From 30e4b370c4beb1a8795922634d9d39dad82ecb73 Mon Sep 17 00:00:00 2001 From: Daniel Lavrushin Date: Fri, 20 Feb 2026 12:46:06 +0100 Subject: [PATCH] =?UTF-8?q?=D0=94=D0=BE=D0=B1=D0=B0=D0=B2=D0=BB=D0=B5?= =?UTF-8?q?=D0=BD=D0=BE=20=D0=BE=D0=BF=D0=B8=D1=81=D0=B0=D0=BD=D0=B8=D0=B5?= =?UTF-8?q?=20=D1=86=D0=B5=D0=BD=D1=82=D1=80=D0=B0=D0=BB=D1=8C=D0=BD=D0=BE?= =?UTF-8?q?=D0=B9=20=D1=81=D0=B8=D1=81=D1=82=D0=B5=D0=BC=D1=8B=20=D1=83?= =?UTF-8?q?=D0=BF=D1=80=D0=B0=D0=B2=D0=BB=D0=B5=D0=BD=D0=B8=D1=8F=20(?= =?UTF-8?q?=D0=A6=D0=A1=D0=A3)=20=D0=B8=20=D0=B5=D1=91=20=D0=B0=D1=80?= =?UTF-8?q?=D1=85=D0=B8=D1=82=D0=B5=D0=BA=D1=82=D1=83=D1=80=D1=8B=20=D0=B2?= =?UTF-8?q?=20=D0=B4=D0=BE=D0=BA=D1=83=D0=BC=D0=B5=D0=BD=D1=82=D0=B0=D1=86?= =?UTF-8?q?=D0=B8=D1=8E?= MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit --- 08.md | 9 +++--- 09.md | 95 +++++++++++++++++++++++++++++++++++++++++++++++++++++++ README.md | 2 +- 3 files changed, 100 insertions(+), 6 deletions(-) create mode 100644 09.md diff --git a/08.md b/08.md index 962a160..f0af588 100644 --- a/08.md +++ b/08.md @@ -84,13 +84,12 @@ SPFS занимается **накоплением** поступающих пр Очищенные списки загружаются на фильтры по протоколу **HTTP** в **отдельный DPI-лист**, отличный от того, в котором выполняется распознавание: -| DPI-лист | Назначение | Behavior | -| ------------------- | -------------------------------------- | -------------------------------------------------------- | -| DPI-лист 0 | Распознавание протоколов (первый этап) | **ignore** — срабатывание фиксируется, но не блокируется | -| DPI-лист 5 (пример) | Блокировка по очищенным спискам из ЦСУ | **block** — трафик блокируется | +| DPI-лист | Назначение | Behavior | +|----------|-----------|----------| +| DPI-лист 0 | Распознавание протоколов (первый этап) | **ignore** — срабатывание фиксируется, но не блокируется | +| DPI-лист 5 (пример) | Блокировка по очищенным спискам из ЦСУ | **block** — трафик блокируется | Таким образом, на одном фильтре **одновременно работают два процесса**: - - в DPI-листе 0 продолжается распознавание новых сессий и отправка логов; - в DPI-листе 5 выполняется блокировка по уже проверенным и очищенным спискам. diff --git a/09.md b/09.md new file mode 100644 index 0000000..036d273 --- /dev/null +++ b/09.md @@ -0,0 +1,95 @@ +# 9. Центральная система управления (ЦСУ) + +[← Оглавление](README.md) · [← Раздел 8: Формирование протокольных списков](08.md) + +--- + +## 9.1. Архитектура: две независимые площадки (основная и резервная) + +Центральная система управления (ЦСУ) — это централизованная платформа, через которую осуществляется управление всеми ТСПУ, развёрнутыми по стране. ЦСУ располагается в **двух независимых ЦОДах**: + +- **Основная площадка** — основной центр обработки данных; +- **Резервная площадка** — дублирующий центр, обеспечивающий отказоустойчивость. + +```text + ┌───────────────────┐ ┌───────────────────┐ + │ Основная площадка │◄───────►│ Резервная площадка │ + │ ЦСУ │ Канал │ ЦСУ │ + │ │ связи │ │ + └────────┬──────────┘ └──────────┬────────┘ + │ │ + │ VPN (криптошлюз «Континент») │ + │ │ + ┌────────┴───────────────────────────────┴────────┐ + │ │ + │ Интернет (публичные каналы) │ + │ │ + └──┬──────┬──────┬──────┬──────┬──────┬──────┬──┘ + │ │ │ │ │ │ │ + ТСПУ ТСПУ ТСПУ ТСПУ ТСПУ ТСПУ ... + площ.1 площ.2 площ.3 площ.4 площ.5 площ.6 +``` + +Обе площадки **связаны между собой** выделенным каналом связи, по которому осуществляется репликация данных и обеспечивается отказоустойчивость. Пользователи (инженеры эксплуатации) также попадают на ЦСУ через **шифрованные VPN-каналы**. + +## 9.2. Связь с ТСПУ через VPN (криптошлюз «Континент») + +Связь между площадками ТСПУ и центральной системой управления осуществляется через **VPN**, построенный на криптошлюзах **«Континент»** (модель IPC-3000 или аналогичная). + +На каждой площадке ТСПУ установлен криптошлюз, который через **публичные интернет-каналы** устанавливает VPN-соединение с более мощной моделью криптошлюза на стороне ЦСУ. Через этот VPN-канал обеспечивается: + +- **Управление устройствами** — доступ к CLI фильтров, балансировщиков, байпасов; +- **Сбор данных** — протокольные логи (gRPC от SPFS), системные логи (syslog), данные мониторинга (SNMP); +- **Распространение списков** — загрузка очищенных списков на фильтры (HTTP) и на Eco Highway (BGP); +- **Обновление ПО** — централизованная загрузка прошивок на оборудование. + +Каждая площадка ТСПУ связана **как с основной, так и с резервной** площадкой ЦСУ, что обеспечивает непрерывность управления при выходе из строя одной из площадок. + +Криптошлюз «Континент» на площадке ТСПУ выступает **шлюзом по умолчанию** для всех устройств сегмента управления (адрес .254 в подсети управления — подробнее в [разделе 10](10.md)). + +## 9.3. Масштаб: ~350 площадок, ~5000 устройств + +На текущем этапе федерального проекта ЦСУ обслуживает: + +| Параметр | Значение | +| --------------------------- | --------------- | +| **Количество площадок ТСПУ** | ~350 | +| **Суммарное количество устройств** | ~5 000 | +| **Типы устройств** | Фильтры, балансировщики, байпасы, SPFS, СПХД | + +Предполагается дальнейшее расширение по мере развития проекта. + +## 9.4. Подсистемы ЦСУ: формирование списков, мониторинг, логирование, картография + +ЦСУ представляет собой **многокомпонентную распределённую систему**, состоящую из нескольких подсистем, каждая из которых выполняет свою задачу: + +| Подсистема | Назначение | +| ----------------------------------- | ------------------------------------------------------------------------------------------- | +| **Формирование списков фильтрации** | Сбор протокольных логов с SPFS на площадках ТСПУ, анализ, формирование очищенных списков и их распространение на фильтры (HTTP) и Eco Highway (BGP) | +| **Мониторинг** | Наблюдение за состоянием оборудования ТСПУ на всех площадках | +| **Логирование** | Сбор и хранение системных журналов с устройств | +| **Картография** | Визуализация размещения оборудования и его состояния | +| **Отчётность (Reports)** | Формирование отчётов о работе системы | + +Архитектура каждой подсистемы, схемы обмена данными и внутренние процессы подробно описаны в отдельном документе — **«Системная архитектура центральной системы управления»**. + +Поддержкой и настройкой ЦСУ занимается **команда DevOps**. Инженеры, обслуживающие ТСПУ, являются **пользователями** ЦСУ — они используют её интерфейсы для мониторинга и управления, но не занимаются настройкой самой системы. Заливка программного обеспечения на ЦСУ также выполняется командой DevOps, тогда как заливка ПО на оборудование ТСПУ выполняется совместно инженерами площадки и разработчиками (ДЦА готовит конфигурации и новое ПО, инженеры на местах выполняют установку). + +## 9.5. Новая ЦСУ для федерального проекта (замена уральской) + +В ходе развития проекта АСБИ существовали **две версии** ЦСУ: + +| Параметр | Уральская ЦСУ (пилот) | Федеральная ЦСУ (новая) | +| ------------------------ | ---------------------------------------- | -------------------------------------------- | +| **Охват** | Уральский регион (пилотный проект) | Вся страна (федеральный проект) | +| **Статус** | Тупиковая ветвь развития | Активная разработка | +| **Функционал** | Ограниченный | Полный (все подсистемы) | +| **Подключение площадок** | Только уральские площадки | Все площадки, включая переподключение Урала | + +ЦСУ, работавшая на уральском пилотном проекте, является **тупиковой ветвью развития** — она не будет развиваться дальше. Для федерального проекта разрабатывается **полностью новая ЦСУ**, к которой будут подключены все площадки ТСПУ по всей стране, включая переподключение уральских площадок с пилотной системы. + +Новая ЦСУ на момент проведения лекции находилась **в процессе разработки** — планировалось, что она начнёт функционировать к ноябрю и будет сдана в декабре. До момента запуска новой ЦСУ мониторинг и управление площадками осуществлялись через существующую (уральскую) систему в ограниченном объёме. + +--- + +[← Оглавление](README.md) · [← Раздел 8: Формирование протокольных списков](08.md) · [Раздел 10: Сегмент управления ТСПУ →](10.md) diff --git a/README.md b/README.md index 503e68b..c2c12f3 100644 --- a/README.md +++ b/README.md @@ -106,7 +106,7 @@ - 8.5. Загрузка очищенных списков обратно на фильтры (HTTP) и на Eco Highway (BGP) - 8.6. Время полного цикла блокировки: ~5–15 минут -### 9. Центральная система управления (ЦСУ) +### [9. Центральная система управления (ЦСУ)](/09.md) - 9.1. Архитектура: две независимые площадки (основная и резервная) - 9.2. Связь с ТСПУ через VPN (криптошлюз «Континент»)