Gérer mes commandes de bande passante

Présentation de la limitation de bande passante

Vous pouvez configurer des commandes pour limiter la bande passante et le nombre de connexions simultanées que Cloud Taniumle Tanium Server ou Tanium Zone Server utilise pour envoyer des données aux Tanium Clients. Dans les déploiements où de nombreux Tanium Clients se connectent avec Cloud Taniumle serveur en même temps pour télécharger des sensors et des packages, des pointes de consommation de bande passante peuvent survenir. Les commandes empêchent les pointes de dégrader les performances du réseau, en veillant à ce que Cloud Tanium le serveur ne dépasse jamais une bande passante spécifique sur l’ensemble de votre réseau ou sur des sous-réseaux spécifiques lors de l’envoi des données Tanium. Pour appliquer les limites, Cloud Tanium le serveur retarde l’envoi des données qui excéderaient la bande passante maximale, et rejette les connexions au-delà du nombre maximum autorisé.

Les commandes de bande passante ne contrôlent que le débit auquel Cloud Tanium le Tanium Server ou Zone Server envoie des données aux Tanium Clients, et non le débit auquel les Tanium Clients envoient des données au Cloud Tanium serveur. Les commandes n’impactent pas les échanges de données entre d’autres composants Tanium, tels que le trafic de la Tanium Console entre les systèmes utilisateur et Cloud Tanium le Tanium Server.

Dans un déploiement actif-actif de Tanium Server, les limites de commande ne sont pas cumulatives à travers le cluster de serveur. Par exemple, si vous configurez une commande globale de 100 Mbit/s et de 500 connexions, ces valeurs s’appliquent à chaque serveur au lieu de répartir la charge sur les deux.

Pour connaître les autorisations de rôle d’utilisateur pour afficher et gérer les configurations des commandes de bande passante, reportez-vous à la section Gérer la limitation de bande passante.

Avant de commencer

Lorsque vous configurez des commandes, vous devez parvenir à un équilibre entre fournir des ressources suffisantes au Cloud Tanium Tanium Server ou Zone Server (bande passante et connexions simultanées) pour effectuer des tâches dans un délai raisonnable et atténuer l’impact de ces tâches sur votre réseau. Définir des limites trop basses pourrait empêcher Cloud Tanium le serveur d’envoyer à temps tous les sensors et packages dont les endpoints ont besoin pour répondre aux questions et effectuer des actions. Définir des limites trop élevées peut induire des pics de trafic Tanium et empêcher d’autres tâches que les endpoints doivent effectuer. Par conséquent, collaborez avec votre administrateur réseau et avec l’assistance Tanium (reportez-vous à la section Contactez l’assistance Tanium) pour évaluer les aspects suivants de votre réseau.

Tendances de bande passante

Évaluez les tendances de bande passante pour les données que Cloud Tanium le Tanium Server envoie aux endpoints. Les tendances vous permettront d’évaluer la mesure dans laquelle le trafic affecte votre réseau et de déterminer le nombre maximal de ressources que le serveur exige pour l’envoi des données. Vous pouvez configurer des commandes séparées pour toutes les données que Cloud Tanium le serveur envoie et pour les données de sensors ou de packages. Notez que les limitations pour toutes les données doivent contenir tous les types de données sortantes (telles que les informations d’inscription), et non pas uniquement les données de sensor et de package. Collaborez avec votre assistance Tanium (reportez-vous à la section Contactez l’assistance Tanium) pour déterminer les commandes requises pour tous les types de données.

La best practice consiste à laisser la commande all-data (toutes les données) non configurée, afin qu’aucune limite ne s’y applique. Si la configuration de la commande all-data (toutes les données) est nécessaire, réglez-la sur 150 mégabits par seconde (Mbit/s) minimum au-dessus de la somme des commandes de sensors et de packages. Par exemple, si vous définissez la commande de bande passante des sensors sur 200 Mbit/s et la commande des packages sur 400 Mbit/s, réglez la commande all-data (toutes les données) sur 750 Mbit/s ou plus pour prendre en charge tous les types de données supplémentaires.

Commandes globales

Déterminez les commandes appropriées de bande passante et de connexion pour les données que Cloud Taniumle Tanium Server ou le Zone Server envoie à tous les sous-réseaux de votre réseau. Si des sites spécifiques nécessitent des limites plus restrictives que les commandes globales, vous pouvez configurer des exceptions via des commandes de site.

Examinez les commandes globales tous les mois et mettez-les à jour si nécessaire. Reportez-vous au Guide d’utilisation de Tanium Maintenance : Examinez et mettez à jour les commandes globales de bande passante.

Commandes de site

Déterminez si vous avez besoin de commandes spécifiques aux sous-réseaux qui sont plus restrictives que les commandes pour le reste de votre réseau. Les commandes de site sont utiles si des limites inférieures sont requises pour le trafic Tanium sur les sites qui sont dédiés à des tâches hautement prioritaires ou qui connaissent plus de trafic non-Tanium. Par exemple, envisagez un déploiement qui applique les limites de bande passante suivantes pour les sensors :

Commande globale = 200 Mbit/s
Commande de site A = 150 Mbit/s
Commande de site B = 100 Mbit/s
Site C = aucune commande spécifique au site n’est configurée

Tant que la bande passante cumulée sur tous les sites ne dépasse pas 200 Mbit/s, le site A ou B prend en charge la bande passante maximale spécifiée dans les commandes spécifiques au site, tandis que le site C est soumis uniquement à la commande globale. Cependant, si la bande passante cumulée atteint la limite globale de 200 Mbit/s, Cloud Taniumle Tanium Server empêche la bande passante supplémentaire même pour les sites qui n’ont pas atteint leurs limites individuelles. Par exemple, si l’utilisation de la bande passante du site A atteint 150 Mbit/s, les sites B et C ne peuvent pas utiliser plus de 50 Mbit/s entre eux. Cloud TaniumLe serveur équilibre la bande passante disponible entre les sites sur la base « premier demandeur, premier servi ».

Examinez les commandes de site tous les trimestres et mettez-les à jour si nécessaire. Reportez-vous au Guide d’utilisation de Tanium Maintenance : Examinez et mettez à jour les commandes de bande passante de site.

Commandes de Zone Server

Dans le cadre d’un déploiement avec des Tanium Zone Servers, déterminez s’ils nécessitent des commandes qui diffèrent de celles des Tanium Servers. Par exemple, les connexions entre un Zone Server et les Tanium Clients sur des réseaux externes peuvent prendre en charge et nécessiter plus ou moins de bande passante que les connexions entre le Tanium Server et les Tanium Clients sur des réseaux internes.

Chevauchement des plages d’adresses IP

Déterminez si les sites nécessitant des limitations séparées ont des plages d’adresses IP se chevauchant. Seule la limitation pour le site avec la plus petite plage d’adresses IP s’applique à un endpoint ayant une adresse dans les plages de plusieurs sites. Par exemple, les endpoints du sous-réseau 192.168.2.0/26 constituent un petit sous-ensemble d’endpoints dans le sous-réseau 192.168.2.0/24. Par conséquent, la commande de site 192.168.2.0/26 l’emporte sur la commande de site 192.168.2.0/24 pour un endpoint qui se trouve dans les deux sous-réseaux, par ex. l’adresse IP 192.168.2.1. Si plusieurs commandes de sous-réseaux ont des plages d’adresses IP se chevauchant égales en taille, la commande qui a été le plus récemment configurée remplace les autres commandes pour les adresses IP se chevauchant.

Configurer les limitations globales

Configurez des Commandes globales sur la bande passante et le nombre de connexions pour chaque type de données qui nécessite une commande distincte : toutes les données combinées (packages, sensors et tous les autres types), uniquement les fichiers de package, ou seulement les sensors. Par défaut, les commandes globales s’appliquent à la fois aux Tanium Servers et aux Zone Servers, mais vous pouvez configurer des commandes spécifiques à un Zone Server si nécessaire. Les paramètres existants sont conservés après les mises à niveau.

Dans le menu principal, accédez à Administration (Administration) > Configuration (Configuration) > Bandwidth Throttles (Commandes de bande passante).
Dans la section Global Throttles (Commandes globales), cliquez sur Edit (Modifier) à côté du type de données que vous souhaitez restreindre.
Renseignez la bande passante maximale en Mbps. Pour une nouvelle instance Cloud Taniuminstallation de Tanium Server, la valeur par défaut est 0 (aucune limite) pour tous les types de données, 800 Mbit/s pour les packages et 160 Mbit/s pour les sensors.
Saisissez le nombre maximal de connexions Cloud TaniumTanium Server - endpoint simultanées, puis cliquez sur Save (Enregistrer). Pour une nouvelle instance Cloud Taniuminstallation de Tanium Server, la valeur maximale par défaut est 0 (aucune limite) pour toutes les données, 1 600 pour les packages et 40 pour les sensors.
(Zone Server uniquement) Pour chaque Zone Server qui nécessite des commandes globales qui diffèrent de celles que vous avez configurées pour le Tanium Server, créez un fichier JSON nommé server-throttles.json. Le fichier doit se trouver dans le dossier d’installation du Zone Server. (Contactez l’assistance Tanium pour connaître les étapes à suivre pour déplacer le fichier vers l’appliance Tanium™.) Le contenu du fichier doit correspondre au format suivant, y compris la virgule après chaque valeur, sauf la dernière. Les valeurs limites de bande passante et de connexion sont toujours des nombres (pas placés entre guillemets) et que les unités de bande passante sont des octets par seconde. Pour convertir des mégabits par seconde (Mbit/s), multipliez les valeurs en Mbit/s par 1 000 000 puis divisez le résultat par 8. Par exemple, la valeur à saisir pour 900 Mbit/s est 112500000.
{ "data": [{
   "bandwidth_bytes_limit" : <maximum bandwidth for all data>,
   "connection_limit" : <maximum number of concurrent connections for all data>,
   "download_bandwidth_bytes_limit" : <maximum bandwidth for packages>,
   "download_connection_limit" : <maximum number of concurrent connections for packages>,
   "sensor_bandwidth_bytes_limit" : <maximum bandwidth for sensors>,
   "sensor_connection_limit" : <maximum number of concurrent connections for sensors>
}]}
Voir l’exemple
```
{ "data": [{
   "bandwidth_bytes_limit" : 112500000,
   "connection_limit" : 0,
   "download_bandwidth_bytes_limit" : 86875000,
   "download_connection_limit" : 2700,
   "sensor_bandwidth_bytes_limit" : 22500000,
   "sensor_connection_limit" : 40
}]}
```
Lorsque ce fichier est présent, le Zone Server n’hérite pas des paramètres de commandes globales ou du site du Tanium Server. Tous les paramètres que vous omettez dans le fichier ont une valeur par défaut de 0 (aucune limite). Vous n’avez pas besoin de redémarrer le service Zone Server pour appliquer vos modifications après avoir ajouté, modifié ou supprimé le fichier.

Configurer des limitations de site

Configurez des Commandes de site pour les données que Cloud Tanium le Tanium Server ou le Zone Server envoie à des sous-réseaux spécifiques du Tanium Client. Par défaut, les commandes du site s’appliquent à la fois aux Tanium Servers et aux Zone Servers, mais vous pouvez configurer des commandes spécifiques à un Zone Server si nécessaire. Les commandes de site ne peuvent pas dépasser les commandes globales.

Basez les limitations sur les adresses IP locales ou traduites par NAT

Lorsque vous définissez des sites pour la limitation de bande passante, vous pouvez spécifier une adresse IP locale ou traduite par NAT , mais pas les deux. Par défaut, Cloud Tanium traiteles Tanium Servers et les Zone Servers traitent les adresses IP comme traduites par NAT. Si vous devez modifier ce paramètre :

Dans le menu principal, accédez à Administration (Administration) > Configuration (Configuration) > Settings (Paramètres) > Advanced Settings (Paramètres avancés).
Dans la colonne Name (Nom), cliquez sur site_throttles_use_local_ip (commandes_site_utilisent_ip_locale).
Réglez le champ Value (Valeur) sur 0 (adresses IP NAT) ou sur 1 (adresses IP locales), puis cliquez sur Save (Enregistrer).

Ajouter des sites

Ajoutez un site pour chaque groupe de sous-réseaux du Tanium Client qui nécessitent les mêmes commandes de bande passante pour les données reçues de Cloud Tanium du Tanium Server.

Pour les sous-réseaux qui reçoivent des données de Zone Servers, vous configurez les sites lorsque vous Ajouter des limitations de site.

Dans le menu principal, accédez à Administration (Administration) > Configuration (Configuration) > Bandwidth Throttles (Commandes de bande passante).
Dans la section Site Throttles (Limitations de site), cliquez sur Add Site (Ajouter un site).
Entrez un Site Name (Nom de site) pour identifier le site.
Entrez un ou plusieurs Subnets (Sous-réseaux) au format CIDR (par ex. : 192.168.2.0/24 ou 2001:db8::/32). Entrez un sous-réseau par ligne.
Choisissez d’appliquer des limitations pour le site à la bande passante totale partagée sur tous les sous-réseaux dans le bundle ou à la bande passante individuelle de chaque sous-réseau dans le bundle.
Cliquez sur Save (Enregistrer). Tanium Console affiche ensuite chaque sous-réseau que vous avez ajouté au site.

Ajouter des limitations de site

Configurez les limitations de bande passante spécifiques au site qui s’appliquent à toutes les données combinées (packages, sensors et tous les autres types), uniquement aux fichiers de package, ou simplement aux sensors.

Dans le menu principal, accédez à Administration (Administration) > Configuration (Configuration) > Bandwidth Throttles (Commandes de bande passante).
Faites défiler l’écran jusqu’à la section Site Throttles (Commandes de site), qui comporte une sous-section <site_name> pour chaque site que vous avez ajouté.
Pour chaque type de données auquel vous souhaitez appliquer une commande, cliquez sur Add (Ajouter) dans la sous-section <site_name>.
Saisissez la bande passante maximale en Mbits/s, saisissez le nombre maximal de connexions Cloud Taniumserveur-endpoint simultanées, puis cliquez sur Save (Enregistrer). Pour les deux paramètres, la valeur par défaut 0 ne spécifie aucune limite.
(Zone Server uniquement) Pour chaque Zone Server qui nécessite des commandes de site qui diffèrent de celles que vous avez configurées pour le Tanium Server, créez un fichier JSON nommé site-throttles.json. Le fichier doit se trouver dans le dossier d’installation du Zone Server. (Contactez l’assistance Tanium pour connaître les étapes à suivre pour déplacer le fichier vers l’appliance Tanium.) Le contenu du fichier doit correspondre au format suivant, y compris les virgules. Les valeurs limites de bande passante et de connexion sont toujours des nombres (pas placés entre guillemets) et que les unités de bande passante sont des octets par seconde. Pour convertir des mégabits par seconde (Mbit/s), multipliez les valeurs en Mbit/s par 1 000 000 puis divisez le résultat par 8. Par exemple, la valeur à saisir pour 900 Mbit/s est 112500000. Cet exemple spécifie deux sites : un avec trois sous-réseaux et un avec deux sous-réseaux. Le paramètre all_subnets_flag (indicateur_tous_sous-réseaux) contrôle si les commandes s’appliquent individuellement à chaque sous-réseau (0) ou s’appliquent à l’ensemble de la bande passante qui est partagée entre tous les sous-réseaux (1).
{ "data": [
   {
      "all_subnets_flag" : [0 | 1],
      "bandwidth_bytes_limit" : <maximum bandwidth for all data>,
      "connection_limit" : <maximum number of concurrent connections for all data>,
      "download_bandwidth_bytes_limit" : <maximum bandwidth for packages>,
      "download_connection_limit" : <maximum number of concurrent connections for packages>,
      "sensor_bandwidth_bytes_limit" : <maximum bandwidth for sensors>,
      "sensor_connection_limit" : <maximum number of concurrent connections for sensors>,
      "subnets" : [
         {
           "range" : "<subnet CIDR>"
         },
         {
           "range" : "<subnet CIDR>"
         },
         {
           "range" : "<subnet CIDR>"
         }
      ]
   },
   {
      "all_subnets_flag" : [0 | 1],
      "bandwidth_bytes_limit" : <maximum bandwidth for all data>,
      "connection_limit" : <maximum number of concurrent connections for all data>,
      "download_bandwidth_bytes_limit" : <maximum bandwidth for packages>,
      "download_connection_limit" : <maximum number of concurrent connections for packages>,
      "sensor_bandwidth_bytes_limit" : <maximum bandwidth for sensors>,
      "sensor_connection_limit" : <maximum number of concurrent connections for sensors>,
      "subnets" : [
         {
           "range" : "<subnet CIDR>"
         },
         {
           "range" : "<subnet CIDR>"
         }
      ]
   }
]}
Voir l’exemple
```
{ "data": [
   {
      "all_subnets_flag" : 1,
      "bandwidth_bytes_limit" : 112500000,
      "connection_limit" : 0,
      "download_bandwidth_bytes_limit" : 86875000,
      "download_connection_limit" : 2700,
      "sensor_bandwidth_bytes_limit" : 22500000,
      "sensor_connection_limit" : 40,
      "subnets" : [
         {
           "range" : "192.168.1.0/24"
         },
         {
           "range" : "192.168.2.0/24"
         },
         {
           "range" : "192.168.3.0/24"
         }
      ]
   },
   {
      "all_subnets_flag" : 1,
      "bandwidth_bytes_limit" : 112500000,
      "connection_limit" : 0,
      "download_bandwidth_bytes_limit" : 86875000,
      "download_connection_limit" : 2700,
      "sensor_bandwidth_bytes_limit" : 22500000,
      "sensor_connection_limit" : 40,
      "subnets" : [
         {
           "range" : "192.168.4.0/24"
         },
         {
           "range" : "192.168.5.0/24"
         }
      ]
   }
]}
```
Lorsque ce fichier est présent, le Zone Server n’hérite pas des paramètres de commandes globales ou du site du Tanium Server. Tous les paramètres que vous omettez dans le fichier ont une valeur par défaut de 0 (aucune limite). Vous n’avez pas besoin de redémarrer le service Zone Server pour appliquer vos modifications après avoir ajouté, modifié ou supprimé le fichier.

Vérifier les délais de limitation

Pour voir les délais actuels (valeurs du champ Queue Delay (Délai de file d’attente)) que Cloud Tanium le Tanium Server applique pour mettre en œuvre les commandes sur les données qu’il envoie aux endpoints :

Dans le menu principal, accédez à Administration (Administration) > Configuration (Configuration) > Bandwidth Throttles (Commandes de bande passante).
Faites défiler l’écran jusqu’au type de commandes pour lequel vous souhaitez voir les délais.

Par exemple, si vous réglez la limite de bande passante pour le champ Global Throttle for All Data (Commande globale pour toutes les données) sur 400 Mbit/s et que Cloud Tanium le Tanium Server commence à envoyer 400 mégaoctets de données, la section Global Throttle for All Data (Commande globale pour toutes les données) affiche initialement un Queue Delay (Délai de file d’attente) de 1 000 millisecondes (ms). Une fois le téléchargement terminé, le Queue Delay (Délai de file d’attente) chute à 0 ms, jusqu’à ce que Cloud Tanium le Tanium Server envoie plus de données.

Tanium Console affiche les délais de file d’attente uniquement pour le Tanium Server. Pour connaître les délais de file d’attente associés aux Zone Server, contactez [email protected].

Tanium Console utilise les icônes suivantes pour indiquer le niveau de gravité d’un Queue delay (Délai de file d’attente). Les niveaux de gravité indiquent la probabilité que le délai empêche Cloud Tanium le Tanium Server d’envoyer à temps tous les sensors et les packages dont les endpoints ont besoin pour répondre aux questions et effectuer des actions.

0 à 9 999 ms : faible risque ou aucun risque de perturbation des fonctions Tanium.
10 000 à 44 999 ms : risque modéré de perturbation des fonctions Tanium.
45 000 ms ou plus : risque élevé de perturbation des fonctions Tanium.