Configuration de l'hôte virtuel : Déploiement de base

Document created by RSA Information Design and Development on Apr 26, 2018
Version 1Show Document
  • View in full screen mode
 

Cette rubrique fournit des instructions et des exigences générales en matière de déploiement de RSANetWitness Suite11.0.0.0 dans un environnement virtuel.

Abréviations utilisées dans le Guide de déploiement virtuel

                                                                                       
AbréviationsDescription
CPUUnité centrale
EPSÉvénements par seconde
VMware ESXHyperviseur de type 1 de classe entreprise, versions prises en charge : 6.5, 6.0 et 5.5
GoGigaoctet. 1 Go = 1 000 000 000 octets
GbGigabit. 1 Go = 1 000 000 000 bits
Gbit/sGigabits par seconde ou milliards de bits par seconde. Cette unité mesure la bande passante sur un support de transmission des données numériques, comme la fibre optique.
GHzGigaHertz 1 GHz = 1 000 000 000 Hz
E/S par secondeEntrées/sorties par seconde
Mbit/sEn mégabits par seconde, ou des millions de bits par seconde. Cette unité mesure la bande passante sur un support de transmission des données numériques, comme la fibre optique.
NASNAS (Network Attached Storage)
OVFOpen Virtualization Format
OVAOpen Virtual Appliance. Dans ce guide, OVA signifie Hôte virtuel ouvert (Open Virtual Host).
RAMRandom Access Memory (également nommé mémoire)
SANStorage Area Network
SSD/EFD HDDDisque SSD/disque Flash d'entreprise
SCSISmall Computer System Interface
SCSI (SAS)Protocole de série de point à point qui déplace les données vers et depuis les périphériques de stockage tels que les disques durs et les lecteurs de bande.
CPU virtuelsUnité de traitement central virtuelle (également nommée processeur virtuel)
vRAMVirtual Random Access Memory (également nommé mémoire virtuelle)

Hôtes virtuels pris en charge

Vous pouvez installer les hôtes NetWitness Suite suivants dans votre environnement virtuel sous forme d'hôtes virtuels et hériter de fonctionnalités fournies par votre environnement virtuel :

  • Serveur NetWitness
  • Event Stream Analysis : ESA primaire et secondaire
  • Archiver
  • Broker
  • Concentrator
  • Log Decoder
  • Malware Analysis
  • Decoder
  • Remote Log Collector

Vous devez être familiarisé avec les concepts d'infrastructure VMware suivants :

  • VMware vCenter Server
  • VMware ESXi
  • Machine virtuelle

Pour plus d'informations sur les concepts VMware, reportez-vous à la documentation produit VMware.

Les hôtes virtuels sont fournis sous la forme de fichiers OVA. Vous devez déployer le fichier OVA en tant que machine virtuelle dans votre infrastructure virtuelle.

Supports d'installation

Les supports d'installation se présentent sous la forme de packages OVA , qui peuvent être téléchargés et installés à partir de Download Central (https://download.rsasecurity.com). Dans le cadre de votre commande, RSA vous donne accès au modèle OVA.

Recommandations en matière d'environnement virtuel

Les hôtes virtuels installés avec les packages OVA ont les mêmes fonctionnalités que les hôtes matériels NetWitness Suite. Cela signifie que lorsque vous mettez en œuvre des hôtes virtuels, vous devez tenir compte du matériel back-end. RSA vous conseille d'effectuer les tâches suivantes lorsque vous configurez votre environnement virtuel.

  • En fonction des besoins en ressources des différents composants, suivez les bonnes pratiques pour utiliser le système et le stockage dédié de manière appropriée.
  • Assurez-vous que les configurations de disques back-end fournissent une vitesse d'écriture de 10 % supérieure à la capture soutenue requise et au taux de réception pour le déploiement.
  • Pour le fichier OVA, 32  Go de RAM par appliance hôte sont requis.
  • Créez des répertoires Concentrator pour les bases de métadonnées et les bases de données d'index SSD/EFD HDD.
  • Si les composants de base de données sont séparés des composants du système d'exploitation (OS) installé (autrement dit, sur un système physique séparé), fournissez une connectivité directe de l'une des façons suivantes :
    • Deux ports SAN Fibre Channel de 8 Gbit/s par hôte virtuel,
      ou
    • une connectivité d'interface SAS (Serial Attached SCSI) de 6 Gbit/s

Remarque : 1.) Actuellement, NetWitness Suite ne prend pas en charge le NAS (Network Attached Storage) pour les déploiements virtuels.
2.) Le Decoder accepte toutes les configurations de stockage pouvant satisfaire les besoins en débit soutenu. La liaison Fibre Channel 8 Gbit/s standard à un SAN est insuffisante pour lire et écrire des données de paquets à 10 Gbit/s. Vous devez utiliser plusieurs canaux Fibre Channel lors de la configuration avec la connexion d’un Decoder 10G vers le SAN.

Configuration matérielle recommandée pour l'hôte virtuel

Les tableaux suivants répertorient la configuration matérielle recommandée pour les éléments vCPU, vRAM et IOPS en lecture et en écriture pour les hôtes virtuels selon l'EPS ou le taux de capture de chaque composant.

  • L'allocation du stockage est décrite dans l’étape 3, « Configurer des bases de données selon la suite NetWitness Suite ».
  • Les recommandations vRAM et CPU peuvent varier en fonction des taux de capture, de la configuration et du contenu activé.
  • Les recommandations ont été testées à des taux de réception allant jusqu'à 25 000 EPS pour les logs et deux Gbit/s pour les paquets, sans SSL.
  • Les caractéristiques de CPU virtuel pour tous les composants répertoriés dans les tableaux suivants sont
    CPU Intel Xeon à 2,59 GHz.
  • Tous les ports sont testés SSL à 15 000 EPS pour les logs et 1,5 Gbit/s pour les paquets.

Remarque : Les valeurs recommandées ci-dessus peuvent être différentes pour une installation 11.0.0.0 lorsque vous installez les nouvelles fonctionnalités et améliorations.

Scénario un

Les exigences décrites dans ces tableaux ont été calculées dans les conditions indiquées ci-dessous.

  • Tous les composants ont été intégrés.
  • Le flux de log comprenait un Log Decoder, un Concentrator et un Archiver.
  • Le flux de paquets comprenait un Packet Decoder et un Concentrator.

  • La charge en arrière-plan comprenait des rapports horaires et journaliers.
  • Les graphiques étaient configurés.

Log Decoder

                                      
EPSCPUMémoireIOPS en lectureIOPS en écriture
2 5006 ou 15,60 GHz32 Go5075

5 000

8 ou 20,79 GHz

32 Go

100

100

7 500

10 ou 25,99 GHz

32 Go

150

150

Packet Decoder

                                      
Mbit/sCPUMémoireIOPS en lectureIOPS en écriture
504 ou 10,39 GHz 32 Go 50150
1004 ou 10,39 GHz 32 Go 50250
2504 ou 10,39 GHz 32 Go50350

Concentrator - Flux de log

                                      
EPSCPUMémoireIOPS en lectureIOPS en écriture

2 500

4 ou 10,39 GHz

32 Go

300

1 800

5 0004 ou 10,39 GHz32 Go4002 350
7 500 6 ou 15,59 GHz32 Go5004 500

Concentrator - Flux de paquets

                                      
Mbit/sCPUMémoireIOPS en lectureIOPS en écriture
50 4 ou 10,39 GHz 32 Go 50 1 350
100 4 ou 10,39 GHz 32 Go 1001 700
250 4 ou 10,39 GHz 32 Go1502 100

Achiver

                                      
EPSCPUMémoireIOPS en lectureIOPS en écriture
2 500 4 ou 10,39 GHz 32 Go 150 250
5 000 4 ou 10,39 GHz 32 Go 150250
7 500 6 ou 15,59 GHz 32 Go150350

Scénario deux

Les exigences décrites dans ces tableaux ont été calculées dans les conditions indiquées ci-dessous.

  • Tous les composants ont été intégrés.
  • Le flux de log comprenait un Log Decoder, un Concentrator, un Warehouse Connector et un Archiver.
  • Le flux de paquets comprenait un Packet Decoder, un Concentrator et un Warehouse Connector.
  • Event Stream Analysis agrégeait à 90 000 EPS, à partir de trois Concentrators Hybrid.
  • Incident Management recevait des alertes de Reporting Engine et d’Event Stream Analysis.
  • La charge en arrière-plan comprenait des rapports, des graphiques, des alertes, des procédure d’enquête et la gestion des incidents.
  • Les alertes étaient configurées.

Log Decoder

                               
EPSCPUMémoireIOPS en lectureIOPS en écriture
10 00016 ou 41,58 GHz50 Go30050

15 000

20 ou 51,98 GHz

60 Go

550

100

Packet Decoder

                                      
Mbit/sCPUMémoireIOPS en lectureIOPS en écriture
500 8 ou 20,79 GHz40 Go150200
1 00012 or 31,18 GHz50 Go200400
1 50016 ou 41,58 GHz75 Go200500

Concentrator - Flux de log

                               
EPSCPUMémoireIOPS en lectureIOPS en écriture
10 00010 ou 25,99 GHz50 Go1 550 + 506 500
15 00012 or 31,18 GHz60 Go1 200 + 4007 600

Concentrator - Flux de paquets

                                      
Mbit/sCPUMémoireIOPS en lectureIOPS en écriture
500 12 or 31,18 GHz50 Go2504 600
1 00016 ou 41,58 GHz50 Go5505 500
1 50024 or 62,38 GHz75 Go1 0506 500

Warehouse Connector - Flux de log

                               
EPSCPUMémoireIOPS en lectureIOPS en écriture
10 0008 ou 20,79 GHz30 Go5050
15 00010 ou 25,99 GHz35 Go5050

Warehouse Connector - Flux de paquets

                                      
Mbit/sCPUMémoireIOPS en lectureIOPS en écriture
500 6 ou 15,59 GHz32 Go5050
1 0006 ou 15,59 GHz32 Go5050

1 500

8 ou 20,79 GHz

40 Go5050

Archiver - Flux de log

                               
EPSCPUMémoireIOPS en lectureIOPS en écriture
10 00012 or 31,18 GHz40 Go1 300700
15 00014 ou 36,38 GHz45 Go1 200900

Event Stream Analysis (ESA) avec Context Hub

                        
EPSCPUMémoireIOPS en lectureIOPS en écriture
90 00032 ou 83,16 GHz94 Go5050

Serveur NetWitness et composants co-implantés

Serveur NetWitness, Jetty, Broker, Incident Management et Reporting Engine sont dans le même emplacement.

                     
CPUMémoireIOPS en lectureIOPS en écriture
12 or 31,18 GHz 50 Go100350

Troisième scénario

Les exigences décrites dans ces tableaux ont été calculées dans les conditions indiquées ci-dessous.

  • Tous les composants ont été intégrés.
  • Le flux de log comprenait un Log Decoder et un Concentrator.
  • Le flux de paquets comprenait un Packet Decoder et un Concentrator.
  • Event Stream Analysis agrégeait à 90 000 EPS, à partir de trois Concentrators Hybrid.
  • Incident Management recevait des alertes de Reporting Engine et d’Event Stream Analysis.
  • La charge en arrière-plan comprenait des rapports horaires et journaliers.

  • Les graphiques étaient configurés.

Log Decoder

                        
EPSCPUMémoireIOPS en lectureIOPS en écriture
25 00032 ou 83,16 GHz75 Go250150

Packet Decoder

                        
Mbit/sCPUMémoireIOPS en lectureIOPS en écriture
2 00016 ou 41,58 GHz75 Go50650

Concentrator - Flux de log

                        
EPSCPUMémoireIOPS en lectureIOPS en écriture
25 00016 ou 41,58 GHz75 Go6509 200

Concentrator - Flux de paquets

                        
Mbit/sCPUMémoireIOPS en lectureIOPS en écriture
2 00024 or 62,38 GHz75 Go1507 050

Log Collector (local et distant)

Le Remote Log Collector est un service Log Collector qui s’exécute sur un hôte distant et le Remote Collector est déployé virtuellement.

                               
EPSCPUMémoireIOPS en lectureIOPS en écriture
15 0008 ou 20,79 GHz8 Go5050
30 0008 ou 20,79 GHz15 Go100100

Instructions de dimensionnement pour les collecteurs Windows d'ancienne génération

Reportez-vous à RSA NetWitness Suite Legacy Windows Collection Update & Installation pour prendre connaissance des recommandations de dimensionnement pour le collecteur Windows d’ancienne génération.

Previous Topic:Présentation
You are here
Table of Contents > Déploiement de base

Attachments

    Outcomes