Руководство оператора#

Термины и определения#

Термин / Аббревиатура

Определение

Anomaly Detection / Детектор аномалий / ANOM

Программный компонент Ai Anomaly Detection из состава программного продукта Platform V SynAI

Dashboard / Дашборд

Графический пользовательский интерфейс, доступный посредством браузера

Kubernetes / K8S

Платформа оркестрации приложений с средствами автоматизации и управления на основе политик

OpenShift

Открытая и расширяемая платформа приложений-контейнеров. Позволяет использовать Docker и Kubernetes

Operator

Программное обеспечение, которое использует пользовательские ресурсы для управления приложениями и их компонентами

Pod / Под

Набор запущенных и взаимодействующих между собой контейнеров на одном сервере кластера

Project/namespace / Проект/неймспейс / NS

Абстракция, используемая в OpenShift для поддержки изоляции групп ресурсов в пределах одного кластера

SynAI / SAI

Программный продукт Platform V SynAI

SynAi Operator

Реализация Operator’а, манипулирующая пользовательским ресурсом Anomaly Detection

АС

Автоматизированная система

БД

База данных

Платформа

Платформа оркестрации приложений с средствами автоматизации и управления на основе политик, например Kubernetes

ПО

Программное обеспечение

УЦ

Удостоверяющий центр

Доступ к приложению#

Наличие доступа к приложению и неймспейсам, в которых происходит развертывание проверяемых дистрибутивов, обусловлено наличием доступа к соответствующему кластеру Платформы и неймспейсам в нем, в соответствии с эксплуатационной документацией.

Использование приложения оператором#

Авторизация пользователя#

K8S

После перехода по ссылке на актуальную развернутую версию Детектора аномалий пользователю необходимо будет авторизоваться с помощью развернутого средства авторизации в кластере Kubernetes.

При авторизации в кластере Kubernetes интерфейс может меняться в зависимости от окружения, реализующего механизмы аутентификации и авторизации на конкретном полигоне развертывания. В общем случае для инсталляции в Kubernetes - авторизация не потребуется и интерфейс SynAi будет доступен оператору, имеющему доступ к соответствующим полигонам и проектам в кластерах Kubernetes и обладающему соответствующей ролью.

OpenShift

После перехода по ссылке на актуальную развернутую версию Детектора аномалий пользователю необходимо будет авторизоваться с помощью развернутого средства авторизации в кластере OpenShift.

После авторизации в OpenShift необходимо путем нажатия клавиши «Allow selected permission» подтвердить следующее:

  1. имя пользователя;

  2. список доступных пользователю проектов;

  3. роль пользователя.

Сценарии использования#

После авторизации пользователь попадает на главный экран SynAi, где должен выбрать SynAi Anomaly Detection и перейти на главный экран дашборда.

В верхней левой части основного окна Anomaly Detection пользователь может переключать проекты. По выбранному из выпадающего списка доступному проекту отображается скользящий график, отражающий наличие/отсутствие аномалий в разрезе временных периодов и их тип, который определяется по цвету. Расположенная сразу под графиком цветная легенда отражает все метрики, которые анализирует Детектор аномалий. График обновляется в режиме реального времени, информация за последний обработанный период - крайний правый столбик.

После указания курсором на конкретный столбик графика - в нижней части экрана визуализируется детализированная информация о состоянии подов за данный период. На рисунке ниже приведен пример, когда был поднят один под и он в нормальном состоянии, то есть за часовой период никаких аномалий не выявлено:

Пример, когда в один временной интервал были обнаружены аномалии разного типа:

Для скачивания отчета по аномалиям за более долгий период времени, в правом верхнем углу дашборда пользователь может выбрать из выпадающего списка необходимый период и, нажав на кнопку получения отчета, выгрузить значения в файл csv.

В отчете для каждого пода будет указано, какие у него были аномалии в каждый момент времени:

Механизмы безопасности, относящиеся к сценариям использования

Требования безопасности по механизмам идентификации и аутентификации указаны в разделе «Механизмы безопасности» документа «Детальная архитектура» компонента SynAi ANOM.

Часто встречающиеся проблемы и пути их устранения#

В Anomaly Detection оператор фактически является администратором, поэтому порядок работы с часто встречающимися проблемами приведен для администраторских функций.

Проблема

Причина

Последствия

Решения

Не визуализируется кластер либо проект

Отсутствие прав у администратора

Невозможность использования SynAI Администратором АС в виду отсутствия корректной настройки ролевой модели со стороны Платформы. Влияние оказывается только на работу конкретного Администратора АС с SynAI.

Проверить и настроить ролевую модель.

Так как Администратору АС в веб-интерфейсе SynAI доступны только те проекты и кластеры, к которым он имеет доступ, то необходимо проверить есть ли у Администратора АС действительно доступы к тем проектам и кластерам, что подключены к SynAI.
Список доступных проектов, а также возникшие при фильтрации проектов ошибки, доступны в системных журналах synai-auth sidecar.

Если доступов нет, то необходимо обратиться к владельцу ролевой модели Платформы для выдачи соответствующих прав.

Не визуализируется результат работы SynAI для кластера либо проекта

Отсутствие необходимых настроек на стороне Платформы

Невозможность использования SynAI для конкретного проекта, либо кластера ввиду отсутствия необходимых SynAI данных.

У SynAI нет доступа к пользовательским ресурсам в кластере или проекте пользователя.
Необходимо обратиться к сопровождению Платформы для проверки корректности настройки ролевой модели, необходимой для работы SynAI, и наличия доступов из проекта SynAI к проектам пользователей.

Не визуализируется кластер либо проект

Отсутствие необходимых настроек

Невозможность использования SynAI. SynAI не может получить и обработать необходимые ему данные, что приводит к недоступности системы.

Проверить доступность кластера либо проекта. На уровне настройки сети между проектами и кластерами может возникнуть изоляция, не позволяющая получить необходимые для работы SynAI данные.

Если это изоляция между проектами, то необходимо обратиться к команде сопровождения Платформы для правильной настройки и снятия данных ограничений.

Если это настройка между кластерами, то необходимо обратиться также к команде сопровождения Платформы.

Если же между кластерами нет возможности снять сетевую изоляцию, то необходимо установить на каждый такой кластер свою независимую инсталляцию SynAI.

Не визуализируется кластер либо проект, в логах подов обнаружены ошибки подключения к БД

Отсутствие подключения к БД по причине отсутствия физического доступа

Невозможность использования SynAI. SynAI не может ни записать, ни считать необходимые ему данные в БД, что приводит к недоступности системы.

Необходимо убедиться в наличии физического доступа от нод кластера Платформы, на котором установлен SynAI, до сервера базы данных.
Для этого следует обратиться к сопровождению Платформы.
При его отсутствии - обратиться к соответствующему подразделению, ответственному за настройку сетевых доступов, для настройки соответствующего доступа.

Не визуализируется кластер либо проект, в логах подов обнаружены ошибки подключения к БД

Отсутствие подключения к БД при использовании Mutual TSL по причине неправильно настроенных секретов подключения к БД

Невозможность использования SynAI. SynAI не может ни записать, ни считать необходимые ему данные в БД, что приводит к недоступности системы.

Проверить, что секреты, используемые для подключения к БД, примонтированы в правильную директорию файловой системы пода.

Убедиться, что ключ и клиентский сертификат подходят друг другу.

Убедиться, что клиентский и серверный сертификат подписаны либо один и тем же УЦ, либо могут доверять УЦ друг друга.

Убедиться в корректности заданной настройки SSL Mode (PostgreSQL/Pangolin) как в настройках приложения, так и в настройках сервера базы данных.

Параметры настройки#

У оператора нет возможности управлять какими-либо параметрами настройки в рамках использования ПО. Настройка осуществляется в рамках процедуры инсталляции и остается неизменной, пока не будет повторена снова, в рамках процедуры инсталляции.

Правила эксплуатации#

В связи с тем, что эксплуатация компонентов сугубо технологический процесс - все компоненты SynAI работают с информацией ниже К2.

Специфические правила эксплуатации среды функционирования и правила эксплуатации внешних программных и программно-аппаратных средств защиты информации отсутствуют. Согласно разделу «Настройки параметров безопасности» документа «Руководство по безопасности» компонента SynAi ANOM, существует одно правило - должна быть обеспечена неизменность промышленной среды (развернутого ПО при промышленной эксплуатации).

Форматы данных указаны в разделе «Физическая модель данных» документа «Детальная архитектура» компонента SynAi ANOM.