ShariX Open Docs

Данный документ содержит описание схемы сети для сервиса (продукта) ShariX_Open, а также, вариантов ее реализации.
Возможны две реализации схемы:

• Рекомендуемый вариант конфигурации Production - для промышленной эксплуатации.
• Более простой, но менее оптимальный в плане безопасности вариант Development - для разработки.

Система в Production-реализации должна соответствовать требованиям ФСТЭК России и ФЗ №152 от 27.07.2006 «О персональных данных». Обязательное требование - сервер СУБД должен располагаться в отдельной локальной сети. Реализацию требований ФСТЭК и ФЗ №152 для конечной Production-системы берет на себя заказчик, использующий ShariX_Open, но описанная ниже схема сети предоставляет заказчику полную возможность реализации данных требований.

Компоненты решения развернуты на виртуальных машинах, и объединены в группы VLAN по тегам VLAN ID. В Production-реализации вместо виртуальных машин (далее - ВМ) приоритетнее использовать Docker-контейнеры, но необходимо учитывать специфику сетевого взаимодействия контейнеров и их управления.

В качестве операционной системы хоста и ВМ применяется ОС ALT-linux 10.1, в качестве хост-системы используется «Proxmox Virtual Environment» и несколько виртуальных мостов. Настройка сети через системный сервис управления сетевыми настройками 'systemd-networkd', с использованием расширения описания интерфейсов 'netdev'.
Для минимизации рисков повреждения системы в случае изменений конфигурации хоста, настройки самого хоста минимальны, все возможные элементы настройки конфигурации перенесены в виртуальную среду.

Компоненты решения объединены в группы посредством VLAN. Каждый VLAN имеет присвоенный тег, например, 20 или 40.

• Web LAN - для выхода во внешнюю сеть интернет через прокси/роутер на Nginx (обозначен на схеме как компонент «Смотрит наружу»), открыты порты 80 (HTTP) и 442 (HTTPS);
• DB LAN или Database LAN - сеть, через которую идут обращения от ВМ к СУБД. В целях безопасности, недопустима прямая связь машин из сети DB LAN с ВМ, которые имеют доступ в интернет;
• LDAP LAN - сеть, объединяющая один или два сервера службы каталогов LDAP. Дополнительный LDAP используется для вспомогательных сервисов, например, Asterisk и почтового сервера;
• Management LAN - закрытая сеть управления компонентами решения посредством SSH, доступ через защищенный VPN;
• Service LAN - сервисная сеть, также как Web LAN, реализована на Nginx прокси.

Все VLAN, кроме Web LAN - внутренние, видят только ограниченное число хостов.

Схема решения состоит из следующих групп компонентов:

• БД сервиса локальная;
• БД сервиса синхронизируемая;
• ПО функционирования;

• Jabber - шина данных;
• Jabber - чат;
• LDAP;
• Сервер синхронизации;

• Почта;
• VPN;
• Asterisk (IP-телефония);
• Сервер карт;
• Сервер контроля стабильности работы (Zabbix и не обозначенный на схеме компонент контроля и рестарта ВМ);

• Web-сервер;
• Wiki;
• API Backend;
• Заявки Django.

Имя внутренней сети на схеме: 'SXOPEN Closed LAN'.
Web-сервисы, Jabber и вспомогательные сервисы имеют выход во внешнюю сеть.
Группа вспомогательных компонентов не обязательно должна быть реализована в рамках схемы. Заказчик может реализовать данные компоненты через внешние сервисы.
На схеме не обозначен прокси-сервер обновления пакетов операционных систем.