¶ 11.1. Кластеризация Мастер-сервера
Система поддерживает несколько вариантов кластеризации управляющего сервера (Мастер-сервера). Ниже описаны основные доступные варианты кластеризации:
- Кластер на базе Keepalived. Пакет Keepalived устанавливается на серверы, выделенные для Мастер-сервера Береста. Конфигурация keepalived предоставляется службой технической поддержки по запросу Заказчика.
- Кластер на базе Kubernetes. Контейнеры Мастер-сервера интегрируются под управлением существующего в инфраструктуре Заказчика кластера на базе Kubernetes во время первоначального развертывания Системы.
- Кластер на базе Pacemaker. Пакеты для запуска Pacemaker устанавливаются на серверы, выделенные для Мастер-сервера Береста. Конфигурация Pacemaker предоставляется службой технической поддержки по запросу Заказчика.
Для любого из описанных выше вариантов, комплект подставки Системы содержит специальный программный сценарий, который позволяет реплицировать актуальные данные Системы с основного сервера на резервный. Допустимо использования любых альтернативных технологий репликации данных.
¶ 11.2. Управление планировщиком и перезапуском заданий
Управление состоянием планировщика Системы осуществляется в компоненте «Конфигурация» → «Настройки» → «Конфигурация системы» → «Планировщик».
На данной закладке вы можете отключать и активировать планировщик заново (например, для обслуживания Системы). Дополнительно эта опция позволяет сделать внеочередной перерасчет запланированных заданий.
На данной вкладке доступны параметры перезапуска заданий в случае сбоев, а также периодичность автоматической проверки резервных копий.
Адрес почты указывается для отправки DR-файла, с помощью которого можно восстановить Систему в случае потери ее метаданных.
¶ 11.3. Уведомления и отправка журналов системы на SIEM
Система позволяет уведомлять пользователей о критичных событиях посредством отправки уведомлений на email. Для этого необходимо настроить интеграцию с SMTP сервером.
Правила генерации уведомлений настраиваются в компоненте «Конфигурация» → «Настройки» → «Конфигурация системы» → «Политики уведомлений». Дополнительно, журнал аудита (всех действий – ручных и автоматических) в Системе можно перенаправлять на SIEM сервер. Обе настройки выполняются в компоненте «Конфигурация» → «Настройки» → «Конфигурация системы» → «Журнал»:
¶ 11.4. Активация лицензии Системы
Загрузка и последующая автоматическая активация лицензии для работы Системы осуществляется в компоненте «Конфигурация» → «Настройки» → «Конфигурация системы» → «Лицензия»:
Файл лицензии предоставляется в рамках поставки комплекта Системы Заказчику.
¶ 11.5. Настройки ролевого доступа
Система содержит подсистему ролевого доступа, которая реализует функциональность встроенной и внешней (LDAP) аутентификации, а также отвечает за авторизацию пользователей для разграничения доступа не только по типам операций с объектами, но и между объектами резервного копирования.
Для настройки ролевого доступа перейдите в WEB-консоли в «Конфигурация» → «Настройки» → «Управление доступом». Откроется панель управления ролевым доступом:
Система имеет 3 встроенные пользовательских роли:
- Администраторы. Полный доступ к Системе.
- Операторы. Ограниченный доступ к Системе в рамках привязанных тенантов (просмотр объектов, перезапуск заданий на резервное копирование и восстановление данных, отчетность).
- Офицеры ИБ. Ограниченный доступ к Системе в рамках привязанных тенантов (просмотр журнала выполнения заданий и конфигурации политик резервного копирования, просмотр журнала аудита, сброс паролей для пользователей).
Для создания или редактирования пользователя, нажмите «Создать» («Редактировать») в меню «Пользователи», откроется форма создания (редактирования) пользователя. Заполните соответствующие поля и укажите привязку к тенантам:
Для создания или редактирования тенанта, нажмите «Создать» («Редактировать») в меню «Тенанты», откроется форма создания (редактирования) тенанта. Заполните соответствующие поля и укажите привязку пользователей и зарегистрированных объектов к тенантам:
Для настройки аутентификации пользователей в LDAP каталоге перейдите в меню «Источники LDAP»:
Нажмите кнопку «Создать» для интеграции с LDAP-каталогом и заполните соответствующие поля:
Загрузите сертификат LDAP-каталога и укажите DN групп пользователей LDAP, которые будут привязаны к группам пользователей Системы:
После этого будет создан новый LDAP-источник для аутентификации и авторизации пользователей.
Пример настройки аутентификации пользователей в LDAP каталоге на базе FreeIPA приводится ниже:
При входе в WEB-консоль Cистемы используйте соответствующий метод аутентификации:
¶ 11.6. Командный интерфейс управления (CLI)
Система включает возможность управления через CLI-интерфейс (brst_cli – доступен после установки Силового сервера или Агента, но может быть использован в автономном режиме на любом сервере, с которого доступен Мастер-сервер ). Для запуска используйте:
- /opt/beresta/brst-powerproxy/bin/brst_cli
- /opt/beresta/brst-agent/bin/brst_cli
Введите учетную запись и пароль пользователя, укажите имя Мастер-сервера и вам станет доступным набор команд для управления Системой.
Данная утилита также может быть запущена не в интерактивном режиме с использованием аргументов:
- brst_cli [OPTIONS] COMMAND [ARGS]...
¶ 11.7. Перенаправление трафика до Мастера через Силовой
В случае, если со стороны Агентов Системы закрыт прямой доступ до Мастер сервера, существует возможность перенаправления трафика к Мастер серверу, через один или несколько Силовых серверов. Для этого, на таких Силовых серверах необходимо настроить правила iptables.
!Внимание: на некоторых ОС (например ubuntu), дефолтовая политика на правило FORWARD - назначено как DROP, для изменения политики выполните предварительно команду: iptables -P FORWARD ACCEPT
Выполните следующие команды для перенаправления трафика через Силовой:
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A PREROUTING -i <имя интерфейса Силового сервера, который является proxy> -p tcp --dport 6379 -j DNAT --to-destination <IP Мастер-сервера>:6379
iptables -A FORWARD -p tcp -d <IP Мастер-сервера> --dport 6379 -j ACCEPT
iptables -t nat -A POSTROUTING -j MASQUERADE
¶ 11.8. Комната ожидания регистрации новых агентов и силовых серверов
Комната ожидания предназначена для буферизации и управления запросами на регистракцию новых агентов и силовых серверов в системе.
Настройка комнаты ожидания выполняется в компоненте «Конфигурация» - «Настройки» - «Конфигурация системы» - «Комната ожидания» - «Сервис регистрации».
Для активации функционала комнаты ожидания, необходимо активировать переключатель, находящийся справа от кнопки «Содержимое очереди». В неактивном состоянии, функционал очереди недоступен, а все запросы регистрации обрабатываются незамедлительно.
Параметр «действие по-умолчанию» отвечает за режим работы команты ожидания и имеет две опции:
- «Обработать без очереди» - Запрос будет обработан без добавления в комнату ожидания.
- «Добавить в очередь» - Запрос будет добавлен в комнату ожидания.
Параметр «Дублирующие записи» отвечает за политику обработки дублирующихся запросов в комнате ожидания и имеет две опции:
- «Отбрасывать дублирующую запись» - Если в комнате ожидания уже есть идентичный запрос, то входящий дублирующий запрос будет удалён.
- «Добавлять дублирующую запись» - Входящий дублирующий запрос будет добавлен в комнату ожидания.
Для управления логикой обработки комнаты ожидания, необходимо воспользоваться механизмом правил, представляющих из себя логические выражения, которые могут быть истинными или ложными.
Правила применяются к объектам входящих запросов последовательно, в порядке их добавления. Результат выполнения правила определяет действие, которое будет выполнено над входящим запросом. Принцип действия механизма правил представлен на рисунке.
Для добавления нового правила, необходимо нажать на кнопку «Добавить правило», после чего выбрать тип правила, исходя из целей фильтрации и обработки входящих запросов и заполнить его форму.
Форма правила состоит из шаблона, включающего блоки:
- Если / Если не - отвечающие, за логическую операцию отрицания, применяемую после вычисленяи значения правила.
- Параметры, специфичные для конкретного правила.
- Действие над запросом, которое выполняется, если выражение истинно для обрабатываемого запроса.
Для просмотра содержимого комнаты ожидания, необходимо воспользоваться кнопкой «Содержимое очереди». На этой странице отображаются все записи, находящиеся в комнате ожидания. При выборе записей с помощью чекбоксов, можно подтвердить/отклонить, либо удалить их. При подтверждении - запросы будут выполнены, при отклонении и удалении - удалены.
Для очистки всего содержимого комнаты ожидания, необходимо нажать на кнопку «Очистить очередь».
¶ 11.9. Интеграция с антивирусным программным обеспечением
В случае, если на компоненты Системы (Мастер, Силовые серверы, Агенты) установлены на серверах с работающим антивирусным ПО, необходимо выполнить следующие настройки на уровне антивирусного ПО для обеспечения совместной работы:
- Мастер сервер ПО Береста: исключение из сканирования всех файлов в каталоге /opt/beresta/ и всех его подкаталогов; разрешение входящего трафика на порты 6379/tcp;
- Силовые серверы ПО Береста: исключение из сканирования всех файлов в каталоге /opt/beresta/ и всех его подкаталогов; исключение из сканирования всех файлов в точках монтирования, на которые смонтированы устройства хранения резервных копий (типы: FS, ZFS, TBFS, TBOOST); разрешение входящего трафика на порты 50100/tcp и исходящего трафика на 6379/tcp в сторону Мастер сервера;
- Агенты ПО Береста: исключение из сканирования всех файлов в каталоге /opt/beresta/ и всех его подкаталогов; разрешение исходящего трафика на порты 50100/tcp Силовых серверов и 6379/tcp в сторону Мастер сервера;