From 9a665dc7ab71ade69b4507036d610871474cd91b Mon Sep 17 00:00:00 2001
From: Yana Ishkhanova <YaIshkhanova@beeline.ru>
Date: Wed, 18 Mar 2026 14:57:51 +0300
Subject: [PATCH] =?UTF-8?q?=D0=92=D1=8B=D0=BD=D0=B5=D1=81=D0=B5=D0=BD?=
 =?UTF-8?q?=D0=B8=D0=B5=20=D0=B1=D0=BB=D0=BE=D0=BA=D0=B0=20IPSEC=20=D0=B8?=
 =?UTF-8?q?=D0=B7=20cluster=5Fparametr=20=D0=B2=20=D0=BE=D1=82=D0=B4=D0=B5?=
 =?UTF-8?q?=D0=BB=D1=8C=D0=BD=D1=83=D1=8E=20=D1=81=D1=82=D0=B0=D1=82=D1=8C?=
 =?UTF-8?q?=D1=8E,=20=D0=B2=D0=BD=D0=B5=D1=81=D0=B5=D0=BD=D0=B8=D0=B5=20?=
 =?UTF-8?q?=D0=BF=D1=80=D0=B0=D0=B2=D0=BE=D0=BA?=
MIME-Version: 1.0
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: 8bit

---
 src/PaaS/PostgreSQL/IPSEC.md             | 123 +++++++++++++++++++++
 src/PaaS/PostgreSQL/cluster_parameter.md | 134 +----------------------
 2 files changed, 128 insertions(+), 129 deletions(-)
 create mode 100644 src/PaaS/PostgreSQL/IPSEC.md

diff --git a/src/PaaS/PostgreSQL/IPSEC.md b/src/PaaS/PostgreSQL/IPSEC.md
new file mode 100644
index 0000000..170a684
--- /dev/null
+++ b/src/PaaS/PostgreSQL/IPSEC.md
@@ -0,0 +1,123 @@
+## О разделе
+
+В данном разделе приведены параметры конфигурации IPsec-соединения, используемого для организации защищенного канала связи между инфраструктурой заказчика и кластерами. Материал описывает настройки этапов установки соединения и передачи данных, включая методы аутентификации, алгоритмы шифрования и хэширования, группы Диффи-Хеллмана, а также параметры времени жизни ключей. Часть параметров определяется клиентом при заказе услуги, часть является фиксированной и не подлежит изменению.
+
+## Параметры конфигурации IPSEC
+
+Ниже приведены основные параметры, задаваемые при развертывании кластера Kafka. Часть параметров определяется клиентом на этапе заказа услуги, часть - фиксирована и не подлежит изменению.
+
+### Данные о конфигурации IPSEC
+
+Параметры подключения (имя туннеля, устройство, публичный IP-адрес) заполняются вручную на основании информации, предоставленной заказчиком.
+
+### Версия IKE (Internet Key Exchange)
+
+Версия IKE выбирается из выпадающего списка, который содержит в себе два параметра - **v1** и **v2**. Разница заключается в том, что **IKE v1** - более ранняя версия протокола.  
+**IKE v2** - более современная версия, обеспечивающая лучшую устойчивость соединения и более гибкую обработку ошибок. Рекомендуется использовать IKE v2, если оборудование заказчика это поддерживает.
+
+### Метод аутентификации
+
+Метод аутентификации выбирается вручную из выпадающего списка, который содержит два варианта: _PSK_ (Pre-Shared Key) и _Certificate_ (Сертификат).
+- **PSK (Pre-Shared Key)** - метод аутентификации, при котором используется заранее согласованный общий ключ; 
+- **Certificate** - аутентификация с использованием цифровых сертификатов. 
+
+------
+## Этап 1 - установка защищенного соединения
+
+### Hash
+
+Определяет алгоритм хэширования для защиты управляющего канала. Данный параметр заполняется вручную из выпадающего списка следующего содержания:
+- **SHA 1** - Формирует хэш длиной 160 бит, имеет коллизии (уязвимости), в современных системах считается устаревшим, используется только для совместимости со старым оборудованием;
+- **SHA 2 - 256** - Формирует хэш длиной 256 бит, существенно более устойчив к атакам, оптимальный баланс между безопасностью и производительностью, а также, на сегодняшний день, является стандартом по умолчанию в большинстве систем; 
+- **SHA 2 - 384** - Длина хэша составляет 384 бита, имеет повышенную криптостойкость, требует больше вычислительных ресурсов, чем SHA-1 и SHA 2-256. Используется в средах с повышенными требованиями к безопасности;
+- **SHA 2 - 512** - Длина хэша составляет 512 бит, осуществляет самый высокий уровень стойкости из перечисленных, а также создает большую нагрузку на процессор. Обычно применяется в системах с повышенными требованиями к криптографии.
+
+### Шифрование
+
+Определяет алгоритм симметричного шифрования. Данный параметр заполняется вручную из выпадающего списка следующего содержания:
+- **AES 128** - имеет 128-битный ключ, обеспечивает быстрое шифрование, имеет достаточный уровень безопасности для большинства задач;
+- **AES 256** - имеет 256-битный ключ, обеспечивает более высокую криптостойкость, оказывает немного большую нагрузку на CPU;
+- **AES GCM 12** / **AES GCM 192** / **AES GCM 256** - данные алгоритмы совмещают шифрование и контроль целостности, обладают более современным режимом работы, считаются более эффективными по производительности, а также рекомендуются в современных конфигурациях. Разница между этими тремя алгоритмами лишь в длине ключа.
+
+### DH Group - группа Деффи Хеллмана
+
+Механизм Diffie-Hellman используется для безопасной генерации общего секретного ключа между сторонами туннеля без передачи этого ключа по сети.
+Чем выше номер группы и длина ключа - тем выше криптографическая стойкость соединения.
+
+Данный параметр так же содержит в себе выпадающий список, состоящий из следующих значений: 
+- **group 2**;
+- **group 5**;
+- **group 14**;
+- **group 15**;
+- **group 16**;
+- **group 19**;
+- **group 20**;
+- **group 21**.
+
+### IKE Mode (только для IKEv1)
+
+Параметр IKE Mode определяет способ установления соединения на этапе 1 при использовании протокола IKEv1.
+
+Доступны два режима: **Main** и **Aggressive**. Они отличаются количеством сообщений при установке соединения и уровнем защиты идентификационных данных.
+- Main Mode - является стандартным и более безопасным режимом работы IKEv1.
+- Aggressive Mode - упрощённый и ускоренный режим установления соединения. (более низкий уровень защиты данных)
+
+### Время жизни 
+
+Определяет, как долго действуют согласованные ключи в рамках первой фазы. 
+- Рекомендуемое значение: 86400 секунд (24 часа);
+- После истечения времени выполняется повторная генерация ключей. 
+
+------
+## Этап 2 - передача данных
+
+Этап 2 IPsec-соединения отвечает за шифрование и защиту пользовательского трафика после того, как защищённый канал был установлен на этапе 1. Этот этап регулирует передачу данных между сторонами через безопасный туннель, который обеспечивает конфиденциальность и целостность данных.
+
+## Hash
+
+Аналогично этапу 1, параметр Hash используется для защиты целостности передаваемых данных. Он обеспечивает проверку, что данные не были изменены при передаче. Содержит такой же перечень элементов для выбора:
+- **SHA 1**;
+- **SHA 2 - 256**;
+- **SHA 2 - 384**;
+- **SHA 2 - 512**.
+
+## Шифрование
+
+Этап 2 отвечает за шифрование пользовательского трафика. Это важнейший параметр, который защищает данные при их передаче по сети. Доступны следующие алгоритмы:
+- **AES 128**; 
+- **AES 256**;
+- **AES GCM 128**;
+- **AES GCM 192**; 
+- **AES GCM 256**.
+
+### PFS
+
+**Enable perfect forward secrecy (PFS)** - параметр, активирующий генерацию нового ключа на этапе 2. При включенном PFS группа DH будет такая же как и на 1-й фазе. 
+Данный параметр представлен в виде чекбокса. При его включении:
+- На этапе 2 выполняется дополнительный обмен ключами Diffie-Hellman;
+- Для каждой новой IPsec-сессии формируется новый независимый криптографический секрет;
+- Ключи шифрования пользовательского трафика не зависят от ключей этапа 1.
+
+### DH Group - группа Деффи Хеллмана
+
+Группа DH определяет параметры обмена ключами между сторонами. Чем выше номер группы, тем выше криптографическая стойкость и безопасность обмена.
+
+Данный параметр так же содержит в себе выпадающий список, состоящий из следующих значений: 
+- **group 2**;
+- **group 5**;
+- **group 14**;
+- **group 15**;
+- **group 16**;
+- **group 19**;
+- **group 20**;
+- **group 21**.
+
+### Время жизни (в секундах)
+
+Определяет, как долго действуют согласованные ключи в рамках второй фазы. 
+- Рекомендуемое значение: 3600 секунд (1 час).
+- После истечения времени выполняется повторная генерация ключей.
+
+### Префиксы локальной сети заказчика 
+
+Этот параметр определяет, какие сети на стороне заказчика будут маршрутизироваться через IPsec-туннель. Префиксы задаются в формате `192.168.1.0/24`, который позволяет указать диапазон IP-адресов.
diff --git a/src/PaaS/PostgreSQL/cluster_parameter.md b/src/PaaS/PostgreSQL/cluster_parameter.md
index bf27193..40d310c 100644
--- a/src/PaaS/PostgreSQL/cluster_parameter.md
+++ b/src/PaaS/PostgreSQL/cluster_parameter.md
@@ -72,134 +72,10 @@
 
 :::
 
-## Параметры конфигурации IPSEC
+## Сетевой доступ к кластеру
 
-Ниже приведены основные параметры, задаваемые при развёртывании кластера PostgreSQL. Часть параметров определяется клиентом на этапе заказа услуги, часть — фиксирована и не подлежит изменению.
+Для организации защищенного подключения к кластеру Kafka доступны стандартные механизмы, используемые во всех сервисах платформы:
+- **IPsec-подключение** - организация защищенного туннеля между инфраструктурой и кластером PostgreSQL. Подробнее см. раздел IPsec;
+- **Interconnect** - прямое сетевое соединение между сервисами внутри платформы без выхода в интернет. Подробнее см. раздел Interconnect.
 
-### Данные о конфигурации IPSEC
-
-Параметры подключения (имя туннеля, устройство, публичный IP-адрес) заполняются вручную на основании информации, предоставленной заказчиком.
-
-### Версия IKE (Internet Key Exchange)
-
-Версия IKE выбирается из выпадающего списка, который содержит два значения:
-
-- **IKE v1** — более ранняя версия протокола;
-- **IKE v2** — более современная версия, обеспечивающая лучшую устойчивость соединения и более гибкую обработку ошибок.
-
-Рекомендуется использовать IKE v2, если оборудование заказчика это поддерживает.
-
-### Метод аутентификации
-
-Метод аутентификации выбирается из выпадающего списка, который содержит два варианта:
-
-- **PSK** (Pre-Shared Key) — аутентификация с использованием заранее согласованного общего ключа;
-- **Certificate** (сертификат) — аутентификация с использованием цифровых сертификатов.
-
-## Этап 1 - установка защищенного соединения
-
-На данном этапе задаются параметры шифрования и аутентификации для защищённого канала связи. Все параметры выбираются вручную из выпадающих списков.
-
-### Алгоритм хэширования
-
-Определяет алгоритм хэширования для защиты управляющего канала. Параметр заполняется вручную из выпадающего списка:
-
-- **SHA1** — формирует хэш длиной 160 бит, имеет коллизии (уязвимости), в современных системах считается устаревшим, используется только для совместимости со старым оборудованием.
-- **SHA2-256** — формирует хэш длиной 256 бит, существенно более устойчив к атакам, оптимальный баланс между безопасностью и производительностью.
-- **SHA2-384** — длина хэша составляет 384 бита, имеет повышенную криптостойкость, требует больше вычислительных ресурсов, чем SHA-1 и SHA2-256. Используется в средах с повышенными требованиями к безопасности.
-- **SHA2-512** — длина хэша составляет 512 бит, обеспечивает самый высокий уровень стойкости из перечисленных, создает наибольшую нагрузку на процессор. Обычно применяется в системах с повышенными требованиями к криптографии.
-
-### Шифрование (Hash)
-
-Определяет алгоритм симметричного шифрования. Параметр заполняется вручную из выпадающего списка:
-
-AES 128 — использует 128-битный ключ, обеспечивает быстрое шифрование, имеет достаточный уровень безопасности для большинства задач.
-AES 256 — использует 256-битный ключ, обеспечивает более высокую криптостойкость, оказывает немного большую нагрузку на CPU.
-AES GCM 128 / AES GCM 192 / AES GCM 256 — данные алгоритмы совмещают шифрование и контроль целостности, обладают более современным режимом работы, считаются более эффективными по производительности, рекомендуются в современных конфигурациях. Разница между алгоритмами — в длине ключа.
-
-### DH Group (группа Диффи — Хеллмана)
-
-Механизм Diffie-Hellman используется для безопасной генерации общего секретного ключа между сторонами туннеля без передачи этого ключа по сети. Чем выше номер группы и длина ключа, тем выше криптографическая стойкость соединения.
-
-Параметр заполняется вручную из выпадающего списка:
-
-group 2;
-group 5;
-group 14;
-group 15;
-group 16;
-group 19;
-group 20;
-group 21.
-
-### IKE Mode (только для IKEv1)
-
-Параметр **IKE Mode** определяет способ установления соединения на этапе 1 при использовании протокола IKEv1.
-
-Доступны два режима: Main и Aggressive. Они отличаются количеством сообщений при установке соединения и уровнем защиты идентификационных данных.
-
-- **Main Mode** — стандартный и более безопасный режим работы IKEv1;
-- **Aggressive Mode** — упрощённый и ускоренный режим установления соединения с более низким уровнем защиты данных.
-
-### Время жизни (Lifetime)
-
-Параметр определяет, как долго действуют согласованные ключи в рамках первой фазы. После истечения времени выполняется повторная генерация ключей.
-
-## Этап 2 - передача данных
-
-Этап 2 IPsec-соединения отвечает за шифрование и защиту пользовательского трафика после того, как защищённый канал был установлен на этапе 1. Этот этап регулирует передачу данных между сторонами через безопасный туннель, который обеспечивает конфиденциальность и целостность данных.
-
-### Алгоритм хэширование (Hash)
-
-Аналогично этапу 1, параметр Hash используется для защиты целостности передаваемых данных. Он обеспечивает проверку того, что данные не были изменены при передаче. Доступны следующие алгоритмы:
-
-- SHA1;
-- SHA2-256;
-- SHA2-384;
-- SHA2-512.
-
-## Шифрование
-
-Этап 2 отвечает за шифрование пользовательского трафика. Это важнейший параметр, который защищает данные при их передаче по сети. Доступны следующие алгоритмы:
-
-- AES 128;
-- AES 256;
-- AES GCM 128;
-- AES GCM 192;
-- AES GCM 256.
-
-### PFS
-
-**Enable perfect forward secrecy (PFS)** - параметр, активирующий генерацию нового ключа на этапе 2. При включенном PFS группа Diffie-Hellman (DH) будет такая же как и на 1-й фазе.
-
-Данный параметр представлен в виде чекбокса. При его включении:
-
-- на этапе 2 выполняется дополнительный обмен ключами DH;
-- для каждой новой IPsec-сессии формируется новый независимый криптографический секрет;
-- ключи шифрования пользовательского трафика не зависят от ключей этапа 1.
-
-### DH Group (группа Диффи — Хеллмана)
-
-Группа DH определяет параметры обмена ключами между сторонами. Чем выше номер группы, тем выше криптографическая стойкость и безопасность обмена.
-
-Данный параметр так же содержит в себе выпадающий список, состоящий из следующих значений:
-
-- group 2;
-- group 5;
-- group 14;
-- group 15;
-- group 16;
-- group 19;
-- group 20;
-- group 21.
-
-### Время жизни (Lifetime)
-
-Определяет, как долго действуют согласованные ключи в рамках второй фазы. 
-
-- рекомендуемое значение: 3600 секунд (1 час);
-- после истечения времени выполняется повторная генерация ключей.
-
-### Префиксы локальной сети заказчика
-
-Этот параметр определяет, какие сети на стороне заказчика будут маршрутизироваться через **IPsec-туннель**. Префиксы задаются в формате `192.168.1.0/24`, который позволяет указать диапазон IP-адресов.
\ No newline at end of file
+Выбор конкретного способа подключения зависит от архитектуры приложений и требований к безопасности.
\ No newline at end of file