alex/fox
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity

Compare commits

merge into: alex/fox:feature/ngfw-pro
Branches Tags
alex/fox:main alex/fox:feature/MFA-merge alex/fox:fix/links-and-script alex/fox:fix/paas-structure alex/fox:feature/tariff-types alex/fox:Apache-Kafka alex/fox:patch/finance-gr alex/fox:test alex/fox:feature/VPN alex/fox:feature/PaaS-Deckhouse alex/fox:feature/MFA alex/fox:fix/finance-patch alex/fox:fix/legal-sidebar alex/fox:fix/tab-name alex/fox:feature/finance alex/fox:fix/icon-legal alex/fox:feature/billing alex/fox:feature/ngfw-f alex/fox:feature/ngfw-pro alex/fox:feature/PaaS-1C-Interconnection alex/fox:feature/ngfw alex/fox:fix/security-naming alex/fox:fix/gener-link-index#VEGA-6128 alex/fox:feature/gold-image alex/fox:feature/monitoring-2 alex/fox:feature/cyberproject alex/fox:PaaS/PostgreSQL alex/fox:fix/vm-getting-started-update alex/fox:feature/interconnect alex/fox:feature/ai alex/fox:feature/VEGA-4499-main-page alex/fox:feature/yellowbe alex/fox:feather/BEECL-3636/df-docs-v2
alex/fox:e1b0c5d6
..
pull from: alex/fox:feature/VPN
Branches Tags
alex/fox:feature/MFA-merge alex/fox:main alex/fox:fix/links-and-script alex/fox:fix/paas-structure alex/fox:feature/tariff-types alex/fox:Apache-Kafka alex/fox:patch/finance-gr alex/fox:test alex/fox:feature/VPN alex/fox:feature/PaaS-Deckhouse alex/fox:feature/MFA alex/fox:fix/finance-patch alex/fox:fix/legal-sidebar alex/fox:fix/tab-name alex/fox:feature/finance alex/fox:fix/icon-legal alex/fox:feature/billing alex/fox:feature/ngfw-f alex/fox:feature/ngfw-pro alex/fox:feature/PaaS-1C-Interconnection alex/fox:feature/ngfw alex/fox:fix/security-naming alex/fox:fix/gener-link-index#VEGA-6128 alex/fox:feature/gold-image alex/fox:feature/monitoring-2 alex/fox:feature/cyberproject alex/fox:PaaS/PostgreSQL alex/fox:fix/vm-getting-started-update alex/fox:feature/interconnect alex/fox:feature/ai alex/fox:feature/VEGA-4499-main-page alex/fox:feature/yellowbe alex/fox:feather/BEECL-3636/df-docs-v2
alex/fox:e1b0c5d6

8 Commits
feature/ngfw-pro .. feature/VPN

Author SHA1 Message Date
Левченко Людмила Алексеевна dd9de823ef сервис VPN 2026-05-12 18:07:02 +03:00
Анисин Александр Александрович fbd9b516e8 Merge branch 'fix/icon-legal' into 'main' 
Иконка

See merge request common/lk-beecloud/beecloud-docs!17
 2026-04-24 11:38:25 +00:00
Aleksandr Anisin 142fba4bf4 Иконка 2026-04-24 14:33:26 +03:00
Анисин Александр Александрович 623f882625 Merge branch 'feature/legal-docs' into 'main' 
Юридические документы

See merge request common/lk-beecloud/beecloud-docs!16
 2026-04-24 11:17:21 +00:00
Анисин Александр Александрович b262bd7821 Merge branch 'feature/ngfw-services' into 'main' 
Документы по NGFW

See merge request common/lk-beecloud/beecloud-docs!15
 2026-04-24 11:16:20 +00:00
Александр Анисин bdab867205 Документы по NGFW 2026-04-24 14:07:00 +03:00
Aleksandr Anisin 7dde98d821 Убрал заголовок 2026-04-24 14:05:53 +03:00
Александр Анисин b12a029919 Юридические документы 2026-04-24 14:01:54 +03:00
30 changed files with 1082 additions and 79 deletions
Expand all files Collapse all files
src/.vitepress/config.mts
+114 -40
View File
@@ -1,6 +1,9 @@
import { defineConfig } from 'vitepress'
import { tabsMarkdownPlugin } from 'vitepress-plugin-tabs'
import { viteStaticCopy } from 'vite-plugin-static-copy'
import { overrideComponents } from './override-components'
import { resolve } from 'node:path'
import { fileURLToPath, URL } from 'node:url'
const gitlab = `<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<svg
@@ -47,6 +50,7 @@ export default defineConfig({
description: "Документация Beeline Cloud",
head: [['link', { rel: 'icon', type: 'image/png', sizes: '32x32', href: '/bee-favicon.png' }]],
base: typeof new_version !== 'undefined' ? '/' : '/docs/',
appearance: false,
markdown: {
config(md) {
md.use(tabsMarkdownPlugin)
@@ -54,8 +58,31 @@ export default defineConfig({
},
vite: {
resolve: {
alias: overrideComponents(),
}
alias: [
...overrideComponents(),
{
find: '@',
replacement: fileURLToPath(new URL('./theme', import.meta.url))
},
],
},
plugins: [
viteStaticCopy({
targets: [
{
src: resolve(__dirname, '../../node_modules/@beeline/design-tokens/assets/fonts'),
dest: 'assets',
},
],
}),
],
css: {
preprocessorOptions: {
scss: {
api: 'modern-compiler',
},
},
},
},
locales: {
root: {
@@ -80,14 +107,8 @@ export default defineConfig({
buttonAriaLabel: 'Поиск'
},
modal: {
noResultsText: 'Не удалось загрузить данные',
noResultsText: 'По вашему запросу ничего не найдено',
resetButtonTitle: 'Сбросить',
displayDetails: 'Показать расширенный список',
footer: {
selectText: 'Выбрать',
closeText: 'Закрыть',
navigateText: 'Перейти',
}
}
}
}
@@ -130,6 +151,10 @@ export default defineConfig({
],
},
],
'/legal/': [
{ text: 'Юридические документы', link: '/legal/index.md' },
{ text: 'Общие документы', link: '/legal/index.md' },
],
'/security/': [
{
text: 'Сервисы информационной безопасности в Beeline Cloud', link: '/security/index.md',
@@ -203,25 +228,25 @@ export default defineConfig({
{ text: 'Режим Device Owner', link: '/security/Cloud-MDM/instructions/device-owner.md' },
]
},
],
],
},
{
text: 'Cloud NGFW', link: '/security/Cloud-NGFW/NGFW-index.md',
collapsed: true,
items: [
{ text: 'Обзор сервиса', link: '/security/Cloud-NGFW/about.md'},
items: [
{ text: 'Обзор сервиса', link: '/security/Cloud-NGFW/about.md'},
{ text: 'Основные возможности', link: '/security/Cloud-NGFW/possibilities.md' },
{ text: 'Спецификация сервиса', link: '/security/Cloud-NGFW/specification.md' },
{ text: 'Состав сеервиса', link: '/security/Cloud-NGFW/compound.md' },
{ text: 'Состав сервиса', link: '/security/Cloud-NGFW/compound.md' },
{ text: 'Сроки и условия предоставления сервиса. Зоны ответственности', link: '/security/Cloud-NGFW/provision.md' },
{ text: 'Структура платежей', link: '/security/Cloud-NGFW/payment-structure.md' },
]
},
{
text: 'Cloud NGFW F', link: '/security/NGFW-F-index.md',
text: 'Cloud NGFW F', link: '/security/Cloud-NGFW-F/NGFW-F-index.md',
collapsed: true,
items: [
{ text: 'Обзор сервиса', link: '/security/Cloud-NGFW-F/about.md'},
items: [
{ text: 'Обзор сервиса', link: '/security/Cloud-NGFW-F/about.md'},
{ text: 'Порядок подключения сервиса', link: '/security/Cloud-NGFW-F/connection.md' },
{ text: 'Варианты предоставления', link: '/security/Cloud-NGFW-F/delivery-options.md' },
{ text: 'Состав сервиса', link: '/security/Cloud-NGFW-F/compound.md' },
@@ -231,10 +256,10 @@ export default defineConfig({
]
},
{
text: 'Cloud NGFW Pro', link: '/security/NGFW-Pro-index.md',
text: 'Cloud NGFW Pro', link: '/security/Cloud-NGFW-Pro/NGFW-Pro-index.md',
collapsed: true,
items: [
{ text: 'Обзор сервиса', link: '/security/Cloud-NGFW-Pro/about.md'},
items: [
{ text: 'Обзор сервиса', link: '/security/Cloud-NGFW-Pro/about.md'},
{ text: 'Основные возможности', link: '/security/Cloud-NGFW-Pro/possibilities.md' },
{ text: 'Спецификация сервиса', link: '/security/Cloud-NGFW-Pro/specification.md' },
{ text: 'Состав сервиса', link: '/security/Cloud-NGFW-Pro/compound.md' },
@@ -243,8 +268,28 @@ export default defineConfig({
{ text: 'Структура платежей', link: '/security/Cloud-NGFW-Pro/payment-structure.md' },
]
},
{
text: 'Шифрование каналов связи (ГОСТ VPN)', link: 'security/Cloud-VPN/VPN-index.md',
collapsed: true,
items: [
{
text: 'Состав сервиса', link: '/security/Cloud-VPN/compond-index.md',
collapsed: true,
items: [
{ text: 'Доступность сервиса', link: '/security/Cloud-VPN/compond/availability.md' },
{ text: 'Зоны ответственности', link: '/security/Cloud-VPN/compond/areas-responsibility.md' },
{ text: 'Изоляция ресурсов', link: '/security/Cloud-VPN/compond/insulation.md' },
{ text: 'Варианты предоставления сервиса', link: '/security/Cloud-VPN/compond/provision.md' },
{ text: 'Дополнительные работы ', link: '/security/Cloud-VPN/compond/work.md' },
]
},
{ text: 'Обзор сервиса', link: '/security/Cloud-VPN/about.md' },
{ text: 'Тарификация сервиса', link: '/security/Cloud-VPN/tariffs.md' },
{ text: 'Сроки и условия предоставления сервиса', link: '/security/Cloud-VPN/provision.md' },
]
},
],
'/start/': [
'/start/': [
{
text: 'Начало работы в Beeline Cloud', link: '/start/index.md',
},
@@ -299,8 +344,9 @@ export default defineConfig({
text: 'Обзор сервиса', link: '/vdc/vdc-overview.md',
collapsed: true,
items: [
{ text: 'Техническое описание', link: '/vdc/vdc-tech.md' },
{ text: 'Квоты и лимиты', link: '/vdc/vdc-quatos.md' },
{ text: 'О сервисе', link: '/vdc/vdc-about.md' },
{ text: 'Техническое описание', link: '/vdc/vdc-tech.md' },
{ text: 'Квоты и лимиты', link: '/vdc/vdc-quatos.md' },
]
},
{
@@ -329,15 +375,13 @@ export default defineConfig({
{text: 'VMware Tools', link: '/vdc/vdc-how-to/vm/vmware-tools.md'},
],
},
{ text: 'Диски',
{ text: 'Диски', link: '/vdc/vdc-how-to/disks/disks-index.md',
collapsed: true,
items: [
{text: 'Обзор', link: '/vdc/vdc-how-to/disks/about.md'},
{text: 'Создание диска', link: '/vdc/vdc-how-to/disks/create-disk.md'},
{text: 'Проверка состояния диска', link: '/vdc/vdc-how-to/disks/view-disk.md'},
{text: 'Подключение выделенного диска к ВМ', link: '/vdc/vdc-how-to/disks/attach-disk.md'},
{text: 'Отключение выделенного диска от ВМ', link: '/vdc/vdc-how-to/disks/detach-disk.md'},
{text: 'Изменение владельца выделенного диска', link: '/vdc/vdc-how-to/disks/change-owner.md'},
{text: 'Управление выделенными дисками', link: '/vdc/vdc-how-to/disks/attach-disk.md'},
{text: 'Изменение политики хранения дисков ВМ', link: '/vdc/vdc-how-to/disks/change-storage-policy-of-vm.md'},
{text: 'Редактирование параметров диска', link: '/vdc/vdc-how-to/disks/edit-disk.md'},
{text: 'Удаление диска', link: '/vdc/vdc-how-to/disks/delete-disk.md'},
@@ -351,7 +395,18 @@ export default defineConfig({
{text: 'Подключение ВМ в vApp к сети', link: '/vdc/vdc-how-to/networks/connect-vapp-to-network.md'},
{text: 'Подключение ВМ к интернету', link: '/vdc/vdc-how-to/networks/connect-vm-to-network.md'},
{text: 'Создание сети в организации и подключение к Edge Gateway', link: '/vdc/vdc-how-to/networks/create-network.md'},
{text: 'Подключение сети к Edge Gateway', link: '/vdc/vdc-how-to/networks/isolated-to-routed.md'},
{text: 'Подключение сети к Edge Gateway', link: '/vdc/vdc-how-to/networks/connect-to-edge-gateway.md'},
{text: 'Создание Pre-Shared Key', link: '/vdc/vdc-how-to/networks/create-psk.md'},
{ text: 'Настройка site-to-site подключения с помощью IPSec', link: '/vdc/vdc-how-to/networks/how-to-setup-ipsec-vpn.md',
collapsed: true,
items: [
{text: 'Настройка IPSec VPN', link: '/vdc/vdc-how-to/networks/ipsec/setup-ipsec-vpn.md'},
{text: 'Настройка ASAv', link: '/vdc/vdc-how-to/networks/ipsec/asav.md'},
{text: 'Настройка CSR 1000v', link: '/vdc/vdc-how-to/networks/ipsec/csr1000v.md'},
{text: 'Настройка Fortigate', link: '/vdc/vdc-how-to/networks/ipsec/fortigate.md'},
{text: 'Проверить сетевую связанность', link: '/vdc/vdc-how-to/networks/ipsec/check-vpn-status.md'},
],
},
],
},
{ text: 'Пользователи и роли', link: '/vdc/vdc-how-to/users/users-index.md',
@@ -442,20 +497,39 @@ export default defineConfig({
text: 'Администрирование', link: '/admin/index.md',
},
{text: 'Управление ключевыми парами', link: '/admin/ssh.md'},
],
'/billing/': [
{ text: 'Биллинг', link: '/billing/about.md',
collapsed: true,
items: [
{ text: 'Аналитика потребления', link: '/billing/usage-analytics.md' },
],
},
],
'/monitoring/': [
{
text: 'Мониторинг', link: '/monitoring/about.md',
},
],
'/vdi/': [
{
text: 'Виртуальные рабочие столы', link: '/vdi/index.md',
},
{
text: 'Обзор сервиса', link: '/vdi/vdi-overview.md',
collapsed: true,
items: [
{ text: 'О сервисе', link: '/vdi/vdi-about.md' },
{ text: 'Техническое описание', link: '/vdi/vdi-tech.md' },
{ text: 'Квоты и лимиты', link: '/vdi/vdi-quatos.md' },
{ text: 'Тарификация', link: '/vdi/vdi-tarif.md' },
]
},
{
text: 'Заказ виртуальных рабочих столов', link: '/vdi/vdi-how-to/vdi-create.md'
},
{
text: 'Настройка сервиса', link: '/vdi/vdi-how-to/vdi-nastroika.md',
collapsed: true,
items: [
{ text: 'Настройка интеграции с Active Directory', link: '/vdi/vdi-how-to/vdi-connect-to-ad.md' },
{ text: 'Настройка сети', link: '/vdi/vdi-how-to/vdi-interconnect.md' },
]
},
// {
// text: 'Gold-образ', link: '/vdi/vdi-how-to/vdi-gold.md'
// },
{
text: 'Подключение к виртуальному рабочему месту', link: '/vdi/vdi-how-to/vdi-connect.md'
},
],
},
},
}
src/PaaS/Deckhouse/about.md
+107
View File
@@ -0,0 +1,107 @@
# Cloud Deckhouse Kubernetes
## Назначение сервиса
**Cloud Deckhouse Kubernetes** — это управляемый облачный сервис на базе платформы оркестрации контейнеров Kubernetes.
Сервис автоматизирует настройку:
- серверов;
- сети;
- балансировщиков нагрузки;
- механизмов отказоустойчивости.
Пользователю не нужно самостоятельно управлять инфраструктурой — кластер работает «из коробки».
> **Kubernetes** - это платформа для оркестрации контейнеров, которая автоматизирует развертывание, масштабирование и управление приложениями.
## Автоматизация сервис
**Cloud Deckhouse Kubernetes** самостоятельно выполняет следующие операции:
| Операция | Описание |
|------------------------------|-------------------------------------------------------|
| Управление ролями узлов | Назначает узлам роли master, frontend, system, worker |
| Мониторинг компонентов | Отслеживает состояние всех частей платформы |
| Восстановление после отказов | Автоматически перезапускает отказавшие узлы и поды |
## Архитектура и компоненты
Для стабильной работы сервиса используются три ключевых компонента:
- **Deckhouse** — платформа управления. Устанавливает, обновляет и настраивает кластер.
- **etcd** — распределенное хранилище. Сохраняет состояние кластера и данные конфигурации.
- **Балансировщики нагрузки** — единая точка входа. Направляют трафик к работающим приложениям.
## Доступ к приложениям
Подключение к приложениям внутри кластера выполняется через единую точку доступа. Подключаться к отдельным узлам не требуется.
## Управление и мониторинг
| Задача | Инструмент |
|-------------------------------------------------|-----------------------|
| Управление кластером и развертывание приложений | Веб-интерфейс Console |
| Мониторинг состояния системы | Grafana |
## Отказоустойчивость
Кластер поставляется в отказоустойчивой архитектуре, которая обеспечивает:
- высокую доступность плоскости управления (control plane);
- автоматическое восстановление узлов при отказах.
### Типы узлов кластера
Кластер состоит из следующих типов виртуальных серверов:
| Тип виртуального сервера | Количество узлов | Назначение |
| ------------------------------- | ---------------- | -------------------- |
| **Master-узлы (control plane)** | 3 | Обязательные узлы. На них работают управляющие компоненты кластера: API server, etcd, controller manager, scheduler. |
| **System-узлы** | 2 | Служебные узлы. На них размещаются внутренние компоненты платформы Deckhouse, системы мониторинга (Prometheus, Grafana), логирования и другие вспомогательные сервисы, обеспечивающие работу кластера. |
| **Frontend-узлы** | 2 | Узлы, предназначенные для обработки входящего трафика. На них работают Ingress-контроллеры и балансировщики нагрузки, которые принимают запросы из внешней сети и распределяют их между приложениями, запущенными на worker-узлах. |
| **Worker-узлы** | от 1 и более | Узлы, на которых непосредственно выполняются пользовательские приложения в контейнерах. Именно здесь размещаются поды с сервисами и прикладными компонентами. |
::: info Примечание
По умолчанию кластер работает в высокодоступном режиме. Выход из строя одного или двух master-узлов не приводит к потере управления кластером.
:::
::: warning Важно
Для тестовых сред возможна **одноузловая конфигурация control plane**. В этом случае отказ master-узла сделает кластер неуправляемым.
:::
## Доступ к кластеру
Прямой доступ к серверам кластера (по SSH) не предоставляется.
Управление приложениями и ресурсами кластера возможно через:
- **kubectl** — командная строка;
- **веб-интерфейс Console**;
- **API Kubernetes**.
## Возможности сервиса
**Cloud Deckhouse Kubernetes** предоставляет возможности, позволяющие использовать Kubernetes без самостоятельного администрирования инфраструктуры.
Сервис обеспечивает:
- автоматическое управление кластером (установка, обновление, настройка);
- высокую доступность control plane;
- единую точку входа в приложения;
- автоматическое восстановление при отказах;
- веб-доступ к управлению кластером и мониторингу;
- совместимость со стандартными инструментами (**kubectl**);
- автоматическое масштабирование приложений;
- блочные и сетевые хранилища для данных приложений (Persistent Volume).
## Сценарии использования
Сервис подходит для систем, где требуется надежная оркестрация контейнеров и упрощенное управление инфраструктурой.
Примеры использования:
- размещение production-приложений в контейнерах с высокими требованиями к доступности;
- микросервисная архитектура с единой точкой управления кластером;
- работа stateful-приложений (базы данных, очереди) с сохранением состояния;
- быстрое развертывание Kubernetes-кластера без ручной настройки сети, хранилищ и мониторинга;
- администрирование через веб-интерфейс без прямого доступа к серверам.
src/PaaS/Deckhouse/connection.md
+238
View File
@@ -0,0 +1,238 @@
# Подключение к сервису Deckhouse
В данном разделе описаны способы подключения к кластеру **Cloud Deckhouse Kubernetes**. Рассматривается работа с кластером через веб-интерфейс **Console**, а также управление через командную строку с использованием утилиты **kubectl** после генерации **kubeconfig**.
## Предварительные требования
После предоставления доступа к **сервису Cloud Deckhouse Kubernetes** пользователь получает возможность управлять кластером через веб-интерфейс **Console**.
**Console** - это встроенный веб-интерфейс платформы Deckhouse, предназначенный для упрощения взаимодействия с Kubernetes-кластером.
Он позволяет выполнять большинство операций, доступных в командной строке через **kubectl**, в визуальном режиме:
- мониторинг состояния кластера;
- управление узлами и модулями;
- настройку безопасности и сети.
## Вход в Console
1. Откройте веб-браузер и перейдите по адресу, предоставленному для доступа к Console.
::: info Примечание
URL-адрес направляется пользователю на электронную почту при предоставлении доступа.
:::
2. На странице ввода учетных данных выполняется аутентификация при помощи логина и пароля;
![Авторизация](images/authorization.png)
3. После успешной аутентификации откроется главная страница веб-интерфейса Console.
![Главная страница](images/home-page.png)
## Основные разделы Console
В левой боковой панели веб-интерфейса Console расположены основные разделы для управления кластером:
| Раздел | Назначение |
| ------------------ | -------------------------------------------------------------------------------------- |
| **Deckhouse** | Управление платформой Deckhouse: обзор, обновления, модули, глобальные настройки |
| **Проекты** | Управление проектами, шаблонами проектов и namespace (пространствами имен) |
| **Узлы** | Управление узлами кластера: группы узлов, конфигурации, классы машин, статические узлы |
| **Конфигурация** | Настройка Deschedulers и Priority Classes |
| **Доступ** | Управление аутентификацией, сессиями пользователей, правами доступа (RBAC) |
| **Сеть** | Настройка Egress-шлюзов, балансировки и управление сертификатами |
| **Хранилище** | Управление Persistent Volume, классами хранилищ и снимками томов |
| **Безопасность** | Настройка политик безопасности и операционных политик |
| **Мониторинг** | Просмотр данных, дашбордов, активных алертов, настройка уведомлений и экспорт метрик |
| **Журналирование** | Управление отправкой и сбором логов |
## Генерация kubeconfig через Console
Помимо управления через веб-интерфейс, Console позволяет сгенерировать файл **kubeconfig** для доступа к кластеру через **kubectl**.
1. На главной странице Console находится раздел «Инструменты» (Tools);
2. Необходимо выбрать пункт «Генератор kubeconfig» (Generate kubeconfig);
3. Нажимается кнопка генерации - система сгенерирует необходимые команды;
4. Далее, нужно скопировать и выполнить в терминале команды, которые сгенерированы для пользовательской учетной записи.
::: info Примечание
Сгенерированный **kubeconfig** уже содержит все необходимые параметры для подключения к API Kubernetes.
:::
## Примеры простейших команд kubectl
После настройки **kubeconfig** управление кластером осуществляется через командную строку с помощью утилиты **kubectl**. Ниже приведены основные команды для начала работы.
### Проверка подключения к кластеру
```
kubectl cluster-info
```
**Пример вывода:**
```
Kubernetes control plane is running at https://127.0.0.1:6445
To further debug and diagnose cluster problems, use 'kubectl cluster-info dump'.
```
### Просмотр узлов кластера
```
kubectl get nodes
```
**Пример вывода:**
```
NAME STATUS ROLES AGE VERSION
cloud-frontend-0 Ready frontend 12d v1.32.10
cloud-frontend-1 Ready frontend 12d v1.32.10
cloud-master-0 Ready control-plane,master 12d v1.32.10
cloud-master-1 Ready control-plane,master 12d v1.32.10
cloud-master-2 Ready control-plane,master 12d v1.32.10
cloud-system-0 Ready system 12d v1.32.10
cloud-system-1 Ready system 12d v1.32.10
cloud-worker-a374349e-zznfp-nkqr2 Ready worker 12d v1.32.10
cloud-worker-a374349e-zznfp-rdpdz Ready worker 12d v1.32.10
```
### Просмотр пространств имен
```
kubectl get namespaces
```
**Пример вывода:**
```
NAME STATUS AGE
d8-admission-policy-engine Active 12d
d8-cert-manager Active 12d
d8-chrony Active 12d
d8-cloud-instance-manager Active 12d
d8-cloud-provider-vcd Active 12d
d8-cni-cilium Active 12d
d8-console Active 12d
d8-dashboard Active 12d
d8-descheduler Active 12d
d8-ingress-nginx Active 12d
d8-local-path-provisioner Active 12d
d8-log-shipper Active 12d
d8-metallb Active 12d
d8-monitoring Active 12d
d8-multitenancy-manager Active 12d
d8-observability Active 12d
d8-operator-prometheus Active 12d
d8-pod-reloader Active 12d
d8-service-accounts Active 12d
d8-snapshot-controller Active 12d
d8-system Active 12d
d8-upmeter Active 12d
d8-user-authn Active 12d
default Active 12d
kube-node-lease Active 12d
kube-public Active 12d
kube-system Active 12d
```
### Просмотр подов в конкретном namespace
```
kubectl get pods -n d8-console
```
**Пример вывода:**
```
NAME READY STATUS RESTARTS AGE
backend-546c7496f8-2nzx2 1/1 Running 0 3d7h
backend-546c7496f8-nxqf4 1/1 Running 0 3d7h
console-dex-authenticator-6b7d456445-7cg9p 2/2 Running 0 12d
console-dex-authenticator-6b7d456445-ljjr8 2/2 Running 0 12d
frontend-79cb59c94d-cf457 1/1 Running 0 3d7h
frontend-79cb59c94d-rvlzk 1/1 Running 0 3d7h
observability-gw-59c4fb6548-2lcqr 1/1 Running 0 3d7h
observability-gw-59c4fb6548-9n6nb 1/1 Running 0 3d7h
```
### Просмотр логов пода
```
kubectl logs frontend-79cb59c94d-cf457 -n d8-console
```
### Просмотр сервисов
```
kubectl get services -n d8-console
```
**Пример вывода:**
```
NAME TYPE CLUSTER-IP EXTERNAL-IP PORT(S) AGE
backend ClusterIP 10.222.4.60 <none> 8999/TCP 12d
console-dex-authenticator ClusterIP 10.222.224.82 <none> 443/TCP 12d
frontend ClusterIP 10.222.226.106 <none> 80/TCP 12d
observability-gw ClusterIP None <none> 3000/TCP,8443/TCP 12d
```
### Быстрое получение информации о ресурсах
```
kubectl get all -n d8-console
```
**Пример вывода:**
```
NAME READY STATUS RESTARTS AGE
pod/backend-546c7496f8-2nzx2 1/1 Running 0 3d7h
pod/backend-546c7496f8-nxqf4 1/1 Running 0 3d7h
pod/console-dex-authenticator-6b7d456445-7cg9p 2/2 Running 0 12d
pod/console-dex-authenticator-6b7d456445-ljjr8 2/2 Running 0 12d
pod/frontend-79cb59c94d-cf457 1/1 Running 0 3d7h
pod/frontend-79cb59c94d-rvlzk 1/1 Running 0 3d7h
pod/observability-gw-59c4fb6548-2lcqr 1/1 Running 0 3d7h
pod/observability-gw-59c4fb6548-9n6nb 1/1 Running 0 3d7h
NAME TYPE CLUSTER-IP EXTERNAL-IP PORT(S) AGE
service/backend ClusterIP 10.222.4.60 <none> 8999/TCP 12d
service/console-dex-authenticator ClusterIP 10.222.224.82 <none> 443/TCP 12d
service/frontend ClusterIP 10.222.226.106 <none> 80/TCP 12d
service/observability-gw ClusterIP None <none> 3000/TCP,8443/TCP 12d
NAME READY UP-TO-DATE AVAILABLE AGE
deployment.apps/backend 2/2 2 2 12d
deployment.apps/console-dex-authenticator 2/2 2 2 12d
deployment.apps/frontend 2/2 2 2 12d
deployment.apps/observability-gw 2/2 2 2 12d
NAME DESIRED CURRENT READY AGE
replicaset.apps/backend-546c7496f8 2 2 2 3d7h
replicaset.apps/backend-69d8c6bd68 0 0 0 12d
replicaset.apps/console-dex-authenticator-6b7d456445 2 2 2 12d
replicaset.apps/console-dex-authenticator-74c97bf4d6 0 0 0 12d
replicaset.apps/frontend-6b7ffb7bbd 0 0 0 9d
replicaset.apps/frontend-79cb59c94d 2 2 2 3d7h
replicaset.apps/frontend-79ccdfc56b 0 0 0 12d
replicaset.apps/observability-gw-574cdfdd87 0 0 0 12d
replicaset.apps/observability-gw-59c4fb6548 2 2 2 3d7h
```
### Получение справки
Для получение справки по любой команде используется флаг **--help**:
```
kubectl get pods --help
kubectl describe pod --help
```
### Просмотр подробной информации о конкретном ресурсе
```
kubectl describe pod <имя-пода> -n <namespace>
```
src/PaaS/Deckhouse/user-permissions.md
+83
View File
@@ -0,0 +1,83 @@
# Права и возможности пользователей
При развертывании сервиса Cloud Deckhouse Kubernetes создается учетная запись с уровнем доступа **SuperAdmin**. Этот уровень предоставляет расширенные права на управление кластером Kubernetes.
**SuperAdmin** получает полный контроль над своими приложениями и ресурсами в пределах выделенного кластера или пространства имен (namespace).
## Ограничения доступа SuperAdmin
SuperAdmin **не имеет доступа** к следующим компонентам:
- инфраструктурный уровень (гипервизоры, физические серверы, сетевое оборудование);
- управление компонентами платформы Deckhouse на уровне всего кластера;
- master-узлы, system-узлы и frontend-узлы;
- изменение конфигурации платформы Deckhouse и ее глобальных модулей.
## Доступные действия
### Управление пространствами имен (Namespaces)
SuperAdmin может управлять пространствами имен:
- создавать новые namespace;
- удалять namespace (все ресурсы внутри удаляются);
- просматривать список всех namespace;
- устанавливать метки (labels) и аннотации для namespace.
### Управление рабочими нагрузками
SuperAdmin имеет полный контроль над подами, развертываниями и другими ресурсами приложений:
- создавать, обновлять и удалять Deployment, StatefulSet, DaemonSet;
- создавать, обновлять и удалять Pod;
- просматривать логи подов (`kubectl logs`);
- подключаться к выполняющемуся контейнеру (`kubectl exec`);
- масштабировать развертывания (увеличивать или уменьшать количество реплик);
- обновлять версии образов контейнеров;
- удалять поды (в том числе принудительно);
- просматривать события (events) в namespace.
### Управление сетевым доступом (Services & Ingress)
SuperAdmin может настраивать способы доступа к приложениям как внутри кластера, так и из внешней сети:
SuperAdmin может настраивать способы доступа к приложениям внутри кластера и из внешней сети:
- создавать, изменять и удалять Service (типы: ClusterIP, NodePort, LoadBalancer);
- создавать, изменять и удалять Ingress-правила для маршрутизации входящего трафика;
- настраивать порты и селекторы для сервисов;
- просматривать список сервисов и их конечных точек (endpoints).
### Управление хранилищем (Storage)
SuperAdmin может создавать и использовать тома для хранения данных приложений:
- создавать Persistent Volume Claim (PVC);
- удалять PVC (освобождать дисковое пространство);
- просматривать список PVC и их статусов;
- использовать PVC в подах (монтировать тома).
### Управление конфигурацией (ConfigMaps & Secrets)
SuperAdmin может создавать и изменять конфигурационные данные и секреты для приложений:
- создавать, изменять и удалять ConfigMap;
- создавать, изменять и удалять Secrets (например, для хранения токенов, паролей или ключей);
- монтировать ConfigMap и Secrets в поды в виде переменных окружения или файлов.
### Мониторинг и наблюдаемость
SuperAdmin имеет доступ к метрикам и логам своих приложений:
- просматривать метрики приложений в Grafana;
- просматривать логи через `kubectl logs` или интерфейс сбора логов (Loki);
- просматривать дашборды с информацией о потреблении ресурсов (CPU, RAM, Storage) своими приложениями;
- просматривать события Kubernetes (events) для диагностики проблем.
### Управление доступом (RBAC)
SuperAdmin может управлять правами других пользователей в рамках своего пространства имен:
- создавать и удалять учетные записи (ServiceAccount);
- назначать роли (Role, RoleBinding) другим пользователям в пределах своего namespace;
- ограничивать доступ к отдельным ресурсам.
src/index.md
+17 -3
View File
@@ -45,6 +45,9 @@ features:
- title: Тех поддержка
icon: headset_help
link: /platform/support/support-overview
- title: Юридические документы
icon: handshake
link: /legal/index
services:
- title: Инфраструктура
@@ -89,8 +92,9 @@ services:
- title: Резервное копирование
articles:
- title: Резервное копирование
description: В работе
description: Создание, хранение и восстановление копии виртуальных машин
icon: refresh
link: /backups/index
- title: Базы данных
articles:
- title: ClickHouse
@@ -110,10 +114,18 @@ services:
icon: graph_up
- title: Безопасность
articles:
- title: Межсетевой экран (NGFW)
link: security/Cloud-NGFW/NGFW-index.md
- title: Cloud NGFW
link: /security/Cloud-NGFW/NGFW-index.md
description: Межсетевой экран для инспекции и фильтрации трафика на уровне приложений
icon: security
- title: Cloud NGFW F
link: /security/Cloud-NGFW-F/NGFW-F-index.md
description: Виртуальный аплаенс межсетевого экрана для исследования и фильтрации сетевого трафика
icon: security
- title: Cloud NGFW Pro
link: /security/Cloud-NGFW-Pro/NGFW-Pro-index.md
description: Межсетевой экран с IDS и потоковым антивирусом на базе отказоустойчивой инфраструктуры
icon: security
- title: Защита веб-приложений (WAF)
description: В работе
icon: security
@@ -144,11 +156,13 @@ services:
- title: ГОСТ VPN
description: В работе
icon: security
- title: Виртуальное рабочее место
articles:
- title: Виртуальные рабочие столы (VDI)
description: В работе
icon: magic
link: /vdi/index
- title: Платформа офисного пространства
description: В работе
icon: magic
src/legal/index.md
+4
View File
@@ -0,0 +1,4 @@
# Общие документы
- [Условия обработки данных пользователей](https://static.beeline.ru/upload/images/cloud/31463_usloviya_obrabotki_dannyh_polzovateley.pdf)
- [Политика обработки персональных данных](https://static.beeline.ru/upload/images/Documents/politica.pdf)
src/security/Cloud-NGFW-F/NGFW-F-index.md
+29
View File
@@ -0,0 +1,29 @@
---
section_links:
- title: Обзор сервиса
link: /security/Cloud-NGFW-F/about.md
description:
- title: Состав сервиса
link: /security/Cloud-NGFW-F/compound.md
description:
- title: Структура платежей
link: /security/Cloud-NGFW-F/payment-structure.md
description:
- title: Порядок подключения сервиса
link: /security/Cloud-NGFW-F/connection.md
description:
- title: Варианты предоставления
link: /security/Cloud-NGFW-F/delivery-options.md
description:
- title: Функциональные возможности
link: /security/Cloud-NGFW-F/functional-capabilities.md
description:
- title: Тестирование сервиса
link: /security/Cloud-NGFW-F/testing.md
description:
---
# Сервис Cloud NGFW F
Межсетевой экран для исследования и фильтрации трафика. Включает IPS/IDS и потоковый антивирус.
src/security/Cloud-NGFW-F/about.md
+7
View File
@@ -0,0 +1,7 @@
# Cloud NGFW F
## Назначение сервиса
**Cloud NGFW F** (Next-Generation Firewall) — межсетевой экран (МСЭ), который предоставляется в виде виртуального аплаенса для исследования и фильтрации сетевого трафика.
МСЭ поддерживает функции IPS/IDS и потоковый антивирус, а также контролирует и блокирует трафик на уровне приложений.
src/security/Cloud-NGFW-F/compound.md
+25
View File
@@ -0,0 +1,25 @@
# Состав сервиса
Сервис состоит из следующих компонентов:
- виртуальный аплаенс Межсетевого экрана (VMXX);
- виртуальная инфраструктура в облаке Beeline Cloud, на которой размещается виртуальный аплаенс;
- консоль управления виртуальным аплаенсом:
- Клиент управляет самостоятельно (Self Service);
- Beeline Cloud управляет от имени Клиента (Managed Service).
## Варианты сервиса
| VMXX | VM01 | VM02 | VM04 | VM08 |
| ---------------------------------------------------------------- | ----------------------- | ----------------------- | ----------------------- | ----------------------- |
| **Защищаемая полоса пропускания**<br>Threat Protection Throughput (Enterprise Mix) | 400 Мбит/с | 900 Мбит/с | 1,8 Гбит/с | 3,4 Гбит/с |
| **Производительность межсетевого экрана**<br>Firewall Throughput (UDP Packets, 1518 Byte) | 12 Гбит/с | 17 Гбит/с | 25 Гбит/с | 44 Гбит/с |
| **Производительность межсетевого экрана**<br>Firewall Throughput (UDP Packets, 512 Byte) | 6 Гбит/с | 7 Гбит/с | 10,8 Гбит/с | 14 Гбит/с |
| **Производительность межсетевого экрана**<br>Firewall Throughput (UDP Packets, 64 Byte) | 1 Гбит/с | 1,1 Гбит/с | 2 Гбит/с | 3 Гбит/с |
| **Одновременные сессии (TCP)**<br>Concurrent Sessions (TCP) | 1,5 млн. | 3,5 млн. | 6 млн. | 13 млн. |
| **Новых сессий в секунду (TCP)**<br> New Sessions / Second (TCP) | 106 тыс. | 151 тыс. | 123 тыс. | 392 тыс. |
| **Пропускная способность IPsec VPN**<br>IPSec VPN UDP Throughput-1360 (AES256GCM) | 0,5 Гбит/с | 1,0 Гбит/с | 2,1 Гбит/с | 4,0 Гбит/с |
| **Пропускная способность SSL-VPN**<br>SSL-VPN Throughput | 1,5 Гбит/с | 1,6 Гбит/с | 3,9 Гбит/с | 8,1 Гбит/с |
| **Одновременные пользователи SSL-VPN (Рекомендуемый максимум)**<br>Concurrent SSL-VPN Users (Recommended Maximum) | ~70 | ~200 | ~350 | ~600 |
| **Производительность системы предотвращения вторжений (HTTP / Смешанный)**<br>IPS Throughput (HTTP / Enterprise Mix) | 1,1 Гбит/с / 0,8 Гбит/с | 1,9 Гбит/с / 1,7 Гбит/с | 3,5 Гбит/с / 3,3 Гбит/с | 6,8 Гбит/с / 4,2 Гбит/с |
|**Производительность при включенном контроле приложений**<br>Application Control Throughput (HTTP 64K) | 1,4 Гбит/с | 2,3 Гбит/с | 5,3 Гбит/с | 9,1 Гбит/с|
src/security/Cloud-NGFW-F/connection.md
+34
View File
@@ -0,0 +1,34 @@
# Порядок подключения сервиса и работа с изменениями
## Подключение сервиса
### Заказчик
1. Заполните опросный лист и подпишите бланк заказа (БЗ) на предоставление сервиса.
2. Отправьте отсканированную копию подписанного БЗ на e-mail `presales@datafort.ru` и корпоративный e-mail менеджера по продажам Beeline Cloud, указанный в заказе.
3. Направьте оригинал БЗ в Beeline Cloud в порядке, установленном договором.
### Beeline Cloud
1. Составляет БЗ, проверяет корректность заполнения опросного листа и регистрирует заказ.
2. Уведомляет заказчика по e-mail о принятии заказа в работу.
3. Подключает сервис и высылает заказчику на e-mail инструкцию по доступу, логин и пароль, а также иные данные, необходимые для работы **Cloud NGFW F** в зависимости от выбранного варианта.
### Консультации
При необходимости Beeline Cloud консультирует заказчика по настройке сервиса.
## Работа с изменениями
Beeline Cloud принимает запросы на изменение конфигурации и инциденты только от уполномоченных лиц. Список уполномоченных лиц должен быть указан в БЗ.
При обращении в службу поддержки Beeline Cloud обращайтесь через уполномоченных лиц.
## Дополнительные работы
Стоимость определяется по фактическим трудозатратам.
| Наименование работ | Трудозатраты специалиста, ч |
| -------------------------------------------- | --------------------------- |
| Разработка и применение политик безопасности | От 4 |
| Изменение параметров политик безопасности | От 1 |
src/security/Cloud-NGFW-F/delivery-options.md
+63
View File
@@ -0,0 +1,63 @@
# Варианты предоставления
Сервис доступен в двух вариантах:
1. **Self Service**
2. **Managed Service**
## Состав работ и зоны ответственности
| Состав работ | Self Service | Managed Service |
| ------------------------------------------------- | --------------- | --------------- |
| Подготовка и настройка виртуальной инфраструктуры | Beeline Cloud | Beeline Cloud |
| Подготовка виртуальных машин (ВМ) | Beeline Cloud | Beeline Cloud |
| Подготовка лицензии | Beeline Cloud | Beeline Cloud |
| Поддержание актуальных версий лицензий | Beeline Cloud | Beeline Cloud |
| Первичная настройка МСЭ | Beeline Cloud\* | Beeline Cloud\* |
| Настройка сети | Заказчик | Beeline Cloud |
| Настройка параметров информационной безопасности | Заказчик | Beeline Cloud |
| Настройка оповещений | Заказчик | Beeline Cloud |
| Изменение настроек сервиса | Заказчик\*\* | Beeline Cloud |
::: warning Пояснения к таблице:
<sup>\*</sup> **\*Первичная настройка МСЭ** — описание см. в разделе Self Service или Managed Service соответственно.\*
<sup>**</sup> \***Изменение настроек сервиса (Self Service)\*_ — подробности см. в разделе Изменение настроек сервиса._
:::
### 1. Self Service
Первичная настройка МСЭ:
- настройка доступа Заказчику (через интернет или через стык с его инфраструктурой);
- настройка кластера — при наличии запроса и предоставленной схемы;
- настройка согласно ТЗ Заказчика.
Если ТЗ не представлено, по умолчанию из локальной сети Заказчика открывается доступ в интернет без ограничений.
#### Изменение настроек сервиса
Если Заказчик самостоятельно меняет настройки так, что Beeline Cloud теряет доступ к виртуальному апплаенсу, Beeline Cloud не несет ответственности за соблюдение SLA.
### 2. Managed Service
Первичная настройка МСЭ:
- настройка согласно ТЗ и/или архитектурному решению, согласованному с Заказчиком;
- настройка мониторинга;
- настройка резервного копирования.
#### Настройки по умолчанию (при отсутствии ТЗ)
Если Клиент не предоставил ТЗ, Beeline Cloud настраивает следующие параметры виртуального апплаенса:
- интерфейсы управления и маршрутизации для доступа Beeline Cloud к консоли управления;
- виртуальная машина или кластер (по отдельному требованию Клиента);
- DNS (публичные серверы Beeline Cloud);
- ежедневное резервное копирование конфигурации на FTP Beeline Cloud;
- локальная учетная запись для доступа к консоли виртуального апплаенса с правами на чтение;
- мониторинг состояния виртуального апплаенса;
- модуль обнаружения вторжений для исходящего интернет-трафика в режиме мониторинга;
- модуль потокового антивируса для исходящего интернет-трафика в режиме блокировки.
src/security/Cloud-NGFW-F/functional-capabilities.md
+32
View File
@@ -0,0 +1,32 @@
# Функциональные возможности
## Базовые функциональные возможности МСЭ VMXX
|Функционал МСЭ| Описание|
|------|------|
|**Базовый межсетевой экран (L3 / L4)** | - **маршрутизация** – статичная и динамическая маршрутизация о протоколам RIP, OSPF, BGP;<br>- **NAT (Трансляция сетевых адресов)** – статический NAT и PAT (Port forwarding, переадресация портов);<br>- **ACL (Access Lists)** – списки, в которых определяется разрешение и блокировка трафика по IP, портам, интерфейсам;<br>- **Stateful inspection** – cтандартная проверка состояния сетевых соединений, анализ заголовков пакетов и динамическое обновление таблицы состояний по заданным политикам безопасности, определяющим разрешенные и запрещенные соединения;<br>- **Базовый контроль приложений (Application Control)** – базовая видимость трафика по приложениям (идентификация);<br>- **Обнаружение устройств и операционных систем (ОС)** – возможность видеть, какие типы устройств и ОС работают в сети;<br>- **Геолокация IP** – базовые возможности фильтрации по странам;<br>- **Базовая веб-фильтрация** – использование встроенных категорий и репутации интернет-доменов (Internet Services Database);
|**Виртуальные сети, интерфейсы, VLAN** | - поддержка множества виртуальных интерфейсов (виртуальных сетевых адаптеров);<br>- VLAN-тегирование на интерфейсах;|
|**VPN-туннели** | - шифрованные IPsec VPN-туннели (сеть-сеть) для соединения филиалов или сетей;<br>- SSL VPN-туннели. Создание безопасных удаленных доступов для отдельных пользователей через веб-браузер или SSL VPN клиент;|
|**Маршрутизация и обмен трафиком** |- статические маршруты;<br>- динамические маршрутизаторы (OSPF, BGP, RIP);|
|**Администрирование и управление** |- веб-интерфейс для настройки и управления МСЭ;<br>- CLI – командная строка для настройки и управления МСЭ;<br>- ведение базовых логов, статистика трафика;|
|**Сетевые сервисы и функции инфраструктуры** |- DHCP-сервер;<br>-DNS-прокси, DNS-форвардинг;<br>-балансировка нагрузки;|
|**Высокая доступность (High availability, HA)** |- настройка резервирования между двумя виртуальными машинами для обеспечения отказоустойчивости кластера МСЭ. Настраивается по требованию Клиента. По умолчанию не используется.|
## Функциональные возможности МСЭ по защите сетевого трафика
| Расширенный функционал МСЭ | Описание |
| ----------------------------------------------------------------- | ------------------------------------------------------------------------------------------------------ |
| **Application Control** | Управление доступом приложений, контроль и фильтрация приложений и сервисов |
| **Intrusion Prevention System (IPS)** | Обнаружение и блокировка попыток вторжений и сетевых атак на основе известных сигнатур и аномалий |
| **Antivirus (антивирус)** | Защита от вредоносных программ (вирусов, троянов, червей и др.) |
| **Botnet Domains (anti-botnet & anti-C2 communication services)** | Блокировка связи с командными центрами ботнетов |
| **Malicious/Botnet URLs (Вредоносные/Ботнет URL-адреса)** | Блокировка доступа к вредоносным веб‑сайтам и ресурсам, связанным с ботнетами |
| **Advanced Malware Protection (AMP)** | Расширенная комплексная защита от вредоносного ПО |
| **Mobile Malware** | Защита от угроз, нацеленных на мобильные устройства |
| **Virus Outbreak Protection** | Защита от вирусных вспышек на основе актуальной информации о новых угрозах |
| **Content Disarm and Reconstruct (CDR)** | Обезвреживание контента путем пересборки (очистки) файлов с удалением потенциально опасных компонентов |
| **AI-based Heuristic AV** | Обнаружение неизвестных угроз с помощью эвристических алгоритмов на основе искусственного интеллекта |
| **URL & Web Filtering** | Фильтрация веб‑контента по URL, управление доступом к сайтам на основе категорий |
| **DNS Filtering** | Блокировка доступа к вредоносным и нежелательным доменам на уровне DNS‑запросов |
| **Video Filtering** | Фильтрация видеоконтента, управление потоковым видеотрафиком, блокировка нежелательных видеоресурсов |
| **Malicious Certificate** | Блокировка SSL‑сертификатов, связанных с мошенническими или вредоносными сайтами |
src/security/Cloud-NGFW-F/payment-structure.md
+7
View File
@@ -0,0 +1,7 @@
# Структура платежей
**Cloud NGFW F** тарифицируется по модели **фиксированного ежемесячного платежа**. Плата начисляется в день подключения сервиса, далее — первого числа каждого месяца.
Beeline Cloud может изменять тарифы в одностороннем порядке, в том числе при изменении цен со стороны поставщиков. Об изменениях Beeline Cloud уведомляет заказчика не менее чем за 30 дней до их введения.
Использование сервиса начинается с даты подписания акта приема-передачи.
src/security/Cloud-NGFW-F/testing.md
+10
View File
@@ -0,0 +1,10 @@
# Тестирование сервиса
**Cloud NGFW F** можно протестировать бесплатно.
Для организации тестирования сообщите аккаунт-менеджеру Beeline Cloud:
- о намерении протестировать сервис;
- о желаемой дате начала тестирования.
Тестовый период по умолчанию составляет **14 календарных дней**. По запросу его можно продлить до 30 календарных дней.
src/security/Cloud-NGFW/NGFW-index.md
+12 -12
View File
@@ -1,23 +1,23 @@
---
section_links:
- title:
- title: Обзор сервиса
link: /security/Cloud-NGFW/about.md
description: Обзор сервиса
- title:
description:
- title: Состав сервиса
link: /security/Cloud-NGFW/compound.md
description: Состав сервиса
- title:
description:
- title: Структура платежей
link: /security/Cloud-NGFW/payment-structure.md
description: Структура платежей
- title:
description:
- title: Основные возможности
link: /security/Cloud-NGFW/possibilities.md
description: Основные возможности
- title:
description:
- title: Спецификация сервиса
link: /security/Cloud-NGFW/specification.md
description: Спецификация сервиса
- title:
description:
- title: Сроки и условия предоставления сервиса. Зоны ответственности
link: /security/Cloud-NGFW/provision.md
description: Сроки и условия предоставления сервиса. Зоны ответственности
description:
---
# Cloud NGFW
src/security/Cloud-VPN/VPN-index.md
+16
View File
@@ -0,0 +1,16 @@
---
section_links:
- title: Обзор сервиса
link: /security/Cloud-VPN/about.md
description:
- title: Тарификация сервиса
link: /security/Cloud-VPN/tariffs.md
description:
- title: Сроки и условия предоставления сервиса
link: /security/Cloud-VPN/provision.md
description:
---
# Шифрование каналов связи (ГОСТ VPN)
Сервис используется для шифрования данных VPN-протоколам.
src/security/Cloud-VPN/about.md
+62
View File
@@ -0,0 +1,62 @@
# Cloud NGFW
## Назначение сервиса
Сервис «Шифрование каналов связи (ГОСТ VPN)» предназначен для шифрования данных VPN-протоколами.
**VPN** (Virtual Private Network) — виртуальная частная сеть. Обобщенное название технологий, которые обеспечивают сетевые соединения поверх другой сети.
**Шифрование** — способ преобразования данных из читаемого формата в закодированный, нечитаемый формат с помощью алгоритма.
Сервис использует отдельный доступ в интернет. Сервис предоставляется как самостоятельное решение на базе платформы **программно-аппаратного комплекса (ПАК) ViPNet**. Решение имеет сертификаты соответствия ФСБ России и ФСТЭК России.
::: details (ПАК) ViPNet
ViPNet — это российское средство криптографической защиты информации для организации защищенных VPN-сетей.
:::
## Пропускная способность
Пропускная способность VPN-канала **не зависит** от пропускной способности интернет-канала, предоставляемого в сервисе «Предоставление доступа в интернет». Эти сервисы используют разные схемы выхода в интернет по различным каналам.
## Возможности сервиса
Сервис «Шифрование каналов связи (ГОСТ VPN)» организует одно или несколько виртуальных соединений. Этот функционал используется для доступа:
- к пулу ресурсов Beeline Cloud;
- к оборудованию заказчика в ЦОД Beeline Cloud.
Доступ осуществляется по публичным интернет-каналам с использованием средств защиты. Средства сертифицированы ФСБ и ФСТЭК России.
## Типы защищённых подключений клиентов
Сервис предлагает следующие типы подключений к ресурсам Beeline Cloud:
- VPN-подключение типа **Сеть-сеть**;
- Подключение типа **Удаленный доступ**.
### Особенности работы ПАК ViPNet
ПАК ViPNet Coordinator поддерживает только один режим работы одновременно. При типе подключения «Сеть-сеть» L2VPN используется дополнительное выделенное оборудование. Основная инфраструктура использует подключение L3VPN.
### Протоколы и шифрование
ПАК использует собственные протоколы туннелирования ViPNet (инкапсуляция IP-трафика приложений в UDP и IP) с шифрованием по ГОСТ 28147-89 (256 бит).
## Условия предоставления сервиса
Сервис предоставляется в зависимости от:
- выбранной схемы подключения;
- желаемых показателей производительности (скорость и количество туннелируемых адресов);
- варианта использования оборудования на стороне заказчика для подключения типа «Сеть-сеть».
### Варианты оборудования для подключения «Сеть-сеть»
| Вариант | Описание |
|---------|----------|
| Аренда ViPNet Coordinator у Beeline Cloud | Заказчик арендует оборудование у провайдера |
| Использование собственного ViPNet Coordinator | Оборудование находится у заказчика. Заказчик самостоятельно настраивает межсетевое взаимодействие. Beeline Cloud может выполнить настройку за отдельную плату. |
## Требования к сети
Для работы ViPNet Coordinator заказчику необходимо использовать **уникальный внешний «белый» IP-адрес**.
src/security/Cloud-VPN/compound/areas-responsibility.md
+9
View File
@@ -0,0 +1,9 @@
# Зоны ответственности
Разграничение зон ответственности за работоспособность компонентов сети ViPNet при использовании **сети ViPNet beeline cloud**:
![Использование сети ViPNet beeline cloud](../../image/VPN/VPN-ViPNet-beeline-cloud-1.png)
Разграничение зон ответственности за работоспособность компонентов сети ViPNet при использовании **межсетевого взаимодействия между сетями ViPNet заказчика и beeline cloud**:
![Организация межсетевого взаимодействия между сетями ViPNet заказчика и beeline cloud](../../image/VPN/VPN-ViPNet-beeline-cloud-2.png)
src/security/Cloud-VPN/compound/availability.md
+15
View File
@@ -0,0 +1,15 @@
# Доступность сервиса
Сервис **Шифрование каналов связи (ГОСТ VPN)** обеспечивает доступность не менее **99,95%** в зоне функционирования оборудования. Beeline Cloud гарантирует эти параметры только на своей стороне.
## Доступность криптографического шлюза
Активный внешний порт криптографического шлюза (ViPNet Coordinator) доступен из сетей общего пользования через порты, необходимые для работы ViPNet.
## Отказоустойчивость
Программно-аппаратный комплекс (ПАК) на стороне Beeline Cloud работает в режиме кластера горячего резервирования (active-passive). Кластер предназначен для горячей замены функций одного из серверов ViPNet другим сервером в случае его сбоя.
## Мониторинг
ПАК подключен к корпоративной системе мониторинга сетевых устройств. Система отслеживает активность внешнего интерфейса криптографического шлюза и автоматически оповещает администраторов о его недоступности.
src/security/Cloud-VPN/compound/compound-index.md
+18
View File
@@ -0,0 +1,18 @@
---
section_links:
- title: Доступность сервиса
link: /security/Cloud-VPN/compound/availability.md
compound:
- title: Зоны ответственности
link: /security/Cloud-VPN/compound/areas-responsibility.md
compound:
- title: Изоляция ресурсов
link: /security/Cloud-VPN/compound/insulation.md
compound:
- title: Варианты предоставления сервиса
link: /security/Cloud-VPN/compound/provision.md
compound:
- title: Дополнительные работы
link: /security/Cloud-VPN/compound/work.md
compound:
---
src/security/Cloud-VPN/compound/insulation.md
+14
View File
@@ -0,0 +1,14 @@
# Изоляция ресурсов
В сервисе **Шифрование каналов связи (ГОСТ VPN)** внутренние ресурсы заказчика полностью изолированы от ресурсов других заказчиков.
**Ресурсы** — это данные и системы, которые туннелируются через криптографический шлюз для защищенного внешнего доступа клиентов заказчика.
#### Изоляция обеспечивается следующими механизмами:
- внутреннее сетевое оборудование Beeline Cloud — ресурсы находятся в разных VLAN;
- списки правил сетевого доступа и другие средства защиты и ограничения.
## Доступ к ресурсам
К внутренним ресурсам конкретного заказчика подключаются только те пользователи, которые соответствуют правилам сетевого доступа. Правила создаются на межсетевом оборудовании Beeline Cloud.
src/security/Cloud-VPN/compound/provision.md
+37
View File
@@ -0,0 +1,37 @@
# Варианты предоставления сервиса
## Типы подключения
Сервис **Шифрование каналов связи (ГОСТ VPN)** предлагает два типа подключений к ресурсам Beeline Cloud:
1. VPN-подключение типа **Сеть-сеть**;
2. Подключение типа **Удаленный доступ**.
## 1. VPN-подключение типа Сеть-сеть
Beeline Cloud выполняет работы:
| Работа | Комментарий |
|--------|-------------|
| Установка на стороне заказчика совместимого сервера **ViPNet Coordinator** (HW2000\1000\100\50) | Установка выполняется либо beeline cloud, либо используется существующий сервер заказчика.<br>Проводимые работы:<br>- Монтаж серверного оборудования **ViPNet Coordinator** на территории объекта заказчика.<br>- Инсталляция ПО **ViPNet Coordinator**.<br>- Настройка **ViPNet Coordinator**.|
| Настройка межсетевого взаимодействия между **ViPNet Coordinator** заказчика (силами Beeline Cloud или силами заказчика) и Beeline Cloud. | - |
| Предоставление доступа заказчику к ресурсам Beeline Cloud | Настройка:<br>- Правил сетевого доступа на ViPNet Coordinator DataFort заказчика и на внутреннем сетевом оборудовании Beeline Cloud.<br>- Сетевой связанности между **ViPNet Coordinator DataFort** и ресурсами в пуле заказчика. Beeline Cloud добавляет соответствующий VLAN на CPE-устройство или виртуальных машин (ВМ).<br>- Правил сетевого доступа на устройстве CPE заказчика в облаке.|
### Схема предоставления сервиса
![Схема подключения типа Сеть-сеть](../../image/VPN/VPN-сеть-сеть.png)
## 2. VPN-подключение типа Удаленный доступ
Beeline Cloud выполняет работы:
| Работа | Комментарий |
|--------|-------------|
|Создание учетных данных для первичной инициализации ПО **ViPNet Client** для подключения к защищенной сети **ViPNet** Beeline Cloud | Администратор сети ViPNet beeline cloud создает новый абонентский пункт и пользователя для нового ViPNet клиента.<br>Администратор сети ViPNet beeline cloud создает учетные данные для первичной инициализации ПО ViPNet заказчика.<br>В результате создаются следующие файлы:<br>1. Файл с расширением `*.dst`:<br>-адресные справочники из центра управления сетью;<br>-основную информацию (ключи пользователя, ключи узла, резервный набор персональных ключей);<br>- лицензионный файл.<br>2. Файл с расширением `*.txt`* содержит пароль пользователя ViPNet клиента.|
|Передача учетных данных заказчику администратором сети ViPNet beeline cloud | Сервис предлагает два защищенных способа передачи данных:<br>- съемный носитель информации;<br>- сетевой канал передачи данных. Данные шифруются.|
|Установка и настройка на ПК\ мобильное устройство заказчика соответствующего ПО ViPNet силами заказчика | - |
|Предоставление доступа заказчику к ресурсам beeline cloud | Настройка:<br>- Правил сетевого доступа на ViPNet Coordinator DataFort заказчика и на внутреннем сетевом оборудовании beeline cloud.<br>- Сетевой связанности между ViPNet Coordinator beeline cloud и ресурсами в пуле заказчика. Beeline cloud добавляет VLAN на CPE устройство или ВМ.<br>- Правил сетевого доступа на устройстве CPE заказчика в облаке.|
### Схема предоставления сервиса
![Схема подключения типа Удаленный доступ](../../image/VPN/VPN-удаленный-доступpng.png)
src/security/Cloud-VPN/compound/work.md
+20
View File
@@ -0,0 +1,20 @@
# Дополнительные работы
Дополнительные работы не входят в сервис **Шифрование каналов связи (ГОСТ VPN)** и тарифицируются отдельно по фактическим трудозатратам.
::: warning Важно
Заказчик отвечает за установку и настройку клиентского ПО для организации VPN-подключения.
:::
| Наименование работ | Трудозатраты, ч/ч | Квалификация специалиста |
| --------------------------------------------------------------------------------------------------- | ----------------- | -------------------------------- |
| Удаленная настройка оборудования — криптошлюза или клиентского ПО — на стороне заказчика | от 1 | Специалист третьего уровня (ДИБ) |
| Настройка особых правил разграничения доступа к информационным ресурсам и фильтрации трафика | от 0,5 | Специалист третьего уровня (ДИБ) |
| Настройка дополнительного или изменение параметров существующего VPN-подключения | от 0,5 | Специалист третьего уровня (ДИБ) |
| Изменение, добавление и удаление учетной записи пользователя VPN-подключения для удаленного доступа | от 0,5 | Специалист третьего уровня (ДИБ) |
::: info Примечание
**Человеко-час (ч/ч)** — это единица учета рабочего времени, соответствующая одному часу фактической работы одного сотрудника.
:::
src/security/Cloud-VPN/provision.md
+54
View File
@@ -0,0 +1,54 @@
# Сроки и условия предоставления сервиса
## Порядок подключения сервиса
### Заказчик
1. Заполните и подпишите бланк заказа (БЗ) на предоставление сервиса **Шифрование каналов связи (ГОСТ VPN)** и опросный лист.
2. Отправьте отсканированную копию подписанного БЗ на e-mail `presales@datafort.ru` и корпоративный e-mail менеджера по продажам Beeline Cloud, указанный в заказе.
3. Предоставьте ФИО и e-mail администратора платформы.
4. Направьте оригинал БЗ в Beeline Cloud в порядке, установленном договором.
Скачайте [опросный лист](https://disk.datafort.ru/public/s/DiqBkajp7rEoXym) с помощью сервиса Cloud Workspace (WS).
### Beeline Cloud
1. Проверяет корректность заполнения бланка заказа и опросного листа и регистрирует заказ.
2. Уведомляет заказчика по e-mail о принятии заказа в работу.
3. Подключает сервис.
4. Предоставляет заказчику доступ к сервису не позднее двух рабочих дней с момента принятия заказа в работу.
## Настройка нестандартных конфигураций
Если требуется настройка нестандартных конфигураций, заказчик предоставляет необходимую информацию в Beeline Cloud.
## Прием запросов от заказчика
Beeline Cloud принимает запросы только от уполномоченных лиц заказчика, указанных в бланке заказа. Если конечный пользователь обращается в службу поддержки Beeline Cloud напрямую, он получает рекомендацию направить обращение через уполномоченных лиц.
## Зона ответственности
### Заказчик:
Заказчик принимает следующие условия использования сервиса:
- использование сервиса осуществляется **на свой риск**;
- Beeline Cloud **не несет ответственности** за любые прямые, случайные, особые, косвенные или штрафные убытки, включая, но не ограничиваясь:
- утрату данных;
- утрату возможности использования сервиса;
- упущенную выгоду;
- прерывание бизнеса.
Указанные последствия могут возникать в результате использования или невозможности использования сервиса.
### Beeline Cloud
Beeline Cloud обеспечивает работоспособность сервиса в соответствии с условиями договора.
Beeline Cloud **не несёт ответственности** за:
- обеспечение защиты от угроз информационной безопасности;
- ошибки, сбои или недостаточную производительность программного обеспечения, разработанного сторонним вендором;
- непрерывность и надёжность работы такого ПО.
При выявлении ошибок в программном обеспечении, на котором развёрнут сервис, Beeline Cloud регистрирует инцидент в технической поддержке вендора и содействует его устранению.
src/security/Cloud-VPN/tariffs.md
+28
View File
@@ -0,0 +1,28 @@
# Тарификация сервиса
Сервис «Шифрование каналов связи (ГОСТ VPN)» предоставляется как самостоятельное решение. Сервис оформляется в бланке заказа (БЗ).
## Состав платежей
Платежи включают:
- **единовременный платеж** — за подключение услуги и конфигурацию параметров устройства на платформе;
- **ежемесячный платеж** — за предоставление сервиса.
## Единовременный платеж
Единовременный платеж включает:
- подключение сервиса;
- настройку параметров устройства;
- дополнительные работы.
## Ежемесячный платеж
Размер фиксированного ежемесячного платежа зависит от **защищаемой полосы пропускания** (скорости VPN-канала). Точный размер указывается в бланке заказа (БЗ).
Beeline Cloud предоставляет оборудование и/или программное обеспечение в рамках ежемесячного платежа.
## Дополнительные работы
[Дополнительные работы](./compound/work.md) выполняются на основании заявок от уполномоченных представителей заказчика (указанных в БЗ) и оплачиваются отдельно.
src/security/image/VPN/VPN-ViPNet-beeline-cloud-1.png
BIN
View File
Binary file not shown.
Side by Side

After

Width:  |  Height:  |  Size: 70 KiB

src/security/image/VPN/VPN-ViPNet-beeline-cloud-2.png
BIN
View File
Binary file not shown.
Side by Side

After

Width:  |  Height:  |  Size: 68 KiB

src/security/image/VPN/VPN-сеть-сеть.png
BIN
View File
Binary file not shown.
Side by Side

After

Width:  |  Height:  |  Size: 35 KiB

src/security/image/VPN/VPN-удаленный-доступpng.png
BIN
View File
Binary file not shown.
Side by Side

After

Width:  |  Height:  |  Size: 40 KiB

src/security/index.md
+27 -24
View File
@@ -1,45 +1,48 @@
---
section_links:
- title: Сервис Cloud Security Awareness (SA)
link: /security/Cloud-SA/SA-index
description:
- title: Сервис Cloud Vulnerability Scanner (VS)
link: /security/Cloud-VS/VS-index
description:
- title: Сервис Cloud Mobile Device Management (MDM)
link: /security/Cloud-MDM/MDM-index
description:
- title: Сервис Cloud NGFW F
#link: /security/Cloud-NGFW-F
description: В работе
- title: Сервис Cloud NGFW
- title: Cloud NGFW
link: /security/Cloud-NGFW/NGFW-index
description:
- title: Сервис Cloud Multifactor Authentication (MFA)
- title: Cloud NGFW F
link: /security/Cloud-NGFW-F/NGFW-F-index
description:
- title: Cloud NGFW Pro
link: /security/Cloud-NGFW-Pro/NGFW-Pro-index
description:
- title: Cloud Security Awareness (SA)
link: /security/Cloud-SA/SA-index
description:
- title: Cloud Vulnerability Scanner (VS)
link: /security/Cloud-VS/VS-index
description:
- title: Cloud Mobile Device Management (MDM)
link: /security/Cloud-MDM/MDM-index
description:
- title: Cloud Multifactor Authentication (MFA)
#link: /security/Cloud-MFA
description: В работе
- title: Сервис Cloud Security Assistance (включая Security Manager)
- title: Cloud Security Assistance (включая Security Manager)
#link: /security/Cloud-SA-SM
description: В работе
- title: Сервис Cloud Endpoint Protection Platform (EPP)
- title: Cloud Endpoint Protection Platform (EPP)
#link: /security/Cloud-EPP
description: В работе
- title: Сервис Cloud Secure Email Gateway (SEG)
- title: Cloud Secure Email Gateway (SEG)
#link: /security/Cloud-SEG
description: В работе
- title: Сервис Cloud Web Application Firewall (Cloud WAF)
- title: Cloud Web Application Firewall (WAF)
#link: /security/Cloud-WAF
description: В работе
- title: Сервис Cloud Web Application Firewall (WAF) Pro
- title: Cloud Web Application Firewall (WAF) Pro
#link: /security/Cloud-WAF-PRO
description: В работе
- title: Сервис Шифрование каналов связи (ГОСТ VPN)
#link: /security/Cloud-VPN
description: В работе
- title: Сервис Cloud DDoS Protection
- title: Шифрование каналов связи (ГОСТ VPN)
link: /security/Cloud-VPN
description:
- title: Cloud DDoS Protection
#link: /security/Cloud-DDoS
description: В работе
---
---
# Сервисы информационной безопасности в Beeline Cloud