Системные требования#
Настройки безопасности окружения и перечень платформенных (дополнительных внешних) продуктов, используемых для установки, настройки и контроля в конечной информационной системе (далее — ИС), выбираются клиентом при разработке конечной ИС, исходя из характера обрабатываемой в ней информации и иных требований информационной безопасности (далее — ИБ), предъявляемых к ней.
Системное программное обеспечение#
Ниже представлены категории системного программного обеспечения (далее — ПО), которые обязательны или опциональны для установки, настройки, контроля и функционирования компонента. В каждой категории перечислены все поддерживаемые продукты сторонних правообладателей. Отдельно обозначены варианты, которые рекомендует АО «СберТех» (маркировка «Рекомендовано» в столбце «Продукт, функциональная совместимость с которым подтверждена»). Клиенту необходимо выбрать один из продуктов в каждой категории, исходя из условий использования конечной ИС.
Категория ПО |
Обязательность установки |
Наименование ПО |
Версия |
Продукт, функциональная совместимость с которым подтверждена |
Назначение категории ПО |
|---|---|---|---|---|---|
Операционная система |
Да |
ALT Linux |
9 |
Рекомендовано. Правообладателем АО «СберТех» также рекомендована операционная система Platform V SberLinux OS Server, см. раздел «Платформенные зависимости» |
ОС контейнеров для запуска модулей компонента |
Red Hat Enterprise Linux |
Опционально. Правообладателем АО «СберТех» также рекомендована операционная система Platform V SberLinux OS Server, см. раздел «Платформенные зависимости» |
||||
Среда контейнеризации |
Да |
1.21.0 |
Рекомендовано |
Платформа контейнеризации для запуска компонентов сервиса |
|
Red Hat OpenShift |
4.6.28 и выше |
Опционально |
|||
Инструмент сборки, тестирования, развертывания контейнеризированных приложений |
Да |
- |
Рекомендовано |
Сервер автоматизации, используемый для внедрения непрерывной интеграции и непрерывной доставки (CI/CD) для проектов программного обеспечения |
|
Java-машина |
Да |
1.8, 1.11 |
Рекомендовано |
Окружение для работы модулей компонента |
|
OracleJDK |
- |
Опционально |
|||
Инструмент управления проектом |
Да |
- |
Рекомендовано |
Фреймворк для автоматизации сборки проектов на основе описания их структуры в файлах на языке POM |
|
Сервис централизованного хранения репозиториев артефактов (хранилище артефактов) |
Да |
2.15.1 |
Рекомендовано |
Интегрированная платформа для проксирования, хранения и управления зависимостями Java (Maven), образами, а также распространения ПО |
|
Сервис централизованного хранения репозиториев исходного кода |
Да |
15.0 |
Рекомендовано |
Хранение конфигураций при автоматизированной установке |
|
Bitbucket |
- |
Опционально |
|||
Сервис интеграции и оркестрации микросервисов в облаке |
Да |
- |
Рекомендовано. Правообладателем АО «СберТех» также рекомендован сервис интеграции и оркестрации микросервисов в облаке, основанный на Istio, – Platform V Synapse Service Mesh, см. раздел «Платформенные зависимости» |
Сервис интеграции микросервисов в облаке |
|
Система управления секретами |
Нет |
Secret Management System |
1.7.0 |
Рекомендовано |
Система управления аутентификационными данными сервисных аккаунтов или учетных записей |
Примечание:
*
Да — категория ПО обязательна для функционирования сервиса (это означает, что сервис не может выполнять свои основные функции без установки данной категории ПО).
Нет — категория ПО необязательна для функционирования сервиса (это означает, что сервис может выполнять свои основные функции без установки данной категории ПО).
**
Рекомендовано — рекомендованный правообладателем АО «СберТех» продукт.
Опционально — альтернативный по отношению к рекомендованному правообладателем АО «СберТех» продукт.
Платформенные зависимости#
Для настройки, контроля и функционирования компонента реализована интеграция с программными продуктами, правообладателем которых является АО «СберТех»:
Наименование продукта |
Код |
Версия продукта |
Код и наименование компонента |
Обязательность установки |
Описание |
|---|---|---|---|---|---|
Platform V Audit SE |
AUD |
2.3 или выше |
AUDT Аудит |
Нет |
Сервис для аудирования событий |
Platform V IAM SE |
IAM |
1.3 или выше |
AUTH IAM Proxy |
Да |
Сервис выполняет функции аутентификации/авторизации запросов и реализует Policy Enforcement Point (PEP). Взаимодействует с KCSE/AUTZ или другими провайдерами аутентификации/авторизации |
KCSE KeyCloak.SE |
Да |
IDP – провайдер, выполняющий функции управления доступа пользователей/клиентов (приложений), а также функции аутентификации/авторизации с помощью различных протоколов, таких как OAuth2.0, OIDC, SCIM |
|||
Platform V DevOps Tools |
DOT |
1.4.5 |
CDJE Deploy tools |
Нет |
Сервис для развертывания и обновления компонентов Платформы и приложений потребителей, для настройки и обслуживания инфраструктуры Платформы |
Platform V Synapse Service Mesh |
SSM |
3.9 |
POLM Управление политиками |
Нет |
Панель управления с открытым исходным кодом, служащая для взаимодействия, мониторинга и обеспечения безопасности контейнеров в среде контейнеризации Kubernetes. Аналог других производителей RedHat OpenShift ServiceMesh – 2.0.6 |
IGEG Граничный прокси |
Нет |
Сервис для обеспечения управляемого вызова интеграционных сервисов прикладной части. Аналог других производителей RedHat OpenShift ServiceMesh – 2.0.6 |
|||
VALD - Валидатор конфигураций Service Mesh |
Нет |
Сервис предназначен для валидации новых и уже существующих конфигурационных файлов на соответствие актуальным требованиям |
|||
Platform V Corax |
KFK |
8.340.1 |
KFKA Kafka Sber Edition |
Да |
Программный брокер сообщений, представляющий собой распределенную, отказоустойчивую, реплицированную и легко масштабируемую систему передачи сообщений, рассчитанную на высокую пропускную способность |
Platform V Backend |
#BD |
4.3 или выше |
CFGA PACMAN |
Нет |
Сервис обеспечивает хранение, управление и предоставление по запросу параметров конфигурации библиотек, сервисов Платформы и прикладных приложений, разработанных на Платформе |
Platform V Backend |
#BD |
4.3 или выше |
OTTS One-Time Password (OTP) / OTT |
Нет |
Сервис для аутентификации и авторизации межсервисных взаимодействий (рекомендуется использовать ott-client-api 4.2.15) |
Platform V Pangolin SE |
PSQ |
5.1.0 или выше |
PSQL Platform V Pangolin |
Да |
Система управления базами данных, основанная на PostgreSQL |
Platform V SberLinux OS Server |
SLO |
8.7 или выше |
INST Операционная система |
Нет |
ОС контейнеров для запуска модулей компонента |
Platform V DropApp |
K8S |
1.0 или выше |
K8SC Core |
Нет |
Дистрибутив Kubernetes со встроенными механизмами мультитенантности и бессерверным исполнением |
Примечание:
***
Да — компонент или продукт необходим для функционирования сервиса (это означает, что сервис не может выполнять свои основные функции без установки данного компонента).
Нет — необязательный для функционирования сервиса компонент или продукт (это означает, что сервис может выполнять свои основные функции без установки данного компонента).
**** Рекомендуется установка программного продукта, правообладателем которого является АО «СберТех», при этом не исключена возможность (допускается правообладателем) использования аналога других производителей. Аналоги, в отношении которых продукт успешно прошел испытания и подтвердил свою работоспособность, указаны в разделе «Системное программное обеспечение».
При установке Unimon в Kubernetes рекомендовано использовать control-plane istio версии 1.12.1.4.
У компонента реализована интеграция со следующими компонентами из состава продукта:
Наименование компонента |
Код |
Описание |
|---|---|---|
Журналирование |
LOGA |
Сервис для хранения лог-файлов |
Indicator |
INDA |
UI компонента. Также сервис используется для отображения дашбородов системного и бизнес-мониторинга |
Abyss |
LGDB |
Рекомендуемое хранилище телеметрических данных - Abyss. В случае отсутствия Abyss - сервис может записывать данные в Apache Kafka или в лог. Авторизация |
Образы контейнеров#
Поддерживаемые образы контейнеров сервисов компонента:
На базе Red Hat Enterprise Linux: openjdk/openjdk-11-rhel8:1.0-8
На базе Platform V SberLinux OS Server: openjdk-11-runtime:8.8-172, container-8-ubi-sbt:8.8-172
Образы sidecar для прикладных pods
proxyv2 (envoy), предоставляемый компонентом Граничный прокси (IGEG) в составе Platform V Synapse Service Mesh (SSM)
На базе ALT Linux: версия 1.12.1.2
На базе Red Hat Enterprise Linux (опционально): версия istio-release-1.6.14-se-release-1.2.2
Образ FluentBit для сборки и отправки логов, предоставляемый компонентом Журналирование (LOGA) в составе Platform V Monitor (OPM). Версия fluent-bit:D-5.1.0-1086
HashiCorp Vault Agent с поддержкой инструмента kubectl (опционально)
Образы для использования на ingress/egress
Клиент OTT, предоставляемый Platform V One-Time-Token (OTT) (опционально)
Аппаратные требования#
На данном этапе отдельное исследование по сайзингу не проведено. Заключение подготовлено на основе данных полученных на НТ.
По умолчанию задаются квоты:
Артефакт |
cpuLimit (mcore) |
memLimit (MiB) |
Максимально единиц |
|---|---|---|---|
unimon-server |
1000 |
1500 |
3 |
unimon-metadata |
1000 |
1500 |
3 |
unimon-filter |
1000 |
1500 |
3 |
logger |
200 |
200 |
9 |
istio |
300 |
256 |
9 |
Итого: |
13500 |
17700 |
Для серверной части необходимо разворачивать БД PosgreSQL SberEdition в минимальной конфигурации 4/24/400 (ЦПУ/ОЗУ/Внутр. диски). Данные квоты параметризированы и могут изменяться в зависимости от потребности сервиса. Следует учесть, что в серверный namespace устанавливается серверная и клиентская часть.
Предусловия:
Обращение клиентской части Unimon к серверной производится раз в 2 минуты по каждому процессу:
получение данных о подключениях потребителей;
получение данных фильтров для метрик;
передача метаданных о метриках.
Для подсчета количества клиентских namespace учитывается конфигурация по умолчанию - 3 unimon-sender, 1 unimon-agent.
Необходимо учитывать, что несколько unimon-sender могут отправлять запросы в разное время случайным образом. Т.е. возможны отклонения от средних величин в этом случае ресурсов может не хватать или наоборот быть в избытке.
