Procedure consigliate per le prestazioni e la stabilità dell'ambiente ePolicy Orchestrator
Articoli tecnici ID:
KB90961
Ultima modifica: 13/07/2022
Ambiente
ePolicy Orchestrator (ePO) 10.x , 5.9.x
Riepilogo
Le procedure consigliate riportate di seguito sono suddivise in tre gruppi.
Contenuto:
Fare clic per espandere la sezione che si desidera visualizzare:
Scalabilità
Il numero di sistemi gestiti dal server ePO determina il numero e la dimensione dei gestori e degli archivi aggiuntivi Agent necessari. Si consiglia di utilizzare un singolo gestore degli agent ogni 50.000 sistemi.
Per gli ambienti che gestiscono più di 10.000 nodi, è consigliata l'installazione di ePO e SQL sui sistemi fisici per ottenere prestazioni ottimali. La limitazione principale è rappresentata dalle prestazioni SQL Server, in particolare dalle prestazioni del disco. (IOPS-10 al secondo). Quando il numero di nodi aumenta, è possibile che si verifichino prestazioni più lente del disco. Consultare i suggerimenti per la distribuzione di ePO nella Guida all'installazionedi piattaforme virtuali.
Per installare il server ePO su una macchina virtuale (VM) e risolvere il problema relativo alle prestazioni del disco, è necessario eseguire le azioni seguenti:
Dedicare i dischi fisici al server ePO nella VM.
Assegnare la priorità per le CPU al server ePO.
Suggerimenti per il dimensionamento:
Meno di 10.000 sistemi gestiti: è possibile installare il server PO e il database SQL sullo stesso server fisico o VM. È possibile utilizzare il database Microsoft SQL Express se si dispone di meno di 1.500 sistemi gestiti.
10000 – 25000 sistemi gestiti: installa ePO e SQL Server su server separati.
25000 – sistemi gestiti 75.000: installa ePO, un gestore degli agent e archivi distribuiti e un SQL Server fisico separato.
75.000 – 150000 + sistemi gestiti: consente di installare il server ePO, un SQL Server fisico separato, tre gestori di Agent e archivi distribuiti correttamente.
Requisiti di sistema
Il numero di sistemi gestiti determina anche la dimensione del server consigliata necessaria per la gestione di questi sistemi. "
Nota: I requisiti dettagliati nella documentazione sono i requisiti minimi. Tuttavia, il server ePO (o SQL) potrebbe avere bisogno di essere più potente di questi requisiti. Dipende dalla dimensione dell'ambiente e dalla complessità o dal numero di prodotti installati e gestiti. Si consiglia di superare le raccomandazioni minime laddove possibile.
CPU del server ePO
Numero di nodi
Core CPU
< 10000
4
10.000-25.000
4
25.000-75.000
8
75.000-150.000
8
150,000+ 16
16
memoria del server ePO
Aggiungere 16 GB di RAM per ogni 25.000 nodi.
La macchina virtuale di Java (JVM) esegue il server applicazioni ePO. JVM rappresenta il set di memoria che il server applicazioni ePO può utilizzare. Le metriche descrivono l'utilizzo di heap (oggetti Runtime) e non heap (metadati e oggetti del metodo locale).
Nota: Dopo aver aggiunto più RAM a ePO, esaminare l'allocazione JVM e apportare le modifiche necessarie per aumentare l'allocazione JVM. L'impostazione della memoria JVM si trova nel registro di Windows: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Apache Software Foundation\Procrun 2. 0\MCAFEETOMCATSRV530\Parameters\Java\JvmMx.
SQL Server
Il database SQL, in cui sono memorizzati i dati del server ePO e il SQL Server determina le prestazioni del server ePO. Questo database è il principale cavallo di dietro del server ePO. I tre elementi che influiscono sulle prestazioni SQL sono le prestazioni della CPU, della RAM e del disco. Questi tre elementi controllano la reattività del server ePO da un punto di vista SQL. Si consiglia di superare le raccomandazioni minime laddove possibile.
Non installare il database SQL del server ePO su un SQL Server condiviso se si stanno gestendo più di 25.000 nodi. Si prevede che il server ePO esegua migliaia di letture del disco di database SQL e scrive ogni pochi secondi. Di conseguenza, le prestazioni possono essere influenzate negativamente su un SQL Server sovrautilizzato.
È possibile condividere l'ambiente SQL esistente completamente cluster, ridondante e gestito centralmente se i criteri di seguito sono soddisfatti:
La SQL Server condivisa non è già utilizzata.
Il server ePO gestisce meno di 25.000 nodi.
Altre funzioni del database SQL non causano picchi che possono rallentare il database SQL del server ePO legge e scrive.
Se nella SQL Server che ospita il database ePO è installata una soluzione AV, ad esempio VSE o ENS, assicurarsi di applicare le esclusioni AV necessarie. Queste esclusioni impediscono potenziali perdite di prestazioni durante la scansione. Impostare queste esclusioni sia per le scansioni all'accesso sia per eventuali scansioni su richiesta pianificate.
Archivi distribuiti
Gli archivi distribuiti funzionano come condivisioni di file che memorizzano e distribuiscono i contenuti di sicurezza per i sistemi client gestiti; Usali per aiutarti a caricare il server ePO. Il server ePO funge sempre da archivio principale. Mantiene la copia principale di tutto il contenuto necessario dagli Agent e da ePO e replica i contenuti in tutti gli archivi dell'ambiente. Di conseguenza, gli Agent possono recuperare il contenuto aggiornato da un'origine alternativa e più vicina.
SuperAgent tipo di archivio è il tipo più efficiente di archivio distribuito perché può essere configurato per l'utilizzo LazyCaching . La funzionalità di memorizzazione nella cache lenta consente ai SuperAgent di recuperare i dati dal server ePO solo quando richiesto da un nodo agent locale. La creazione di una gerarchia di SuperAgent e la memorizzazione nella cache lenta consentono di risparmiare ulteriore larghezza di banda, nonché di ridurre al minimo il traffico di rete WAN.
In genere, è possibile creare un archivio per ogni grande posizione geografica. Tuttavia, è necessario evitare di disporre di archivi troppi o troppo pochi e sovraccaricare la larghezza di banda della rete.
Non è consigliabile aggiungere un archivio distribuito su un gestore degli agent. Il gestore degli agent memorizza già nella cache una copia del contenuto dell'archivio principale. Se un agent gestito contatta il gestore degli agent per i pacchetti software, il gestore degli agent Recupera il pacchetto dall'archivio principale del server ePO.
Gestione struttura dei sistemi
Quando possibile, utilizzare Active Directory (AD) per sincronizzare il Struttura dei sistemi. Questa funzione consente di assicurarsi che tutti i sistemi del dominio vengano sottoposti alla gestione di ePO. All'interno delle impostazioni di sincronizzazione AD, è possibile scegliere di configurare Agent distribuzione al sistema rilevato durante la sincronizzazione.
Questa funzione funziona fino a quando si dispone di una struttura di AD ben mantenuta. In caso contrario, si finisce con un numero eccessivo di sistemi o segnaposto non gestiti nel Struttura dei sistemi. Questi sistemi o segnaposto non gestiti sono quelli che sono stati importati dal server di AD ma non hanno mai ricevuto un McAfee Agent (MA). È possibile filtrare i sistemi non gestiti nei rapporti. Ma è molto meglio assicurarsi che l'ambiente ePO includa solo i sistemi gestiti. Eliminare i sistemi non gestiti utilizzando regolarmente un'attività server ePO.
Si consiglia inoltre di aggiungere la MA all'immagine aziendale. L'aggiunta di MA durante il processo di imaging è una buona strategia di conformità. Garantisce che tutti i nuovi sistemi dispongano di un MA installato. Contribuisce inoltre a fornire la massima copertura di sicurezza per tutti i sistemi presenti nell'ambiente.
Nota: Consultare la guida del prodotto di MA per la versione dell'Agent da installare su un'immagine virtuale non persistente o in modalità Virtual Desktop Infrastructure (VDI).
Linee guida per l'intervallo di comunicazione da agent-server (ASCI)
Numero di nodi
ASCI consigliato
100–10,000
60 – 120 minuti
10,000–50,000
120 – 240 minuti
50,000+
240 – 360 minuti
Quando si configura l'impostazione di ASCI, la considerazione principale è quella di ridurre il livello di tensione sul server ePO con ogni comunicazione da ogni agent in ambienti di grandi dimensioni.
Per le organizzazioni con meno di 10.000 nodi, l'impostazione predefinita di ASCI non è un problema a 60 minuti. Tuttavia, per le organizzazioni con più di 10.000 nodi, modificare l'impostazione predefinita di 60 minuti a circa 3-4 ore. Per le organizzazioni con più di 60.000 nodi, l'impostazione ASCI è molto più importante. Se il server ePO non presenta problemi di prestazioni, è possibile utilizzare l'intervallo di ASCI di quattro ore. In caso di problemi di prestazioni, è consigliabile aumentare il ASCI a 6 ore e, possibilmente, anche di più. Questo aumento riduce il numero di Agent che si connettono simultaneamente al server ePO e migliora le prestazioni del server.
Mirroring del database-impostazioni del server
La funzionalità di mirroring del database contribuisce a migliorare l'efficienza delle ricerche LDAP sui gestori ePO e Agent in relazione alle policy basate sull'utente. Questa funzione è compatibile con l'attività di sincronizzazione LDAP. Quando l'attività di sincronizzazione LDAP viene eseguita, estrae le informazioni dai server LDAP registrati e le archivia nel database ePO.
Quando un client è configurato per l'utilizzo di una policy basata sull'utente, il server ePO o il gestore Agent devono eseguire una ricerca LDAP. Lo fa per determinare l'appartenenza ai gruppi dell'utente per verificare se si applica una policy basato sull'utente.
Il completamento del query LDAP può richiedere un periodo di tempo significativo. Pertanto, può guidare fino a tempi di sessione e portare a problemi di connessione massimi sul gestore Agent. Questa situazione è una volta in cui il mirroring del database può essere utile.
Quando la funzionalità di mirroring del database è attivata, il gestore Agent modifica le query LDAP nelle query del database SQL. Il gestore degli agent segue lo stesso algoritmo di quando la funzionalità di mirroring del database è disattivata. Ma, anziché eseguire query su LDAP, interroga le tabelle di database popolate dall'attività di sincronizzazione LDAP per cercare informazioni sugli utenti. Il query SQL per le informazioni utente viene in genere completato più rapidamente rispetto alla ricerca LDAP. Per ulteriori informazioni, consultare KB84683-spiegazione delle modalità di funzionamento della funzionalità di mirroring del database di ePolicy.
Conservazione delle policy e delle attività-impostazioni del server
La conservazione delle policy e delle attività è una funzionalità di sicurezza che può essere attivata con le impostazioni del server ePO. Attivare questa funzionalità per consentire la conservazione dei dati di configurazione di policy e attività nel raro caso in cui si verifichi un problema fatale con un'estensione di gestione specifica.
Questa funzione deve essere utilizzata oltre a completare i backup di ePO e SQL consigliati in modo regolare:
Manutenzione del database SQL
I database ePO richiedono una manutenzione regolare per prospostare prestazioni ottimali e proteggere i dati. Eseguire queste attività regolarmente ogni settimana oppure ogni giorno. Queste attività non sono le uniche attività di manutenzione disponibili. Per informazioni dettagliate sulle altre attività che è possibile eseguire per la manutenzione del database, consultare la documentazione SQL.
Eseguire regolarmente il backup del database SQL di ePO e del relativo registro delle transazioni. Se il server ePO deve essere ricompilato o ripristinato, i backup correnti assicurano la disponibilità di una copia sicura.
Nota: Il contenuto a cui si fa riferimento è disponibile solo per gli utenti che hanno effettuato l'accesso a ServicePortal. Per visualizzare il contenuto, fare clic sul collegamento e accedere quando richiesto.
Eliminare gli eventi meno recenti mediante attività server. Elimina regolarmente gli eventi precedenti, ad esempio tutti gli eventi di età superiore a tre mesi, utilizzando l'attività server di eliminazione degli eventi di ePO per ridurre la crescita delle dimensioni del database. Per informazioni dettagliate, consultare KB76720 - How to identify why the ePolicy Orchestrator database is very large .
Utilizzare il modello di ripristino semplice per il database. Il modello di ripristino semplice consente a SQL di gestire il registro delle transazioni, evitando la crescita del registro delle transazioni. Esaminare i dettagli nel presente documento Microsoft.
Esegui attività client ora e pianificazione delle attività
Il server Apache ha una limitazione delle connessioni simultanee 245. Gli scenari seguenti possono contribuire a raggiungere le connessioni massime raggiunte sul server ePO, provocando un'interruzione:
Attività di distribuzione dei prodotti configurate per l'esecuzione troppo frequente su più sistemi
L'utilizzo di "Esegui attività client ora" su un gruppo di sistemi di grandi dimensioni (superiore a 245)
Configurazione di un ASCI basso per un ambiente più ampio
Configurare le pianificazioni delle attività client in modo da non sovraccaricare la capacità dei sistemi che ospitano il contenuto dell'archivio. Ad esempio, se un'attività client è assegnata a tutti i sistemi, assicurarsi di includere una sequenza casuale sufficiente per variare l'ora di inizio dell'attività sulla rete. La randomizzazione sufficiente evita un problema di Denial-of-Service sul server ePO o sul sistema che ospita l'archivio distribuito.
La funzionalità Esegui attività client ora non è destinata a essere utilizzata al posto delle attività pianificate per le distribuzioni di prodotti o per i progetti di distribuzione dei prodotti. La funzionalità Esegui attività client ora è più utilizzata per l'esecuzione di un'attività specifica su un singolo sistema o su un piccolo gruppo di sistemi alla volta.
Gestione account
Evitare di utilizzare l'account di amministratore globale per la gestione quotidiana di ePO.
La definizione di un utente e l'assegnazione di un set di autorizzazioni per ogni utente amministratore ePO migliora la registrazione di verifica. Inoltre, rende più semplice rintracciare l'utente che ha apportato una modifica specifica.
Configurare almeno un altro account di amministratore globale ePO con il password memorizzato in modo sicuro per impedire il blocco di ePO.
Nel caso in cui il password dell'amministratore venga smarrito, ePO Pre-Installation Auditor 2.0.0 consente di modificare il password dell'amministratore ePO. Le informazioni sull'account utente del database SQL Server vengono richieste per completare la password reimpostazione. Per informazioni dettagliate, consultare KB60112-come reimpostare Una password in ePolicy Orchestrator 5.x.
Disattivare gli accessi anziché eliminare gli utenti.
In ePO, tutti gli oggetti di proprietà di un utente vengono eliminati quando l'account viene rimosso da ePO. Gli oggetti di proprietà includono attività server perché le attività server vengono eseguite nel contesto di autorizzazione dell'utente che le crea. Se ePO consente il trasferimento di proprietà per le attività server, i risultati di tali attività server possono essere potenzialmente diversi. Il motivo è che le autorizzazioni del proprietario corrente potrebbero non essere confrontate con le autorizzazioni dell'utente che ha creato l'attività server. Per informazioni dettagliate, consultare KB65775: gli account utente eliminati da ePolicy Orchestrator consentono di rispostare le attività server associate create da tali account.
Il contenuto di questo articolo è stato scritto in inglese. In caso di differenze tra il contenuto in inglese e la traduzione, fare sempre riferimento al contenuto in iglese. Parte del contenuto è stata tradotta con gli strumenti di traduzione automatica di Microsoft.