ATA 용량 계획
적용 대상: Advanced Threat Analytics 버전 1.9
이 문서는 네트워크를 모니터링하는 데 필요한 ATA 서버 수를 결정하는 데 도움이 됩니다. 필요한 ATA 게이트웨이 및/또는 ATA 경량 게이트웨이 수와 ATA 센터 및 ATA 게이트웨이의 서버 용량을 추정하는 데 도움이 됩니다.
참고 항목
이 문서에 설명된 성능 요구 사항이 충족되는 한 ATA 센터는 모든 IaaS 공급업체에 배포할 수 있습니다.
크기 조정 도구 사용
ATA 배포에 대한 용량을 확인하는 권장되고 간단한 방법은 ATA 크기 조정 도구를 사용하는 것입니다. ATA 크기 조정 도구를 실행하고 Excel 파일 결과에서 다음 필드를 사용하여 필요한 ATA 용량을 확인합니다.
ATA 센터 CPU 및 메모리: ATA 센터 테이블 결과 파일의 사용 중인 패킷/초 필드를 ATA 센터 테이블의 PACKETS PER SECOND 필드와 일치합니다.
ATA Center Storage: ATA Center 테이블 결과 파일의 평균 패킷/초 필드를 ATA 센터 테이블의 PACKETS PER SECOND 필드와 일치합니다.
ATA 게이트웨이: 선택한 게이트웨이 유형에 따라 결과 파일의 ATA 게이트웨이 테이블의 사용 중인 패킷/초 필드를 ATA 게이트웨이 테이블 또는 ATA 경량 게이트웨이 테이블의 PACKETS PER SECOND 필드와 일치합니다.
참고 항목
환경이 다르고 여러 특수하고 예기치 않은 네트워크 트래픽 특성이 있기 때문에 처음에 ATA를 배포하고 크기 조정 도구를 실행한 후에는 용량에 맞게 배포를 조정하고 미세 조정해야 할 수 있습니다.
ATA 크기 조정 도구를 사용할 수 없는 경우 모든 Do기본 컨트롤러에서 24시간 동안 낮은 컬렉션 간격(약 5초)으로 패킷/초 카운터 정보를 수동으로 수집합니다. 그런 다음 각 Do기본 컨트롤러에 대해 일일 평균 및 가장 바쁜 기간(15분) 평균을 계산합니다. 다음 섹션에서는 Do기본 컨트롤러 하나에서 패킷/초 카운터를 수집하는 방법에 대한 지침을 제공합니다.
참고 항목
환경이 다르고 여러 특수하고 예기치 않은 네트워크 트래픽 특성이 있기 때문에 처음에 ATA를 배포하고 크기 조정 도구를 실행한 후에는 용량에 맞게 배포를 조정하고 미세 조정해야 할 수 있습니다.
ATA 센터 크기 조정
ATA 센터에는 사용자 동작 분석에 권장되는 최소 30일의 데이터가 필요합니다.
| 모든 DC의 초당 패킷 수 | CPU(코어*) | 메모리(GB) | 일일 데이터베이스 스토리지(GB) | 월별 데이터베이스 스토리지(GB) | Iops** |
|---|---|---|---|---|---|
| 1,000 | 2 | 32 | 0.3 | 9 | 30 (100) |
| 40,000 | 4 | 48 | 12 | 360 | 500 (750) |
| 200,000 | 8 | 64 | 60 | 1,800 | 1,000 (1,500) |
| 400,000 | 12 | 96 | 120 | 3,600 | 2,000 (2,500) |
| 750,000 | 24 | 112 | 225 | 6,750 | 2,500 (3,000) |
| 1,000,000 | 40 | 128 | 300 | 9,000 | 4,000 (5,000) |
*여기에는 하이퍼 스레드 코어가 아닌 물리적 코어가 포함됩니다.
**평균 숫자(최고 숫자)
참고 항목
- ATA 센터는 모니터링되는 모든 do기본 컨트롤러에서 초당 집계된 최대 1M 패킷을 처리할 수 있습니다. 일부 환경에서는 동일한 ATA 센터가 1M보다 높은 전체 트래픽을 처리할 수 있으며 일부 환경은 ATA 용량을 초과할 수 있습니다. 대규모 환경 계획 및 예측에 대한 지원을 받으려면 문의하세요 azureatpfeedback@microsoft.com .
- 사용 가능한 공간이 최소 20% 또는 200GB에 도달하면 가장 오래된 데이터 컬렉션이 삭제됩니다. 데이터 수집을 이 수준으로 줄일 수 없는 경우 경고가 기록됩니다. ATA는 5% 또는 50GB 무료 임계값에 도달할 때까지 계속 작동합니다. 이 시점에서 ATA는 데이터베이스 채우기를 중지하고 추가 경고가 발생합니다.
- 이 문서에 설명된 성능 요구 사항이 충족되는 경우 모든 IaaS 공급업체에 ATA 센터를 배포할 수 있습니다.
- 읽기 및 쓰기 작업의 스토리지 대기 시간은 10ms 미만이어야 합니다.
- 읽기 및 쓰기 작업 간의 비율은 초당 100,000개 패킷보다 약 1:3 미만이고 초당 패킷 수가 100,000개보다 1:6보다 높습니다.
- 센터를 VM(가상 머신)으로 실행하는 경우 센터는 항상 모든 메모리를 VM에 할당해야 합니다. ATA 센터를 가상 머신으로 실행하는 방법에 대한 자세한 내용은 ATA 센터 요구 사항을 참조 하세요.
- 최적의 성능을 위해 ATA 센터의 전원 옵션을 고성능으로 설정합니다.
- 실제 서버에서 작업할 때 ATA 데이터베이스는 BIOS에서 NUMA(비균일 메모리 액세스)를 사용하지 않도록 설정 해야 합니다. 시스템에서 NUMA를 노드 인터리빙이라고 할 수 있습니다. 이 경우 노드 인터리빙을 사용하여 NUMA를 사용하지 않도록 설정해야 합니다. 자세한 내용은 BIOS 설명서를 참조하세요. 이는 ATA 센터가 가상 서버에서 실행되는 경우와 관련이 없습니다.
배포에 적합한 게이트웨이 유형 선택
ATA 배포에서는 ATA 게이트웨이 유형의 조합이 지원됩니다.
- ATA 게이트웨이만
- ATA 경량 게이트웨이만
- 둘의 조합
게이트웨이 배포 유형을 결정할 때는 다음과 같은 이점을 고려합니다.
| 게이트웨이 유형 | 이점 | 비용 | 배포 토폴로지 | 컨트롤러 사용 기본 |
|---|---|---|---|---|
| ATA 게이트웨이 | 대역 외 배포로 인해 공격자가 ATA가 있는지 검색하기가 더 어려워집니다. | 더 높음 | do기본 컨트롤러와 함께 설치됨(대역 외) | 초당 최대 50,000개의 패킷을 지원합니다. |
| ATA 경량 게이트웨이 | 전용 서버 및 포트 미러 구성이 필요하지 않습니다. | Lower | do기본 컨트롤러에 설치 | 초당 최대 10,000개의 패킷을 지원합니다. |
다음은 ATA 경량 게이트웨이에서 컨트롤러를 기본 시나리오의 예입니다.
분기 사이트
클라우드에 배포된 가상 기본 컨트롤러(IaaS)
다음은 ATA 게이트웨이에서 컨트롤러를 기본 시나리오의 예입니다.
- 초당 패킷이 10,000개 이상인 컨트롤러를 기본 본사 데이터 센터
ATA 경량 게이트웨이 크기 조정
ATA 경량 게이트웨이는 할 일기본 컨트롤러가 생성하는 네트워크 트래픽의 양에 따라 하나의 할 일기본 컨트롤러의 모니터링을 지원할 수 있습니다.
| 초당 패킷 수* | CPU(코어**) | 메모리(GB)*** |
|---|---|---|
| 1,000 | 2 | 6 |
| 5,000 | 6 | 16 |
| 10000 | 10 | 24 |
*특정 ATA 경량 게이트웨이에서 모니터링되는 do기본 컨트롤러의 초당 총 패킷 수입니다.
**이 작업을 수행하는 하이퍼가 아닌 스레드 코어의 총 수기본 컨트롤러가 설치되었습니다.
ATA 경량 게이트웨이에는 하이퍼 스레딩이 허용되지만 용량을 계획할 때는 하이퍼 스레드 코어가 아닌 실제 코어 수를 계산해야 합니다.
이 작업을 수행하는 총 메모리 양기본 컨트롤러가 설치되었습니다.
참고 항목
- do기본 컨트롤러에 ATA 경량 게이트웨이에 필요한 리소스가 없는 경우 기본 컨트롤러 성능은 영향을 받지 않지만 ATA 경량 게이트웨이는 예상대로 작동하지 않을 수 있습니다.
- 게이트웨이를 VM(가상 머신)으로 실행하는 경우 게이트웨이는 항상 모든 메모리를 VM에 할당해야 합니다. ATA 게이트웨이를 가상 머신으로 실행하는 방법에 대한 자세한 내용은 동적 메모리 요구 사항을 참조 하세요).
- 최적의 성능을 위해 ATA 경량 게이트웨이의 전원 옵션을 고성능으로 설정합니다.
- ATA 이진 파일, ATA 로그 및 성능 로그에 필요한 공간을 포함하여 최소 5GB의 공간이 필요하며 10GB를 사용하는 것이 좋습니다.
ATA 게이트웨이 크기 조정
배포할 ATA 게이트웨이 수를 결정할 때 다음 문제를 고려합니다.
- Active Directory 포리스트 및 할 일기본
ATA는 단일 Active Directory 포리스트의 여러 do기본 트래픽을 모니터링할 수 있습니다. 여러 Active Directory 포리스트를 모니터링하려면 별도의 ATA 배포가 필요합니다. 다른 포리스트에서 할 일기본 컨트롤러의 네트워크 트래픽을 모니터링하도록 단일 ATA 배포를 구성하지 마세요. - 포트 미러링
포트 미러 고려 사항에 따라 데이터 게이트웨이 또는 분기 사이트당 여러 ATA 게이트웨이를 배포해야 할 수 있습니다. - 생산 능력
ATA 게이트웨이는 모니터링 중인 do기본 컨트롤러의 네트워크 트래픽 양에 따라 여러 할기본 컨트롤러 모니터링을 지원할 수 있습니다.
| 초당 패킷 수* | CPU(코어**) | 메모리(GB) |
|---|---|---|
| 1,000 | 1 | 6 |
| 5,000 | 2 | 10 |
| 10,000 | 3 | 12 |
| 20,000 | 6 | 24 |
| 50,000 | 16 | 48 |
*하루 중 가장 바쁜 시간 동안 특정 ATA 게이트웨이에서 모니터링되는 모든 컨트롤러의 초당 총 패킷 수기본.
*총 할 일기본 컨트롤러 포트 미러 트래픽은 ATA 게이트웨이에서 캡처 NIC의 용량을 초과할 수 없습니다.
**하이퍼 스레딩을 사용하지 않도록 설정해야 합니다.
참고 항목
- 게이트웨이를 VM(가상 머신)으로 실행하는 경우 게이트웨이는 항상 모든 메모리를 VM에 할당해야 합니다. ATA 게이트웨이를 가상 머신으로 실행하는 방법에 대한 자세한 내용은 동적 메모리 요구 사항을 참조 하세요.
- 최적의 성능을 위해 ATA 게이트웨이의 전원 옵션을 고성능으로 설정합니다.
- ATA 이진 파일, ATA 로그 및 성능 로그에 필요한 공간을 포함하여 최소 5GB의 공간이 필요하며 10GB를 사용하는 것이 좋습니다.