NSX-VDI環境でのDeep Security
9.5/9.6簡易サイジング情報
(Rev1.2)
2016/11/22
2 Copyright © 2016 Trend Micro Incorporated. All rights reserved.
本資料について
•
本資料内に記載されているサイジング情報は過去の弊社実
績となりあくまでも指標となります。実環境での性能・動
作を保証するものではありません。
•
導入の際は、実際の使用環境を想定したパフォーマンス試
験を事前に実施いただくことを推奨いたします。
•
状況により、弊社エンジニア及びサポート担当から本資料
と異なる設定や推奨値を提示させていただくことがござい
ます。
•
本資料の再配布をご希望の場合、本資料入手先弊社担当ま
で事前にご一報ください。
Deep Security VDI-NSX環境構築注意ポイント
•
以下に分けて説明いたします
1.
Deep Security Manager(DSM)
2.
DSM用Database
3.
DSVA
4.
Deep Security Relay(DSR)
③
④
④
①
4 Copyright © 2016 Trend Micro Incorporated. All rights reserved.
DSM簡易サイジング
• CPU/メモリ/Disk/Network – (500~)1,000台を超えるVDIを保護する場合、DSM1ノードに割り当てるCPUは4vCPU, 最大メモリを 8GB程度に増加させる (OSへの割り当てはOSのオーバヘッド分を考慮し、12GB程度とする)ことを推 奨します。 – DSMとしてのvCPU上限は特にございませんが、DSM1台のみに極端に大きなCPU/メモリを割り当てる よりDSMノード自体を増やすことによる効果のほうが大きいため、DSM1台での運用時は2台目のDSM 増設を検討してください – DSMとしてのIOPSの指標は特にございませんが、OSやDatabaseの仕様が満たされている状態であれ ば特に問題は確認しておりません。 – DSMはすべての構成・イベント情報をデータベースに保存するため、プログラム自体のDisk容量として は5GB程度確保いただければ問題ありませんが、障害発生時など、デバッグレベルのログを生成する場 合は一時的に大量のログを保存する必要がありますので、合計10GB程度確保することを推奨します。 – DSが利用するコンポーネント間の通信に関しては最低1Gbpsの帯域を推奨しております。 • ノード数 – 1,000台を超えるVDI保護環境の場合、DSMを2台以上の構成とすることを強く推奨します – 以降、1,000台増える毎にDSMを1台追加を検討してください – 各DSMは共通のDBを使用するため、DSM5台以上の構成はスケーラビリティの観点から推奨できませ ん。保護対象が5,000台超の場合、クラスタを分けることを検討してください※DSMノード自体は構築完了後でも既存のサービスを停止することなく追加を行うことが
可能ですが、設計・構築フェーズを終えた後のノード・リソースの追加は場合よって再テス
トなど追加の費用・工数が発生するため、余裕を持った設計を推奨いたします。
DSMのメモリ/CPU追加について
• 使用可能メモリについて – DSMは標準インストール状態ではOSが持っているメモリ量に関わらず、4GBまでしかメモリを使用す ることができません – 多くのユーザケースでDSMをインストールしたOSに大量のメモリを割り当てているにも関わらず、 DSMのメモリ設定が変更されていないケースが発生しているため、DSMの最大使用可能メモリ設定が意 図通り行われているか確認してください。 – DSMの最大メモリ使用量の追加方法については、下記インストールガイドのP.84「Deep Security Managerの最大メモリ使用量を設定する」を参照してください • http://files.trendmicro.com/jp/ucmodule/tmds/96/sp1/Deep_Security_9.6_SP1_Install_Guide_nsx_JP.pdf • CPU数について – DSMは利用できるCPUコア数により、同時処理できるジョブの数が自動調整される仕様となっており、 少ないコア数で大量のジョブが発生する環境(例:保護対象ノードが多すぎる、同時に多数のスケジュー ルタスクを設定する、VDI環境で大量のvMotion、保護ノードの一斉有効化など多数の変更が同時に発 生する場合)で運用した場合、ジョブ処理が遅延(失敗)する原因となります。 – 同時処理ジョブ数に上限が設定されているため、場合によりCPU負荷が低い(余裕がある)状態でも処理 能力不足が発生する場合があります。6 Copyright © 2016 Trend Micro Incorporated. All rights reserved.
DSMのメモリ/CPU使用量の確認方法
•
[管理]-[システム情報]-[システムの詳細]-[Managerノード]メニューより確認可能です。
•
以降、本メニューからその他のパフォーマンスに関する情報を得ることが可能です。
最大メモリが3.56GBと表示されている場合、デフォル ト(4GB)から最大メモリ量が変更されていない 最大メモリ=使用メモリとなっている場合、DSMは使用 できるメモリ量をすべて使っている状態 DSMノードのCPU数と使用率DSMのノード追加(クラスタ構成)の必要性
• DSMの同時ジョブ処理数と内部リソース(配分)値の確認 – DSMの同時ジョブ処理数は通常設定ではCPUコア数のみにより左右され、メモリの搭載量に影 響されません。 – CPUコア数によって増加するリソースは内部CPUリソース値のみであり、DBリソース、ネット ワークリソースはDSMノード毎に固定値となるため、CPUリソースの使用率が低い場合でも同 時ジョブ処理数が制限されることがあります。 – DBリソース・及びネットワークリソース値を増加させるためにはDSMノードの追加が必要とな ります(内部パラメータの変更によっても変更は可能ですが、公開可能な資料はございません) CPUリソース値のみ割り当てられたCPUコア数に応 じて増加 DBリソース、ネットワークリソースは100のまま8 Copyright © 2016 Trend Micro Incorporated. All rights reserved.
DSMのリソース使用状況
• リソース使用状況の確認 – リソースの利用状況については瞬間値の確認は可能ですが、現状長時間の履歴をモニタ、ログ に記録する機能はありません – 累積負荷が最大リソース量を頻繁に超えるような状況が見られた場合、処理能力不足が発生し ている状況です。(超えていても、必ずしも問題が発生するわけではありません) 最大リソース量に対する瞬間使用値 情報更新ボタン 累積負荷が最大リソース量を超える値が頻繁 に発生する場合、リソース不足の傾向があるDSM用簡易DBサイジング
•
DBノードについて
–
DSMノードとの同居はDSMの2台構成が必要など、一定規模以上の環境では同居は非推
奨、DSMノードとは別ノードとすることを推奨
–
必ずしもDBサーバ自体をDSM専用ノードとする必要はありません。
他システムのDBと共用されることが考えられます。
•
メモリ/CPU
–
DSMの情報はすべてDBに記録されるため、DB側でボトルネックとならないように設定
–
CPUは4~8vCPU, 8GB~16GBメモリ程度(Windows /SQL Server環境)
•
ディスク容量
–
各DS Agent/VA上でのイベント発生量やイベント保持期間設定により、必要なディスク
10 Copyright © 2016 Trend Micro Incorporated. All rights reserved.
