IT999in1

• *Этап 1 Проверка, подготовка. Для инсталляции СУБД Tantor необходимо удостовериться, что версия

операционной системы соответствует документации по развертыванию продукта. === Для практики нам понадобится 6 виртуальных сервера === c предустановленной ОС ALSE 1.8 и сетевой связанностью. Например имена хостов: * tplatform.example – сервер для палатформы Tantor (4 cpu / 8гб ram / 40гб HDD) * db1 db2 db3 – сервера для СУБД по (2 cpu / 2гб ram / 20гб HDD) * haproxy1 haproxy2 – для балансировщика по (2 cpu / 2гб ram / 20гб HDD) Для платформы Tantor обязательно домен второго уровня, так как при установке дистрибутива в запросах инсталятора будет просить DNS имя которое после установки будет использоваться адрестной строке браузера для доступа к графическому интерфейса Если планируете проходить практику на своем стенде, то для создания ВМ платформы Tantor обязательно используем host-passthrough в настройках ВМ гипервизора (прямой доступ к аппаратным ресурсам процессора) с доступам к инструкциям sse и avx. Иначе не заработает модуль Advanced analytics Как проверить что все хорошо - на вывод команд в CLI на хосте tplatform Обе инструкции должны выводить ответ: <code> lscpu | grep -i sse lscpu | grep -i avx </code> После создания ВМ подключаемся к серверам по ssh. === Пример в нашем практикуме через bastion хост: === <code> ssh -i /<путь где лежит ключ>/<XX.key> tantor@<Внешний IP> </code> <code> ssh -i /home/test/.shh/00.key -p 2222 tantor@62.62.62.62 </code> Далее с bastion подключаемся на хосты tplatform, db1, db2, db3, haproxy1, haproxy2 !!! В рамках практикума подключение без пароля к хостам внутри стенда можно выполнять только с bastion, между узлами недоступно. <code> ssh tplatform ssh db1 ssh db2 ssh db1 ssh haproxy1 ssh haproxy2 </code> === Прибивка статики ip на хостах (!! На стендах практикума делать не нужно). === На этапе подготовки важно, чтобы IP на хостах не менялись, так как Платформа Tantor будет подключать агентов по IP На стендах практикума это уже сделано, но приводим пример как это настроить через CLI linux. Убедиться, что используется interfaces или NetworkManager. NetworkManager – более современный менеджер сетей. Обычно он идет в комплекте с графическими окружениями Linux. —- NetworkManager включен, он может игнорировать interfaces. —- <code> nmcli device status </code> Смотрим вывод в колонке STATE, если без управления, переходим в настройку interfaces Если да, в таком случае настройки лучше делать через <code>nmcli</code> (утилита терминале) Установить статический IP на eth0 <code> sudo nmcli con add type ethernet con-name «my-eth» ifname eth0 ipv4.method manual ipv4.addresses 10.2.0.11/24 ipv4.gateway 10.2.0.1 ipv4.dns «10.2.0.254» ipv4.dns-search «example.dn» </code> Активировать подключение <code> sudo nmcli con up «my-eth» </code> или <code>nmtui</code> (текстовый интерфейс) в песевдографике терминала. —- Настройка interfaces. —- Редактируем фал настроек сетевого интерфейса пример: <code> sudo nano /etc/network/interfaces </code> <file> auto lo iface lo inet loopback auto eth0 iface eth0 inet static address 10.2.0.11 network 10.2.0.0 netmask 255.255.255.0 ## или 24 gateway 10.2.0.1 mtu 1420 dns-nameservers 10.2.0.254 dns-search example.dn ## суфикс как пример source /etc/network/interfaces.d/*.cfg </file> Проверить синтаксис файла (опционально) без отключения loopback <code> sudo ifdown -a –exclude=lo && sudo ifup -a </code> Перезагрузка сервиса networking для применения конфигурации <code> sudo systemctl restart networking </code> === Проверяем версии ОС Astra Linux и уровня защищенности на всех узлах. === <code> cat /etc/astra_license cat /etc/astra/build_version </code> Режимы защищенности Astra Linux (0 - Орел, 1 - Воронеж, 2 - Смоленск) Проверить уровень защищенности ОС согласно требования заказчика: <code> sudo astra-modeswitch get sudo astra-modeswitch getname </code> если необходимо сменить уровень защищенности, при условии, что у заказчика имеется лицензия на Astra Linux server (1 - Воронеж или 2 - Смоленск). <code> sudo astra-modeswitch set 0 ## или 1 или 2 sudo reboot ## перезагрузить ОС </code> === Просмотр подключенных репозиториев для получения или обновления пакетов и ОС. === <code> grep -r ^deb /etc/apt/sources.list /etc/apt/sources.list.d </code> Для каждой версии ОС используются свои публичные интернет репозитории, читайте тех док к ОС. https://docs.astralinux.ru/1.7/guide/compound/repo https://docs.astralinux.ru/1.8/guide/compound/repo стандартные путь сслылок на публичные репозитории для ОС описаны тут: <code> sudo nano /etc/apt/sources.list </code> или <code> sudo apt edit-sources </code> Как правило указаны frozen ветки /uu/* оперативного обновления для то го, чтобы не произошло непреднамеренного обновление на самую последнюю версию ОС по ветке, которая может привести к не стабильной работе ПО Tantor. для получения более свежего релиза пакетов достаточно сменить uu/1 на uu/2, сохранить. В закрытом сегменте заказчика используются свои репозитории или ISO образы с личного кабинета Астра. <code> deb https://download.astralinux.ru/astra/frozen/1.8_x86-64/1.8.1/uu/2/extended-repository/ 1.8_x86-64 main non-free non-free-firmware contrib deb https://download.astralinux.ru/astra/frozen/1.8_x86-64/1.8.1/uu/2/main-repository/ 1.8_x86-64 main non-free non-free-firmware contrib </code> Затем выполнить обновление списка пакетов <code> sudo apt update </code> Если необходимо обновить всю ОС в зависимости от ситуации и требования заказчика. <code> sudo apt dist-upgrade </code> Проверяем на всех хостах, что все необходимые локали присутсвуют в системе. <code> locale -a ## смотрим какие уже скопмилированы sudo nano /etc/locale.gen ## убрать комментарий en_US.UTF-8 и ru_RU.utf8 sudo locale-gen </code> === Проверим файл hosts и имена для каждого из хостов. === Вывод имени хоста <code> hostname -f </code> Изменить имя хоста, если необходимо на каждом сервере свое <code> sudo hostnamectl set-hostname <новое_имя_хоста> </code> Внести список хостов на каждом сервере и сохранить, если нет DNS сервера в сети. Но в целом это хорошая практика, если даже DNS сервер есть, его аварии не исключены. <code> sudo nano /etc/hosts </code> Пример: <file> 10.2.0.2 tplatform.example tplatform 10.2.0.11 db1 10.2.0.12 db2 10.2.0.13 db3 10.2.0.21 haproxy1 10.2.0.22 haproxy2 </file> Проверим <code> cat /etc/hosts </code> === Установка утилит и пакетов. === На все хосты устанавливаем <code> sudo apt install htop iperf wget chrony nmap bash-completion -y </code> Зависимости нужны для Tantor СУБД на хостах db1 db2 db3 sudo apt install libllvm13 libpython3.11 libxsldb1.1 libz3-4 lsof apt-transport-https gnupg -y При установке пакета СУБД Tantor их сам запросит и установит через сетевой репозиторий. На хосте tplatform устанавливаем графику и браузер, а также Docker не менее 20.10.13 версии <code> sudo apt install docker.io docker-compose firefox xrdp fly-all-main -y </code> Проверить Docker версию на хосте tplatform <code> docker -v && docker-compose -v </code> Полный вывод <code> docker version docker-compose version </code> === Cлужба синхронизации времени, Выполняем на всех хостах. === Ставим автозагрузку службы <code> sudo systemctl enable chrony </code> Проверка статуса <code> sudo systemctl status chrony sudo chronyc tracking ## проверка текущего состояния sudo chronyc sources -v ## список NTP-серверов sudo chronyc makestep ## немедленная корректировка времени </code> В Chrony список серверов задаётся в конфигурационном файле /etc/chrony/chrony.conf После редактирования перезапустит службу sudo systemctl restart chrony <code> timedatectl ## вывести текущий часовой пояс и время timedatectl list-timezones ## вывести варианты ЧП sudo timedatectl set-timezone <название_часового_пояса> </code> === Проверка сетевой доступности портов согласно таблице из презентации === На узле СУБД утилита iperf запускается в режиме сервера (ключ -s), по умолчанию используется протокол TCP, выбран порт 5432 (ключ -p) Пример проверки порта запускаем iperf в режиме сервера на хостах СУБД db1 db2 db3 <code> iperf -s -p 5432 </code> На tplatform запускается в режиме клиента (указывается узлы СУБД по очереди) <code> iperf -p 5432 -c db1 iperf -p 5432 -c db2 iperf -p 5432 -c db3 </code> или через утилиту nmap: -sT - проверка по протоколу TCP -p - номер, проверяемого порта <IP адрес> - адрес проверяемого узла Пример, проверяем доступность порта db1, команду выполняем например с узла tplatform <code> sudo nmap -sT -p 5432 db1 sudo nmap -sT -p 5432 db2 sudo nmap -sT -p 5432 db3 </code> Посмотреть табличку с портами на каждом хосте, когда все развернете.**

ss -ntlup