Системные требования#

Необходимое программное обеспечение#

Ниже приведен список необходимого программного обеспечения (далее — ПО), которое обязательно или не обязательно для установки, настройки, контроля и функционирования продукта. Если в группе указано несколько альтернатив, то клиент может выбрать любой из вариантов, исходя из условий использования конечной информационной системы.

Тип

Наименование ПО и версия**

Обязательность (Да/Нет)*

Операционная система

Platform V SberLinux OS Server 8.8+

Да

ALT Linux 10.0

Red Hat Enterprise Linux 8.5

РЕД ОС 7.3

Microsoft Windows 10

Среда контейнеризации

Red Hat OpenShift 4.8

Да

Platform V DropApp 2.2.0+

Kubernetes 1.22.2

СУБД

PostgreSQL 11+

Да

TimescaleDB 2.9.2

Platform V Pangolin DB 5.3.2+

Сервис хранения данных метрик

VictoriaMetrics 1.52.0

Нет

Система сбора и хранения логов

Platform V Monitor 5.1.1

Нет

Elasticsearch 7.17

Apache Kafka 2.0+

Сервис интеграции и оркестрации микросервисов в облаке

Istio 2.0

Да

Platform V Synapse Service Mesh 4.3.1+

Web-сервер

Platform V SynGX 2.0

Да

NGINX 1.22.1

Браузер

Yandex Browser 19+

Да

SberBrowser 7.1

Google Chrome 107

Система защиты для Web-приложений

Platform V IAM SE 1.8.0+

Да

Keycloak 22.0.3

Система управления секретами

HashiCorp Vault 1.7.0

Нет

Secret Management System 1.13.0+

Инструмент CI/CD

Platform V DevOps Tools 1.9.1

Нет

Сервис аудита

Platform V Monitor 5.1.1

Нет

Система аутентификации и авторизации межсервисных взаимодействий (One-Time-Token).

Platform V Backend 4.5.44.0

Нет

Система визуализации данных

Kiali 1.24.3

Нет

Platform V Monitor 5.1.1

Grafana 10.1.9

Провайдер аутентификации

Platform V IAM SE 1.8.0+

Да

Примечание

* Да — ПО, необходимое для функционирования продукта, без которого не гарантирована работоспособность. Нет — ПО, необязательное для функционирования продукта, которое не влияет на работоспособность основных функций.

** Версия ПО, на которой гарантируется работоспособность. «+» после номера версии означает, что возможно использование версий выше до потери обратной совместимости.

Аппаратное обеспечение#

Примечание

Конфигурация может быть скорректирована по результатам проведения нагрузочного тестирования или опытной эксплуатации компонента.

Расчет потребности в физическом оборудовании происходит на основе коэффициентов переподписки (отношение требуемого количества виртуального ресурса к реальному количеству физического ресурса), применяемых к требованиям по виртуальным ресурсам для каждого из стендов.

Для установки Platform V Kintsugi (DBM) редакция Enterprise требуется следующая конфигурация аппаратного обеспечения. Характеристики (CPU, RAM, диски) указаны на один элемент развертывания:

Компонент

Название модуля

ПО среды функционирования

Количество

Список контейнеров

CPU, запрос / лимит (кол-во ядер)

RAM, запрос / лимит

Внутренние диски, запрос / лимит (ГБ)

Горизонтальное масштабирование

DBCM

AgentWay

Red Hat OpenShift (опционально Kubernetes или Platform V DropApp (K8S))

1 pod

AgentWay

0.25 / 0.5

256 Mi / 512 Mi

Да

fluentbit

0.25 / 0.5

256 Mi / 512 Mi

Да

istio-proxy

0.1 / 0.2

64 Mi / 128 Mi

Да

audit-proxy

Red Hat OpenShift (опционально Kubernetes или Platform V DropApp (K8S))

1 pod

audit-proxy

0.5 / 1

500 Mi / 1000 Mi

Да

fluentbit

0.25 / 0.5

256 Mi / 512 Mi

Да

istio-proxy

0.1 / 0.2

64 Mi / 128 Mi

Да

alerting

Red Hat OpenShift (опционально Kubernetes или Platform V DropApp (K8S))

1 pod

alerting

0.25 / 0.5

256 Mi / 512 Mi

Да

fluentbit

0.25 / 0.5

256 Mi / 512 Mi

Да

istio-proxy

0.1 / 0.2

64 Mi / 128 Mi

Да

backend

Red Hat OpenShift (опционально Kubernetes или Platform V DropApp (K8S))

2 pod

backend

0.25 / 0.5

256 Mi / 512 Mi

Да

fluentbit

0.25 / 0.5

256 Mi / 512 Mi

Да

istio-proxy

0.1 / 0.2

64 Mi / 128 Mi

Да

collector

Red Hat OpenShift (опционально Kubernetes или Platform V DropApp (K8S))

3 pod

collector

0.25 / 0.7

256 Mi / 4864 Mi

Да

fluentbit

0.25 / 0.5

256 Mi / 512 Mi

Да

istio-proxy

0.1 / 0.2

64 Mi / 128 Mi

Да

curator

Red Hat OpenShift (опционально Kubernetes или Platform V DropApp (K8S))

2 pod

curator

0.25 / 1

256 Mi / 512 Mi

Да

fluentbit

0.25 / 0.5

256 Mi / 512 Mi

Да

istio-proxy

0.1 / 0.2

64 Mi / 128 Mi

Да

dbperf

Red Hat OpenShift (опционально Kubernetes или Platform V DropApp (K8S))

30 pod

dbperf

0.25 / 2

500 Mi / Gi

Да

fluentbit

0.25 / 0.5

256 Mi / 512 Mi

Да

istio-proxy

0.1 / 0.2

64 Mi / 128 Mi

Да

inform

Red Hat OpenShift (опционально Kubernetes или Platform V DropApp (K8S))

1 pod

inform

0.5 / 2.5

256 Mi / 1 Gi

Нет

fluentbit

0.25 / 0.5

256 Mi / 512 Mi

Нет

istio-proxy

0.1 / 0.2

64 Mi / 128 Mi

Нет

istio-egressgateway

Red Hat OpenShift (опционально Kubernetes или Platform V DropApp (K8S))

1 pod

istio-proxy

0.1 / 0.2

256 Mi / 512 Mi

Да

fluentbit

0.25 / 0.5

256 Mi / 512 Mi

Да

istio-ingressgateway

Red Hat OpenShift (опционально Kubernetes или Platform V DropApp (K8S))

1 pod

istio-proxy

0.1 / 0.2

256 Mi / 512 Mi

Да

fluentbit

0.25 / 0.5

256 Mi / 512 Mi

Да

kmetrics

Red Hat OpenShift (опционально Kubernetes или Platform V DropApp (K8S))

1 pod

kmetrics

0.25 / 0.5

256 Mi / 1 Gi

Да

fluentbit

0.25 / 0.5

256 Mi / 512 Mi

Да

istio-proxy

0.1 / 0.2

64 Mi / 128 Mi

Да

mcwatch

Red Hat OpenShift (опционально Kubernetes или Platform V DropApp (K8S))

3 pod

mcwatch

0.25 / 0.25

256 Mi / 1792 Mi

Да

fluentbit

0.25 / 0.5

256 Mi / 512 Mi

Да

istio-proxy

0.1 / 0.2

64 Mi / 128 Mi

Да

piface

Red Hat OpenShift (опционально Kubernetes или Platform V DropApp (K8S))

1 pod

piface

0.25 / 0.5

256 Mi / 512 Mi

Да

fluentbit

0.25 / 0.5

256 Mi / 512 Mi

Да

istio-proxy

0.1 / 0.2

64 Mi / 128 Mi

Да

scheduler

Red Hat OpenShift (опционально Kubernetes или Platform V DropApp (K8S))

1 pod

scheduler

0.25 / 0.5

256 Mi / 1 Gi

Да

fluentbit

0.25 / 0.5

256 Mi / 512 Mi

Да

istio-proxy

0.1 / 0.2

64 Mi / 128 Mi

Да

tsdbmon

Red Hat OpenShift (опционально Kubernetes или Platform V DropApp (K8S))

3 pod

tsdbmon

0.5 / 0.5

1 Gi / 1536 Mi

Да

fluentbit

0.25 / 0.5

256 Mi / 512 Mi

Да

istio-proxy

0.1 / 0.2

64 Mi / 128 Mi

Да

DBDA

KgAgent

ALT Linux (опционально Red Hat Enterprise Linux, РЕД ОС или Platform V SberLinux OS Server)

1 pod

4

8 ГБ

Да

В среде Kubernetes/Platform V DropApp под требованиями к аппаратному обеспечению (CPU, RAM, диски) понимаются запросы – минимально необходимые ресурсы (requests), и лимиты – рекомендованные ресурсы (limit) CPU, memory и ephemeral-storage, которые Kubernetes предоставляет конкретному контейнеру.

При горизонтальном масштабировании компонента для подтверждения соответствия ожидаемым нефункциональным характеристикам, рекомендуется предварительно провести нагрузочное тестирование на целевой конфигурации конкретной инсталляции.

Рекомендуемые настройки безопасности окружения#

Общие указания#

Для реализации функций безопасности среды функционирования Platform V Kintsugi рекомендуется обеспечить выполнение следующих условий:

  • регулярное обновление всех сред функционирования Platform V Kintsugi до актуальных версий с применением всех необходимых патчей безопасности с официальных сайтов разработчиков сред функционирования или принятие организационных и технических мер для минимизации риска эксплуатации уязвимостей;

  • предотвращение несанкционированного доступа к идентификаторам и паролям администраторов среды виртуализации, которые необходимы для управления и технической поддержки среды функционирования Platform V Kintsugi;

  • установка, конфигурирование и управление Platform V Kintsugi выполняются в соответствии с эксплуатационной документацией;

  • предотвращение несанкционированного доступа к идентификаторам и паролям пользователей Platform V Kintsugi.

Kubernetes/Platform V DropApp#

Ниже приведен рекомендуемый (необязательный) список требований безопасности к среде исполнения приложений Kubernetes/Platform V DropApp:

  • обеспечьте установку обновлений безопасности для элементов среды исполнения;

  • обеспечьте регулярную синхронизацию времени от доверенных источников;

  • отключите или удалите все неиспользуемые и ненужные пакеты, модули, сервисы и протоколы;

  • измените, переименуйте или заблокируйте все встроенные учетные записи, включая учетную запись локального администратора (суперпользователя);

  • обеспечьте разграничение доступа учетных записей пользователей и технологических учетных записей в соответствии с ролевой моделью доступа;

  • включите и настройте механизм шифрования административного доступа;

  • контролируйте и ограничивайте вызов компонентов в целях предотвращения атак типа «отказ в обслуживании» — DoS/DDoS prevention;

  • контролируйте использование компонентами технических ресурсов, чтобы обеспечить непрерывное функционирование среды исполнения;

  • защищайте используемые в средах исполнения секреты от компрометации, модификации и удаления;

  • используйте инструмент для безопасного хранения и доступа к различным секретам (пароли, токены и сертификаты);

  • обеспечьте поведенческий анализ с целью выявления несанкционированного доступа, превышения полномочий, наличия недекларированных возможностей путем анализа запущенных процессов: взаимодействие, использование портов, ресурсов файловой системы;

  • для обеспечения аутентифицированного доступа к Platform V Kintsugi и шифрования передаваемых данных, настройте TLS v1.2 (версия не должна быть ниже) на ingress и egress средствами Kubernetes/Platform V DropApp.

Примечание

Исполнение требований безопасности к среде исполнения приложений Kubernetes/Platform V DropApp остается на усмотрение администраторов среды функционирования.

Поддерживаемой системой приложений-контейнеров является Kubernetes/Platform V DropApp (использование Red Hat OpenShift опционально), в инструкциях по настройке, в именах переменных и параметрах системы могут встречаться названия систем контейнеризации, которые одинаковы и применимы для всех текущих сред контейнеризации.