Планирование емкости ATA
Область применения: Advanced Threat Analytics версии 1.9
В этой статье показано, сколько серверов ATA необходимо для мониторинга сети. Он помогает оценить количество шлюзов ATA и (или) упрощенных шлюзов ATA, необходимых для центра ATA и шлюзов ATA.
Примечание.
Центр ATA можно развернуть на любом поставщике IaaS, если выполнены требования к производительности, описанные в этой статье.
Использование средства изменения размера
Рекомендуемый и простой способ определения емкости развертывания ATA — использовать средство изменения размера ATA. Запустите средство изменения размера ATA и из результатов файла Excel используйте следующие поля, чтобы определить необходимую емкость ATA:
ЦП и память центра ATA: соответствует поле "Загруженные пакеты/с " в файле результатов таблицы ЦЕНТРА ATA с полем PACKETS PER SECOND в таблице Центра ATA.
Центр ATA служба хранилища: соответствует полю Avg Packets/sec в файле результатов таблицы ЦЕНТРА ATA с полем PACKETS PER SECOND в таблице Центра ATA.
Шлюз ATA: соответствует полю "Занятые пакеты/с" в таблице шлюза ATA в файле результатов с полем PACKETS PER SECOND в таблице шлюза ATA или таблице упрощенного шлюза ATA в зависимости от выбранного типа шлюза.
Примечание.
Так как разные среды различаются и имеют несколько специальных и непредвиденных характеристик сетевого трафика, после первоначального развертывания ATA и запуска средства изменения размера может потребоваться настроить и точно настроить развертывание для емкости.
Если вы не можете использовать средство Sizing Tool ATA, вручную соберите сведения о счетчике пакетов/с с низким интервалом сбора (приблизительно 5 секунд) со всех контроллеров домена в течение 24 часов. Затем для каждого контроллера домена вычислите средний и самый загруженный период (15 минут). В следующих разделах приведены инструкции по сбору пакетов в секунду с одного контроллера домена.
Примечание.
Так как разные среды различаются и имеют несколько специальных и непредвиденных характеристик сетевого трафика, после первоначального развертывания ATA и запуска средства изменения размера может потребоваться настроить и точно настроить развертывание для емкости.
Размер центра ATA
Центр ATA требует рекомендуемого минимум 30 дней данных для аналитики поведения пользователей.
| Пакеты в секунду со всех контроллеров домена | ЦП (ядра*) | Память (ГБ) | Хранилище базы данных в день (ГБ) | Хранилище базы данных в месяц (ГБ) | IOPS** |
|---|---|---|---|---|---|
| 1,000 | 2 | 32 | 0,3 | 9 | 30 (100) |
| 40 000 | 4 | 48 | 12 | 360 | 500 (750) |
| 200 000 | 8 | 64 | 60 | 1800 | 1,000 (1,500) |
| 400 000 | 12 | 96 | 120 | 3600 | 2,000 (2,500) |
| 750 000 | 24 | 112 | 225 | 6750 | 2,500 (3,000) |
| 1 000 000 | 40 | 128 | 300 | 9,000 | 4,000 (5,000) |
*Это включает физические ядра, а не гиперпотоковые ядра.
**Средние числа (пиковые числа)
Примечание.
- Центр ATA может обрабатывать агрегированные не более 1 млн пакетов в секунду со всех отслеживаемых контроллеров домена. В некоторых средах тот же центр ATA может обрабатывать общий трафик, превышающий 1 млн, и некоторые среды могут превышать емкость ATA. Обратитесь к нам azureatpfeedback@microsoft.com за помощью в планировании и оценке больших сред.
- Если свободное пространство достигает минимум 20% или 200 ГБ, то удаляется старая коллекция данных. Если невозможно успешно сократить сбор данных до этого уровня, будет зарегистрировано оповещение. ATA будет продолжать функционировать до тех пор, пока не достигнет порогового значения 5% или 50 ГБ бесплатно. На этом этапе ATA перестанет заполнять базу данных, и будет выдано дополнительное оповещение.
- Центр ATA можно развернуть на любом поставщике IaaS, если выполнены требования к производительности, описанные в этой статье.
- Задержка хранения для действий чтения и записи должна быть ниже 10 мс.
- Соотношение между действиями чтения и записи составляет примерно 1:3 ниже 100 000 пакетов в секунду и 1:6 выше 100 000 пакетов в секунду.
- При запуске Центра в качестве виртуальной машины Центр требует, чтобы все памяти было выделено виртуальной машине, все время. Дополнительные сведения о запуске Центра ATA в качестве виртуальной машины см. в разделе "Требования центра ATA".
- Чтобы обеспечить оптимальную производительность, задайте для центра ATA значение "Высокий уровень производительности".
- При работе с физическим сервером база данных ATA должна отключить доступ к памяти (NUMA) в BIOS. Система может ссылаться на NUMA как переключение узлов, в этом случае необходимо включить переключение узла для отключения NUMA. Дополнительные сведения см. в документации ПО BIOS. Это не важно, если центр ATA работает на виртуальном сервере.
Выбор подходящего типа шлюза для развертывания
В развертывании ATA поддерживается любое сочетание типов шлюзов ATA:
- Только шлюзы ATA
- Только упрощенные шлюзы ATA
- Сочетание вышеперечисленного.
При выборе типа развертывания шлюза рассмотрите следующие преимущества:
| Тип шлюза | Льготы | Себестоимость | Топология развертывания | Использование контроллера домена |
|---|---|---|---|---|
| Шлюз ATA | Развертывание вне группы затрудняет обнаружение ATA злоумышленниками | Выше | Устанавливается вместе с контроллером домена (вне полосы) | Поддерживает до 50 000 пакетов в секунду |
| Упрощенный шлюз ATA | Не требуется конфигурация выделенного сервера и порта зеркало | Lower | Установлен на контроллере домена | Поддерживает до 10 000 пакетов в секунду |
Ниже приведены примеры сценариев, в которых контроллеры домена должны охватываться упрощенным шлюзом ATA:
Сайты филиалов
Виртуальные контроллеры домена, развернутые в облаке (IaaS)
Ниже приведены примеры сценариев, в которых контроллеры домена должны охватываться шлюзом ATA:
- Центры обработки данных головного офиса (с контроллерами домена с более чем 10000 пакетов в секунду)
Размер упрощенного шлюза ATA
Упрощенный шлюз ATA может поддерживать мониторинг одного контроллера домена на основе объема сетевого трафика, генерируемого контроллером домена.
| Пакеты в секунду* | ЦП (ядра**) | Память (ГБ)** |
|---|---|---|
| 1,000 | 2 | 6 |
| 5,000 | 6 | 16 |
| 10 000 | 10 | 24 |
*Общее количество пакетов в секунду на контроллере домена, отслеживаемое определенным упрощенным шлюзом ATA.
**Общее количество непоточных ядер, установленных этим контроллером домена.
Хотя гиперпоток подходит для упрощенного шлюза ATA, при планировании емкости следует учитывать фактические ядра и не гиперпотоковые ядра.
Общий объем памяти, установленной этим контроллером домена.
Примечание.
- Если контроллер домена не имеет ресурсов, необходимых для упрощенного шлюза ATA, производительность контроллера домена не влияет, но упрощенный шлюз ATA может не работать должным образом.
- При запуске шлюза в качестве виртуальной машины шлюз требуется выделить всю память виртуальной машине. Дополнительные сведения о запуске шлюза ATA в качестве виртуальной машины см. в разделе "Требования к динамической памяти".
- Чтобы обеспечить оптимальную производительность, установите для параметра Power Option упрощенного шлюза ATA высокий уровень производительности.
- Требуется не менее 5 ГБ пространства, и рекомендуется 10 ГБ, включая пространство, необходимое для двоичных файлов ATA, журналов ATA и журналов производительности.
Размер шлюза ATA
При выборе количества шлюзов ATA для развертывания следует учитывать следующие проблемы.
- Леса и домены Active Directory
ATA может отслеживать трафик из нескольких доменов из одного леса Active Directory. Для мониторинга нескольких лесов Active Directory требуются отдельные развертывания ATA. Не настраивайте одно развертывание ATA для мониторинга сетевого трафика контроллеров домена из разных лесов. - Зеркальное отображение портов
Рекомендации по зеркало портам могут потребовать развертывания нескольких шлюзов ATA для каждого шлюза данных или сайта филиала. - Емкость
Шлюз ATA может поддерживать мониторинг нескольких контроллеров домена в зависимости от объема сетевого трафика отслеживаемых контроллеров домена.
| Пакеты в секунду* | ЦП (ядра**) | Память (ГБ) |
|---|---|---|
| 1,000 | 1 | 6 |
| 5,000 | 2 | 10 |
| 10 000 | 3 | 12 |
| 20,000 | 6 | 24 |
| 50,000 | 16 | 48 |
*Общее среднее количество пакетов в секунду от всех контроллеров домена, отслеживаемых определенным шлюзом ATA в течение самого загруженного часа дня.
*Общий объем порта зеркало трафика контроллера домена не может превышать емкость сетевого адаптера записи на шлюзе ATA.
**Гиперпоток должен быть отключен.
Примечание.
- При запуске шлюза в качестве виртуальной машины шлюз требуется выделить всю память виртуальной машине. Дополнительные сведения о запуске шлюза ATA в качестве виртуальной машины см. в разделе "Требования к динамической памяти".
- Для оптимальной производительности задайте для шлюза ATA значение "Высокая производительность".
- Требуется не менее 5 ГБ пространства, и рекомендуется 10 ГБ, включая пространство, необходимое для двоичных файлов ATA, журналов ATA и журналов производительности.