数据节点概述

用户可以独立于数据收集来扩展存储和处理能力，从而使部署具有适当的存储和处理能力。数据节点即插即用，可以随时添加到部署中。数据节点与现有部署无缝集成。

部署中数据量的增加需要更快地进行数据压缩。数据压缩会降低系统性能，因为系统必须先解压缩查询的数据，然后才能进行分析。将数据节点设备添加到部署中，可以让数据保持更长时间的未压缩状态。

JSA 部署在事件和流处理器以及附加的数据节点之间分发所有新数据。 图 1 显示了添加数据节点设备之前和之后的 JSA 部署。

聚 类

数据节点为部署增加了存储容量，并通过在多个存储卷之间分配处理器上收集的数据来提高性能。搜索数据时，多个主机或一个群集执行搜索。群集可以大大提高搜索性能，但不需要添加多个事件处理器。数据节点将每个处理器的存储相乘。

注意：

一次只能将数据节点连接到一个处理器，但一个处理器可以支持多个数据节点。

部署注意事项

• 数据节点在 JSA 2014.2 及更高版本上可用。

• 数据节点执行与 JSA 部署中的事件和流处理器类似的搜索和分析功能。集群上的操作受集群中最慢的成员影响。如果数据节点的大小与部署中的事件和流处理器相似，则数据节点系统性能会提高。为了便于数据节点与事件和流处理器之间的类似大小调整，核心设备上提供了数据节点。

• 数据节点可以作为虚拟机安装，也可以安装在 JSA 设备上。您可以在单个部署中混合使用这些内容。

带宽和延迟

确保群集中主机之间的链路为 1 GBps，且间隔小于 10 毫秒。生成许多结果的搜索需要更多带宽。

兼容性

数据节点与具有事件或流处理器组件的所有现有 JSA 设备兼容，包括一体化设备。

数据节点支持高可用性 （HA）。

安装

数据节点使用标准 TCP/IP 网络，不需要专有或专用互连硬件。像安装任何其他 JSA 设备一样安装要添加到部署中的每个数据节点。在 JSA 部署编辑器中将数据节点与事件或流处理器相关联。请参阅 《瞻博网络安全分析管理指南》。

您可以在多对一配置中将多个数据节点附加到单个事件或流处理器。

使用数据节点设备部署高可用性对时，请在同步高可用性对之前使用高可用性设备安装、部署和重新平衡数据。数据重新平衡和用于高可用性的复制过程的综合影响会导致性能显著下降。如果要向其引入数据节点的现有设备上存在高可用性，则最好在群集的重新平衡完成后断开并重新建立高可用性连接。

退役

与任何其他 JSA 设备一样，使用部署编辑器从部署中移除数据节点。停用不会擦除主机上的平衡数据。您可以检索数据以进行存档和重新分发。

数据重新平衡

将数据节点添加到集群会将数据均匀地分布到每个数据节点。每个数据节点设备保持相同百分比的可用空间。添加到群集的新数据节点会从群集事件和流处理器启动额外的重新平衡，以便在新添加的数据节点设备上实现高效的磁盘使用。

从 JSA 2014.3 开始，数据重新平衡是自动的，并与其他集群活动（如查询和数据收集）并发。在数据重新平衡期间不会经历停机。

在数据重新平衡完成之前，数据节点不会在集群中提供任何性能改进。重新平衡可能会导致搜索操作期间性能略有下降，但数据收集和处理不会受到影响。

管理和运营

数据节点是自我管理的，不需要用户定期干预即可维持正常运行。JSA 管理所有主机（包括数据节点设备）的数据备份、高可用性和保留策略等活动。

失败

如果数据节点发生故障，群集的其余成员将继续处理数据。

当故障数据节点恢复服务时，数据平衡将恢复。在停机期间，故障数据节点上的数据不可用。

对于需要更换设备或重新安装 JSA 的灾难性故障，请从部署中停用数据节点，并使用标准安装步骤替换它们。在部署之前，将故障中未丢失的任何数据复制到新的数据节点。重新平衡算法会考虑旧数据，并仅随机播放故障期间收集的数据。

对于使用高可用性对部署的数据节点，硬件故障会导致故障转移，操作将继续正常运行。

有关每个组件的更多信息，请参阅《 瞻博网络安全分析管理指南》。