Verdict-as-a-Service

Verdict-as-a-Service Logo Online Dokumentation

On-Premises Konfigurieren

Spezifische Anpassungen für den Einsatz in Ihrem Unternehmen

Mehr Durchsatz

Jeder CPU-Kern kann im Durchschnitt 10 MB/s scannen. Dies hängt stark von der Art der zu überprüfenden Dateien (ausführbare Dateien, Archive oder Dokumente) ab. Um die Ausführung auf mehr Knoten zu erhöhen, erhöhen Sie die Anzahl der Knoten.

Dazu werden die folgenden Zeilen in die Datei values.yaml eingefügt:

gateway:
  replicaCount: 4
gdscan:
  replicaCount: 4

Große Dateien

Verdict-as-a-Service ist in der Lage, Dateien beliebiger Größe zu verarbeiten. Die in der Praxis typische Scandauer für große Dateien kann der folgenden Tabelle entnommen werden:

Latenz:

File Size inMB Duration MB/s

Fedora-Workstation-Live-x86_64-37-1.7.iso

1943

6:25

5.05

Fedora-Workstation-Live-x86_64-38-1.6.iso

2003

6:48

4.91

Fedora-Workstation-Live-x86_64-39-1.5.iso

2032

6:37

5.12

ubuntu-16.04.7-server-amd64.iso

881

2:00

7.34

ubuntu-18.04.6-live-server-amd64.iso

970

1:57

8.29

ubuntu-20.04.6-live-server-amd64.iso

1419

3:03

7.75

ubuntu-22.04.4-live-server-amd64.iso

2007

3:12

10.45

ubuntu-23.10-live-server-amd64.iso

2539

3:09

13.43

Diese Werte variieren abhängig von Ihrer Einrichtung.

Auf Wunsch können Sie Ihren Dateneingang so konfigurieren, dass er größere Dateien zulässt. Hier ist ein Beispiel für nginx:

gateway:
  ingress:
    annotations:
      nginx.ingress.kubernetes.io/proxy-body-size: 4G
      nginx.ingress.kubernetes.io/proxy-request-buffering: 'off'

Setzen Sie Proxy-Body-Size auf die maximal zulässige Dateigröße. Das Puffern von Anfragen (proxy-request-buffering) muss deaktiviert sein.

Konfigurieren der Dateiträgergröße für die gdscan-Komponente

Für kleine Dateien empfehlen wir die Standardeinstellungen, d. h. die Dateien werden während des Scanvorgangs im Speicher abgelegt.

Für größere Dateien konfigurieren Sie Ihr Volume wie in diesem Beispiel:

gdscan:
  persistence:
    enabled: true
    size: 5Gi

Die notwendige Größe des Volumens lässt sich mittels folgender Formel bestimmen:

"Storage per node: (# of parallel requests) * (size of largest file to analyse)"

Einstellen der maximalen Analysedauer

Der Standard Timeout für die Analyse beträgt 30 Sekunden. Wenn Sie größere Dateien haben, sollten Sie diesen Wert erhöhen. Fügen Sie diese Zeilen Ihrer values.yaml hinzu:

gateway:
  terminationGracePeriodSeconds: 60
gdscan:
  terminationGracePeriodSeconds: 60

Beispiele für die Dauer der Analyse finden Sie in der Latenztabelle.

Netzwerkzugang schützen

Das Gateway hat standardmäßig Zugriff auf das Internet. Das ist nötig, um URLs zu scannen und die Cloud-Instanz für den Hashlookup zu erreichen.

Wenn Sie verhindern möchten, dass Verdict-as-a-Service auf das Internet zugreift, wird empfohlen, die Standard-Netzwerkrichtlinie mit den folgenden Zeilen in der values.yaml zu deaktivieren.

gateway:
  networkPolicy:
    enabled: false

Im Folgenden werden die minimalen Anforderungen zur Ausführung des Verdict-as-a-Service aufgeführt:

  policyTypes:
  - Ingress
  - Egress
  ingress:
    - from:
      ports:
        - port: 8080 # Http
        - port: 9090 # Websocket
  egress:
    - to:
      ports:
        - port: 6379 # Redis
        - port: 8080 # GdScan
        - port: 9090 # Gateway

Verdict-as-a-Service Extrahieren CLIENT_SECRET

Mit folgendem Befehl können Sie das CLIENT_SECRET aus dem Mini-Identity-Provider extrahieren:

export CLIENT_SECRET=$(kubectl get secret -n vaas vaas-client-secret -o jsonpath="{.data.secret}" | base64 -d)

Verdict-as-a-Service Umgebungsvariablen für einen Funktionstest setzen

Setzen Sie die Umgebungsvariablen für Ihre Instanz:

export CLIENT_ID=vaas
export VAAS_URL=wss://<your-vaas-host>/ws
export TOKEN_URL=https://<your-vaas-host>/auth/protocol/openid-connect/token