ATA 容量規劃
適用于:進階威脅分析 1.9 版
本文可協助您判斷監視網路所需的 ATA 伺服器數量。 它可協助您預估您需要多少 ATA 閘道和/或 ATA 輕量型閘道,以及 ATA 中心和 ATA 閘道的伺服器容量。
注意
只要符合本文所述的效能需求,ATA 中心就可以部署在任何 IaaS 廠商上。
使用調整大小工具
判斷 ATA 部署容量的建議和最簡單的方式是使用 ATA 調整大小工具 。 執行 ATA 大小調整工具,並從 Excel 檔案結果中,使用下欄欄位來判斷您需要的 ATA 容量:
ATA 中心 CPU 和記憶體:比 對 ATA 中心資料表結果檔案中的 [忙碌封包/秒 ] 欄位與 ATA 中心資料表 中的 [每秒封包數] 欄位。
ATA 中心儲存體:比 對 ATA 中心資料表結果檔案中的 Avg Packets/sec 欄位與 ATA 中心資料表 中的 PACKETS PER SECOND 欄位。
ATA 閘道:根據您選擇的 閘道類型, 將結果檔中 ATA 閘道資料表中的 [忙碌封包/秒 ] 欄位與 ATA 閘道資料表 或 ATA 輕量型閘道資料表 中的 [封包/秒 ] 欄位相符 。
注意
因為不同的環境不同,而且具有多個特殊且非預期的網路流量特性,因此在您一開始部署 ATA 並執行調整大小工具之後,您可能需要調整並微調您的部署以取得容量。
如果您無法使用 ATA 調整大小工具,請以低收集間隔(約 5 秒)從所有網域控制站收集封包/秒計數器資訊 24 小時。 然後,針對每個網域控制站,計算每日平均值和最繁忙的期間(15 分鐘)平均值。 下列各節提供如何從一個網域控制站收集封包/秒計數器的指示。
注意
因為不同的環境不同,而且具有多個特殊且非預期的網路流量特性,因此在您一開始部署 ATA 並執行調整大小工具之後,您可能需要調整並微調您的部署以取得容量。
ATA 中心調整大小
ATA 中心至少需要 30 天的資料,以進行使用者行為分析。
| 來自所有 DC 每秒的封包數 | CPU (核心*) | 記憶體 (GB) | 每日資料庫儲存體 (GB) | 每月資料庫儲存體 (GB) | IOPS** |
|---|---|---|---|---|---|
| 1,000 | 2 | 32 | 0.3 | 9 | 30 (100) |
| 40,000 | 4 | 48 | 12 | 360 | 500 (750) |
| 200,000 | 8 | 64 | 60 | 1,800 | 1,000 (1,500) |
| 400,000 | 12 | 96 | 120 | 3,600 | 2,000 (2,500) |
| 750,000 | 24 | 112 | 225 | 6,750 | 2,500 (3,000) |
| 1,000,000 | 40 | 128 | 300 | 9,000 | 4,000 (5,000) |
*這包括實體核心,而非超執行緒核心。
**平均數位 (尖峰數位)
注意
- ATA 中心可以處理來自所有受監視網域控制站每秒 100 萬個封包的匯總上限。 在某些環境中,相同的 ATA 中心可以處理高於 1M 的整體流量,某些環境可能會超過 ATA 容量。 請與我們連絡 , azureatpfeedback@microsoft.com 以取得規劃和估計大型環境方面的協助。
- 如果您的可用空間至少達到 20% 或 200 GB,則會刪除最舊的資料收集。 如果無法成功將資料收集縮減到此層級,將會記錄警示。 ATA 會繼續運作,直到達到 5% 或 50 GB 的閾值為止。 此時,ATA 將會停止填入資料庫,併發出額外的警示。
- 如果符合本文中所述的效能需求,您可以在任何 IaaS 廠商上部署 ATA 中心。
- 讀取和寫入活動的儲存體延遲應低於 10 毫秒。
- 讀取和寫入活動之間的比率大約是低於每秒 100,000 個封包的 1:3,比每秒 100,000 封包高出 1:6。
- 以虛擬機器身分執行中心時,中心會要求所有記憶體都配置給 VM,所有時間。 如需以虛擬機器身分執行 ATA 中心的詳細資訊,請參閱 ATA 中心需求 。
- 為了獲得最佳效能,請將 ATA 中心的 [電源選項 ] 設定 為 [高效能 ]。
- 在實體伺服器上工作時,ATA 資料庫需要您在 BIOS 中停用 非統一記憶體存取(NUMA)。 您的系統可能會將 NUMA 稱為節點交錯,在此情況下,您必須 啟用 節點交錯以停用 NUMA。 如需詳細資訊,請參閱 BIOS 檔。 當 ATA 中心在虛擬伺服器上執行時,這並不相關。
為您的部署選擇正確的閘道類型
在 ATA 部署中,支援 ATA 閘道類型的任何組合:
- 僅限 ATA 閘道
- 只有 ATA 輕量型閘道
- 上列兩者的組合
決定閘道部署類型時,請考慮下列優點:
| 閘道類型 | 福利 | 成本 | 部署拓撲 | 網域控制站使用 |
|---|---|---|---|---|
| ATA 閘道 | 頻外部署讓攻擊者更難發現 ATA | 較高 | 與網域控制站一起安裝 (頻外) | 每秒最多支援 50,000 個封包 |
| ATA 輕量型閘道 | 不需要專用伺服器和埠鏡像設定 | Lower | 安裝在網域控制站上 | 每秒最多支援 10,000 個封包 |
以下是 ATA 輕量型閘道應涵蓋網域控制站的案例範例:
分支網站
部署在雲端中的虛擬網域控制站 (IaaS)
以下是 ATA 閘道應該涵蓋網域控制站的案例範例:
- 總部資料中心(擁有每秒超過 10,000 個封包的網域控制站)
ATA 輕量型閘道大小調整
ATA 輕量型閘道可以根據網域控制站產生的網路流量,支援監視一個網域控制站。
| 每秒封包數* | CPU (核心**) | 記憶體 (GB)*** |
|---|---|---|
| 1,000 | 2 | 6 |
| 5,000 | 6 | 16 |
| 10,000 | 10 | 24 |
*特定 ATA 輕量型閘道所監視網域控制站上的每秒封包總數。
**此網域控制站已安裝的非超執行緒核心總數。
雖然 ATA 輕量型閘道可以接受超執行緒,但規劃容量時,您應該計算實際的核心,而不是超執行緒核心。
此網域控制站已安裝的記憶體總量。
注意
ATA 閘道大小調整
決定要部署的 ATA 閘道數目時,請考慮下列問題。
- Active Directory 樹系和網域
ATA 可以監視來自單一 Active Directory 樹系之多個網域的流量。 監視多個 Active Directory 樹系需要個別的 ATA 部署。 請勿設定單一 ATA 部署,以監視來自不同樹系之網域控制站的網路流量。 - 埠鏡像
埠鏡像考慮可能需要您為每個資料閘道或分支月臺部署多個 ATA 閘道。 - 容量
ATA 閘道可以支援監視多個網域控制站,視受監視的網域控制站網路流量量而定。
| 每秒封包數* | CPU (核心**) | 記憶體 (GB) |
|---|---|---|
| 1,000 | 1 | 6 |
| 5,000 | 2 | 10 |
| 10,000 | 3 | 12 |
| 20,000 | 6 | 24 |
| 50,000 | 16 | 48 |
*特定 ATA 閘道在一天中最繁忙的一小時內,受到特定 ATA 閘道監視的所有網域控制站每秒封包總數。
*網域控制站埠鏡像流量總數不能超過 ATA 閘道上擷取 NIC 的容量。
**必須停用 Hyper-threading。
注意