Системные требования#

Операционные системы#

Все варианты установки Blitz Identity Provider и задействованные в них типы серверов поддерживают следующие операционные системы:

Astra Linux SE 1.6/1.7 РЕД ОС 7.3 Альт Сервер 10 Альт 8 СП Сервер ОСнова 2.5.1 CentOS 7/8 Rocky Linux 8/9 AlmaLinux 8/9 RHEL 7/8/9 Oracle Linux 8/9

Минимальные требования#

Минимальные требования рекомендуется применять при подготовке сред тестирования и для продуктивных контуров при внедрениях со средними требованиями к обеспечению доступности и производительности согласно приведенной ниже схеме.

install001

Минимально для развертывания необходимо использовать 2 виртуальные машины (далее – ВМ) со следующими характеристиками и ролями.

Минимальные требования к серверам для развертывания

Описание

Технические характеристики

ПО

ВМ для приложений (VM APP)

4 ядра ЦПУ, 8 ГБ ОЗУ, 50 ГБ НЖМД (HDD)

Blitz Identity Provider: blitz-idp, blitz-console, blitz-registration, blitz-recovery, blitz-keeper; blitz-panel, JDK, nginx, memcached

ВМ для базы данных (VM DB)

4 ядра ЦПУ, 8 ГБ ОЗУ, 100 ГБ НЖМД (HDD)

PostgreSQL (9.6 или новее) или Couchbase Server Community Edition (6.0 или новее); 389 Directory Server или FreeIPA; RabbitMQ (опционально)

Требуемые версии системного ПО:

  • OpenJDK 8, Liberica JDK 8, Axiom JDK 8 Certified или Oracle JDK 8;

  • Менеджер памяти Memcached версии 1.4.15 или выше.

Требования к сетевой связности:

  • VM-APP должна быть доступна по 80, 443 (HTTP/HTTPS) из сетей пользователей;

  • с VM-APP должен быть доступ:

    • к VM-DB по 8091, 8092, 8093, 11209, 11210, 11211, 4369, 21100 - 21199, 11214, 11215, 18091, 18092 (стандартные порты Couchbase Server), 5432 (стандартный порт PostgreSQL), 389, 636 (стандартные порты LDAP), 5672 (стандартный порт RabbitMQ);

    • ­к сервисам внешних поставщиков идентификации по 443 (при их использовании):

      Ссылки на сервисы внешних поставщиков

      Тип

      Ссылка

      Социальные сети

      https://appleid.apple.com

      https://accounts.google.com

      https://graph.facebook.com [1]

      https://oauth.yandex.ru

      https://oauth.vk.com

      https://account.mail.ru

      https://api.ok.ru

      ЕСИА и цифровой профиль

      https://esia-portal1.test.gosuslugi.ru

      https://esia.gosuslugi.ru

      Банки

      https://online.sberbank.ru

      https://business.tinkoff.ru

      https://id.vtb.ru

      https://sbi.sberbank.ru:9443

      https://fintech.sberbank.ru:9443

      https://id-sandbox.alfabank.ru

      СУДИР

      https://login.mos.ru

      https://login-tech.mos.ru

      https://sudir.mos.ru

      https://sudir-test.mos.ru

    • ­к SMS-шлюзу (при его использовании);

    • к SMTP (при его использовании);

    • к сервису push-уведомлений (при его использовании);

    • к сервису Kafka (при его использовании для приема событий безопасности).

Для VM-APP нужно завести публичное DNS-имя (например, auth.domain.ru) и выпустить TLS-сертификат на auth.domain.ru или *.domain.ru.

Рекомендуемые требования для кластера#

Схема развертывания в кластерной конфигурации приведена на рисунке ниже. Следуйте приведенным в данном разделе требованиям при построении продуктивных контуров систем аутентификации с высокими требованиями к доступности и пиковой производительности.

:size=80%

Для развертывания в кластерной конфигурации рекомендуется использовать виртуальные машины (далее – ВМ) со характеристиками и ролями, указанными в таблице ниже.

Рекомендуемые требования к серверам для развертывания в кластере

Описание

Кол-во

Технические характеристики

ПО

Комментарий

ВМ веб-серверов (VM-WEB)

1-2

4 ядра ЦПУ, 4 ГБ ОЗУ, 50 ГБ НЖМД (HDD)

nginx

Можно использовать существующий веб-сервер для балансировки нагрузки и снятия TLS с входящего трафика

ВМ приложений Blitz Identity Provider (VM-APP)

2

4 ядра ЦПУ, 8 ГБ ОЗУ, 50 ГБ НЖМД (HDD)

Blitz Identity Provider: blitz-idp, blitz-registration, blitz-recovery, blitz-keeper; blitz-panel; memcached JDK

При высокой нагрузке рекомендуется развертывать каждое приложение Blitz Identity Provider в своем кластере на отдельных серверах

ВМ для консоли (VM-ADM)

1

2 ядра ЦПУ, 4 ГБ ОЗУ, 100 ГБ НЖМД (HDD)

memcached JDK; Blitz Identity Provider: blitz-console

На этот сервер рекомендуется сбор логов с других серверов кластера

ВМ для СУБД (VM-DB)

2-3

Для PostgreSQL: 4 ядра ЦПУ, 8 ГБ ОЗУ, 100 ГБ НЖМД (HDD) (данные), 50 ГБ НЖМД (HDD) (система). Для Couchbase Server: 8 ядер ЦПУ, 16 ГБ ОЗУ, 500 ГБ НЖМД (HDD) (данные), 100 ГБ НЖМД (SSD) (индексы), 50 ГБ НЖМД (HDD) (система)

ПО PostgreSQL (9.6 или новее) или Couchbase Server Community Edition (6.0 или новее)

Для PostgreSQL рекомендуется выделить один физический сервер под основной экземпляр и один под резерв (standby). Для Couchbase Server рекомендуется минимум 3 ВМ.

ВМ для LDAP (VM-LDAP)

2

4 ядра ЦПУ, 8 ГБ ОЗУ, 100 ГБ НЖМД (HDD)

389 Directory Server

В качестве хранилища можно использовать существующее хранилище на основе LDAP, Microsoft Active Directory, FreeIPA, либо иную систему хранения учетных записей и паролей (подключение через REST коннектор)

ВМ для сервера очередей (VM-MQ)

1-2

4 ядра ЦПУ, 8 ГБ ОЗУ, 50 ГБ НЖМД (HDD)

RabbitMQ версии 3.7.9

Использование сервера очередей опционально

ВМ для балансировщика (VM-NLB)

1-2

2 ядра ЦПУ, 4 ГБ ОЗУ, 50 ГБ НЖМД (HDD)

HAProxy, keepalived

Внутренний балансировщик нужен в случае кластеризации LDAP и сервера очередей

Требуемые версии системного ПО:

  • OpenJDK 8, Liberica JDK 8, Axiom JDK 8 Certified или Oracle JDK 8;

  • Менеджер памяти Memcached версии 1.4.15 или выше;

Требования к сетевой связности:

  • VM-WEB должна быть доступна по 80, 443 (HTTP/HTTPS) из сетей пользователей;

  • с VM-WEB должен быть доступ к VM-APP по 9000 (blitz-idp), 9002 (blitz-registration), 9003 (blitz-recovery), 9012 (blitz-keeper), 9013 (blitz-panel) и VM-ADM по 9001 (blitz-console);

  • с VM-APP должен быть доступ:

    • к другим VM-APP и VM-ADM по 11211 (memcached);

    • к VM-DB по 8091, 8092, 8093, 11209, 11210, 11211, 4369, 21100 - 21199, 11214, 11215, 18091, 18092 (стандартные порты Couchbase Server) или 5432 (стандартный порт PostgreSQL);

    • к VM-LDAP (VM-NLB) по 389, 636 (стандартные порты LDAP);

    • к VM-MQ (VM-NLB) по 5672 (стандартный порт RabbitMQ);

    • к сервисам внешних поставщиков идентификации по 443 (при их использовании):

      Ссылки на сервисы внешних поставщиков

      Тип

      Ссылка

      Социальные сети

      https://appleid.apple.com

      https://accounts.google.com

      https://graph.facebook.com [2]

      https://oauth.yandex.ru

      https://oauth.vk.com

      https://account.mail.ru

      https://api.ok.ru

      ЕСИА и цифровой профиль

      https://esia-portal1.test.gosuslugi.ru

      https://esia.gosuslugi.ru

      Банки

      https://online.sberbank.ru

      https://business.tinkoff.ru

      https://id.vtb.ru

      https://sbi.sberbank.ru:9443

      https://fintech.sberbank.ru:9443

      https://id-sandbox.alfabank.ru

      СУДИР

      https://login.mos.ru

      https://login-tech.mos.ru

      https://sudir.mos.ru

      https://sudir-test.mos.ru

    • к­ SMS-шлюзу (при его использовании);

    • к SMTP (при его использовании);

    • к сервису push-уведомлений (при его использовании);

    • к сервису Kafka (при его использовании для приема событий безопасности).

  • с VM-ADM должен быть доступ:

    • к VM-DB по 8091, 8092, 8093, 11209, 11210, 11211, 4369, 21100 - 21199, 11214, 11215, 18091, 18092 (стандартные порты Couchbase Server) или 5432 (стандартный порт PostgreSQL);

    • к VM-LDAP (VM_NLB) по 389, 636 (стандартные порты LDAP);

    • к VM-APP по 22 (ssh), 514 (rsyslog), 873 (rsync), 11211 (memcached);

    • ­к VM-MQ (VM-NLB) по 5672 (стандартный порт RabbitMQ);

    • к сервису Kafka (при его использовании для приема событий безопасности)

  • с VM-DB должен быть доступ до других VM-DB по 8091, 8092, 8093, 11209, 11210, 11211, 4369, 21100 - 21199, 11214, 11215, 18091, 18092 (порты Couchbase Server) или 5432 (порт PostgreSQL);

  • с VM-LDAP должен быть доступ до других VM-LDAP по 389, 636 (порты LDAP);

  • ­с VM-MQ должен быть доступ до других VM-MQ по 4369, 35197, 5672.

Для VM-APP нужно завести публичное DNS-имя (например, auth.domain.ru) и выпустить TLS-сертификат на auth.domain.ru или *.domain.ru.