Stellen Sie den ExtraHop-Sensor auf VMware bereit
In den folgenden Verfahren wird erläutert, wie ein virtueller ExtraHop-Sensor auf einer VMware ESXi/ESX-Plattform bereitgestellt wird. Sie müssen Erfahrung mit der Bereitstellung virtueller Maschinen in vSphere innerhalb Ihrer virtuellen Netzwerkinfrastruktur haben.
Ein virtueller ExtraHop Sensor kann Ihnen helfen, die Leistung Ihrer Anwendungen in internen Netzwerken, im öffentlichen Internet oder einer virtuellen Desktop-Schnittstelle (VDI), einschließlich Datenbank- und Speicherebenen, zu überwachen. Das ExtraHop-System kann die Anwendungsleistung in geografisch verteilten Umgebungen wie Zweigstellen oder virtualisierten Umgebungen über den Verkehr zwischen virtuellen Rechnern überwachen.
Mit dieser Installation können Sie Netzwerkleistungsüberwachung, Netzwerkerkennung und -reaktion sowie Einbruchserkennung auf einem einzigen Gerät ausführen Sensor.
Wichtig: | Bevor Sie das IDS-Modul auf diesem Sensor aktivieren können, müssen Sie die Sensor-Firmware auf Version 9.6 oder höher aktualisieren. Wenn das Upgrade abgeschlossen ist, können Sie die neue Lizenz auf den Sensor anwenden. |
Anforderungen an das System
Ihre Umgebung muss die folgenden Anforderungen erfüllen, um einen virtuellen ExtraHop-Sensor in VMware vSphere bereitzustellen:
- Sie müssen mit der Verwaltung von VMware vSphere vertraut sein.
Hinweis: Die Bilder in diesem Handbuch sind nur Beispiele, und einige der Menüoptionen haben sich möglicherweise geändert. - Sie benötigen die ExtraHop-Bereitstellungsdatei, die auf der ExtraHop Kundenportal
- Du musst einen ExtraHop haben Sensor Produktschlüssel.
- Sie sollten ein Upgrade auf den neuesten Patch für die vSphere-Umgebung durchführen, um bekannte Probleme zu vermeiden.
Anforderungen an virtuelle Maschinen
Sie müssen eine virtuelle VMware vSphere-Maschine bereitstellen, die der Größe des virtuellen ExtraHop-Sensors am ehesten entspricht und die Modulanforderungen erfüllt.
Fühler | Module | CPU | RAM | Festplatte |
---|---|---|---|---|
EDA 1100 V | NDR | 4 Prozessorkerne mit Hyper-Threading-Unterstützung, VT-x- oder AMD-V-Technologie und 64-Bit-Architektur. Unterstützung für Streaming SIMD Extensions 4.2 (SSE4.2) und POPCNT-Anweisungen. | 8 GB | Festplatte mit 46 GB oder mehr zur Datenspeicherung (Thick-Provisioning) 250 GB oder weniger Festplatte für Paketerfassungen (Thick-Provisioning) |
EDA 6100 v | NDR | 18 Prozessorkerne mit Hyper-Threading-Unterstützung, VT-x- oder AMD-V-Technologie und 64-Bit-Architektur. Unterstützung für Streaming SIMD Extensions 4.2 (SSE4.2) und POPCNT-Anweisungen. | 64 GB | 1 TB oder mehr Festplatte für Datenspeicher (Thick-Provisioning) Festplatte mit 500 GB oder weniger für Paketerfassungen (Thick-Provisioning) |
EDA 6320v | NDR + Intrusion Detection System | 32 Prozessorkerne mit Hyper-Threading-Unterstützung, VT-x- oder AMD-V-Technologie und 64-Bit-Architektur. Unterstützung für Streaming SIMD Extensions 4.2 (SSE4.2) und POPCNT-Anweisungen. | 96 GB | 1,4 TB oder größere Festplatte für Datenspeicher (Thick-Provisioning) Festplatte mit 500 GB oder weniger für Paketerfassungen (Thick-Provisioning) |
EDA 8320v | NDR + Intrusion Detection System | 64 Prozessorkerne mit Hyper-Threading-Unterstützung, VT-x- oder AMD-V-Technologie und 64-Bit-Architektur. Unterstützung für Streaming SIMD Extensions 4.2 (SSE4.2) und POPCNT-Anweisungen. | 192 GB |
Festplatte mit 2 TB oder mehr für Datenspeicher (Thick-Provisioning) Festplatte mit 500 GB oder weniger für Paketerfassungen (Thick-Provisioning) |
Hypervisor-Spezifikationen
Ihr Hypervisor muss in der Lage sein, die folgenden Spezifikationen für den virtuellen Sensor zu unterstützen.
- VMware ESX/ESXi Server Version 6.5 oder höher
- VMware vSphere Client zur Bereitstellung der OVF-Datei und zur Verwaltung der virtuellen Maschine
- (Optional) Wenn Sie Paketerfassungen aktivieren möchten, konfigurieren Sie während der Bereitstellung ein zusätzliches Speicherlaufwerk
Zusätzliche Richtlinien
Um die einwandfreie Funktion des virtuellen Sensor sicherzustellen:
- Stellen Sie sicher, dass der VMware ESX/ESXi-Server mit dem richtigen Datum und der richtigen Uhrzeit konfiguriert ist.
- Wählen Sie immer Thick Provisioning. Der ExtraHop-Datenspeicher erfordert Low-Level-Zugriff auf das gesamte Laufwerk und kann mit Thin Provisioning nicht dynamisch wachsen. Thin Provisioning kann zu Messwertverlusten, VM-Blockups und Erfassungsproblemen führen.
- Ändern Sie bei der Erstinstallation nicht die Standardfestplattengröße. Die standardmäßige Festplattengröße gewährleistet das korrekte Lookback für ExtraHop-Metriken und die korrekte Systemfunktionalität. Wenn Ihre Konfiguration eine andere Festplattengröße erfordert, wenden Sie sich an Ihren ExtraHop-Vertreter, bevor Sie Änderungen vornehmen.
- Migrieren Sie die VM nicht. Obwohl eine Migration möglich ist, wenn sich der Datenspeicher auf einem Remote-SAN befindet, empfiehlt ExtraHop diese Konfiguration nicht. Wenn Sie die VM auf einen anderen Host migrieren müssen, fahren Sie zuerst den virtuellen Sensor herunter und migrieren Sie dann mit einem Tool wie VMware vMotion. Live-Migration wird nicht unterstützt.
Wichtig: | Wenn Sie mehr als einen virtuellen ExtraHop-Sensor bereitstellen möchten, erstellen Sie die neue Instanz mit dem ursprünglichen Bereitstellungspaket oder klonen Sie eine vorhandene Instanz, die noch nie gestartet wurde. |
Netzwerkanforderungen
Fühler | Module | Verwaltung | Überwachen |
---|---|---|---|
EDA 6100 v | NDR | Ein 1-GbE-Netzwerkanschluss ist erforderlich (für die Verwaltung). Die Verwaltungsschnittstelle muss über Port 443 zugänglich sein. Die Verwaltungsschnittstelle kann als zusätzliches ERSPAN/RPCAP-Ziel konfiguriert werden. | Für den physischen
Port-Mirror wird ein 10-GbE-Netzwerkanschluss empfohlen. Die physische Portspiegelschnittstelle muss mit dem
Port-Mirror-Ziel auf dem Switch verbunden sein. Optional können Sie ein bis drei zusätzliche Netzwerkschnittstellen für den Empfang von Paketüberwachungsdatenverkehr konfigurieren. Das Hinzufügen zusätzlicher Paketüberwachungsschnittstellen kann die Gesamtleistung beeinträchtigen. |
EDA 6320v | NDR + Intrusion Detection System | Ein 1-GbE-Netzwerkanschluss ist erforderlich (für die Verwaltung). Die Verwaltungsschnittstelle muss über Port 443 zugänglich sein. Die Verwaltungsschnittstelle kann als zusätzliches ERSPAN/RPCAP-Ziel konfiguriert werden. | Für den physischen Port-Mirror wird ein 10-GbE-Netzwerkanschluss empfohlen. Die physische Portspiegelschnittstelle muss mit dem Port-Mirror-Ziel auf dem Switch verbunden sein. |
EDA 8320v | NDR + Intrusion Detection System | Ein 1-GbE-Netzwerkanschluss ist erforderlich (für die Verwaltung). Die Verwaltungsschnittstelle muss über Port 443 zugänglich sein. Die Verwaltungsschnittstelle kann als zusätzliches ERSPAN/RPCAP-Ziel konfiguriert werden. |
Für den physischen Port-Mirror wird ein Netzwerkanschluss mit 25 GbE oder höher empfohlen. Die physische Portspiegelschnittstelle muss mit dem Port-Mirror-Ziel auf dem Switch verbunden sein. |
Wichtig: | Um die beste Leistung bei der ersten Gerätesynchronisierung zu gewährleisten, schließen Sie alle Sensoren an die Konsole an und konfigurieren Sie dann die Weiterleitung des Netzwerkverkehrs zu den Sensoren. |
Hinweis: | Für Registrierungszwecke benötigt der virtuelle Sensor Outbound DNS Konnektivität auf UDP-Port 53, sofern sie nicht von einer ExtraHop-Konsole verwaltet wird. |
Stellen Sie die OVA-Datei über den VMware vSphere Web Client bereit
ExtraHop verteilt das virtuelle Sensor Paket im Open Virtual Appliance (OVA) -Format.
Before you begin
Falls Sie dies noch nicht getan haben, laden Sie die ExtraHop-OVA-Datei für virtuelle Sensor für VMware von der ExtraHop Kundenportal.Fügen Sie eine Paketerfassungsfestplatte in VMware vSphere hinzu
Konfigurieren Sie eine statische IP-Adresse über die CLI
Das ExtraHop-System ist standardmäßig konfiguriert mit DHCP aktiviert. Wenn Ihr Netzwerk DHCP nicht unterstützt, wird keine IP-Adresse abgerufen, und Sie müssen eine statische Adresse manuell konfigurieren.
Wichtig: | Wir empfehlen dringend Konfiguration eines eindeutigen Hostnamens. Wenn sich die System-IP-Adresse ändert, kann die ExtraHop-Konsole die Verbindung zum System einfach über den Hostnamen wiederherstellen. |
- Greifen Sie über eine SSH-Verbindung auf die CLI zu, indem Sie eine USB-Tastatur und einen SVGA-Monitor an die physische ExtraHop-Appliance anschließen, oder über ein serielles RS-232-Kabel ( Nullmodem) und ein Terminalemulatorprogramm. Stellen Sie den Terminalemulator auf 115200 Baud mit 8 Datenbits, ohne Parität, 1 Stoppbit (8N1) und deaktivierter Hardware-Flusskontrolle ein.
- Geben Sie an der Anmeldeaufforderung ein Schale und drücken Sie dann die EINGABETASTE.
- Geben Sie an der Passwortaufforderung Folgendes ein Standard, und drücken Sie dann die EINGABETASTE.
-
Führen Sie die folgenden Befehle aus, um die statische IP-Adresse zu konfigurieren:
Den Sensor konfigurieren
Nächste Maßnahme
Nachdem das System lizenziert ist und Sie sich vergewissert haben, dass Datenverkehr erkannt wird, führen Sie die empfohlenen Verfahren in der Checkliste nach der Bereitstellung .
Danke für deine Rückmeldung. Dürfen wir Sie kontaktieren, um weitere Fragen zu stellen?