Установка Carbon Reductor

Skip to end of metadata
Go to start of metadata
Вы просматриваете старую версию данной страницы. Смотрите текущую версию. Сравнить с текущим  |   просмотр истории страницы
<< Предыдущий Версия 57 Следующий >>

Установка

Скачиваем дистрибутив необходимого продукта с нашего сайта.

Вы можете скачать ISO образ для записи на DVD диск, либо img образ для записи на USB Flash.

Создание загрузочной флешки в Windows

Для записи USB Flash советуем пользоваться Win32 Disk Imager в Windows.

Создание загрузочной флешки в Linux

1. Определить имя устройства, которое было присвоено системой вашей флешке. Для этого выполните команду:

dmesg | tail | grep sd*

В результате получим:

[93944.663736] scsi host10: usb-storage 2-1.2:1.0
[93945.665172] scsi 10:0:0:0: Direct-Access JetFlash Transcend 8GB 8.07 PQ: 0 ANSI: 4
[93945.665840] sd 10:0:0:0: Attached scsi generic sg2 type 0
[93945.666968] sd 10:0:0:0: [sdc] 15261696 512-byte logical blocks: (7.81 GB/7.28 GiB)
[93945.670007] sd 10:0:0:0: [sdc] Write Protect is off
[93945.670013] sd 10:0:0:0: [sdc] Mode Sense: 23 00 00 00
[93945.671089] sd 10:0:0:0: [sdc] Write cache: disabled, read cache: enabled, doesn't support DPO or FUA
[93945.676223] sdc: sdc1
[93945.679833] sd 10:0:0:0: [sdc] Attached SCSI removable disk
[93945.872080] FAT-fs (sdc1): Volume was not properly unmounted. Some data may be corrupt. Please run fsck.

В нашем случае это /dev/sdc. Так как на диске имеется один раздел fat32 - необходимо его отмонтировать. Если флешка пуста, то можно пропустить этот шаг.

umount /dev/sdc1

2. Отформатировать USB-флешку в fat32.

sudo mkfs.fat /dev/sdc -I

либо

sudo mkfs.vfat /dev/sdc -I

3. Создать образ загрузочной флешки.

dd if=/home/carbon/Downloads/Carbon_Reductor_x64.iso of=/dev/sdc

*ВАЖНО! После окончания процесса копирования необходимо выполнить следующую команду, чтобы удостовериться, что все данные перенесены на диск

sync

Общий процесс установки:

1. Выбираем установку с созданием таблицы разделов.

2. Выбираем сетевую карту, через которую редуктор будет выходить в интернет.

3. Настраиваем на ней сеть, убираем IPv6, ставим IPv4 manual (чекбоксы можно вкл/выкл. клавишей пробел).

4. Если всё в порядке - ждём завершения установки.

Установка продукта

1. Перед стартом в BIOS/UEFI убираем опцию загрузки с CDROM/ISO/Flash, грузимся с жёсткого диска на который устанавливались.

2. После этого на экране появится загрузчик с выбором установленной ОС:

3. После загрузки ОС:

4. Логинимся, после этого запустится мастер установки продуктов Carbon Soft, выбираем подходящие пункты (вводим цифру и нажимаем enter).

Ветки кроме мастера на текущий момент не предназначены для использования в production.

Devel на текущий момент - сырая версия, на которой разработчики обкатывают нововведения, не беспокоясь о том, что кто-то из клиентов на неё обновится.

5. Далее долгий процесс скачивания и приведения в порядок контейнеров с приложениями.

Можно смело отойти минут на 10-20 (в зависимости от пропускной способности канала, доступного Carbon Reductor).

Первичная настройка продукта

Шаг 1. Мастер регистрации.

После того, как контейнеры будут скачаны, нужно будет зарегистрировать данный экземпляр Carbon Reductor, введя название компании, email и телефон.

Шаг 2. Настройка выгрузок списков

Генерация запроса и подписи на сервере

Наиболее надёжный и проверенный временем вариант - генерация запроса и подписи на сервере.

Вам нужно будет подложить подпись PFX на сервер в папку:

/app/reductor/cfg/userinfo/p12.pfx

После этого зайдите в консольное меню -> Reductor -> Настройки выгрузок единого реестра -> Установка сертификата с USB-Token
Далее следуйте подсказкам, затем введите пароль сертификата для извлечения закрытого ключа.

Использование готовых запроса и подписи

Если у вас уже есть заранее сгенерированные файлы запроса и подписи, то их можно подложить на сервер в соответствующие файлы:

/app/reductor/var/lib/reductor/rkn/request.xml
/app/reductor/var/lib/reductor/rkn/request.xml.sign

Подготовленные по четвёртому пункту:

http://vigruzki.rkn.gov.ru/docs/description_for_operators_actual.pdf

Далее нужно отключить подпись запроса:
В файле /app/reductor/cfg/config

Найдите строчку

autoupdate['skip_sign_request']='0'

Установите в ней 1 вместо 0.

autoupdate['skip_sign_request']='1'

И сохраните изменения.

Контроль за их работоспособностью остаётся вашей задачей.

Выгрузка с собственного сервера

Если вы используете свой сервер для скачивания реестра, с которого можно забрать файл с реестром (dump.xml) - вы можете забирать его по http, https или ftp, указав его URL.

Далее нужно отключить подпись запроса:

В файле /app/reductor/cfg/config

Найдите строчку

autoupdate['skip_sign_request']='0'

Установите в ней 1 вместо 0.

autoupdate['skip_sign_request']='1'

И сохраните изменения.

Не очень надёжная опция в контексте срочных выгрузок, так как при обнаружении устаревания за счёт обращения к серверу Роскомнадзора, список в итоге забирается не с сервера Роскомнадзора.

Шаг 3. Настройка фильтрации

Мы рекомендуем:

  1. Настроить страницу-заглушку на отдельном IP, куда будут редиректить и HTTP и DNS фильтрации.
  2. Включить DNS и SNI фильтрацию трафика.
  3. Фильтровать HTTPS по IP в случае, если иначе это не заблокировать.
  4. Провести интеграцию с маршрутизатором по BGP или иным способом для полной блокировки IP адресов.
  5. Проинтегрировать Carbon Reductor с используемыми абонентами DNS серверами.

Подробнее: http://carbonsoft.github.io/2016/11/10/i-installed-reductor-long-time-ago.html

Шаг 4. Настройка зеркала трафика

L2 зеркала - с коммутатора, L3 зеркала - с маршрутизатора. Доступные варианты:

  1. L2-зеркало, без VLAN-тегов
  2. L2-зеркало, весь трафик тегирован VLAN
  3. L2-зеркало, часть с VLAN, часть без
  4. L3-зеркало, прием на IP-адрес
  5. L3-зеркало с настройкой VLAN

При наличии большого числа VLAN (10+) и тем более QinQ, в зеркале рекомендуется избавиться от них на уровне отправки зеркала.

Для обработки зеркалируемого по L2 трафика сетевки, используемые для захвата трафика должны находиться внутри bridge, это всё генерируется мастером настройки сети и не должно Вас смущать.

В случае, если зеркало используется на L3, бриджи не нужны и должна автоматически включиться опция skipchecknetwork.

Наведение лоска

После установки контейнеров и прохождения всех мастеров, откажитесь от автоматической перезагрузки и запустите:

Дополнительно

Обновление CentOS 6 до последнего доступного релиза:

yum -y update

Смена пароля пользователя root:

passwd

Проверка, что всё настроено и работает отлично (не должно быть ни одного сбоя):

/etc/init.d/apps check

Контрольная перезагрузка:

reboot

И затем снова (исправляя проблемы до тех пор, пока не будет ни одного сбоя).

/etc/init.d/apps check

Затем переходим к настройке.

Введите метки, чтобы добавить к этой странице:
Please wait 
Ищите метку? просто начните печатать.