
来自具有 Sensor 组件的服务器上的 SPAN 端口的最大流量 (Mbps) |
最小 RAM (GB) |
3 GHz 时的最小逻辑核心数 |
第一个磁盘子系统(RAID 1 或 RAID 10) |
|||
|---|---|---|---|---|---|---|---|---|
ROPS(每秒读取操作数) |
WOPS(每秒写入操作数) |
磁盘阵列大小 (TB) |
阵列中的磁盘数量 |
|||||
2 |
500 |
没有处理 |
96 |
32 |
100 |
1000 |
2 |
4 |
2 |
1000 |
没有处理 |
128 |
44 |
200 |
2000 |
2 |
4 |
5 |
没有处理 |
2000 |
112 |
52 |
200 |
2000 |
2 |
4 |
20 |
没有处理 |
4000 |
128 |
80 |
200 |
2000 |
2 |
4 |
20 |
没有处理 |
7000 |
160 |
116 |
300 |
2500 |
2 |
4 |
20 |
没有处理 |
10000 |
192 |
152 |
300 |
2500 |
2 |
4 |
作为与 NDR 功能块集成的一部分,最多 1000 个 Endpoint Agent 组件可以连接到单个 Central Node 组件。
Kaspersky Anti Targeted Attack Platform 不支持对软件 RAID 阵列的操作。
CPU 必须支持 BMI2、AVX 和 AVX2 指令集。
Central Node 服务器的磁盘空间要求
对于 Central Node 服务器,我们建议在第一个磁盘子系统上有 2000 GB 的可用空间,在第二个磁盘子系统上有 2400 GB。第二个磁盘子系统所需的空间量取决于首选存储策略,可以使用以下公式计算:
150 GB + <Kaspersky Endpoint Agent 或 Kaspersky Endpoint Security for Windows 主机的数量>/15000 * (400 GB + 460 GB * <存储数据的天数>)/0.65,但不超过 12 TB。
如果要使用事件链扫描功能,请使用以下公式计算第二个磁盘子系统上的空间要求:
150 GB + <Kaspersky Endpoint Agent 或 Kaspersky Endpoint Security for Windows 主机的数量>/15000 * (600 GB + 460 GB * <存储数据的天数>)/0.65,但不超过 12 TB。
使用 NDR 功能时,必须按照以下公式在第二个磁盘子系统上分配额外的空间:
(连接到 NDR 功能块的 Endpoint Agent 组件数量> * 0.02 GB + <来自 SPAN 端口的流量 (Gbps)> * 10 GB) * <您要存储多少天的数据>。
这些公式可用于粗略估计所需的磁盘空间。实际存储的数据量取决于组织的流量概况,并且可能与计算结果不同。
如果您没有将 Central Node 安装为高可用性集群,您必须使用以下公式计算“事件数据库,GB”和“存储,GB”参数的磁盘空间:
A = F - R,GB。
其中
如果连接到 Central Node 的主机数量在列出的值之间,请在计算中使用较大的数字。
预留的可用空间量取决于 Endpoint Agent 主机的数量
Endpoint Agent 主机数量 |
预留的可用空间量 (GB) |
|---|---|
1000 |
1000 |
3000 |
1200 |
5000 |
1400 |
10000 |
1900 |
15000 |
2400 |
如果您已配置集成以使用 REST API 扫描外部系统对象,则必须提高对 Central Node 服务器的硬件要求。其他硬件要求如下表所示。
具有集成外部系统的 Central Node 服务器的硬件要求
每秒处理的最大对象数 |
其他逻辑核心数 |
附加 Sandbox 服务器的数量 |
|---|---|---|
8 |
2 |
1 |
16 |
4 |
2 |
24 |
7 |
3 |
如果您配置了集成以使用 REST API 将事件发送到外部系统,则必须提高对 Central Node 服务器的硬件要求,增加 1 个逻辑内核和 6 GB RAM。
如果要节省网络流量,则必须增加对 Central Node 服务器的硬件要求。有关硬件要求的更多详细信息,请参阅“Sensor 组件的计算” → “保存原始网络流量时 Sensor 的硬件要求”。
分布式解决方案模式下 PCN 服务器的要求
如果使用分布式解决方案模式,需要考虑到当连接最多 10 个 SCN 时,PCN 服务器上的最小 RAM 量和最小逻辑核心数必须比非分布式解决方案模式下的 Central Node 服务器高 10%。SCN 上的负载可以在 Central Node 服务器的硬件要求中指定的限制范围内变化。您最多可以将 150 台 SCN 连接到一台 PCN。
Central Node 服务器的硬件要求如下表所示(见上文):
通信信道要求
您必须确保 Central Node 服务器与每个网段之间有足够的通信信道带宽,具体取决于网段中 Endpoint Agent 主机数量。下表列出了带宽要求,具体取决于 Endpoint Agent 主机数量。
通信信道带宽取决于 Endpoint Agent 主机的数量
Endpoint Agent 主机最大数量 |
为 Endpoint Agent 主机保留的通信信道所需带宽 (Mbps) |
|---|---|
10 |
1 |
50 |
2 |
100 |
3 |
1000 |
20 |
10000 |
200 |
分布式解决方案模式下 PCN 和 SCN 服务器之间通信信道的最低要求如下表所示。
PCN 和 SCN 服务器之间通信信道的最低要求
Endpoint Agent 主机最大数量 |
每秒的最大电子邮件数 |
SPAN 端口的最大流量 (Mbps) |
所需通信信道带宽 (Mbps) |
|---|---|---|---|
5000 |
5 |
2000 |
20 |
10000 |
20 |
4000 |
30 |
Central Node 集群服务器的硬件要求
一个集群必须至少包含 4 台服务器:2 台存储服务器和 2 台处理服务器。如果您有多达 15000 台 Endpoint Agent 联机主机,则至少需要 2 台存储服务器和 2 台处理服务器。如果您有 15000 到 30000 台 Endpoint Agent 联机主机,则至少需要 2 台存储服务器和 3 台处理服务器。
每台集群服务器必须有两个网络适配器来配置集群和外部子网。集群子网的速率必须高达 10 Gbps。
集群子网还必须满足以下要求:
下表列出了使用 KEDR 功能时集群服务器的硬件要求。
使用 KEDR 功能时处理服务器的硬件要求
最小 RAM (GB) |
最小逻辑核心数 |
RAID 磁盘阵列类型 |
RAID 磁盘阵列中的磁盘数 |
单硬盘容量 (GB) |
|---|---|---|---|---|
256 |
48 |
RAID 1 |
2 |
1200 |
使用 KEDR 功能时存储服务器的硬件要求
最小 RAM (GB) |
最小逻辑核心数 |
第一个磁盘子系统 |
第二个磁盘子系统 |
|||
|---|---|---|---|---|---|---|
RAID 磁盘阵列类型 |
RAID 磁盘阵列中的磁盘数 |
单硬盘容量 (GB) |
磁盘数量 |
单硬盘容量 (GB) |
||
128 |
16 |
RAID 1 |
2 |
1200 |
至少 6 |
至少 1200 |
我们建议两个磁盘子系统使用相同大小的磁盘。对于第二个磁盘子系统,您必须使用未组合成 RAID 阵列的磁盘。
磁盘子系统的性能要求相当于“使用 KEDR 功能时 Central Node 服务器的硬件要求”表中指定的性能要求(见上文)。