База знаний
Войти

Обзор Контроллера

Контроллер — виртуальная машина с основной панелью доступа к инструментам комплекса РОСА Миграция. Данная машина рекомендуется к размещению в том же сетевом контуре, где будет находиться приёмник. Единый интерфейс с многопользовательским разграничением прав доступа позволяет контролировать выполнение параллельных задач по миграции в условиях корпоративной среды, а его доступность посредством RESTful API обеспечивает эффективную интеграцию с уже имеющимися порталами самообслуживания, системами автоматизации, DevOps-инструментами или средствами мониторинга.

Контроллер разворачивается на физическом сервере или виртуальной машине с помощью предоставляемых скриптов из заранее подготовленного пакета и не требует доступа к сети Интернет. Контроллер управляет ходом выполнения заданий по миграции, но не участвует в процессе копирования данных, который происходит напрямую от источника к приёмнику.

Для проведения миграции на Контроллере требуется наличие драйвера, представляющего собой набор заранее подготовленных под конкретную версию ОС модуля ядра и исполняемых утилит.

Драйверы для РОСА Миграция также можно скачать в Личном Кабинете Пользователя в разделе "Загрузки".

Контроллер предоставляет возможность удобного добавления таких драйверов через GUI, а также проведения обновления основных программных компонентов до последних версий продукта.

Настройка доступа к Контроллеру по протоколам HTTP и HTTPS

Интерфейс управления платформой РОСА Миграция работает за обратным прокси NGINX, который транслирует внешние запросы на внутренние сервисы Контроллера. Для настройки шифрованного канала передачи данных необходимо иметь сертификат и приватный ключ для домена. Также требуется сертификат Удостоверяющего Центра, который выдал сертификат. Все эти файлы следует разместить на файловой системе Контроллера РОСА Миграция.

Следует обратить внимание, что по умолчанию при установке Контроллера выписывается самоподписанный сертификат, который и используется системой, и при необходимости данный сертификат можно заменить на собственный.

Доступ к Контроллеру по протоколам HTTP и HTTPS

По умолчанию Контроллер принимает входящие подключения по протоколам HTTP (порт TCP 80) и HTTPS (порт TCP 443). Для изменения порта, на котором будет доступен веб-интерфейс Контроллера, необходимо отредактировать один из блоков в файле /etc/nginx/sites-enabled/controller.conf.

Для изменения порта подключения по протоколу HTTP следует изменить порт 80 на требуемый в блоке:

server {
listen 80 default_server;
}

Для изменения порта подключения по протоколу HTTPS следует изменить порт 443 на требуемый в блоке:

server {
listen 443 ssl;
}

Затем нужно перезапустить Сервис nginx:

sudo systemctl restart nginx

При установке ПО РОСА Миграция на Контроллере автоматически создаются самоподписанные сертификаты корневого Удостоверяющего Центра (далее – УЦ) и сервера для организации зашифрованного канала передачи данных при подключении к Контроллеру по HTTPS. Информация о замене сертификата приведена в п. Работа Контроллера с сертификатами/ekspluatatsiya/struk-kompl/obzor-kontr){target="_blank"}.

Контроллер поддерживает TLS версии v1.2 и v1.3.

Работа Контроллера с сертификатами

При установке ПО РОСА Миграция на Контроллере автоматически создаются самоподписанные сертификаты корневого Удостоверяющего Центра (УЦ) и сервера для организации зашифрованного канала передачи данных при подключении к Контроллеру по HTTPS.

На Контроллере файлы сертификатов размещаются в каталоге /opt/mind/etc/tls:

  • ca.mindsw.io.pem – X.509-сертификат корневого УЦ в формате base64;
  • ca.mindsw.io.key – закрытый ключ сертификата корневого УЦ;
  • tls.mindsw.io.pem – X.509-сертификат сервера в формате base64;
  • tls.mindsw.io.key – закрытый ключ сертификата сервера.

Для обеспечения безопасного подключения к Контроллеру рекомендуется заменить самоподписанные сертификаты сервера и корневого УЦ на сертификаты, выданные доверенным корпоративным или публичным УЦ.

Важно – При установке Агента сертификат корневого УЦ (ca.mindsw.io.pem), используемый Контроллером, сохраняется на машине в каталог установки (/opt/mind/etc/tls – для Linux и %Program Files%\mind\ – для Windows) для настройки доверительных отношений между Агентом и Контроллером. При замене сертификата сервера или УЦ на Контроллере требуется переустановить Агент для обновления файла ca.mindsw.io.pem или скопировать обновленный сертификат корневого УЦ в соответствующий каталог на машине и перезапустить Агент.

При необходимости использования собственных TLS-сертификатов следует подготовить каталог с файлами:

  • ca.mindsw.key;
  • ca.mindsw.pem;
  • tls.mindsw.key;
  • tls.mindsw.pem;
  • custom.mindsw.pem.

Эти файлы будут скопированы в каталог /opt/mind/etc/tls.

Подробная информация по замене сертификатов приведена в п. Раздел "Администрирование".

Драйверы

Драйверы используются для снятия и передачи моментальных снимков в ходе выполнения миграционного задания. Они не требуют пакетной установки в системе и представляют собой набор заранее подготовленных под определённую версию ОС модуля ядра и исполняемых утилит, которые не имеют каких-либо дополнительных зависимостей от системного ПО и содержат весь перечень библиотек и компонентов, необходимых для своей работы.

В Комплексе существует механизм валидации драйверов для более строгой проверки целостности и соответствия метаданных.

Драйвер состоит из следующих компонентов:

  • модуль ядра для работы с блочными устройствами;
  • модуль, обеспечивающий снятие снимков;
  • модуль, отслеживающий изменение блоков (механизм CBT);
  • модуль, отвечающий за передачу данных блочных устройств по сети (активируется на источнике);
  • модуль, отвечающий за приём данных блочных устройств по сети (активируется на приёмнике).

Важно – Для задач миграции доступны все драйверы, зарегистрированные на данном Контроллере Комплекса.

Механизм валидации утилит хоста

Механизм валидации утилит хоста обеспечивает критически важный уровень доверия между Агентом и Контроллером, исключая возможность скрытого внедрения вредоносного кода. Валидация с использованием цифровой подписи — это эффективная, расширяемая и прозрачная защита от подмены утилит в инфраструктуре.

Для обеспечения доверенной модели исполнения утилит хоста реализован механизм криптографической валидации на стороне агента. Основные принципы:

  • Все утилиты хоста подписываются при сборке с использованием закрытого ключа.
  • Агент перед запуском каждой утилиты проверяет её подпись, используя встроенный открытый ключ.
  • Если утилита будет не подписана, то при использовании Контроллером этой утилиты в интерфейсе отобразится соответствующая ошибка, а также сформируется запись в логах аудита (рисунок 11).

Рисунок 11 — Схема взаимодействия сред размещения

Агент

Агент Комплекса – это компонент взаимодействия Контроллера с машинами, использующий для связи протокол WebSocket; устанавливается на источник и приёмник автоматически (с предоставлением доступов) или вручную (предоставление доступов не требуется).

В процессе работы установленный Агент и утилиты хоста взаимодействуют с различными компонентами ОС, включая файловую систему, файлы конфигурации и сервисы.

Перечень взаимодействий приведен в документе "Руководство по обеспечению безопасности РОСА Миграция".