ShariX Open Docs

Данный документ содержит описание сети для сервиса (продукта) ShariX_Open. Возможны две реализации схемы:

• Рекомендуемый вариант конфигурации Production - для промышленной эксплуатации.
• Более простой, но менее оптимальный в плане безопасности вариант Development - для разработки.

Система в Production-реализации должна соответствовать требованиям ФСТЭК России и ФЗ №152 от 27.07.2006 «О персональных данных». Обязательное требование - сервер СУБД должен располагаться в отдельной локальной сети. Реализацию требований ФСТЭК и ФЗ №152 для конечной Production-системы берет на себя заказчик, использующий ShariX_Open. Описанная ниже схема сети предоставляет заказчику возможность реализацию данных требований.

Компоненты решения развернуты на виртуальных машинах, и объединены в группы VLAN по тегам VLAN ID. В Production-реализации вместо виртуальных машин (далее - ВМ) приоритетнее использовать Docker-контейнеры, но необходимо учитывать специфику сетевого взаимодействия контейнеров и их управления.

В качестве операционной системы хоста и ВМ применяется ОС ALT-linux 10.1, в качестве хост-системы используется «Proxmox Virtual Environment» и несколько виртуальных мостов.

Для минимизации рисков повреждения системы в случае изменений конфигурации хоста, настройки самого хоста минимальны, все возможные элементы настройки конфигурации перенесены в виртуальную среду.

Имя внутренней сети: 'SXOPEN Closed LAN'.

Условный список VLAN:

• Web LAN - для выхода во внешнюю сеть интернет через прокси на Nginx, открыты порты 80 (HTTP) и 442 (HTTPS);
• DB LAN или Database LAN - сеть, через которую идут обращения от ВМ к СУБД;
• LDAP LAN - одна или две сети для обращения к службам каталогов LDAP. Дополнительная LDAP LAN используется для вспомогательных сервисов типа Asterisk и почтового сервера;
• Management LAN - сеть управления;
• Service LAN - сервисная сеть, также как Web LAN, реализована на Nginx прокси.

Внутренняя сеть состоит из следующих групп компонентов:

Виртуальные машины

• БД сервиса локальная;
• БД сервиса синхронизируемая;
• ПО функционирования;

Основные сервисы

• Jabber - шина данных;
• Jabber - чат;
• LDAP;
• Сервер синхронизации;

Вспомогательные сервисы

• Почта;
• VPN;
• Asterisk (IP-телефония);
• Сервер карт;
• Сервер контроля стабильности работы (Zabbix?);

Web-приложения

• Web-сервер;
• Wiki;
• API Backend;
• Заявки Django.

Jabber, Web-сервисы и вспомогательные сервисы имеют выход во внешнюю сеть.

Упрощенный вариант сети, удобный для ведения разработки.

ДОДЕЛАТЬ: опросить Дениса и составить эту инструкцию

Рекомендуемый вариант для функционирования сервиса в соответствии с описанной схемой сети.

ДОДЕЛАТЬ описание