Übersicht über die Tanium Core Platform-Server

Diese Anleitung beschreibt die Anforderungen und Verfahren zur Installation der folgenden Tanium™ Core Platform-Server auf der vom Kunden bereitgestellten Windows-Infrastruktur.

  • Tanium™ Server
  • Tanium™-Modulserver
  • Tanium™ Zone Server (einschließlich des Tanium™ Zone Server-Hub)

Tanium-Infrastrukturtypen

Tanium Core Platform-Server unterstützen die folgenden Infrastrukturoptionen:

  • Gehärtete physische oder virtuelle Tanium-Appliance (empfohlen): Details finden Sie in der Installationsanleitung für Tanium Appliance.
  • Windows-Installation auf vom Kunden bereitgestellter Hardware, wie in diesem Handbuch beschrieben.

Tanium Server

Der Tanium Server ist der Server, der mit Tanium™ Clients, allen anderen Tanium Core Platform-Servern und den content.tanium.com-Servern kommuniziert, die Tanium-Inhaltspakete hosten. Die Tanium Clients kommunizieren direkt mit dem Tanium Server oder über einen Tanium Zone Server, der als Proxy fungiert. Der Tanium Server führt auch die Tanium™ Console- und API-Dienste aus.

Sie können den Tanium Server auf einem dedizierten Host installieren, der vom Tanium-Modulserver und Datenbankserver getrennt ist, oder auf einem All-in-One-Host, den alle drei Server teilen. Verwenden Sie einen dedizierten Host für Produktions- und Laborumgebungen eines Unternehmens (siehe Topologie der Tanium Core Platform); die All-in-One-Architektur ist nur für POC-Verteilungen gedacht.

Sie können zwei Tanium Server in einem Active-Active-Hochverfügbarkeits-(HA)-Cluster einsetzen, um eine kontinuierliche Verfügbarkeit im Falle eines Ausfalls oder einer geplanten Wartung sicherzustellen. HA-Verteilungen müssen die folgenden Eigenschaften aufweisen:

Tanium Client-Verbindungen

Tanium Clients verwenden eine Tanium Server-Liste, um automatisch einen Backup-Server zu finden, falls der ihnen zugewiesene primäre Tanium Server nicht verfügbar ist.

Gemeinsame Datenbank

Tanium Server in einem HA-Cluster lesen und schreiben in eine gemeinsame Datenbank. Jeder Server erstellt für sich einen Eintrag in der Datenbank tanium, der ihn gegenüber den anderen Servern im Cluster identifiziert. Befolgen Sie die Best Practices für die Datenbankverwaltung, um die Verfügbarkeit des Datenbankservers zu gewährleisten und sicherzustellen, dass die Tanium-Datenbanken und die zugehörigen Datenbankobjekte routinemäßig gesichert werden.

Tanium Console

Jedes HA-Clustermitglied verfügt über eine Tanium Console mit eigener URL.

Tanium™-Lösungsmodule

Die Module werden auf einem Tanium-Modulserver installiert, den alle Tanium Server in einem HA-Cluster gemeinsam verwenden. Um die Module jedoch auf allen Tanium Servern verfügbar zu machen, müssen Sie die Module über die Tanium Console jedes Clustermitglieds importieren. Der Modulserver unterstützt HA nicht.

HA-Cluster-Kommunikation

Jeder Tanium Server führt Nachrichten von Tanium (wie Antworten auf Fragen) und Paketdateien an die anderen HA-Clustermitglieder über Port 17472 aus. Wenn Sie Paketdateien auf einen Tanium Server hochladen, synchronisiert dieser die Dateien automatisch mit den anderen HA-Clustermitgliedern.

HA-Clustering ist nicht erforderlich, um die Tanium-Kapazität zu skalieren oder die Leistung zu verbessern. Sie können die Größe der Hostsystem-Hardware und Betriebssysteme von eigenständigen Servern der Tanium Core Platform anpassen, um Ihre Kapazität und Leistungsanforderungen zu erfüllen. Einzelheiten finden Sie unter Referenz: Richtlinien für Hostsystem-Ressourcen.

Um einen eigenständigen (nicht-HA) Tanium Server auf einem dedizierten Windows Server-Host zu installieren, siehe Installation des Tanium Servers. Um Tanium Server in einer HA-Verteilung zu installieren, siehe Installieren von Tanium Servern in einem Active-Active-HA-Cluster.

Tanium-Modulserver

Der Tanium-Modulserver führt Anwendungsdienste aus und speichert Dateien für Tanium-Lösungsmodule, beispielsweise Tanium™ Patch. Tanium-Administratoren können die Tanium Console verwenden, um Lösungsmodule zu verwalten und zu verwenden. Der Modulserver kommuniziert direkt nur mit dem Tanium Server. Endpunkte erhalten Pakete über den Tanium Server oder den Zoneserver.

Bei der Produktionsverteilung installieren Sie den Modulserver auf einem dedizierten Host (nicht an den Tanium Server weitergegeben), um vorsätzliche oder versehentliche Skripts zu verhindern, die eine direkte Auswirkung auf den Tanium Server haben. Für das Verfahren siehe Installation des Tanium-Modulservers.

Nur in einer begrenzten Proof-of-Concept (POC)-Implementierung, können Sie den Modulserver und den Tanium Server auf dem gleichen Host installieren.

Tanium Zone Server

In Tanium-Bereitstellungen initiieren Tanium Clients Verbindungen mit dem Tanium Server. Netzwerk-Sicherheitsrichtlinien von Unternehmen erlauben jedoch normalerweise keine Endpunkte, die sich in einem externen, nicht vertrauenswürdigen Netzwerk befinden, um Verbindungen zu Ressourcen wie dem Tanium Server zu initiieren, die sich in einem vertrauenswürdigen internen Netzwerk befinden. Um den Tanium Server zur Verwaltung von externen Endpunkten zu aktivieren, stellen Sie einen oder mehrere Tanium Zone Server in Ihrer DMZ für die Proxy-Kommunikation von den externen Endpunkten bereit. Für das Verfahren siehe Installation des Tanium Zone Servers.

Die folgende Abbildung veranschaulicht die Zoneserver-Kommunikation. Der Zoneserver wird als Dienst installiert, typischerweise auf einem vorhandenen, gemeinsam genutzten Gerät im DMZ. Er kommuniziert mit dem Tanium Server über einen Tanium Zone Server-Hub-Prozess, den Sie auf einem Hostcomputer im internen Netzwerk installieren, typischerweise auf dem Tanium Server-Hostcomputer. Sie konfigurieren die Tanium Clients auf externen Endpunkten, um sich mit dem Zoneserver zu registrieren, als ob er der primäre Tanium Server wäre.

Abbildung 1:  Zoneserver-Verteilung

* Standardmäßig verwendet der Zoneserver denselben Port (standardmäßig 17472) für Datenverkehr von Zoneserver-Hubs und Tanium Clients. Als beste Praktik zur Verbesserung der Sicherheit des Zoneservers können Sie separate Ports für die Hubs und Clients konfigurieren (siehe Konfiguration von Ports für Datenverkehr von Zoneserver-Hubs und Tanium Clients).

Zwischenspeicherung

Um die Leistung von Tanium-Systemen zu optimieren, speichert der Zoneserver Aktions-Paketdateien und Dateien, die über die Tanium Client-API angefordert werden, im Zwischenspeicher. Er stellt die Ressourcen an Tanium Clients bereit, ohne sie erneut vom Tanium Server anzufordern. Falls erforderlich, um einen Überverbrauch des Festplattenspeichers auf dem Zoneserver zu verhindern, können Sie eine maximale Größe für den Zwischenspeicher konfigurieren. Bei Verteilungen, bei denen der Zoneserver-Hub auf dem Tanium Server-Host ausgeführt wird, verfügt der Hub nicht über seinen eigenen Zwischenspeicher, sondern verwendet den Zwischenspeicher des Tanium Servers. Wenn der Hub auf einem dedizierten Host liegt, müssen Sie den Zwischenspeicher auf dem Hub aktivieren. Um den Zwischenspeicher auf dem Zoneserver oder Hub zu konfigurieren, siehe Zwischenspeicher auf Zoneserver und Zoneserver-Hub verwalten.

Hochverfügbarkeit (HA)

Sie können zwei Zoneserver und zwei Zoneserver-Hubs in einer Active-Active-Hochverfügbarkeits-(HA)-Konfiguration einsetzen, um eine kontinuierliche Verfügbarkeit im Falle eines Ausfalls oder einer geplanten Wartung sicherzustellen. Die folgende Abbildung zeigt eine Verteilung, die über HA-Paare aus Tanium Servern, Zoneserver-Hubs und Zoneservern verfügt. In diesem Beispiel laufen die Zoneserver-Hubs lokal auf den Tanium Servern.

Abbildung 2:  Zoneserver-HA-Verteilung
Zoneserver HA

Die folgenden Verbindungen (entsprechend den Zahlen in Abbildung 2) sorgen für eine kontinuierliche Verfügbarkeit bei dieser Verteilung:

Nummer 1 Jeder Zoneserver-Hub verbindet sich mit einem einzelnen Tanium Server.

Nummer 2 Jeder Zoneserver-Hub verbindet sich mit beiden Zoneservern.

In der Tanium Core Platform 7.4 können Sie die Einstellung HubPriorityList (HubPrioritätsListe) auf jedem Zoneserver konfigurieren, um den bevorzugten Zoneserver-Hub anzugeben, von dem der Server die Tanium Client-Inhalte erhält (z. B. Sensordefinitionen, Konfigurationsinformationen und Aktions-Paketdateien). Bei Verteilungen mit mehreren Zoneservern und Hubs ist die Konfiguration der HubPriorityList (HubPrioritätsListe) eine bewährte Methode, um sicherzustellen, dass jeder Zoneserver Inhalte von dem ihm nächstgelegenen Hub erhält. Die Konfiguration dieser Einstellung optimiert auch die Hub-Nutzung, indem sichergestellt wird, dass jeder Hub einen Zoneserver bedient, statt dass ein Hub beide Server bedient. Für die Schritte siehe Installation des Zoneservers.

In Abbildung 2 legt die HubPriorityList (HubPrioritätsListe) auf Zoneserver 1 (zs1.example.com) den Zoneserver-Hub 1 (ts1.example.com) fest. Solange also ts1.example.com verfügbar ist, erhält zs1.example.com Client-Inhalte nur von diesem Hub. In der Abbildung zeigen durchgezogene Linien die Verbindungen an, wenn der Prioritäts-Hub verfügbar ist. Wenn der Prioritäts-Hub ausfällt, erhält der Zoneserver Client-Inhalte vom anderen Hub; in der Abbildung zeigen gepunktete Linien die Failover-Verbindungen an.

Nummer 3 Tanium Clients registrieren sich über beide Zoneserver, sodass beide Tanium Server die Clients verwalten können. Die Tanium Server synchronisieren sich miteinander, um die Active-Active-Verfügbarkeit sicherzustellen.

Weder die Zoneserver noch die Hubs führen eine HA-Synchronisierung durch.

Eine HA- Verteilung stellt sicher, dass Sie die Endpunkte weiterhin verwalten können, wenn ein Tanium Server oder Zoneserver oder jeweils einer davon ausfällt. Wenn in diesem Beispiel der Tanium Server 1 (ts1.example.com) ausfällt, leitet der Zoneserver-Hub 2 Tanium-Client-Inhalte von Tanium Server 2 (ts2.example.com) an den Zoneserver 1 (zs1.example.com) weiter, der somit weiterhin Clients bedienen kann. Die folgende Abbildung veranschaulicht dieses Szenario.

Abbildung 3:  Tanium Server-Failover bei einer HA-Verteilung
Tanium Server-Failover

Wenn in diesem Beispiel Zoneserver 1 ausfällt, erhält Zoneserver 2 (zs2.example.com) weiterhin Tanium-Client-Inhalte von seinem Prioritätshub, Zoneserver-Hub 2 (ts2.example.com). Die Verbindung von Zoneserver-Hub 1 (ts1.example.com) zu zs2.example.com bleibt eine Standby-Verbindung, solange ts2.example.com verfügbar ist. Die folgende Abbildung veranschaulicht dieses Szenario.

Abbildung 4:  Zoneserver-Failover bei einer HA-Verteilung
Zoneserver-Failover

Wenn Sie die Tanium Core Platform zur Verwaltung externer Endpunkte verwenden, beachten Sie bitte, dass sie möglicherweise nicht denselben Zugriff auf interne Ressourcen wie interne Endpunkte haben. Zielaktionen, damit Tanium Clients auf externen Endpunkten nicht versuchen, auf Ressourcen im internen Netzwerk zuzugreifen, z. B. auf einen Active-Directory-Server.

Topologie der Tanium Core Platform

Bei der Produktionsverteilung eines Unternehmens müssen der Tanium Server, der Tanium-Modulserver und der Datenbankserver auf separaten Hosts abgelegt werden, wie es die folgende Abbildung zeigt. In einer Proof-of-Concept-(POC)-Verteilung befinden sich diese drei Server auf dem gleichen Host. Die POC-Architektur ist jedoch nur für Demonstrationszwecke gedacht und unterstützt keine Unternehmensbereitstellungen. Als beste Praxis verwenden Sie die Architektur der Produktionsumgebung für die Laborumgebung des Unternehmens, die Sie zur Qualifizierung von Software-Aktualisierungen und zum Testen von Inhaltslösungen verwenden. Die folgende Abbildung veranschaulicht eine Produktions- oder Lab-Verteilung in einer HA-Konfiguration.

Abbildung 5:  Unternehmensproduktion oder Bereitstellung eines Unternehmenslabors

* Standardmäßig verwendet der Zoneserver denselben Port (standardmäßig 17472) für Datenverkehr von Zoneserver-Hubs und Tanium Clients. Als beste Praktik zur Verbesserung der Sicherheit des Zoneservers können Sie separate Ports für die Hubs und Clients konfigurieren (siehe Konfiguration von Ports für Datenverkehr von Zoneserver-Hubs und Tanium Clients).

Für die Topologie von Verteilungen, die einen Proxy-Server zwischen Tanium Core Platform-Servern und externen Servern verwenden, siehe Benutzerhandbuch für Tanium Console: Konfigurieren von Proxy-Server-Einstellungen.

Sonstige Ressourcen

Versionshinweise

Support-Wissensdatenbank
(Anmeldung erforderlich)