Статья содержит порядок подготовки сервера с ОС Astra Linux Special Edition для установки платформы и настройки узлов кластера.
Если на сервере уже установлена ОС Astra Linux, переустановите ОС и выполните её настройку по инструкциям из этой статьи.
Установка ОС
Вы можете использовать один диск для ОС и платформы либо установить ОС на отдельный диск.
При установке операционной системы:
- На шаге Установка базовой системы выберите Ядро для установки — linux-5.15-generic или linux-6.1-generic.
- На шаге Выбор программного обеспечения:
- Выберите следующие компоненты:
- Средства Виртуализации.
- Консольные утилиты.
- Средства удаленного подключения SSH.
- Убедитесь, что остальные компоненты отключены.
- Выберите следующие компоненты:
- На шаге Дополнительные настройки ОС:
- Выберите уровень защищенности "Орел" или "Воронеж".
- Убедитесь, что отключены опции:
- Замкнутая программная среда.
- Запрет установки бита исполнения.
-
Запрет исполнения скриптов пользователя.
Если вы выбрали уровень защищённости "Воронеж", рекомендуем отключить опцию "Очистка освобождаемой внешней памяти". Эта опция значительно увеличивает нагрузку на CPU и время выполнения некоторых операций.
Настройка ОС на сервере с платформой
-
Перейдите в режим суперпользователя:
sudo su -
-
Настройте список источников в файле /etc/apt/sources.list:
-
для установки в закрытом контуре в файле должны быть закомментированы все строки, кроме:
deb cdrom:[OS Astra Linux <номер версии> 1.7_x86-64 DVD]/ 1.7_x86-64 contrib main non-free
-
для установки в открытом контуре в файле должны быть раскомментированы все строки, кроме:
deb cdrom:[OS Astra Linux <номер версии> 1.7_x86-64 DVD]/ 1.7_x86-64 contrib main non-free deb https://download.astralinux.ru/astra/stable/1.7_x86-64/uu/last/repository-update/ 1.7_x86-64 main contrib non-free
-
-
В файле /etc/network/interfaces настройте сетевую конфигурацию со статическим IP-адресом:
Пример конфигурацииauto lo iface lo inet loopback auto eth0 iface eth0 inet static address 192.168.1.10 netmask 255.255.255.0 gateway 192.168.1.254
-
Если платформа будет использоваться в открытом информационном контуре (с доступом к Интернет), создайте файл /etc/resolv.conf и укажите в нём настройки DNS-серверов:
Пример настройкиnameserver 77.88.8.8 nameserver 1.1.1.1 options timeout:1 options attempts:2
-
Перезапустите службу networking:
sudo systemctl restart networking
- Проверьте доступность сети.
Настройка системного времени
Настройте синхронизацию системного времени с NTP-сервером на сервере платформы и узлах кластера. Подробнее см. в документации Astra Linux.
Настройка сети на узлах кластера
-
В файле /etc/network/interfaces настройте сетевую конфигурацию. Примеры конфигураций:
Минимальная конфигурация без бриджей и бондовКонфигурация с бриджем и интерфейсом во VLANКонфигурация с бондом во VLAN в режиме active-backupКонфигурация в режиме balance-alb с VLANКонфигурация с бондом и бриджем в режиме LACP (802.3ad)Конфигурация с бондом и бриджем в режиме LACP (802.3ad) c интерфейсом во VLANПодробнее о сетевых настройках см. в статьях Настройки сети на узле кластера, Режимы работы бондов.
-
Перезапустите службу networking:
sudo systemctl restart networking
-
Проверьте настройки сети:
ip -c a
- Проверьте доступность узла со стороны сервера с платформой.
При добавлении узла платформа:
- Импортирует настройки сетевых интерфейсов из файла /etc/network/interfaces в сервис NetworkManager.
- Отправляет ICMP-запросы на проверочный IP-адрес, заданный в настройках кластера:
- если IP-адрес недоступен, возвращает исходные сетевые настройки;
- если проверка прошла успешно, выполняет настройку сети.
После настройки сети в файле /etc/network/interfaces остаётся только конфигурация loopback-интерфейса (lo). Дальнейшую настройку сети на узле кластера рекомендуется выполнять через интерфейс платформы или утилиту nmcli. При добавлении записей в файл /etc/network/interfaces возможен конфликт сетевых настроек.
Если на добавляемом узле кластера был вручную создан бридж или бонд, этот интерфейс будет отображаться в платформе как неуправляемый. Его нельзя отредактировать и удалить через интерфейс платформы.
Если узел был добавлен в платформе с версией ниже 2023.07.1, то его конфигурация будет перенесена в NetworkManager только после изменения настроек сети (например, добавления интерфейса) через интерфейс платформы.
Настройка подключения к узлам кластера
Раздел содержит инструкции, которые необходимо выполнить, чтобы платформа могла корректно подключаться к узлам кластера. Авторизация платформы на узлах кластера осуществляется по SSH-ключу.
Уровень защищённости "Орёл"
- Добавьте публичный SSH-ключ сервера с платформой в файл /home/<username>/.ssh/authorized_keys, где <username> — имя пользователя, под которым платформа будет подключаться к серверу. Содержимое публичного ключа можно посмотреть в интерфейсе платформы на форме добавления узла кластера: раздел Узлы → кнопка Подключить узел → кнопка Хочу использовать публичный ssh-ключ.
-
Установите права для файла /home/<username>/.ssh/authorized_keys:
sudo chmod 600 /home/<username>/.ssh/authorized_keys
sudo chown <username> /home/<username>/.ssh/authorized_keys
Пояснения к команде - Проверьте права доступа на файл /home/<username>/.ssh/authorized_keys. Файл должен быть доступен на чтение и запись для пользователя, под которым платформа будет подключаться к серверу.
-
В файле /etc/sudoers разрешите выполнение команд от имени суперпользователя:
%astra-admin ALL=(ALL:ALL) NOPASSWD: ALL %sudo ALL=(ALL:ALL) NOPASSWD: ALL
- Подключите узел кластера по инструкции из статьи Управление серверами кластера.
-
Настройте права пользователя для подключения:
sudo usermod -a -G astra-admin,kvm,libvirt,libvirt-qemu,libvirt-admin <username>
Пояснения к командам
Уровень защищённости "Воронеж"
Для создания ВМ с ОС Windows платформа использует директорию /opt/ispsystem/vm/tmp. В этой директории создаётся временный конфигурационный файл для установки ОС. После установки ОС файл удаляется.
Платформа автоматически создаст эту директорию и установит необходимые мандатные атрибуты при подключении узла.
-
Убедитесь, что службы astra-sudo-control, astra-nochmodx-lock, astra-interpreters-lock отключены:
sudo astra-sudo-control disable
sudo astra-nochmodx-lock disable
sudo astra-interpreters-lock disable
-
Создайте директорию для хранения ВМ (например, /vm) и установите для неё мандатные атрибуты:
sudo mkdir /vm && sudo pdpl-file 0:63:0:ccnr /vm
Пояснения к команде - Добавьте в файл /home/<username>/.ssh/authorized_keys публичный SSH-ключ сервера с платформой. Содержимое публичного ключа можно посмотреть в интерфейсе платформы на форме добавления узла кластера: Узлы → Подключить узел → кнопка Хочу использовать публичный ssh-ключ.
-
Установите права для файла /home/<username>/.ssh/authorized_keys:
sudo chmod 600 /home/<username>/.ssh/authorized_keys
sudo chown <username> /home/<username>/.ssh/authorized_keys
Пояснения к командам - Проверьте права доступа на файл /home/<username>/.ssh/authorized_keys. Файл должен быть доступен на чтение и запись для пользователя, под которым платформа будет подключаться к серверу.
-
В файле /etc/sudoers разрешите выполнение команд от имени суперпользователя:
%astra-admin ALL=(ALL:ALL) NOPASSWD: ALL %sudo ALL=(ALL:ALL) NOPASSWD: ALL
- Подключите узел кластера по инструкции из статьи Управление серверами кластера.
-
Настройте права пользователя для подключения:
sudo usermod -a -G astra-admin,kvm,libvirt,libvirt-qemu,libvirt-admin <username>
sudo pdpl-user -i 63 <username>
Пояснения к команде