Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

数据节点和数据存储

JSA 处理器设备和一体化设备可以存储数据,但许多公司需要 数据节点 的独立存储和处理能力,以处理特定的存储需求,并帮助实施数据保留策略。许多公司都受到强制要求在特定时间内保留数据记录的法规和法律的影响。

数据节点信息

以下列表介绍了 有关数据节点的信息:

  • 数据节点可 增加存储和处理容量。

  • 数据节点 即插即用,可随时添加到部署中。

  • 数据节点 与现有部署无缝集成。

  • 使用 数据节点 从处理器中移除数据存储处理负载,从而降低处理器设备上的处理负载。

  • 用户可以独立于数据收集扩展存储和处理能力。

  • JSA 2014.7 开始,将使用具有本机数据压缩的新数据格式。数据在内存中压缩,并以专有二进制压缩格式写到磁盘。与之前的数据格式相比,新的数据格式可提高搜索性能并更高效地使用系统资源。在旧版本的 JSA 中,以前的数据格式没有本机内置压缩。

下图显示了 部署中数据节点的 一些用法示例。

图 1:使用数据节点设备管理数据存储 Using Data Node Appliances to Manage Your Data Storage

下面的列表介绍了在部署 数据节点时需要考虑的不同元素。

  • 数据群集 -- 数据节点可 增加部署的存储容量,并通过跨多个存储卷分配收集的数据来提高性能 。搜索数据时,将搜索多个主机或一个群集。群集可以提高搜索性能,但不需要添加多个事件处理器。 数据节点将 每个处理器的存储乘以。 

    注意:

    一个 数据节点 一次只能连接到一个处理器,但一个处理器可以支持多个 数据节点

  • 部署注意事项 - 在部署中设置 数据节点 时,请记住以下信息。

    • JSA 2014.5 及更高版本提供数据节点

    • 数据节点执行JSA 部署中的事件和流处理器类似的搜索和分析功能。

      群集上的操作速度受群集最慢成员的影响。如果数据节点的大小与部署中的事件处理器流处理器相似,则数据节点系统性能将得到提升。为了促进数据节点与事件和流处理器之间的类似大小调整,JSA 核心设备上提供了数据节点。

    • 数据节点有三种格式可供选择:软件(在您自己的硬件上)、物理和设备。您可以在单个群集中混合使用这些格式。

  • 带宽和延迟 -- 确保群集中主机之间的链路为 1 Gbps,延迟小于 10 毫秒。产生许多结果的搜索需要更多的带宽。

  • 设备兼容性 -- 数据节点与具有事件处理器流处理器组件(包括一体式设备)的所有现有 JSA 设备兼容。

    数据节点 支持高可用性 (HA)。

  • 数据节点的安装 -- 数据节点 使用标准 TCP/IP 网络,不需要专有或专用的互连硬件。

    您希望添加到部署的每个数据节点的安装方式与安装任何其他 JSA 设备相同。将数据节点与事件或流处理器相关联。有关更多信息,请参阅《瞻博网络安全分析管理指南》中的配置托管主机

    您可以在多对一配置中将多个 数据节点 连接到单个 事件处理器流处理器

    数据节点 设备部署高可用性 (HA) 对时,先安装、部署 HA 设备并重新平衡数据,然后再同步 HA 对。数据重新平衡与用于高可用性的复制过程相结合,导致性能大幅下降。如果在要引入 数据节点的 设备上设置 HA,则断开设备上的高可用性连接,然后在群集重新平衡完成后重新连接。

  • 停用数据节点 -- 使用 系统和许可证管理 窗口从部署中移除 数据节点 ,就像使用任何其他 JSA 设备一样。停用不会擦除主机上的数据,也不会将数据移动到其他设备。如果需要保留对 数据节点上数据的访问权限,则必须确定将数据移动到的位置。

  • 数据重新平衡 -- 向群集添加 数据节点 会将数据分发到每个 数据节点。如果可能,数据重新平衡会尝试在每个 数据节点上保持相同的可用空间百分比。添加到群集中的新 数据节点 会从群集事件和流处理器发起更多重新平衡,以实现在新添加 的数据节点 设备上高效使用磁盘。

    JSA 2014.5 开始,数据重新平衡是自动的,并且与其他群集活动(如查询和数据收集)同步进行。数据重新平衡期间不会经历停机。

    在完成数据重新平衡之前,数据节点不会提高群集的性能。重新平衡可能会导致搜索操作期间性能略有下降,但数据收集和处理不受影响。

    注意:

    不支持 在数据节点事件处理器 之间传输加密的数据传输。

  • 管理和运维 -- 数据节点 采用自我管理方式,无需用户定期干预即可保持正常运行。 JSA 管理所有主机(包括 数据节点 设备)的数据备份、高可用性和保留策略等活动。

  • 数据节点故障 -- 如果 数据节点 发生故障,群集的剩余成员将继续处理数据。

    当故障 数据节点 返回服务时,可以进行数据重新平衡,以保持群集中正确的数据分布,然后恢复正常处理。在停机期间,故障 数据节点上的数据 将不可用,并且从 JSA 用户界面中的日志和网络活动查看器的搜索结果中出现 I/O 错误。

    对于需要更换设备或重新安装 JSA 的灾难性故障,请从部署中停用 数据节点 ,然后使用标准安装步骤将其更换。部署之前,未在故障中丢失的任何数据复制到新的 数据节点 。重新平衡算法会考虑 数据节点上存在的数据,并且仅对故障期间收集的数据进行洗牌。

    对于使用 HA 对部署 的数据节点 ,硬件故障会导致故障切换,操作继续正常运行。

SAN 概述

要增加设备上的存储空间,您可以将部分数据移动到机外存储设备。您可以移动 /store/store/ariel/store/备份 文件系统。

有多种方法可用于添加外部存储,包括 iSCSI 和 NFS(网络文件系统)。您必须使用 iSCSI 在 UI 中存储可访问和可搜索的数据,如 /store/ariel 目录,并将 NFS 保留仅用于数据备份。

/store 文件系统移动到外部设备可能会影响 JSA 性能。

迁移后,在本地磁盘上不再执行到 /store 文件系统的所有数据 I/O。将 JSA 数据移动到外部存储设备之前,必须考虑以下信息:

  • 标记为已保存的搜索也会在 /瞬态 目录中。如果遇到本地磁盘故障,则不会保存这些搜索。

  • 移动数据之前存在的瞬时分区在移动后可能会保留存在,而且该分区可以安装在 iSCSI 存储安装上。

有关机外存储的更多信息,请参阅 《瞻博网络安全分析配置机外存储指南》。