СберТех обновил СУБД Pangolin: поддержка «Альт Сервер 10», Pangolin DCS и другие изменения в релизе 6.2.0

Platform V Pangolin – целевая СУБД в Сбере, созданная для высоконагруженных систем с повышенными требованиями к безопасности, надежности и удобству эксплуатации. В начале мая 2024 года команда продукта выпустила минорное обновление. Большая часть изменений коснулась сценариев для администраторов СУБД, а также вышли доработки для обеспечения безопасности и небольшие подкапотные обновления для разработчиков.

Ключевые изменения

Добавлена поддержка ОС «Альт Сервер 10». Это одно из главных изменений для администраторов в текущем релизе. Так сегодня выглядит актуальный список поддерживаемых операционных систем:

* РЕД ОС 7.3;

* Альт 8 СП;

* Альт 8 СП Релиз 10;

* Альт 9 Сервер;

* Альт 10 Сервер;

* Red Hat Enterprise Linux 8.7;

* Platform V SberLinux OS Server 8.7, 8.8;

* Astra Linux 1.7.

В Pangolin Manager добавлен RAFT-механизм, позволяющий обходиться без open source DCS-сервисов и таким образом снизить риски ИБ-инцидентов, уменьшить разнообразие ПО и повысить устойчивость работы кластеров. Это изменение особенно важно для клиентов, которые используют изолированные среды разработки в окружении с высокими требованиями к безопасности.

Важные доработки

Клиентская часть СУБД выделена в отдельный RPM/DEB пакет. Это упростит администраторам распространение, управление и обновление ПО. Помимо этого изменение позволит использовать клиентскую часть вместо open source. Обновлен Pangolin Pooler (на базе pgbouncer). Теперь для анализа ошибок сессий можно выводить результат команды SHOW POOLS (вывод состояния пулов в процессе работы) в лог Pangolin Pooler.

Доработан механизм сквозной аутентификации (здесь команда Pangolin Pooler выступает в режиме проксирования запросов/ответов аутентификации, аутентификация пользователя выполняется только в ядре Pangolin). Добавлена возможность управлять периодом неактивности процесса сквозной аутентификации.

Доработана утилита перешифрования (для шифрованного хранилища паролей). Новые возможности:

- указание пути к каталогу для хранения логов -L --log-dir;- ротация логов;- указание пути к PID-файлу с помощью параметра – pid-file.

Обновлено описание функциональности смены паролей без недоступности. В документации называется «Обеспечение ротации секретов ТУЗ». Ранее добавлена возможность при смене пароля технологической учетной записи на определенное настройками время (grace-период) подключаться к Pangolin как с использованием старого пароля, так с использованием нового пароля. Этот механизм позволяет осуществлять, например, автоматическую ротацию паролей ТУЗ, которые используют приложения, сохраняя их доступность и избегая автоматической блокировки, если где-то забыли поменять на клиенте.

Обновлены компоненты postgis до версии 3.4.2 и pgrouting до версии 3.6.1.

Новые инструменты и функции

Добавлено расширение pgcopydb – это open source инструмент, который автоматизирует копирование данных из одной базы в другую.

Неактуальные инструменты

Утилита pgcompacttable, ранее используемая для уменьшения размера раздутых таблиц и индексов без тяжёлых блокировок, объявлена неподдерживаемой и в следующем релизе будет удалена.

Обновления для безопасности

Реализованы новые функции:- возможность контроля целостности конфигурации и объектов баз данных;- атрибут «важность» для сообщений аудита;- маскирование анонимных PL/PgSQL запросов.

Доработана защита от привилегированных пользователей – появилась возможность управления действиями create_trigger, alter_trigger, create_rule и alter_rule над защищенными партицированными таблицами.

Исправлена уязвимость CVE-2024-0985.

Следующий минорный релиз СУБД Pangolin 6.3.0 намечен на конец июля 2024 года. В нем команда продукта планирует добавить поддержку свежих версий ОС, пилотную версию инструмента для подготовки тестовых сред и другие функции для повышения удобства работы администраторов и разработчиков СУБД.