Руководство по установке#

В руководстве приведены инструкции по установке компонента Динамический контент (UFTM) продукта Platform V Content Management (SDC), далее по тексту — компонент UFTM.

Системные требования#

Настройки безопасности окружения и перечень платформенных (дополнительных внешних) продуктов, используемых для установки, настройки и контроля в конечной информационной системе (далее — ИС), выбираются клиентом при разработке конечной ИС, исходя из характера обрабатываемой в ней информации и иных требований информационной безопасности (далее — ИБ), предъявляемых к ней.

Системное программное обеспечение#

Ниже представлены категории системного программного обеспечения (далее — ПО), которые обязательны или опциональны для установки, настройки, контроля и функционирования компонента UFTM.

В каждой категории перечислены все поддерживаемые продукты сторонних правообладателей. Отдельно обозначены варианты, которые рекомендует АО «СберТех» (маркировка «Рекомендовано» в столбце «Продукт, функциональная совместимость с которым подтверждена»).

Клиенту необходимо выбрать один из продуктов в каждой категории, исходя из условий использования конечной ИС.

Примечание:

*

• Да — категория ПО обязательна для функционирования сервиса (это означает, что сервис не может выполнять свои основные функции без установки данной категории ПО).

• Нет — категория ПО необязательна для функционирования сервиса (это означает, что сервис может выполнять свои основные функции без установки данной категории ПО).

**

• Рекомендовано — рекомендованный правообладателем АО «СберТех» продукт.

• Опционально — альтернативный по отношению к рекомендованному правообладателем АО «СберТех» продукт.

***

Здесь и далее поддерживаемой средой контейнеризации является Kubernetes (использование OpenShift – опционально). В инструкциях по настройке, в именах переменных и параметрах системы могут встречаться названия систем контейнеризации, которые одинаковы и применимы для обеих сред контейнеризации.

Платформенные зависимости#

Для настройки, контроля и функционирования компонента реализована интеграция с программными продуктами, правообладателем которых является АО «СберТех»:

* Применимо для обеспечения обратной совместимости.

**

• Да — компонент или продукт необходим для функционирования сервиса (это означает, что сервис не может выполнять свои основные функции без установки данного компонента).

• Нет — необязательный для функционирования сервиса компонент или продукт (это означает, что сервис может выполнять свои основные функции без установки данного компонента).

*** Рекомендуется установка программного продукта, правообладателем которого является АО «СберТех», при этом не исключена возможность (допускается правообладателем) использования аналога других производителей. Аналоги, в отношении которых продукт успешно прошел испытания и подтвердил свою работоспособность, указаны в разделе «Системное программное обеспечение».

Аппаратные требования#

Для проекта (namespace), в котором развертывается компонент, должны быть выданы следующие квоты по ресурсам:

• Ядра ЦПУ — 16

• Оперативная память — 32 GB

Квоты ресурсов для элемента развертывания dyncontent_service:

Квоты ресурсов для элемента развертывания dyncontent_upload-service:

Рекомендуемое количество экземпляров элементов развертывания:

Конфигурация ресурсов может быть скорректирована по результатам проведения нагрузочного тестирования или опытной эксплуатации компонента.

Состав дистрибутива#

Архив с бинарными артефактами компонента#

Архив содержит бинарные артефакты для работы компонента, в том числе скрипты миграции БД.

Архив с конфигурацией развертывания компонента#

Архив содержит конфигурационные файлы для развертывания компонента.

Установка#

Установка компонента UFTM автоматизированным способом производится с помощью инструментов продукта Platform V DevOps Tools (DOT). Конфигурация компонента UFTM хранится в git-репозитории и импортируется из дистрибутива компонента UFTM.

Диаграммы развертывания с использованием как рекомендованного технологического стека, так и опционального можно посмотреть в документе «Детальная архитектура», раздел «Диаграмма развертывания».

Порядок выполнения установки:

1. Настройка СУБД.

2. Импорт конфигурации компонента UFTM в репозиторий.

3. Настройка конфигурации компонента UFTM.

4. Установка дистрибутива компонента UFTM.

Важно. Если ранее была выполнена установка с интеграцией с платформенными компонентами из #FS версии 4.1.3 и выше, то перед установкой компонента с интеграцией с платформенными компонентами из #FS версии 4.1.6 необходимо выполнить шаги из раздела «Откат изменений для интеграции с платформенными компонентами из продукта #FS» документа «Особенности интеграции с компонентами Frontend Standard (#FS)»

Настройка СУБД#

Для настройки СУБД необходимо выполнить следующие действия в указанном порядке:

1. Создайте схему БД.

2. Создайте пользователя для взаимодействия со схемой БД из компонента UFTM (пользователь БД компонента).

3. Создайте пользователя для выполнения liquibase-скриптов.

4. Создайте табличные пространства.

5. Выдайте права на изменение схемы пользователю для выполнения liquibase-скриптов.

6. Выдайте полные права пользователю для взаимодействия со схемой БД из компонента UFTM на создаваемые пользователем для выполнения liquibase-скриптов объекты.

Параметры, используемые во время выполнения SQL-скриптов настройки БД#

database_name_placeholder           = <имя БД>
schema_name_placeholder             = uftm_<суффикс_блока>
user_name_placeholder               = uftm_<суффикс_блока>
user_password_placeholder           = '<пароль пользователя БД>'
ts_data_placeholder                 = uftm_ts_data
ts_data_location_placeholder        = '<путь до каталога табличного пространства>'
ts_idx_placeholder                  = uftm_ts_idx
ts_idx_location_placeholder         = '<путь до каталога табличного пространства>'
liquibase_user_name_placeholder     = '<имя пользователя БД для выполнения liquibase-скриптов>'
liquibase_user_password_placeholder = '<пароль пользователя БД для выполнения liquibase-скриптов>'

Создание схемы БД#

CREATE SCHEMA :schema_name_placeholder;

Создание пользователя для взаимодействия со схемой БД из компонента UFTM#

CREATE USER :user_name_placeholder WITH ENCRYPTED PASSWORD :user_password_placeholder;
ALTER USER :user_name_placeholder VALID UNTIL 'INFINITY';
ALTER USER :user_name_placeholder SET search_path = :schema_name_placeholder;
GRANT CONNECT ON DATABASE :database_name_placeholder TO :user_name_placeholder;
GRANT ALL ON SCHEMA :schema_name_placeholder TO :user_name_placeholder;
GRANT USAGE ON SCHEMA :schema_name_placeholder TO :user_name_placeholder;

Создание пользователя для выполнения liquibase-скриптов#

CREATE USER :liquibase_user_name_placeholder WITH ENCRYPTED PASSWORD :liquibase_user_password_placeholder;
ALTER USER :liquibase_user_name_placeholder VALID UNTIL 'INFINITY';
ALTER USER :liquibase_user_name_placeholder SET search_path = :schema_name_placeholder;
GRANT CONNECT ON DATABASE :database_name_placeholder TO :liquibase_user_name_placeholder;
GRANT ALL ON SCHEMA :schema_name_placeholder TO :liquibase_user_name_placeholder;
GRANT USAGE ON SCHEMA :schema_name_placeholder TO :liquibase_user_name_placeholder;

Создание табличных пространств#

Перед созданием табличных пространств необходимо создать каталоги, в которых будут располагаться файлы табличных пространств. Каталоги должны быть пустыми и принадлежать пользователю ОС, под которым запущен экземпляр СУБД.

CREATE TABLESPACE :ts_data_placeholder OWNER :liquibase_user_name_placeholder LOCATION :ts_data_location_placeholder;

CREATE TABLESPACE :ts_idx_placeholder OWNER :liquibase_user_name_placeholder LOCATION :ts_idx_location_placeholder;

Выдача прав на изменение схемы пользователю для выполнения liquibase-скриптов#

Пользователь для выполнения liquibase-скриптов должен обладать всем набором прав на изменение созданной схемы БД. Пример выдачи прав на изменение схемы:

GRANT ALL PRIVILEGES ON SCHEMA :schema_name_placeholder TO :liquibase_user_name_placeholder;
GRANT ALL PRIVILEGES ON ALL TABLES IN SCHEMA :schema_name_placeholder TO :liquibase_user_name_placeholder;
GRANT ALL PRIVILEGES ON ALL SEQUENCES IN SCHEMA :schema_name_placeholder TO :liquibase_user_name_placeholder;
GRANT ALL PRIVILEGES ON ALL FUNCTIONS IN SCHEMA :schema_name_placeholder TO :liquibase_user_name_placeholder;
GRANT ALL PRIVILEGES ON ALL ROUTINES IN SCHEMA :schema_name_placeholder TO :liquibase_user_name_placeholder;
GRANT ALL PRIVILEGES ON ALL PROCEDURES IN SCHEMA :schema_name_placeholder TO :liquibase_user_name_placeholder;

Выдача полных прав пользователю для взаимодействия со схемой БД из компонента UFTM на создаваемые объекты БД#

ALTER DEFAULT PRIVILEGES FOR USER :liquibase_user_name_placeholder IN SCHEMA :schema_name_placeholder GRANT ALL PRIVILEGES ON TABLES TO :user_name_placeholder;
ALTER DEFAULT PRIVILEGES FOR USER :liquibase_user_name_placeholder IN SCHEMA :schema_name_placeholder GRANT ALL PRIVILEGES ON SEQUENCES TO :user_name_placeholder;
ALTER DEFAULT PRIVILEGES FOR USER :liquibase_user_name_placeholder IN SCHEMA :schema_name_placeholder GRANT ALL PRIVILEGES ON FUNCTIONS TO :user_name_placeholder;
ALTER DEFAULT PRIVILEGES FOR USER :liquibase_user_name_placeholder IN SCHEMA :schema_name_placeholder GRANT ALL PRIVILEGES ON ROUTINES TO :user_name_placeholder;

Импорт конфигурации компонента UFTM в репозиторий#

Для импорта конфигурации компонента UFTM в репозиторий в Deploy job выполните следующее:

1. Нажмите кнопку Собрать с параметрами.

2. Укажите значения для параметров:

   1. CONFIG_DIR

   2. SUBSYSTEM

   3. COMPONENTS

   4. SECTOR

   5. OSE_CLUSTERS

   6. DISTRIB_VERSION

   7. PARAMS:

      1. В секции «Репозиторий\ветка с настройками ФП» выберите ветку в репозитории с конфигурацией компонента UFTM. При необходимости создайте ветку в репозитории с конфигурацией компонента UFTM, руководствуясь документацией продукта Platform V DevOps Tools (DOT).

      2. Выберите playbook MIGRATION_FP_CONF.

3. Нажмите кнопку Собрать.

Назначение списков сценариев для запуска (playbooks) описано в документации продукта Platform V DevOps Tools (DOT).

Настройка конфигурации компонента UFTM#

В разделе описана настройка минимального набора параметров, необходимого для работы компонента UFTM. Полный список доступных для настройки параметров приведен в разделе «Конфигурирование» документа «Руководство по системному администрированию». Настройка интеграции со следующими компонентами не требуется (используются значения параметров по умолчанию):

• Asynchronous Tasks (ASYT) продукта Platform V Frontend Std (#FS)

• Журналирование (LOGA) продукта Platform V Monitor (OPM)

• Объединенный мониторинг Unimon (MONA) продукта Platform V Monitor (OPM)

• ЕФС.Stand In (STDE) продукта Platform V Frontend Std (#FS)

• Защита от внутренних отказов ЕФС (FPRT) продукта Platform V Frontend Std (#FS)

• Аудит (AUDT) продукта Platform V Audit SE (AUD)

• PACMAN (CFGA) продукта Platform V Frontend Std (#FS)

Настройка интеграции с СУБД#

Руководствуясь документацией продукта Platform V DevOps Tools (DOT), необходимо заполнить следующие параметры в репозитории с конфигурацией стенда (common-репозитории):

Настройка аутентификации#

Аутентификация по паролю#

Для настройки аутентификации в СУБД с использованием пароля необходимо:

1. Настроить правило аутентификации в СУБД:

   - hostnossl :database_name_placeholder :user_name_placeholder :host_ip_mask md5
   

2. Указать пароль пользователя БД в параметре jdbc.uftm_postgres.password в репозитории с конфигурацией стенда в файле _passwords.conf.

3. Включить аутентификацию по паролю, указав значение false в параметре ufs-dynamic-content.jdbc.ssl.enabled в репозитории с конфигурацией компонента в файле ufsdyncontent.all.conf. Аутентификация по паролю включена по умолчанию.

Аутентификация по сертификату (опционально)#

Для настройки аутентификации в СУБД с использованием сертификата необходимо:

1. Настроить правило аутентификации в СУБД:

   - hostssl :database_name_placeholder :user_name_placeholder :host_ip_mask cert
   

2. Выпустить сертификат:

   1. Сгенерировать ключевую пару.

   2. Создать запрос на выпуск сертификата с именем субъекта (CN), равным значению параметра jdbc.uftm_postgres.user.

   3. Отправить запрос на выпуск сертификата в удостоверяющий центр.

   4. Импортировать в хранилище сертификатов, путь к которому указан в параметре ufs-dynamic-content.ose.secret.db.certs.keystore.file-path:

      1. Сертификат удостоверяющего центра с alias, определяемым параметром ufs-dynamic-content.ose.secret.db.root-cert.aliases

      2. Выпущенный сертификат с alias, определяемым параметром ufs-dynamic-content.ose.secret.db.cert.alias.

3. Включить аутентификацию по сертификату, указав значение true в параметре ufs-dynamic-content.jdbc.ssl.enabled в репозитории с конфигурацией компонента в файле ufsdyncontent.all.conf.

Подробно настройка правил аутентификации описана в «Руководстве по системному администрированию компонента Pangolin».

Настройка интеграции с компонентом One-Time Password (OTP)/OTT (OTTS) продукта Platform V Frontend Std (#FS)#

Настройка сертификатов#

1. Сгенерировать ключевую пару.

2. Создать запрос на выпуск сертификата с именем субъекта, равного значению параметра ufs-dynamic-content.ose.egress.ott.module.id

3. Отправить запрос на выпуск сертификата в удостоверяющий центр.

4. Импортировать в хранилище сертификатов, путь к которому указан в параметре ssl.ose.istio.keyStore.egress.KeyStoreFromFile:

   1. сертификат удостоверяющего центра.

   2. выпущенный сертификат с alias, определяемым параметром ufs-dynamic-content.ose.egress.ott.client.cert.alias.

Порядок выпуска и импорта сертификатов в хранилище описан в разделе «Управление ключами и сертификатами» документа «Руководство по системному администрированию».

Настройка интеграции с брокером Kafka CMS#

Создание topic#

Создать в Kafka следующие topic:

Настройка сертификатов#

1. Сгенерировать ключевую пару.

2. Создать запрос на выпуск сертификата с именем субъекта, равного значению параметра ufs-dynamic-content.ose.egress.ott.module.id.

3. Отправить запрос на выпуск сертификата в удостоверяющий центр.

4. Импортировать в хранилище сертификатов, путь к которому указан в параметре ufs-dynamic-content.k8s.istio.egress.secret.cms.kafka.certs.keystore.file-path:

   1. Сертификат удостоверяющего центра с alias, определяемым параметром ufs-dynamic-content.k8s.istio.egress.secret.cms.kafka.root-cert.aliases.

   2. Выпущенный сертификат с alias, определяемым параметром ufs-dynamic-content.k8s.istio.egress.secret.cms.kafka.cert.alias.

Порядок выпуска и импорта сертификатов в хранилище описан в разделе «Управление ключами и сертификатами» документа «Руководство по системному администрированию».

Настройка параметров#

В репозитории с конфигурацией компонента UFTM необходимо заполнить следующие параметры:

Настройка интеграции с брокером Kafka компонентов Аудит (AUDT), Журналирование (LOGA), Объединенный мониторинг Unimon (MONA)#

Настройка сертификатов#

1. Сгенерировать ключевую пару.

2. Создать запрос на выпуск сертификата.

3. Отправить запрос на выпуск сертификата в удостоверяющий центр.

4. Импортировать в хранилище сертификатов, путь к которому указан в параметре ufs-dynamic-content.k8s.istio.egress.secret.kafka.certs.keystore.file-path:

   1. Сертификат удостоверяющего центра с alias, определяемым параметром ufs-dynamic-content.k8s.istio.egress.secret.kafka.root-cert.aliases.

   2. Выпущенный сертификат с alias, определяемым соответствующим параметром:

      1. ufs-dynamic-content.k8s.istio.egress.secret.logger.kafka.cert.alias.

      2. ufs-dynamic-content.k8s.istio.egress.secret.ufs-audit.kafka.cert.alias.

      3. ufs-dynamic-content.k8s.istio.egress.secret.union-audit.kafka.cert.alias.

      4. ufs-dynamic-content.k8s.istio.egress.secret.monitoring.kafka.cert.alias.

Порядок выпуска и импорта сертификатов в хранилище описан в разделе «Управление ключами и сертификатами» документа «Руководство по системному администрированию».

Настройка интеграции с системой управления секретами (опционально)#

В компоненте реализована интеграция с системой управления секретами.

Интеграция с системой управления секретами используется для управления следующими секретами:

• сертификатами для установки mTLS-соединения для HTTPS-взаимодействий на ingress/egress proxy;

• сертификатами для аутентификации в БД;

• именем пользователя и паролем для аутентификации в БД;

• сертификатами для установки mTLS-соединения с кластерами Kafka компонентов Аудит (AUDT), Журналирование (LOGA), Объединенный мониторинг Unimon (MONA);

• сертификатами для установки mTLS-соединения с кластером Kafka внешней CMS;

• сертификатами для установки mTLS-соединения с компонентом One-Time Password (OTP)/OTT (OTTS) из OTT sidecar;

• сертификатами для установки mTLS-соединения с кластерами Kafka компонентов Аудит (AUDT), Журналирование (LOGA), Объединенный мониторинг Unimon (MONA) из OTT sidecar.

Для настройки интеграции необходимо:

• включить интеграцию с системой управления секретами, указав значение true для параметра ufs-dynamic-content.k8s.configmap.hashicorp.enabled;

• включить интеграцию с системой управления секретами для OTT sidecar, указав значение true для параметра ufs-dynamic-content.ott.k8s.configmap.hashicorp.enabled;

• создать namespace в системе управления секретами и указать имя созданного namespace в параметре ufs-dynamic-content.k8s.deployment.spec.template.metadata.annotations.vault.hashicorp.com.namespace;

• настроить метод аутентификации AppRole, имя созданной AppRole роли указать в параметре ufs-dynamic-content.k8s.deployment.spec.template.metadata.annotations.vault.hashicorp.com.role;

• настроить метод аутентификации Kubernetes;

• создать и настроить Secrets Engines;

• указать параметры интеграции с системой управления секретами.

Настройка PKI Secrets Engine для управления сертификатами#

Для управления сертификатами для установки mTLS-соединений в системе управления секретами необходимо использовать PKI Secrets Engine.

Для настройки PKI Secrets Engine необходимо:

1. Включить PKI Secrets Engine по пути :engine-path (например, /pki).

2. Выполнить общую конфигурацию PKI Secrets Engine.

3. Создать роль :role-name в системе управления секретами. При создании роли указать все допустимые доменные имена для сертификатов. Выпуск сертификатов будет доступен только с common name, значение которого входит в список допустимых имен. При необходимости переопределите время действия выпускаемых сертификатов, заданное в общей конфигурации PKI Secrets Engine.

4. Указать путь :engine-path/fetch/:role-name для выпуска сертификатов в соответствующих параметрах:

   • ufs-dynamic-content.k8s.istio.egress.deployment.spec.template.metadata.annotations.vault.hashicorp.com.agent-inject-template-egress.certs.path

   • ufs-dynamic-content.k8s.istio.ingress.deployment.spec.template.metadata.annotations.vault.hashicorp.com.agent-inject-template-ingress-certs.path

   • ufs-dynamic-content.k8s.istio.egress.deployment.spec.template.metadata.annotations.vault.hashicorp.com.agent-inject-template-logger.kafka.certs.path

   • ufs-dynamic-content.k8s.istio.egress.deployment.spec.template.metadata.annotations.vault.hashicorp.com.agent-inject-template-monitoring.kafka.certs.path

   • ufs-dynamic-content.k8s.istio.egress.deployment.spec.template.metadata.annotations.vault.hashicorp.com.agent-inject-template-ufs-audit.kafka.certs.path

   • ufs-dynamic-content.k8s.istio.egress.deployment.spec.template.metadata.annotations.vault.hashicorp.com.agent-inject-template-union-audit.kafka.certs.path

   • ufs-dynamic-content.k8s.istio.egress.deployment.spec.template.metadata.annotations.vault.hashicorp.com.agent-inject-template-cms.kafka.certs.path

   • ott.ose.istio.egress.deployment.spec.template.metadata.annotations.vault.hashicorp.com.agent-inject-template-ott-certs.path

   • ott.ose.istio.ingress.deployment.spec.template.metadata.annotations.vault.hashicorp.com.agent-inject-template-ott-certs.path

   • ott.ose.istio.deployment.spec.template.metadata.annotations.vault.hashicorp.com.agent-inject-template-mq-certs.path

5. Указать common name выпускаемых сертификатов в соответствующих параметрах:

   • ufs-dynamic-content.k8s.istio.egress.deployment.spec.template.metadata.annotations.vault.hashicorp.com.agent-inject-template-egress.certs.common-name

   • ufs-dynamic-content.k8s.istio.ingress.deployment.spec.template.metadata.annotations.vault.hashicorp.com.agent-inject-template-ingress-certs.common-name

   • ufs-dynamic-content.k8s.istio.ingress.deployment.spec.template.metadata.annotations.vault.hashicorp.com.agent-inject-template-logger.kafka.certs.common-name

   • ufs-dynamic-content.k8s.istio.ingress.deployment.spec.template.metadata.annotations.vault.hashicorp.com.agent-inject-template-monitoring.kafka.certs.common-name

   • ufs-dynamic-content.k8s.istio.ingress.deployment.spec.template.metadata.annotations.vault.hashicorp.com.agent-inject-template-ufs-audit.kafka.certs.common-name

   • ufs-dynamic-content.k8s.istio.ingress.deployment.spec.template.metadata.annotations.vault.hashicorp.com.agent-inject-template-union-audit.kafka.certs.common-name

   • ufs-dynamic-content.k8s.istio.ingress.deployment.spec.template.metadata.annotations.vault.hashicorp.com.agent-inject-template-cms.kafka.certs.common-name

   • ott.ose.istio.deployment.spec.template.metadata.annotations.vault.hashicorp.com.agent-inject-template-mq-certs.common-name

За подробной информацией по настройке PKI Secrets Engine обратитесь к документации системы управления секретами.

Управление секретами для аутентификации в БД#

Аутентификация по паролю#

Для управления именем пользователя и паролем для аутентификации в БД необходимо:

1. Настроить правило аутентификации по паролю для пользователя БД компонента. Настройка правила аутентификации описана в разделе «Настройка интеграции с СУБД».

2. Настроить KV Secrets Engine Version 1 в системе управления секретами.

3. Включить аутентификацию по паролю, указав значение false в параметре ufs-dynamic-content.jdbc.ssl.enabled в репозитории с конфигурацией компонента в файле ufsdyncontent.all.conf. Аутентификация по паролю включена по умолчанию.

Для настройки KV Secrets Engine Version 1 необходимо:

1. Включить KV Secrets Engine Version 1 по пути :engine-path (например, /kv).

2. Создать секрет с логином и паролем пользователя БД по пути :secret-path (например, /db-creds):

3. Указать путь к секрету :engine-path/:secret-path в параметре ufs-dynamic-content.k8s.deployment.spec.template.metadata.annotations.vault.hashicorp.com.agent-inject-template-db-creds.path.

Ротация секрета производится администраторами путем замены пользователя БД.

Пример алгоритма замены пользователя:

1. Создаются два пользователя БД с пересекающимися сроками действия пароля (grace period - пересечение сроков действия паролей, когда действуют оба пользователя. Используется для плавной замены).

2. В KV Secrets Engine Version 1 указываются логин, пароль и срок действия первого пользователя.

3. При наступлении grace period в KV Secrets Engine Version 1 указываются логин, пароль и срок действия второго пользователя.

4. Далее пользователи меняются с предварительной сменой пароля.

Аутентификация по сертификату (опционально)#

Для управления сертификатами для аутентификации в БД необходимо:

1. Настроить правило аутентификации по сертификату для пользователя БД компонента. Настройка правила аутентификации описана в разделе «Настройка интеграции с СУБД».

2. Настроить PKI Secrets Engine в системе управления секретами.

3. Включить аутентификацию по сертификату, указав значение true в параметре ufs-dynamic-content.jdbc.ssl.enabled в репозитории с конфигурацией компонента в файле ufsdyncontent.all.conf.

Для настройки PKI Secrets Engine необходимо:

1. Выполнить пункты 1-3 инструкции из раздела «Настройка PKI Secrets Engine для управления сертификатами».

2. Указать путь PKI Secrets Engine для выпуска сертификатов в параметре ufs-dynamic-content.k8s.deployment.spec.template.metadata.annotations.vault.hashicorp.com.agent-inject-template-db-certs.path.

3. Указать common name выпускаемого сертификата в параметре ufs-dynamic-content.k8s.deployment.spec.template.metadata.annotations.vault.hashicorp.com.agent-inject-template-db-certs.common-name. Значение common name должно совпадать с именем пользователя БД.

Настройка параметров#

В репозитории с конфигурацией компонента UFTM необходимо заполнить нижеследующие параметры:

Общие параметры:

Параметры управления сертификатами для установки mTLS-соединения на ingress/egress proxy:

Параметры управления сертификатами для аутентификации в БД:

Параметры для управления именем пользователя и паролем для аутентификации в БД:

Параметры управления сертификатами для установки mTLS-соединения для взаимодействий с Kafka компонента Журналирование (LOGA) продукта Platform V Monitor (OPM), проходящих через egress proxy:

Параметры управления сертификатами для установки mTLS-соединения для взаимодействий с Kafka компонента Объединенный мониторинг Unimon (MONA) продукта Platform V Monitor (OPM), проходящих через egress proxy:

Параметры управления сертификатами для установки mTLS-соединения для взаимодействий с Kafka компонента Аудит (AUDT), проходящих через egress proxy:

Параметры управления сертификатами для установки mTLS-соединения для взаимодействий с Kafka CMS, проходящих через egress proxy:

Параметры управления сертификатами для установки mTLS-соединения для взаимодействий с компонентом One-Time Password (OTP)/OTT (OTTS) из OTT sidecar:

В составе Egress:

В составе Ingress:

Параметры управления сертификатами для установки mTLS-соединения для взаимодействий с Kafka компонентов Журналирование (LOGA), Объединенный мониторинг Unimon (MONA), Аудит (AUDT) из OTT sidecar:

Настройка интеграции с компонентом Synapse Rate Limiter (SRLS) продукта Platform V Synapse Enterprise Integration (SEI) (опционально)#

Для квотирования нагрузки используется компонент Synapse Rate Limiter (SRLS) продукта Platform V Synapse Enterprise Integration (SEI). Для настройки интеграции с компонентом нужно выполнить следующие действия:

1. Установить компонент Synapse Rate Limiter (SRLS) продукта Platform V Synapse Enterprise Integration (SEI).

2. Настроить квотирование нагрузки.

Установка компонента Synapse Rate Limiter (SRLS) продукта Platform V Synapse Enterprise Integration (SEI)#

Установка компонента Synapse Rate Limiter (SRLS) продукта Platform V Synapse Enterprise Integration (SEI) производится автоматизированным способом с помощью инструментов продукта Platform V DevOps Tools (DOT). Компонент устанавливается как агент по децентрализованной схеме. Процедура установки описана в документе «Руководство по установке Synapse Rate Limiter».

Пример настройки развертывания компонента Synapse Rate Limiter (SRLS) продукта Platform V Synapse Enterprise Integration (SEI) как агента для компонента UFTM в файле subsystems.json:

{
    "UFSDYNCONTENT": {
        "agents": {
          "SRLS_agent": {
            "fpi_name": "srls",
            "app_name": [
              "redis",
              "sentinel",
              "rls",
              "operator",
              "limits"
            ],
            "groupId": "sbt_PROD.CI90000055_srls",
            "artifactId": "ratelimiter",
            "version": "D-02.003.02-65"
          }
        }
    }
}

Настройка квотирования нагрузки#

Квотирование нагрузки производится в разрезе потребителя. Потребитель определяется по HTTP-заголовку с названием ufs-tenant. Настройка квотирования производится через параметр endpoints в конфигурационном файле custom_property.conf.yml. Процедура настройки описана в разделе «Развертывание компонента Synapse Rate Limiter (SRLS) продукта Platform V Synapse Enterprise Integration (SEI) по агентской схеме» документа «Руководство прикладного разработчика Synapse Rate Limiter».

Пример настройки квоты в 5 запросов в минуту для потребителя с HTTP-заголовком ufs-tenant равным test-client:

endpoints:
  [
    {
      "endpoint": "{{ lookup('custom_vars','ufs-dynamic-content.ose.istio.ingress.route.spec.host.https.appFQDN') }}:11443",
      "name": "getTemplates",
      "shortname": "gettemp",
      "overall_limit": 100,
      "by_header": {
        "header": "ufs-tenant",
        "unit": "second",
        "value": 10,
        "invokers": [
          {
            "name": "test-client",
            "header_value": "test-client",
            "unit": "second",
            "value": 5
          }
        ]
      }
    }
  ]

Настройка интеграции с компонентом Объединенный мониторинг Unimon (MONA) продукта Platform V Monitor (ORM)#

Настройка интеграции с компонентом Объединенный мониторинг Unimon (MONA) продукта Platform V Monitor (ORM) состоит в установке клиентской части компонента. Установка производится автоматизированным способом с помощью инструментов продукта Platform V DevOps Tools (DOT). Компонент устанавливается как агент. Процедура установки описана в документе «Руководство по установке клиентской части».

Пример настройки развертывания компонента Объединенный мониторинг Unimon (MONA) продукта Platform V Monitor (ORM) как агента для компонента UFTM в файле subsystems.json:

{
    "UFSDYNCONTENT": {
        "agents": {
          "MONA_CLIENT_agent": {
            "fpi_name": "opm_unimon",
            "groupId": "sbt_PROD.CI90000099_mona",
            "artifactId": "mona",
            "version": "D-4.1.0-536_client_CFG_ALL",
            "exclude": [
              "package/conf/k8s/overrides/openshift/istio/deployments/egress/egress-dc.yaml",
              "package/conf/k8s/overrides/openshift/istio/deployments/ingress/ingress-dc.yaml",
              "package/conf/k8s/overrides/openshift/istio/deployments/ingress/ingress-route.yaml",
              "package/conf/k8s/overrides/openshift/istio/deployments/ingress/unimon-geo-route.yaml",
              "package/conf/k8s/base/istio/deployments/ingress/ingress-dc.yaml",
              "package/conf/k8s/base/istio/deployments/ingress/ingress-route.yaml",
              "package/conf/k8s/base/istio/deployments/ingress/ingress-geo.yaml",
              "package/conf/k8s/base/istio/deployments/ingress/ingress-svc.yaml",
              "package/conf/k8s/base/istio/deployments/egress/egress-dc.yaml",
              "package/conf/k8s/base/istio/deployments/egress/egress-svc.yaml"
            ]
          }
        }
    }
}

Настройка интеграции с компонентом Журналирование ЕФС (LOGA) продукта Platform V Monitor (ORM)#

Серверы LOGA могут быть идентичны серверам MONA

Для переключения на LOGA необходимо выполнить следующие шаги:

1. В параметр ufs-dynamic-content.k8s.istio.egress.common.cms.kafka.servers нужно прописать серверы LOGA (в том числе указать порты для проксирования на egress). Пример заполнения параметра:

ufs-dynamic-content.k8s.istio.egress.common.logger.kafka.servers=!ext-abyss-kafka-01.opsmon.sbt:10.21.28.37:9093:TCP:9131:TCP;ext-abyss-kafka-02.opsmon.sbt:10.21.28.38:9093:TCP:9132:TCP;ext-abyss-kafka-03.opsmon.sbt:10.21.28.39:9093:TCP:9133:TCP

2. Дальше в файле ufsdyncontent.all.conf указать серверы из предыдущего пункта (без портов проксирования на egress) в параметр ufs-logger.kafka.bootstrap.servers

3. В том же файле в параметре ufs-logger.kafka.topic указать топик

4. После указания указанных выше параметров необходимо осуществить redeploy

5. При переключении на серверы LOGA может произойти нарушение в работоспособности unimon agent. Чтобы этого избежать нужно в конфигурационных файлах unimon agent отключить шифрование на прикладных pods. Например, в файле opm_unimon.unimon-sender.conf выставить kafka.ssl.enabled=false. Повторить аналогично для других конфигурационных файлов unimon

6. Выполнить redeploy unimon

Переключение между контрольными панелями#

Для переключения с Istio control plane на компонент Управление политиками (POLM), необходимо выполнить следующие шаги:

1. Отключить namespace, в который устанавливается UFTM, от Istio control plane

2. Выполнить команду:

kubectl label namespaces <component_ns> istio.io/rev=<polm_ns> - присвоение namespace, в который устанавливается UFTM, лейбл istio.io/rev со значением namespace POLM

3. В случае, если изменился адрес контрольной панели, необходимо внести изменения в multicluster.json репозитория common При переключении с POLM на Istio control plane выполняются аналогичные действия.

Установка дистрибутива компонента#

Для установки дистрибутива компонента UFTM необходимо в Deploy job выполнить следующее:

1. Нажать кнопку Собрать с параметрами.

2. Указать значения для параметров:

   1. CONFIG_DIR

   2. SUBSYSTEM

   3. COMPONENTS

   4. SECTOR

   5. OSE_CLUSTERS

   6. DISTRIB_VERSION

   7. PARAMS:

      1. В секции «Репозиторий\ветка с настройками ФП» выбрать ветку в репозитории с конфигурацией компонента UFTM.

      2. Выбрать следующие сценарии для запуска (playbooks):

         1. DB_UPDATE

         2. NGINX_MM_DEPLOY

         3. FP_CONF_CHECK

         4. OPENSHIFT_DEPLOY

         5. OPENSHIFT_INGRESS_EGRESS_DEPLOY

         6. IMPORT_SUP_PARAMS

         7. IMPORT_LOGGER_PARAMS

         8. IMPORT_TASK_SCHEDULER_PARAMS.

3. Нажать кнопку Собрать.

Назначение списков сценариев для запуска (playbooks) описано в документации продукта Platform V DevOps Tools (DOT).

Обновление#

Обновление компонента UFTM автоматизированным способом производится с помощью инструментов продукта Platform V DevOps Tools (DOT). Обновление выполняется путем удаления предыдущей версии компонента в среде контейнеризации и установки новой. Сведения об обратной совместимости API указаны в разделе «Сохранение обратной совместимости API сервисов (REST API и Kafka messaging API)» документа «Детальная архитектура».

Для установки обновления нужно выполнить следующие действия:

1. Удалить в АРМ компонента CFGA параметр task_scheduler.standin.modes.dynamic-content.scheduled.change-packages-processing.

2. Установить дистрибутив компонента UFTM.

Удаление#

Для удаления компонента UFTM необходимо:

• удалить все объекты и ресурсы в пространстве имен (namespace), где установлен компонент;

• удалить пространство имен в среде контейнеризации;

• удалить схему БД и объекты, связанные с ней:

  • пользователя для взаимодействия со схемой БД из компонента UFTM;

  • пользователя для выполнения liquibase-скриптов;

  • табличные пространства;

  • правило аутентификации в СУБД;

• удалить конфигураций компонента UFTM из компонентов LOGA, AUDT, MONA, CFGA, ASYT, CDJE;

• удалить конфигурацию компонента UFTM из шлюза (IAGW);

• удалить файлы конфигураций из репозитория с конфигурацией компонента;

• удалить Secrets Engine и роли для них в системе управления секретами (опционально).

Проверка работоспособности#

Проверка работоспособности компонента#

Проверки интеграции с платформенными компонентами#

Проверка интеграции с компонентом One-Time Password (OTP)/OTT (OTTS)

Проверка интеграции с компонентом Журналирование (LOGA)

Проверка интеграции с компонентом Аудит (AUDT)

Проверка интеграции с компонентом Объединенный мониторинг Unimon (MONA)

Проверка интеграции с компонентом PACMAN (CFGA)

Откат#

Откат к предыдущей версии компонента UFTM представляет собой удаление изменений, внесенных в рамках установленной версии:

1. В пространстве имен (namespace) компонента удалить все объекты и ресурсы, имена которых начинаются с префикса uftm-.

2. Выполнить установку предыдущей версии компонента UFTM.

3. После установки дистрибутива компонента UFTM предыдущей версии необходимо проверить правильность функционирования приложения в соответствии с разделом «Проверка работоспособности».

Примечание: Откат изменений в настройках параметров осуществляется в компоненте Deploy tools (CDJE) продукта Platform V DevOps Tools (DOT) и компоненте PACMAN (CFGA) продукта Platform V Frontend Std (#FS) вручную. Для получения детальной информации о работе с настройкой параметров обратитесь к документации на данные продукты.

Часто встречающиеся проблемы и пути их устранения#

Установка дистрибутива завершается ошибкой#

1. Пример текста ошибки в логе установки дистрибутива:

   [Параметризация конфигов] Этап "Параметризация конфигов" завершен неуспешно
   Причина ошибки: ru.sbrf.devops.UFSException: IP-адреса и подсети не должны быть в ServiceEntry конфигах в поле hosts: найденый IP: <IP
   -address>
   

2. Возможные причины:

   1. В параметрах с адресами серверов Kafka указаны IP-адреса.

3. Варианты исправления:

   1. В параметрах с адресами серверов Kafka укажите вместо IP-адресов соответствующие FQDN-адреса.

Загруженные пакеты изменений шаблонов не применяются#

1. Возможные причины:

   1. Сервис загрузки шаблонов был запущен, когда для блока был установлен режим REPAIR в компоненте ЕФС.Stand In (STDE).

2. Варианты исправления:

   1. Разрешить работу задачи обработки пакета изменений шаблонов во всех режимах, указав пустой список в значении параметра компонента CFGA. task_scheduler.standin.modes.dynamic-content.scheduled.change-packages-processing.

Чек-лист валидации установки#

Среда развертывания обеспечивает наличие:

• Инфраструктура: Kubernetes (k8s) или опционально Openshift Enterprise (OSE).

• Кластер Kafka для внешнего взаимодействия (Kafka внешней CMS).

• СУБД PostgreSQL или Platform V Pangolin SE.

На площадке развертывания установлены следующие инфраструктурные компоненты фронтальной части Платформы:

• Компонент Аудит (AUDT) продукта Platform V Audit SE (AUD)

• Компонент Журналирование (LOGA) продукта Platform V Monitor (OPM).

• Компонент Объединенный мониторинг Unimon (MONA) продукта Platform V Monitor (OPM).

• Компонент Asynchronous Tasks (ASYT) продукта Platform V Frontend Std (#FS).

• Компонент PACMAN (CFGA) продукта Platform V Frontend Std (#FS).

• Компонент One-Time Password (OTP)/OTT (OTTS) продукта Platform V Frontend Std (#FS).

• Компонент Защита от внутренних отказов ЕФС (FPRT) продукта Platform V Frontend Std (#FS).

• Компонент ЕФС.Stand In (STDE) продукта Platform V Frontend Std (#FS).

Успешно пройдены тест кейсы раздела «Проверка работоспособности».

В процессе установки выполнены следующие действия:

• Создана схема БД с именем uftm_<суффикс_блока>.

• Установлен дистрибутив компонента Динамический контент (UFTM) продукта Platform V Content Management (SDC).

• (Опционально) Применены параметры подключения к указанным выше инфраструктурным компонентам фронтальной части Платформы.