帯域幅スロットルの管理

帯域幅スロットルの概要

スロットルを設定することで、帯域幅および、Tanium as a Service (TaaS)Tanium Server/Tanium Zone ServerがTanium Clientへのデータの送信に使用する同時接続数を制限することができます。多くのTanium ClientがTaaSサーバと同時に接続してセンサーおよびパッケージをダウンロードする展開環境では、帯域幅使用量のスパイクが発生することがあります。スロットルは、TaaSサーバがTaniumのデータを送信する時に、ネットワーク全体または特定のサブネットが指定した帯域幅を決して超えないようにすることによって、スパイクによるネットワークパフォーマンスの低下を防止します。この制限を適用するため、TaaSサーバは、最大帯域幅を超えるデータの送信を遅らせ、許可されている最大数を超える接続を拒否します。

帯域幅スロットルが制御するのは、Tanium ClientがTaaSサーバにデータを送信する速度ではなく、TaaSTanium Server/Zone ServerがTanium Clientにデータを送信する速度だけです。スロットルは、他のどのTaniumコンポーネント間のデータ交換にも影響しません

帯域幅スロットルの構成を表示および管理するためのユーザロール権限については、「帯域幅スロットルを管理する」を参照してください。

使用を開始する前に

スロットルの設定では、TaaSTanium Server/Zone Serverが合理的な時間枠内にタスクを完了できる程度の十分なリソース(帯域幅と同時接続数)を提供することと、ネットワークに対するそのタスクの影響を軽減することとの間のバランスを取ります。設定した制限が低すぎると、エンドポイントが必要とするセンサーとパッケージをTaaSサーバが送信できず、期限内にQuestionに応答してアクションを実行できなくなることがあります。制限をあまりに高く設定すると、Taniumトラフィックにスパイクが発生し、エンドポイントが実行する必要がある他のタスクの妨げになることがあります。このため、ネットワーク管理者とTaniumサポートと協力して(「Taniumサポートに問い合わせる」を参照)、ネットワークについて以下のことを決定してください。

  • 帯域幅の傾向TaaSTanium Serverがエンドポイントに送信するデータに対する帯域幅のトレンドを評価します。トレンドでは、ネットワークに対するトラフィックの影響を計測し、サーバがデータの送信に必要とするリソースの最大量を割り出すことができますTaaSサーバが送信するすべてのデータと、センサーまたはパッケージ用のデータのそれぞれにスロットルを設定できます。すべてのデータのスロットルは、センサーとパッケージのデータだけでなく、あらゆる種類のアウトバウンドデータ(登録情報など)に対応する必要があることに注意してください。ベストプラクティスは、全データスロットルを設定しないで、制限なしにすることです。全データスロットルの設定が必要な場合は、センサーとパッケージスロットルの合計より少なくとも150メガビット/秒(Mbps)大きく全データスロットルを設定します。たとえば、センサー帯域幅スロットルを200Mbpsに設定し、パッケージ帯域幅スロットルを400Mbpsに設定している場合は、他のすべての種類のデータに対応できるよう、全データスロットルは750Mbpsまたはそれ以上に設定します。Taniumサポートと協力して(「Taniumサポートに問い合わせる」を参照)、あらゆる種類のデータに必要なスロットルを決定してください。
  • サイトスロットル:ネットワークの残りの部分のスロットルより制限された個々のサブネットのスロットルであるサイトスロットルが必要かどうかを決定します。たとえば、高い優先順位のタスク専用のサイトまたはTanium以外のトラフィックが多いサイトのTaniumトラフィックに低い帯域幅の制限を設定することもできます。サーバとエンドポイント間の同じ接続に複数のスロットルが適用されている場合は、制限が大きいスロットルが制限の小さいスロットルに優先することに注意してください。たとえば、サイト別スロットルを1Mbpsに設定し、グローバル(ネットワーク全体)スロットルを5Mbpsに設定している場合、サイトには1Mbpsのスロットルが適用されます。
  • Zone Serverのスロットル: Tanium Zone Server展開環境では、Tanium Serverとは異なるスロットルが必要かどうかを判断します。たとえば、外部ネットワーク上のZone ServerとTanium Client間の接続の帯域幅は、内部ネットワーク上のTanium ServerとTanium Client間の接続と比較して大きくすることもできれば、小さくすることもできます。
  • 重複しているIPアドレスの範囲:個別のスロットルが必要なサイトにオーバラップしているIPアドレスがあるかどうかを確認してください。複数のサイトの範囲内のアドレスを保有するエンドポイントには、IPアドレスの範囲が最小のサイトのスロットルのみが適用されます。たとえば、サブネット192.168.2.0/26のエンドポイントは、サブネット192.168.2.0/24のエンドポイントの小さなサブセットです。このため、192.168.2.0/26のサイトスロットルは、両方のサブネットにある、IPアドレス192.168.2.1などのエンドポイントに対する192.168.2.0/24のサイトスロットルに優先します。

グローバルスロットルを設定する

TaaS Tanium Server/Zone Serverがネットワーク上のすべてのエンドポイントに送信する各種データに対して帯域幅スロットルおよび接続スロットルを設定することができます。この手順は、個別にスロットルを必要とするデータの種類ごとに繰り返します。データの種類には、全データ(パッケージとセンサー、その他すべての種類)、パッケージファイルのみ、センサーのみがあります。デフォルトでは、グローバルスロットルはTanium ServerとZone Serverの両方に適用されますが、必要に応じてZone Server固有のスロットルを設定することもできます。

  1. メインメニューから [Administration (運用管理)] > [Configuration (構成)] > [Bandwidth Throttles (帯域幅スロットル)] に移動します。
  2. [Global Throttles (グローバルスロットル)] セクションで、スロットル調整するデータの種類の横にある [Edit (編集)]編集 をクリックします。
  3. 最大帯域幅をMbps単位で入力します。新規のTaaSインスタンスTanium Serverインストール環境に対するデフォルト値は全データが0 (無制限)、パッケージが45Mbps、センサーが45Mbpsです。既存の設定は、アップグレード後も維持されます。
  4. Taas Tanium Serverとエンドポイント間の最大同時接続数を入力し、[Save (保存)] をクリックします。新規のTaaSインスタンスTanium Serverインストールの場合、デフォルトの最大値は全データが0 (無制限)、パッケージが300Mbps、センサーが10Mbpsです。既存の設定は、アップグレード後も維持されます。
  5. (Zone Serverのみ)Tanium Serverに対する設定と異なるグローバルスロットルをZone Serverが必要とする場合は、そのサーバごとにserver-throttles.jsonという名前のJSONファイルを作成します。このファイルはZone Serverのインストールフォルダに置く必要があります。(Tanium™ Applianceにこのファイルを移動する手順については、「Taniumサポートに問い合わせる。)ファイルの内容は、以下の形式である必要があります。帯域幅と接続制限の値は数字(引用符なし)で、帯域幅の単位は毎秒のバイト数(Bps)です。毎秒の等価ビット(bps)レートを求める場合は、値に8の係数を乗算します。たとえば、12.5MBpsは100Mbpsになります。

    // server-throttles.json
    { "data": [{
       "bandwidth_bytes_limit" : <maximum bandwidth for all data>,
       "connection_limit" : <maximum number of concurrent connections for all data>,
       "download_bandwidth_bytes_limit" : <maximum bandwidth for packages>,
       "download_connection_limit" : <maximum number of concurrent connections for packages>,
       "sensor_bandwidth_bytes_limit" : <maximum bandwidth for sensors>,
       "sensor_connection_limit" : <maximum number of concurrent connections for sensors>
    }]}

    このファイルが存在する場合、Zone ServerはTanium Serverからグローバルまたはサイトのスロットル設定を継承しません。フィルに省略されている設定がある場合は、デフォルト値の0(無制限)になります。ファイルの追加、編集、削除後に変更を適用するために、Zone Serverサービスを再開する必要はありません。

サイトスロットルを設定する

TaaS Tanium Server/Zone Serverが特定のTanium Clientサブネットに送信するデータに対する帯域幅スロットルを設定することができます。デフォルトでは、サイトスロットルはTanium ServerとZone Serverの両方に適用されますが、必要に応じてZone Server固有のスロットルを設定することもできます。

ローカルまたはNAT変換されたIPアドレスのベーススロットル

帯域幅のスロットリングのサイトを定義する場合は、ローカルまたはNAT変換されたIPアドレスのいずれか一方を指定します。デフォルトでは、Tanium ServerおよびZone ServerはIPアドレスをNAT変換済みのアドレスとして処理します。この設定を変更する必要がある場合:

  1. メインメニューから、[Administration (運用管理)] > [Management (管理)] > [Global Settings (グローバル設定)] に移動します。
  2. [site_throttles_use_local_ip]を選択し、[Edit (編集)]をクリックします。
  3. [Setting (設定)][Value (値)]0(NAT IPアドレス)または1(ローカルIPアドレス)に設定し、[Save (保存)] をクリックします。

サイトを追加する

TaaS Tanium Serverから受信するデータに対して同じ帯域幅スロットルを必要とするTanium Clientのサブネットのグループごとにサイトを追加します。

Zone Serverからデータを受信するサブネットについて、サイトのスロットルを追加するをするときにサイトを構成設定します。

  1. メインメニューから [Administration (運用管理)] > [Configuration (構成)] > [Bandwidth Throttles (帯域幅スロットル)] に移動します。
  2. [Site Throttles (サイトスロットル)]セクションで、[Add Site (サイトの追加)]をクリックします。

  3. [Site Name (サイト名)]を入力して、サイトを指定します。

  4. [Subnets (サブネット)]をCIDR形式で入力します(192.168.2.0/242001:db8::/32など)。1行に1つのサブネットを入力します。

  5. サイトのスロットルを[Total bandwidth shared across all subnets in bundle (バンドルのすべてのサブネットで共有する合計帯域幅)]または[Individual bandwidth of each subnet in bundle (バンドルの各サブネットの個々の帯域幅)]のどちらに適用するかを選択します。

  6. [Save (保存)] をクリックします。Tanium Consoleによって、サイトに追加されたすべてのサブネットが表示されます。

サイトのスロットルを追加する

すべてのデータの組み合わせ(パッケージ、センサー、およびその他のすべてのタイプ)、パッケージファイルのみ、またはセンサーのみに適用されるサイト固有の帯域幅スロットルを構成します。

  1. メインメニューから [Administration (運用管理)] > [Configuration (構成)] > [Bandwidth Throttles (帯域幅スロットル)] に移動します。
  2. [Site Throttles (サイトのスロットル)] セクションのところまで下にスクロールします。ここには、追加したサイトごとの<site_name>サブセクションがあります。
  3. スロットル設定するデータの種類ごとに、<site_name>サブセクションで [Add (追加)] をクリックし、最大帯域幅をMbps単位で入力し(デフォルトは0で無制限)、[Save (保存)] をクリックします。
  4. (Zone Serverのみ)Tanium Serverに対する設定と異なるサイトスロットルをZone Serverが必要とする場合は、そのサーバごとにsite-throttles.jsonという名前のJSONファイルを作成します。このファイルはZone Serverのインストールフォルダに置く必要があります。Tanium Applianceにこのファイルを移動する手順については、Taniumサポートに問い合わせる。ファイルの内容は、以下の形式である必要があります。帯域幅と接続制限の値は数字(引用符なし)で、帯域幅の単位は毎秒のバイト数(Bps)です。毎秒の等価ビット(bps)レートを求める場合は、値に8の係数を乗算します。たとえば、12.5MBpsは100Mbpsになります。この例では、サブネットが3つのサイトと サブネットが2つのサイトの2つのサイトを指定しています。all_subnets_flagは、スロットルを各サブネット(0)に個別に適用するか、すべてのサブネット(1)で共有する合計帯域幅に適用するかを制御します。

    // site-throttles.json
    { "data": [
       {
          "all_subnets_flag" : [0 | 1],
          "bandwidth_bytes_limit" : <maximum bandwidth for all data>,
          "download_bandwidth_bytes_limit" : <maximum bandwidth for packages>,
          "sensor_bandwidth_bytes_limit" : <maximum bandwidth for sensors>,
          "subnets" : [
             {
               "range" : "<subnet CIDR>"
             },
             {
               "range" : "<subnet CIDR>"
             },
             {
               "range" : "<subnet CIDR>"
             }
          ]
       },
       {
          "all_subnets_flag" : [0 | 1],
          "bandwidth_bytes_limit" : <maximum bandwidth for all data>,
          "download_bandwidth_bytes_limit" : <maximum bandwidth for packages>,
          "sensor_bandwidth_bytes_limit" : <maximum bandwidth for sensors>,
          "subnets" : [
             {
               "range" : "<subnet CIDR>"
             },
             {
               "range" : "<subnet CIDR>"
             }
          ]
       }
    ]}

    このファイルが存在する場合、Zone ServerはTanium Serverからグローバルまたはサイトのスロットル設定を継承しません。フィルに省略されている設定がある場合は、デフォルト値の0(無制限)になります。ファイルの追加、編集、削除後に変更を適用するために、Zone Serverサービスを再開する必要はありません。

スロットルの遅延を検証する

エンドポイントに送信するデータにスロットルを適用するためにTaaSTanium Serverが適用している現在の遅延(キュー遅延値)を表示するには、次の手順に従います。

  1. メインメニューから [Administration (運用管理)] > [Configuration (構成)] > [Bandwidth Throttles (帯域幅スロットル)] に移動します。
  2. 遅延を表示するスロットルの種類のところまでスクロールします。

たとえば、Global Throttle for All Data (全データのグローバルスロットル)の帯域幅制限を400Mbpsに設定していて、TaaSTanium Serverによって400メガビットのデータの送信が開始された場合、[Global Throttle for All Data (全データのグローバルスロットル)] セクションには、当初、Queue delay (キューの遅延)として1,000ミリ秒(ms)と表示されます。ダウンロードが完了すると、TaaSTanium Serverによってさらにデータが送信されないかぎり、Queue delay (キューの遅延)は0msになります。

Tanium Consoleには、Tanium Serverのキュー遅延のみが表示されます。Zone Serverに関連するキューの遅延については [email protected]までお問い合わせください。

Tanium Consoleでは、以下のアイコンを使用してQueue delay (キューの遅延)の重要度レベルが示されます。重要度レベルは、遅延によって、エンドポイントが必要とするセンサーとパッケージをTaaSTanium Serverが送信できず、期限内にQuestionに応答してアクションを実行できなくなる可能性を示しています。

  • リスクなし 0~9,999ms:Taniumの機能を中断させるリスクがないか、ほとんどありません。

  • 10,000~44,999ms:Taniumの機能を中断させるリスクが中程度あります。

  • 45,000ms以上:Taniumの機能を中断させるリスクが高いです。