Взаимодействие с Kaspersky Endpoint Security

Для совместной работы СРК RuBackup и Kaspersky Endpoint Security (KES) требуется выполнить ряд настроек, направленных на предотвращение конфликтов и сохранение производительности.

1. Производительность и потребление ресурсов

После развёртывания рекомендуем проверить влияние KES на производительность СРК в следующих сценариях:

  1. Нагрузка при работе с резервными копиями

    Процессы создания снимков и работа с РК связаны с интенсивной обработкой больших объемов данных. Активное сканирование операций антивирусом KES создает двойную нагрузку на ресурсы системы, что может приводить к значительному замедлению работы с ВМ, повышению общей нагрузки и возникновению непредвиденных сбоев.

    Рекомендуется проверить скорость выполнения операций, стабильность работы СРК и KES, а также отсутствие ошибок в журналах событий.

  2. Потребление оперативной памяти.

    На серверах с объёмом оперативной памяти более 5 ГБ следует установить ограничение потребления памяти для процесса KES в соответствии с рекомендациями производителя.

    Рекомендуем проверять потребление памяти KES и отсутствие ошибок нехватки памяти.

    Чтобы указать ограничение на использование памяти при проверке файлов откройте файл /var/opt/kaspersky/kesl/common/kesl.ini и укажите нужное количество оперативной памяти в МБ для параметра ScanMemoryLimit

2. Контроль сетевых соединений

Не изменяйте настройки портов СРК по умолчанию (см. Сетевые порты).

При стандартных настройках порты СРК и KES не пересекаются.

В случае конфликтов, добавьте соответствующие адреса в исключения KES.

KES может блокировать устаревшие протоколы (TLS 1.0, SSL 2.0/3.0), что нарушает работу приложений, включая трафик внутри кластера Patroni.

Решение проблемы с блокировкой устаревших протоколов:

  1. Обновите KES до версии, которая поддерживает актуальные протоколы.

  2. Добавьте все процессы СРК как доверенные.

  3. Добавить в исключения KES путь, который используется для монтирования моментальных снимков дисков.

    Пример 1. Добавление директорий в исключения KES (Linux)
    kesl-control --set-settings 1 --add-exclusion /tmp/logs (1)

kesl-control --set-settings 1 --add-exclusion /tmp/logs/*.log (2)

kesl-control --set-settings 1 --add-exclusion /tmp/**/*.log (3)
    1 Исключение директории с поддиректориями
    2 Исключение файлов по маске
    3 Рекурсивное исключение файлов по маске

    При настройке исключений в Windows необходимо активировать опцию Применять к дочерним процессам для корректной работы всех компонентов СРК.

  4. Добавьте в исключения KES сертификаты защищённых подключений.

  5. Отключите в KES проверку защищённых соединений или блокировку устаревших TLS/SSL-протоколов.

  6. Отключите сетевой экран KES.

3. Управление доверенными процессами

KES отслеживает действия доверенных процессов. Если процесс пытается получить доступ к директории вне своего доверенного пути, KES может заблокировать этот доступ.

СРК его модули для работы используют как собственные процессы, так и сторонние утилиты (например, для архивации).

Рекомендуем:

  1. Добавьте все собственные и сторонние процессы СРК как доверенные.

  2. Добавить в исключения KES путь, который используется для монтирования моментальных снимков дисков.