alex/fox
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
Files
2a4796a45487fc7393216da08b34fab9dc6fdbdc
fox/src/PaaS/PostgreSQL/cluster_parameter.md
T
Левченко Людмила Алексеевна 2c30db4807 Сервис PostgreSQL
2026-03-11 16:17:54 +03:00

15 KiB
Raw Blame History

О разделе

Данный раздел содержит описание технических параметров кластера PostgreSQL и порядок их первичной конфигурации.

Настройка указанных параметров выполняется администратором облачного провайдера на этапе развёртывания сервиса. Пользователь не имеет прямого доступа к их самостоятельной установке.

Перед созданием кластера клиент предоставляет перечень требуемых параметров менеджеру. Администратор облачного провайдера выполняет конфигурацию в соответствии с согласованными требованиями.

Выбор типа и размера дискового хранилища

Производительность базы данных напрямую зависит от скорости, с которой она может читать и записывать данные на диск. При заказе кластера необходимо выбрать тип дискового хранилища, который определит максимальную скорость работы (IOPS) и время отклика.

IOPS (Input/Output Operations Per Second) — количество операций чтения или записи, которые диск может выполнить за секунду. Чем выше этот показатель, тем быстрее база данных обрабатывает запросы.

Доступные типы хранилищ:

Название Лимит IOPS Время отклика
Fast SAS до 2 IOPS на 1 ГБ до 10 мс
SSD до 5 IOPS на 1 ГБ до 7 мс
Fast SSD до 10 IOPS на 1 ГБ до 5 мс
Ultra NVMe до 25 IOPS на 1 ГБ до 3 мс

::: warning Примечание

После выбора типа диска необходимо указать объем дискового хранилища, который будет выделен под данные кластера PostgreSQL. Минимальный объем - 50 ГБ.

:::

Конфигурация вычислительных ресурсов

В данном разделе определяются вычислительные мощности кластера: процессорные ресурсы, оперативная память и количество серверов (нод), из которых будет состоять кластер PostgreSQL.

Количество нод в кластере

Количество нод определяет отказоустойчивость кластера и возможность распределять запросы на чтение между репликами. Чем больше нод, тем выше надёжность и производительность операций чтения.

Количество нод выбирается в диапазоне от 1 до 5.

Процессор (CPU)

Процессор — это вычислительная мощность, выделяемая каждой ноде кластера. Количество vCPU определяет, насколько быстро база данных сможет:

  • обрабатывать запросы;
  • выполнять сложные операции (сортировки, объединения таблиц);
  • обслуживать одновременные подключения.

Доступный диапазон: от 2 до 24 vCPU на ноду.

Оперативная память (RAM)

Оперативная память — один из ключевых ресурсов для производительности базы данных. Данные, помещающиеся в RAM, обрабатываются максимально быстро, без обращения к диску.

Доступный диапазон: от 4 до 768 ГБ RAM на ноду.

Доступ в интернет

При заказе сервиса можно выбрать пропускную способность канала связи, через который будет осуществляться доступ к кластеру PostgreSQL из сети интернет.

Доступные варианты скорости:

  • 50 Мбит/с;
  • 100 Мбит/с;
  • 200 Мбит/с;
  • 300 Мбит/с;
  • 400 Мбит/с;
  • 500 Мбит/с;
  • 1000 Мбит/с (1 Гбит/с).

::: warning Примечание

Для выбранного канала предоставляется статический белый IP-адрес.

:::

Параметры конфигурации IPSEC

Ниже приведены основные параметры, задаваемые при развёртывании кластера PostgreSQL. Часть параметров определяется клиентом на этапе заказа услуги, часть — фиксирована и не подлежит изменению.

Данные о конфигурации IPSEC

Параметры подключения (имя туннеля, устройство, публичный IP-адрес) заполняются вручную на основании информации, предоставленной заказчиком.

Версия IKE (Internet Key Exchange)

Версия IKE выбирается из выпадающего списка, который содержит два значения:

  • IKE v1 — более ранняя версия протокола;
  • IKE v2 — более современная версия, обеспечивающая лучшую устойчивость соединения и более гибкую обработку ошибок.

Рекомендуется использовать IKE v2, если оборудование заказчика это поддерживает.

Метод аутентификации

Метод аутентификации выбирается из выпадающего списка, который содержит два варианта:

  • PSK (Pre-Shared Key) — аутентификация с использованием заранее согласованного общего ключа;
  • Certificate (сертификат) — аутентификация с использованием цифровых сертификатов.

Этап 1 - установка защищенного соединения

На данном этапе задаются параметры шифрования и аутентификации для защищённого канала связи. Все параметры выбираются вручную из выпадающих списков.

Алгоритм хэширования

Определяет алгоритм хэширования для защиты управляющего канала. Параметр заполняется вручную из выпадающего списка:

  • SHA1 — формирует хэш длиной 160 бит, имеет коллизии (уязвимости), в современных системах считается устаревшим, используется только для совместимости со старым оборудованием.
  • SHA2-256 — формирует хэш длиной 256 бит, существенно более устойчив к атакам, оптимальный баланс между безопасностью и производительностью.
  • SHA2-384 — длина хэша составляет 384 бита, имеет повышенную криптостойкость, требует больше вычислительных ресурсов, чем SHA-1 и SHA2-256. Используется в средах с повышенными требованиями к безопасности.
  • SHA2-512 — длина хэша составляет 512 бит, обеспечивает самый высокий уровень стойкости из перечисленных, создает наибольшую нагрузку на процессор. Обычно применяется в системах с повышенными требованиями к криптографии.

Шифрование (Hash)

Определяет алгоритм симметричного шифрования. Параметр заполняется вручную из выпадающего списка:

AES 128 — использует 128-битный ключ, обеспечивает быстрое шифрование, имеет достаточный уровень безопасности для большинства задач. AES 256 — использует 256-битный ключ, обеспечивает более высокую криптостойкость, оказывает немного большую нагрузку на CPU. AES GCM 128 / AES GCM 192 / AES GCM 256 — данные алгоритмы совмещают шифрование и контроль целостности, обладают более современным режимом работы, считаются более эффективными по производительности, рекомендуются в современных конфигурациях. Разница между алгоритмами — в длине ключа.

DH Group (группа Диффи — Хеллмана)

Механизм Diffie-Hellman используется для безопасной генерации общего секретного ключа между сторонами туннеля без передачи этого ключа по сети. Чем выше номер группы и длина ключа, тем выше криптографическая стойкость соединения.

Параметр заполняется вручную из выпадающего списка:

group 2; group 5; group 14; group 15; group 16; group 19; group 20; group 21.

IKE Mode (только для IKEv1)

Параметр IKE Mode определяет способ установления соединения на этапе 1 при использовании протокола IKEv1.

Доступны два режима: Main и Aggressive. Они отличаются количеством сообщений при установке соединения и уровнем защиты идентификационных данных.

  • Main Mode — стандартный и более безопасный режим работы IKEv1;
  • Aggressive Mode — упрощённый и ускоренный режим установления соединения с более низким уровнем защиты данных.

Время жизни (Lifetime)

Параметр определяет, как долго действуют согласованные ключи в рамках первой фазы. После истечения времени выполняется повторная генерация ключей.

Этап 2 - передача данных

Этап 2 IPsec-соединения отвечает за шифрование и защиту пользовательского трафика после того, как защищённый канал был установлен на этапе 1. Этот этап регулирует передачу данных между сторонами через безопасный туннель, который обеспечивает конфиденциальность и целостность данных.

Алгоритм хэширование (Hash)

Аналогично этапу 1, параметр Hash используется для защиты целостности передаваемых данных. Он обеспечивает проверку того, что данные не были изменены при передаче. Доступны следующие алгоритмы:

  • SHA1;
  • SHA2-256;
  • SHA2-384;
  • SHA2-512.

Шифрование

Этап 2 отвечает за шифрование пользовательского трафика. Это важнейший параметр, который защищает данные при их передаче по сети. Доступны следующие алгоритмы:

  • AES 128;
  • AES 256;
  • AES GCM 128;
  • AES GCM 192;
  • AES GCM 256.

PFS

Enable perfect forward secrecy (PFS) - параметр, активирующий генерацию нового ключа на этапе 2. При включенном PFS группа Diffie-Hellman (DH) будет такая же как и на 1-й фазе.

Данный параметр представлен в виде чекбокса. При его включении:

  • на этапе 2 выполняется дополнительный обмен ключами DH;
  • для каждой новой IPsec-сессии формируется новый независимый криптографический секрет;
  • ключи шифрования пользовательского трафика не зависят от ключей этапа 1.

DH Group (группа Диффи — Хеллмана)

Группа DH определяет параметры обмена ключами между сторонами. Чем выше номер группы, тем выше криптографическая стойкость и безопасность обмена.

Данный параметр так же содержит в себе выпадающий список, состоящий из следующих значений:

  • group 2;
  • group 5;
  • group 14;
  • group 15;
  • group 16;
  • group 19;
  • group 20;
  • group 21.

Время жизни (Lifetime)

Определяет, как долго действуют согласованные ключи в рамках второй фазы.

  • рекомендуемое значение: 3600 секунд (1 час);
  • после истечения времени выполняется повторная генерация ключей.

Префиксы локальной сети заказчика

Этот параметр определяет, какие сети на стороне заказчика будут маршрутизироваться через IPsec-туннель. Префиксы задаются в формате 192.168.1.0/24, который позволяет указать диапазон IP-адресов.

Reference in New Issue View Git Blame Copy Permalink