Системные требования#

Операционные системы#

Все варианты установки Blitz Identity Provider и задействованные в них типы серверов поддерживают следующие операционные системы:

Astra Linux SE 1.6/1.7 РЕД ОС 7.3 Альт Сервер 10 Альт 8 СП Сервер ОСнова 2.5.1 CentOS 7/8 Rocky Linux 8/9 AlmaLinux 8/9 RHEL 7/8/9 Oracle Linux 8/9 РОСА Хром 12 Red OS 8

Минимальные требования#

Минимальные требования рекомендуется применять при подготовке сред тестирования и для продуктивных контуров при внедрениях со средними требованиями к обеспечению доступности и производительности согласно приведенной ниже схеме.

install001

Минимально для развертывания необходимо использовать 2 виртуальные машины (далее – ВМ) со следующими характеристиками и ролями.

Минимальные требования к серверам для развертывания

Развертывание на 1-й ВМ не в кластере

Описание

Технические характеристики

ПО

ВМ для приложений и СУБД

4 ядра ЦПУ, 8 ГБ ОЗУ, 50 ГБ НЖМД (HDD)

Blitz Identity Provider: blitz-idp, blitz-console, blitz-registration, blitz-recovery, blitz-panel; JDK, nginx или HAProxy, memcached, PostgreSQL, LDAP

Развертывание на 2-х ВМ не в кластере

Описание

Технические характеристики

ПО

ВМ для приложений (VM APP)

4 ядра ЦПУ, 8 ГБ ОЗУ, 50 ГБ НЖМД (HDD)

Blitz Identity Provider: blitz-idp, blitz-console, blitz-registration, blitz-recovery, blitz-keeper, blitz-panel; JDK, nginx или HAProxy, memcached

ВМ для базы данных (VM DB)

4 ядра ЦПУ, 8 ГБ ОЗУ, 100 ГБ НЖМД (HDD)

PostgreSQL (9.6 или новее) или Couchbase Server Community Edition (6.0 или новее); 389 Directory Server или FreeIPA; RabbitMQ (опционально)

Развертывание на 2-х ВМ в кластере

Описание

Кол-во

Технические характеристики

ПО

ВМ для приложений и СУБД

2

4 ядра ЦПУ, 8 ГБ ОЗУ, 50 ГБ НЖМД (HDD)

Blitz Identity Provider: blitz-idp, blitz-registration, blitz-recovery, blitz-panel; JDK, nginx или HAProxy, memcached, PostgreSQL, LDAP

Требуемые версии системного ПО:

  • OpenJDK 11, Liberica JDK 11, Axiom JDK 11 Certified или Oracle JDK 11;

  • Менеджер памяти Memcached версии 1.4.15 или выше.

Требования к сетевой связности:

  • VM-APP должна быть доступна по 80, 443 (HTTP/HTTPS) из сетей пользователей;

  • с VM-APP должен быть доступ:

    • к VM-DB по 8091, 8092, 8093, 11209, 11210, 11211, 4369, 21100 - 21199, 11214, 11215, 18091, 18092 (стандартные порты Couchbase Server), 5432 (стандартный порт PostgreSQL), 389, 636 (стандартные порты LDAP), 5672 (стандартный порт RabbitMQ);

    • ­к сервисам внешних поставщиков идентификации по 443 (при их использовании):

      Ссылки на сервисы внешних поставщиков

      Тип

      Ссылка

      Социальные сети

      https://appleid.apple.com

      https://accounts.google.com

      https://graph.facebook.com [1]

      https://oauth.yandex.ru

      https://oauth.vk.com

      https://account.mail.ru

      https://api.ok.ru

      ЕСИА и цифровой профиль

      https://esia-portal1.test.gosuslugi.ru

      https://esia.gosuslugi.ru

      Банки

      https://online.sberbank.ru

      https://business.tinkoff.ru

      https://id.vtb.ru

      https://sbi.sberbank.ru:9443

      https://fintech.sberbank.ru:9443

      https://id-sandbox.alfabank.ru

      СУДИР

      https://login.mos.ru

      https://login-tech.mos.ru

      https://sudir.mos.ru

      https://sudir-test.mos.ru

    • ­к SMS-шлюзу (при его использовании);

    • к SMTP (при его использовании);

    • к сервису push-уведомлений (при его использовании);

    • к сервису Kafka (при его использовании для приема событий безопасности).

Для VM-APP нужно завести публичное DNS-имя (например, auth.domain.ru) и выпустить TLS-сертификат на auth.domain.ru или *.domain.ru.

Рекомендуемые требования для кластера#

Схема развертывания в кластерной конфигурации приведена на рисунке ниже. Следуйте приведенным в данном разделе требованиям при построении продуктивных контуров систем аутентификации с высокими требованиями к доступности и пиковой производительности.

install002

Для развертывания в кластерной конфигурации рекомендуется использовать виртуальные машины (далее – ВМ) со характеристиками и ролями, указанными в таблице ниже.

Рекомендуемые требования к серверам для развертывания в кластере

Описание

Кол-во

Технические характеристики

ПО

ВМ веб-серверов (VM-WEB)

1-2

4 ядра ЦПУ, 4 ГБ ОЗУ, 50 ГБ НЖМД (HDD)

nginx или HAProxy

ВМ приложений Blitz Identity Provider (VM-APP)

2

4 ядра ЦПУ, 8 ГБ ОЗУ, 50 ГБ НЖМД (HDD)

Blitz Identity Provider: blitz-idp, blitz-registration, blitz-recovery, blitz-keeper, blitz-panel; memcached, JDK

ВМ для консоли (VM-ADM)

1

2 ядра ЦПУ, 4 ГБ ОЗУ, 100 ГБ НЖМД (HDD)

memcached, JDK; Blitz Identity Provider: blitz-console

ВМ для СУБД (VM-DB)

2-3

Для PostgreSQL: 4 ядра ЦПУ, 8 ГБ ОЗУ, 100 ГБ НЖМД (HDD) (данные), 50 ГБ НЖМД (HDD) (система). Для Couchbase Server: 8 ядер ЦПУ, 16 ГБ ОЗУ, 500 ГБ НЖМД (HDD) (данные), 100 ГБ НЖМД (SSD) (индексы), 50 ГБ НЖМД (HDD) (система)

ПО PostgreSQL (9.6 или новее) или Couchbase Server Community Edition (6.0 или новее)

ВМ для LDAP (VM-LDAP)

2

4 ядра ЦПУ, 8 ГБ ОЗУ, 100 ГБ НЖМД (HDD)

389 Directory Server

ВМ для сервера очередей (VM-MQ)

1-2

4 ядра ЦПУ, 8 ГБ ОЗУ, 50 ГБ НЖМД (HDD)

RabbitMQ версии 3.7.9

ВМ для балансировщика (VM-NLB)

1-2

2 ядра ЦПУ, 4 ГБ ОЗУ, 50 ГБ НЖМД (HDD)

HAProxy, keepalived

Совет

  • VM-WEB:

    Можно использовать существующий веб-сервер для балансировки нагрузки и снятия TLS с входящего трафика.

  • VM-APP:

    При высокой нагрузке рекомендуется развертывать каждое приложение Blitz Identity Provider в своем кластере на отдельных серверах.

  • VM-ADM:

    На этот сервер рекомендуется сбор логов с других серверов кластера.

  • VM-DB:

    Для PostgreSQL рекомендуется выделить один физический сервер под основной экземпляр и один под резерв (standby). Для Couchbase Server рекомендуется минимум 3 ВМ.

  • VM-LDAP:

    В качестве хранилища можно использовать существующее хранилище на основе LDAP, Microsoft Active Directory, FreeIPA, либо иную систему хранения учетных записей и паролей (подключение через REST коннектор).

  • VM-MQ:

    Использование сервера очередей опционально.

  • VM-NLB:

    Внутренний балансировщик нужен в случае кластеризации LDAP и сервера очередей.

Требуемые версии системного ПО:

  • OpenJDK 11, Liberica JDK 11, Axiom JDK 11 Certified или Oracle JDK 11;

  • Менеджер памяти Memcached версии 1.4.15 или выше;

Требования к сетевой связности:

  • VM-WEB должна быть доступна по 80, 443 (HTTP/HTTPS) из сетей пользователей;

  • с VM-WEB должен быть доступ к VM-APP по 9000 (blitz-idp), 9002 (blitz-registration), 9003 (blitz-recovery), 9012 (blitz-keeper), 9013 (blitz-panel) и VM-ADM по 9001 (blitz-console);

  • с VM-APP должен быть доступ:

    • к другим VM-APP и VM-ADM по 11211 (memcached);

    • к VM-DB по 8091, 8092, 8093, 11209, 11210, 11211, 4369, 21100 - 21199, 11214, 11215, 18091, 18092 (стандартные порты Couchbase Server) или 5432 (стандартный порт PostgreSQL);

    • к VM-LDAP (VM-NLB) по 389, 636 (стандартные порты LDAP);

    • к VM-MQ (VM-NLB) по 5672 (стандартный порт RabbitMQ);

    • к сервисам внешних поставщиков идентификации по 443 (при их использовании):

      Ссылки на сервисы внешних поставщиков

      Тип

      Ссылка

      Социальные сети

      https://appleid.apple.com

      https://accounts.google.com

      https://graph.facebook.com [2]

      https://oauth.yandex.ru

      https://oauth.vk.com

      https://account.mail.ru

      https://api.ok.ru

      ЕСИА и цифровой профиль

      https://esia-portal1.test.gosuslugi.ru

      https://esia.gosuslugi.ru

      Банки

      https://online.sberbank.ru

      https://business.tinkoff.ru

      https://id.vtb.ru

      https://sbi.sberbank.ru:9443

      https://fintech.sberbank.ru:9443

      https://id-sandbox.alfabank.ru

      СУДИР

      https://login.mos.ru

      https://login-tech.mos.ru

      https://sudir.mos.ru

      https://sudir-test.mos.ru

    • к­ SMS-шлюзу (при его использовании);

    • к SMTP (при его использовании);

    • к сервису push-уведомлений (при его использовании);

    • к сервису Kafka (при его использовании для приема событий безопасности).

  • с VM-ADM должен быть доступ:

    • к VM-DB по 8091, 8092, 8093, 11209, 11210, 11211, 4369, 21100 - 21199, 11214, 11215, 18091, 18092 (стандартные порты Couchbase Server) или 5432 (стандартный порт PostgreSQL);

    • к VM-LDAP (VM_NLB) по 389, 636 (стандартные порты LDAP);

    • к VM-APP по 22 (ssh), 514 (rsyslog), 873 (rsync), 11211 (memcached);

    • ­к VM-MQ (VM-NLB) по 5672 (стандартный порт RabbitMQ);

    • к сервису Kafka (при его использовании для приема событий безопасности)

  • с VM-DB должен быть доступ до других VM-DB по 8091, 8092, 8093, 11209, 11210, 11211, 4369, 21100 - 21199, 11214, 11215, 18091, 18092 (порты Couchbase Server) или 5432 (порт PostgreSQL);

  • с VM-LDAP должен быть доступ до других VM-LDAP по 389, 636 (порты LDAP);

  • ­с VM-MQ должен быть доступ до других VM-MQ по 4369, 35197, 5672.

Для VM-APP нужно завести публичное DNS-имя (например, auth.domain.ru) и выпустить TLS-сертификат на auth.domain.ru или *.domain.ru.