souce/tspu-docs
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity

Добавлено описание центральной системы управления (ЦСУ) и её архитектуры в документацию

Browse Source
This commit is contained in:
Daniel Lavrushin
2026-02-20 12:46:06 +01:00
parent f0cfc45844
commit 30e4b370c4
3 changed files with 100 additions and 6 deletions
Download Patch File Download Diff File Expand all files Collapse all files

9
08.md
View File

@@ -84,13 +84,12 @@ SPFS занимается **накоплением** поступающих пр
Очищенные списки загружаются на фильтры по протоколу **HTTP** в **отдельный DPI-лист**, отличный от того, в котором выполняется распознавание:
| DPI-лист | Назначение | Behavior |
| ------------------- | -------------------------------------- | -------------------------------------------------------- |
| DPI-лист 0 | Распознавание протоколов (первый этап) | **ignore** — срабатывание фиксируется, но не блокируется |
| DPI-лист 5 (пример) | Блокировка по очищенным спискам из ЦСУ | **block** — трафик блокируется |
| DPI-лист | Назначение | Behavior |
|----------|-----------|----------|
| DPI-лист 0 | Распознавание протоколов (первый этап) | **ignore** — срабатывание фиксируется, но не блокируется |
| DPI-лист 5 (пример) | Блокировка по очищенным спискам из ЦСУ | **block** — трафик блокируется |
Таким образом, на одном фильтре **одновременно работают два процесса**:
- в DPI-листе 0 продолжается распознавание новых сессий и отправка логов;
- в DPI-листе 5 выполняется блокировка по уже проверенным и очищенным спискам.

95
09.md Normal file
View File

@@ -0,0 +1,95 @@
# 9. Центральная система управления (ЦСУ)
[← Оглавление](README.md) · [← Раздел 8: Формирование протокольных списков](08.md)
---
## 9.1. Архитектура: две независимые площадки (основная и резервная)
Центральная система управления (ЦСУ) — это централизованная платформа, через которую осуществляется управление всеми ТСПУ, развёрнутыми по стране. ЦСУ располагается в **двух независимых ЦОДах**:
- **Основная площадка** — основной центр обработки данных;
- **Резервная площадка** — дублирующий центр, обеспечивающий отказоустойчивость.
```text
┌───────────────────┐ ┌───────────────────┐
│ Основная площадка │◄───────►│ Резервная площадка │
│ ЦСУ │ Канал │ ЦСУ │
│ │ связи │ │
└────────┬──────────┘ └──────────┬────────┘
│ │
│ VPN (криптошлюз «Континент») │
│ │
┌────────┴───────────────────────────────┴────────┐
│ │
│ Интернет (публичные каналы) │
│ │
└──┬──────┬──────┬──────┬──────┬──────┬──────┬──┘
│ │ │ │ │ │ │
ТСПУ ТСПУ ТСПУ ТСПУ ТСПУ ТСПУ ...
площ.1 площ.2 площ.3 площ.4 площ.5 площ.6
```
Обе площадки **связаны между собой** выделенным каналом связи, по которому осуществляется репликация данных и обеспечивается отказоустойчивость. Пользователи (инженеры эксплуатации) также попадают на ЦСУ через **шифрованные VPN-каналы**.
## 9.2. Связь с ТСПУ через VPN (криптошлюз «Континент»)
Связь между площадками ТСПУ и центральной системой управления осуществляется через **VPN**, построенный на криптошлюзах **«Континент»** (модель IPC-3000 или аналогичная).
На каждой площадке ТСПУ установлен криптошлюз, который через **публичные интернет-каналы** устанавливает VPN-соединение с более мощной моделью криптошлюза на стороне ЦСУ. Через этот VPN-канал обеспечивается:
- **Управление устройствами** — доступ к CLI фильтров, балансировщиков, байпасов;
- **Сбор данных** — протокольные логи (gRPC от SPFS), системные логи (syslog), данные мониторинга (SNMP);
- **Распространение списков** — загрузка очищенных списков на фильтры (HTTP) и на Eco Highway (BGP);
- **Обновление ПО** — централизованная загрузка прошивок на оборудование.
Каждая площадка ТСПУ связана **как с основной, так и с резервной** площадкой ЦСУ, что обеспечивает непрерывность управления при выходе из строя одной из площадок.
Криптошлюз «Континент» на площадке ТСПУ выступает **шлюзом по умолчанию** для всех устройств сегмента управления (адрес .254 в подсети управления — подробнее в [разделе 10](10.md)).
## 9.3. Масштаб: ~350 площадок, ~5000 устройств
На текущем этапе федерального проекта ЦСУ обслуживает:
| Параметр | Значение |
| --------------------------- | --------------- |
| **Количество площадок ТСПУ** | ~350 |
| **Суммарное количество устройств** | ~5 000 |
| **Типы устройств** | Фильтры, балансировщики, байпасы, SPFS, СПХД |
Предполагается дальнейшее расширение по мере развития проекта.
## 9.4. Подсистемы ЦСУ: формирование списков, мониторинг, логирование, картография
ЦСУ представляет собой **многокомпонентную распределённую систему**, состоящую из нескольких подсистем, каждая из которых выполняет свою задачу:
| Подсистема | Назначение |
| ----------------------------------- | ------------------------------------------------------------------------------------------- |
| **Формирование списков фильтрации** | Сбор протокольных логов с SPFS на площадках ТСПУ, анализ, формирование очищенных списков и их распространение на фильтры (HTTP) и Eco Highway (BGP) |
| **Мониторинг** | Наблюдение за состоянием оборудования ТСПУ на всех площадках |
| **Логирование** | Сбор и хранение системных журналов с устройств |
| **Картография** | Визуализация размещения оборудования и его состояния |
| **Отчётность (Reports)** | Формирование отчётов о работе системы |
Архитектура каждой подсистемы, схемы обмена данными и внутренние процессы подробно описаны в отдельном документе — **«Системная архитектура центральной системы управления»**.
Поддержкой и настройкой ЦСУ занимается **команда DevOps**. Инженеры, обслуживающие ТСПУ, являются **пользователями** ЦСУ — они используют её интерфейсы для мониторинга и управления, но не занимаются настройкой самой системы. Заливка программного обеспечения на ЦСУ также выполняется командой DevOps, тогда как заливка ПО на оборудование ТСПУ выполняется совместно инженерами площадки и разработчиками (ДЦА готовит конфигурации и новое ПО, инженеры на местах выполняют установку).
## 9.5. Новая ЦСУ для федерального проекта (замена уральской)
В ходе развития проекта АСБИ существовали **две версии** ЦСУ:
| Параметр | Уральская ЦСУ (пилот) | Федеральная ЦСУ (новая) |
| ------------------------ | ---------------------------------------- | -------------------------------------------- |
| **Охват** | Уральский регион (пилотный проект) | Вся страна (федеральный проект) |
| **Статус** | Тупиковая ветвь развития | Активная разработка |
| **Функционал** | Ограниченный | Полный (все подсистемы) |
| **Подключение площадок** | Только уральские площадки | Все площадки, включая переподключение Урала |
ЦСУ, работавшая на уральском пилотном проекте, является **тупиковой ветвью развития** — она не будет развиваться дальше. Для федерального проекта разрабатывается **полностью новая ЦСУ**, к которой будут подключены все площадки ТСПУ по всей стране, включая переподключение уральских площадок с пилотной системы.
Новая ЦСУ на момент проведения лекции находилась **в процессе разработки** — планировалось, что она начнёт функционировать к ноябрю и будет сдана в декабре. До момента запуска новой ЦСУ мониторинг и управление площадками осуществлялись через существующую (уральскую) систему в ограниченном объёме.
---
[← Оглавление](README.md) · [← Раздел 8: Формирование протокольных списков](08.md) · [Раздел 10: Сегмент управления ТСПУ →](10.md)

2
README.md
View File

@@ -106,7 +106,7 @@
- 8.5. Загрузка очищенных списков обратно на фильтры (HTTP) и на Eco Highway (BGP)
- 8.6. Время полного цикла блокировки: ~515 минут
### 9. Центральная система управления (ЦСУ)
### [9. Центральная система управления (ЦСУ)](/09.md)
- 9.1. Архитектура: две независимые площадки (основная и резервная)
- 9.2. Связь с ТСПУ через VPN (криптошлюз «Континент»)