===== Инструкция по настройке сети для функционирования сервиса ShariX_Open ===== Данный документ содержит описание схемы сети для сервиса (продукта) ShariX_Open, а также, вариантов ее реализации. \\ Возможны две реализации схемы: * Рекомендуемый вариант конфигурации **Production** - для промышленной эксплуатации. * Более простой, но менее оптимальный в плане безопасности вариант **Development** - для разработки. Система в Production-реализации должна соответствовать требованиям ФСТЭК России и ФЗ №152 от 27.07.2006 "О персональных данных". Обязательное требование - сервер СУБД должен располагаться в отдельной локальной сети. Реализацию требований ФСТЭК и ФЗ №152 для конечной Production-системы берет на себя заказчик, использующий ShariX_Open, но описанная ниже схема сети предоставляет заказчику полную возможность реализации данных требований. \\ ==== Схема внутренней сети - описание структуры ==== Компоненты решения развернуты на виртуальных машинах, и объединены в группы VLAN по тегам VLAN ID. В Production-реализации вместо виртуальных машин (далее - ВМ) приоритетнее использовать Docker-контейнеры, но необходимо учитывать специфику сетевого взаимодействия контейнеров и их управления. В качестве операционной системы хоста и ВМ применяется ОС ALT-linux 10.1, в качестве хост-системы используется "Proxmox Virtual Environment" и несколько виртуальных мостов. Настройка сети через системный сервис управления сетевыми настройками 'systemd-networkd', с использованием расширения описания интерфейсов 'netdev'. \\ Для минимизации рисков повреждения системы в случае изменений конфигурации хоста, настройки самого хоста минимальны, все возможные элементы настройки конфигурации перенесены в виртуальную среду. \\ Компоненты решения объединены в группы посредством VLAN. Каждый VLAN имеет присвоенный тег, например, 20 или 40. \\ \\ ==== Условный список VLAN: ==== * Web LAN - для выхода во внешнюю сеть интернет через прокси/роутер на Nginx (обозначен на схеме как компонент "Смотрит наружу"), открыты порты 80 (HTTP) и 442 (HTTPS); * DB LAN или Database LAN - сеть, через которую идут обращения от ВМ к СУБД. В целях безопасности, недопустима прямая связь машин из сети DB LAN с ВМ, которые имеют доступ в интернет; * LDAP LAN - сеть, объединяющая один или два сервера службы каталогов LDAP. Дополнительный LDAP используется для вспомогательных сервисов, например, Asterisk и почтового сервера; * Management LAN - закрытая сеть управления компонентами решения посредством SSH, доступ через защищенный VPN; * Service LAN - сервисная сеть, также как Web LAN, реализована на Nginx прокси. Все VLAN, кроме Web LAN - внутренние, видят только ограниченное число хостов. \\ \\ ==== Компоненты схемы ==== Схема решения состоит из следующих групп компонентов: === Виртуальные машины === * БД сервиса локальная; * БД сервиса синхронизируемая; * ПО функционирования; === Основные сервисы === * Jabber - шина данных; * Jabber - чат; * LDAP; * Сервер синхронизации; === Вспомогательные сервисы === * Почта; * VPN; * Asterisk (IP-телефония); * Сервер карт; * Сервер контроля стабильности работы (Zabbix и не обозначенный на схеме компонент контроля и рестарта ВМ); === Web-приложения === * Web-сервер; * Wiki; * API Backend; * Заявки Django. Имя внутренней сети на схеме: 'SXOPEN Closed LAN'. \\ Web-сервисы, Jabber и вспомогательные сервисы имеют выход во внешнюю сеть. \\ Группа вспомогательных компонентов **не обязательно** должна быть реализована в рамках схемы. Заказчик может реализовать данные компоненты через внешние сервисы. \\ На схеме не обозначен прокси-сервер обновления пакетов операционных систем. \\ \\ ==== Базовая схема внутренней сети в формате SVG ==== \\ \\ {{ :open:tech:admin:net_v4.svg?nolink | Схема сети}} \\ \\ ==== Расширенная схема внутренней сети с указанием VLAN и компонентов сетевой архитектуры ==== \\ \\ {{ :open:tech:admin:1024-858.svg?nolink | Схема сети расширенная}} \\ \\