Закрытый контур на Astra Linux без SSL

Внимание

Дисклеймер.

Инструкция содержит примерный порядок действий по установке. Инструкция призвана описать логику действий по установке на простом абстрактном примере. В зависимости от инфраструктуры сервера (кластера) и его конфигурации вам могут понадобиться дополнительные или иные шаги.

Эта инструкция не должна восприниматься буквально, а использоваться в качестве основы действий.

При старте системы требуется проверить backend лог на предмет ошибок ERROR. В случае их наличия - обратитесь к разработчику.

Примечание

Ниже приведен пример установки системы в закрытом контуре (без интернета) на Astra Linux 1.7.X "Смоленск" без использования авторизации и SSL для Opensearch.

Примечание

Ограничьте права доступа на файл backend properties. Сервер приложений должен иметь права только на чтение файла. Администратор должен иметь права на чтение и редактирование. Также рекомендуется ограничить доступ ко всей директории с конфигурацией, оставив доступ на чтение и редактирование только серверу приложений и администратору.

Установка JAVA

Примечание

Java требуется установить на всех серверах, где планируется запускать Opensearch, Tomcat.

Все пакеты, необходимые для корректной установки openJDK, располагаются в каталоге Java.

Для установки Java:

Перейдите в директорию Java.
Распакуйте содержимое архива с установочными пакетами.
В распакованном каталоге выполните команду:
```
sudo dpkg -i *.deb
```

Установка Opensearch

Для установки Opensearch:

Перейдите в каталог Opensearch и используйте команду:
```
sudo dpkg -i *.deb
```

Установка словарей

Скопируйте директорию ./<OFFLINE_REP>/Opensearch/hunspell в /etc/opensearch/:

sudo env OPENSEARCH_INITIAL_ADMIN_PASSWORD=<custom-admin-password> dpkg -i opensearch-2.17.0-linux-x64.deb

Выдайте права для новой директории:
```
sudo chown -R root:opensearch /etc/opensearch/hunspell/
```

См. также инструкцию по настройке библиотеки Hunspell.

Установка плагина

Выполните команду с указанием полного пути до архива analysis-icu-*.zip:

sudo /usr/share/opensearch/bin/opensearch-plugin install file:///opt/OFFLINE_REP/Opensearch/analysis-icu-2.14.0.zip

# если вы в директории с файлом analysis-icu-*.zip
# sudo /usr/share/opensearch/bin/opensearch-plugin install file://`pwd`/analysis-icu-2.14.0.zip

Результат выполнения команды будет иметь вид:
```
-> Installed analysis-icu with folder name analysis-icu
```

Конфигурация Opensearch

Очистите файл конфигурации и откройте следующий файл с помощью любого редактора:

sudo cp -i /etc/opensearch/opensearch.yml /etc/opensearch/opensearch.yml_default
> /etc/opensearch/opensearch.yml # очистка файла
sudo vi /etc/opensearch/opensearch.yml

Укажите параметр cluster.name, например:
```
cluster.name: dg-os-cluster
```

Имя кластера будет использоваться в настройках приложения для подключения. Каждый параметр в файле указываем с новой строки.

По умолчанию Opensearch прослушивает только localhost, если приложение Tomcat устанавливается на другой сервер, и/или Opensearch будет использоваться в кластере, то необходимо разрешить подключения с других интерфейсов, указав параметр:
```
network.host: 0.0.0.0
```
Также необходимо открыть порт 9200 для нод/приложений, которые будут подключаться к Opensearch.
Если планируется использование только одной ноды Opensearch - укажите параметр:
```
discovery.type: single-node
```

Укажите каталог для логов и данных:

path.data: /var/lib/opensearch
path.logs: /var/log/opensearch

Если не требуется SSL шифрование и авторизация, то укажите параметр:
```
plugins.security.disabled: true
```

Пример итогового файла opensearch.yml для запуска Opensearch на одной ноде без ssl и авторизации:

cluster.name: dg-os-cluster
network.host: 0.0.0.0
discovery.type: single-node
path.data: /var/lib/opensearch
path.logs: /var/log/opensearch
plugins.security.disabled: true

Настройка кластера Opensearch

Примечание

Приведен пример конфигурации без использования ssl

Для кластерной конфигурации и использования нескольких серверов Opensearch в файле /etc/opensearch/opensearch.yml на каждом сервере измените ряд настроек:

Задайте уникальный node.name для каждой ноды кластера Opensearch:

# для первого сервера:
node.name: node01

# для N сервера
# node.name: nodeN

Перечислите все Hostname или ip серверов, которые планируется соединить в кластер в следующих параметрах:
```
cluster.initial_master_nodes: ["10.10.24.90","10.10.24.91", "10.10.24.92"]
discovery.seed_hosts: ["10.10.24.90", "10.10.24.91", "10.10.24.92"]
```
Закомментируйте или уберите следующий параметр, т.к. он противоречит кластерной настройке:
```
#discovery.type: single-node
```

Серверы кластера Opensearch взаимодействуют между собой, используя порт 9300, который должен быть открыт между ними.

Настройки потребления RAM Opensearch

Необходимо настроить объем выделяемого ОЗУ в файле /etc/opensearch/jvm.options. Действие выполняется на каждом узле кластера.

Значения выделяемой ОЗУ не должно быть более 50% от общего объема RAM (при условии, что на сервере не устанавливаются другие ресурсоемкие приложения) и не более 32 Гб. Xms должен быть равен Xmx. В примере, указанном ниже, значение равно 16 Гб:

-Xms16g
-Xmx16g

Запуск Opensearch

Обновите службы:
```
sudo systemctl daemon-reload
```
Добавьте Opensearch в автозагрузку:
```
sudo systemctl enable opensearch.service
```

Запустите Opensearch:

sudo systemctl start opensearch.service

Проверьте статус:

sudo systemctl status opensearch.service

Проверка запуска Opensearch

Проверьте ноды Opensearch:
```
curl -X GET '127.0.0.1:9200'
```

Проверьте статус кластера:

curl -XGET 'localhost:9200/_cluster/health?pretty'

Примечание

Важно, чтобы "status" = "green", а имя статуса и количество нод совпадали с настроенным значением

Установка PostgresPRO 15 из ISO-образа

Все пакеты, необходимые для корректной установки, располагаются в директории Postgresql.

Для установки postgresql:

Создайте каталог для размещения репозитория:
```
sudo mkdir -p /srv/repo/postgrespro/main
```
Подготовьте образ установочного диска (если на компьютере нет каталога /media/cdrom - создайте его):
```
[ -d /media/cdrom ] || sudo mkdir /media/cdrom
sudo mount /opt/PostgresProStdCert-11.21.2+14.9.2+15.4.2.iso /media/cdrom
```
Скопируйте файлы из образа в каталог репозитория:
```
sudo cp -a /media/cdrom/* /srv/repo/postgrespro/main
```
Размонтируйте ISO-образ диска:
```
sudo umount /media/cdrom
```

Подключите файловый локальный репозиторий в менеджер пакетов:

# Отредактируйте файл
vi /etc/apt/sources.list

# Добавьте строку
deb file:/srv/repo/postgrespro/main/astra-smolensk/1.7 1.7_x86-64 main

Добавьте ключ:

apt-key add /srv/repo/postgrespro/main/keys/GPG-KEY-POSTGRESPRO
apt update

Установите PostgresPRO 15:

apt install postgrespro-std-15
systemctl status postgrespro-std-15.service

Проверите запуск:
```
sudo -u postgres psql -c 'select version()'
```
Каталог базы по умолчанию находится в /var/lib/pgpro/std-15, приложение устанавливается в /opt/.

Установка TimescaleDB из исходников для PostgresPRO

Примечание

Требуется лицензированный дистрибутив PostgresPRO, предоставленный вендором, поскольку открытый репозиторий не подходит.

Проверьте версию PostgresPRO (в примере используется версия 15.4):

sudo su postgres psql
# postgres=# select version();
# PostgreSQL 15.4 on x86_64-pc-linux-gnu, compiled by gcc (AstraLinuxSE 8.3.0-6) 8.3.0, 64-bit

Установите необходимое ПО:

apt install git
apt install cmake
apt install postgrespro-std-15-libs postgrespro-std-15-dev postgrespro-std-15-client

Добавьте специальный pg_config, т.к. для PRO версии стандартный не подходит:
```
/opt/pgpro/std-15/bin/pg-wrapper links update
```

Скачайте TimescaleDB:

cd /opt/ && git clone https://github.com/timescale/timescaledb
cd /opt/timescaledb

Переключите версию на 2.10, т.к это минимальная версия для 15 postgres:
```
git checkout 2.10.1
```
Запустите сборку:
```
./bootstrap
cd ./build && make
```
Запустите установку:
```
make install
```
Отредактируйте postgresql.conf, добавляя минимальные для запуска конфиги, и перезапустите Postgres PRO:
```
shared_preload_libraries = 'timescaledb'
timescaledb.telemetry_level=off
```
Запустите psql и проверьте создание расширения (в примере создана база, которая может быть удалена после проверки):
```
sudo su postgres psql

CREATE database tmp_example_tdb;
\c tmp_example_tdb
CREATE EXTENSION IF NOT EXISTS timescaledb;
```

Проверкой успешной установки может являться выполненный запрос:

INSERT INTO org_unidata_mdm_timelog_core.dg_quality_check(
     score, row_exception, check_etalon_id, execution_date, author, created_at, check_type_name, row_count, ts)
     VALUES (100, 100, 'test', null, 'test', null, 'test', 10, now());

Установка Tomcat

Для запуска Tomcat требуется Java (описание установки см. выше).

Для установки:

Создайте пользователя для запуска tomcat:
```
sudo useradd -r tomcat -s /sbin/nologin
```
Распакуйте дистрибутив из каталога apache-tomcat-9.0.x.tar.gz в каталог /opt/.
Переименуйте каталог /opt/apache-tomcat-9.0.x в /opt/tomcat-9 (версия может отличаться).
Удалите стандартные файлы и каталоги Manager App, которые могут содержаться в дистрибутиве tomcat из каталога /opt/tomcat-9/webapps:
```
rm -rf /opt/tomcat-9/webapps/*
```
Выдайте права на директорию tomcat для пользователя tomcat:
```
chown -R tomcat:tomcat /opt/tomcat-9
```
Добавьте сервис, создав файл tomcat.service:
```
sudo vi /etc/systemd/system/tomcat.service
```

со следующим содержимым, задав параметры потребления RAM в CATALINA_OPTS:

[Unit]
Description=Apache Tomcat Web Application Container
After=network.target

[Service]
Type=forking

Environment=JAVA_HOME=/usr/lib/jvm/java-1.11.0-openjdk-amd64
Environment=CATALINA_PID=/opt/tomcat-9/temp/tomcat.pid
Environment=CATALINA_HOME=/opt/tomcat-9
Environment=CATALINA_BASE=/opt/tomcat-9
Environment='CATALINA_OPTS=-Xms1024M -Xmx2048M -server -XX:+UseParallelGC'
Environment='JAVA_OPTS=-Djava.awt.headless=true -Djava.security.egd=file:/dev/./urandom'

WorkingDirectory=/opt/tomcat-9/

ExecStart=/opt/tomcat-9/bin/startup.sh
ExecStop=/opt/tomcat-9/bin/shutdown.sh

User=tomcat
Group=tomcat
UMask=0007
RestartSec=10
Restart=always

[Install]
WantedBy=multi-user.target

Примените конфигурацию сервисов:
```
systemctl daemon-reload
```

Установка приложения Юниверс DG

Для запуска приложения требуется Tomcat и Java (описание установки см. выше).

Начало установки

Установка .war файлов: в каталоге Application_Tomcat содержатся 2 архива: frontend или backend. В каждом архиве содержатся .war файлы, которые необходимо скопировать в директорию /opt/tomcat-9/webapps/.
Установка дополнительных параметров и библиотек: в архиве backend содержится каталог Tomcat, содержимое которого необходимо скопировать в каталог /opt/tomcat-9/. Находясь в распакованном каталоге архива backend, перейдите в каталог tomcat и скопируйте файлы в директорию сервиса:
```
sudo cp -v bin/setenv.sh /opt/tomcat-9/bin/ && \
sudo cp -rv conf/universe /opt/tomcat-9/conf/ && \
sudo cp -v libs/* /opt/tomcat-9/lib/
```

Предоставление прав на файлы для сервиса:

chown -R tomcat:tomcat /opt/tomcat-9
chmod +x /opt/tomcat-9/bin/*.sh

Настройка приложения

Основные параметры задаются в переменных в файле setenv.sh. Отредактируйте файл:
```
vi /opt/tomcat-9/bin/setenv.sh
```

Установите/добавьте следующие переменные, установив значения соответствующие логическому имени переменной:

# имеющийся параметр JAVA_OPTS НЕ затрагивается

# укажите параметры подключения к базе
export POSTGRES_ADDRESS="localhost:5432"
export POSTGRES_USERNAME="postgres"
export POSTGRES_PASSWORD="notpostgres_change_me"
export DATABASE_NAME="universe"

# укажите параметры подключения к Opensearch
export SEARCH_CLUSTER_NAME="dg-os-cluster"
export SEARCH_CLUSTER_ADDRESS="localhost:9200"

# при использовании кластера Opensearch в переменной SEARCH_CLUSTER_ADDRESS перечисляются через запятую все ноды (hostname или ip), пример:
# SEARCH_CLUSTER_ADDRESS=es_node01:9300,es_node02:9300,es_node03:9300

Кластерная настройка приложения

Если планируется использование нескольких серверов Tomcat, то для настройки кластерной конфигурации приложения в файле /opt/tomcat-9/conf/universe/backend.properties на каждом сервере требуется изменить ряд настроек:
```
vi /opt/tomcat-9/conf/universe/backend.properties
```

Следующие параметры одинаковые для каждого узла приложения:

# включаем распределенный кэш
org.unidata.dg.system.cache.tcp-ip.enabled=true
# перечисляем все ноды tomcat, ip или hostname
org.unidata.dg.system.cache.tcp-ip.members=server-192-168-106-110,server-192-168-106-111

# стандартный порт, при необходимости можно заменить, должен быть открыт для всех узлов кластера приложения
org.unidata.dg.system.cache.port=5701

Параметр ниже должен быть уникальный для каждого узла в кластере приложения, пример значения параметра:
```
org.unidata.dg.system.node.id=node1
#org.unidata.dg.system.node.id=nodeN # для остальных N серверов
```

Пример сообщения в логе (logs/catalina.out), позволяющее определить то, что приложения объединились в кластер:

INFO com.hazelcast.internal.server.tcp.TcpServerConnection.null [server-192-168-106-111]:5701 [dev] Initialized new cluster connection between /192.168.106.111:44589 and server-192-168-106-110/192.168.106.110:5701
com.hazelcast.internal.cluster.ClusterService.null [server-192-168-106-111]:5701 [dev]

Members {size:2, ver:2} [
        Member [server-192-168-106-110]:5701 - b15485d2-3121-4398-adf0-aee0147d442e
        Member [server-192-168-106-111]:5701 - c61b4e32-94da-4e6a-8f1d-269ccb7f0f10 this
]

Запуск Приложения

Управление осуществляется через сервис, на каждом узле tomcat:

sudo systemctl start tomcat
sudo systemctl status tomcat
# sudo systemctl restart tomcat
# sudo systemctl stop tomcat

Логи приложения находятся в каталоге /opt/tomcat-9/logs/.

После окончания установки выполните вход в систему Юниверс DG.