Системные требования#
Настройки безопасности окружения и перечень платформенных (дополнительных внешних) продуктов, используемых для установки, настройки и контроля в конечной информационной системе (далее — ИС), выбираются клиентом при разработке конечной ИС, исходя из характера обрабатываемой в ней информации и иных требований информационной безопасности (далее — ИБ), предъявляемых к ней.
Системное программное обеспечение#
Ниже представлены категории системного программного обеспечения (далее — ПО), которые обязательны или опциональны для установки, настройки, контроля и функционирования компонента. В каждой категории перечислены все поддерживаемые продукты сторонних правообладателей. Отдельно обозначены варианты, которые рекомендует АО «СберТех» (маркировка «Рекомендовано» в столбце «Продукт, функциональная совместимость с которым подтверждена»). Клиенту необходимо выбрать один из продуктов в каждой категории, исходя из условий использования конечной ИС.
Категория ПО |
Обязательность установки (да/нет) |
Наименование ПО |
Версия |
Продукт, функциональная совместимость с которым подтверждена |
Назначение категории ПО |
|---|---|---|---|---|---|
Операционная система |
Да |
ОС Альт 8 СП |
10.0 и выше |
Рекомендовано. Правообладателем АО «СберТех» также рекомендована ОС – Platform V SberLinux OS Server, см. раздел «Платформенные зависимости» |
ОС контейнеров для запуска модулей компонента |
Red Hat Enterprise Linux |
7.9.9 и выше |
Опционально |
|||
Система оркестрации контейнеризированными приложениями |
Да |
1.25 и выше |
Рекомендовано. Правообладателем АО «СберТех» также рекомендована среда контейнеризации – Platform V DropApp, см. раздел «Платформенные зависимости» |
Платформа контейнеризации для запуска компонентов сервиса |
|
Red Hat OpenShift |
4.2 и выше |
Опционально |
|||
Java-машина |
Да |
17 и выше |
Рекомендовано |
Окружение для работы модулей компонента |
|
OracleJDK |
17 и выше |
Опционально |
|||
Система управления базами данных (СУБД) |
Да |
13.8 и выше |
Рекомендовано. Правообладателем АО «СберТех» также рекомендована СУБД, основанная на PostgreSQL, — Platform V Pangolin SE, см. раздел «Платформенные зависимости» |
ПО, взаимодействующее с конечными пользователями, приложениями и базой данных для сбора и анализа данных |
|
Сервис интеграции и оркестрации микросервисов в облаке |
Нет |
1.12 и выше |
Рекомендовано. Правообладателем АО «СберТех» также рекомендован сервис интеграции и оркестрации микросервисов в облаке, основанный на Istio, — Platform V Synapse Service Mesh, см. раздел «Платформенные зависимости» |
Сервис интеграции микросервисов в облаке |
|
Брокер сообщений |
Нет |
2.7.0 и выше |
Рекомендовано. Правообладателем АО «СберТех» также рекомендован брокер сообщений, основанный на Kafka, – Platform V Corax, см. раздел «Платформенные зависимости» |
Событийный обмен сообщениями между модулями компонента |
|
Система управления секретами |
Нет |
HashiCorp Vault |
1.7.0 и выше |
Опционально |
Система управления аутентификационными данными сервисных аккаунтов или учетных записей |
Нет |
Secret Management System |
1.7.0 и выше |
Опционально |
Система управления аутентификационными данными сервисных аккаунтов или учетных записей |
|
Нет |
External Secrets Operator |
01.003.01 |
Опционально |
Система управления аутентификационными данными сервисных аккаунтов или учетных записей |
|
Web-сервер |
Нет |
Nginx |
1.22.1 и выше |
Рекомендовано |
Веб-сервер для раздачи статического контента |
Примечание:
*
Да — категория ПО обязательна для функционирования сервиса (это означает, что сервис не может выполнять свои базовые функции без установки данной категории ПО).
Нет — категория ПО необязательна для функционирования сервиса (это означает, что сервис может выполнять свои базовые функции без установки данной категории ПО).
**
Рекомендовано — рекомендованный правообладателем АО «СберТех» продукт.
Опционально — альтернативный по отношению к рекомендованному правообладателем АО «СберТех» продукт.
Платформенные зависимости#
Для настройки, контроля и функционирования компонента реализована интеграция с программными продуктами, правообладателем которых является АО «СберТех»:
Наименование продукта |
Код |
Версия продукта |
Код и наименование компонента |
Обязательность установки (да/нет) |
Описание |
Аналог других производителей |
|---|---|---|---|---|---|---|
Platform V SberLinux OS Server |
SLO |
8.8.0 |
INST Операционная система |
Да |
ОС контейнеров для запуска модулей компонента (только базовые образы) |
ОС Альт 8 СП, Red Hat Enterprise Linux |
Platform V Audit SE |
AUD |
2.3.0 и выше |
AUDT Аудит |
Нет |
Сервис для аудирования событий |
Сервис успешно прошел испытания и подтвердил свою работоспособность с компонентом AUDT. С аналогами других производителей не тестировался |
Platform V Monitor |
OPM |
5.1.3 — для K8S, 5.0.0 — для OS |
LOGA Журналирование |
Нет |
Сервис для хранения лог-файлов |
Любой сервис сбора записей о событиях, совместимый с fluent-bit, например: Elasticsearch, InfluxDB |
MONA Объединенный мониторинг Unimon |
Нет |
Сервис для сбора прикладных и инфраструктурных метрик и отправки их в целевую систему хранения |
Prometheus |
|||
Platform V Pangolin SE |
PSQ |
6.2.0 |
PSQL Pangolin |
Да |
Система управления базами данных, основанная на PostgreSQL |
PostgreSQL 13.8 и выше |
Platform V DevOps Tools |
DOT |
1.7.0 |
CDJE Deploy Tools |
Нет |
Сервис для развертывания и обновления компонентов Платформы и приложений потребителей, для настройки и обслуживания инфраструктуры Платформы. Рекомендуемая версия Pipeline Deploy 1.04 |
Ручное развертывание |
Platform V Synapse Service Mesh |
SSM |
3.9.6 и выше — для K8S, 3.2.0 — для OS |
POLM Управление политиками |
Нет |
Панель управления с открытым исходным кодом, служащая для взаимодействия, мониторинга и обеспечения безопасности контейнеров в система оркестрации контейнерами Kubernetes |
Istio control plane 1.12 |
IGEG Граничный прокси |
Нет |
Прокси для защиты прикладных сервисов от несанкционированного доступа |
Envoy sidecar |
|||
Platform V Synapse Enterprise Integration |
SEI |
3.6.0 и выше |
SRLS Synapse Rate Limiter Service |
Нет |
Сервис для ограничения прикладной нагрузки (payload) со стороны потребителя на защищаемые сервисы |
Сервис успешно прошел испытания и подтвердил свою работоспособность с компонентом SRLS. С аналогами производителей не тестировался |
Platform V IAM SE |
IAM |
1.3.0 и выше |
AUTH IAM Proxy |
Нет |
Сервис для проксирования web-запросов и выполнения функций аутентификации вызывающей стороны (пользователя) |
Любой OIDC провайдер |
Platform V Backend PCI DSS |
#BH |
4.2.0 |
AUTX Сервис аутентификации и авторизации (СПАС) |
Нет |
Сервис для авторизации пользователей |
Сервис успешно прошел испытания и подтвердил свою работоспособность с компонентом AUTZ. С аналогами других производителей не тестировался |
Platform V Corax |
KFK |
5.1.7 и выше |
KFKA Corax |
Нет |
Программный брокер сообщений, представляющий собой распределенную, отказоустойчивую, реплицированную и легко масштабируемую систему передачи сообщений, рассчитанную на высокую пропускную способность |
Kafka 2.7.0 |
Platform V Backend |
#BD |
4.5.21.0 и выше |
OTTS One-Time Password (OTP) / OTT |
Нет |
Сервис для аутентификации и авторизации межсервисных взаимодействий |
Сервис успешно прошел испытания и подтвердил свою работоспособность с компонентом OTTS. С аналогами других производителей не тестировался |
APLJ Прикладной журнал |
Нет |
Сервис для обеспечения отказоустойчивости приложения на уровне базы данных |
Сервис успешно прошел испытания и подтвердил свою работоспособность с компонентом APLJ. С аналогами других производителей не тестировался |
|||
AUTZ Объединенный сервис авторизации (ОСА) |
Нет |
Сервис для авторизации доступа пользователей на основе проверки ролей пользователей, наличия прав доступа и анализа правил атрибутов объектов и субъектов доступа |
Любой OIDC провайдер |
|||
Platform V DropApp |
K8S |
1.4.0 |
K8SC K8S Core |
Да |
Дистрибутив Kubernetes со встроенными механизмами мультитенантности и бессерверным исполнением |
Kubernetes, OpenShift |
Platform V SynGX |
SNX |
2.2.3 |
SNGX Веб-сервер и обратный прокси-сервер SynGX |
Да |
Веб-сервер и обратный прокси-сервер, почтовый прокси-сервер и общий прокси-сервер TCP / UPD, работающий на Unix-подобных операционных системах |
Nginx |
Примечание:
***
Да — компонент или продукт необходим для функционирования сервиса (это означает, что сервис не может выполнять свои базовые функции без установки данного компонента).
Нет — необязательный для функционирования сервиса компонент или продукт (это означает, что сервис может выполнять свои базовые функции без установки данного компонента).
**** Рекомендуется установка программного продукта, правообладателем которого является АО «СберТех», при этом не исключена возможность (допускается правообладателем) использования аналога других производителей. Аналоги, в отношении которых продукт успешно прошел испытания и подтвердил свою работоспособность, указаны в разделе «Системное программное обеспечение».
Аппаратные требования#
Расчет потребности в физическом оборудовании происходит на основе коэффициентов повторной подписки, применяемых к требованиям по виртуальным ресурсам для каждого из стендов.
Для установки продукта требуется следующая конфигурация аппаратного обеспечения:
Наименование модуля |
ПО среды функционирования |
Количество |
Список контейнеров |
CPU |
ОЗУ, Мбайт |
Внутренние диски, Гбайт |
Горизонтальное масштабирование |
|---|---|---|---|---|---|---|---|
tasks-server |
Kubernetes/Platform V DropApp (опционально OpenShift) |
1 pod |
tasks-server |
1,0 |
1024 |
— |
да |
istio-proxy |
1,1 |
512 |
— |
да |
|||
logger-tasks-forwarder-sidecar |
0,1 |
600 |
— |
да |
|||
tasks-worker |
Kubernetes/Platform V DropApp (опционально OpenShift) |
1 pod |
tasks-worker |
1,0 |
1024 |
— |
да |
istio-proxy |
1,1 |
512 |
— |
да |
|||
logger-tasks-forwarder-sidecar |
0,1 |
600 |
— |
да |
|||
tasks-journal-applier |
Kubernetes/Platform V DropApp (опционально OpenShift) |
1 pod |
tasks-journal-applier |
1,0 |
1024 |
— |
нет |
istio-proxy |
1,1 |
512 |
— |
нет |
|||
logger-tasks-forwarder-sidecar |
0,1 |
600 |
— |
нет |
|||
tasks-gc |
Kubernetes/Platform V DropApp (опционально OpenShift) |
1 pod |
tasks-gc |
1,0 |
1024 |
— |
нет |
istio-proxy |
1,1 |
512 |
— |
нет |
|||
logger-tasks-forwarder-sidecar |
0,1 |
600 |
— |
нет |
|||
task-egressgateway |
Kubernetes/Platform V DropApp (опционально OpenShift) |
1 pod |
ott-sidecar |
0,3 |
500 |
— |
да |
istio-proxy |
0,6 |
900 |
— |
да |
|||
vault-agent |
0,1 |
128 |
— |
да |
|||
task-ingressgateway |
Kubernetes/Platform V DropApp (опционально OpenShift) |
1 pod |
ott-sidecar |
0,3 |
500 |
— |
да |
istio-proxy |
0,9 |
700 |
— |
да |
|||
vault-agent |
0,1 |
128 |
— |
да |
|||
scheduler-dispatcher |
Kubernetes/Platform V DropApp (опционально OpenShift) |
1 pod |
istio-proxy |
0,55 |
512 |
— |
да |
scheduler-dispatcher |
1,0 |
1024 |
— |
да |
|||
logger-scheduler-forwarder-sidecar |
0,3 |
600 |
— |
да |
|||
scheduler-server |
Kubernetes/Platform V DropApp (опционально OpenShift) |
1 pod |
scheduler-server |
1,0 |
1024 |
— |
да |
logger-scheduler-forwarder-sidecar |
0,1 |
600 |
— |
да |
|||
istio-proxy |
0,55 |
512 |
— |
да |
|||
scheduler-journal-applier |
Kubernetes/Platform V DropApp (опционально OpenShift) |
1 pod |
scheduler-journal-applier |
1,0 |
1024 |
— |
нет |
logger-scheduler-forwarder-sidecar |
0,1 |
600 |
— |
нет |
|||
istio-proxy |
0,55 |
512 |
— |
нет |
|||
scheduler-gc |
Kubernetes/Platform V DropApp (опционально OpenShift) |
1 pod |
scheduler-gc |
1,0 |
1024 |
— |
нет |
logger-scheduler-forwarder-sidecar |
0,1 |
600 |
— |
нет |
|||
istio-proxy |
0,55 |
512 |
— |
нет |
|||
scheduler-egressgateway |
Kubernetes/Platform V DropApp (опционально OpenShift) |
1 pod |
istio-proxy |
0,3 |
900 |
— |
да |
ott-sidecar |
0,3 |
500 |
— |
да |
|||
vault-agent |
0,1 |
128 |
— |
да |
|||
scheduler-ingressgateway |
Kubernetes/Platform V DropApp (опционально OpenShift) |
1 pod |
istio-proxy |
0,3 |
900 |
— |
да |
ott-sidecar |
0,3 |
500 |
— |
да |
|||
vault-agent |
0,1 |
128 |
— |
да |
|||
batch-ui-egressgateway |
Kubernetes/Platform V DropApp (опционально OpenShift) |
1 pod |
istio-proxy |
0,3 |
900 |
— |
да |
ott-sidecar |
0,3 |
500 |
— |
да |
|||
vault-agent |
0,1 |
128 |
— |
да |
|||
batch-ui-ingressgateway |
Kubernetes/Platform V DropApp (опционально OpenShift) |
1 pod |
istio-proxy |
0,3 |
900 |
— |
да |
vault-agent |
0,1 |
128 |
— |
да |
|||
batch-ui |
Kubernetes/Platform V DropApp (опционально OpenShift) |
1 pod |
batch-ui |
0,4 |
500 |
— |
да |
istio-proxy |
0,5 |
512 |
— |
да |
|||
batch-ui-backend |
Kubernetes/Platform V DropApp (опционально OpenShift) |
1 pod |
batch-ui-backend |
0,4 |
600 |
— |
да |
logger-ui-forwarder-sidecar |
0,4 |
600 |
— |
да |
|||
istio-proxy |
0,5 |
512 |
— |
да |
|||
unimon-agent |
Kubernetes/Platform V DropApp (опционально OpenShift) |
3 pod |
unimon-agent |
0,5 |
1000 |
— |
нет |
istio-proxy |
0,3 |
512 |
— |
нет |
|||
logger-forwarder-sidecar |
0,2 |
200 |
— |
нет |
|||
unimon-sender |
Kubernetes/Platform V DropApp (опционально OpenShift) |
3 pod |
unimon-sender |
0,5 |
1500 |
— |
нет |
istio-proxy |
0,3 |
256 |
— |
нет |
|||
logger-forwarder-sidecar |
0,2 |
200 |
— |
нет |
|||
— |
Platform V Pangolin SE (опционально PostgreSQL) |
2 VM |
— |
4 |
16 |
1000 |
нет |
При горизонтальном масштабировании продукта для подтверждения соответствия ожидаемым нефункциональным характеристикам, рекомендуется предварительно провести нагрузочное тестирование на целевой конфигурации конкретной инсталляции.
Браузеры#
Установка того или иного браузера из таблицы ниже обязательна только в случае использования UI компонента Batch Scheduler. Отдельно обозначены варианты, которые рекомендует АО «СберТех» (маркировка «Рекомендовано» в столбце «Продукт, функциональная совместимость с которым подтверждена»).
Браузер |
Версия |
Продукт, функциональная совместимость с которым подтверждена |
|---|---|---|
SberBrowser |
3.1.0.0 и выше (для любых ОС) |
Рекомендовано |
Яндекс Браузер |
20.8.2 (для любых ОС) |
Рекомендовано |
Google Chrome |
104.0.5112 (для ОС Unix), 86.0.4240 (для ОС Windows) |
Опционально |
Mozilla Firefox |
98.0.0.0 (для ОС Unix), 78.7.0 (для ОС Windows) |
Опционально |
Примечание:
****
Минимальная версия, на которой гарантируется работоспособность.
*****
Рекомендовано — рекомендованный правообладателем АО «СберТех» продукт.
Опционально — альтернативный по отношению к рекомендованному правообладателем АО «СберТех» продукт.
Образы#
Компонент |
Версия |
Система оркестрации |
Актуальные образы sidecar |
|---|---|---|---|
ott |
5.21.0 |
K8S, OpenShift |
ott-sidecar@sha256:7b0da84b8f35d05f1c32f5cb8644f7cab54618da746be47955f7772f6acf2afc |
istio_sy |
3.9.7 |
K8S |
proxyv2@sha256:0423efe8556791115029d8026849ef5af869c371e9276882b2bed2eb2f618e02 |
istio |
2.0.6 |
OpenShift |
proxyv2@sha256:f9c01f40cb0ea0cf88a94ff21c1246491fdf42b935b40db7f619c71b1fe76587 |
logger sidecar |
5.1.51 |
K8S, OpenShift |
fluent-bit@sha256:2e430ac283dc6d09a5cc2de5eb49b3da42696bd71c272dbe4b4806c66e9e29ec |