Avanpost FAM/MFA+ : Этап 1. Развёртывание в инфраструктуре

Этап 1. Развёртывание в инфраструктуре

Этап 1. Развёртывание в инфраструктуре

Этап 2. Интеграция с прикладными системами

Этап 3. Настройка функций

Этап 4. Перевод в эксплуатацию

Шаг 1. Ознакомитесь с системными требованиями 

Шаг 2. Установите серверные компоненты системы MFA+

Шаг 3. Выбор и настройка типовых интеграций с ИС 

Шаг 4. Проверка интеграций с ИС

Шаг 5. Выполните загрузку пользователей

Шаг 6. Выбор методов и настройка сценариев аутентификации

Шаг 7. Выполните последовательность действий с шага 1 до шага 6 в продуктивном контуре

Шаг 8. Активируйте лицензию

Предполагается один из 3-х вариантов развёртывания в инфраструктуре.

  1. Минимальное (тестовое) – используется для случаев, когда требуется в максимально сжатые сроки получить развёрнутый стенд для тестирования; не применимо для продуктивного использования;
  2. Стандартное – используется во всех случаях, когда требуется получить типовой экземпляр продукта; применимо для продуктивного использования;
  3. Отказоустойчивое – используется для построения отказоустойчивого или резервированного кластера, состоящего из нескольких экземпляров продукта.

Вариант 1. Минимальное развёртывание (тестовое)

Минимальное развёртывание может быть осуществлено в двух вариантах: 

  • на персональном АРМ
  • на серверной VM

Рекомендуемые системные требования к  программному и аппаратному обеспечению при минимальном развёртывании на виртуальной машине:

VMСерверный компонентПлатформаОперационная системаCPU,ядро*RAM, ГбHDD, Гб
VM1

Компонент Avanpost FAM Server

Docker,
Kubernetes,
любая современная платформа виртуализации (VMWare VSphere 7+, Microsoft Hyper-V и т.д.)
  • Oracle Linux 8; Oracle Linux 9
  • CentOS 7, CentOS 8, CentOS Stream;
  • RHEL 7, RHEL 8
  • Альт (Alt) 8 СП Сервер; Альт Сервер 9, Альт Сервер 10
  • RedОС Сервер 7
  • Astra Linux 1.6 SE, Astra Linux 1.7 SE, Astra Linux 2.11 CE, Astra Linux 2.12 CE;
  • Debian 11, 12, 13.
4430
* За эталонное ядро принято ядро процессора Intel® Xeon® E5-2673 v4 с тактовой частотой 2,3 ГГц

На персональном АРМНа серверной VM
Шаг 3. Подготовка окружения
  1. Убедиться в соответствии персонального АРМа рекомендуемым системным требованиям;
  2. Установить docker-compose в соответствии с инструкцией производителя (ссылка).
  1. Подготовить 1 виртуальную машину, соответствующую рекомендуемым системным требованиям.
Шаг 4. Установка серверных компонентов

Выполнить установку Avanpost FAM Server в варианте минимальной инсталляции через Docker Compose с Nginx

В зависимости от выбранной ОС VM выполнить установку серверного компонента Avanpost FAM Server:

    1. Для ОС Astra Linux/Debian/Ubuntu выполнить установку Avanpost FAM Server в Linux из deb-пакета;
    2. Для ОС RedOS/RHEL/CentOS выполнить установку Avanpost FAM Server в Linux из rpm-пакета;
    3. Для остальных ОС выполнить установку Avanpost FAM Server в Linux из tar.gz-архива.

После выполнения шагов и получения доступа к административной консоли можно перейти к этапу интеграции с прикладными системами.

Вариант 2. Стандартное развёртывание

Стандартное развёртывание включает в себя установку 3 серверных компонентов, которые установлены на 3 виртуальных машинах (VM).

Рекомендуемые системные требования к программному и аппаратному обеспечению при стандартном развёртывании:

 VMСерверный компонентПлатформаОперационная системаCPU,ядро* RAM, ГбHDD, Гб
VM1

Компонент Avanpost FAM Server

Docker,
Kubernetes,
любая современная платформа виртуализации (VMWare VSphere 7+, Microsoft Hyper-V и т.д.)
  • Oracle Linux 8; Oracle Linux 9
  • CentOS 7, CentOS 8, CentOS Stream;
  • RHEL 7, RHEL 8
  • Альт (Alt) 8 СП Сервер; Альт Сервер 9, Альт Сервер 10
  • RedОС Сервер 7
  • Astra Linux 1.6 SE, Astra Linux 1.7 SE, Astra Linux 2.11 CE, Astra Linux 2.12 CE;
  • Debian 11, 12, 13.
 8 8100
VM2

Компонент Avanpost FAM Database

 8 12450
VM3

Компонент Avanpost FAM Mobile Services

 8 8100
* За эталонное ядро принято ядро процессора Intel® Xeon® E5-2673 v4 с тактовой частотой 2,3 ГГц

Примечание: При отсутствии потребности в мобильном аутентификаторе Avanpost Authenticator VM3 можно исключить.


Компонент Avanpost FAM Server

Компонент Avanpost FAM Database

Компонент Avanpost FAM Mobile Services 

Шаг 3. Подготовка окружения
  1. Подготовить VM1, соответствующую рекомендуемым системным требованиям.
  1. Подготовить VM2, соответствующую рекомендуемым системным требованиям.
  1. Подготовить VM3, соответствующую рекомендуемым системным требованиям.
Шаг 4. Установка серверных компонентов

В зависимости от выбранной ОС VM выполнить установку серверного компонента Avanpost FAM Server:

    1. Для ОС Astra Linux/Debian/Ubuntu выполнить установку Avanpost FAM Server в Linux из deb-пакета;
    2. Для ОС RedOS/RHEL/CentOS выполнить установку Avanpost FAM Server в Linux из rpm-пакета;
    3. Для остальных ОС выполнить установку Avanpost FAM Server в Linux из tar.gz-архива.

Выполнить установку серверного компонента Avanpost FAM Database (БД)

В зависимости от выбранной ОС VM выполнить установку серверного компонента Avanpost FAM Mobile Services:

    1. Для ОС Astra Linux/Debian/Ubuntu выполнить установку Avanpost FAM Mobile Services в ОС Linux из deb-пакета
    2. Для ОС RedOS/RHEL/CentOS выполнить установку Avanpost FAM Mobile Services в ОС Linux из rpm-пакета
    3. Для остальных ОС выполнить установку Avanpost FAM Mobile Services в ОС Linux из tar.gz-архива   

После выполнения шагов и получения доступа к административной консоли можно перейти к этапу интеграции с прикладными системами.

Вариант 3. Отказоустойчивое развёртывание

Avanpost FAM может быть развёрнут в виде отказоустойчивого кластера (состоящего, как минимум из 9 виртуальных машин) с использованием решений балансировки нагрузки и репликации баз данных.

Балансировка нагрузки, позволяет обеспечить работу в следующих режимах:

    • Распределение нагрузки между узлами кластера (схема Active-Active) с целью снижения нагрузки на каждый конкретный узел Avanpost FAM Server.
    • Резервирование на случай отказа одного или нескольких узлов путём применения горячего резерва (схема Active-Passive).

Резервирование компонента Avanpost FAM Server обеспечивается путём развёртывания нескольких виртуальных машин, на которых запускается и работает компонент Avanpost FAM Server.

Резервирование при помощи балансировки может быть выполнено целиком для всех функций системы, либо частично. Состав резервируемых функций определяется исходя из требований к экземпляру системы Avanpost FAM (см. балансировка веб-интерфейса, gRPC-интерфейса и RADIUS-интерфейса)

Резервирование компонентов Avanpost FAM Mobile Services может применяться для повышения доступности сервиса MFA с использованием мобильного аутентификатора Avanpost Authenticator. 

Резервирование баз данных обеспечивается путём построения кластера на базе СУБД PostgreSQL с репликацией данных.

Для балансировки нагрузки может быть использован любой балансировщик, обладающий необходимыми функциями:

VMНаименование балансировщикаФункция
VM7 TCP/UDP Load BalancerБалансировка входящего TCP/UDP-трафика, Health Check для TCP/UDP-трафика с отключением вышедшего из строя узла Avanpost FAM Server или узла Avanpost FAM Mobile Services
VM8DB Load BalancerБалансировка трафика к БД PostgreSQL
VM9TCP/UDP DMZ Load BalancerБалансировка входящего TCP/UDP-трафика для DMZ-компонентов

Примечание: При использовании одного экземпляра балансировщика для узла Avanpost FAM Server и узла Avanpost FAM Mobile Services VM9 можно исключить

Рекомендуемые системные требования к программному и аппаратному обеспечению при отказоустойчивого развёртывания:

 VMСерверный компонент

Платформа

Операционная система

 RAM, Гб

 CPU,ядро*

HDD, Гб

VM1, VM2

Компонент Avanpost FAM Server

Docker, Kubernetes, любая современная платформа виртуализации (VMWare VSphere 7+, Microsoft Hyper-V и т.д.) 

 

 

 

  • Oracle Linux 8; Oracle Linux 9
  • CentOS 7, CentOS 8, CentOS Stream;
  • RHEL 7, RHEL 8
  • Альт (Alt) 8 СП Сервер; Альт Сервер 9, Альт Сервер 10
  • РедОС Сервер 7
  • Astra Linux 1.6 SE, Astra Linux 1.7 SE, Astra Linux 2.11 CE, Astra Linux 2.12 CE;
  • Debian 11, 12, 13.
 8 8100

VM3, VM4

Компонент Avanpost FAM Database

 12 8450

VM5, VM6

Компонент Avanpost FAM Mobile Services 

 8 8100
* За эталонное ядро принято ядро процессора Intel® Xeon® E5-2673 v4 с тактовой частотой 2,3 ГГц

Примечание: При отсутствии потребности в мобильном аутентификаторе Avanpost Authenticator VM5 и VM6 можно исключить .


Компонент Avanpost FAM Server

Компонент Avanpost FAM Database

Компонент Avanpost FAM Mobile Services

Балансировщик нагрузки (Load Balancer)

Шаг 3. Подготовка окружения

  1. Подготовить 2 виртуальные машины (VM), соответствующие рекомендуемым системным требованиям.
  1. Подготовить 2 виртуальные машины (VM), соответствующие рекомендуемым системным требованиям.
  1. Подготовить 2 виртуальные машин (VM), соответствующие рекомендуемым системным требованиям. 
  1. Подготовить 3 виртуальные машины (VM), соответствующую рекомендуемым системным требованиям.

Шаг 4. Установка серверных компонентов

  1. В зависимости от выбранной ОС VM выполнить установку серверного компонента Avanpost FAM Server:
    1. Для ОС Astra Linux/Debian/Ubuntu выполнить установку Avanpost FAM Server в Linux из deb-пакета;
    2. Для ОС RedOS/RHEL/CentOS выполнить установку Avanpost FAM Server в Linux из rpm-пакета;
    3. Для остальных ОС выполнить установку Avanpost FAM Server в Linux из tar.gz-архива.
  2. Выполнить балансировку веб-интерфейсов, нагрузки gRPC и RADIUS протокола согласно инструкции 4.2.5. Установка FAM Server в отказоустойчивом (кластерном) исполнении.
Выполнить установку серверного компонента Avanpost FAM Database (БД) в отказоустойчивом (кластерном) исполнении

В зависимости от выбранной ОС VM выполнить установку серверного компонента Avanpost FAM Mobile Services:

    1. Для ОС Astra Linux/Debian/Ubuntu выполнить установку Avanpost FAM Mobile Services в ОС Linux из deb-пакета
    2. Для ОС RedOS/RHEL/CentOS выполнить установку Avanpost FAM Mobile Services в ОС Linux из rpm-пакета
    3. Для остальных ОС выполнить установку Avanpost FAM Mobile Services в ОС Linux из tar.gz-архива   


После выполнения шагов и получения доступа к административной консоли можно перейти к этапу интеграции с прикладными системами.

Обсуждение