ビジネスサポートポータルアカウントでログイン
Deep Security Virtual Appliance で保護可能な仮想マシン数とリソース調整について  

Deep Security Virtual Appliance で保護可能な仮想マシン数とリソース調整について

    • 更新日:
    • 2 Sep 2019
    • 製品/バージョン:
    • Trend Micro Deep Security 10.0
    • Trend Micro Deep Security 11.0
    • Trend Micro Deep Security 12.0
    • Trend Micro Deep Security 9.5
    • Trend Micro Deep Security 9.6
    • OS:
    • Virtual Appliance すべて
概要
1 台の Deep Security Virtual Appliance (以下、DSVA) で保護可能な仮想マシンの最大数、および必要なリソース調整について教えてください。
詳細
Public

1 台の DSVA で保護できる仮想マシン数

1 台の DSVA で保護できる仮想マシンの最大数について、ソフトウェア側での制限は設けておりません。サイジングの参考値については以下のオンラインヘルプセンターをご参照ください。


パフォーマンスを考慮した実質的な最大数は、サーバスペック、ネットワーク環境、利用する機能や設定内容等、様々な要件によって変わります。製品導入時は、事前に十分な検証を行ってから本番環境への導入を計画してください。



ヒープメモリサイズの調整 (DSVA 9.5 以下のみ)

使用する機能に関わらず、保護する仮想マシンの数に応じて、ESXi 側で Filter Driver (dvfilter-dsa) のヒープメモリのサイズ調整を行う必要があります。初期設定のサイズ、および計算・設定方法は以下のとおりです。

ヒント

バージョン 9.6 以降では、VMware 社による VMsafe API のサポート終了のため Filter Driver が存在しません。そのため、DSVA 9.6 以降を使用する場合は、ヒープサイズの調整も不要となります。

初期設定のヒープサイズ

  • バージョン 8.0 : 64 MB
  • バージョン 9.0/9.5 : 256 MB

ファイアウォール/侵入防御/Web レピュテーション機能を使用しない場合の計算式

不正プログラム対策のみを使用する場合でも、保護する仮想マシンの数に応じてヒープサイズを調整する必要があります。この場合の計算式は以下のとおりです。

[保護する仮想マシン数] * 3 MB + 10 MB

例えば、保護対象の仮想マシンが 50 台の場合、必要なヒープサイズは最低でも 160 MB (50 * 3 + 10) となります。

ファイアウォール/侵入防御/Web レピュテーション機能を使用する場合の計算式

上記機能を使用する場合の計算式は以下のとおりです。

[保護する仮想マシン数] * 3 MB + [保護する仮想マシン数] * 512 バイト * ([最大 TCP 接続数] + [最大 UDP 接続数]) + 10 MB

例えば、保護対象の仮想マシンが 50 台、かつ最大 TCP/UDP 接続数がそれぞれ初期設定 (バージョン 9.0 以降) の 1,000 である場合、必要なヒープサイズは最低でも約 210 MB ( (50 * 3)  + (50 * 512 bytes * 2000) + 10 ) となります。
 
※ 最大 TCP 接続数および最大 UDP 接続数の初期設定はそれぞれ、8.0 以前は 10,000、9.0 以降は 1,000 です。
※ 10 MB は、vMotion の状態管理などに使用されます。保護する仮想マシン数に関係なく、固定値となります。

ヒープメモリを増加させるかの確認について

以下のコマンドをESXi shellにて実行し、ヒープサイズを拡張する必要があるかどうかご確認ください。

~ # vsish
/> cat /system/heaps/dvfilter-dsa-XXXX/stats

上記コマンドを実施後、"lowest percent free of max size ever encountered" に表示される値が15%以下の場合、ヒープメモリを増加させてください。

設定方法

計算の結果、ヒープサイズを拡張する必要がある、また、今後拡張する必要が出てきそう、という場合は、以下方法にて設定を行ってください。

ヒント

ヒープサイズの枯渇に起因した予期せぬトラブルを防ぐため、あらかじめ余裕のある値 (512 MB など) に拡張しておくことを推奨します。

  1. ESXi の CLI にアクセスし、以下コマンドでヒープサイズを設定します。

    esxcfg-module -s DSAFILTER_HEAP_MAX_SIZE=[算出したヒープサイズ (byte)] dvfilter-dsa

    例 (512 MB の場合) : # esxcfg-module -s DSAFILTER_HEAP_MAX_SIZE=536870912 dvfilter-dsa

  2. 設定値を確認します。

    esxcfg-module -g dvfilter-dsa

    ヒント

    デフォルト値の場合、「dvfilter-dsa enabled = 1 options = ''」と表示されます。

  3. 設定を反映させるため、ESXi サーバを再起動します。

割り当てたヒープサイズ全てがすぐに消費される訳ではなく、実際の利用状況に応じ、必要な分だけ消費されます。 上記の値は、最大の値を定義するものとなります。

  • 算出したヒープサイズが256MB(268425456バイト)を超える場合は、[設定]→[システム設定]→[ネットワークエンジン]で「最大TCP接続数」および「最大UDP接続数」の値を減らす事もご検討ください。
  • 上記手順でヒープサイズを編集していて、かつそのサイズが上位バージョンのヒープメモリの初期値より小さい場合、上位バージョンへのアップグレードの前に手動で設定したヒープメモリサイズをリセットする必要があります。
    a. 設定をリセットします「esxcfg-module -s '' dvfilter-dsa」
    b. 設定を反映させるため、ESXi を再起動します
Premium
Internal
評価:
カテゴリ:
機能/仕様; 操作方法/設定
Solution Id:
1312519
ご提案/ご意見
このソリューションはお役に立ちましたか?

フィードバックありがとうございました!

いただいたご提案/ご意見に関して、トレンドマイクロから詳細確認のため、Eメールを送付させていただく場合がありますので、Eメールアドレスを入力してください:
入力いただいたEメールアドレスはソリューション改善のためだけに使用いたします.

*こちらに技術的なご質問などをいただきましてもご返答する事ができません.

何卒ご了承いただきますようお願いいたします.


To help us improve the quality of this article, please leave your email here so we can clarify further your feedback, if neccessary:
We will not send you spam or share your email address.

*This form is automated system. General questions, technical, sales, and product-related issues submitted through this form will not be answered.


ユーザーガイド