Compare commits
1 Commits
| Author | SHA1 | Date | |
|---|---|---|---|
 Левченко Людмила Алексеевна
|
dd9de823ef |
@@ -268,6 +268,26 @@ export default defineConfig({
|
||||
{ text: 'Структура платежей', link: '/security/Cloud-NGFW-Pro/payment-structure.md' },
|
||||
]
|
||||
},
|
||||
{
|
||||
text: 'Шифрование каналов связи (ГОСТ VPN)', link: 'security/Cloud-VPN/VPN-index.md',
|
||||
collapsed: true,
|
||||
items: [
|
||||
{
|
||||
text: 'Состав сервиса', link: '/security/Cloud-VPN/compond-index.md',
|
||||
collapsed: true,
|
||||
items: [
|
||||
{ text: 'Доступность сервиса', link: '/security/Cloud-VPN/compond/availability.md' },
|
||||
{ text: 'Зоны ответственности', link: '/security/Cloud-VPN/compond/areas-responsibility.md' },
|
||||
{ text: 'Изоляция ресурсов', link: '/security/Cloud-VPN/compond/insulation.md' },
|
||||
{ text: 'Варианты предоставления сервиса', link: '/security/Cloud-VPN/compond/provision.md' },
|
||||
{ text: 'Дополнительные работы ', link: '/security/Cloud-VPN/compond/work.md' },
|
||||
]
|
||||
},
|
||||
{ text: 'Обзор сервиса', link: '/security/Cloud-VPN/about.md' },
|
||||
{ text: 'Тарификация сервиса', link: '/security/Cloud-VPN/tariffs.md' },
|
||||
{ text: 'Сроки и условия предоставления сервиса', link: '/security/Cloud-VPN/provision.md' },
|
||||
]
|
||||
},
|
||||
],
|
||||
'/start/': [
|
||||
{
|
||||
|
||||
@@ -0,0 +1,107 @@
|
||||
# Cloud Deckhouse Kubernetes
|
||||
|
||||
## Назначение сервиса
|
||||
|
||||
**Cloud Deckhouse Kubernetes** — это управляемый облачный сервис на базе платформы оркестрации контейнеров Kubernetes.
|
||||
|
||||
Сервис автоматизирует настройку:
|
||||
- серверов;
|
||||
- сети;
|
||||
- балансировщиков нагрузки;
|
||||
- механизмов отказоустойчивости.
|
||||
|
||||
Пользователю не нужно самостоятельно управлять инфраструктурой — кластер работает «из коробки».
|
||||
|
||||
> **Kubernetes** - это платформа для оркестрации контейнеров, которая автоматизирует развертывание, масштабирование и управление приложениями.
|
||||
|
||||
## Автоматизация сервис
|
||||
|
||||
**Cloud Deckhouse Kubernetes** самостоятельно выполняет следующие операции:
|
||||
|
||||
| Операция | Описание |
|
||||
|------------------------------|-------------------------------------------------------|
|
||||
| Управление ролями узлов | Назначает узлам роли master, frontend, system, worker |
|
||||
| Мониторинг компонентов | Отслеживает состояние всех частей платформы |
|
||||
| Восстановление после отказов | Автоматически перезапускает отказавшие узлы и поды |
|
||||
|
||||
## Архитектура и компоненты
|
||||
|
||||
Для стабильной работы сервиса используются три ключевых компонента:
|
||||
|
||||
- **Deckhouse** — платформа управления. Устанавливает, обновляет и настраивает кластер.
|
||||
- **etcd** — распределенное хранилище. Сохраняет состояние кластера и данные конфигурации.
|
||||
- **Балансировщики нагрузки** — единая точка входа. Направляют трафик к работающим приложениям.
|
||||
|
||||
## Доступ к приложениям
|
||||
|
||||
Подключение к приложениям внутри кластера выполняется через единую точку доступа. Подключаться к отдельным узлам не требуется.
|
||||
|
||||
## Управление и мониторинг
|
||||
|
||||
| Задача | Инструмент |
|
||||
|-------------------------------------------------|-----------------------|
|
||||
| Управление кластером и развертывание приложений | Веб-интерфейс Console |
|
||||
| Мониторинг состояния системы | Grafana |
|
||||
|
||||
## Отказоустойчивость
|
||||
|
||||
Кластер поставляется в отказоустойчивой архитектуре, которая обеспечивает:
|
||||
|
||||
- высокую доступность плоскости управления (control plane);
|
||||
- автоматическое восстановление узлов при отказах.
|
||||
|
||||
### Типы узлов кластера
|
||||
|
||||
Кластер состоит из следующих типов виртуальных серверов:
|
||||
|
||||
| Тип виртуального сервера | Количество узлов | Назначение |
|
||||
| ------------------------------- | ---------------- | -------------------- |
|
||||
| **Master-узлы (control plane)** | 3 | Обязательные узлы. На них работают управляющие компоненты кластера: API server, etcd, controller manager, scheduler. |
|
||||
| **System-узлы** | 2 | Служебные узлы. На них размещаются внутренние компоненты платформы Deckhouse, системы мониторинга (Prometheus, Grafana), логирования и другие вспомогательные сервисы, обеспечивающие работу кластера. |
|
||||
| **Frontend-узлы** | 2 | Узлы, предназначенные для обработки входящего трафика. На них работают Ingress-контроллеры и балансировщики нагрузки, которые принимают запросы из внешней сети и распределяют их между приложениями, запущенными на worker-узлах. |
|
||||
| **Worker-узлы** | от 1 и более | Узлы, на которых непосредственно выполняются пользовательские приложения в контейнерах. Именно здесь размещаются поды с сервисами и прикладными компонентами. |
|
||||
|
||||
::: info Примечание
|
||||
По умолчанию кластер работает в высокодоступном режиме. Выход из строя одного или двух master-узлов не приводит к потере управления кластером.
|
||||
:::
|
||||
|
||||
::: warning Важно
|
||||
Для тестовых сред возможна **одноузловая конфигурация control plane**. В этом случае отказ master-узла сделает кластер неуправляемым.
|
||||
:::
|
||||
|
||||
## Доступ к кластеру
|
||||
|
||||
Прямой доступ к серверам кластера (по SSH) не предоставляется.
|
||||
|
||||
Управление приложениями и ресурсами кластера возможно через:
|
||||
|
||||
- **kubectl** — командная строка;
|
||||
- **веб-интерфейс Console**;
|
||||
- **API Kubernetes**.
|
||||
|
||||
## Возможности сервиса
|
||||
|
||||
**Cloud Deckhouse Kubernetes** предоставляет возможности, позволяющие использовать Kubernetes без самостоятельного администрирования инфраструктуры.
|
||||
|
||||
Сервис обеспечивает:
|
||||
|
||||
- автоматическое управление кластером (установка, обновление, настройка);
|
||||
- высокую доступность control plane;
|
||||
- единую точку входа в приложения;
|
||||
- автоматическое восстановление при отказах;
|
||||
- веб-доступ к управлению кластером и мониторингу;
|
||||
- совместимость со стандартными инструментами (**kubectl**);
|
||||
- автоматическое масштабирование приложений;
|
||||
- блочные и сетевые хранилища для данных приложений (Persistent Volume).
|
||||
|
||||
## Сценарии использования
|
||||
|
||||
Сервис подходит для систем, где требуется надежная оркестрация контейнеров и упрощенное управление инфраструктурой.
|
||||
|
||||
Примеры использования:
|
||||
|
||||
- размещение production-приложений в контейнерах с высокими требованиями к доступности;
|
||||
- микросервисная архитектура с единой точкой управления кластером;
|
||||
- работа stateful-приложений (базы данных, очереди) с сохранением состояния;
|
||||
- быстрое развертывание Kubernetes-кластера без ручной настройки сети, хранилищ и мониторинга;
|
||||
- администрирование через веб-интерфейс без прямого доступа к серверам.
|
||||
@@ -0,0 +1,238 @@
|
||||
# Подключение к сервису Deckhouse
|
||||
|
||||
В данном разделе описаны способы подключения к кластеру **Cloud Deckhouse Kubernetes**. Рассматривается работа с кластером через веб-интерфейс **Console**, а также управление через командную строку с использованием утилиты **kubectl** после генерации **kubeconfig**.
|
||||
|
||||
## Предварительные требования
|
||||
|
||||
После предоставления доступа к **сервису Cloud Deckhouse Kubernetes** пользователь получает возможность управлять кластером через веб-интерфейс **Console**.
|
||||
|
||||
**Console** - это встроенный веб-интерфейс платформы Deckhouse, предназначенный для упрощения взаимодействия с Kubernetes-кластером.
|
||||
|
||||
Он позволяет выполнять большинство операций, доступных в командной строке через **kubectl**, в визуальном режиме:
|
||||
- мониторинг состояния кластера;
|
||||
- управление узлами и модулями;
|
||||
- настройку безопасности и сети.
|
||||
|
||||
## Вход в Console
|
||||
|
||||
1. Откройте веб-браузер и перейдите по адресу, предоставленному для доступа к Console.
|
||||
|
||||
::: info Примечание
|
||||
URL-адрес направляется пользователю на электронную почту при предоставлении доступа.
|
||||
:::
|
||||
|
||||
2. На странице ввода учетных данных выполняется аутентификация при помощи логина и пароля;
|
||||
|
||||
|
||||
|
||||
3. После успешной аутентификации откроется главная страница веб-интерфейса Console.
|
||||
|
||||
|
||||
|
||||
## Основные разделы Console
|
||||
|
||||
В левой боковой панели веб-интерфейса Console расположены основные разделы для управления кластером:
|
||||
|
||||
| Раздел | Назначение |
|
||||
| ------------------ | -------------------------------------------------------------------------------------- |
|
||||
| **Deckhouse** | Управление платформой Deckhouse: обзор, обновления, модули, глобальные настройки |
|
||||
| **Проекты** | Управление проектами, шаблонами проектов и namespace (пространствами имен) |
|
||||
| **Узлы** | Управление узлами кластера: группы узлов, конфигурации, классы машин, статические узлы |
|
||||
| **Конфигурация** | Настройка Deschedulers и Priority Classes |
|
||||
| **Доступ** | Управление аутентификацией, сессиями пользователей, правами доступа (RBAC) |
|
||||
| **Сеть** | Настройка Egress-шлюзов, балансировки и управление сертификатами |
|
||||
| **Хранилище** | Управление Persistent Volume, классами хранилищ и снимками томов |
|
||||
| **Безопасность** | Настройка политик безопасности и операционных политик |
|
||||
| **Мониторинг** | Просмотр данных, дашбордов, активных алертов, настройка уведомлений и экспорт метрик |
|
||||
| **Журналирование** | Управление отправкой и сбором логов |
|
||||
|
||||
## Генерация kubeconfig через Console
|
||||
|
||||
Помимо управления через веб-интерфейс, Console позволяет сгенерировать файл **kubeconfig** для доступа к кластеру через **kubectl**.
|
||||
|
||||
1. На главной странице Console находится раздел «Инструменты» (Tools);
|
||||
2. Необходимо выбрать пункт «Генератор kubeconfig» (Generate kubeconfig);
|
||||
3. Нажимается кнопка генерации - система сгенерирует необходимые команды;
|
||||
4. Далее, нужно скопировать и выполнить в терминале команды, которые сгенерированы для пользовательской учетной записи.
|
||||
|
||||
::: info Примечание
|
||||
Сгенерированный **kubeconfig** уже содержит все необходимые параметры для подключения к API Kubernetes.
|
||||
:::
|
||||
|
||||
## Примеры простейших команд kubectl
|
||||
|
||||
После настройки **kubeconfig** управление кластером осуществляется через командную строку с помощью утилиты **kubectl**. Ниже приведены основные команды для начала работы.
|
||||
|
||||
### Проверка подключения к кластеру
|
||||
|
||||
```
|
||||
kubectl cluster-info
|
||||
```
|
||||
|
||||
**Пример вывода:**
|
||||
|
||||
```
|
||||
Kubernetes control plane is running at https://127.0.0.1:6445
|
||||
|
||||
To further debug and diagnose cluster problems, use 'kubectl cluster-info dump'.
|
||||
```
|
||||
|
||||
### Просмотр узлов кластера
|
||||
|
||||
```
|
||||
kubectl get nodes
|
||||
```
|
||||
|
||||
**Пример вывода:**
|
||||
|
||||
```
|
||||
NAME STATUS ROLES AGE VERSION
|
||||
cloud-frontend-0 Ready frontend 12d v1.32.10
|
||||
cloud-frontend-1 Ready frontend 12d v1.32.10
|
||||
cloud-master-0 Ready control-plane,master 12d v1.32.10
|
||||
cloud-master-1 Ready control-plane,master 12d v1.32.10
|
||||
cloud-master-2 Ready control-plane,master 12d v1.32.10
|
||||
cloud-system-0 Ready system 12d v1.32.10
|
||||
cloud-system-1 Ready system 12d v1.32.10
|
||||
cloud-worker-a374349e-zznfp-nkqr2 Ready worker 12d v1.32.10
|
||||
cloud-worker-a374349e-zznfp-rdpdz Ready worker 12d v1.32.10
|
||||
```
|
||||
|
||||
### Просмотр пространств имен
|
||||
|
||||
```
|
||||
kubectl get namespaces
|
||||
```
|
||||
|
||||
**Пример вывода:**
|
||||
|
||||
```
|
||||
NAME STATUS AGE
|
||||
d8-admission-policy-engine Active 12d
|
||||
d8-cert-manager Active 12d
|
||||
d8-chrony Active 12d
|
||||
d8-cloud-instance-manager Active 12d
|
||||
d8-cloud-provider-vcd Active 12d
|
||||
d8-cni-cilium Active 12d
|
||||
d8-console Active 12d
|
||||
d8-dashboard Active 12d
|
||||
d8-descheduler Active 12d
|
||||
d8-ingress-nginx Active 12d
|
||||
d8-local-path-provisioner Active 12d
|
||||
d8-log-shipper Active 12d
|
||||
d8-metallb Active 12d
|
||||
d8-monitoring Active 12d
|
||||
d8-multitenancy-manager Active 12d
|
||||
d8-observability Active 12d
|
||||
d8-operator-prometheus Active 12d
|
||||
d8-pod-reloader Active 12d
|
||||
d8-service-accounts Active 12d
|
||||
d8-snapshot-controller Active 12d
|
||||
d8-system Active 12d
|
||||
d8-upmeter Active 12d
|
||||
d8-user-authn Active 12d
|
||||
default Active 12d
|
||||
kube-node-lease Active 12d
|
||||
kube-public Active 12d
|
||||
kube-system Active 12d
|
||||
```
|
||||
|
||||
### Просмотр подов в конкретном namespace
|
||||
|
||||
```
|
||||
kubectl get pods -n d8-console
|
||||
```
|
||||
|
||||
**Пример вывода:**
|
||||
|
||||
```
|
||||
NAME READY STATUS RESTARTS AGE
|
||||
backend-546c7496f8-2nzx2 1/1 Running 0 3d7h
|
||||
backend-546c7496f8-nxqf4 1/1 Running 0 3d7h
|
||||
console-dex-authenticator-6b7d456445-7cg9p 2/2 Running 0 12d
|
||||
console-dex-authenticator-6b7d456445-ljjr8 2/2 Running 0 12d
|
||||
frontend-79cb59c94d-cf457 1/1 Running 0 3d7h
|
||||
frontend-79cb59c94d-rvlzk 1/1 Running 0 3d7h
|
||||
observability-gw-59c4fb6548-2lcqr 1/1 Running 0 3d7h
|
||||
observability-gw-59c4fb6548-9n6nb 1/1 Running 0 3d7h
|
||||
```
|
||||
|
||||
### Просмотр логов пода
|
||||
|
||||
```
|
||||
kubectl logs frontend-79cb59c94d-cf457 -n d8-console
|
||||
```
|
||||
|
||||
### Просмотр сервисов
|
||||
|
||||
```
|
||||
kubectl get services -n d8-console
|
||||
```
|
||||
|
||||
**Пример вывода:**
|
||||
|
||||
```
|
||||
NAME TYPE CLUSTER-IP EXTERNAL-IP PORT(S) AGE
|
||||
backend ClusterIP 10.222.4.60 <none> 8999/TCP 12d
|
||||
console-dex-authenticator ClusterIP 10.222.224.82 <none> 443/TCP 12d
|
||||
frontend ClusterIP 10.222.226.106 <none> 80/TCP 12d
|
||||
observability-gw ClusterIP None <none> 3000/TCP,8443/TCP 12d
|
||||
```
|
||||
|
||||
### Быстрое получение информации о ресурсах
|
||||
|
||||
```
|
||||
kubectl get all -n d8-console
|
||||
```
|
||||
|
||||
**Пример вывода:**
|
||||
|
||||
```
|
||||
NAME READY STATUS RESTARTS AGE
|
||||
pod/backend-546c7496f8-2nzx2 1/1 Running 0 3d7h
|
||||
pod/backend-546c7496f8-nxqf4 1/1 Running 0 3d7h
|
||||
pod/console-dex-authenticator-6b7d456445-7cg9p 2/2 Running 0 12d
|
||||
pod/console-dex-authenticator-6b7d456445-ljjr8 2/2 Running 0 12d
|
||||
pod/frontend-79cb59c94d-cf457 1/1 Running 0 3d7h
|
||||
pod/frontend-79cb59c94d-rvlzk 1/1 Running 0 3d7h
|
||||
pod/observability-gw-59c4fb6548-2lcqr 1/1 Running 0 3d7h
|
||||
pod/observability-gw-59c4fb6548-9n6nb 1/1 Running 0 3d7h
|
||||
|
||||
NAME TYPE CLUSTER-IP EXTERNAL-IP PORT(S) AGE
|
||||
service/backend ClusterIP 10.222.4.60 <none> 8999/TCP 12d
|
||||
service/console-dex-authenticator ClusterIP 10.222.224.82 <none> 443/TCP 12d
|
||||
service/frontend ClusterIP 10.222.226.106 <none> 80/TCP 12d
|
||||
service/observability-gw ClusterIP None <none> 3000/TCP,8443/TCP 12d
|
||||
|
||||
NAME READY UP-TO-DATE AVAILABLE AGE
|
||||
deployment.apps/backend 2/2 2 2 12d
|
||||
deployment.apps/console-dex-authenticator 2/2 2 2 12d
|
||||
deployment.apps/frontend 2/2 2 2 12d
|
||||
deployment.apps/observability-gw 2/2 2 2 12d
|
||||
|
||||
NAME DESIRED CURRENT READY AGE
|
||||
replicaset.apps/backend-546c7496f8 2 2 2 3d7h
|
||||
replicaset.apps/backend-69d8c6bd68 0 0 0 12d
|
||||
replicaset.apps/console-dex-authenticator-6b7d456445 2 2 2 12d
|
||||
replicaset.apps/console-dex-authenticator-74c97bf4d6 0 0 0 12d
|
||||
replicaset.apps/frontend-6b7ffb7bbd 0 0 0 9d
|
||||
replicaset.apps/frontend-79cb59c94d 2 2 2 3d7h
|
||||
replicaset.apps/frontend-79ccdfc56b 0 0 0 12d
|
||||
replicaset.apps/observability-gw-574cdfdd87 0 0 0 12d
|
||||
replicaset.apps/observability-gw-59c4fb6548 2 2 2 3d7h
|
||||
|
||||
|
||||
```
|
||||
### Получение справки
|
||||
|
||||
Для получение справки по любой команде используется флаг **--help**:
|
||||
|
||||
```
|
||||
kubectl get pods --help
|
||||
kubectl describe pod --help
|
||||
```
|
||||
### Просмотр подробной информации о конкретном ресурсе
|
||||
|
||||
```
|
||||
kubectl describe pod <имя-пода> -n <namespace>
|
||||
```
|
||||
@@ -0,0 +1,83 @@
|
||||
# Права и возможности пользователей
|
||||
|
||||
При развертывании сервиса Cloud Deckhouse Kubernetes создается учетная запись с уровнем доступа **SuperAdmin**. Этот уровень предоставляет расширенные права на управление кластером Kubernetes.
|
||||
|
||||
**SuperAdmin** получает полный контроль над своими приложениями и ресурсами в пределах выделенного кластера или пространства имен (namespace).
|
||||
|
||||
## Ограничения доступа SuperAdmin
|
||||
|
||||
SuperAdmin **не имеет доступа** к следующим компонентам:
|
||||
|
||||
- инфраструктурный уровень (гипервизоры, физические серверы, сетевое оборудование);
|
||||
- управление компонентами платформы Deckhouse на уровне всего кластера;
|
||||
- master-узлы, system-узлы и frontend-узлы;
|
||||
- изменение конфигурации платформы Deckhouse и ее глобальных модулей.
|
||||
|
||||
## Доступные действия
|
||||
|
||||
### Управление пространствами имен (Namespaces)
|
||||
|
||||
SuperAdmin может управлять пространствами имен:
|
||||
|
||||
- создавать новые namespace;
|
||||
- удалять namespace (все ресурсы внутри удаляются);
|
||||
- просматривать список всех namespace;
|
||||
- устанавливать метки (labels) и аннотации для namespace.
|
||||
|
||||
### Управление рабочими нагрузками
|
||||
|
||||
SuperAdmin имеет полный контроль над подами, развертываниями и другими ресурсами приложений:
|
||||
|
||||
- создавать, обновлять и удалять Deployment, StatefulSet, DaemonSet;
|
||||
- создавать, обновлять и удалять Pod;
|
||||
- просматривать логи подов (`kubectl logs`);
|
||||
- подключаться к выполняющемуся контейнеру (`kubectl exec`);
|
||||
- масштабировать развертывания (увеличивать или уменьшать количество реплик);
|
||||
- обновлять версии образов контейнеров;
|
||||
- удалять поды (в том числе принудительно);
|
||||
- просматривать события (events) в namespace.
|
||||
|
||||
### Управление сетевым доступом (Services & Ingress)
|
||||
|
||||
SuperAdmin может настраивать способы доступа к приложениям как внутри кластера, так и из внешней сети:
|
||||
|
||||
SuperAdmin может настраивать способы доступа к приложениям внутри кластера и из внешней сети:
|
||||
|
||||
- создавать, изменять и удалять Service (типы: ClusterIP, NodePort, LoadBalancer);
|
||||
- создавать, изменять и удалять Ingress-правила для маршрутизации входящего трафика;
|
||||
- настраивать порты и селекторы для сервисов;
|
||||
- просматривать список сервисов и их конечных точек (endpoints).
|
||||
|
||||
### Управление хранилищем (Storage)
|
||||
|
||||
SuperAdmin может создавать и использовать тома для хранения данных приложений:
|
||||
|
||||
- создавать Persistent Volume Claim (PVC);
|
||||
- удалять PVC (освобождать дисковое пространство);
|
||||
- просматривать список PVC и их статусов;
|
||||
- использовать PVC в подах (монтировать тома).
|
||||
|
||||
### Управление конфигурацией (ConfigMaps & Secrets)
|
||||
|
||||
SuperAdmin может создавать и изменять конфигурационные данные и секреты для приложений:
|
||||
|
||||
- создавать, изменять и удалять ConfigMap;
|
||||
- создавать, изменять и удалять Secrets (например, для хранения токенов, паролей или ключей);
|
||||
- монтировать ConfigMap и Secrets в поды в виде переменных окружения или файлов.
|
||||
|
||||
### Мониторинг и наблюдаемость
|
||||
|
||||
SuperAdmin имеет доступ к метрикам и логам своих приложений:
|
||||
|
||||
- просматривать метрики приложений в Grafana;
|
||||
- просматривать логи через `kubectl logs` или интерфейс сбора логов (Loki);
|
||||
- просматривать дашборды с информацией о потреблении ресурсов (CPU, RAM, Storage) своими приложениями;
|
||||
- просматривать события Kubernetes (events) для диагностики проблем.
|
||||
|
||||
### Управление доступом (RBAC)
|
||||
|
||||
SuperAdmin может управлять правами других пользователей в рамках своего пространства имен:
|
||||
|
||||
- создавать и удалять учетные записи (ServiceAccount);
|
||||
- назначать роли (Role, RoleBinding) другим пользователям в пределах своего namespace;
|
||||
- ограничивать доступ к отдельным ресурсам.
|
||||
@@ -0,0 +1,16 @@
|
||||
---
|
||||
section_links:
|
||||
- title: Обзор сервиса
|
||||
link: /security/Cloud-VPN/about.md
|
||||
description:
|
||||
- title: Тарификация сервиса
|
||||
link: /security/Cloud-VPN/tariffs.md
|
||||
description:
|
||||
- title: Сроки и условия предоставления сервиса
|
||||
link: /security/Cloud-VPN/provision.md
|
||||
description:
|
||||
---
|
||||
|
||||
# Шифрование каналов связи (ГОСТ VPN)
|
||||
|
||||
Сервис используется для шифрования данных VPN-протоколам.
|
||||
@@ -0,0 +1,62 @@
|
||||
# Cloud NGFW
|
||||
|
||||
## Назначение сервиса
|
||||
|
||||
Сервис «Шифрование каналов связи (ГОСТ VPN)» предназначен для шифрования данных VPN-протоколами.
|
||||
|
||||
**VPN** (Virtual Private Network) — виртуальная частная сеть. Обобщенное название технологий, которые обеспечивают сетевые соединения поверх другой сети.
|
||||
|
||||
**Шифрование** — способ преобразования данных из читаемого формата в закодированный, нечитаемый формат с помощью алгоритма.
|
||||
|
||||
Сервис использует отдельный доступ в интернет. Сервис предоставляется как самостоятельное решение на базе платформы **программно-аппаратного комплекса (ПАК) ViPNet**. Решение имеет сертификаты соответствия ФСБ России и ФСТЭК России.
|
||||
|
||||
::: details (ПАК) ViPNet
|
||||
ViPNet — это российское средство криптографической защиты информации для организации защищенных VPN-сетей.
|
||||
:::
|
||||
|
||||
## Пропускная способность
|
||||
|
||||
Пропускная способность VPN-канала **не зависит** от пропускной способности интернет-канала, предоставляемого в сервисе «Предоставление доступа в интернет». Эти сервисы используют разные схемы выхода в интернет по различным каналам.
|
||||
|
||||
## Возможности сервиса
|
||||
|
||||
Сервис «Шифрование каналов связи (ГОСТ VPN)» организует одно или несколько виртуальных соединений. Этот функционал используется для доступа:
|
||||
|
||||
- к пулу ресурсов Beeline Cloud;
|
||||
- к оборудованию заказчика в ЦОД Beeline Cloud.
|
||||
|
||||
Доступ осуществляется по публичным интернет-каналам с использованием средств защиты. Средства сертифицированы ФСБ и ФСТЭК России.
|
||||
|
||||
## Типы защищённых подключений клиентов
|
||||
|
||||
Сервис предлагает следующие типы подключений к ресурсам Beeline Cloud:
|
||||
|
||||
- VPN-подключение типа **Сеть-сеть**;
|
||||
- Подключение типа **Удаленный доступ**.
|
||||
|
||||
### Особенности работы ПАК ViPNet
|
||||
|
||||
ПАК ViPNet Coordinator поддерживает только один режим работы одновременно. При типе подключения «Сеть-сеть» L2VPN используется дополнительное выделенное оборудование. Основная инфраструктура использует подключение L3VPN.
|
||||
|
||||
### Протоколы и шифрование
|
||||
|
||||
ПАК использует собственные протоколы туннелирования ViPNet (инкапсуляция IP-трафика приложений в UDP и IP) с шифрованием по ГОСТ 28147-89 (256 бит).
|
||||
|
||||
## Условия предоставления сервиса
|
||||
|
||||
Сервис предоставляется в зависимости от:
|
||||
|
||||
- выбранной схемы подключения;
|
||||
- желаемых показателей производительности (скорость и количество туннелируемых адресов);
|
||||
- варианта использования оборудования на стороне заказчика для подключения типа «Сеть-сеть».
|
||||
|
||||
### Варианты оборудования для подключения «Сеть-сеть»
|
||||
|
||||
| Вариант | Описание |
|
||||
|---------|----------|
|
||||
| Аренда ViPNet Coordinator у Beeline Cloud | Заказчик арендует оборудование у провайдера |
|
||||
| Использование собственного ViPNet Coordinator | Оборудование находится у заказчика. Заказчик самостоятельно настраивает межсетевое взаимодействие. Beeline Cloud может выполнить настройку за отдельную плату. |
|
||||
|
||||
## Требования к сети
|
||||
|
||||
Для работы ViPNet Coordinator заказчику необходимо использовать **уникальный внешний «белый» IP-адрес**.
|
||||
@@ -0,0 +1,9 @@
|
||||
# Зоны ответственности
|
||||
|
||||
Разграничение зон ответственности за работоспособность компонентов сети ViPNet при использовании **сети ViPNet beeline cloud**:
|
||||
|
||||
|
||||
|
||||
Разграничение зон ответственности за работоспособность компонентов сети ViPNet при использовании **межсетевого взаимодействия между сетями ViPNet заказчика и beeline cloud**:
|
||||
|
||||
|
||||
@@ -0,0 +1,15 @@
|
||||
# Доступность сервиса
|
||||
|
||||
Сервис **Шифрование каналов связи (ГОСТ VPN)** обеспечивает доступность не менее **99,95%** в зоне функционирования оборудования. Beeline Cloud гарантирует эти параметры только на своей стороне.
|
||||
|
||||
## Доступность криптографического шлюза
|
||||
|
||||
Активный внешний порт криптографического шлюза (ViPNet Coordinator) доступен из сетей общего пользования через порты, необходимые для работы ViPNet.
|
||||
|
||||
## Отказоустойчивость
|
||||
|
||||
Программно-аппаратный комплекс (ПАК) на стороне Beeline Cloud работает в режиме кластера горячего резервирования (active-passive). Кластер предназначен для горячей замены функций одного из серверов ViPNet другим сервером в случае его сбоя.
|
||||
|
||||
## Мониторинг
|
||||
|
||||
ПАК подключен к корпоративной системе мониторинга сетевых устройств. Система отслеживает активность внешнего интерфейса криптографического шлюза и автоматически оповещает администраторов о его недоступности.
|
||||
@@ -0,0 +1,18 @@
|
||||
---
|
||||
section_links:
|
||||
- title: Доступность сервиса
|
||||
link: /security/Cloud-VPN/compound/availability.md
|
||||
compound:
|
||||
- title: Зоны ответственности
|
||||
link: /security/Cloud-VPN/compound/areas-responsibility.md
|
||||
compound:
|
||||
- title: Изоляция ресурсов
|
||||
link: /security/Cloud-VPN/compound/insulation.md
|
||||
compound:
|
||||
- title: Варианты предоставления сервиса
|
||||
link: /security/Cloud-VPN/compound/provision.md
|
||||
compound:
|
||||
- title: Дополнительные работы
|
||||
link: /security/Cloud-VPN/compound/work.md
|
||||
compound:
|
||||
---
|
||||
@@ -0,0 +1,14 @@
|
||||
# Изоляция ресурсов
|
||||
|
||||
В сервисе **Шифрование каналов связи (ГОСТ VPN)** внутренние ресурсы заказчика полностью изолированы от ресурсов других заказчиков.
|
||||
|
||||
**Ресурсы** — это данные и системы, которые туннелируются через криптографический шлюз для защищенного внешнего доступа клиентов заказчика.
|
||||
|
||||
#### Изоляция обеспечивается следующими механизмами:
|
||||
|
||||
- внутреннее сетевое оборудование Beeline Cloud — ресурсы находятся в разных VLAN;
|
||||
- списки правил сетевого доступа и другие средства защиты и ограничения.
|
||||
|
||||
## Доступ к ресурсам
|
||||
|
||||
К внутренним ресурсам конкретного заказчика подключаются только те пользователи, которые соответствуют правилам сетевого доступа. Правила создаются на межсетевом оборудовании Beeline Cloud.
|
||||
@@ -0,0 +1,37 @@
|
||||
# Варианты предоставления сервиса
|
||||
|
||||
## Типы подключения
|
||||
|
||||
Сервис **Шифрование каналов связи (ГОСТ VPN)** предлагает два типа подключений к ресурсам Beeline Cloud:
|
||||
|
||||
1. VPN-подключение типа **Сеть-сеть**;
|
||||
2. Подключение типа **Удаленный доступ**.
|
||||
|
||||
## 1. VPN-подключение типа Сеть-сеть
|
||||
|
||||
Beeline Cloud выполняет работы:
|
||||
|
||||
| Работа | Комментарий |
|
||||
|--------|-------------|
|
||||
| Установка на стороне заказчика совместимого сервера **ViPNet Coordinator** (HW2000\1000\100\50) | Установка выполняется либо beeline cloud, либо используется существующий сервер заказчика.<br>Проводимые работы:<br>- Монтаж серверного оборудования **ViPNet Coordinator** на территории объекта заказчика.<br>- Инсталляция ПО **ViPNet Coordinator**.<br>- Настройка **ViPNet Coordinator**.|
|
||||
| Настройка межсетевого взаимодействия между **ViPNet Coordinator** заказчика (силами Beeline Cloud или силами заказчика) и Beeline Cloud. | - |
|
||||
| Предоставление доступа заказчику к ресурсам Beeline Cloud | Настройка:<br>- Правил сетевого доступа на ViPNet Coordinator DataFort заказчика и на внутреннем сетевом оборудовании Beeline Cloud.<br>- Сетевой связанности между **ViPNet Coordinator DataFort** и ресурсами в пуле заказчика. Beeline Cloud добавляет соответствующий VLAN на CPE-устройство или виртуальных машин (ВМ).<br>- Правил сетевого доступа на устройстве CPE заказчика в облаке.|
|
||||
|
||||
### Схема предоставления сервиса
|
||||
|
||||
|
||||
|
||||
## 2. VPN-подключение типа Удаленный доступ
|
||||
|
||||
Beeline Cloud выполняет работы:
|
||||
|
||||
| Работа | Комментарий |
|
||||
|--------|-------------|
|
||||
|Создание учетных данных для первичной инициализации ПО **ViPNet Client** для подключения к защищенной сети **ViPNet** Beeline Cloud | Администратор сети ViPNet beeline cloud создает новый абонентский пункт и пользователя для нового ViPNet клиента.<br>Администратор сети ViPNet beeline cloud создает учетные данные для первичной инициализации ПО ViPNet заказчика.<br>В результате создаются следующие файлы:<br>1. Файл с расширением `*.dst`:<br>-адресные справочники из центра управления сетью;<br>-основную информацию (ключи пользователя, ключи узла, резервный набор персональных ключей);<br>- лицензионный файл.<br>2. Файл с расширением `*.txt`* содержит пароль пользователя ViPNet клиента.|
|
||||
|Передача учетных данных заказчику администратором сети ViPNet beeline cloud | Сервис предлагает два защищенных способа передачи данных:<br>- съемный носитель информации;<br>- сетевой канал передачи данных. Данные шифруются.|
|
||||
|Установка и настройка на ПК\ мобильное устройство заказчика соответствующего ПО ViPNet силами заказчика | - |
|
||||
|Предоставление доступа заказчику к ресурсам beeline cloud | Настройка:<br>- Правил сетевого доступа на ViPNet Coordinator DataFort заказчика и на внутреннем сетевом оборудовании beeline cloud.<br>- Сетевой связанности между ViPNet Coordinator beeline cloud и ресурсами в пуле заказчика. Beeline cloud добавляет VLAN на CPE устройство или ВМ.<br>- Правил сетевого доступа на устройстве CPE заказчика в облаке.|
|
||||
|
||||
### Схема предоставления сервиса
|
||||
|
||||
|
||||
@@ -0,0 +1,20 @@
|
||||
# Дополнительные работы
|
||||
|
||||
Дополнительные работы не входят в сервис **Шифрование каналов связи (ГОСТ VPN)** и тарифицируются отдельно по фактическим трудозатратам.
|
||||
|
||||
::: warning Важно
|
||||
Заказчик отвечает за установку и настройку клиентского ПО для организации VPN-подключения.
|
||||
:::
|
||||
|
||||
| Наименование работ | Трудозатраты, ч/ч | Квалификация специалиста |
|
||||
| --------------------------------------------------------------------------------------------------- | ----------------- | -------------------------------- |
|
||||
| Удаленная настройка оборудования — криптошлюза или клиентского ПО — на стороне заказчика | от 1 | Специалист третьего уровня (ДИБ) |
|
||||
| Настройка особых правил разграничения доступа к информационным ресурсам и фильтрации трафика | от 0,5 | Специалист третьего уровня (ДИБ) |
|
||||
| Настройка дополнительного или изменение параметров существующего VPN-подключения | от 0,5 | Специалист третьего уровня (ДИБ) |
|
||||
| Изменение, добавление и удаление учетной записи пользователя VPN-подключения для удаленного доступа | от 0,5 | Специалист третьего уровня (ДИБ) |
|
||||
|
||||
::: info Примечание
|
||||
|
||||
**Человеко-час (ч/ч)** — это единица учета рабочего времени, соответствующая одному часу фактической работы одного сотрудника.
|
||||
|
||||
:::
|
||||
@@ -0,0 +1,54 @@
|
||||
# Сроки и условия предоставления сервиса
|
||||
|
||||
## Порядок подключения сервиса
|
||||
|
||||
### Заказчик
|
||||
|
||||
1. Заполните и подпишите бланк заказа (БЗ) на предоставление сервиса **Шифрование каналов связи (ГОСТ VPN)** и опросный лист.
|
||||
2. Отправьте отсканированную копию подписанного БЗ на e-mail `presales@datafort.ru` и корпоративный e-mail менеджера по продажам Beeline Cloud, указанный в заказе.
|
||||
3. Предоставьте ФИО и e-mail администратора платформы.
|
||||
4. Направьте оригинал БЗ в Beeline Cloud в порядке, установленном договором.
|
||||
|
||||
Скачайте [опросный лист](https://disk.datafort.ru/public/s/DiqBkajp7rEoXym) с помощью сервиса Cloud Workspace (WS).
|
||||
|
||||
### Beeline Cloud
|
||||
|
||||
1. Проверяет корректность заполнения бланка заказа и опросного листа и регистрирует заказ.
|
||||
2. Уведомляет заказчика по e-mail о принятии заказа в работу.
|
||||
3. Подключает сервис.
|
||||
4. Предоставляет заказчику доступ к сервису не позднее двух рабочих дней с момента принятия заказа в работу.
|
||||
|
||||
## Настройка нестандартных конфигураций
|
||||
|
||||
Если требуется настройка нестандартных конфигураций, заказчик предоставляет необходимую информацию в Beeline Cloud.
|
||||
|
||||
## Прием запросов от заказчика
|
||||
|
||||
Beeline Cloud принимает запросы только от уполномоченных лиц заказчика, указанных в бланке заказа. Если конечный пользователь обращается в службу поддержки Beeline Cloud напрямую, он получает рекомендацию направить обращение через уполномоченных лиц.
|
||||
|
||||
## Зона ответственности
|
||||
|
||||
### Заказчик:
|
||||
|
||||
Заказчик принимает следующие условия использования сервиса:
|
||||
|
||||
- использование сервиса осуществляется **на свой риск**;
|
||||
- Beeline Cloud **не несет ответственности** за любые прямые, случайные, особые, косвенные или штрафные убытки, включая, но не ограничиваясь:
|
||||
- утрату данных;
|
||||
- утрату возможности использования сервиса;
|
||||
- упущенную выгоду;
|
||||
- прерывание бизнеса.
|
||||
|
||||
Указанные последствия могут возникать в результате использования или невозможности использования сервиса.
|
||||
|
||||
### Beeline Cloud
|
||||
|
||||
Beeline Cloud обеспечивает работоспособность сервиса в соответствии с условиями договора.
|
||||
|
||||
Beeline Cloud **не несёт ответственности** за:
|
||||
|
||||
- обеспечение защиты от угроз информационной безопасности;
|
||||
- ошибки, сбои или недостаточную производительность программного обеспечения, разработанного сторонним вендором;
|
||||
- непрерывность и надёжность работы такого ПО.
|
||||
|
||||
При выявлении ошибок в программном обеспечении, на котором развёрнут сервис, Beeline Cloud регистрирует инцидент в технической поддержке вендора и содействует его устранению.
|
||||
@@ -0,0 +1,28 @@
|
||||
# Тарификация сервиса
|
||||
|
||||
Сервис «Шифрование каналов связи (ГОСТ VPN)» предоставляется как самостоятельное решение. Сервис оформляется в бланке заказа (БЗ).
|
||||
|
||||
## Состав платежей
|
||||
|
||||
Платежи включают:
|
||||
|
||||
- **единовременный платеж** — за подключение услуги и конфигурацию параметров устройства на платформе;
|
||||
- **ежемесячный платеж** — за предоставление сервиса.
|
||||
|
||||
## Единовременный платеж
|
||||
|
||||
Единовременный платеж включает:
|
||||
|
||||
- подключение сервиса;
|
||||
- настройку параметров устройства;
|
||||
- дополнительные работы.
|
||||
|
||||
## Ежемесячный платеж
|
||||
|
||||
Размер фиксированного ежемесячного платежа зависит от **защищаемой полосы пропускания** (скорости VPN-канала). Точный размер указывается в бланке заказа (БЗ).
|
||||
|
||||
Beeline Cloud предоставляет оборудование и/или программное обеспечение в рамках ежемесячного платежа.
|
||||
|
||||
## Дополнительные работы
|
||||
|
||||
[Дополнительные работы](./compound/work.md) выполняются на основании заявок от уполномоченных представителей заказчика (указанных в БЗ) и оплачиваются отдельно.
|
||||
Binary file not shown.
|
After Width: | Height: | Size: 70 KiB |
Binary file not shown.
|
After Width: | Height: | Size: 68 KiB |
Binary file not shown.
|
After Width: | Height: | Size: 35 KiB |
Binary file not shown.
|
After Width: | Height: | Size: 40 KiB |
@@ -37,8 +37,8 @@ section_links:
|
||||
#link: /security/Cloud-WAF-PRO
|
||||
description: В работе
|
||||
- title: Шифрование каналов связи (ГОСТ VPN)
|
||||
#link: /security/Cloud-VPN
|
||||
description: В работе
|
||||
link: /security/Cloud-VPN
|
||||
description:
|
||||
- title: Cloud DDoS Protection
|
||||
#link: /security/Cloud-DDoS
|
||||
description: В работе
|
||||
|
||||
Reference in New Issue
Block a user