ATA kapasite planlaması
Şunlar için geçerlidir: Advanced Threat Analytics sürüm 1.9
Bu makale, ağınızı izlemek için kaç ATA sunucusu gerektiğini belirlemenize yardımcı olur. Kaç ATA Gateway'e ve/veya ATA Lightweight Gateway'e ihtiyacınız olduğunu ve ATA Center ile ATA Gateway'leriniz için sunucu kapasitesini tahmin etmenize yardımcı olur.
Not
Bu makalede açıklanan performans gereksinimleri karşılandığı sürece, ATA Center herhangi bir IaaS satıcısına dağıtılabilir.
Boyutlandırma aracını kullanma
ATA dağıtımınızın kapasitesini belirlemenin önerilen ve en basit yolu , ATA Boyutlandırma Aracı'nı kullanmaktır. ATA Boyutlandırma Aracı'nı çalıştırın ve Excel dosya sonuçlarından, ihtiyacınız olan ATA kapasitesini belirlemek için aşağıdaki alanları kullanın:
ATA Center CPU ve Bellek: ATA Center tablo sonuçları dosyasındaki Meşgul Paketler/sn alanını ATA Center tablosundakiSİSTE BAŞıNA PAKETLER alanıyla eşleştirin.
ATA Center Depolama: ATA Center tablo sonuçları dosyasındaki Ortalama Paketler/sn alanını, ATA Center tablosundakiSİSTE BAŞıNA PAKETLER alanıyla eşleştirin.
ATA Gateway: Seçtiğiniz ağ geçidi türüne bağlı olarak, sonuç dosyasındaki ATA Gateway tablosundaki Meşgul Paketler/sn alanını ATA Gateway tablosundakiSNİYE BAŞıNA PAKETLER alanıyla veya ATA Lightweight Gateway tablosundaki PAKET/sn alanıyla eşleştirin.
Not
Farklı ortamlar farklılık gösterdiğinden ve birden çok özel ve beklenmeyen ağ trafiği özelliğine sahip olduğundan, ATA'yı ilk kez dağıtıp boyutlandırma aracını çalıştırdıktan sonra, dağıtımınızı kapasite için ayarlamanız ve hassas ayarlamalar yapmanız gerekebilir.
ATA Boyutlandırma Aracı'nı kullanamıyorsanız, 24 saat boyunca tüm Etki Alanı Denetleyicilerinizden düşük toplama aralığıyla (yaklaşık 5 saniye) paket/sn sayaç bilgilerini el ile toplayın. Ardından, her Etki Alanı Denetleyicisi için günlük ortalamayı ve en yoğun dönem (15 dakika) ortalamasını hesaplayın. Aşağıdaki bölümlerde, bir Etki Alanı Denetleyicisinden paket/sn sayacını toplama hakkında yönergeler sağlanır.
Not
Farklı ortamlar farklılık gösterdiğinden ve birden çok özel ve beklenmeyen ağ trafiği özelliğine sahip olduğundan, ATA'yı ilk kez dağıtıp boyutlandırma aracını çalıştırdıktan sonra, dağıtımınızı kapasite için ayarlamanız ve hassas ayarlamalar yapmanız gerekebilir.
ATA Center Boyutlandırma
ATA Center, kullanıcı davranış analizi için önerilen en az 30 günlük veri gerektirir.
| Tüm DC'lerden saniye başına paket sayısı | CPU (çekirdekler*) | Bellek (GB) | Günlük veritabanı depolama alanı (GB) | Aylık veritabanı depolama alanı (GB) | IOPS** |
|---|---|---|---|---|---|
| 1,000 | 2 | 32 | 0.3 | 9 | 30 (100) |
| 40,000 | 4 | 48 | 12 | 360 | 500 (750) |
| 200,000 | 8 | 64 | 60 | 1,800 | 1,000 (1,500) |
| 400,000 | 12 | 96 | 120 | 3,600 | 2,000 (2,500) |
| 750,000 | 24 | 112 | 225 | 6,750 | 2,500 (3,000) |
| 1,000,000 | 40 | 128 | 300 | 9,000 | 4,000 (5,000) |
*Buna hiper iş parçacıklı çekirdekler değil fiziksel çekirdekler dahildir.
**Ortalama sayılar (Tepe sayılar)
Not
- ATA Center, izlenen tüm etki alanı denetleyicilerinden saniyede toplam en fazla 1M paket işleyebilir. Bazı ortamlarda, aynı ATA Center 1 milyondan yüksek olan genel trafiği işleyebilir ve bazı ortamlar ATA kapasitesini aşabilir. Büyük ortamları planlama ve tahmin etme konusunda yardım için adresinden bize azureatpfeedback@microsoft.com ulaşın.
- Boş alanınız en az %20 veya 200 GB'a ulaşırsa en eski veri koleksiyonu silinir. Veri toplamayı bu düzeye başarıyla azaltmak mümkün değilse, bir uyarı günlüğe kaydedilir. ATA, %5 veya 50 GB boş eşiğine ulaşılana kadar çalışmaya devam eder. Bu noktada, ATA veritabanını doldurmayı durdurur ve ek bir uyarı verilir.
- Bu makalede açıklanan performans gereksinimleri karşılanırsa, ATA Center'ı herhangi bir IaaS satıcısına dağıtabilirsiniz.
- Okuma ve yazma etkinlikleri için depolama gecikme süresi 10 ms'nin altında olmalıdır.
- Okuma ve yazma etkinlikleri arasındaki oran, saniye başına 100.000 paketin altında yaklaşık 1:3 ve saniyede 100.000 paket üzerinde 1:6'dır.
- Center'ı bir sanal makine (VM) olarak çalıştırırken, Center her zaman tüm belleğin VM'ye ayrılmasını gerektirir. ATA Center'ı sanal makine olarak çalıştırma hakkında daha fazla bilgi için bkz. ATA Center gereksinimleri.
- En iyi performans için ATA Center'ın Güç SeçeneğiniYüksek Performans olarak ayarlayın.
- Fiziksel sunucuda çalışırken, ATA veritabanı BIOS'ta Tekdüzen olmayan bellek erişimini (NUMA) devre dışı bırakmanızı gerektirir. Sisteminiz NUMA'yı Düğüm Araya Ekleme olarak adlandırabilir ve bu durumda NUMA'yı devre dışı bırakmak için Düğüm Araya Ekleme'yi etkinleştirmeniz gerekir. Daha fazla bilgi için BIOS belgelerinize bakın. BU, ATA Center bir sanal sunucuda çalışırken geçerli değildir.
Dağıtımınız için doğru ağ geçidi türünü seçme
ATA dağıtımında, ATA Gateway türlerinin herhangi bir bileşimi desteklenir:
- Yalnızca ATA Gateway'ler
- Yalnızca ATA Lightweight Gateway'ler
- Her ikisinin birleşimi
Ağ Geçidi dağıtım türüne karar verirken aşağıdaki avantajları göz önünde bulundurun:
| Ağ geçidi türü | Fayda -ları | Ücret | Dağıtım topolojisi | Etki alanı denetleyicisi kullanımı |
|---|---|---|---|---|
| ATA Gateway | Bant dışı dağıtım, saldırganların ATA'nın mevcut olduğunu keşfetmesini zorlaştırır | Yüksek | Etki alanı denetleyicisiyle birlikte yüklenir (bant dışı) | Saniyede en fazla 50.000 paketi destekler |
| ATA Lightweight Gateway | Ayrılmış sunucu ve bağlantı noktası yansıtma yapılandırması gerektirmez | İndirmek | Etki alanı denetleyicisinde yüklü | Saniyede en fazla 10.000 paketi destekler |
Aşağıda, etki alanı denetleyicilerinin ATA Lightweight Gateway kapsamında olması gereken senaryo örnekleri verilmiştir:
Dal siteleri
Bulutta dağıtılan sanal etki alanı denetleyicileri (IaaS)
Aşağıda, etki alanı denetleyicilerinin ATA Gateway kapsamında olması gereken senaryo örnekleri verilmiştir:
- Genel merkez veri merkezleri (saniyede 10.000'den fazla paket içeren etki alanı denetleyicilerine sahip)
ATA Lightweight Gateway Boyutlandırma
ATA Lightweight Gateway, etki alanı denetleyicisinin oluşturduğu ağ trafiği miktarına göre bir etki alanı denetleyicisinin izlenmesini destekleyebilir.
| Saniye başına paket sayısı* | CPU (çekirdekler**) | Bellek (GB)** |
|---|---|---|
| 1,000 | 2 | 6 |
| 5,000 | 6 | 16 |
| 10,000 | 10 | 24 |
*Belirli BIR ATA Lightweight Gateway tarafından izlenen etki alanı denetleyicisindeki saniye başına toplam paket sayısı.
**Bu etki alanı denetleyicisinin yüklediği hiper iş parçacıklı olmayan çekirdeklerin toplam sayısı.
ATA Lightweight Gateway için hiper iş parçacığı kullanımı kabul edilebilir olsa da, kapasite planlaması yaparken hiper iş parçacıklı çekirdekleri değil gerçek çekirdekleri saymalısınız.
Bu etki alanı denetleyicisinin yüklediği toplam bellek miktarı.
Not
- Etki alanı denetleyicisi ATA Lightweight Gateway için gereken kaynaklara sahip değilse, etki alanı denetleyicisi performansı etkilenmez, ancak ATA Lightweight Gateway beklendiği gibi çalışmayabilir.
- Ağ Geçidini bir sanal makine (VM) olarak çalıştırırken Ağ Geçidi, vm'ye her zaman tüm belleğin ayrılmasını gerektirir. ATA Gateway'i sanal makine olarak çalıştırma hakkında daha fazla bilgi için bkz . Dinamik bellek gereksinimleri).
- En iyi performans için ATA Lightweight Gateway'in Güç SeçeneğiniYüksek Performans olarak ayarlayın.
- ATA ikili dosyaları, ATA günlükleri ve performans günlükleri için gereken alan da dahil olmak üzere en az 5 GB alan gerekir ve 10 GB önerilir.
ATA Gateway Boyutlandırma
Kaç ATA Gateway dağıtılacağına karar verirken aşağıdaki sorunları göz önünde bulundurun.
-
Active Directory ormanları ve etki alanları
ATA, tek bir Active Directory ormanından birden çok etki alanından gelen trafiği izleyebilir. Birden çok Active Directory ormanının izlenmesi için ayrı ATA dağıtımları gerekir. Farklı ormanlardan etki alanı denetleyicilerinin ağ trafiğini izlemek için tek bir ATA dağıtımı yapılandırmayın. -
Bağlantı Noktası Yansıtma
Bağlantı noktası yansıtma konusunda dikkat edilmesi gerekenler, veri Ağ Geçidi veya dal sitesi başına birden çok ATA Gateway dağıtmanızı gerektirebilir. -
Kapasite
ATA Gateway, izlenen etki alanı denetleyicilerinin ağ trafiği miktarına bağlı olarak birden çok etki alanı denetleyicisinin izlenmesini destekleyebilir.
| Saniye başına paket sayısı* | CPU (çekirdekler**) | Bellek (GB) |
|---|---|---|
| 1,000 | 1 | 6 |
| 5,000 | 2 | 10 |
| 10,000 | 3 | 12 |
| 20,000 | 6 | 24 |
| 50,000 | 16 | 48 |
*Günün en yoğun saati boyunca belirli BIR ATA Gateway tarafından izlenen tüm etki alanı denetleyicilerinden saniye başına toplam paket sayısı.
*Etki alanı denetleyicisi bağlantı noktası yansıtmalı trafiğin toplam miktarı, ATA Gateway'de yakalama NIC'sinin kapasitesini aşamaz.
**Hiper iş parçacığı devre dışı bırakılmalıdır.
Not
- Ağ Geçidini bir sanal makine (VM) olarak çalıştırırken Ağ Geçidi, vm'ye her zaman tüm belleğin ayrılmasını gerektirir. ATA Gateway'i sanal makine olarak çalıştırma hakkında daha fazla bilgi için bkz . Dinamik bellek gereksinimleri.
- En iyi performans için ATA Gateway'in Güç SeçeneğiniYüksek Performans olarak ayarlayın.
- ATA ikili dosyaları, ATA günlükleri ve performans günlükleri için gereken alan da dahil olmak üzere en az 5 GB alan gerekir ve 10 GB önerilir.