Compare commits
9 Commits
| Author | SHA1 | Date | |
|---|---|---|---|
 Левченко Людмила Алексеевна
|
e16de52934 | ||
|
Левченко Людмила Алексеевна
|
9f287b5f15 | ||
|
Левченко Людмила Алексеевна
|
f242ddd4cb | ||
|
Левченко Людмила Алексеевна
|
3a96cb441e | ||
|
Левченко Людмила Алексеевна
|
c01886e49b | ||
|
Yana Ishkhanova
|
9a21a53e11 | ||
|
Yana Ishkhanova
|
83f5e68647 | ||
|
Yana Ishkhanova
|
46b4dfec73 | ||
|
Yana Ishkhanova
|
ff8c1af855 |
@@ -178,6 +178,19 @@ export default defineConfig({
|
||||
{text: 'Параметры конфигурации IPSEC', link: '/PaaS/IPSEC.md'},
|
||||
],
|
||||
|
||||
'/Apache-Kafka/': [
|
||||
{ text: 'Apache-Kafka', link: '/Apache-Kafka/Kafka-index.md',
|
||||
collapsed: true,
|
||||
items: [
|
||||
{text: 'Обзор сервиса', link: '/Apache-Kafka/about-service.md'},
|
||||
{text: 'Работа с кластером Kafka по тарифу Base', link: '/Apache-Kafka/base-tier-connection.md'},
|
||||
{text: 'Настройка топика по тарифу Base', link: '/Apache-Kafka/base-tier-topics-guide.md'},
|
||||
{text: 'Конфигурация кластера', link: '/Apache-Kafka/cluster-configuretion.md'},
|
||||
{text: 'Работа с кластером Kafka по тарифу Full', link: '/Apache-Kafka/full-tier-connection.md'},
|
||||
],
|
||||
}
|
||||
],
|
||||
|
||||
// '/billing/': [
|
||||
|
||||
// ],
|
||||
|
||||
@@ -0,0 +1,22 @@
|
||||
---
|
||||
section_links:
|
||||
- title: Назначение сервиса
|
||||
link: /Apache-Kafka/about-service.md
|
||||
description: Назначения и преимущества сервиса
|
||||
- title: Работа с кластером Kafka по тарифу Base
|
||||
link: /Apache-Kafka/base-tier-connection.md
|
||||
description: Подключение и работа с кластером Kafka по тарифу Base
|
||||
- title: Настройка топика по тарифу Base
|
||||
link: /Apache-Kafka/base-tier-topics-guide.md
|
||||
description: Рекомендации по настройке топика Kafka по тарифу Base
|
||||
- title: Конфигурация кластера
|
||||
link: /Apache-Kafka/cluster-configuretion.md
|
||||
description: Конфигурации и возможности кластера Kafka
|
||||
- title: Работа с кластером Kafka по тарифу Full
|
||||
link: /Apache-Kafka/full-tier-connection.md
|
||||
description: Подключение и работа с кластером Kafka по тарифу Full
|
||||
---
|
||||
|
||||
# Apache-Kafka
|
||||
|
||||
В данном разделе представлена документация по управляемому сервису **Apache-Kafka** платформы Beeline Cloud.
|
||||
@@ -0,0 +1,75 @@
|
||||
# Назначение сервиса
|
||||
|
||||
Данный сервис предназначен для команд, которым требуется надёжный и масштабируемый конвейер данных без необходимости самостоятельно разворачивать и обслуживать инфраструктуру Kafka.
|
||||
|
||||
**Apache Kafka** - это распределённая система для потоковой передачи данных в реальном времени. Сервис обеспечивает надёжную и масштабируемую доставку сообщений между компонентами приложений, гарантируя отказоустойчивость и высокую производительность.
|
||||
|
||||
В архитектуре современных информационных систем Kafka выполняет роль централизованного конвейера данных: одни сервисы (продюсеры) публикуют сообщения, а другие (консьюмеры) получают эти сообщения по мере необходимости.
|
||||
|
||||
## Основные понятия
|
||||
|
||||
| Термин | Описание |
|
||||
|--------------------------------|----------|
|
||||
| **Продюсер (Producer)** | Программный компонент, который отправляет данные в Kafka. Продюсером может выступать любой сервис, генерирующий события: модуль приложения, система логирования, датчик IoT-устройства. |
|
||||
| **Консьюмер (Consumer)** | Программный компонент, который получает данные из Kafka. Консьюмер подписывается на интересующие его события и обрабатывает поступающие сообщения. |
|
||||
| **Топик (Topic)** | Именованный канал для хранения сообщений определённого типа. Топики организуют потоки данных по смыслу: например, «заказы», «ошибки», «события авторизации». Консьюмеры подписываются на один или несколько топиков для получения релевантных данных. |
|
||||
| **Партиция (Partition)** | Каждый топик разделяется на партиции - логические сегменты, распределяемые между серверами кластера. Партиции обеспечивают параллельную обработку данных: различные части одного топика могут обрабатываться одновременно несколькими консьюмерами. |
|
||||
| **Репликация (Replication)** | Для обеспечения отказоустойчивости партиции копируются на несколько серверов (брокеров). При выходе одного сервера из строя данные остаются доступными на других узлах кластера. |
|
||||
| **Микросервисная архитектура** | Kafka является стандартным решением для организации связи между микросервисами. В такой архитектуре сервисы обмениваются событиями асинхронно, что повышает надёжность и масштабируемость системы в целом. |
|
||||
|
||||
## Преимущества управляемого сервиса
|
||||
|
||||
#### Администрирование
|
||||
|
||||
Клиенту не требуется самостоятельно разворачивать и обслуживать кластер Kafka. Сервис включает в себя управление инфраструктурой, обновление версий, масштабирование и поддержку работоспособности.
|
||||
|
||||
#### Мониторинг
|
||||
|
||||
Предоставляются готовые дашборды в Grafana с визуализацией ключевых метрик:
|
||||
|
||||
- состояние брокеров;
|
||||
- нагрузка на кластер;
|
||||
- настроенная система оповещений о критических событиях;
|
||||
- заполнение дискового пространства.
|
||||
|
||||
#### Безопасность
|
||||
|
||||
Поддерживается шифрованное подключение к кластеру с использованием SSL/TLS-сертификатов, что гарантирует защиту данных при передаче.
|
||||
|
||||
#### Экспертная поддержка
|
||||
|
||||
Сервис создан с учётом практического опыта администрирования более 500 кластеров Kafka. Накопленная экспертиза позволяет обеспечивать стабильность работы, своевременно выявлять и устранять потенциальные проблемы, оптимизировать конфигурации под конкретные задачи.
|
||||
|
||||
## Тарифные планы
|
||||
|
||||
### 1. Тариф "Base"
|
||||
|
||||
Тарифный план для тех, кто имеет собственную экспертизу в работе с Kafka и желает самостоятельно управлять объектами верхнего уровня.
|
||||
|
||||
**Обязательства провайдера:**
|
||||
|
||||
- поддержка инсталляции кластера;
|
||||
- своевременное обновление версий Kafka;
|
||||
- расширение вычислительных ресурсов кластера по запросу клиента.
|
||||
|
||||
**Возможности:**
|
||||
|
||||
- **Управление учетными записями и правами доступа** – создание пользователей и настройка их прав для работы с Kafka;
|
||||
- **Администрирование топиков** - полный цикл управления: создание, конфигурирование, настройка параметров и удаление;
|
||||
- **Управление консьюмер-группами (Consumer Groups)** – возможность создавать, изменять и удалять логические объединения консьюмеров, которые совместно читают сообщения из топиков. Это обеспечивает высокую производительность и отказоустойчивость при обработке данных;
|
||||
- **Работа с transactional ID** – полный цикл управления транзакционными идентификаторами (создание, изменение, удаление). Транзакционный идентификатор присваивается продюсеру Kafka для обеспечения атомарности операций: запись нескольких сообщений или коммит оффсетов выполняются по принципу «всё или ничего», а также предотвращается появление «зомби-продюсеров» при перезапусках.
|
||||
|
||||
Инфраструктурное ядро кластера (брокеры, репликация, отказоустойчивость) остаётся под управлением провайдера.
|
||||
|
||||
### 2. Тариф "Full"
|
||||
|
||||
Тарифный план для тех, кто предпочитает полностью делегировать задачи по администрированию Kafka.
|
||||
|
||||
**Обязательства провайдера:**
|
||||
|
||||
- полное управление кластером;
|
||||
- администрирование топиков;
|
||||
- управление консьюмер-группами;
|
||||
- работа с transactional id.
|
||||
|
||||
Kafka используется как готовый сервис, не вовлекаясь в вопросы настройки и обслуживания.
|
||||
@@ -0,0 +1,244 @@
|
||||
# Подключение и работа с кластером Kafka (тариф Base)
|
||||
|
||||
Раздел содержит описание способов подключения к управлению кластером Kafka. Поддерживаются два типа подключения:
|
||||
- `SASL_PLAINTEXT` - незашифрованное;
|
||||
- `SASL_SSL` - зашифрованное (через SSL-сертификат).
|
||||
|
||||
Также в разделе приведены примеры работы с клиентскими утилитами и базовые операции администрирования.
|
||||
|
||||
## Предварительные требования
|
||||
|
||||
Для начала работы с кластером Kafka необходимо выполнить предварительную настройку:
|
||||
|
||||
1. **Установить клиент Kafka** - скачивается дистрибутив Kafka (например, kafka_2.13-4.2.0) и распаковывается в удобную директорию;
|
||||
2. **Установить среду выполнения Java** - для работы необходимо установить среду выполнения, с помощью команды: `sudo apt install openjdk-17-jre-headless`. Рекомендуется использовать версию OpenJDK 17 или выше;
|
||||
3. **Доступ к брокерам** - адреса брокеров (bootstrap servers) предоставляются после развертывания кластера;
|
||||
4. **Учетные данные**:
|
||||
- **Имя пользователя (username)** - стандартное значение client;
|
||||
- **Пароль** - предоставляется после развертывания кластера.
|
||||
5. **Корневой сертификат (для SSL-подключения)** - сертификат для зашифрованного подключения предоставляется файлом при заказе сервиса Kafka.
|
||||
|
||||
## Структура клиентского дистрибутива
|
||||
|
||||
После распаковки архива Kafka в директории bin доступны основные скрипты для управления:
|
||||
|
||||
| Скрипт | Назначение |
|
||||
| --------------------------- | -------------------------------------------------- |
|
||||
| `kafka-topics.sh` | Управление топиками (создание, удаление, просмотр) |
|
||||
| `kafka-console-producer.sh` | Отправка сообщений в топик |
|
||||
| `kafka-console-consumer.sh` | Чтение сообщений из топика |
|
||||
| `kafka-consumer-groups.sh` | Управление консьюмер-группами |
|
||||
| `kafka-configs.sh` | Изменение конфигурации топиков и других объектов |
|
||||
| `kafka-acls.sh` | Управление списками доступа (ACL) |
|
||||
|
||||
В разделе ниже приведены примеры использования скриптов.
|
||||
|
||||
Подробное описание операций с данными и другими скриптами приведено в [официальной документации Kafka](https://kafka.apache.org/42/getting-started/introduction/). Дополнительную информацию можно получить, выполнив любой скрипт с флагом --help:
|
||||
|
||||
```
|
||||
./kafka-topics.sh --help
|
||||
```
|
||||
|
||||
#### Конфигурационные файлы клиента
|
||||
|
||||
Для подключения к Kafka используется файл настроек **client.properties**, который содержит параметры аутентификации, протокола и его механизмов (рекомендуются SCRAM_SHA_512 и SCRAM_SHA_256).
|
||||
|
||||
## Незашифрованное подключение (SASL_PLAINTEXT)
|
||||
|
||||
Создается файл **client.properties** со следующим содержимым:
|
||||
|
||||
```
|
||||
sasl.mechanism=SCRAM-SHA-512
|
||||
security.protocol=SASLPLAINTEXT
|
||||
sasl.jaas.config=org.apache.kafka.common.security.scram.ScramLoginModule required \
|
||||
username="client" \
|
||||
password="вашпароль";
|
||||
```
|
||||
|
||||
::: warning Примечание
|
||||
Для незашифрованного подключения (SASL_PLAINTEXT) используется порт 9091;
|
||||
:::
|
||||
|
||||
## Зашифрованное подключение (SASL_SSL)
|
||||
|
||||
Для зашифрованного подключения (в production-средах рекомендуется использовать именно его) дополнительно требуется корневой сертификат и хранилище доверенных сертификатов (truststore).
|
||||
|
||||
::: warning Примечание
|
||||
Для зашифрованного подключения (SASL_SSL) используется порт 9092.
|
||||
:::
|
||||
|
||||
### Шаг 1. Создание truststore
|
||||
|
||||
С помощью утилиты **keytool** выполняется импорт сертификата в хранилище:
|
||||
|
||||
```
|
||||
keytool -importcert -storetype PKCS12 -keystore /путь/к/трастстору/truststore.jks -alias myalias -file ca.crt -storepass любойвашпароль -keypass любойвашпароль
|
||||
```
|
||||
|
||||
Параметры:
|
||||
|
||||
- **keystore** - путь к создаваемому хранилищу;
|
||||
- **alias** - псевдоним сертификата в хранилище;
|
||||
- **file** - путь к загруженному корневому сертификату;
|
||||
- **storepass** - пароль для доступа к хранилищу;
|
||||
- **keypass** - пароль для доступа к ключу.
|
||||
|
||||
### Шаг 2. Настройка client.properties
|
||||
|
||||
В файл **client.properties** добавляются параметры SSL:
|
||||
|
||||
```
|
||||
sasl.mechanism=SCRAM-SHA-512
|
||||
security.protocol=SASLSSL
|
||||
sasl.jaas.config=org.apache.kafka.common.security.scram.ScramLoginModule required \
|
||||
username="client" \
|
||||
password="вашпароль";
|
||||
ssl.truststore.location=/путь/к/трастстору/truststore.jks
|
||||
ssl.truststore.password=парольотхранилища
|
||||
```
|
||||
|
||||
## Работа с кластером Kafka
|
||||
|
||||
### Создание топиков
|
||||
|
||||
```
|
||||
./kafka-topics.sh --bootstrap-server <IP машины 0>:9092,<IP машины 1>:9092,<IP машины X>:9092 --command-config ../config/client.properties --create --topic <имя топика> --partitions <количество партиций> --replication-factor <значение> --config min.insync.replicas=<значение>
|
||||
```
|
||||
|
||||
**Ознакомиться с рекомендациями по настройке топиков можно в разделе [Настройка топиков](./base-tier-topics-guide.md).**
|
||||
|
||||
По умолчанию топик создаётся с --partitions 10 --replication-factor 3 --config min.insync.replicas=2, поэтому, если нет необходимости создавать топик со специфическими настройками, эти флаги в команде можно не указывать.
|
||||
|
||||
### Просмотр списка топиков
|
||||
|
||||
Выполняется команда с указанием брокеров и файла конфигурации:
|
||||
|
||||
```
|
||||
./kafka-topics.sh --bootstrap-server <IP_брокера_0>:9092,<IP_брокера_1>:9092,<IP_брокера_2>:9092 --command-config ~/client.properties --list
|
||||
```
|
||||
|
||||
Параметры:
|
||||
|
||||
- **bootstrap-server** - список брокеров кластера (адреса и порты);
|
||||
command-config - путь к файлу с настройками клиента;
|
||||
- **list** - вывод списка топиков.
|
||||
|
||||
### Отправка сообщения в топик
|
||||
|
||||
Выполняется команда с указанием брокеров, файла конфигурации и топика:
|
||||
|
||||
```
|
||||
./kafka-console-producer.sh --bootstrap-server <IP_брокера_0>:9092,<IP_брокера_1>:9092,<IP_брокера_2>:9092 --command-config~/client.properties --topic test-topic
|
||||
```
|
||||
|
||||
После выполнения команды сообщения вводятся построчно. Для завершения используется сочетание клавиш Ctrl+C.
|
||||
|
||||
### Чтение сообщений из топика
|
||||
|
||||
Выполняется команда с указанием топика и, при необходимости, consumer group:
|
||||
|
||||
```
|
||||
./kafka-console-consumer.sh --bootstrap-server <IP_брокера_0>:9092,<IP_брокера_1>:9092,<IP_брокера_2>:9092 --command-config~/client.properties --topic test-topic --from-beginning --group my-new-consumer-group
|
||||
```
|
||||
|
||||
Параметры:
|
||||
|
||||
- **from-beginning**- чтение всех сообщений с начала (при отсутствии параметра чтение начинается с новых сообщений);
|
||||
- **group** - название consumer group, которая создастся автоматически.
|
||||
|
||||
## Управление пользователями и доступом
|
||||
|
||||
### Рекомендации к созданию пароля
|
||||
|
||||
**Длина пароля (рекомендуемая):**
|
||||
|
||||
- для учётной записи пользователя - не менее 12 знаков;
|
||||
- для учётных записей администраторов, технических и служебных учётных записей - не менее 16 знаков.
|
||||
|
||||
**Сложность пароля:** рекомендуется использовать уникальный пароль, содержащий символы как минимум трёх из четырёх указанных ниже групп (при отсутствии технических ограничений):
|
||||
|
||||
- буквы латинского алфавита в верхнем регистре (A-Z);
|
||||
- буквы латинского алфавита в нижнем регистре (a-z);
|
||||
- цифры (0-9);
|
||||
- специальные символы и знаки пунктуации (например, `!@#$%^&*(),.?`).
|
||||
|
||||
**Периодичность смены:** рекомендуемая периодичность смены пароля - не реже одного раза в год.
|
||||
|
||||
### Создание пользователей
|
||||
|
||||
Для удобства можно написать скрипт, который создает пользователя сразу для двух методов шифрования - SHA-256 и SHA-512:
|
||||
|
||||
```
|
||||
#!/bin/bash
|
||||
username="имя_пользователя"
|
||||
password="сгенерированный_пароль"
|
||||
bootstrap="<IP_брокера_0>:9092,<IP_брокера_1>:9092,<IP_брокера_X>:9092"
|
||||
|
||||
/opt/kafka/bin/kafka-configs.sh \
|
||||
--bootstrap-server $bootstrap \
|
||||
--alter \
|
||||
--add-config SCRAM-SHA-256=[password="$password"] \
|
||||
--command-config /opt/kafka/config/client.properties \
|
||||
--entity-type users \
|
||||
--entity-name $username
|
||||
|
||||
/opt/kafka/bin/kafka-configs.sh \
|
||||
--bootstrap-server $bootstrap \
|
||||
--alter \
|
||||
--add-config SCRAM-SHA-512=[password="$password"] \
|
||||
--command-config /opt/kafka/config/client.properties \
|
||||
--entity-type users \
|
||||
--entity-name $username
|
||||
```
|
||||
|
||||
**Запуск скрипта:**
|
||||
|
||||
```
|
||||
sudo ./kafka-user-add.sh
|
||||
```
|
||||
|
||||
### Просмотр данных о пользователе
|
||||
|
||||
Для просмотра информации о существующих пользователях выполняется команда:
|
||||
|
||||
```
|
||||
sudo ./kafka-console-consumer.sh --bootstrap-server <IP_брокеров>:9092 --describe --command-config ../config/client.properties --entity-type users
|
||||
```
|
||||
|
||||
### Управление consumer groups
|
||||
|
||||
Consumer Group создается автоматически при обращении к ней. Например, при чтении сообщений из топика с указанием этой consumer group:
|
||||
|
||||
```
|
||||
sudo ./kafka-console-consumer.sh --bootstrap-server <IP_брокеров>:9092 --command-config ../config/client.properties --topic test-topic --group test-group --from-beginning
|
||||
```
|
||||
|
||||
### Просмотр списка ACL
|
||||
|
||||
Действия с ACL из командной строки осуществляются скриптом kafka-acls.sh. Пример просмотра списка ACL:
|
||||
|
||||
```
|
||||
sudo ./kafka-acls.sh --bootstrap-server <IP_брокера_0>:9092,<IP_брокера_1>:9092,<IP_брокера_X>:9092 --command-config ../config/client.properties --list
|
||||
```
|
||||
|
||||
## Администрирование кластера
|
||||
|
||||
#### Изменение объема RAM
|
||||
|
||||
Для изменения объема оперативной памяти, выделенной под Kafka, направляется обращение в техническую поддержку с указанием требуемого объема RAM.
|
||||
|
||||
#### Изменение количества брокеров
|
||||
|
||||
Выполняется также через обращение в техническую поддержку.
|
||||
|
||||
Брокеров в кластере рекомендуется поддерживать **нечетным** для корректной работы механизмов выборов лидера.
|
||||
|
||||
После добавления брокера выполняется перераспределение существующих партиций с учетом нового узла с помощью утилиты **kafka-reassign-partitions.sh:**
|
||||
|
||||
```
|
||||
./kafka-reassign-partitions.sh --bootstrap-server <адреса_брокеров> --generate --topics-to-move-json-file topics.json --broker-list "0,1,2" --execute
|
||||
```
|
||||
|
||||
::: warning Примечание
|
||||
Операция перераспределения партиций требует времени и может создавать дополнительную нагрузку на кластер. Выполнение рекомендуется в период наименьшей активности.
|
||||
:::
|
||||
@@ -0,0 +1,64 @@
|
||||
# Рекомендации по настройке топика (тариф Base)
|
||||
|
||||
В разделе описаны основные параметры топиков Apache Kafka, влияющие на производительность, отказоустойчивость и параллелизм обработки данных.
|
||||
|
||||
## Базовые параметры топика
|
||||
|
||||
### Имя топика
|
||||
|
||||
При именовании топика применяются следующие правила:
|
||||
|
||||
**Допустимые символы:**
|
||||
- первый символ — буква (a–z, A–Z), цифра (0–9) или подчёркивание (_);
|
||||
- последующие символы — буквы, цифры, точки (.), дефисы (-) или подчёркивания;
|
||||
- длина имени — от 3 до 200 символов.
|
||||
|
||||
**Ограничения:**
|
||||
- имя топика нельзя изменить после создания;
|
||||
- не рекомендуется использовать имена, различающиеся только точкой и подчёркиванием (например, `topic_1` и `topic.1`): Kafka не различает такие названия;
|
||||
- имена с двойным подчёркиванием в начале (например, `__consumer_offsets`) зарезервированы для внутренних топиков Kafka.
|
||||
|
||||
### Количество партиций (partitions)
|
||||
|
||||
Партиции определяют уровень параллелизма при чтении и записи данных. Количество партиций выбирается исходя из требуемой пропускной способности.
|
||||
|
||||
**Правила:**
|
||||
- количество партиций можно только увеличивать (уменьшение невозможно);
|
||||
- при наличии нескольких брокеров рекомендуется выбирать число партиций, кратное количеству брокеров — для равномерного распределения нагрузки;
|
||||
- рекомендуется мониторить отставание потребителей (consumer lag) и при необходимости увеличивать число партиций.
|
||||
|
||||
**Расчет количества партиций:**
|
||||
Количество партиций определяется по формуле:
|
||||
|
||||
```
|
||||
Partitions = max(NP, NC)
|
||||
```
|
||||
где:
|
||||
- NP = TT / TP - количество необходимых продюсеров;
|
||||
- NC = TT / TC - количество необходимых консьюмеров;
|
||||
- TT - общая ожидаемая пропускная способность системы;
|
||||
- TP - максимальная пропускная способность одного продюсера для одной партиции;
|
||||
- TC - максимальная пропускная способность одного консьюмера для одной партиции.
|
||||
|
||||
## Фактор репликации (replication-factor)
|
||||
|
||||
Фактор репликации определяет количество копий данных, хранящихся на разных брокерах.
|
||||
|
||||
**Рекомендация для production-сред:** установите значение **3**.
|
||||
При этом каждая партиция получает одного лидера и две реплики, что обеспечивает отказоустойчивость при выходе одного брокера.
|
||||
|
||||
## Дополнительные параметры конфигурации
|
||||
|
||||
Параметр `min.insync.replicas` (минимальное количество синхронизированных реплик) работает вместе с настройкой продюсера `acks=all`. Он задаёт, сколько реплик (включая лидера) должны подтвердить запись, чтобы она считалась успешной.
|
||||
|
||||
**Для production-кластера с фактором репликации = 3**
|
||||
Установите `min.insync.replicas = 2`.
|
||||
|
||||
Что это даёт:
|
||||
|
||||
- **надёжность** — данные точно попали минимум на два брокера;
|
||||
- **доступность** — если один брокер упадёт, запись продолжится.
|
||||
|
||||
::: warning Примечание
|
||||
Не рекомендуется устанавливать значение равным фактору репликации (например, `min.insync.replicas = 3`). Если один брокер перезагрузится, запись в топик станет невозможной — система будет ждать подтверждения от всех трёх реплик, а одна недоступна.
|
||||
:::
|
||||
@@ -0,0 +1,108 @@
|
||||
# Конфигурация кластера
|
||||
|
||||
В разделе описаны технические параметры кластера Kafka и порядок их первичной настройки.
|
||||
|
||||
Конфигурация выполняется администратором облачного провайдера на этапе развёртывания сервиса. Пользователь не имеет прямого доступа к изменению этих параметров. Перед созданием кластера клиент передаёт менеджеру перечень требуемых параметров. Администратор выполняет настройку в соответствии с согласованными требованиями.
|
||||
|
||||
## Выбор типа и размера дискового хранилища
|
||||
|
||||
Производительность брокера сообщений напрямую зависит от скорости чтения и записи на диск. При заказе кластера необходимо выбрать тип дискового хранилища — он определяет максимальную скорость работы (IOPS) и время отклика.
|
||||
|
||||
**IOPS** (Input/Output Operations Per Second) — количество операций чтения или записи, которые диск выполняет за секунду. Чем выше IOPS, тем быстрее брокер обрабатывает запросы.
|
||||
|
||||
::: warning Примечание
|
||||
Каждые 15 IOPS обеспечивают примерно 1 Мбит/с скорости чтения или записи при размере блока данных 64 КБ.
|
||||
:::
|
||||
|
||||
### Доступные типы хранилищ:
|
||||
|
||||
|Название | Лимит IOPS |
|
||||
|---------------|--------------------|
|
||||
|**Fast SAS** | до 2 IOPS на 1 ГБ |
|
||||
|**SSD** | до 5 IOPS на 1 ГБ |
|
||||
|**Fast SSD** | до 10 IOPS на 1 ГБ |
|
||||
|**Ultra NVMe** | до 25 IOPS на 1 ГБ |
|
||||
|
||||
::: warning Примечание
|
||||
После выбора типа диска необходимо указать объем дискового хранилища, который будет выделен под данные кластера Kafka. Минимальный объем зависит от выбранного типа хранилища
|
||||
:::
|
||||
|
||||
## Конфигурация вычислительных ресурсов
|
||||
|
||||
В данном разделе определяются вычислительные мощности кластера: процессорные ресурсы, оперативная память и количество серверов (нод), из которых будет состоять кластер Kafka.
|
||||
|
||||
#### Основные понятия
|
||||
|
||||
| Термин | Описание |
|
||||
|-------------------------------|----------|
|
||||
| **Количество нод в кластере** | Количество нод определяет отказоустойчивость кластера и возможность распределять запросы на чтение между репликами. Чем больше нод, тем выше надежность и производительность чтения. Количество нод выбирается в диапазоне от 3 до 14. |
|
||||
| **Процессор (CPU)** | Процессор - это вычислительная мощность, которая выделяется каждой ноде кластера. Количество vCPU определяет, насколько быстро брокер сообщений сможет обрабатывать запросы, выполнять сложные операции (сортировки, объединения таблиц) и обслуживать одновременные подключения. Доступный диапазон выбора процессора: от 2 шт до 24 шт. |
|
||||
| **Оперативная память (RAM)** | Оперативная память - один из ключевых ресурсов для производительности. Данные, помещающиеся в RAM, обрабатываются максимально быстро, без обращения к диску. Доступный диапазон выбора оперативной памяти: от 4 ГБ до 768 ГБ. |
|
||||
|
||||
## Интернет
|
||||
|
||||
При заказе сервиса можно выбрать пропускную способность канала связи, через который будет осуществляться доступ к кластеру Kafka из сети интернет.
|
||||
|
||||
**Доступные варианты скорости:**
|
||||
|
||||
- 50 Мбит/с;
|
||||
- 100 Мбит/с;
|
||||
- 200 Мбит/с;
|
||||
- 300 Мбит/с;
|
||||
- 400 Мбит/с;
|
||||
- 500 Мбит/с;
|
||||
- 1000 Мбит/с (1 Гбит/с).
|
||||
|
||||
::: warning Примечание
|
||||
Для выбранного канала предоставляется **публичный IP-адрес**.
|
||||
:::
|
||||
|
||||
## Сетевой доступ к кластеру
|
||||
|
||||
Выбор способа подключения зависит от архитектуры приложений и требований к безопасности. Доступны два варианта:
|
||||
|
||||
- **IPsec-подключение** — организация защищённого туннеля между инфраструктурой клиента и кластером Kafka. Подробнее см. раздел «IPsec»;
|
||||
- **Interconnect** — прямое сетевое соединение между сервисами внутри платформы без использования публичных сетей. Подробнее см. раздел «Interconnect».
|
||||
|
||||
**Особенности Interconnect:**
|
||||
- сначала закажите PaaS-сервис и дождитесь его предоставления;
|
||||
- затем отдельно закажите Interconnect через менеджера.
|
||||
|
||||
## Калькулятор расчёта кластера
|
||||
|
||||
Для расчёта параметров кластера Kafka разработан специализированный калькулятор — простое веб-приложение.
|
||||
|
||||
**Как работает:**
|
||||
- в калькулятор вносятся исходные данные о планируемой нагрузке (пропускная способность, количество партиций и т.д.);
|
||||
- после нажатия кнопки **«Получить»** автоматически рассчитывается конфигурация кластера.
|
||||
|
||||
Все поля обязательны для заполнения. Формы можно удалять, добавлять и дублировать — это позволяет гибко настраивать параметры под разные сценарии использования.
|
||||
|
||||
## Параметры топиков
|
||||
|
||||
| Параметр |Описание |
|
||||
|---------------------------------------|---------|
|
||||
| **Имя топика** |Уникальное наименование топика в рамках кластера. Поле обязательное. Используется для идентификации топика при расчетах.|
|
||||
| **Число партиций** |Количество партиций, на которые будет разбит топик. Значение должно быть больше числа консьюмеров.|
|
||||
| **Фактор репликации** |Количество копий данных, хранящихся на разных брокерах. Для продуктивных кластеров рекомендуется значение не менее 3. <br>**Примечание:** Количество узлов кластера формируется на основании параметра фактора репликации. Рекомендуется выбирать нечетное количество узлов для корректной работы механизмов выборов лидера.|
|
||||
| **Средний размер сообщения** |Средний объем одного сообщения, передаваемого через топик.|
|
||||
| **Максимальный размер сообщения** |Максимальный объем одного сообщения. Используется для расчета пиковых нагрузок.|
|
||||
| **Частота сообщений** |Количество сообщений, отправляемых в топик за единицу времени.|
|
||||
| **Срок хранения сообщения** |Период времени, в течение которого сообщения хранятся в топике после записи. По истечении этого срока данные удаляются.|
|
||||
| **Имя продюсера** |Наименование приложения-отправителя (для идентификации в расчетах)|
|
||||
| **Количество экземпляров продюсера** |Число одновременно работающих экземпляров продюсера.|
|
||||
| **Имя консьюмера** |Наименование приложения-получателя (для идентификации в расчетах).|
|
||||
| **Количество экземпляров консьюмера** |Число одновременно работающих экземпляров консьюмера. <br>**Примечание:** Формы продюсеров и консьюмеров можно добавлять, удалять и дублировать. Это позволяет учитывать множественные источники и приемники данных в рамках одного расчета.|
|
||||
|
||||
## Расчет конфигурации кластера
|
||||
|
||||
После заполнения всех полей нажимается кнопка **Получить**. Все расчеты выполняются в соответствии с планированием ресурсов, указанных в официальной документации Apache Kafka.
|
||||
В результате, рассчитанные параметры служат основой для формирования заказа на управляемый сервис Kafka.
|
||||
|
||||
Калькулятор автоматически производит расчет следующих параметров:
|
||||
|
||||
- **Количество узлов** - формируется на основании параметра фактора репликации (replication.factor). Рекомендуется выбирать нечетное количество узлов для корректной работы механизмов выборов лидера;
|
||||
- **vCPU** - вычисляется из планируемого количества входящих сообщений и масштабируется в зависимости от числа узлов: чем больше кластер, тем меньше требуется CPU на отдельный сервер благодаря распределению нагрузки;
|
||||
- **RAM** - рассчитывается с учетом количества партиций, объема сообщений и числа подключений продюсеров и консьюмеров;
|
||||
- **Тип и объем дискового хранилища** - определяется на основе среднего и максимального размера сообщения, частоты отправки, срока хранения и фактора репликации;
|
||||
- **Параметры репликации** - учитывают заданный фактор репликации и обеспечивают отказоустойчивость кластера.
|
||||
@@ -0,0 +1,138 @@
|
||||
# Подключение и работа с кластером Kafka (тариф Full)
|
||||
|
||||
Раздел содержит описание способов подключения к управлению кластером Kafka. Поддерживаются два типа подключения:
|
||||
- `SASL_PLAINTEXT` - незашифрованное;
|
||||
- `SASL_SSL` - зашифрованное (через SSL-сертификат).
|
||||
|
||||
Также в разделе приведены примеры работы с клиентскими утилитами и базовые операции администрирования.
|
||||
|
||||
## Предварительные требования
|
||||
|
||||
Для начала работы с кластером Kafka необходимо выполнить предварительную настройку:
|
||||
|
||||
1. **Установить клиент Kafka** - скачивается дистрибутив Kafka (например, kafka_2.13-4.2.0) и распаковывается в удобную директорию;
|
||||
2. **Установить среду выполнения Java** - для работы необходимо установить среду выполнения, с помощью команды: `sudo apt install openjdk-17-jre-headless`. Рекомендуется использовать версию OpenJDK 17 или выше;
|
||||
3. **Доступ к брокерам** - адреса брокеров (bootstrap servers) предоставляются после развертывания кластера;
|
||||
4. **Учетные данные**:
|
||||
- Имя пользователя (username) - стандартное значение client;
|
||||
- Пароль - предоставляется после развертывания кластера.
|
||||
5. **Корневой сертификат (для SSL-подключения)** - сертификат для зашифрованного подключения предоставляется файлом при заказе сервиса Kafka.
|
||||
|
||||
## Структура клиентского дистрибутива
|
||||
|
||||
После распаковки архива Kafka в директории bin доступны скрипты, например:
|
||||
|
||||
| Скрипт | Назначение |
|
||||
|---------------------------|--------------------------|
|
||||
|`kafka-console-producer.sh`|Отправка сообщений в топик|
|
||||
|`kafka-console-consumer.sh`|Чтение сообщений из топика|
|
||||
|
||||
В разделе ниже приведены примеры использования скриптов.
|
||||
|
||||
Подробное описание операций с данными и другими скриптами приведено в [официальной документации Kafka](https://kafka.apache.org/42/getting-started/introduction/). Дополнительную информацию можно получить, выполнив любой скрипт с флагом --help:
|
||||
|
||||
```
|
||||
./kafka-console-producer.sh
|
||||
```
|
||||
|
||||
## Конфигурационные файлы клиента
|
||||
|
||||
Для подключения к Kafka используется файл настроек **client.properties**, который содержит параметры аутентификации, протокола и его механизмов (рекомендуются SCRAM_SHA_512 и SCRAM_SHA_256).
|
||||
|
||||
### Незашифрованное подключение (SASL_PLAINTEXT)
|
||||
|
||||
Создается файл client.properties со следующим содержимым:
|
||||
|
||||
```
|
||||
sasl.mechanism=SCRAM-SHA-512
|
||||
security.protocol=SASLPLAINTEXT
|
||||
sasl.jaas.config=org.apache.kafka.common.security.scram.ScramLoginModule required \
|
||||
username="вашлогин" \
|
||||
password="вашпароль";
|
||||
```
|
||||
|
||||
::: warning Примечание
|
||||
Для незашифрованного подключения (SASL_PLAINTEXT) используется порт 9091;
|
||||
:::
|
||||
|
||||
### Зашифрованное подключение (SASL_SSL)
|
||||
|
||||
Для зашифрованного подключения (в production-средах рекомендуется использовать именно его) дополнительно требуется корневой сертификат и хранилище доверенных сертификатов (truststore).
|
||||
|
||||
::: warning Примечание
|
||||
Для зашифрованного подключения (SASL_SSL) используется порт 9092.
|
||||
:::
|
||||
|
||||
### Шаг 1. Создание truststore
|
||||
|
||||
С помощью утилиты **keytool** выполняется импорт сертификата в хранилище:
|
||||
|
||||
```
|
||||
keytool -importcert -storetype PKCS12 -keystore /путь/к/трастстору/truststore.jks -alias myalias -file ca.crt -storepass любойвашпароль -keypass любойвашпароль
|
||||
```
|
||||
|
||||
Параметры:
|
||||
|
||||
- **keystore** - путь к создаваемому хранилищу;
|
||||
- **alias** - псевдоним сертификата в хранилище;
|
||||
- **file** - путь к загруженному корневому сертификату;
|
||||
- **storepass** - пароль для доступа к хранилищу;
|
||||
- **keypass** - пароль для доступа к ключу.
|
||||
|
||||
### Шаг 2. Настройка client.properties
|
||||
|
||||
В файл **client.properties** добавляются параметры SSL:
|
||||
|
||||
```
|
||||
sasl.mechanism=SCRAM-SHA-512
|
||||
security.protocol=SASLSSL
|
||||
sasl.jaas.config=org.apache.kafka.common.security.scram.ScramLoginModule required \
|
||||
username="вашлогин" \
|
||||
password="вашпароль";
|
||||
ssl.truststore.location=/путь/к/трастстору/truststore.jks
|
||||
ssl.truststore.password=парольотхранилища
|
||||
```
|
||||
|
||||
### Отправка сообщения в топик
|
||||
|
||||
Выполняется команда с указанием брокеров, файла конфигурации и топика:
|
||||
|
||||
```
|
||||
./kafka-console-producer.sh --bootstrap-server <IP_брокера_0>:9092,<IP_брокера_1>:9092,<IP_брокера_2>:9092 --command-config~/client.properties --topic test-topic
|
||||
```
|
||||
|
||||
Параметры:
|
||||
|
||||
- **bootstrap-server** - список брокеров кластера (адреса и порты);
|
||||
- **command-config** - путь к файлу с настройками клиента;
|
||||
|
||||
После выполнения команды сообщения вводятся построчно. Для завершения используется сочетание клавиш Ctrl+C.
|
||||
|
||||
### Чтение сообщений из топика
|
||||
|
||||
Выполняется команда с указанием топика и, при необходимости, consumer group:
|
||||
|
||||
```
|
||||
./kafka-console-consumer.sh --bootstrap-server <IP_брокера_0>:9092,<IP_брокера_1>:9092,<IP_брокера_2>:9092 --command-config~/client.properties --topic test-topic --from-beginning --group my-new-consumer-group
|
||||
```
|
||||
|
||||
Параметры:
|
||||
|
||||
- **from-beginning** - чтение всех сообщений с начала (при отсутствии параметра чтение начинается с новых сообщений);
|
||||
- **group** - название consumer group, которая при её указании создастся автоматически.
|
||||
|
||||
## Администрирование кластера
|
||||
|
||||
::: warning Примечание
|
||||
Для изменения параметров кластера Kafka (CPU, RAM, DISK, количества брокеров, параметров топиков) необходимо направить запрос в **Service Desk** по адресу `servicedesk@datafort.ru` с указанием требуемых значений.
|
||||
:::
|
||||
|
||||
### Изменение количества брокеров
|
||||
|
||||
Выполняется также через обращение в техническую поддержку.
|
||||
|
||||
Брокеров в кластере рекомендуется поддерживать **нечетным** для корректной работы механизмов выборов лидера.
|
||||
|
||||
::: warning Примечание
|
||||
Операция перераспределения партиций требует времени и может создавать дополнительную нагрузку на кластер. Выполнение рекомендуется в период наименьшей активности.
|
||||
:::
|
||||
@@ -85,3 +85,4 @@ PostgreSQL - это современная система управления
|
||||
- хранение критичных данных с минимальным временем простоя при отказах инфраструктуры;
|
||||
- быстрое развёртывание PostgreSQL-кластера без необходимости ручной настройки репликации и failover;
|
||||
- администрирование баз данных через веб-интерфейс без прямого доступа к серверам кластера.
|
||||
|
||||
|
||||
@@ -79,6 +79,21 @@ $<iterations>:<salt>$<storedkey>:<serverkey>
|
||||
|Создание новой базы данных | Для создания базы данных | ```CREATE DATABASE app_db;``` |
|
||||
|Создание базы данных с указанием владельца | Пользователь, указанный как владелец, будет иметь полный контроль над базой данных, включая права на её удаление и изменение. По умолчанию владельцем создаваемой базы данных является пользователь, который её создает | ```CREATE DATABASE app_db OWNER client;``` |
|
||||
|
||||
### Требования к паролям
|
||||
|
||||
**Длина пароля (рекомендуемая):**
|
||||
|
||||
- для учётной записи пользователя - не менее 12 знаков;
|
||||
- для учётных записей администраторов, технических и служебных учётных записей - не менее 16 знаков.
|
||||
|
||||
**Сложность пароля:** рекомендуется использовать уникальный пароль, содержащий символы как минимум трёх из четырёх указанных ниже групп (при отсутствии технических ограничений):
|
||||
|
||||
- буквы латинского алфавита в верхнем регистре (A-Z);
|
||||
- буквы латинского алфавита в нижнем регистре (a-z);
|
||||
- цифры (0-9);
|
||||
- специальные символы и знаки пунктуации (например, `!@#$%^&*(),.?`).
|
||||
|
||||
**Периодичность смены:** рекомендуемая периодичность смены пароля - не реже одного раза в год.
|
||||
|
||||
## Создание пользователей и ролей
|
||||
|
||||
|
||||
@@ -6,7 +6,6 @@ section_links:
|
||||
- title: IPSEC
|
||||
link: /PaaS/IPSEC.md
|
||||
description: Параметры конфигурации IPSEC
|
||||
|
||||
---
|
||||
|
||||
# Начало работы в Cloud PostgreSQL
|
||||
|
||||
@@ -104,6 +104,12 @@ services:
|
||||
description: Объектно-реляционная СУБД с открытым кодом, обеспечивающая высокую надёжность и масштабируемость
|
||||
icon: database
|
||||
link: /PaaS/index
|
||||
- title: Брокеры сообщений
|
||||
articles:
|
||||
- title: Apache Kafka
|
||||
description: Распределённая система для потоковой передачи данных в реальном времени
|
||||
icon: message
|
||||
link: /Apache-Kafka/Kafka-index
|
||||
- title: Аналитика
|
||||
articles:
|
||||
- title: Визуализация и анализ данных
|
||||
|
||||
@@ -1,20 +0,0 @@
|
||||
---
|
||||
section_links:
|
||||
- title:
|
||||
link: /security/Cloud-MDM/about.md
|
||||
description: Обзор сервиса
|
||||
- title:
|
||||
link: /security/Cloud-MDM/payments.md
|
||||
description: Порядок платежей
|
||||
- title:
|
||||
link: /security/Cloud-MDM/characteristics.md
|
||||
description: Качественные характеристики сервиса
|
||||
- title:
|
||||
link: /security/Cloud-MDM/provision.md
|
||||
description: Сроки и условия предоставления сервиса
|
||||
---
|
||||
|
||||
# Сервис Cloud Mobile Device Management (MDM)
|
||||
|
||||
Сервис управляет корпоративными и личными мобильными устройствами сотрудников и интегрируется с инфраструктурой заказчика.
|
||||
|
||||
@@ -1,62 +0,0 @@
|
||||
# Cloud Mobile Device Management (MDM)
|
||||
|
||||
## Назначение сервиса
|
||||
|
||||
Сервис **Cloud Mobile Device Management (Cloud MDM)** используется для управления корпоративными и личными мобильными устройствами сотрудников. Сервис интегрируется с инфраструктурой заказчика и предоставляется по модели **Self-Service**.
|
||||
|
||||
## Возможности сервиса
|
||||
|
||||
Сервис позволяет:
|
||||
|
||||
- централизованно учитывать и управлять парком мобильных устройств;
|
||||
- управлять настройками и политиками безопасности мобильных устройств;
|
||||
- удаленно устанавливать ПО на управляемые мобильные устройства.
|
||||
|
||||
## Поддерживаемые операционные системы (ОС)
|
||||
|
||||
Сервис управляет мобильными устройствами со следующими ОС:
|
||||
|
||||
- Android 4.0 и выше.
|
||||
- iOS 4.0 и выше.
|
||||
- Windows Phone 8 и выше.
|
||||
- Windows 10 Laptops.
|
||||
- macOS 10.7 и выше.
|
||||
- tvOS 7.0 и выше.
|
||||
- Android TV (Android 4.4 и выше).
|
||||
- Chrome OS 57.0 и выше.
|
||||
- iPadOS 13.0 и выше.
|
||||
|
||||
## Функциональность сервиса
|
||||
|
||||
| Функция | Назначение |
|
||||
| ----------------------------------------------- | ---------------------------------------------------------------------------------------------- |
|
||||
| Поддержка BYOD | Разграничение личной и корпоративной информации на управляемом устройстве. |
|
||||
| Геолокация | Определение местоположения мобильного устройства на карте. |
|
||||
| Контейнеризация приложений | Защита данных, хранимых внутри приложений. |
|
||||
| Собственный магазин приложений | Распространение приложений из публичных магазинов и приложений, разработанных внутри компании. |
|
||||
| Автоматическая настройка приложений и устройств | Распространение конфигураций e-mail, VPN, Wi-Fi и сертификатов. |
|
||||
| Режим "Kiosk" | Ограничение использования приложений, интерфейса ОС и настроек на мобильном устройстве. |
|
||||
| Дистанционное удаление данных | Удаление данных при утере устройства или увольнении сотрудника. |
|
||||
|
||||
::: warning Важно
|
||||
|
||||
В зависимости от производителя устройства и версии ОС часть описанной функциональности может быть недоступна.
|
||||
|
||||
:::
|
||||
|
||||
## Компоненты сервиса
|
||||
|
||||
| Компонент | Назначение |
|
||||
| ---------------------------------------- | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------ |
|
||||
| Центр управления | Основной компонент сервиса. Заказчик подключается к центру управления через веб-браузер и получает доступ к веб-консоли администратора тенанта. В консоли администратор управляет настройками и задачами. Центр управления хранит информацию о конфигурации сервиса и отправляет команды агентам управления мобильными устройствами. |
|
||||
| Агент управления мобильными устройствами | ПО, которое устанавливается на управляемые мобильные устройства. Агент выполняет задачи, инициированные из центра управления, и применяет политики и настройки на управляемое устройство. |
|
||||
| Шлюз безопасности | Промежуточный сервер между агентами управления мобильными устройствами и центром управления. Все сообщения от агентов до центра управления проходят через шлюз. |
|
||||
| Веб-консоль центра управления | Входит в состав центра управления. Центральная точка управления задачами MDM для администраторов заказчика. В консоли администратор создает и импортирует пользователей, настраивает политики для мобильных устройств, управляет политиками безопасности и т.д. |
|
||||
| Сервер распространения | Устанавливается на компьютер в инфраструктуре заказчика. Используется для интеграции с Active Directory (AD) и получения информации обо всех компьютерах. Связывается с центром управления. |
|
||||
|
||||
::: warning Важно
|
||||
|
||||
**Сервер распространения** — дополнительный компонент. Разворачивается, если требуется интеграция AD заказчика с Cloud MDM или расширенное управление устройствами с ОС Windows.
|
||||
|
||||
:::
|
||||
|
||||
@@ -1,15 +0,0 @@
|
||||
# Качественные характеристики сервиса
|
||||
|
||||
## Режим предоставления сервиса
|
||||
|
||||
Сервис **Cloud Mobile Device Management (Cloud MDM)** предоставляется 24/7.
|
||||
|
||||
## Зона ответственности Beeline Cloud
|
||||
|
||||
Beeline Cloud не отвечает за полное обеспечение защиты от всех возможных угроз информационной безопасности. Сервис основан на ПО стороннего разработчика. Beeline Cloud не гарантирует, что это ПО будет свободно от ошибок, будет работать непрерывно и надежно.
|
||||
|
||||
Если в ПО, на базе которого работает сервис, обнаруживается проблема или ошибка, Beeline Cloud заводит инцидент в технической поддержке вендора и содействует в его решении.
|
||||
|
||||
## Зона ответственности заказчика
|
||||
|
||||
Заказчик использует сервис на собственный риск. Beeline Cloud не несет ответственности за прямые, случайные, особые, косвенные или штрафные убытки, в том числе за утрату данных, прерывание бизнеса или потерю прибыли, возникшие вследствие использования сервиса или невозможности его использования.
|
||||
@@ -1,3 +0,0 @@
|
||||
# Архитектура сервиса
|
||||
|
||||
|
||||
@@ -1,26 +0,0 @@
|
||||
# Зоны ответственности
|
||||
|
||||
::: warning Примечание
|
||||
|
||||
**«К» — консультирующая сторона**: Beeline Cloud выполняет настройки и изменения на основании инструкций и требований заказчика.
|
||||
|
||||
:::
|
||||
|
||||
| № | Зоны ответственности | Self-Service |
|
||||
| --- | ----------------------------------------------------------------------------------------- | ---------------------------- |
|
||||
| 1 | Поддержка работоспособности виртуальных аплаенсов | Beeline Cloud |
|
||||
| 2 | Управление системными настройками виртуальных аплаенсов | Beeline Cloud |
|
||||
| 3 | Установка обновлений центра управления и шлюза безопасности | Beeline Cloud |
|
||||
| 4 | Обеспечение высокой доступности виртуальных аплаенсов: резервное копирование и мониторинг | Beeline Cloud |
|
||||
| 5 | Сбор диагностической информации при неисправностях виртуальных аплаенсов | Beeline Cloud «К» |
|
||||
| 6 | Отправка уведомлений на электронную почту через email relay Beeline Cloud | Beeline Cloud |
|
||||
| 7 | Создание учетных записей администраторов тенанта центра управления | Beeline Cloud |
|
||||
| 8 | Добавление и удаление пользователей в тенанте центра управления | Заказчик |
|
||||
| 9 | Добавление и удаление мобильных устройств в тенанте центра управления | Заказчик |
|
||||
| 10 | Создание и настройка профилей мобильных устройств | Заказчик |
|
||||
| 11 | Создание и настройка конфигураций мобильных устройств | Заказчик |
|
||||
| 12 | Установка и удаление агентов управления на мобильные устройства | Заказчик |
|
||||
| 13 | Внесение иных изменений в тенанте | Заказчик |
|
||||
| 14 | Добавление готовых к распространению приложений в тенант центра управления | Beeline Cloud / Заказчик «К» |
|
||||
| 15 | Заведение кейсов в технической поддержке вендора по функциональности сервиса | Beeline Cloud / Заказчик «К» |
|
||||
|
||||
@@ -1,13 +0,0 @@
|
||||
# Состав сервиса
|
||||
|
||||
Сервис **Cloud Mobile Device Management (Cloud MDM)** предоставляется по модели **Self-Service**: заказчик самостоятельно управляет настройками. Beeline Cloud:
|
||||
|
||||
- предоставляет лицензии на ПО;
|
||||
- выдает тенант в центре управления;
|
||||
- создает учетные записи администраторов тенанта в центре управления;
|
||||
- выдает доступ к веб-консоли тенанта центра управления согласно списку IP-адресов из опросного листа;
|
||||
- обеспечивает отказоустойчивость виртуальных аплаенсов;
|
||||
- проводит резервное копирование и мониторинг виртуальных аплаенсов;
|
||||
- заводит инциденты у вендора, если нарушается работоспособность виртуальных аплаенсов.
|
||||
|
||||
Beeline Cloud тарифицирует [дополнительные работы](work.md) по фактическим трудозатратам.
|
||||
@@ -1,22 +0,0 @@
|
||||
---
|
||||
section_links:
|
||||
- title:
|
||||
link: /security/Cloud-MDM/description/architecture.md
|
||||
description: Архитектура сервиса
|
||||
- title:
|
||||
link: /security/Cloud-MDM/description/areas-responsibility.md
|
||||
description: Зоны ответственности
|
||||
- title:
|
||||
link: /security/Cloud-MDM/description/compound.md
|
||||
description: Состав сервиса
|
||||
- title:
|
||||
link: /security/Cloud-MDM/description/monitoring.md
|
||||
description: Мониторинг работоспособности и отказоустойчивость сервиса
|
||||
- title:
|
||||
link: /security/Cloud-MDM/description/work.md
|
||||
description: Дополнительные работы
|
||||
---
|
||||
|
||||
# Описание сервиса Cloud Mobile Device Management (MDM)
|
||||
|
||||
Сервис используется для управления корпоративными и личными мобильными устройствами сотрудников и интегрируется с инфраструктурой заказчика.
|
||||
@@ -1,16 +0,0 @@
|
||||
# Мониторинг работоспособности и отказоустойчивость сервиса
|
||||
|
||||
## Назначение мониторинга
|
||||
|
||||
Мониторинг обнаруживает отклонения и ошибки в работе виртуальных аплаенсов.
|
||||
|
||||
## Параметры мониторинга виртуальных аплаенсов
|
||||
|
||||
- нагрузка на вычислительные ресурсы виртуальных аплаенсов;
|
||||
- состояние (up/down) сетевых интерфейсов виртуальных аплаенсов;
|
||||
- доступность веб-интерфейса центра управления;
|
||||
- доступность TCP-портов подключения агентов управления мобильными устройствами на аплаенсе **Центр управления**.
|
||||
|
||||
## Отказоустойчивость
|
||||
|
||||
Отказоустойчивость сервиса **Cloud Mobile Device Management (Cloud MDM)** обеспечивается средствами платформы виртуализации.
|
||||
@@ -1,15 +0,0 @@
|
||||
# Дополнительные работы
|
||||
|
||||
Дополнительные работы не входят в сервис **Cloud Mobile Device Management (Cloud MDM)** и тарифицируются отдельно по фактическим трудозатратам.
|
||||
|
||||
| Наименование работ | Трудозатраты, ч/ч | Квалификация специалиста |
|
||||
| ------------------------------------------------------------------- | ----------------- | -------------------------------- |
|
||||
| Создание и настройка профилей мобильных устройств Android и/или iOS | от 4 | Специалист третьего уровня (ДИБ) |
|
||||
| Настройка политик для режима "Kiosk" для мобильных устройств Android| 8 | Специалист третьего уровня (ДИБ) |
|
||||
| Другие работы, не входящие в состав сервиса | от 1 | Специалист третьего уровня (ДИБ) |
|
||||
|
||||
::: warning Примечание
|
||||
|
||||
**Человеко-час (ч/ч)** — это единица учета рабочего времени, соответствующая одному часу фактической работы одного сотрудника.
|
||||
|
||||
:::
|
||||
@@ -1,70 +0,0 @@
|
||||
# Активация учетной записи
|
||||
|
||||
## Режимы Android Enterprise
|
||||
|
||||
Сервис **Cloud Mobile Device Management (Cloud MDM)** поддерживает два режима Android Enterprise:
|
||||
|
||||
- **BYOD**. Заказчик управляет только рабочим профилем. Личные приложения, файлы, документы и периферия устройства сотрудника находятся вне зоны управления заказчика. **Режим описывается в этой статье.**
|
||||
- **Device Owner**. [Режим](./device-owner.md) предполагает полное управление корпоративным устройством.
|
||||
|
||||
|
||||
|
||||
## Активация учетной записи администратора
|
||||
|
||||
Beeline Cloud подключает **Cloud MDM** и создает учетные записи (УЗ) администраторов тенанта. После создания УЗ Beeline Cloud отправляет письмо с информацией об активации УЗ в **Cloud MDM**.
|
||||
|
||||
Для активации учетной записи:
|
||||
|
||||
1. Ознакомьтесь с информацией в присланном письме.
|
||||
|
||||
|
||||
|
||||
2. Перейдите по ссылке из письма, чтобы задать пароль учетной записи.
|
||||
|
||||
3. В открывшейся форме задайте пароль и нажмите **Create password**.
|
||||
|
||||
|
||||
|
||||
На экране появится сообщение об успешной активации учетной записи.
|
||||
|
||||
|
||||
|
||||
4. На странице входа введите логин и пароль, затем нажмите **Sign In**.
|
||||
|
||||
|
||||
|
||||
5. Добавьте второй фактор аутентификации (2FA). Воспользуйтесь приложением **Яндекс Ключ** или **Google Authenticator**. Отсканируйте QR-код, который появится на странице.
|
||||
|
||||
|
||||
|
||||
6. Запустите приложение **Яндекс Ключ** и нажмите **+** в левом нижнем углу, чтобы добавить аккаунт 2FA.
|
||||
|
||||
|
||||
|
||||
7. На следующем экране нажмите **Сканировать QR**.
|
||||
|
||||
|
||||
|
||||
8. Отсканируйте QR-код из шага 5.
|
||||
|
||||
9. В приложении выберите добавленный аккаунт 2FA.
|
||||
|
||||
|
||||
|
||||
10. Введите шестизначный код из приложения в поле второго фактора в веб-консоли Cloud MDM (шаг 5).
|
||||
|
||||
|
||||
|
||||
Откроется главная страница администратора Cloud MDM.
|
||||
|
||||
::: warning Важно
|
||||
|
||||
Активация учетной записи администратора Cloud MDM завершена.
|
||||
|
||||
:::
|
||||
|
||||
## Видеоинструкция
|
||||
|
||||
Посмотрите, как активировать учетную запись и сделать первые шаги в **Cloud MDM**.
|
||||
|
||||
[Cloud MDM. Активация учетной записи и первые шаги](https://youtu.be/Ogz5-EJqxBk)
|
||||
@@ -1,124 +0,0 @@
|
||||
# Режим Device Owner
|
||||
|
||||
## Режимы Android Enterprise
|
||||
|
||||
Сервис **Cloud Mobile Device Management (Cloud MDM)** поддерживает два режима Android Enterprise:
|
||||
|
||||
- **BYOD**. Заказчик управляет только рабочим профилем. Личные приложения, файлы, документы и периферия устройства сотрудника находятся вне зоны управления заказчика.
|
||||
- **Device Owner**. Режим предполагает полное управление корпоративным устройством. Описывается в этой статье.
|
||||
|
||||
|
||||
|
||||
::: warning Важно
|
||||
|
||||
Для регистрации устройства в режиме **Device Owner** из России доступен только вариант с Android Debug Bridge (ADB).
|
||||
|
||||
:::
|
||||
|
||||
## Настройка режима Device Owner
|
||||
|
||||
1. Сбросьте устройство Android к заводским настройкам.
|
||||
|
||||
|
||||
|
||||
2. После сброса на экране появится приветствие. Нажмите **Начать**.
|
||||
|
||||
|
||||
|
||||
3. На экране настройки мобильной сети нажмите **Пропустить**.
|
||||
|
||||
4. На экране подключения к Wi-Fi нажмите **Настроить офлайн**, затем **Далее**.
|
||||
|
||||
|
||||
|
||||
5. Завершите оставшиеся этапы настройки: установку даты и времени, задание PIN-кода и т. д. Дождитесь появления рабочего стола.
|
||||
|
||||
6. Откройте **Настройки**.
|
||||
|
||||
|
||||
|
||||
7. Прокрутите экран вниз и выберите **О телефоне**.
|
||||
|
||||
|
||||
|
||||
8. Семь раз нажмите на **Номер сборки**. Убедитесь, что появилось сообщение об активации режима разработчика.
|
||||
|
||||
|
||||
|
||||
9. Вернитесь в **Настройки** и выберите **Система** → **Для разработчиков**.
|
||||
|
||||
|
||||
|
||||
10. Включите **Отладка по USB**.
|
||||
|
||||
|
||||
|
||||
11. Подключите устройство USB-кабелем к компьютеру с Windows. Убедитесь, что на экране устройства появилась информация об активной отладке по USB.
|
||||
|
||||
|
||||
|
||||
12. На компьютере откройте браузер и перейдите по ссылке. Нажмите **Windows** и скачайте архив `makedeviceowner.zip`.
|
||||
|
||||
13. Распакуйте архив и запустите файл `makedeviceowner.bat`.
|
||||
|
||||
14. На экране устройства Android появится запрос на отладку по USB. Нажмите **Разрешить**.
|
||||
|
||||
|
||||
|
||||
15. Снова запустите `makedeviceowner.bat`. Дождитесь появления надписи `Performing Streamed Install` и сообщения `Success` в командной строке.
|
||||
|
||||
|
||||
|
||||
16. На устройстве Android убедитесь, что в списке установленных приложений появилось приложение **ME MDM**.
|
||||
|
||||
|
||||
|
||||
17. Отсоедините кабель USB и подключитесь к Wi-Fi с выходом в интернет.
|
||||
|
||||
18. В веб-консоли администратора **Cloud MDM** перейдите в **Управление мобильными устройствами** → **Регистрация** → **Android** → **Регистрация маркера EMM** и нажмите **Create Template**.
|
||||
|
||||
|
||||
|
||||
19. Задайте имя шаблона, в поле **Назначить пользователей** выберите **Вручную** и нажмите **Сохранить**.
|
||||
|
||||
|
||||
|
||||
20. Справа на странице **Управление мобильными устройствами** → **Регистрация** → **Android** → **Регистрация маркера EMM** отобразится QR-код.
|
||||
|
||||
21. На устройстве Android запустите **ME MDM** и отсканируйте QR-код из веб-консоли администратора **Cloud MDM**.
|
||||
|
||||
22. В приложении ME MDM появится сообщение об успешной регистрации устройства. Нажмите **Готово** в правом нижнем углу.
|
||||
|
||||
23. В веб-консоли администратора **Cloud MDM** перейдите в **Управление мобильными устройствами** → **Регистрация** → **Устройства** → **Промежуточные** и нажмите **Назначить пользователя**.
|
||||
|
||||
|
||||
|
||||
24. Выберите пользователя для добавляемого устройства и нажмите **Назначить**.
|
||||
|
||||
::: warning Важно
|
||||
|
||||
Если пользователи еще не созданы, добавьте их в **Управление мобильными устройствами** → **Регистрация** → **Пользователи** → **Добавить пользователей**.
|
||||
|
||||
:::
|
||||
|
||||
1. Перейдите в **Управление мобильными устройствами** → **Регистрация** → **Устройства** и убедитесь, что устройство успешно добавлено в **Cloud MDM**.
|
||||
|
||||
2. Перейдите в **Управление мобильными устройствами** → **Инвентаризация** → **Устройства** и нажмите на имя устройства.
|
||||
|
||||
|
||||
|
||||
3. Убедитесь, что в поле **Тип управления** указано **Полное управление устройством (владелец устройства)**. Устройство Android зарегистрировано в Cloud MDM в режиме Device Owner.
|
||||
|
||||
|
||||
|
||||
::: warning Важно
|
||||
|
||||
Устройство Android успешно зарегистрировано в **Cloud MDM** в режиме **Device Owner**.
|
||||
|
||||
:::
|
||||
|
||||
## Видеоинструкция
|
||||
|
||||
Посмотрите, как добавить устройство с Android в **Cloud MDM**.
|
||||
|
||||
[Cloud MDM. Как добавить устройство Android](https://youtu.be/TXh05dwTdaI)
|
||||
@@ -1,15 +0,0 @@
|
||||
---
|
||||
section_links:
|
||||
- title:
|
||||
link: /security/Cloud-MDM/instructions/instructions.md
|
||||
description: Инструкции для работы с сервисом
|
||||
- title:
|
||||
link: /security/Cloud-MDM/instructions/activation.md
|
||||
description: Активация учетной записи
|
||||
- title:
|
||||
link: /security/Cloud-MDM/instructions/device-owner.md
|
||||
description: Режим Device Owner
|
||||
---
|
||||
|
||||
# Инструкции для работы с сервисом Cloud MDM
|
||||
|
||||
@@ -1,25 +0,0 @@
|
||||
# Инструкции
|
||||
|
||||
## Видеоинструкции
|
||||
|
||||
- [Активация учетной записи администратора Cloud MDM и настройка 2FA](https://kinescope.io/9mw6JzWQTz9eZceG5CBvaY)
|
||||
- [Регистрация устройства Windows](https://kinescope.io/aHiAf7BBwrQjWcRLV7MQ1k)
|
||||
- [Регистрация устройства Android в режиме BYOD](https://kinescope.io/vCTDpdxLZdm18goaXbMUwo)
|
||||
- [Настройка QR-кода для регистрации Android в режиме полного управления](https://kinescope.io/qr3tLu3h5f5E8C6AhxokJB)
|
||||
- [Регистрация устройства iOS в режиме BYOD](https://kinescope.io/qt3Wki5qXUGAaZ1mUtvqXs)
|
||||
- [Профили управления и распространение приложений для iOS](https://kinescope.io/w95pZ34Un3HwkpWfiMXZMx)
|
||||
- [Удаление устройств iOS из консоли Cloud MDM](https://kinescope.io/31rqK1qRVwK5BkayJJsXcF)
|
||||
- [Регистрация устройства macOS](https://kinescope.io/o9SUisLzuDx7CZtnmjh223)
|
||||
- [Установка приложений на macOS](https://kinescope.io/wW5mfvh1HQyPxrxgmRtDtx)
|
||||
- [Настройка политик ограничений для macOS](https://kinescope.io/dwKwDkFyxCB2Juc5jExjH4)
|
||||
- [Удаление агента Cloud MDM с устройства macOS](https://kinescope.io/msJrAXigjhNS9aHUW2XYgq)
|
||||
- [Создание отчетов](https://kinescope.io/m7CYaSUUb76SnHrKe2HTtV)
|
||||
|
||||
## Вебинар
|
||||
|
||||
- [«Облачный MDM UEM: гибкое управление мобильными и десктопными устройствами»](https://kinescope.io/jgHgtp3y9CX3MjpPK5q1uW)
|
||||
|
||||
## Текстовые инструкции
|
||||
|
||||
- [активировать учетную запись и сделать первые шаги в Cloud MDM](./activation.md)
|
||||
- [добавить устройство с Android в Cloud MDM в режиме Device Owner](./device-owner.md)
|
||||
@@ -1,7 +0,0 @@
|
||||
# Порядок платежей
|
||||
|
||||
Стоимость сервиса **Cloud Mobile Device Management (Cloud MDM)** фиксируется в бланке заказа (БЗ). Ежемесячный платеж зависит от количества мобильных устройств и дополнительных администраторов согласно тарифу. Сервис тарифицируется на помесячной основе по выделенной квоте.
|
||||
|
||||
Расчетный период — календарный месяц. Сервис, активированный в течение расчетного периода, оплачивается по тарифу в полном объеме независимо от фактического срока использования. Перерасчет по календарным дням не производится. Доступ к сервису считается предоставленным, а сервис — оказанным в полном объеме с момента активации.
|
||||
|
||||
При необходимости [дополнительные работы](./description/work.md) оплачиваются отдельно. Основание для оплаты — заявки уполномоченных представителей заказчика, указанных в БЗ.
|
||||
@@ -1,27 +0,0 @@
|
||||
# Сроки и условия предоставления сервиса
|
||||
|
||||
## Порядок подключения сервиса
|
||||
|
||||
### Заказчик
|
||||
|
||||
1. Заполните и подпишите бланк заказа (БЗ) на предоставление сервиса **Cloud Mobile Device Management (Cloud MDM)** и опросный лист.
|
||||
2. Отправьте отсканированную копию подписанного БЗ на e-mail `presales@datafort.ru` и корпоративный e-mail менеджера по продажам Beeline Cloud, указанный в заказе.
|
||||
3. Предоставьте ФИО и e-mail администратора платформы.
|
||||
4. Направьте оригинал БЗ в Beeline Cloud в порядке, установленном договором.
|
||||
|
||||
Скачайте [опросный лист](https://disk.datafort.ru/public/s/DiqBkajp7rEoXym) с помощью сервиса Cloud Workspace (WS).
|
||||
|
||||
### Beeline Cloud
|
||||
|
||||
1. Проверяет корректность заполнения бланка заказа и опросного листа и регистрирует заказ.
|
||||
2. Уведомляет заказчика по e-mail о принятии заказа в работу.
|
||||
3. Подключает сервис.
|
||||
4. Предоставляет заказчику доступ к сервису не позднее двух рабочих дней с момента принятия заказа в работу.
|
||||
|
||||
## Настройка нестандартных конфигураций
|
||||
|
||||
Если требуется настройка нестандартных конфигураций, заказчик предоставляет необходимую информацию в Beeline Cloud.
|
||||
|
||||
## Прием запросов от заказчика
|
||||
|
||||
Beeline Cloud принимает запросы только от уполномоченных лиц заказчика, указанных в бланке заказа. Если конечный пользователь обращается в службу поддержки Beeline Cloud напрямую, он получает рекомендацию направить обращение через уполномоченных лиц.
|
||||
@@ -1,34 +0,0 @@
|
||||
---
|
||||
section_links:
|
||||
- title:
|
||||
link: /security/Cloud-VS/about.md
|
||||
description: Обзор сервиса
|
||||
- title:
|
||||
link: /security/Cloud-VS/areas-responsibility.md
|
||||
description: Зоны ответсвенности
|
||||
- title:
|
||||
link: /security/Cloud-VS/monitoring.md
|
||||
description: Мониторинг работоспособности и отказоустойчивость сервиса
|
||||
- title:
|
||||
link: /security/Cloud-VS/payment-procedure.md
|
||||
description: Порядок платежей за сервис
|
||||
- title:
|
||||
link: /security/Cloud-VS/characteristics.md
|
||||
description: Качественные характеристики сервиса
|
||||
- title:
|
||||
link: /security/Cloud-VS/provision-service.md
|
||||
description: Варианты предоставления сервиса
|
||||
- title:
|
||||
link: /security/Cloud-VS/provision.md
|
||||
description: Сроки предоставления сервиса
|
||||
- title:
|
||||
link: /security/Cloud-VS/scope-work.md
|
||||
description: Состав работ
|
||||
- title:
|
||||
link: /security/Cloud-VS/work.md
|
||||
description: Дополнительные работы
|
||||
---
|
||||
|
||||
# Сервис Cloud Vulnerability Scanner (VS)
|
||||
|
||||
Сервис для оценки уязвимостей и сканирования, компьютеров и приложений на возможные проблемы в системе безопасности.
|
||||
@@ -1,23 +0,0 @@
|
||||
# Cloud Vulnerability Scanner (VS)
|
||||
|
||||
## Назначение сервиса
|
||||
|
||||
**Cloud Vulnerability Scanner (VS)** — сервис для оценки уязвимостей и сканирования, компьютеров и приложений на возможные проблемы в системе безопасности. Сервис является самостоятельным и предполагает взаимодействие с инфраструктурой заказчика.
|
||||
|
||||
Этапы работы сканера:
|
||||
|
||||
1. Проверка открытых портов и обнаружение запущенных сервисов и версий операционных систем (ОС);
|
||||
2. Выявление уязвимостей;
|
||||
3. Составление отчёта.
|
||||
|
||||
## Компоненты сервиса
|
||||
|
||||
- **RedCheck Scanner**. Сканер безопасности с:
|
||||
- сетевыми и системными проверками на уязвимости;
|
||||
- средствами контроля соответствия;
|
||||
- механизмами оценки защищенности СУБД и систем виртуализации;
|
||||
- средствами патч-менеджмента и контроля целостности.
|
||||
|
||||
- **RedCheck Agent**. Дополнительный компонент для семейства ОС Windows. Компонент используется для:
|
||||
- повышения скорости сканирования;
|
||||
- снижения требований к пропускной способности каналов и привилегиям доступа.
|
||||
@@ -1,26 +0,0 @@
|
||||
# Зоны ответственности
|
||||
|
||||
Работы зависят от варианта сервиса **Cloud Vulnerability Scanner (VS)**:
|
||||
|
||||
- [Dedicated](./provision-service.md#dedicated);
|
||||
- [Managed-service](./provision-service.md#managed-service).
|
||||
|
||||
::: warning Важно
|
||||
|
||||
**«К» — консультирующая сторона**: Beeline Cloud выполняет настройки и изменения на основании инструкций и требований, предоставленных заказчиком.
|
||||
|
||||
:::
|
||||
|
||||
| Зоны ответственности | Dedicated | Managed Service |
|
||||
|--------------------------------------------------------------------------|------------------------------|--------------------------------|
|
||||
|Поддержка работоспособности [**RedCheck Scanner**](./about.md) | Beeline Cloud | Beeline Cloud |
|
||||
|Управление системными настройками **RedCheck Scanner** | Beeline Cloud | Beeline Cloud |
|
||||
|[Мониторинг доступности сервиса](./monitoring.md) | Beeline Cloud | Beeline Cloud |
|
||||
|Резервное копирование | Beeline Cloud | Beeline Cloud |
|
||||
|Внесение изменений в настройки виртуального аплаенса **RedCheck Scanner** | Beeline Cloud | Beeline Cloud |
|
||||
|Сбор диагностической информации о неисправностях | Beeline Cloud / Заказчик "К" | Beeline Cloud |
|
||||
|Заведение кейсов в техническую поддержку вендора | Beeline Cloud / Заказчик "К" | Beeline Cloud |
|
||||
|Редактирование и добавление задач | Заказчик | Beeline Cloud / Заказчик "К" |
|
||||
|Настройка и редактирование профилей | Заказчик | Beeline Cloud / Заказчик "К" |
|
||||
|Устранение уязвимостей | Заказчик | Заказчик |
|
||||
|Анализ отчетов **RedCheck Scanner** | Заказчик | Заказчик |
|
||||
@@ -1,32 +0,0 @@
|
||||
# Качественные характеристики сервиса
|
||||
|
||||
## Режим предостсавления сервиса
|
||||
|
||||
Сервис предоставляется 24/7.
|
||||
|
||||
## Обеспечение защиты от угроз
|
||||
|
||||
Beeline Cloud **не несёт ответственности** за полное и безусловное обеспечение защиты от всех возможных угроз информационной безопасности. Сервис **Cloud Vulnerability Scanner (VS)** функционирует на программном обеспечении, разработанном сторонним вендором.
|
||||
|
||||
В связи с этим Beeline Cloud не гарантирует:
|
||||
|
||||
- непрерывность и стабильность работы ПО;
|
||||
- отсутствие ошибок, связанных с программным кодом разработчика.
|
||||
|
||||
## Заведение инцидентов
|
||||
|
||||
При выявлении ошибок или сбоев в работе программного обеспечения, на базе которого реализован сервис, Beeline Cloud:
|
||||
|
||||
- регистрирует инцидент в технической поддержке вендора;
|
||||
- оказывает содействие в ходе его устранения.
|
||||
|
||||
## Ответственность заказчика
|
||||
|
||||
Заказчик:
|
||||
|
||||
- использует сервис на собственный риск.
|
||||
- принимает, что Beeline Cloud **не несёт ответственности** за любые прямые, косвенные, случайные или штрафные убытки, включая, но не ограничиваясь:
|
||||
- утратой данных;
|
||||
- утратой возможности использования сервиса;
|
||||
- потерей прибыли;
|
||||
- прерыванием бизнес-процессов.
|
||||
@@ -1,13 +0,0 @@
|
||||
# Мониторинг работоспособности и отказоустойчивость сервиса
|
||||
|
||||
## Мониторинг работоспособности
|
||||
|
||||
Для обнаружения отклонений и ошибок в работе сервиса используется система мониторинга **RedCheck**. Мониторинг осуществляется **круглосуточно** и включает контроль следующих параметров:
|
||||
|
||||
- нагрузка на вычислительные ресурсы виртуального апплаенса;
|
||||
- состояние сетевых интерфейсов (up/down);
|
||||
- доступность веб-интерфейса управления.
|
||||
|
||||
## Отказоустойчивость
|
||||
|
||||
Отказоустойчивость сервиса обеспечивается средствами платформы виртуализации. Для защиты данных выполняется ежедневное резервное копирование виртуального апплаенса с глубиной хранения 7 дней.
|
||||
@@ -1,20 +0,0 @@
|
||||
# Порядок платежей за сервис
|
||||
|
||||
## Порядок предоставления сервиса
|
||||
|
||||
Сервис **Cloud Vulnerability Scanner (VS)** предоставляется как самостоятельный продукт, который оформляется в бланке заказа (БЗ) и предусматривает **фиксированный ежемесячный платеж**. **Тарификация** — фиксированный ежемесячный платеж, который зависит от:
|
||||
|
||||
- выбранного типа сервиса;
|
||||
- количества сканируемых IP-адресов.
|
||||
|
||||
## Тарификация
|
||||
|
||||
- расчетный период — **календарный месяц**;
|
||||
- сервис, активированный в течение расчётного периода, оплачивается полностью за весь месяц, независимо от фактической даты начала использования;
|
||||
- перерасчёт по календарным дням не производится;
|
||||
- доступ к сервису считается предоставленным в полном объёме с момента активации.
|
||||
|
||||
## Дополнительные работы
|
||||
|
||||
Если требуются [дополнительные работы](./work.md), необходимо создать заявку через уполномоченных представителей заказчика, указанных в бланке заказа (БЗ).
|
||||
Такие работы оплачиваются отдельно.
|
||||
@@ -1,67 +0,0 @@
|
||||
# Варианты предоставления сервиса
|
||||
|
||||
## Варианты сервиса
|
||||
|
||||
Сервис **Cloud Vulnerability Scanner (VS)** доступен в двух вариантах:
|
||||
|
||||
- [Dedicated](provision-service.md#dedicated) — для заказчиков с инфраструктурой в облаке Beeline Cloud;
|
||||
- [Managed-service](provision-service.md#managed-service) — для сканирования публичных ресурсов.
|
||||
|
||||
Beeline Cloud тарифицирует дополнительные работы по фактическим трудозатратам.
|
||||
|
||||
## Dedicated
|
||||
|
||||
### Назначение
|
||||
|
||||
Вариант Dedicated предназначен для заказчиков, чья виртуальная инфраструктура размещена в облаке Beeline Cloud. Управление сервисом осуществляется заказчиком самостоятельно.
|
||||
|
||||
Beeline cloud:
|
||||
|
||||
- предоставляет лицензии на ПО (от 10 IP-адресов);
|
||||
- разворачивает и выполняет первичную настройку [**RedCheck Scanner**](./about.md) в технологическом пуле Beeline Cloud;
|
||||
- обеспечивает сетевую связность **RedCheck Scanner** сканера с инфраструктурой заказчика в облаке Beeline Cloud;
|
||||
- гарантирует доступность **RedCheck Scanner** за счёт:
|
||||
- ежедневного резервного копирования;
|
||||
- круглосуточного [мониторинга работоспособности](./monitoring.md);
|
||||
- предоставляет доступ к интерфейсу управления **RedCheck Scanner**;
|
||||
- поддерживает работоспособность сканера **RedCheck Scanner**;
|
||||
- регистрирует инциденты у вендора при сбоях в работе **RedCheck Scanner**.
|
||||
|
||||
## Managed-service
|
||||
|
||||
### Назначение
|
||||
|
||||
Вариант Managed Service используется для сканирования уязвимостей публичных ресурсов заказчика.
|
||||
|
||||
Beeline cloud:
|
||||
|
||||
- предоставляет лицензии на ПО;
|
||||
- обеспечивает доступность **RedCheck Scanner** за за счет:
|
||||
- ежедневного резервного копирования;
|
||||
- круглосуточного мониторинга работоспособности;
|
||||
- настраивает задачи сканирования и отправку отчётов;
|
||||
- изменяет конфигурацию сканера **RedCheck Scanner** по запросу;
|
||||
- поддерживает работоспособность компонентов сервиса;
|
||||
- регистрирует инциденты у вендора при нарушениях работоспособности.
|
||||
|
||||
|
||||
## Схема включения сервиса
|
||||
|
||||
|
||||
|
||||
## Исходные параметры настройки Managed-Service
|
||||
|
||||
Если техническое задание от заказчика не предоставлено, Beeline Cloud выполняет настройку сканирования со следующими параметрами по умолчанию:
|
||||
|
||||
- **Периодичность** — ежемесячное сканирование.
|
||||
- **Режим аудита** — **«Пентест»** (сканер оценивает защищенность информационных систем c минимальными привилегиями и знаниями о сканируемом хосте). Включает:
|
||||
- идентификацию сетевых узлов;
|
||||
- сбор инвентаризационных данных;
|
||||
- сопоставление полученных данных с признаками уязвимого ПО из базы знаний сканера.
|
||||
- **Отчётность** — автоматическая отправка отчёта на электронную почту заказчика.
|
||||
|
||||
::: warning Примечание
|
||||
|
||||
Почта должна быть указана в [опросном листе](./provision.md#порядок-подключения-сервиса).
|
||||
|
||||
:::
|
||||
@@ -1,33 +0,0 @@
|
||||
# Сроки предоставления сервиса
|
||||
|
||||
## Порядок подключения сервиса
|
||||
|
||||
### Заказчик
|
||||
|
||||
1. Заполните и подпишите бланк заказа (БЗ) на предоставление сервиса **Cloud Vulnerability Scanner (VS)**.
|
||||
2. Отправляет отсканированные копии подписанного БЗ и опросного листа на e-mail `presales@datafort.ru` и менеджера по продажам Beeline Cloud. Адрес менеджера по продажам указывается в БЗ.
|
||||
3. Предоставляет ФИО и email администратора сервиса.
|
||||
4. Оригинал БЗ направляет Beeline Cloud в установленном договором порядке.
|
||||
|
||||
[Скачайте опросный лист и примеры заполнения](https://disk.datafort.ru/public/s/XFZ9i5w7GrTWSXt) при помощи сервиса **Cloud Workspace (WS)**.
|
||||
|
||||
### Beeline cloud
|
||||
|
||||
1. Проверяет корректность заполнения БЗ и опросного листа и регистрирует заказ.
|
||||
2. Уведомляет заказчика по e-mail о принятии заказа в работу.
|
||||
3. Подключает сервис.
|
||||
4. Предоставляет заказчику доступ к сервису не позднее двух рабочих дней с момента принятия заказа в работу.
|
||||
|
||||
## Настройка нестандартных конфигураций
|
||||
|
||||
Если требуются настройки, выходящие за рамки стандартной конфигурации, заказчик предоставляет соответствующую информацию в произвольной форме.
|
||||
|
||||
## Прием запросов от заказчика
|
||||
|
||||
В целях обеспечения информационной безопасности Beeline Cloud принимает запросы на:
|
||||
|
||||
- изменение, добавление или удаление правил фильтрации;
|
||||
- иные изменения конфигурации, влияющие на работоспособность сервиса;
|
||||
- исключительно от уполномоченных лиц, указанных в бланке заказа (БЗ).
|
||||
|
||||
Если конечный пользователь обращается в службу поддержки Beeline Cloud напрямую, ему направляется рекомендация сформировать обращение через уполномоченное лицо.
|
||||
@@ -1,19 +0,0 @@
|
||||
# Состав работ
|
||||
|
||||
Работы зависят от варианта сервиса Cloud Vulnerability Scanner (VS):
|
||||
|
||||
- [Dedicated](provision-service.md#dedicated) — для заказчиков с инфраструктурой в облаке Beeline Cloud;
|
||||
- [Managed-service](provision-service.md#managed-service) — для сканирования публичных ресурсов.
|
||||
|
||||
|Детализация функционала | Dedicated | Managed Service |
|
||||
|---------------------------------------------------------------------------|--------------------|--------------------|
|
||||
|Предоставление лицензии | :heavy_check_mark: | :heavy_check_mark: |
|
||||
|Предоставление вычислительных ресурсов в облаке beeline cloud | :heavy_check_mark: | :heavy_check_mark: |
|
||||
|Предоставление канала связи необходимой ширины | :heavy_check_mark: | :heavy_check_mark: |
|
||||
|Развертывание и первоначальная настройка [**RedCheck Scanner**](./about.md)| :heavy_check_mark: | Предоставление необходимого количества ресурсов для [**Multitenant RedCheck Scanner**](./about.md). |
|
||||
|Обеспечение высокой доступности **RedCheck Scanner** | :heavy_check_mark: | :heavy_check_mark: |
|
||||
|Организация сетевого доступа к консоли управления для заказчика | :heavy_check_mark: | Не предусмотрено. |
|
||||
|Настройка профилей и задач сканирования | - | :heavy_check_mark: |
|
||||
|Внесение изменений в профили и задачи сканирования | - | :heavy_check_mark: |
|
||||
|Настройка периодической отправки автоматизированных отчетов | - | :heavy_check_mark: |
|
||||
|Консультации по работе сервиса | :heavy_check_mark: | :heavy_check_mark: |
|
||||
@@ -1,10 +0,0 @@
|
||||
# Дополнительные работы
|
||||
|
||||
Дополнительные работы тарифицируются отдельно по фактическим трудозатратам.
|
||||
|
||||
|Наименование работ | Трудозатраты специалиста чел/час | Квалификация специалиста |
|
||||
|------------------------------------------------------------------------------------------------------------------|-----------------------------------|--------------------------|
|
||||
|Разработка и применение политик профилей сканирования | От четырех | Специалист ДИБ |
|
||||
|Изменение параметров профилей сканирования и задач | От одного | Специалист ДИБ |
|
||||
|Диагностика неисправностей компонентов на конечных устройствах | От одного | Специалист ДИБ |
|
||||
|Диагностика неисправностей, вызванных некорректной [настройкой компонентов сервиса](./about.md#назначение-сервиса)| От одного | Специалист ДИБ |
|
||||
Binary file not shown.
|
Before Width: | Height: | Size: 46 KiB |
Binary file not shown.
|
Before Width: | Height: | Size: 36 KiB |
Binary file not shown.
|
Before Width: | Height: | Size: 50 KiB |
Binary file not shown.
|
Before Width: | Height: | Size: 17 KiB |
Binary file not shown.
|
Before Width: | Height: | Size: 14 KiB |
Binary file not shown.
|
Before Width: | Height: | Size: 26 KiB |
Binary file not shown.
|
Before Width: | Height: | Size: 24 KiB |
Binary file not shown.
|
Before Width: | Height: | Size: 17 KiB |
Binary file not shown.
|
Before Width: | Height: | Size: 7.4 KiB |
Binary file not shown.
|
Before Width: | Height: | Size: 23 KiB |
Binary file not shown.
|
Before Width: | Height: | Size: 31 KiB |
Binary file not shown.
|
Before Width: | Height: | Size: 56 KiB |
Binary file not shown.
|
Before Width: | Height: | Size: 36 KiB |
Binary file not shown.
|
Before Width: | Height: | Size: 16 KiB |
Binary file not shown.
|
Before Width: | Height: | Size: 18 KiB |
Binary file not shown.
|
Before Width: | Height: | Size: 41 KiB |
Binary file not shown.
|
Before Width: | Height: | Size: 88 KiB |
Binary file not shown.
|
Before Width: | Height: | Size: 45 KiB |
Binary file not shown.
|
Before Width: | Height: | Size: 95 KiB |
Binary file not shown.
|
Before Width: | Height: | Size: 150 KiB |
Binary file not shown.
|
Before Width: | Height: | Size: 70 KiB |
Binary file not shown.
|
Before Width: | Height: | Size: 26 KiB |
Binary file not shown.
|
Before Width: | Height: | Size: 11 KiB |
Binary file not shown.
|
Before Width: | Height: | Size: 71 KiB |
Binary file not shown.
|
Before Width: | Height: | Size: 70 KiB |
Binary file not shown.
|
Before Width: | Height: | Size: 46 KiB |
Binary file not shown.
|
Before Width: | Height: | Size: 73 KiB |
Binary file not shown.
|
Before Width: | Height: | Size: 17 KiB |
Binary file not shown.
|
Before Width: | Height: | Size: 86 KiB |
Binary file not shown.
|
Before Width: | Height: | Size: 54 KiB |
Binary file not shown.
|
Before Width: | Height: | Size: 72 KiB |
@@ -1,50 +0,0 @@
|
||||
---
|
||||
section_links:
|
||||
- title:
|
||||
link: /security/Cloud-SA
|
||||
description: Сервис Cloud Security Awareness (SA)
|
||||
- title:
|
||||
link: /security/Cloud-VS
|
||||
description: Сервис Cloud Vulnerability Scanner (VS)
|
||||
- title:
|
||||
link: /security/Cloud-MDM
|
||||
description: Сервис Cloud Mobile Device Management (MDM)
|
||||
- title:
|
||||
link: /security/Cloud-NGFW-F
|
||||
description: Сервис Cloud NGFW F
|
||||
- title:
|
||||
link: /security/Cloud-NGFW
|
||||
description: Сервис Cloud NGFW
|
||||
- title:
|
||||
link: /security/Cloud-MFA
|
||||
description: Сервис Cloud Multifactor Authentication (MFA)
|
||||
- title:
|
||||
link: /security/Cloud-SA-SM
|
||||
description: Сервис Cloud Security Assistance (включая Security Manager)
|
||||
- title:
|
||||
link: /security/Cloud-EPP
|
||||
description: Сервис Cloud Endpoint Protection Platform (EPP)
|
||||
- title:
|
||||
link: /security/Cloud-SEG
|
||||
description: Сервис Cloud Secure Email Gateway (SEG)
|
||||
- title:
|
||||
link: /security/Cloud-WAF
|
||||
description: Сервис Cloud Web Application Firewall (Cloud WAF)
|
||||
- title:
|
||||
link: /security/Cloud-WAF-PRO
|
||||
description: Сервис Cloud Web Application Firewall (WAF) Pro
|
||||
- title:
|
||||
link: /security/Cloud-VPN
|
||||
description: Сервис Шифрование каналов связи (ГОСТ VPN)
|
||||
- title:
|
||||
link: /security/Cloud-DDoS
|
||||
description: Сервис Cloud DDoS Protection
|
||||
- title:
|
||||
link: /security/glossary
|
||||
description: Глоссарий для сервиса информационной безопасности
|
||||
|
||||
---
|
||||
|
||||
# Сервисы информационной безопасности в Beeline Cloud
|
||||
|
||||
Beeline Cloud предлагает следующие сервисы информационной безопасности:
|
||||
Reference in New Issue
Block a user