10fb7f4e18
- Раздел 22: Балансировщик: мониторинг и диагностика - Раздел 23: Распознавание протоколов (DPI Engine) - Раздел 24: Траблшутинг Каждый раздел включает команды, описания и практические примеры для диагностики и мониторинга работы балансировщика и системы фильтрации.
11 KiB
9. Центральная система управления (ЦСУ)
← Оглавление · ← Раздел 8: Формирование протокольных списков
9.1. Архитектура: две независимые площадки (основная и резервная)
Центральная система управления (ЦСУ) — это централизованная платформа, через которую осуществляется управление всеми ТСПУ, развёрнутыми по стране. ЦСУ располагается в двух независимых ЦОДах:
- Основная площадка — основной центр обработки данных;
- Резервная площадка — дублирующий центр, обеспечивающий отказоустойчивость.
┌───────────────────┐ ┌───────────────────┐
│ Основная площадка │◄───────►│ Резервная площадка │
│ ЦСУ │ Канал │ ЦСУ │
│ │ связи │ │
└────────┬──────────┘ └──────────┬────────┘
│ │
│ VPN (криптошлюз «Континент») │
│ │
┌────────┴───────────────────────────────┴────────┐
│ │
│ Интернет (публичные каналы) │
│ │
└──┬──────┬──────┬──────┬──────┬──────┬──────┬──┘
│ │ │ │ │ │ │
ТСПУ ТСПУ ТСПУ ТСПУ ТСПУ ТСПУ ...
площ.1 площ.2 площ.3 площ.4 площ.5 площ.6
Обе площадки связаны между собой выделенным каналом связи, по которому осуществляется репликация данных и обеспечивается отказоустойчивость. Пользователи (инженеры эксплуатации) также попадают на ЦСУ через шифрованные VPN-каналы.
9.2. Связь с ТСПУ через VPN (криптошлюз «Континент»)
Связь между площадками ТСПУ и центральной системой управления осуществляется через VPN, построенный на криптошлюзах «Континент» (модель IPC-3000 или аналогичная).
На каждой площадке ТСПУ установлен криптошлюз, который через публичные интернет-каналы устанавливает VPN-соединение с более мощной моделью криптошлюза на стороне ЦСУ. Через этот VPN-канал обеспечивается:
- Управление устройствами — доступ к CLI фильтров, балансировщиков, байпасов;
- Сбор данных — протокольные логи (gRPC от SPFS), системные логи (syslog), данные мониторинга (SNMP);
- Распространение списков — загрузка очищенных списков на фильтры (HTTP) и на Eco Highway (BGP);
- Обновление ПО — централизованная загрузка прошивок на оборудование.
Каждая площадка ТСПУ связана как с основной, так и с резервной площадкой ЦСУ, что обеспечивает непрерывность управления при выходе из строя одной из площадок.
Криптошлюз «Континент» на площадке ТСПУ выступает шлюзом по умолчанию для всех устройств сегмента управления (адрес .254 в подсети управления — подробнее в разделе 10).
9.3. Масштаб: ~350 площадок, ~5000 устройств
На текущем этапе федерального проекта ЦСУ обслуживает:
| Параметр | Значение |
|---|---|
| Количество площадок ТСПУ | ~350 |
| Суммарное количество устройств | ~5 000 |
| Типы устройств | Фильтры, балансировщики, байпасы, SPFS, СПХД |
Предполагается дальнейшее расширение по мере развития проекта.
9.4. Подсистемы ЦСУ: формирование списков, мониторинг, логирование, картография
ЦСУ представляет собой многокомпонентную распределённую систему, состоящую из нескольких подсистем, каждая из которых выполняет свою задачу:
| Подсистема | Назначение |
|---|---|
| Формирование списков фильтрации | Сбор протокольных логов с SPFS на площадках ТСПУ, анализ, формирование очищенных списков и их распространение на фильтры (HTTP) и Eco Highway (BGP) |
| Мониторинг | Наблюдение за состоянием оборудования ТСПУ на всех площадках |
| Логирование | Сбор и хранение системных журналов с устройств |
| Картография | Визуализация размещения оборудования и его состояния |
| Отчётность (Reports) | Формирование отчётов о работе системы |
Архитектура каждой подсистемы, схемы обмена данными и внутренние процессы подробно описаны в отдельном документе — «Системная архитектура центральной системы управления».
Поддержкой и настройкой ЦСУ занимается команда DevOps. Инженеры, обслуживающие ТСПУ, являются пользователями ЦСУ — они используют её интерфейсы для мониторинга и управления, но не занимаются настройкой самой системы. Заливка программного обеспечения на ЦСУ также выполняется командой DevOps, тогда как заливка ПО на оборудование ТСПУ выполняется совместно инженерами площадки и разработчиками (ДЦА готовит конфигурации и новое ПО, инженеры на местах выполняют установку).
9.5. Новая ЦСУ для федерального проекта (замена уральской)
В ходе развития проекта АСБИ существовали две версии ЦСУ:
| Параметр | Уральская ЦСУ (пилот) | Федеральная ЦСУ (новая) |
|---|---|---|
| Охват | Уральский регион (пилотный проект) | Вся страна (федеральный проект) |
| Статус | Тупиковая ветвь развития | Активная разработка |
| Функционал | Ограниченный | Полный (все подсистемы) |
| Подключение площадок | Только уральские площадки | Все площадки, включая переподключение Урала |
ЦСУ, работавшая на уральском пилотном проекте, является тупиковой ветвью развития — она не будет развиваться дальше. Для федерального проекта разрабатывается полностью новая ЦСУ, к которой будут подключены все площадки ТСПУ по всей стране, включая переподключение уральских площадок с пилотной системы.
Новая ЦСУ на момент проведения лекции находилась в процессе разработки — планировалось, что она начнёт функционировать к ноябрю и будет сдана в декабре. До момента запуска новой ЦСУ мониторинг и управление площадками осуществлялись через существующую (уральскую) систему в ограниченном объёме.
← Оглавление · ← Раздел 8: Формирование протокольных списков · Раздел 10: Сегмент управления ТСПУ →