Системные требования#

Минимальные требования к развертыванию#

Минимальные требования рекомендуется применять при подготовке сред тестирования и для продуктивных контуров при внедрениях со средними требованиями к обеспечению доступности и производительности согласно приведенной ниже схеме.

:size=80%

Минимально для развертывания необходимо использовать 2 виртуальные машины (далее – ВМ) со следующими характеристиками и ролями.

Минимальные требования к серверам для развертывания

Описание

ОС

Технические характеристики

ПО

ВМ для приложений (VM APP)

  • CentOS 7/8,

  • Rocky Linux 8/9,

  • RHEL 7/8,

  • Astra Linux SE 1.6/1.7,

  • РЕДОС 7.3,

  • Альт Сервер 10,

  • Альт 8 СП Сервер,

  • ОСнова 2.5.1

4 ядра ЦПУ, 8 ГБ ОЗУ, 50 ГБ НЖМД (HDD)

  1. Blitz Identity Provider: blitz- idp, blitz-console, blitz-registration, blitz-recovery, blitz-keeper,

  2. JDK,

  3. nginx,

  4. memcached

ВМ для базы данных (VM DB)

  • CentOS 7/8,

  • Rocky Linux 8/9,

  • RHEL 7/8,

  • Astra Linux SE 1.6/1.7,

  • РЕДОС 7.3,

  • Альт Сервер 10,

  • Альт 8 СП Сервер,

  • ОСнова 2.5.1

4 ядра ЦПУ, 8 ГБ ОЗУ, 100 ГБ НЖМД (HDD)

  1. PostgreSQL (9.6 или новее) или Couchbase Server Community Edition (6.0 или новее),

  2. 389 Directory Server или FreeIPA,

  3. RabbitMQ (опционально)

Требуемые версии системного ПО:

  • OpenJDK 8, Liberica JDK 8, Axiom JDK 8 Certified или Oracle JDK 8;

  • Менеджер памяти Memcached версии 1.4.15 или выше.

Требования к сетевой связности:

  • VM-NLB должна быть доступна по 80, 443 (HTTP/HTTPS) из сетей пользователей;

  • с VM-APP должен быть доступ:

    • к VM-DB по 8091, 8092, 8093, 11209, 11210, 11211, 4369, 21100 - 21199, 11214, 11215, 18091, 18092 (стандартные порты Couchbase Server), 5432 (стандартный порт PostgreSQL), 389, 636 (стандартные порты LDAP), 5672 (стандартный порт RabbitMQ);

    • ­к сервисам внешних поставщиков идентификации по 443 (при их использовании):

      Ссылки на сервисы внешних поставщиков

      Тип

      Ссылка

      Социальные сети

      https://appleid.apple.com

      https://accounts.google.com

      https://graph.facebook.com [1]

      https://oauth.yandex.ru

      https://oauth.vk.com

      https://account.mail.ru

      https://api.ok.ru

      ЕСИА и цифровой профиль

      https://esia-portal1.test.gosuslugi.ru

      https://esia.gosuslugi.ru

      Банки

      https://online.sberbank.ru

      https://business.tinkoff.ru

      https://id.vtb.ru

      https://sbi.sberbank.ru:9443

      https://fintech.sberbank.ru:9443

      https://id-sandbox.alfabank.ru

      СУДИР

      https://login.mos.ru

      https://login-tech.mos.ru

      https://sudir.mos.ru

      https://sudir-test.mos.ru

    • ­к SMS-шлюзу (при его использовании);

    • к SMTP (при его использовании);

    • к сервису push-уведомлений (при его использовании);

    • к сервису Kafka (при его использовании для приема событий безопасности).

Для VM-APP нужно завести публичное DNS-имя (например, auth.domain.ru) и выпустить TLS-сертификат на auth.domain.ru или *.domain.ru.

Рекомендуемые требования к развертыванию в кластере#

Схема развертывания в кластерной конфигурации приведена на рисунке ниже. Следуйте приведенным в данном разделе требованиям при построении продуктивных контуров систем аутентификации с высокими требованиями к доступности и пиковой производительности.

:size=80%

Для развертывания в кластерной конфигурации рекомендуется использовать виртуальные машины (далее – ВМ) со характеристиками и ролями, указанными в таблице ниже.

Рекомендуемые требования к серверам для развертывания в кластере

Описание

Кол-во

ОС

Технические характеристики

ПО

Комментарий

ВМ веб-серверов (VM-WEB)

1-2

  • CentOS 7/8,

  • Rocky Linux, 8/9

  • RHEL 7/8,

  • Astra Linux SE 1.6/1.7,

  • РЕДОС 7.3,

  • Альт Сервер 10,

  • Альт 8 СП Сервер,

  • ОСнова 2.5.1

4 ядра ЦПУ, 4 ГБ ОЗУ, 50 ГБ НЖМД (HDD)

nginx

Можно использовать существующий веб-сервер для балансировки нагрузки и снятия TLS с входящего трафика

ВМ приложений Blitz Identity Provider (VM-APP)

2

  • CentOS 7/8,

  • Rocky Linux, 8/9

  • RHEL 7/8,

  • Astra Linux SE 1.6/1.7,

  • РЕДОС 7.3,

  • Альт Сервер 10,

  • Альт 8 СП Сервер,

  • ОСнова 2.5.1

4 ядра ЦПУ, 8 ГБ ОЗУ, 50 ГБ НЖМД (HDD)

  1. Blitz Identity Provider: blitz-idp, blitz- registration, blitz- recovery blitz- keeper

  2. memcached JDK

При высокой нагрузке рекомендуется развертывать каждое приложение Blitz Identity Provider в своем кластере на отдельных серверах

ВМ для консоли (VM-ADM)

1

  • CentOS 7/8,

  • Rocky Linux, 8/9

  • RHEL 7/8,

  • Astra Linux SE 1.6/1.7,

  • РЕДОС 7.3,

  • Альт Сервер 10,

  • Альт 8 СП Сервер,

  • ОСнова 2.5.1

2 ядра ЦПУ, 4 ГБ ОЗУ, 100 ГБ НЖМД (HDD)

  1. Blitz Identity Provider: blitz- console,

  2. memcached JDK

На этот сервер рекомендуется настроить сбор логов c различных серверов кластера Blitz Identity Provider

ВМ для СУБД (VM-DB)

2-3

  • CentOS 7/8,

  • Rocky Linux, 8/9

  • RHEL 7/8,

  • Astra Linux SE 1.6/1.7,

  • РЕДОС 7.3,

  • Альт Сервер 10,

  • Альт 8 СП Сервер,

  • ОСнова 2.5.1

Для PostgreSQL: 4 ядра ЦПУ, 8 ГБ ОЗУ, 100 ГБ НЖМД (HDD) (данные), 50 ГБ НЖМД (HDD) (система). Для Couchbase Server: 8 ядер ЦПУ, 16 ГБ ОЗУ, 500 ГБ НЖМД (HDD) (данные), 100 ГБ НЖМД (SSD) (индексы), 50 ГБ НЖМД (HDD) (система)

ПО PostgreSQL (9.6 или новее) или Couchbase Server Community Edition (6.0 или новее)

Для PostgreSQL рекомендуется выделить один физический сервер под основной экземпляр и один под резерв (standby). Для Couchbase Server рекомендуется минимум 3 ВМ.

ВМ для LDAP (VM-LDAP)

2

  • CentOS 7/8,

  • Rocky Linux, 8/9

  • RHEL 7/8,

  • Astra Linux SE 1.6/1.7,

  • РЕДОС 7.3,

  • Альт Сервер 10,

  • Альт 8 СП Сервер,

  • ОСнова 2.5.1

4 ядра ЦПУ, 8 ГБ ОЗУ, 100 ГБ НЖМД (HDD)

389 Directory Server

В качестве хранилища можно использовать существующее хранилище на основе LDAP, Microsoft Active Directory, FreeIPA, либо иную систему хранения учетных записей и паролей (подключение через REST коннектор)

ВМ для сервера очередей (VM-MQ)

1-2

  • CentOS 7/8,

  • Rocky Linux, 8/9

  • RHEL 7/8,

  • Astra Linux SE 1.6/1.7,

  • РЕДОС 7.3,

  • Альт Сервер 10,

  • Альт 8 СП Сервер,

  • ОСнова 2.5.1

4 ядра ЦПУ, 8 ГБ ОЗУ, 50 ГБ НЖМД (HDD)

RabbitMQ версии 3.7.9

Использование сервера очередей опционально

ВМ для балансировщика (VM-NLB)

1-2

  • CentOS 7/8,

  • Rocky Linux, 8/9

  • RHEL 7/8,

  • Astra Linux SE 1.6/1.7,

  • РЕДОС 7.3,

  • Альт Сервер 10,

  • Альт 8 СП Сервер,

  • ОСнова 2.5.1

2 ядра ЦПУ, 4 ГБ ОЗУ, 50 ГБ НЖМД (HDD)

HAProxy, keepalived

Внутренний балансировщик нужен в случае кластеризации LDAP и сервера очередей

Требуемые версии системного ПО:

  • OpenJDK 8, Liberica JDK 8, Axiom JDK 8 Certified или Oracle JDK 8;

  • Менеджер памяти Memcached версии 1.4.15 или выше;

Требования к сетевой связности:

  • VM-NLB должна быть доступна по 80, 443 (HTTP/HTTPS) из сетей пользователей;

  • с VM-WEB должен быть доступ к VM-APP по 9000 (blitz-idp), 9002 (blitz-registration), 9003 (blitz-recovery), 9012 (blitz-keeper) и VM-ADM по 9001 (blitz-console);

  • с VM-APP должен быть доступ:

    • к другим VM-APP и VM-ADM по 11211 (memcached);

    • к VM-DB по 8091, 8092, 8093, 11209, 11210, 11211, 4369, 21100 - 21199, 11214, 11215, 18091, 18092 (стандартные порты Couchbase Server) или 5432 (стандартный порт PostgreSQL);

    • к VM-LDAP (VM-NLB) по 389, 636 (стандартные порты LDAP);

    • к VM-MQ (VM-NLB) по 5672 (стандартный порт RabbitMQ);

    • к сервисам внешних поставщиков идентификации по 443 (при их использовании):

      Ссылки на сервисы внешних поставщиков

      Тип

      Ссылка

      Социальные сети

      https://appleid.apple.com

      https://accounts.google.com

      https://graph.facebook.com [2]

      https://oauth.yandex.ru

      https://oauth.vk.com

      https://account.mail.ru

      https://api.ok.ru

      ЕСИА и цифровой профиль

      https://esia-portal1.test.gosuslugi.ru

      https://esia.gosuslugi.ru

      Банки

      https://online.sberbank.ru

      https://business.tinkoff.ru

      https://id.vtb.ru

      https://sbi.sberbank.ru:9443

      https://fintech.sberbank.ru:9443

      https://id-sandbox.alfabank.ru

      СУДИР

      https://login.mos.ru

      https://login-tech.mos.ru

      https://sudir.mos.ru

      https://sudir-test.mos.ru

    • к­ SMS-шлюзу (при его использовании);

    • к SMTP (при его использовании);

    • к сервису push-уведомлений (при его использовании);

    • к сервису Kafka (при его использовании для приема событий безопасности).

  • с VM-ADM должен быть доступ:

    • к VM-DB по 8091, 8092, 8093, 11209, 11210, 11211, 4369, 21100 - 21199, 11214, 11215, 18091, 18092 (стандартные порты Couchbase Server) или 5432 (стандартный порт PostgreSQL);

    • к VM-LDAP (VM_NLB) по 389, 636 (стандартные порты LDAP);

    • к VM-APP по 22 (ssh), 514 (rsyslog), 11211 (memcached);

    • ­к VM-MQ (VM-NLB) по 5672 (стандартный порт RabbitMQ);

    • к сервису Kafka (при его использовании для приема событий безопасности)

  • с VM-DB должен быть доступ до других VM-DB по 8091, 8092, 8093, 11209, 11210, 11211, 4369, 21100 - 21199, 11214, 11215, 18091, 18092 (порты Couchbase Server) или 5432 (порт PostgreSQL);

  • с VM-LDAP должен быть доступ до других VM-LDAP по 389, 636 (порты LDAP);

  • ­с VM-MQ должен быть доступ до других VM-MQ по 4369, 35197, 5672.

Для VM-APP нужно завести публичное DNS-имя (например, auth.domain.ru) и выпустить TLS-сертификат на auth.domain.ru или *.domain.ru.