次のガイドラインは、各種規模におけるVulnerability ProtectionDeep Securityのインストールに必要なインフラストラクチャ要件の概要です。
コンピュータごとに必要なディスク容量は、記録されたログ (イベント) の数とそれらのログを保管する期間の関数によって算出されます。イベントログファイルの最大サイズ、保管するログファイルの数とその期間などの設定を管理するには、[コンピュータ] または [ポリシー] 画面に移動し、編集するコンピュータまたはポリシーをダブルクリックして、[設定]→[ネットワークエンジン] をクリックします。同様に、ファイアウォールステートフル設定の [プロパティ] 画面の [TCP] タブ、[UDP] タブ、[ICMP] タブで、ファイアウォールステートフル設定イベントのログの実行方法を設定できます。
これらのイベント収集設定は、ポリシーおよび個別のコンピュータレベルで詳細に設定することができます(「ポリシー、継承、およびオーバーライド」を参照してください)。
ログを初期設定レベルのまま実行する場合、平均的なコンピュータでは、データベースのディスク容量が約50MB必要になります。コンピュータが1000台ある場合は、50GB必要となり、2000台ある場合には100GB必要となります。
実際のコンピュータであるか仮想マシンであるかにかかわらず、インストール先のコンピュータが最終的に1000台を超えない場合、 Vulnerability ProtectionDeep Security Managerとデータベースを同じコンピュータにインストールできます。コンピュータが1000台を超えると予想される場合、Vulnerability ProtectionDeep Security Managerとデータベースは専用のサーバにインストールしてください。また、データベースとVulnerability ProtectionDeep Security Managerを同じ場所に配置して、両者間の通信が妨げられずに確実に行われるようにすることも重要です。これは、同一ネットワーク上に配置された、追加のVulnerability ProtectionDeep SecurityManagerノードである専用サーバについても同じです。
1台のESXiサーバ上のVirtual Applianceを使用して、台数の制限なく仮想マシンを保護できます。Filter Driverのヒープメモリの最大サイズは、仮想マシンの数に適したサイズに設定する必要があります。
Filter Driverのヒープメモリの最大サイズを恒久的に増やすためには、コンソールにログインし、「esxcfg-module」コマンドを実行して最大のヒープサイズをバイト単位で設定してください。
式は次のとおりです。
<仮想マシンの数> x 3MB + <仮想マシンの数> x 512バイト x <UDP接続数 + TCP接続数> + vMotion状態設定用に10MB
50台の仮想マシンでUDP接続とTCP接続の数がそれぞれ5,000の場合、次のようになります。
50 x 3 = 150MB
50 x 512 x 10000 = 256000000バイト (256MB)
150M + 256MB + 10MB = 416MB
416 x 1048576 = 436207616バイト (必要なヒープメモリの推定サイズ)
値を設定するコマンドは次のようになります。
% esxcfg-module -s DSAFILTER_HEAP_MAX_SIZE=436207616 dvfilter-dsa
設定を確認するには、次のコマンドを実行します。
% esxcfg-module -g dvfilter-dsa
ドライバをリロードすると、設定が有効になります。リロードは、ESXiサーバを再起動するか (推奨)、または次のコマンドを実行してドライバをアンロード/ロードします。
% esxcfg-module -u dvfilter-dsa
% esxcfg-module dvfilter-dsa