Системные требования#
Настройки безопасности окружения и перечень платформенных (дополнительных внешних) продуктов, используемых для установки, настройки и контроля в конечной информационной системе (далее — ИС), выбираются клиентом при разработке конечной ИС, исходя из характера обрабатываемой в ней информации и иных требований информационной безопасности (далее — ИБ), предъявляемых к ней.
Системное программное обеспечение#
Ниже представлены категории системного программного обеспечения (далее — ПО), которые обязательны или опциональны для установки, настройки, контроля и функционирования компонента. В каждой категории перечислены все поддерживаемые продукты сторонних правообладателей. Отдельно обозначены варианты, которые рекомендует АО «СберТех» (маркировка «Рекомендовано» в столбце «Продукт, функциональная совместимость с которым подтверждена»). Клиенту необходимо выбрать один из продуктов в каждой категории, исходя из условий использования конечной ИС.
Категория ПО |
Обязательность установки |
Наименование ПО |
Версия |
Продукт, функциональная совместимость с которым подтверждена |
Назначение категории ПО |
|---|---|---|---|---|---|
Операционная система |
Да |
ALT Linux |
9 |
Рекомендовано. Правообладателем АО «СберТех» также рекомендована операционная система Platform V SberLinux OS Server, см. раздел «Платформенные зависимости» |
ОС контейнеров для запуска модулей компонента |
Red Hat Enterprise Linux |
Опционально. Правообладателем АО «СберТех» также рекомендована операционная система Platform V SberLinux OS Server, см. раздел «Платформенные зависимости» |
||||
Среда контейнеризации |
Да |
1.21.0 |
Рекомендовано |
Платформа контейнеризации для запуска компонентов сервиса |
|
Red Hat OpenShift |
4.6.28 и выше |
Опционально |
|||
Инструмент сборки, тестирования, развертывания контейнеризированных приложений |
Да |
- |
Рекомендовано |
Сервер автоматизации, используемый для внедрения непрерывной интеграции и непрерывной доставки (CI/CD) для проектов программного обеспечения |
|
Java-машина |
Да |
1.8, 1.11 |
Рекомендовано |
Окружение для работы модулей компонента |
|
OracleJDK |
- |
Опционально |
|||
Инструмент управления проектом |
Да |
- |
Рекомендовано |
Фреймворк для автоматизации сборки проектов на основе описания их структуры в файлах на языке POM |
|
Сервис централизованного хранения репозиториев артефактов (хранилище артефактов) |
Да |
2.15.1 |
Рекомендовано |
Интегрированная платформа для проксирования, хранения и управления зависимостями Java (Maven), образами, а также распространения ПО |
|
Сервис централизованного хранения репозиториев исходного кода |
Да |
15.0 |
Рекомендовано |
Хранение конфигураций при автоматизированной установке |
|
Bitbucket |
- |
Опционально |
|||
Сервис интеграции и оркестрации микросервисов в облаке |
Да |
- |
Рекомендовано. Правообладателем АО «СберТех» также рекомендован сервис интеграции и оркестрации микросервисов в облаке, основанный на Istio, – Platform V Synapse Service Mesh, см. раздел «Платформенные зависимости» |
Сервис интеграции микросервисов в облаке |
|
Система управления секретами |
Нет |
Secret Management System |
1.7.0 |
Рекомендовано |
Система управления аутентификационными данными сервисных аккаунтов или учетных записей |
Примечание:
*
Да — категория ПО обязательна для функционирования сервиса (это означает, что сервис не может выполнять свои основные функции без установки данной категории ПО).
Нет — категория ПО необязательна для функционирования сервиса (это означает, что сервис может выполнять свои основные функции без установки данной категории ПО).
**
Рекомендовано — рекомендованный правообладателем АО «СберТех» продукт.
Опционально — альтернативный по отношению к рекомендованному правообладателем АО «СберТех» продукт.
Платформенные зависимости#
Для настройки, контроля и функционирования компонента реализована интеграция с программными продуктами, правообладателем которых является АО «СберТех»:
Наименование продукта |
Код |
Версия продукта |
Код и наименование компонента |
Обязательность установки |
Описание |
|---|---|---|---|---|---|
Platform V DevOps Tools |
DOT |
1.4.5 |
CDJE Deploy tools |
Нет |
Сервис для развертывания и обновления компонентов Платформы и приложений потребителей, для настройки и обслуживания инфраструктуры Платформы |
Platform V Synapse Service Mesh |
SSM |
3.9 |
POLM Управление политиками |
Нет |
Панель управления с открытым исходным кодом, служащая для взаимодействия, мониторинга и обеспечения безопасности контейнеров в среде контейнеризации Kubernetes. Аналог других производителей RedHat OpenShift ServiceMesh – 2.0.6 |
IGEG Граничный прокси |
Нет |
Сервис для обеспечения управляемого вызова интеграционных сервисов прикладной части. Аналог других производителей RedHat OpenShift ServiceMesh – 2.0.6 |
|||
VALD - Валидатор конфигураций Service Mesh |
Нет |
Сервис предназначен для валидации новых и уже существующих конфигурационных файлов на соответствие актуальным требованиям |
|||
Platform V Corax |
KFK |
8.340.1 |
KFKA Kafka Sber Edition |
Да |
Программный брокер сообщений, представляющий собой распределенную, отказоустойчивую, реплицированную и легко масштабируемую систему передачи сообщений, рассчитанную на высокую пропускную способность |
Platform V Backend |
#BD |
4.3 или выше |
CFGA PACMAN |
Нет |
Сервис обеспечивает хранение, управление и предоставление по запросу параметров конфигурации библиотек, сервисов Платформы и прикладных приложений, разработанных на Платформе |
Platform V Backend |
#BD |
4.3 или выше |
OTTS One-Time Password (OTP) / OTT |
Нет |
Сервис для аутентификации и авторизации межсервисных взаимодействий (рекомендуется использовать ott-client-api 4.2.15) |
Platform V SberLinux OS Server |
SLO |
8.7 или выше |
INST Операционная система |
Нет |
ОС контейнеров для запуска модулей компонента |
Platform V DropApp |
K8S |
1.0 или выше |
K8SC Core |
Нет |
Дистрибутив Kubernetes со встроенными механизмами мультитенантности и бессерверным исполнением |
Примечание:
***
Да — компонент или продукт необходим для функционирования сервиса (это означает, что сервис не может выполнять свои основные функции без установки данного компонента).
Нет — необязательный для функционирования сервиса компонент или продукт (это означает, что сервис может выполнять свои основные функции без установки данного компонента).
**** Рекомендуется установка программного продукта, правообладателем которого является АО «СберТех», при этом не исключена возможность (допускается правообладателем) использования аналога других производителей. Аналоги, в отношении которых продукт успешно прошел испытания и подтвердил свою работоспособность, указаны в разделе «Системное программное обеспечение».
При установке Unimon в Kubernetes рекомендовано использовать control-plane istio версии 1.12.1.4.
У компонента реализована интеграция со следующими компонентами из состава продукта:
Наименование компонента |
Код |
Описание |
|---|---|---|
Журналирование |
LOGA |
Сервис для хранения лог-файлов |
Indicator |
INDA |
UI компонента. Также сервис используется для отображения дашбородов системного и бизнес-мониторинга |
Образы контейнеров#
Поддерживаемые образы контейнеров сервисов компонента:
На базе Red Hat Enterprise Linux: openjdk/openjdk-11-rhel8:1.0-8
На базе Platform V SberLinux OS Server: openjdk-11-runtime:8.8-172, container-8-ubi-sbt:8.8-172
Образы sidecar для прикладных pods
proxyv2 (envoy), предоставляемый компонентом Граничный прокси (IGEG) в составе Platform V Synapse Service Mesh (SSM)
На базе ALT Linux: версия 1.12.1.2
На базе Red Hat Enterprise Linux (опционально): версия istio-release-1.6.14-se-release-1.2.2
Образ FluentBit для сборки и отправки логов, предоставляемый компонентом Журналирование (LOGA) в составе Platform V Monitor (OPM). Версия fluent-bit:D-5.1.0-1086
HashiCorp Vault Agent с поддержкой инструмента kubectl (опционально)
Образы для использования на ingress/egress
Клиент OTT, предоставляемый Platform V One-Time-Token (OTT) (опционально)
Аппаратные требования#
На данном этапе отдельное исследование по сайзингу не проведено. Заключение подготовлено на основе данных полученных на НТ.
По умолчанию задаются квоты:
Артефакт |
cpuLimit (mcore) |
memLimit (МБ) |
Максимально единиц |
|---|---|---|---|
unimon-sender |
700 |
1500 |
3 |
unimon-agent |
500 |
1000 |
1 |
loger |
200 |
200 |
4 |
istio (agent) |
300 |
512 |
1 |
istio (sender) |
300 |
256 |
3 |
Итого: |
4600 |
7600 |
Предусловия:
Под метрикой понимается уникальное сочетание наименования и набора значений меток (labels) за интервал сбора.
Например, метрики ниже будут считаться в таблице сайзинга как разные, т.к. несмотря на одинаковое наименование у них разные значения метки le.
http_server_request {method="get",le="0.005"} 0.0
http_server_request {method="get",le="0.1"} 1.0
1 HTTP endpoint публикует 1200 метрик за интервал (по умолчанию 15 сек).
Cайзинг unimon-server не предоставляется.
Не учитываются ресурсы на Egress, Ingress (нужен только для серверной части).
