ATA kapasite planlaması

Şunlar için geçerlidir: Advanced Threat Analytics sürüm 1.9

Bu makale, ağınızı izlemek için kaç ATA sunucusu gerektiğini belirlemenize yardımcı olur. Kaç ATA Gateway'e ve/veya ATA Lightweight Gateway'e ihtiyacınız olduğunu ve ATA Center ile ATA Gateway'leriniz için sunucu kapasitesini tahmin etmenize yardımcı olur.

Dekont

Bu makalede açıklanan performans gereksinimleri karşılandığı sürece, ATA Center herhangi bir IaaS satıcısına dağıtılabilir.

Boyutlandırma aracını kullanma

ATA dağıtımınızın kapasitesini belirlemenin önerilen ve en basit yolu, ATA Boyutlandırma Aracı'nı kullanmaktır. ATA Boyutlandırma Aracı'nı çalıştırın ve Excel dosya sonuçlarından ihtiyacınız olan ATA kapasitesini belirlemek için aşağıdaki alanları kullanın:

  • ATA Center CPU ve Bellek: ATA Center tablo sonuçları dosyasındaki Meşgul Paketler/sn alanını, ATA Center tablosundaki SNİSTE BAŞıNA PAKETLER alanıyla eşleştirin.

  • ATA Center Depolama: ATA Center tablo sonuçları dosyasındaki Ortalama Paketler/sn alanını, ATA Center tablosundaki SNİYE BAŞıNA PAKETLER alanıyla eşleştirin.

  • ATA Gateway: Seçtiğiniz ağ geçidi türüne bağlı olarak, sonuç dosyasındaki ATA Gateway tablosundaki Meşgul Paketler/sn alanını ATA Gateway tablosundaki SNİ PAKETLER/sn alanıyla veya ATA Lightweight Gateway tablosundaki PAKETLER/snalanıyla eşleştirin.

Sample capacity planning tool.

Dekont

Farklı ortamlar farklılık gösterdiğinden ve birden çok özel ve beklenmeyen ağ trafiği özelliğine sahip olduğundan, ATA'yı ilk kez dağıttıktan ve boyutlandırma aracını çalıştırdıktan sonra, dağıtımınızı kapasite için ayarlamanız ve hassas ayarlamalar yapmanız gerekebilir.

ATA Boyutlandırma Aracı'nı kullanamıyorsanız, 24 saat boyunca tüm Etki Alanı Denetleyicilerinizden düşük toplama aralığıyla (yaklaşık 5 saniye) paket/sn sayacı bilgilerini el ile toplayın. Ardından, her Etki Alanı Denetleyicisi için günlük ortalamayı ve en yoğun dönem (15 dakika) ortalamasını hesaplayın. Aşağıdaki bölümlerde, bir Etki Alanı Denetleyicisinden paket/sn sayacını toplama hakkında yönergeler sağlanır.

Dekont

Farklı ortamlar farklılık gösterdiğinden ve birden çok özel ve beklenmeyen ağ trafiği özelliğine sahip olduğundan, ATA'yı ilk kez dağıttıktan ve boyutlandırma aracını çalıştırdıktan sonra, dağıtımınızı kapasite için ayarlamanız ve hassas ayarlamalar yapmanız gerekebilir.

ATA Center Boyutlandırma

ATA Center, kullanıcı davranış analizi için önerilen en az 30 günlük veri gerektirir.

Tüm DC'lerden saniye başına paket sayısı CPU (çekirdekler*) Bellek (GB) Günlük veritabanı depolama alanı (GB) Aylık veritabanı depolama alanı (GB) IOP**
1.000 2 32 0.3 9 30 (100)
40,000 4 48 12 360 500 (750)
200,000 8 64 60 1.800 1,000 (1,500)
400,000 12 96 120 3.600 2,000 (2,500)
750,000 24 112 225 6,750 2,500 (3,000)
1.000.000 40 128 300 9.000 4,000 (5,000)

*Buna hiper iş parçacıklı çekirdekler değil fiziksel çekirdekler dahildir.

**Ortalama sayılar (Tepe sayılar)

Dekont

  • ATA Center, izlenen tüm etki alanı denetleyicilerinden saniyede toplam en fazla 1M paket işleyebilir. Bazı ortamlarda, aynı ATA Center 1 milyondan yüksek olan genel trafiği işleyebilir ve bazı ortamlar ATA kapasitesini aşabilir. Büyük ortamları planlama ve tahmin etme konusunda yardım için adresinden bize azureatpfeedback@microsoft.com ulaşın.
  • Boş alanınız en az %20 veya 200 GB'a ulaşırsa en eski veri koleksiyonu silinir. Veri toplamayı bu düzeye başarıyla azaltmak mümkün değilse, bir uyarı günlüğe kaydedilir. ATA, %5 veya 50 GB boş eşiğine ulaşılana kadar çalışmaya devam eder. Bu noktada, ATA veritabanını doldurmayı durdurur ve ek bir uyarı verilir.
  • Bu makalede açıklanan performans gereksinimleri karşılanırsa, ATA Center'ı herhangi bir IaaS satıcısına dağıtabilirsiniz.
  • Okuma ve yazma etkinlikleri için depolama gecikmesi 10 ms'nin altında olmalıdır.
  • Okuma ve yazma etkinlikleri arasındaki oran, saniye başına 100.000 paketin altında yaklaşık 1:3 ve saniyede 100.000 paketin üzerinde 1:6'dır.
  • Center'ı sanal makine (VM) olarak çalıştırırken, Center her zaman tüm belleğin VM'ye ayrılmasını gerektirir. ATA Center'ı sanal makine olarak çalıştırma hakkında daha fazla bilgi için bkz . ATA Center gereksinimleri.
  • En iyi performans için ATA Center'ın Güç Seçeneğini Yüksek Performans olarak ayarlayın.
  • Fiziksel sunucuda çalışırken, ATA veritabanı BIOS'ta tekdüzen olmayan bellek erişimini (NUMA) devre dışı bırakmanızı gerektirir. Sisteminiz NUMA'yı Düğüm Araya Ekleme olarak adlandırabilir ve bu durumda NUMA'yı devre dışı bırakmak için Düğüm Araya Ekleme'yi etkinleştirmeniz gerekir. Daha fazla bilgi için BIOS belgelerinize bakın. ATA Center bir sanal sunucuda çalışırken bu durum geçerli değildir.

Dağıtımınız için doğru ağ geçidi türünü seçme

ATA dağıtımında, ATA Gateway türlerinin herhangi bir bileşimi desteklenir:

  • Yalnızca ATA Gateway'ler
  • Yalnızca ATA Lightweight Gateway'ler
  • Her ikisinin birleşimi

Ağ geçidi dağıtım türüne karar verirken aşağıdaki avantajları göz önünde bulundurun:

Geçit türü Sosyal haklar Maliyet Dağıtım topolojisi Etki alanı denetleyicisi kullanımı
ATA Gateway Bant dışı dağıtım, saldırganların ATA'nın mevcut olduğunu bulmasını zorlaştırır Daha fazla Etki alanı denetleyicisiyle birlikte yüklenir (bant dışı) Saniyede en fazla 50.000 paketi destekler
ATA Lightweight Gateway Ayrılmış sunucu ve bağlantı noktası yansıtma yapılandırması gerektirmez Alt Etki alanı denetleyicisinde yüklü Saniyede en fazla 10.000 paketi destekler

Aşağıda, etki alanı denetleyicilerinin ATA Lightweight Gateway kapsamında olması gereken senaryo örnekleri verilmiştir:

  • Dal siteleri

  • Bulutta dağıtılan sanal etki alanı denetleyicileri (IaaS)

Aşağıda, etki alanı denetleyicilerinin ATA Gateway kapsamında olması gereken senaryo örnekleri verilmiştir:

  • Genel merkez veri merkezleri (saniyede 10.000'den fazla paket içeren etki alanı denetleyicilerine sahip)

ATA Lightweight Gateway Boyutlandırma

ATA Lightweight Gateway, etki alanı denetleyicisinin oluşturduğu ağ trafiği miktarına göre bir etki alanı denetleyicisinin izlenmesini destekleyebilir.

Saniye başına paket sayısı* CPU (çekirdekler**) Bellek (GB)***
1.000 2 6
5.000 6 16
10,000 10 24

*Belirli BIR ATA Lightweight Gateway tarafından izlenen etki alanı denetleyicisindeki saniye başına toplam paket sayısı.

**Bu etki alanı denetleyicisinin yüklediği hiper iş parçacıklı olmayan çekirdeklerin toplam sayısı.
ATA Lightweight Gateway için hiper iş parçacığı kullanımı kabul edilebilir olsa da, kapasite planlaması yaparken hiper iş parçacıklı çekirdekleri değil gerçek çekirdekleri saymalısınız.

Bu etki alanı denetleyicisinin yüklediği toplam bellek miktarı.

Dekont

  • Etki alanı denetleyicisi ATA Lightweight Gateway'in gerektirdiği kaynaklara sahip değilse, etki alanı denetleyicisi performansı etkilenmez, ancak ATA Lightweight Gateway beklendiği gibi çalışmayabilir.
  • Ağ Geçidini bir sanal makine (VM) olarak çalıştırırken Ağ Geçidi, vm'ye her zaman tüm belleğin ayrılmasını gerektirir. ATA Gateway'i sanal makine olarak çalıştırma hakkında daha fazla bilgi için bkz . Dinamik bellek gereksinimleri).
  • En iyi performans için ATA Lightweight Gateway'in Güç Seçeneğini Yüksek Performans olarak ayarlayın.
  • ATA ikili dosyaları, ATA günlükleri ve performans günlükleri için gereken alan da dahil olmak üzere en az 5 GB alan gerekir ve 10 GB önerilir.

ATA Gateway Boyutlandırma

Kaç ATA Gateway dağıtılacağına karar verirken aşağıdaki sorunları göz önünde bulundurun.

  • Active Directory ormanları ve etki alanları
    ATA, tek bir Active Directory ormanından birden çok etki alanından gelen trafiği izleyebilir. Birden çok Active Directory ormanının izlenmesi için ayrı ATA dağıtımları gerekir. Farklı ormanlardan etki alanı denetleyicilerinin ağ trafiğini izlemek için tek bir ATA dağıtımı yapılandırmayın.
  • Bağlantı Noktası Yansıtma
    Bağlantı noktası yansıtma konusunda dikkat edilmesi gerekenler, veri Ağ Geçidi veya dal sitesi başına birden çok ATA Gateway dağıtmanızı gerektirebilir.
  • Kapasite
    ATA Gateway, izlenen etki alanı denetleyicilerinin ağ trafiği miktarına bağlı olarak birden çok etki alanı denetleyicisinin izlenmesini destekleyebilir.
Saniye başına paket sayısı* CPU (çekirdekler**) Bellek (GB)
1.000 Kategori 1 6
5.000 2 10
10,000 3 12
20,000 6 24
50,000 16 48

*Belirli BIR ATA Gateway tarafından günün en yoğun saati boyunca izlenen tüm etki alanı denetleyicilerinden saniye başına toplam paket sayısı.

*Etki alanı denetleyicisi bağlantı noktası yansıtmalı trafiğin toplam miktarı ATA Gateway'de yakalama NIC'sinin kapasitesini aşamaz.

**Hiper iş parçacığı oluşturma devre dışı bırakılmalıdır.

Dekont

Ayrıca bkz: