Подготовка сервера с ОС Astra Linux

Статья содержит порядок подготовки сервера с ОС Astra Linux Special Edition для установки платформы и настройки узлов кластера.

Если на сервере уже установлена ОС Astra Linux, переустановите ОС и выполните её настройку по инструкциям из этой статьи.

Для корректной работы платформы выполняйте только те настройки, которые указаны в этой статье. Корректная работа платформы с другими настройками ОС не гарантируется.

Установка ОС

Для установки Astra Linux Special Edition 1.8.1 используйте один из дистрибутивов:

• Astra Linux 1.8.1.UU1 (версия 1.8.1.12) с debian_installer. Файл ISO-образа — installation-1.8.1.12-29.08.24_15.37-di.iso;
• Astra Linux 1.8.1.UU2 (версия 1.8.1.16) с debian_installer. Файл ISO-образа — installation-1.8.1.16-27.12.24_15.22-di.iso.

Вы можете использовать один диск для ОС и платформы либо установить ОС на отдельный диск.

При установке операционной системы:

1. На шаге Установка базовой системы выберите Ядро для установки:
   • для версии 1.7.4 — linux-5.15-generic;
   • для версии 1.8.1 — linux-6.6-generic.
2. На шаге Выбор программного обеспечения:
   1. Выберите следующие компоненты:
      1. Консольные утилиты.

      2. Средства удаленного подключения SSH.

   2. Убедитесь, что остальные компоненты отключены.
3. На шаге  Дополнительные настройки ОС:
   1. Выберите уровень защищенности "Орел" или "Воронеж".
   2. Убедитесь, что отключены опции:
      
      1. Замкнутая программная среда.
      2. Запрет установки бита исполнения.

      3. Запрет исполнения скриптов пользователя.

         

         Если эти опции остались включены, после установки ОС отключите их командами: 

         sudo astra-digsig-control disable
         sudo astra-nochmodx-lock disable
         sudo astra-interpreters-lock disable

         Copy

         BASH
         

         Если вы выбрали уровень защищённости "Воронеж", рекомендуем отключить опцию "Очистка освобождаемой внешней памяти". Эта опция значительно увеличивает нагрузку на CPU и время выполнения некоторых операций. 

Настройка ОС на сервере с платформой

1. Перейдите в режим суперпользователя: 

   sudo su -

   Copy

   BASH

2. Настройте список источников в файле /etc/apt/sources.list:

   • для установки в закрытом контуре укажите только источник cdrom. Остальные источники должны быть удалены или закомментированы:

     Пример файла для Astra Linux Special Edition 1.7.4

     deb cdrom:[OS Astra Linux 1.7.4 1.7_x86-64 DVD]/ 1.7_x86-64 contrib main non-free

     Copy

     CODE

   • для установки в открытом контуре укажите только источники из поддерева Frozen для нужной версии ОС. Подробнее о поддереве Frozen см. в документации Astra Linux:

     • Интернет-репозитории Astra Linux Special Edition x.7

     • Интернет-репозитории Astra Linux Special Edition x.8
       Остальные источники должны быть удалены или закомментированы:  

       Пример файла для Astra Linux Special Edition 1.8.1 uu2 (installation-1.8.1.16-27.12.24_15.22-di.iso)

       deb https://dl.astralinux.ru/astra/frozen/1.8_x86-64/1.8.1/uu/2/repository-main/ 1.8_x86-64 main contrib non-free
       deb https://dl.astralinux.ru/astra/frozen/1.8_x86-64/1.8.1/uu/2/repository-extended/ 1.8_x86-64 main contrib non-free

       Copy

       CODE

       Пример файла для Astra Linux Special Edition 1.8.1 uu1 (installation-1.8.1.12-29.08.24_15.37.iso)

       deb https://dl.astralinux.ru/astra/frozen/1.8_x86-64/1.8.1/uu/1/repository-main/ 1.8_x86-64 main contrib non-free
       deb https://dl.astralinux.ru/astra/frozen/1.8_x86-64/1.8.1/uu/1/repository-extended/ 1.8_x86-64 main contrib non-free

       Copy

       CODE

       Пример файла для Astra Linux Special Edition 1.7.4 base (1.7.4-24.04.2023_14.23.iso)

       deb http://dl.astralinux.ru/astra/frozen/1.7_x86-64/1.7.4/repository-main/ 1.7_x86-64 main contrib non-free
       deb http://dl.astralinux.ru/astra/frozen/1.7_x86-64/1.7.4/repository-update/ 1.7_x86-64 main contrib non-free
       deb http://dl.astralinux.ru/astra/frozen/1.7_x86-64/1.7.4/repository-base/ 1.7_x86-64 main contrib non-free
       deb http://dl.astralinux.ru/astra/frozen/1.7_x86-64/1.7.4/repository-extended/ 1.7_x86-64 main contrib non-free

       Copy

       CODE

       Пример файла для Astra Linux Special Edition 1.7.4 uu1 (installation-1.7.4.11-23.06.23_17.13.iso)

       deb https://dl.astralinux.ru/astra/frozen/1.7_x86-64/1.7.4/uu/last/repository-base/ 1.7_x86-64 main contrib non-free
       deb https://dl.astralinux.ru/astra/frozen/1.7_x86-64/1.7.4/uu/last/repository-extended/ 1.7_x86-64 main contrib non-free
       deb https://dl.astralinux.ru/astra/frozen/1.7_x86-64/1.7.4/uu/last/repository-main/ 1.7_x86-64 main contrib non-free
       deb https://dl.astralinux.ru/astra/frozen/1.7_x86-64/1.7.4/uu/last/repository-update/ 1.7_x86-64 main contrib non-free

       Copy

       CODE

3. В файле /etc/network/interfaces настройте сетевую конфигурацию со статическим IP-адресом: 

   Пример конфигурации

   auto lo
   iface lo inet loopback
   
   auto eth0
   iface eth0 inet static
       address   192.168.1.10
       netmask   255.255.255.0
       gateway   192.168.1.254
   

   Copy

   CODE

4. Если платформа будет использоваться в открытом информационном контуре (с доступом к Интернет), создайте файл /etc/resolv.conf и укажите в нём настройки DNS-серверов:

   Пример настройки

   nameserver 77.88.8.8
   nameserver 1.1.1.1
   options timeout:1
   options attempts:2

   Copy

   CODE

5. Перезапустите службу networking: 

   sudo systemctl restart networking

   Copy

   BASH
6. Проверьте доступность сети.

Настройка системного времени

На сервере платформы и узлах кластера настройте синхронизацию системного времени с NTP-сервером. Подробнее см. в документации Astra Linux. 

Настройка сети на узлах кластера

1. В файле /etc/network/interfaces настройте сетевую конфигурацию. Примеры конфигураций: 

   Минимальная конфигурация без бриджей и бондов

   auto lo
   iface lo inet loopback
   
   auto eth0
   iface eth0 inet static
       address   192.168.1.10
       netmask   255.255.255.0
       gateway   192.168.1.254

   Copy

   CODE
   Конфигурация с бриджем и интерфейсом во VLAN

   auto lo
   iface lo inet loopback
   
   auto eth0 vmbr0 vmbr1
   iface eth0 inet manual
   
   auto eth0.111
   iface eth0.111 inet manual
       vlan_raw_device eth0
   
   auto eth0.112
   iface eth0.112 inet manual
       vlan_raw_device eth0
   
   iface vmbr0 inet static
    address 1.1.111.10
    netmask 255.255.255.0
    gateway 1.1.111.1
    bridge_ports eth0.111
    bridge_stp off
   
   iface vmbr1 inet static
    address 1.1.112.10
    netmask 255.255.255.0
    gateway 1.1.112.1
    bridge_ports eth0.112
    bridge_stp off

   Copy

   CODE
   Конфигурация с бондом во VLAN в режиме active-backup

   auto lo
   iface lo inet loopback
   
   auto eth0 eth1 bond0 bond0.118 vmbr0
   iface eth0 inet manual
       bond-master bond0.118
   iface eth1 inet manual
       bond-master bond0.118
   iface bond0 inet manual
    pre-up modprobe bonding mode=active-backup
    post-down rmmod bonding
    bond-mode active-backup
    bond-primary eth0
    bond-miimon 100
    bond-downdelay 200
    bond-updelay 150
    bond-slaves eth0 eth1
   
   iface bond0.118 inet manual 
       vlan-raw-device bond0
   
   iface vmbr0 inet static
    address 172.22.18.74
    netmask 255.255.255.0
    gateway 172.22.18.1
    bridge_ports bond0.118
    bridge_stp off
    dns-nameservers <IP-адреса_DNS-серверов>

   Copy

   CODE
   Конфигурация в режиме balance-alb с VLAN

   auto lo 
   iface lo inet loopback
   
   auto eth2 eth3 bond0 bond0.772 vmbr0
   
   iface eth2 inet manual
   iface eth3 inet manual
   
   iface bond0 inet manual
       bond-mode 6
       bond-miimon 100
       bond-slaves eth2 eth3
   
   iface bond0.772 inet manual 
       vlan-raw-device bond0
   
   iface vmbr0 inet static
       address 10.77.2.20/24
       gateway 10.77.2.1
       bridge_ports bond0.772
       bridge_stp off

   Copy

   CODE
   Конфигурация с бондом и бриджем в режиме LACP (802.3ad)

   auto lo
   iface lo inet loopback
   
   auto eth0 eth1 bond0 vmbr0
   iface eth0 inet manual
   iface eth1 inet manual
   
   iface bond0 inet manual
    bond-mode 802.3ad
    bond-miimon 100
    bond-downdelay 200
    bond-updelay 200
    bond-xmit-hash-policy 1 
    bond-slaves eth0 eth1
   
   iface vmbr0 inet static
    address 172.22.18.74
    netmask 255.255.255.0
    gateway 172.22.18.1
    bridge_ports bond0
    bridge_stp off

   Copy

   CODE
   Конфигурация с бондом и бриджем в режиме LACP (802.3ad) c интерфейсом во VLAN

   auto lo
   iface lo inet loopback
   
   auto eth0 eth1 bond0 bond0.118 vmbr0
   iface eth0 inet manual
   iface eth1 inet manual
   
   iface bond0 inet manual
    bond-mode 802.3ad
    bond-miimon 100
    bond-downdelay 200
    bond-updelay 200
    bond-xmit-hash-policy 1 
    bond-slaves eth0 eth1
   
   iface bond0.118 inet manual 
       vlan-raw-device bond0
   
   iface vmbr0 inet static
    address 172.22.18.74
    netmask 255.255.255.0
    gateway 172.22.18.1
    bridge_ports bond0.118
    bridge_stp off

   Copy

   CODE

   Подробнее о сетевых настройках см. в статьях Настройки сети на узле кластера, Режимы работы бондов.

2. Если конфигурация содержит бонд, установите пакет ПО ifenslave: 

   sudo apt install ifenslave

   Copy

   BASH
3. Если конфигурация содержит бридж, установите пакет ПО bridge-utils: 

   sudo apt install bridge-utils

   Copy

   BASH

4. Перезапустите службу networking: 

   sudo systemctl restart networking

   Copy

   BASH

5. Проверьте настройки сети: 

   ip -c a

   Copy

   BASH
6. Проверьте доступность узла со стороны сервера с платформой.

При добавлении узла платформа:

1. Импортирует настройки сетевых интерфейсов из файла /etc/network/interfaces в сервис NetworkManager.
2. Отправляет ICMP-запросы на проверочный IP-адрес, заданный в настройках кластера:
   • если IP-адрес недоступен, возвращает исходные сетевые настройки;
   • если проверка прошла успешно, выполняет настройку сети.

Импорт настроек не будет выполняться, если при добавлении узла включить опцию Не настраивать сеть автоматически.

После настройки сети в файле /etc/network/interfaces остаётся только конфигурация loopback-интерфейса (lo). Дальнейшую настройку сети на узле кластера рекомендуется выполнять через интерфейс платформы или утилиту nmcli. При добавлении записей в файл /etc/network/interfaces возможен конфликт сетевых настроек.

Если на добавляемом узле кластера был вручную создан бридж или бонд, этот интерфейс будет отображаться в платформе как неуправляемый. Его нельзя отредактировать и удалить через интерфейс платформы.

Если узел был добавлен в платформе с версией ниже 2023.07.1, то его конфигурация будет перенесена в NetworkManager только после изменения настроек сети (например, добавления интерфейса) через интерфейс платформы.

Настройка подключения к узлам кластера

Корректное подключение узла гарантируется только при использовании учётной записи, отличной от root.

Раздел содержит инструкции, которые необходимо выполнить, чтобы платформа могла корректно подключаться к узлам кластера. Авторизация платформы на узлах кластера осуществляется по SSH-ключу.

Уровень защищённости "Орёл"

1. Добавьте публичный SSH-ключ сервера с платформой в файл /home/<username>/.ssh/authorized_keys, где <username> — имя пользователя, под которым платформа будет подключаться к серверу. Содержимое публичного ключа можно посмотреть в интерфейсе платформы на форме добавления узла кластера: раздел Узлы → кнопка Подключить узел → кнопка Хочу использовать публичный ssh-ключ.   

2. Установите права для файла /home /<username>/.ssh/authorized_keys:

   sudo chmod 600 /home/<username>/.ssh/authorized_keys

   Copy

   BASH

   sudo chown <username> /home/<username>/.ssh/authorized_keys

   Copy

   BASH
   Пояснения к команде

   <username> — имя пользователя для подключения

3. Проверьте права доступа на файл /home/<username>/.ssh/authorized_keys. Файл должен быть доступен на чтение и запись для пользователя, под которым платформа будет подключаться к серверу.

4. В файле /etc/sudoers разрешите выполнение команд от имени суперпользователя: 

   %astra-admin ALL=(ALL:ALL) NOPASSWD: ALL
   %sudo ALL=(ALL:ALL) NOPASSWD: ALL

   Copy

   CODE

Уровень защищённости "Воронеж"

Для создания ВМ с ОС Windows платформа использует директорию /opt/ispsystem/vm/tmp. В этой директории создаётся временный конфигурационный файл для установки ОС. После установки ОС файл удаляется.

Платформа автоматически создаст эту директорию и установит необходимые мандатные атрибуты при подключении узла.

1. Убедитесь, что службы astra-sudo-control, astra-nochmodx-lock, astra-interpreters-lock отключены: 

   sudo astra-sudo-control disable
   

   Copy

   BASH

   sudo astra-nochmodx-lock disable
   

   Copy

   BASH

   sudo astra-interpreters-lock disable

   Copy

   BASH

2. Создайте директорию для хранения ВМ (например, /vm) и установите для неё мандатные атрибуты: 

   sudo mkdir /vm && sudo pdpl-file 0:63:0:ccnr /vm

   Copy

   BASH
   Пояснения к команде

   /vm — имя директории

3. Добавьте в файл /home/<username>/.ssh/authorized_keys публичный SSH-ключ сервера с платформой. Содержимое публичного ключа можно посмотреть в интерфейсе платформы на форме добавления узла кластера: Узлы → Подключить узел → кнопка Хочу использовать публичный ssh-ключ . 

4. Установите права для файла /home /<username>/.ssh/authorized_keys:

   sudo chmod 600 /home/<username>/.ssh/authorized_keys

   Copy

   BASH

   sudo chown <username> /home/<username>/.ssh/authorized_keys

   Copy

   BASH
   Пояснения к командам

   <username> — имя пользователя для подключения

5. Проверьте права доступа на файл /home/<username>/.ssh/authorized_keys. Файл должен быть доступен на чтение и запись для пользователя, под которым платформа будет подключаться к серверу.

6. В файле /etc/sudoers разрешите выполнение команд от имени суперпользователя: 

   %astra-admin ALL=(ALL:ALL) NOPASSWD: ALL
   %sudo ALL=(ALL:ALL) NOPASSWD: ALL

   Copy

   CODE

Может быть полезно

Статьи из базы знаний:

• Установка NTP в закрытом контуре