Руководство по масштабированию

В этом руководстве представлена информация по масштабированию Kaspersky Security Center Linux.

Об этом руководстве

Руководство по масштабированию Kaspersky Security Center Linux (далее также Kaspersky Security Center) адресовано специалистам, которые осуществляют установку и администрирование Kaspersky Security Center, и специалистам, которые осуществляют техническую поддержку организаций, использующих Kaspersky Security Center.

Все рекомендации и расчеты приведены для сетей, в которых Kaspersky Security Center управляет защитой устройств с установленным программным обеспечением "Лаборатории Касперского".

Для достижения и сохранения оптимальной производительности при различных условиях работы вам нужно учитывать количество устройств в сети, топологию сети и необходимый вам набор функций Kaspersky Security Center.

В руководстве приведена следующая информация:

• Ограничения Kaspersky Security Center
• о расчетах для ключевых узлов Kaspersky Security Center – Серверов администрирования и точек распространения:
  • об аппаратных требованиях к Серверам администрирования и к точкам распространения;
  • о расчете количества и иерархии Серверов администрирования;
  • о расчетах количества и конфигурации точек распространения;
• о настройке параметров сохранения событий в базе данных в зависимости от числа устройств в сети;
• общепринятые лучшие практики для оптимизации производительности;
• о настройке параметров некоторых задач для обеспечения оптимальной производительности Kaspersky Security Center;
• о потреблении трафика (нагрузке на сеть) между Сервером администрирования Kaspersky Security Center и каждым защищаемым устройством.

Рекомендуется обращаться к этому руководству в следующих ситуациях:

• при планировании ресурсов перед установкой Kaspersky Security Center;
• при планировании существенных изменений размеров сети, в которой развернут Kaspersky Security Center;
• при переходе от использования Kaspersky Security Center в ограниченном сегменте сети (тестовая среда) к полномасштабному развертыванию Kaspersky Security Center в корпоративной сети;
• при изменениях в наборе используемых функций Kaspersky Security Center.

Расчеты для Серверов администрирования

В этом разделе приведены аппаратные и программные требования для устройств, которые используются в качестве Серверов администрирования. Также даны рекомендации для расчета количества Серверов администрирования и их иерархии, в зависимости от конфигурации сети организации.

Расчет аппаратных ресурсов для Сервера администрирования

В этом разделе приведены расчеты, которыми можно руководствоваться при планировании аппаратных ресурсов для Сервера администрирования.

Аппаратные требования для СУБД и Сервера администрирования

В таблицах ниже приведены рекомендуемые минимальные аппаратные требования СУБД и Сервера администрирования, полученные в ходе тестирования. Полный список поддерживаемых операционных систем и СУБД см. в перечне аппаратных и программных требований.

В сети 50 000 устройств

Конфигурация устройства с Сервером администрирования

Конфигурация устройства с установленной СУБД PostgreSQL

Конфигурация устройства с установленным Сервером администрирования и СУБД PostgreSQL

В сети 30 000 устройств

Конфигурация устройства с Сервером администрирования

Конфигурация устройства с установленной СУБД PostgreSQL

Конфигурация устройства с установленным Сервером администрирования и СУБД PostgreSQL

В сети 10 000 устройств

Конфигурация устройства с Сервером администрирования

Конфигурация устройства с установленной СУБД PostgreSQL

Конфигурация устройства с установленным Сервером администрирования и СУБД PostgreSQL

Тестирование проводилось со следующими настройками:

• на Сервере администрирования включено автоматическое назначение точек распространения, либо точки распространения назначены вручную по рекомендуемой таблице;
• СУБД PostgreSQL не включает никаких расширений, кроме plpgsql.

На устройстве, на котором установлена СУБД, база данных занимает примерно 100 ГБ дискового пространства, а журнал транзакций занимает примерно 200 ГБ дискового пространства.

Расчет места в базе данных

Место, которое будет занято в базе данных, можно приблизительно оценить по следующей формуле:

(600 * C + 2.3 * E + 2.5 * A + 1.2 * N * F), КБ,

где

• "C" – количество устройств.
• "E" – количество сохраняемых событий.
• "A" – суммарное количество объектов Active Directory:
  • учетных записей устройств;
  • учетных записей пользователей;
  • учетных записей групп безопасности;
  • подразделений Active Directory.

  Если сканирование Active Directory выключено, то "A" следует считать равным нулю.

• N – среднее количество инвентаризируемых исполняемых файлов на конечном устройстве.
• F – количество конечных устройств, на которых были инвентаризированы исполняемые файлы.

Если вы планируете включить в параметрах политики Kaspersky Endpoint Security информирование Сервера администрирования о запускаемых приложениях, то для хранения информации о запускаемых приложениях в базе данных дополнительно потребуется (0,03 * С) ГБ.

В ходе работы в базе данных всегда образуется так называемое незанятое пространство (unallocated space). Поэтому фактический размер файла базы данных часто оказывается примерно в два раза больше, чем объем пространства, занимаемого в базе данных.

Не рекомендуется явно ограничивать размер журнала транзакций (по умолчанию файл KAV_log.LDF, если вы используете SQL Server в качестве СУБД). Рекомендуется оставить значение параметра MAXSIZE по умолчанию. Если вам необходимо ограничить размер этого файла, нужно учесть, что необходимое значение параметра MAXSIZE для KAV_log.LDF составляет 20480 МБ.

Расчет места на диске

Место на диске Сервера администрирования, требуемое для папки /var/opt/kaspersky/klnagent_srv/, можно приблизительно оценить по формуле:

(724 * C + 0.15 * E + 0.17 * A), КБ

где

• "C" – количество устройств.
• "E" – количество сохраняемых событий.
• "A" – суммарное количество объектов Active Directory:
  • учетных записей устройств;
  • учетных записей пользователей;
  • учетных записей групп безопасности;
  • подразделений Active Directory.

Если сканирование Active Directory выключено, то "A" следует считать равным нулю.

Расчет количества и конфигурации Серверов администрирования

Чтобы снизить нагрузку на главный Сервер администрирования, вы можете назначить в каждую группу администрирования отдельный Сервер администрирования. Количество Серверов администрирования, подчиненных главному Серверу, не может превышать 500.

Рекомендуется выстраивать конфигурацию Серверов администрирования в зависимости от того, как настроена сеть в вашей организации.

Рекомендации по подключению динамических виртуальных машин к Kaspersky Security Center

Динамические виртуальные машины потребляют больше ресурсов, чем статические виртуальные машины.

Дополнительные сведения о динамических виртуальных машинах см. Поддержка динамических виртуальных машин.

При подключении новой динамической виртуальной машины Kaspersky Security Center Linux создает запись этой динамической виртуальной машины в Kaspersky Security Center Web Console и перемещает динамическую виртуальную машину в группу администрирования. После этого динамическая виртуальная машина добавляется в базу данных Сервера администрирования. Сервер администрирования полностью синхронизирован с Агентом администрирования, установленным на этой динамической виртуальной машине.

В сети организации Агент администрирования создает для каждой динамической виртуальной машины следующие сетевые списки:

• оборудование;
• установленное программное обеспечение;
• обнаруженные уязвимости;
• события и списки исполняемых файлов компонента Контроль приложений.

Агент администрирования передает эти сетевые списки на Сервер администрирования. Размер сетевых списков зависит от компонентов, установленных на динамической виртуальной машине, и может влиять на производительность Kaspersky Security Center Linux и системы управления базами данных (СУБД). Обратите внимание, что нагрузка может расти нелинейно.

После того, как пользователь заканчивает работу с динамической виртуальной машиной и выключает ее, эта машина удаляется из виртуальной инфраструктуры, записи о ней удаляются из базы данных Сервера администрирования.

Все эти действия используют много ресурсов базы данных Kaspersky Security Center Linux и Сервера администрирования и могут снизить производительность Kaspersky Security Center Linux и СУБД. Рекомендуется подключать к Kaspersky Security Center Linux до 20 000 динамических виртуальных машин.

Вы можете подключить к Kaspersky Security Center Linux более 20 000 динамических виртуальных машин, если подключенные динамические виртуальные машины выполняют стандартные операции (например, обновление баз) и потребляют не более 80% памяти и 75–80% доступных ядер.

Изменение параметров политики, программного обеспечения или операционной системы на динамической виртуальной машине может уменьшить или увеличить потребление ресурсов. Оптимальным считается потребление 80–95% ресурсов.

Расчеты для точек распространения и шлюзов соединений

В этом разделе приведены аппаратные требования к устройствам, которые используются в качестве точек распространения, и рекомендации по расчету количества точек распространения и шлюзов соединений в зависимости от конфигурации сети организации.

Требования для точки распространения

Аппаратные и программные требования для точек распространения под управлением Windows и Linux описаны в этой статье.

При наличии на Сервере администрирования задач удаленной установки, на устройстве с точкой распространения дополнительно потребуется дисковое пространство, равное суммарному размеру устанавливаемых инсталляционных пакетов.

При наличии на Сервере администрирования одного или нескольких экземпляров задачи установки обновлений (патчей) и закрытия уязвимостей на устройстве с точкой распространения дополнительно потребуется дисковое пространство, равное удвоенному суммарному размеру всех устанавливаемых патчей.

Если вы используете схему, по которой точки распространения получают обновления баз и модулей приложений напрямую с серверов обновлений "Лаборатории Касперского", точки распространения должны быть подключены к сети интернет.

Не рекомендуется назначать Сервер администрирования в качестве точки распространения, так как это увеличит нагрузку на Сервер администрирования.

Аппаратные требования для точек распространения под управлением Windows

Минимальные аппаратные требования для точек распространения под управлением Windows

Аппаратные требования для точек распространения под управлением Linux

Минимальные аппаратные требования для точек распространения под управлением Linux

Расчет количества и конфигурации точек распространения

Чем больше клиентских устройств содержит сеть, тем больше требуется точек распространения. Рекомендуется не отключать автоматическое назначение точек распространения. При включенном автоматическом назначении точек распространения Сервер администрирования назначает точки распространения, если число клиентских устройств достаточно велико, и определяет их конфигурацию.

Использование специально выделенных точек распространения

Если вы планируете использовать в качестве точек распространения какие-то определенные устройства (например, выделенные для этого серверы), то можно не использовать автоматическое назначение точек распространения. В этом случае убедитесь, что устройства, которые вы хотите назначить точками распространения, имеют достаточно свободного места на диске, их не отключают регулярно и на них выключен "спящий режим".

Число уникально назначенных точек распространения в сети, содержащей один сегмент, в зависимости от количества сетевых устройств

Число уникально назначенных точек распространения в сети, содержащей несколько сегментов, в зависимости от количества сетевых устройств

Использование клиентских устройств (рабочих станций) в качестве точек распространения

Если вы планируете использовать в качестве точек распространения обычное клиентское устройство (рабочую станцию), то рекомендуется назначать точку распространения, как показано в таблице ниже, чтобы избежать чрезмерной нагрузки на каналы связи и Сервер администрирования:

Число рабочих станций, выполняющих роль точек распространения в сети, которая содержит один сегмент сети, в зависимости от количества сетевых устройств

Число рабочих станций, выполняющих роль точек распространения в сети, которая содержит несколько сегментов сети, в зависимости от количества сетевых устройств

Если точка распространения отключена или по другим причинам недоступна, то управляемые устройства из области действия этой точки распространения могут обращаться за обновлениями к Серверу администрирования.

Расчет количества шлюзов соединений

Если вы планируете использовать шлюз соединений, рекомендуется использовать выделенное устройство для этой функции.

Один шлюз соединений обслуживает не более 10 000 управляемых устройств.

Хранение информации о событиях для задач и политик

В этом разделе приведены расчеты, связанные с хранением событий в базе данных Сервера администрирования, и даны рекомендации, как минимизировать количество событий и таким образом снизить нагрузку на Сервер администрирования.

По умолчанию в свойствах каждой задачи и каждой политики указано сохранение в журнале всех событий, связанных с выполнением задачи и применением политики.

Однако если задача запускается достаточно часто (например, более одного раза в неделю) и на достаточно большом количестве устройств (например, более 10 000), количество событий может оказаться слишком большим, и события могут заполнить базу данных. В таком случае рекомендуется указать в свойствах задачи один из двух других вариантов:

• Сохранять события, связанные с ходом выполнения задачи. В этом случае с каждого устройства, на котором выполнена задача, в базу данных поступает только информация о запуске задачи, о ее ходе и о ее выполнении (успешном, с предупреждением либо с ошибкой).
• Сохранять только результат выполнения задачи. В этом случае с каждого устройства, на котором выполнена задача, в базу данных поступает только информация о выполнении задачи (успешном, с предупреждением либо с ошибкой).

Если политика определена для достаточно большого количества устройств (например, более 10 000), количество событий также может оказаться слишком большим, и события могут заполнить базу данных. В таком случае рекомендуется выбрать в свойствах политики только наиболее важные события и включить их сохранение. Сохранение всех других событий рекомендуется отключить.

Таким образом вы уменьшаете количество событий в базе данных, увеличиваете скорость работы сценариев, связанных с анализом таблицы событий в базе данных, и снижаете риск вытеснения критических событий большим количеством событий.

Вы также можете уменьшить срок хранения событий, связанных с задачей или политикой. По умолчанию этот срок составляет семь дней для событий, связанных с задачей, и 30 дней для событий, связанных с политикой. При изменении срока хранения событий принимайте в расчет порядок работы, принятый в вашей организации, и количество времени, которое системный администратор может уделять анализу каждого события.

Вносить изменения в параметры хранения событий целесообразно в любом из следующих случаев:

• события об изменении промежуточных состояний групповых задач и о применении политик занимают значительный процент всех событий в базе данных Kaspersky Security Center Linux;
• в журнале событий операционной системы появляются записи об автоматическом удалении событий при превышения заданного лимита на общее число событий, хранимых в базе данных.

Выберите параметры регистрации событий, исходя из того, что оптимальное количество событий, поступающих с одного устройства в день, не должно превышать 20. Вы можете немного увеличить максимальное количество событий, если это необходимо, но только в том случае, если количество устройств в вашей сети относительно невелико (менее 10 000).

Лучшие практики для Сервера администрирования, управляющего большим количеством устройств

Лучшие практики использования СУБД

Настройте регулярное выполнение задачи Обслуживание Сервера администрирования, особенно если вы используете СУБД PostgreSQL.

Исключите папку СУБД из проверки IOC.

Лучшие практики для политик и профилей политик

Уменьшите количество активных политик для компонента (например, Kaspersky Endpoint Security для Windows). Вы можете заменить политики профилями политик.

Лучшие практики для Сервера администрирования, управляющего большим количеством устройств

Уменьшите количество одновременно выполняемых задач, особенно задач удаленной установки и управления патчами.

Уменьшите количество задач и оптимизируйте расписание для задач, работающих с выборками устройств.

В разделе параметров политики Настройка событий, уменьшите количество сохраняемых типов событий.

Лучшие практики хранения событий

Уменьшите частоту однотипных событий от компонента Контроль приложений. Дополнительную информацию см. в разделе О блокировке частых событий.

Уменьшите срок хранения событий компонентов (например, Kaspersky Endpoint Security для Windows) и информационных событий о закрытии уязвимостей.

Включите параметр Сохранять события, связанные с ходом выполнения задачи в свойствах задачи для общих задач, таких как задачи обновления. Подробнее см. в разделе Хранение информации о событиях для задач и политик.

Оптимизируйте параметры задачи инвентаризации. Дополнительную информацию см. в разделе Задача инвентаризации.

Особенности и оптимальные параметры некоторых задач

Некоторые задачи имеют особенности, связанные с количеством устройств в сети. В этом разделе даны рекомендации по оптимальной настройке параметров для таких задач.

Обнаружение устройств, задача резервного копирования данных, задача обслуживания базы данных и групповые задачи обновления Kaspersky Endpoint Security входят в базовую функциональность Kaspersky Security Center Linux.

Задача инвентаризации входит в возможность Системного администрирования и недоступна, если эта возможность не активирована.

Частота обнаружения устройств

Не рекомендуется увеличивать установленную по умолчанию частоту поиска устройств, так как это может создать чрезмерную нагрузку на контроллеры домена. Рекомендуется, наоборот, устанавливать расписание опроса с минимально возможной частотой, насколько позволяют потребности вашей организации. В таблице ниже приведены рекомендации по расчету оптимального расписания.

Расписание обнаружения устройств

Задачи резервного копирования данных Сервера администрирования и обслуживания базы данных

Сервер администрирования перестает функционировать во время выполнения следующих задач:

• Резервное копирование данных Сервера администрирования
• Обслуживание Сервера администрирования

Пока выполняются эти задачи, данные не могут поступать в базу данных.

Вам может потребоваться изменить расписание этих задач так, чтобы их выполнение не пересекалось по времени с выполнением других задач Сервера администрирования.

Групповые задачи обновления Kaspersky Endpoint Security

Если источником обновлений является Сервер администрирования, то для групповых задач обновления Kaspersky Endpoint Security версии 10 и выше рекомендуется расписание При загрузке обновлений в хранилище с установленным флажком Автоматически определять интервал для распределения запуска задачи.

Если вы создали на каждой точке распространения локальную задачу загрузки обновлений в хранилище с серверов "Лаборатории Касперского", то для групповой задачи обновления Kaspersky Endpoint Security рекомендуется задать периодическое расписание. Значение периода автономизации в этом случае должно составлять один час.

Задача Инвентаризации

Вы можете снизить нагрузку на базу данных при получении информации о выполняемых файлах. Для этого рекомендуется запускать задачу инвентаризации для Kaspersky Endpoint Security на нескольких эталонных устройствах, на которых установлен стандартный набор приложений.

Количество исполняемых файлов, получаемых Сервером администрирования от одного устройства, не может превышать 150 000. При достижении этого ограничения Kaspersky Security Center Linux не получит новые файлы.

Количество файлов на обыкновенном клиентском устройстве, как правило, составляет не более 60 000. Количество исполняемых файлов на файловом сервере может быть больше и может даже превышать порог в 150 000.

Информация о нагрузке на сеть между Сервером администрирования и защищаемыми устройствами

В этом разделе приводятся результаты тестовых замеров трафика в сети с указанием условий, при которых проводились замеры. Вы можете использовать эту информацию как справочную при планировании сетевой инфраструктуры и пропускной способности каналов внутри организации (либо между Сервером администрирования и организацией, в которой расположены защищаемые устройства). Зная пропускную способность сети, вы также можете приблизительно оценивать, сколько времени должна занять та или иная операция, связанная с передачей данных.

Расход трафика при выполнении различных сценариев

В таблице ниже приводятся результаты тестовых замеров трафика между Сервером администрирования и управляемым устройством при выполнении различных сценариев.

Синхронизация устройства с Сервером администрирования происходит по умолчанию раз в 15 минут либо реже. Однако если вы меняете на Сервере администрирования параметры политики или задачи, то происходит досрочная синхронизация устройств, для которых применима эта политика (или задача), и новые параметры передаются на устройства.

Трафик между Сервером администрирования и управляемым устройством

Средний расход трафика за сутки

Средний расход трафика за сутки между Сервером администрирования и управляемым устройством:

• Трафик от Сервера к управляемому устройству – 840 КБ.
• Трафик от управляемого устройства к Серверу – 1 МБ.

Трафик был измерен при следующих условиях:

• На управляемом устройстве были установлены Агент администрирования и Kaspersky Endpoint Security для Linux.
• Устройство не было назначено точкой распространения.
• Системное администрирование не было включено.
• Период синхронизации с Сервером администрирования составляло 15 минут.