Stellen Sie einen ExtraHop-Sensor auf Hyper-V bereit
Die folgenden Verfahren erklären, wie Sie einen virtuellen ExtraHop bereitstellen. Sensoren auf der Microsoft Hyper-V-Plattform. Sie müssen Erfahrung in der Verwaltung Ihres Hypervisor-Produkts haben, um diese Verfahren durchführen zu können.
Ein virtueller ExtraHop Sensor kann Ihnen helfen, die Leistung Ihrer Anwendungen in internen Netzwerken, im öffentlichen Internet oder einer virtuellen Desktop-Schnittstelle (VDI), einschließlich Datenbank- und Speicherebenen, zu überwachen. Das ExtraHop-System kann die Anwendungsleistung in geografisch verteilten Umgebungen wie Zweigstellen oder virtualisierten Umgebungen über den Verkehr zwischen virtuellen Rechnern überwachen.
Anforderungen an virtuelle Maschinen
Ihr Hypervisor muss in der Lage sein, die folgenden Spezifikationen für den virtuellen Sensor.
- Hyper-V unter Windows Server 2012 (oder höher), das den virtuellen Sensor hosten kann
- Hyper-V Manager zur Verwaltung der virtuellen Maschine
- (Optional) Wenn Sie Paketerfassungen aktivieren möchten, konfigurieren Sie während der Bereitstellung ein zusätzliches Speicherlaufwerk. Informationen zum Hinzufügen einer Festplatte finden Sie in der Dokumentation Ihres Anbieters.
- Die folgende Tabelle enthält die Serverhardwareanforderungen für jedes Sensormodell:
Fühler | CPU | RAM | Festplatte |
---|---|---|---|
EDA 1100 V | 4 Prozessorkerne mit Hyper-Threading-Unterstützung, VT-x- oder AMD-V-Technologie und 64-Bit-Architektur. Unterstützung für Streaming SIMD Extensions 4.2 (SSE4.2) und POPCNT-Anweisungen. | 8 GB | Festplatte mit 46 GB oder mehr (Thick-Provisioning) 250 GB oder weniger Festplatte für Paketerfassungen (Thick-Provisioning) |
- Ändern Sie bei der Erstinstallation nicht die Standardfestplattengröße. Die Beibehaltung der Standard-Festplattengröße gewährleistet das korrekte Lookback für ExtraHop-Metriken und die korrekte Systemfunktionalität. Wenn Ihre Konfiguration eine andere Festplattengröße erfordert, wenden Sie sich vor der Änderung an Ihren ExtraHop-Vertreter.
- Migrieren Sie die VM nicht. Obwohl eine Migration möglich ist, wenn sich der Datenspeicher auf einem Remote-SAN befindet, empfiehlt ExtraHop diese Konfiguration nicht.
Wichtig: | Wenn Sie mehr als einen virtuellen ExtraHop-Sensor bereitstellen möchten, erstellen Sie die neue Instanz mit dem ursprünglichen Bereitstellungspaket oder klonen Sie eine vorhandene Instanz, die noch nie gestartet wurde. |
Netzwerkanforderungen
Intra-VM: Ein 1-GbE-Netzwerkanschluss ist erforderlich (für die Verwaltung). Der Management-Port muss über Port 443 zugänglich sein.
Extern: Zwei 1-GbE-Netzwerkanschlüsse sind erforderlich. Eine für den physischen Port-Mirror und eine für die Verwaltung. Die physische Portspiegelschnittstelle muss mit dem Port-Mirror des Switches verbunden sein. Es ist zwar möglich, einen 10-GbE-Netzwerkanschluss für die Port-Mirror-Schnittstelle zu konfigurieren, dies wird jedoch nicht empfohlen, da der virtuelle Sensor nicht mehr als 1 Gbit/s an Datenverkehr verarbeiten kann.
Hinweis: | Alle virtuellen NICs sind standardmäßig im Trunk-Modus konfiguriert. Wenn Sie Ihrer Verwaltungsschnittstelle ein bestimmtes VLAN zuweisen müssen, müssen Sie die Schnittstelle über PowerShell ändern, um die Verwaltungsschnittstelle in den Zugriffsmodus zu ändern. |
Wichtig: | Um die beste Leistung bei der ersten Gerätesynchronisierung zu gewährleisten, schließen Sie alle Sensoren an die Konsole an und konfigurieren Sie dann die Weiterleitung des Netzwerkverkehrs zu den Sensoren. |
Installieren Sie die Dateien für Hyper-V
Before you begin
Falls Sie dies noch nicht getan haben, laden Sie die ExtraHop-Sensor-Firmware-Datei für Hyper-V von der ExtraHop Kundenportal und extrahiere den Inhalt aus dem .zip Datei auf Ihren Windows Server-Computer.Konfigurieren Sie eine statische IP-Adresse über die CLI
Das ExtraHop-System ist standardmäßig konfiguriert mit DHCP aktiviert. Wenn Ihr Netzwerk DHCP nicht unterstützt, wird keine IP-Adresse abgerufen, und Sie müssen eine statische Adresse manuell konfigurieren.
Wichtig: | Wir empfehlen dringend Konfiguration eines eindeutigen Hostnamens. Wenn sich die System-IP-Adresse ändert, kann die ExtraHop-Konsole die Verbindung zum System einfach über den Hostnamen wiederherstellen. |
- Greifen Sie über eine SSH-Verbindung auf die CLI zu, indem Sie eine USB-Tastatur und einen SVGA-Monitor an die physische ExtraHop-Appliance anschließen, oder über ein serielles RS-232-Kabel ( Nullmodem) und ein Terminalemulatorprogramm. Stellen Sie den Terminalemulator auf 115200 Baud mit 8 Datenbits, ohne Parität, 1 Stoppbit (8N1) und deaktivierter Hardware-Flusskontrolle ein.
- Geben Sie an der Anmeldeaufforderung ein Schale und drücken Sie dann die EINGABETASTE.
- Geben Sie an der Passwortaufforderung Folgendes ein Standard, und drücken Sie dann die EINGABETASTE.
-
Führen Sie die folgenden Befehle aus, um die statische IP-Adresse zu konfigurieren:
Den Sensor konfigurieren
Nächste Maßnahme
Nachdem das System lizenziert ist und Sie sich vergewissert haben, dass Datenverkehr erkannt wird, führen Sie die empfohlenen Verfahren in der Checkliste nach der Bereitstellung .Mirror Wire-Daten
Dieser Abschnitt enthält Verfahren zum Spiegeln von Daten auf Ihre virtuelle ExtraHop-Appliance.
Spiegelung von internem und externem Verkehr
Der virtuelle ExtraHop-Sensor kann in den folgenden Netzwerkkonfigurationsbeispielen für die Überwachung des Netzwerkverkehrs konfiguriert werden. Jedes Beispiel erfordert eine Änderung der Netzwerkkonfiguration seines Hypervisor-Hosts und gibt Netzwerkadapter 1 als Verwaltungsschnittstelle an.
Hinweis: | Für die Überwachung des externen Netzwerkdatenverkehrs mit Spiegelung sind eine externe Netzwerkkarte und ein zugehöriger virtueller Switch erforderlich. |
Überwachung des VM-internen Datenverkehrs
Die Sensor kann so konfiguriert werden, dass der Netzwerkverkehr einer anderen VM auf demselben Host überwacht wird, indem Sie wählen Port-Spiegelung Modus im Hyper-V-Manager. Eine virtuelle ExtraHop-Maschine, die im Port-Mirroring-Modus ausgeführt wird, kann nur eine andere virtuelle Maschine überwachen, die auf demselben virtuellen Switch läuft.
Aktivieren Sie den Port-Spiegelungsmodus im Hyper-V-Manager
- Klicke mit der rechten Maustaste auf ExtraHop Sensor VM und wählen Einstellungen.
- expandieren Netzwerkadapter und klicken Erweiterte Funktionen.
- In der Port-Spiegelung Klicken Sie im Abschnitt auf die Dropdownliste Spiegelungsmodus und wählen Sie Quelle.
- Notieren Sie sich das Quellnetzwerk und stellen Sie sicher, dass sich die Capture-Schnittstelle auf der ExtraHop-VM im selben Netzwerk befindet.
- klicken Bewerben.
- klicken OK.
- Wiederholen Sie diese Schritte für alle VMs, die Sie überwachen möchten, mit Ausnahme der ersten VM, die Sie in diesem Verfahren erstellt haben.
Überwachung des externen gespiegelten Datenverkehrs zur VM
Dieses Szenario erfordert eine zweite physische Netzwerkschnittstelle und die Erstellung eines zweiten vSwitches, der dieser NIC zugeordnet ist. Diese NIC stellt dann eine Verbindung zu einem Mirror, Tap oder Aggregator her, der den Datenverkehr von einem Switch kopiert. Dieses Setup ist nützlich für die Überwachung des Intranets eines Büros.
Paketweiterleitung
Ein Paket Forwarder leitet den Verkehr von einem beliebigen Host an das ExtraHop-System weiter. Ein Paket Forwarder ähnelt konzeptionell einem physischen Netzwerk-Tap, ist jedoch in Software implementiert. In diesen Themen und in der Branche wird diese Software abwechselnd als Software Tap oder manchmal als RPCAP bezeichnet, was für Remote Packet Capture steht.
Um den Paket Forwarder zu implementieren, stellen Sie Folgendes sicher:
- Sie haben administrativer Zugriff Server, die Sie überwachen möchten.
- Sie verwenden ein 64-Bit-Linux- oder Windows-Betriebssystem (Windows Server 2008 R2 oder 2012).
Gehen Sie wie folgt vor, um die korrekte Funktionalität der virtuellen ExtraHop-Appliance sicherzustellen:
- Stellen Sie sicher, dass RPCAP auf der virtuellen ExtraHop-Appliance aktiviert ist. Sehen Sie die Konfiguration zusätzlicher RPCAP-Einstellungen Abschnitt für optionale Einstellungen.
- Installieren Sie den Paket Forwarder auf den Servern, die Datenverkehr senden.
- Analysieren Sie den Verkehr im ExtraHop-System.
Installieren Sie den Paket Forwarder auf einem Linux-Server
Sie müssen die Paketweiterleitungssoftware auf jedem Server installieren, der überwacht werden soll, um Pakete an das ExtraHop-System weiterzuleiten.
Downloaden und auf Debian-basierten Systemen installieren
Um den Paket Forwarder auf Debian-basierten Systemen herunterzuladen und zu installieren:
Downloaden und auf anderen Linux-Systemen installieren
Installieren Sie den Paket Forwarder auf einem Windows-Server
Sie müssen die Paketweiterleitungssoftware auf jedem zu überwachenden Server installieren, um Pakete an das ExtraHop-System weiterzuleiten.
Überwachung mehrerer Schnittstellen auf einem Linux-Server
Für Server mit mehreren Schnittstellen können Sie den Paketweiterleiter so konfigurieren, dass er Pakete von einer bestimmten Schnittstelle oder von mehreren Schnittstellen weiterleitet, indem Sie seine Konfigurationsdatei auf dem Server bearbeiten.
Gehen Sie wie folgt vor, um die Konfigurationsdatei zu bearbeiten.
Überwachung mehrerer Schnittstellen auf einem Windows-Server
Für Server mit mehreren Schnittstellen können Sie den Paketweiterleiter so konfigurieren, dass er Pakete von einer bestimmten Schnittstelle oder von mehreren Schnittstellen weiterleitet, indem Sie seine Konfigurationsdatei auf dem Server bearbeiten.
Gehen Sie wie folgt vor, um die Konfigurationsdatei zu bearbeiten.
Konfiguration zusätzlicher RPCAP-Einstellungen
Standardmäßig akzeptiert das ExtraHop-System weitergeleitete Pakete auf Port 2003. Die Server, die den Software-Tap verwenden, werden angewiesen, den gesamten Datenverkehr weiterzuleiten, wie durch den Platzhalter (*) in der Schnittstellenadresse Spalte.
Gehen Sie wie folgt vor, um einen anderen Port anzugeben.
Analysieren von wire data von einer Paketweiterleitung
Um herauszufinden, wie viele wire data das ExtraHop-System vom Paket Forwarder empfängt, gehen Sie wie folgt vor:
Den Paket Forwarder von einem Linux-Server entfernen
- Um die Software zu beenden und von einem Debian-basierten Linux-Server zu entfernen, führen Sie
die folgenden Befehle aus:
sudo service rpcapd stop sudo dpkg -r rpcapd sudo dpkg --get-selections | grep rpcapd
Sie können auch das einstellen -P markieren, um das Paket vollständig von Ihrem System zu entfernen.
- Führen Sie die
folgenden
Befehle aus, um die Software zu beenden und von einem RPM-basierten Linux-Server zu entfernen:
service rpcapd stop rpm -e rpcapd-<extrahop_firmware_version>.x86_64
- Führen Sie die
folgenden
Befehle aus, um den Software-Tap zu beenden und von einem anderen Linux-Server zu entfernen:
sudo /etc/init.d/rpcapd stop sudo update-rc.d -f rpcapd remove sudo rm -rf /opt/extrahop sudo rm -f /etc/init.d/rpcapd
Den Paket Forwader von einem Windows-Server entfernen
Um die Software von einem Windows-Server oder Ihrem Windows-Desktop zu entfernen:
- Gehe zum Startmenü und wähle Schalttafel.
- Wählen Programm deinstallieren.
- Wählen RPCAP-Dienst für Windows.
- Klicken Sie im Popup-Dialogfeld auf entfernen.
- Wenn das Entfernen abgeschlossen ist, klicken Sie auf Schliessen.
Danke für deine Rückmeldung. Dürfen wir Sie kontaktieren, um weitere Fragen zu stellen?