Gérer mes commandes de bande passante

Présentation de la limitation de bande passante

Vous pouvez configurer les commandes permettant de restreindre la bande passante et le nombre de connexions simultanées que le serveur Tanium ou le Tanium Zone Server Tanium en tant que service (TaaS) utilise pour envoyer des données aux Tanium Clients. Dans le cadre de déploiements où de nombreux Tanium Clients se connectent au serveur TaaS en même temps pour télécharger des sensors et des packages, des pointes de consommation de bande passante peuvent survenir. Les commandes empêchent les pointes de dégrader les performances du réseau, en veillant à ce que le serveur TaaS ne dépasse jamais une bande passante spécifique sur l’ensemble de votre réseau ou sur des sous-réseaux spécifiques lors de l’envoi des données Tanium. Pour appliquer les limites, le serveur TaaS retarde l’envoi des données qui excéderaient la bande passante maximale, et rejette les connexions au-delà du nombre maximum autorisé.

Les commandes de bande passante ne contrôlent que le débit auquel le serveur Tanium ou le Zone Server TaaS envoie des données aux Tanium Clients, et non le débit auquel les Tanium Clients envoient des données au serveur TaaS. Les commandes n’affectent pas les échanges de données entre les autres composants Tanium.

Pour connaître les autorisations de rôle d’utilisateur pour afficher et gérer les configurations des commandes de bande passante, reportez-vous à la section Gérer la limitation de bande passante.

Avant de commencer

Lorsque vous configurez des commandes, vous devez parvenir à un équilibre entre fournir des ressources suffisantes au serveur Tanium ou Zone Server TaaS (bande passante et connexions simultanées) pour effectuer des tâches dans un délai raisonnable et atténuer l’impact de ces tâches sur votre réseau. Définir des limites trop basses pourrait empêcher le serveur TaaS d’envoyer à temps tous les sensors et packages dont les endpoints ont besoin pour répondre aux questions et effectuer des actions. Définir des limites trop élevées peut induire des pics de trafic Tanium et empêcher d’autres tâches que les endpoints doivent effectuer. Par conséquent, collaborez avec votre administrateur réseau et avec l’assistance Tanium (reportez-vous à la section Contacter l’assistance Tanium) pour déterminer les aspects suivants de votre réseau :

  • Tendances de bande passante : Évaluer les tendances de bande passante pour les données que le serveur Tanium TaaS envoie aux endpoints. Les tendances vous permettront d’évaluer la mesure dans laquelle le trafic affecte votre réseau et de déterminer le nombre maximal de ressources que le serveur exige pour l’envoi des données. Vous pouvez configurer des commandes séparées pour toutes les données que le serveur TaaS envoie et pour les données de sensors ou de packages. Notez que les limitations pour toutes les données doivent contenir tous les types de données sortantes (telles que les informations d’inscription), et non pas uniquement les données de sensor et de package. La best practice consiste à laisser la commande all-data (toutes les données) non configurée, afin qu’aucune limite ne s’y applique. Si la configuration de la commande all-data (toutes les données) est nécessaire, réglez-la sur 150 mégabits par seconde (Mbit/s) minimum au-dessus de la somme des commandes de sensors et de packages. Par exemple, si vous définissez la commande de bande passante des sensors sur 200 Mbit/s et la commande des packages sur 400 Mbit/s, réglez la commande all-data (toutes les données) sur 750 Mbit/s ou plus pour prendre en charge tous les types de données supplémentaires. Collaborez avec votre assistance Tanium (reportez-vous à la section Contacter l’assistance Tanium) pour déterminer les commandes requises pour tous les types de données.
  • Limitations de site : déterminez si vous avez besoin de limitations de site : des limitations spécifiques au sous-réseau qui sont plus restrictives que celles pour le reste de votre réseau. Par exemple, vous pourriez souhaiter définir une limite de bande passante inférieure pour le trafic Tanium dans des sites dédiés à des tâches prioritaires, ou qui connaissent davantage de trafic non-Tanium. Notez que les commandes plus restrictives l’emportent sur les commandes moins restrictives lorsque plusieurs commandes s’appliquent aux mêmes connexions serveur-endpoint. Par exemple, si vous réglez une commande spécifique au site sur 1 Mbit/s et la commande globale (à l’échelle du réseau) sur 5 Mbit/s, le serveur applique la commande de 1 Mbit/s au site.
  • Commandes Zone Server : Dans le cadre d’un déploiement avec des Tanium Zone Servers, déterminez s’ils nécessitent des commandes qui diffèrent de celles des serveurs Tanium. Par exemple, les connexions entre un Zone Server et les Tanium Clients sur des réseaux externes peuvent prendre en charge et nécessiter plus ou moins de bande passante que les connexions entre le serveur Tanium et les Tanium Clients sur des réseaux internes.
  • Chevauchement des plages d’adresses IP : déterminez si les sites nécessitant des limitations séparées ont des plages d’adresses IP se chevauchant. Seule la limitation pour le site avec la plus petite plage d’adresses IP s’applique à un endpoint ayant une adresse dans les plages de plusieurs sites. Par exemple, les endpoints du sous-réseau 192.168.2.0/26 constituent un petit sous-ensemble de endpoints dans le sous-réseau 192.168.2.0/24. Par conséquent, la limitation du site 192.168.2.0/26 l’emporte sur la limitation pour 192.168.2.0/24 pour un endpoint qui se trouve dans les deux sous-réseaux, par ex. : l’adresse IP 192.168.2.1.

Configurer les limitations globales

Configurez les commandes de bande passante et de connexion pour les données que le serveur Tanium ou Zone Server TaaS envoie à tous les endpoints de votre réseau. Répétez ces étapes pour chaque type de données qui nécessite une commande distincte : toutes les données combinées (packages, sensors et tous les autres types), uniquement les fichiers de package, ou seulement les sensors. Par défaut, les commandes globales s’appliquent à la fois aux serveurs Tanium et aux Zone Servers, mais vous pouvez configurer des commandes spécifiques à un Zone Server si nécessaire.

  1. Dans le menu principal, accédez à Administration (Administration) > Configuration (Configuration) > Bandwidth Throttles (Commandes de bande passante).
  2. Dans la section Global Throttles (Commandes globales), cliquez sur Edit (Modifier) Modifier à côté du type de données que vous souhaitez restreindre.
  3. Renseignez la bande passante maximale en Mbps. Pour une nouvelle instance TaaS installation du serveur Tanium, la valeur par défaut est 0 (aucune limite) pour toutes les données, 45 Mbit/s pour les packages et 45 Mbit/s pour les sensors. Les paramètres existants sont conservés après les mises à niveau.
  4. Saisissez le nombre maximal de connexions serveur TaniumTaaS - endpoint simultanées, puis cliquez sur Save (Enregistrer). Pour une nouvelle instance TaaS installation du serveur Tanium, la valeur maximale par défaut est 0 (aucune limite) pour toutes les données, 300 pour les packages et 10 pour les sensors. Les paramètres existants sont conservés après les mises à niveau.
  5. (Zone Server uniquement) Pour chaque Zone Server qui nécessite des commandes globales qui diffèrent de celles que vous avez configurées pour le serveur Tanium, créez un fichier JSON nommé server-throttles.json. Le fichier doit se trouver dans le dossier d’installation du Zone Server. (Contacter l’assistance Tanium pour connaître les étapes à suivre pour déplacer le fichier vers l’appliance Tanium™.) Le contenu du fichier doit correspondre au format suivant. Notez que les valeurs limites de bande passante et de connexions sont des nombres (pas placés entre guillemets) et que les unités de bande passante sont des octets par seconde (o/s). Si vous souhaitez calculer le débit équivalent en bits par seconde (bit/s), multipliez les valeurs par un facteur de huit. Par exemple, 12,5 Mo/s équivaut à 100 Mbit/s.

    // server-throttles.json
    { "data": [{
       "bandwidth_bytes_limit" : <maximum bandwidth for all data>,
       "connection_limit" : <maximum number of concurrent connections for all data>,
       "download_bandwidth_bytes_limit" : <maximum bandwidth for packages>,
       "download_connection_limit" : <maximum number of concurrent connections for packages>,
       "sensor_bandwidth_bytes_limit" : <maximum bandwidth for sensors>,
       "sensor_connection_limit" : <maximum number of concurrent connections for sensors>
    }]}

    Lorsque ce fichier est présent, le Zone Server n’hérite pas des paramètres de commandes globales ou du site du serveur Tanium. Tous les paramètres que vous omettez dans le fichier ont une valeur par défaut de 0 (aucune limite). Vous n’avez pas besoin de redémarrer le service Zone Server pour appliquer vos modifications après avoir ajouté, modifié ou supprimé le fichier.

Configurer des limitations de site

Configurez des commandes de bande passante pour les données que le serveur Tanium ou Zone Server TaaS envoie à des sous-réseaux spécifiques du Tanium Client. Par défaut, les commandes du site s’appliquent à la fois aux serveurs Tanium et aux Zone Servers, mais vous pouvez configurer des commandes spécifiques à un Zone Server si nécessaire.

Basez les limitations sur les adresses IP locales ou traduites par NAT

Lorsque vous définissez des sites pour la limitation de bande passante, vous pouvez spécifier une adresse IP locale ou traduite par NAT , mais pas les deux. Par défaut, les serveurs Tanium et les Zone Servers traitent les adresses IP comme traduites par NAT. Si vous devez modifier ce paramètre :

  1. Dans le menu principal, accédez à Administration (Administration) > Management (Gestion) > Global Settings (Paramètres globaux).
  2. Sélectionnez site_throttles_use_local_ip et cliquez sur Edit (Modifier).
  3. Réglez la valeur du paramètre sur 0 (adresses IP NAT) ou sur 1 (adresses IP locales), puis cliquez sur Save (Enregistrer).

Ajouter des sites

Ajoutez un site pour chaque groupe de sous-réseaux du Tanium Client qui nécessitent les mêmes commandes de bande passante pour les données reçues du serveur Tanium TaaS.

Pour les sous-réseaux qui reçoivent des données de Zone Servers, vous configurez les sites lorsque vous Ajouter des limitations de site.

  1. Dans le menu principal, accédez à Administration (Administration) > Configuration (Configuration) > Bandwidth Throttles (Commandes de bande passante).

  2. Dans la section Site Throttles (Limitations de site), cliquez sur Add Site (Ajouter un site).

  3. Entrez un Site Name (Nom de site) pour identifier le site.

  4. Entrez un ou plusieurs Subnets (Sous-réseaux) au format CIDR (par ex. : 192.168.2.0/24 ou 2001:db8::/32). Entrez un sous-réseau par ligne.

  5. Choisissez d’appliquer des limitations pour le site à la bande passante totale partagée sur tous les sous-réseaux dans le bundle ou à la bande passante individuelle de chaque sous-réseau dans le bundle.

  6. Cliquez sur Save (Enregistrer). Tanium Console affiche ensuite chaque sous-réseau que vous avez ajouté au site.

Ajouter des limitations de site

Configurez les limitations de bande passante spécifiques au site qui s’appliquent à toutes les données combinées (packages, sensors et tous les autres types), uniquement aux fichiers de package, ou simplement aux sensors.

  1. Dans le menu principal, accédez à Administration (Administration) > Configuration (Configuration) > Bandwidth Throttles (Commandes de bande passante).
  2. Faites défiler l’écran vers le bas jusqu’à la section Site Throttles (Commandes de site), qui comporte une sous-section <site_name> pour chaque site que vous avez ajouté.
  3. Pour chaque type de données que vous souhaitez restreindre, cliquez sur Add (Ajouter) dans la sous-section <site_name>, saisissez la bande passante maximale en Mbit/s (la valeur par défaut est 0, ce qui ne spécifie aucune limite) et cliquez sur Save (Enregistrer).
  4. (Zone Server uniquement) Pour chaque Zone Server qui nécessite des commandes de site qui diffèrent de celles que vous avez configurées pour le serveur Tanium, créez un fichier JSON nommé site-throttles.json. Le fichier doit se trouver dans le dossier d’installation du Zone Server. (Contacter l’assistance Tanium pour connaître les étapes à suivre pour déplacer le fichier vers l’appliance Tanium.) Le contenu du fichier doit correspondre au format suivant. Notez que les valeurs limites de bande passante et de connexions sont des nombres (pas placés entre guillemets) et que les unités de bande passante sont des octets par seconde (o/s). Si vous souhaitez calculer le débit équivalent en bits par seconde (bit/s), multipliez les valeurs par un facteur de huit. Par exemple, 12,5 Mo/s équivaut à 100 Mbit/s. Cet exemple spécifie deux sites : un avec trois sous-réseaux et un avec deux sous-réseaux. Le paramètre all_subnets_flag (indicateur_tous_sous-réseaux) contrôle si les commandes s’appliquent individuellement à chaque sous-réseau (0) ou s’appliquent à l’ensemble de la bande passante qui est partagée entre tous les sous-réseaux (1).

    // site-throttles.json
    { "data": [
       {
          "all_subnets_flag" : [0 | 1],
          "bandwidth_bytes_limit" : <maximum bandwidth for all data>,
          "download_bandwidth_bytes_limit" : <maximum bandwidth for packages>,
          "sensor_bandwidth_bytes_limit" : <maximum bandwidth for sensors>,
          "subnets" : [
             {
               "range" : "<subnet CIDR>"
             },
             {
               "range" : "<subnet CIDR>"
             },
             {
               "range" : "<subnet CIDR>"
             }
          ]
       },
       {
          "all_subnets_flag" : [0 | 1],
          "bandwidth_bytes_limit" : <maximum bandwidth for all data>,
          "download_bandwidth_bytes_limit" : <maximum bandwidth for packages>,
          "sensor_bandwidth_bytes_limit" : <maximum bandwidth for sensors>,
          "subnets" : [
             {
               "range" : "<subnet CIDR>"
             },
             {
               "range" : "<subnet CIDR>"
             }
          ]
       }
    ]}

    Lorsque ce fichier est présent, le Zone Server n’hérite pas des paramètres de commandes globales ou du site du serveur Tanium. Tous les paramètres que vous omettez dans le fichier ont une valeur par défaut de 0 (aucune limite). Vous n’avez pas besoin de redémarrer le service Zone Server pour appliquer vos modifications après avoir ajouté, modifié ou supprimé le fichier.

Vérifier les délais de limitation

Pour voir les délais actuels (valeurs de délai de file d’attente) que le serveur Tanium TaaS applique pour mettre en œuvre les commandes sur les données qu’il envoie aux endpoints :

  1. Dans le menu principal, accédez à Administration (Administration) > Configuration (Configuration) > Bandwidth Throttles (Commandes de bande passante).
  2. Faites défiler l’écran jusqu’au type de commandes pour lequel vous souhaitez voir les délais.

Par exemple, si vous réglez la limite de bande passante pour Global Throttle for All Data (Commande globale pour toutes les données) sur 400 Mbit/s et que le serveur Tanium TaaS commence à envoyer 400 mégaoctets de données, la section Global Throttle for All Data (Commande globale pour toutes les données) affiche initialement un Queue delay (Délai de file d’attente) de 1 000 millisecondes (ms). Une fois le téléchargement terminé, le Queue delay (Délai de file d’attente) descend à 0 ms, jusqu’à ce que le serveur Tanium TaaS envoie plus de données.

Tanium Console affiche les délais de file d’attente uniquement pour le serveur Tanium. Pour connaître les délais de file d’attente associés aux Zone Server, contactez [email protected].

Tanium Console utilise les icônes suivantes pour indiquer le niveau de gravité d’un Queue delay (Délai de file d’attente). Les niveaux de gravité indiquent la probabilité que le délai empêche le serveur Tanium TaaS d’envoyer à temps tous les sensors et packages dont les endpoints ont besoin pour répondre aux questions et effectuer des actions.

  • Aucun risque 0 à 9 999 ms : faible risque ou aucun risque de perturbation des fonctions Tanium.

  • De 10 000 à 44 999 ms : risque modéré de perturbation des fonctions Tanium.

  • 45 000 ms ou plus : risque élevé de perturbation des fonctions Tanium.