Central Node 组件的计算

在虚拟平台上部署应用程序比在物理服务器上部署应用程序需要多 10% 的 CPU 资源。在虚拟磁盘设置中,必须选择厚置备磁盘类型。

为了避免在虚拟平台上部署应用程序时可能出现的性能下降,您需要执行以下操作:

带有嵌入式 Sensor 的 Central Node 服务器的硬件要求

带有嵌入式 Sensor 的 Central Node 服务器的硬件要求取决于以下条件:

如果处理的流量大于 1 Gbps,则必须在独立服务器上安装 Central Node 和 Sensor 组件。

下表列出了根据所使用的功能对 Central Node 服务器的硬件要求。

请注意,启用事件链扫描功能后,Central Node 服务器将适用不同的硬件要求。请参阅“启用事件扫描索功能的 Central Node 服务器的硬件要求”部分。

使用 KEDR 功能时对 Central Node 服务器的硬件要求

具有 Endpoint Agent 组件的最大主机数量

最小 RAM (GB)

3 GHz 时的最小逻辑核心数

第一个磁盘子系统(RAID 1 或 RAID 10)

第二个磁盘子系统 (RAID 10)

ROPS(每秒读取操作数)

WOPS(每秒写入操作数)

磁盘阵列大小 (TB)

阵列中的磁盘数量

ROPS(每秒读取操作数)

WOPS(每秒写入操作数)

磁盘阵列大小 (TB)

1000

80

10

100

250

1

4

300

250

大至 12 TB

3000

96

16

100

500

1

4

500

500

5000

112

20

100

500

1

4

700

600

10000

160

32

100

500

1

4

1000

800

15000

208

44

100

500

1

4

1500

1000

使用 KATA 和 KEDR 功能时,具有 Central Node 组件的服务器的硬件要求

具有 Endpoint Agent 组件的最大主机数量

每秒的最大电子邮件数

来自具有 Central Node 组件的服务器上的 SPAN 端口的最大流量

来自具有 Sensor 组件的服务器上的 SPAN 端口的最大流量 (Mbps)

最小 RAM (GB)

3 GHz 时的最小逻辑核心数

第一个磁盘子系统(RAID 1 或 RAID 10)

第二个磁盘子系统 (RAID 10)

ROPS(每秒读取操作数)

WOPS(每秒写入操作数)

磁盘阵列大小 (TB)

阵列中的磁盘数量

ROPS(每秒读取操作数)

WOPS(每秒写入操作数)

1000

1

200

没有处理

128

24

100

1000

1.9

4

300

300

2000

2

500

没有处理

144

32

100

1000

2

4

500

500

5000

1

1000

没有处理

192

48

100

1000

2

4

1000

600

10000

2

1000

没有处理

240

60

100

1000

2

4

2000

800

5000

5

没有处理

2000

176

60

100

1000

1.9

4

1000

600

10000

20

没有处理

4000

240

96

100

1000

1.9

4

2000

800

15000

20

没有处理

4000

288

108

100

1000

1.9

4

2000

800

15000

20

没有处理

7000

320

144

100

1000

1.9

4

2000

800

15000

20

没有处理

10000

336

180

100

1000

1.9

4

2000

800

如果您想在“Brest”或“RED Virtualization”虚拟平台上安装 Central Node 组件并使用 KEDR 或 KATA+KEDR 功能,则需要将最低逻辑内核数增加 20%。如果您想在 Hypervisor 操作系统级别缓解 Spectre 或 Meltdown 类型的漏洞,则需要额外将最小逻辑内核数量增加 1.5 倍。虚拟服务器的其他硬件要求与物理服务器的要求类似,如上表所列。

使用 КАТА 功能时对具有 Central Node 组件的服务器的硬件要求

每秒的最大电子邮件数

来自具有 Central Node 组件的服务器上的 SPAN 端口的最大流量

来自具有 Sensor 组件的服务器上的 SPAN 端口的最大流量 (Mbps)

最小 RAM (GB)

3 GHz 时的最小逻辑核心数

第一个磁盘子系统(RAID 1 或 RAID 10)

ROPS(每秒读取操作数)

WOPS(每秒写入操作数)

磁盘阵列大小 (TB)

阵列中的磁盘数量

2

500

没有处理

72

24

100

1000

2

4

2

1000

没有处理

88

36

100

1000

2

4

5

没有处理

2000

80

44

100

1000

2

4

20

没有处理

4000

96

72

100

1000

2

2

20

没有处理

7000

128

108

100

1000

2

2

20

没有处理

10000

144

144

100

1000

2

2

如果您想在“Brest”或“RED Virtualization”虚拟平台上安装 Central Node 组件并使用 KATA 功能,则需要将最低逻辑内核数增加 30%。如果您想在 Hypervisor 操作系统级别缓解 Spectre 或 Meltdown 类型的漏洞,则需要额外将最小逻辑内核数量增加 1.5 倍。虚拟服务器的其他硬件要求与物理服务器的要求类似,如上表所列。

使用 KATA、KEDR 和 NDR 功能时,具有 Central Node 组件的服务器的硬件要求

与 KEDR 功能集成的 Endpoint Agent 主机的最大数量

每秒的最大电子邮件数

来自具有 Central Node 组件的服务器上的 SPAN 端口的最大流量

来自具有 Sensor 组件的服务器上的 SPAN 端口的最大流量 (Mbps)

最小 RAM (GB)

3 GHz 时的最小逻辑核心数

第一个磁盘子系统(RAID 1 或 RAID 10)

第二个磁盘子系统 (RAID 10)

ROPS(每秒读取操作数)

WOPS(每秒写入操作数)

磁盘阵列大小 (TB)

阵列中的磁盘数量

ROPS(每秒读取操作数)

WOPS(每秒写入操作数)

1000

1

200

没有处理

160

28

100

1000

2

4

400

500

2000

2

500

没有处理

176

40

100

1000

2

4

600

800

5000

1

1000

没有处理

224

56

100

1200

2

4

1200

1000

10000

2

1000

没有处理

272

68

100

1200

2

4

2200

1200

5000

5

没有处理

2000

208

64

100

1200

2

4

1200

1000

10000

20

没有处理

4000

272

104

100

1500

2

4

2200

1200

15000

20

没有处理

4000

320

116

100

1500

2

4

2200

1200

15000

20

没有处理

7000

352

152

200

2000

2

4

2300

1200

15000

20

没有处理

10000

384

188

200

2000

2

4

2300

1200

作为与 NDR 功能块集成的一部分,最多 1000 个 Endpoint Agent 组件可以连接到单个 Central Node 组件。

使用 KATA 和 KEDR 功能时,具有 Central Node 组件的服务器的硬件要求

每秒的最大电子邮件数

来自具有 Central Node 组件的服务器上的 SPAN 端口的最大流量

来自具有 Sensor 组件的服务器上的 SPAN 端口的最大流量 (Mbps)

最小 RAM (GB)

3 GHz 时的最小逻辑核心数

第一个磁盘子系统(RAID 1 或 RAID 10)

ROPS(每秒读取操作数)

WOPS(每秒写入操作数)

磁盘阵列大小 (TB)

阵列中的磁盘数量

2

500

没有处理

96

32

100

1000

2

4

2

1000

没有处理

128

44

200

2000

2

4

5

没有处理

2000

112

52

200

2000

2

4

20

没有处理

4000

128

80

200

2000

2

4

20

没有处理

7000

160

116

300

2500

2

4

20

没有处理

10000

192

152

300

2500

2

4

作为与 NDR 功能块集成的一部分,最多 1000 个 Endpoint Agent 组件可以连接到单个 Central Node 组件。

Kaspersky Anti Targeted Attack Platform 不支持对软件 RAID 阵列的操作。

CPU 必须支持 BMI2、AVX 和 AVX2 指令集。

Central Node 服务器的磁盘空间要求

对于 Central Node 服务器,我们建议在第一个磁盘子系统上有 2000 GB 的可用空间,在第二个磁盘子系统上有 2400 GB。第二个磁盘子系统所需的空间量取决于首选存储策略,可以使用以下公式计算:

150 GB + <Kaspersky Endpoint Agent 或 Kaspersky Endpoint Security for Windows 主机的数量>/15000 * (400 GB + 460 GB * <存储数据的天数>)/0.65,但不超过 12 TB。

如果要使用事件链扫描功能,请使用以下公式计算第二个磁盘子系统上的空间要求:

150 GB + <Kaspersky Endpoint Agent 或 Kaspersky Endpoint Security for Windows 主机的数量>/15000 * (600 GB + 460 GB * <存储数据的天数>)/0.65,但不超过 12 TB。

使用 NDR 功能时,必须按照以下公式在第二个磁盘子系统上分配额外的空间:

(连接到 NDR 功能块的 Endpoint Agent 组件数量> * 0.02 GB + <来自 SPAN 端口的流量 (Gbps)> * 10 GB) * <您要存储多少天的数据>

这些公式可用于粗略估计所需的磁盘空间。实际存储的数据量取决于组织的流量概况,并且可能与计算结果不同。

如果您没有将 Central Node 安装为高可用性集群,您必须使用以下公式计算“事件数据库,GB存储,GB”参数的磁盘空间:

A = F - R,GB。

其中

如果连接到 Central Node 的主机数量在列出的值之间,请在计算中使用较大的数字。

预留的可用空间量取决于 Endpoint Agent 主机的数量

Endpoint Agent 主机数量

预留的可用空间量 (GB)

1000

1000

3000

1200

5000

1400

10000

1900

15000

2400

如果您已配置集成以使用 REST API 扫描外部系统对象,则必须提高对 Central Node 服务器的硬件要求。其他硬件要求如下表所示。

具有集成外部系统的 Central Node 服务器的硬件要求

每秒处理的最大对象数

其他逻辑核心数

附加 Sandbox 服务器的数量

8

2

1

16

4

2

24

7

3

如果您配置了集成以使用 REST API 将事件发送到外部系统,则必须提高对 Central Node 服务器的硬件要求,增加 1 个逻辑内核和 6 GB RAM。

如果要节省网络流量,则必须增加对 Central Node 服务器的硬件要求。有关硬件要求的更多详细信息,请参阅“Sensor 组件的计算” → “保存原始网络流量时 Sensor 的硬件要求”。

分布式解决方案模式下 PCN 服务器的要求

如果使用分布式解决方案模式,需要考虑到当连接最多 10 个 SCN 时,PCN 服务器上的最小 RAM 量和最小逻辑核心数必须比非分布式解决方案模式下的 Central Node 服务器高 10%。SCN 上的负载可以在 Central Node 服务器的硬件要求中指定的限制范围内变化。您最多可以将 150 台 SCN 连接到一台 PCN。

Central Node 服务器的硬件要求如下表所示(见上文):

通信信道要求

您必须确保 Central Node 服务器与每个网段之间有足够的通信信道带宽,具体取决于网段中 Endpoint Agent 主机数量。下表列出了带宽要求,具体取决于 Endpoint Agent 主机数量。

通信信道带宽取决于 Endpoint Agent 主机的数量

Endpoint Agent 主机最大数量

为 Endpoint Agent 主机保留的通信信道所需带宽 (Mbps)

10

1

50

2

100

3

1000

20

10000

200

分布式解决方案模式下 PCN 和 SCN 服务器之间通信信道的最低要求如下表所示。

PCN 和 SCN 服务器之间通信信道的最低要求

Endpoint Agent 主机最大数量

每秒的最大电子邮件数

SPAN 端口的最大流量 (Mbps)

所需通信信道带宽 (Mbps)

5000

5

2000

20

10000

20

4000

30

Central Node 集群服务器的硬件要求

一个集群必须至少包含 4 台服务器:2 台存储服务器和 2 台处理服务器。如果您有多达 15000 台 Endpoint Agent 联机主机,则至少需要 2 台存储服务器和 2 台处理服务器。如果您有 15000 到 30000 台 Endpoint Agent 联机主机,则至少需要 2 台存储服务器和 3 台处理服务器。

每台集群服务器必须有两个网络适配器来配置集群和外部子网。集群子网的速率必须高达 10 Gbps。

集群子网还必须满足以下要求:

下表列出了使用 KEDR 功能时集群服务器的硬件要求。

使用 KEDR 功能时处理服务器的硬件要求

最小 RAM (GB)

最小逻辑核心数

RAID 磁盘阵列类型

RAID 磁盘阵列中的磁盘数

单硬盘容量 (GB)

256

48

RAID 1

2

1200

使用 KEDR 功能时存储服务器的硬件要求

最小 RAM (GB)

最小逻辑核心数

第一个磁盘子系统

第二个磁盘子系统

RAID 磁盘阵列类型

RAID 磁盘阵列中的磁盘数

单硬盘容量 (GB)

磁盘数量

单硬盘容量 (GB)

128

16

RAID 1

2

1200

至少 6

至少 1200

我们建议两个磁盘子系统使用相同大小的磁盘。对于第二个磁盘子系统,您必须使用未组合成 RAID 阵列的磁盘。

磁盘子系统的性能要求相当于“使用 KEDR 功能时 Central Node 服务器的硬件要求”表中指定的性能要求(见上文)。

另请参阅

Sensor 组件的计算

启用事件链扫描的 Central Node 组件的计算

Sandbox 组件计算

KVM 和 VMware ESXi 虚拟化平台上部署的 Central Node 组件的计算

页面顶部