SecurDPS Protection Cluster - Requisitos do sistema
O SecurDPS pode ser implantado em um modelo de implantação autogerenciado ou como implantação do Kubernetes por meio do Helm Chart. Para isso, consulte um dos dois:
- 1. Etapas de instalação da implantação autogerenciada para a instalação autogerenciada que usa diretamente as imagens do SecurDPS Soft Appliance, ou
- 2. Etapas de instalação para implementação de cluster de proteção do Kubernetes via Helm para a instalação do Kubernetes baseada em Helm.
Para instalar e executar o SecurDPS Enterprise, é necessário atender aos seguintes requisitos: Ambiente de tempo de execução - o console de gerenciamento do SecurDPS e os nós de proteção são fornecidos como dispositivos virtuais pequenos (< 100 MB) para isolamento máximo de segurança. Para suportar o forte nível de isolamento, é necessário um ambiente de tempo de execução. Isso pode ser combinado com a virtualização de hardware, se disponível, para melhorar o desempenho.
No caso do modelo de implantação auto gerenciada, é necessário um dos seguintes hypervisors:
- Oracle VM VirtualBox (OS: OpenBSD, 64bit) ou
- VMWare vSphere ESXi (OS: Outro, 64bit)
- QEMU/KVM (OS: OpenBSD, 64bit)
No caso de usar uma implantação do Kubernetes por meio do Helm Chart ou de implantar em qualquer uma das ofertas de nuvem pública (por exemplo, GCP, AWS, Azure), o QEMU/KVM é usado para fornecer o ambiente de tempo de execução adequado.
As implantações em ambientes de nuvem gerenciada não exigem nenhum recurso adicional, embora possam se beneficiar do maior poder de processamento fornecido por instâncias de servidores físicos ou personalizadas, resultando em melhor desempenho geral.
Requisitos do Kubernetes:
Os requisitos mínimos para implementações em um cluster do Kubernetes são:
- Versão do Kubernetes v1.21+
- Kubectl v1.21+
- Helm v3.8+
Além disso, é recomendado um ambiente Linux/unix com um shell bash.
Console de Gerenciamento (MC)
O console de gerenciamento do SecurDPS tem os seguintes requisitos:
- RAM mínima: 4 GB
- Disco rígido mínimo: 3,2 GB
– Para o controlador SCSI do VMWare vSphere: "LSI Logic Parallel"
- Rede:
- Para o Oracle VirtualBox Tipo de adaptador de rede: Intel PRO/1000 MT Desktop (82540EM)
- Para o modelo de dispositivo do adaptador de rede QEMU/KVM: e1000
- Para o modelo de dispositivo do adaptador de rede vSphere: e1000
- O MC ISO é montado como unidade de CD/DVD/Ótica
"Nós" de proteção
(PNs) Cada um dos nós de proteção do SecurDPS tem os seguintes requisitos:
- RAM mínima: 1 GB
- Disco rígido: Nenhum (!)
– Rede:
- Para o tipo de adaptador de rede Oracle VirtualBox: Intel PRO/1000 MT Desktop (82540EM)
- Para o modelo de dispositivo do adaptador de rede QEMU/KVM: e1000
- Para o modelo de dispositivo do adaptador de rede vSphere: e1000
– O ISO do PN é montado como unidade de CD/DVD/Ótica
Configuração de rede
Para se comunicarem entre si durante a fase de propagação e para fornecerem o serviço de proteção real posteriormente, todos os nós de um Protection Cluster precisam ser definidos com as configurações de rede adequadas. No modelo de implantação autogerenciada, a maneira mais fácil de fazer isso, do ponto de vista do administrador do SecurDPS, é confiar no DHCP para atribuir dinamicamente as configurações de rede aos Protection Clusters. Se não for possível ou não for desejado confiar no DHCP, os Protection Clusters podem receber configurações de rede estáticas.
Na implantação do Kubernetes via Helm Chart, uma configuração de rede adequada já está codificada como parte do SecurDPS Helm Chart correspondente e deve ser suficiente para todos os casos de uso típicos.
Informações adicionais sobre o Hardware do Kubernetes
Instalação do Kubernetes em servidor físico
Quanto à instalação do K8s em servidor físico - sem a necessidade de alta disponibilidade (ou seja, PoC), ele pode ser executado em um servidor sem impacto no desempenho. Para HA adequada em uma implantação posterior, é claro, 3 servidores.
Solicitações e limites de recursos no Kubernetes via Helm
A tabela a seguir descreve os requisitos de recursos recomendados ao implantar o cluster do SecurDPS Enterprise no Kubernetes.
Configuração do Firewall
Observação: Para obter as especificações do Audit Console (AC), consulte o Guia do Audit Console
- O MC para falar com os PNs, TCP (porta padrão 22 e 4000)
- MC e PNs para falar com o AC, syslog - (porta UDP padrão 514)
- Componente de Endpoint para falar com os PNs (porta padrão 22 TCP)
- Navegador do usuário para acessar a interface da Web do CA, porta TCP padrão 5601
- MC, PNs e AC podem se comunicar com um servidor NTP de sua escolha para sincronização de horário
- No caso de integração do Active Directory do cluster: O componente de Endpoint deve ser capaz de se comunicar com o AD em portas de protocolo Kerberos padrão, TCP (observação: nem o MC nem os PNs precisam ser capazes de se comunicar diretamente com o AD). Se o AC também deve ser integrado ao AD (sugerimos que isso seja feito somente em um estágio posterior da implementação, se desejado), ele precisa ser capaz de se comunicar com o AD via LDAP.
- Todas as entidades devem ser capazes de se comunicar com o DNS
Comentários
0 comentário
Por favor, entre para comentar.