Astra linux brest wiki

Общая инструкция по развертыванию ПК СВ

ПК СВ может быть развернут как на группе физических серверов, так и на виртуальных машинах в пределах одного сервера или рабочей станции для тестирования. Для объединения физических серверов, обеспечения выполнения операций управления и поддержки облачных сетей для виртуальных машин используется физическая сеть.

Допускается разворачивать несколько программных компонентов ПК СВ на одном физическом сервере.

В связи с особенностью функционирования домена FreeIPA, конфигурация, при которой разворачиваются сервисы контроллера домена и фронтальной машины на одном сервере, недопустима.

Для развертывания ПК СВ необходимо выполнить действия, описанные ниже.

На серверы установить операционную систему специального назначения «Astra Linux Special Edition» РУСБ.10015-01 (очередное обновление 1.7), далее по тексту — Astra Linux. Процесс установки Astra Linux описан в документе «Операционная система специального назначения «Astra Linux Special Edition» РУСБ.10015-01. Руководство по установке» (документ размещен на установочном носителе в директории install-doc ).

Кроме того можно воспользоваться указаниями, представленными в статье Установка Astra Linux по сети (UEFI или Legacy BIOS).

• на странице Выбор программногообеспечения должны быть отмечены для установки следующие пункты:
  • Консольные утилиты;
  • Средства удаленного подключения SSH;
  • если планируется функционирование ПК СВ в дискреционном режиме, выбрать максимальный уровень защищенности («Смоленск») или усиленный уровень защищенности («Воронеж»),
  • если планируется функционирование ПК СВ в сервисном режиме, выбрать базовый уровень защищенности («Орел»).

  Допускается для установки Astra Linux использовать технологический диск 1.7.2-11.08.2022_15.28.iso (установочный диск Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.7) с интегрированным обновлением БЮЛЛЕТЕНЬ № 2022-0819SE17 (оперативное обновление 1.7.2)). При этом во время установки на странице Установка базовой системы следует выбрать ядро linux-5.10-generic или linux-5.15-generic (предпочтительно).

  Если сервис контроллера домена устанавливается на отдельном сервере, то при установке ОС СН на этот сервер также необходимо выбрать максимальный уровень защищенности («Смоленск») или усиленный уровень защищенности («Воронеж»).

  Действия по установке и настройке сервисов ПК СВ выполняются под учетной записью администратора с высоким уровнем целостности.

  В домене FreeIPA с помощью программного средства Ansible возможно удаленно инициировать сервис фронтальной машины и узла виртуализации (см. Инициализация сервисов ПК СВ с помощью плейбуков Ansible).

  Несколько экземпляров ПК СВ могут быть объединены в единый центр обработки и хранения данных (ЦОХД), называемый «федерация». Более подробная информация представлена в стать е Интеграция в единый ЦОХД («Федерация»).

  Источник

  Документация ПК СВ Брест (инструкции для установки)

  В данной документации представлены разделы с инструкциями для установки и запуска стенда ПК СВ Брест в сценариях:

  • с разными вариантами хранения данных на СХД — с использованием кластерных файловых систем OCFS2, GFS2, или менеджера томов LVM;
  • с хранением данных в распределенной системе хранения Ceph;
  • в доменной среде ALD или FreeIPA;
  • в отказоустойчивой, высокодоступной конфигурациях, или без нее.

  Документация не дает исчерпывающей информации по настройке сопутствующих систем, таких, как контроллеры домена, СУБД, сетевая инфраструктура и т.д. Приводятся только достаточные конфигурации этих сервисов для запуска ПК СВ Брест в рамках стендирования.

  Требования

  • Необходимый уровень подготовки — начинающий администратор Linux
  • В наличии имеются дистрибутивы ПК СВ Брест, ОС Astra Linux Смоленск 1.6 и обновления безопасности к нему. Совместимость ПК СВ Брест с обновлениями безопасности ОС Astra Linux 1.6 описана по ссылке – Архив ⬝ Совместимость версий ПК СВ «Брест» с обновлениями ОС Astra Linux Special Edition

  Как читать эту документацию

  Документация написана модульно, и для развертывания облака в конкретном выбранном сценарии нужны только отдельные ее части. Поэтому документация представляет собой набор связанных гиперссылками инструкций, в разных местах которых администратору предлагается выбор из двух или нескольких вариантов дальнейших действий в зависимости от выбранной конфигурации стенда.

  Рекомендуется каждую новую ссылку открывать в отдельной вкладке браузера и после прочтения открывшейся статьи возвращаться к месту, откуда данная статья была вызвана. Так, навигация по документации начинается на этой странице и после завершения действий по настройке всей инфраструктуры предполагается, что администратор вернется на эту же страницу для прочтения заключительных разделов.

  Условные обозначения

  В инструкциях данной документации принят ряд условных обозначений, как для терминологии, так и для указания значений различных параметров, специфичных для узлов кластера.

  №	Термин	Определение	Обозначение на схемах
  	Репозиторий	Сервис FTP для предоставления инсталляционных пакетов.
  	Контроллер домена	Сервер, выполняющий службы аутентификации и авторизации.	DC-N
  	Фронтальная машина	Сервер, выполняющий роль управления Узлами виртуализации. Также предоставляет веб-интерфейс администратора облака ПК СВ Брест.	FRONT-N
  	Узел виртуализации	Гипервизор. Сервер, обеспечивающий работу виртуальных машин.	NODE-N
  	ВМ	Виртуальная машина.	vm
  	СХД	Система хранения данных – аппаратное (или эмулируемое программно) устройство, предоставляющее блочные данные по сети.	SAN
  	Узел Ceph	Сервер распределенной системы хранения Ceph.	CEPH-N
  	АРМ	Автоматизированное рабочее место – рабочая станция администратора или пользователя.

  В листингах команд и конфигурационных файлов будут встречаться условные обозначения устанавливаемых параметров. Такие обозначения всегда заключаются в угловые скобки так: . При этом в названии самого условного обозначения может стоять символ N, обозначающий порядковый номер. Например, узлов виртуализации обычно больше 1-го, поэтому их IP-адреса могут обозначаться как , и т.д., или .

  В следующей таблице приведены все условные обозначения, используемые в документации:

  №	Условное обозначение	Назначение
  		Локальный администратор – пользователь, созданный при установке ОС.
  		Администратор домена.
  		Сеть, например 192.168.1.0.
  		Маска подсети, например 255.255.255.0.
  		Имя домена, например brest.local.
  		Имя текущего узла, на котором выполняется настройка.
  		IP-адрес N-го сервера – обобщенное название для разных серверов – фронтальной машины, узлов виртуализации и др.
  		Имя (hostname) N-го сервера – обобщенное название для разных серверов – фронтальной машины, узлов виртуализации и др.
  		IP-адрес N-ного контроллера домена.
  		Имя (hostname) N-ного контроллера домена.
  		IP-адрес FTP-сервера.
  		Имя (hostname) FTP-сервера.
  		IP-адрес N-ной Фронтальной машины.
  		Имя (hostname) N-ной Фронтальной машины.
  		Плавающий IP-адрес. Используется в высокодоступных конфигурациях фронтальных машин.
  		Плавающее доменное имя. Используется в высокодоступных конфигурациях фронтальных машин.
  		IP-адрес N-ного Узла виртуализации.
  		Имя (hostname) N-ного Узла виртуализации.
  		IP-адрес СХД.
  		Имя (hostname) N-ного узла кластера Ceph.
  		Имя ISO-образа установочного диска ОС
  		Имя ISO-образа диска обновления ОС
  		Имя ISO-образа диска разработчика для ОС
  		Имя ISO-образа обновления диска разработчика для ОС
  		Имя ISO-образа дистрибутива ПК СВ Брест

  Сценарии развертывания

  Облако ПК СВ Брест может быть развернуто на любом количестве узлов. Однако, при небольшом количестве узлов возникают очевидные ограничения. Например, если облако развернуто на 1-ом узле, при выходе его из строя вся виртуализованная инфраструктура станет недоступна. Или, если развернута только одна фронтальная машина, то при выходе ее из строя управление облаком станет невозможным, однако, виртуальные машины продолжат работать.

  Также ПК СВ Брест позволяет гибко объединять роли узлов в пределах одного сервера. Например, фронтальная машина может быть объединена с узлом виртуализации на одном сервере. На данный момент существует только одно ограничение:

  Объединение фронтальной машины и контроллера домена FreeIPA на одном узле не поддерживается.

  Ниже приводятся типовые конфигурации стендов и их свойства:

  Облако с хранилищем на СХД

  Данный сценарий рекомендуется для первого знакомства с продуктом.

  Ошибка макрокоманды Gliffy

  Невозможно найти страницу со следующими параметрами:

  Диаграммы с таким же названием были найдены на следующих страницах:

  Наведите курсор на ссылку для предварительного просмотра, нажмите, чтобы настроить ссылку.

  Источник

  Варианты исполнения ПК СВ «Брест»

  ПК СВ «Брест» поставляется в двух вариантах исполнения:

  1. ПК СВ «Брест» РДЦП.10001-03 – для применения в информационных системах, аттестуемых по требования м б езопасности информации Минобороны России (сертификат соответствия №4521 * от 27.11.2019 до 27.09.2027, требования безопасности: 2НДВ, РДВ. Среда функционирования: Astra Linux Special Edition РУСБ.10015-01 очередное обновление 1.6);
  2. ПК СВ «Брест» РДЦП.10001-02 – для применения в информационных системах, аттестуемых по требованиям безопасности информации ФСТЭК России. В настоящее время на сертификации на соответствие «Требованиям к средствам виртуализации», утвержденных приказом ФСТЭК России от 27 октября 2022 г. №187. (см.информационное письмо о сертификации ПК СВ «Брест» и Astra Linux на соответствие Требованиям к средствам виртуализации).

  Особенности защиты ПК СВ «Брест»

  ПК СВ «Брест» является прикладным программным обеспечением, предназначенным для организации среды виртуализации. Защита среды виртуализации обеспечивается средствами ОС Astra Linux, являющейся средой разработки и функционирования ПК СВ «Брест» и имеющей сертификат соответствия ФСТЭК России № 2557 (переоформлен 03.02.2023 г.) и удостоверяет соответствие Astra Linux Требованиям к средствам виртуализации по 1 классу защиты.

  Необходимость сертификации ПК СВ «Брест» РДЦП.10001-02 обусловлена наличием в нем функциональных возможностей по централизованному управлению образами виртуальных машин и виртуальными машинами, которые, согласно Требованиям к средствам виртуализации, также относятся к функциям безопасности. Реализация остальных, предусмотренных Требованиями к средствам виртуализации функций безопасности обеспечивается интеграцией ПК «СВ «Брест» с сертифицированными средствами Astra Linux, применяемыми для реализации мер защиты среды виртуализации. В соответствии с формуляром и техническими условиями ПК «СВ «Брест» Astra Linux является его неотъемлемой частью.

  ОС Astra Linuх разработана с учетом применения встроенных средств защиты в виртуальной инфраструктуре и предоставляет возможность создания и защиты среды виртуализации.

  В справочном центре Astra Linux размещена таблица соответствия мер защиты информации, содержащейся в государственных информационных системах, в соответствии с требованиями приказов ФСТЭК России:

  * Копии сертификатов соответствия МО РФ предоставляются по письменному запросу в связи с наличием ограничительной отметки Министерства обороны Российской Федерации «для служебного пользования» и подлежат распространению в соответствии с требованиями постановления Правительства Российской Федерации 1994 года №1233. По завершении срока действия соответствия № 4521 будут организованы работы по его продлению.

  Сокращения

  • 2НДВ: 2 класс отсутствия недекларированных возможностей по руководящему документу “Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей” (Гостехкомиссия России, 1999);
  • РДВ: соответствие реальным и декларируемым в документации функциональным возможностям .

  Источник

  Читайте также:  Управление компьютером linux android