СПРАВКА
Источник публикации
М., 2025
Примечание к документу
Текст документа приведен в соответствии с публикацией на сайте https://platform.gov.ru/ по состоянию на 12.08.2025.
Название документа
"Методические рекомендации "Инфраструктурные технологические сервисы единой цифровой платформы Российской Федерации "ГосТех". Основные требования к составу и функциям". Версия 2.0"
"Методические рекомендации "Инфраструктурные технологические сервисы единой цифровой платформы Российской Федерации "ГосТех". Основные требования к составу и функциям". Версия 2.0"
Содержание
МЕТОДИЧЕСКИЕ РЕКОМЕНДАЦИИ
"ИНФРАСТРУКТУРНЫЕ ТЕХНОЛОГИЧЕСКИЕ СЕРВИСЫ ЕДИНОЙ ЦИФРОВОЙ
ПЛАТФОРМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ "ГОСТЕХ". ОСНОВНЫЕ
ТРЕБОВАНИЯ К СОСТАВУ И ФУНКЦИЯМ"
ВЕРСИЯ 2.0
В настоящих методических рекомендациях использованы
следующие термины с соответствующими определениями:
Термин | Определение |
Виртуальный центр обработки данных | Это совокупность виртуальных вычислительных ресурсов: виртуальные процессорные ядра, виртуальная оперативная память, виртуальные диски. В виртуальном центре обработки данных можно создавать виртуальные машины нужной конфигурации и настраивать виртуальные сети для взаимодействия между ними, а также с другими виртуальными центрами обработки данных и внешними сетями. |
Инфраструктурные технологические сервисы платформы "ГосТех" | Инфраструктурные вычислительные ресурсы и сервисы, в том числе осуществляющие взаимодействие с инфраструктурой, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг и исполнения государственных и муниципальных функций в электронной форме |
Исполнитель | Участник закупочных процедур в соответствии с Федеральным законом от 05.04.2013 N 44-ФЗ "О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд", с которым заключен государственный контракт на оказание услуг и предоставление ИТ сервисов для единой цифровой платформы Российской Федерации "ГосТех", в целях создания, развития и эксплуатации государственных информационных систем и их компонентов на единой цифровой платформе Российской Федерации "ГосТех" |
ИТ сервисы | Инфраструктурный технологические сервисы платформы "ГосТех" |
Пользователи(-ль) платформы "ГосТех" | обеспечивающие создание, развитие, эксплуатацию государственных информационных систем на платформе "ГосТех" и (или) использование цифровых продуктов платформы "ГосТех" государственные органы и внебюджетные фонды, иные лица, уполномоченные в соответствии с нормативными правовыми актами Российской Федерации на осуществление мероприятий по созданию, развитию, эксплуатации государственных информационных систем |
Единая цифровая платформа Российской Федерации "ГосТех"/платформа "ГосТех" | Цифровая экосистема создания, развития и эксплуатации государственных информационных систем, включающая в себя единую программно-аппаратную среду, цифровые продукты, информацию, информационные технологии, государственные информационные системы, необходимые для реализации функций платформы "ГосТех", а также совокупность нормативных правовых, организационных, методологических правил и процедур, обеспечивающих деятельность участников отношений, возникающих в связи с созданием и функционированием платформы "ГосТех" |
ГИС на платформе "ГосТех" | Государственные информационные системы, создаваемые, развиваемые, эксплуатируемые с использованием программно-аппаратной среды, цифровых продуктов, включенных в каталог цифровых продуктов платформы "ГосТех", а также инструментов, информационных технологий платформы "ГосТех" |
Облачные вычисления | Модель дистанционной обработки данных за счет использования сетевого доступа к масштабируемому и эластичному объединению физических или виртуальных ресурсов, а также цифровых продуктов платформы "ГосТех" с предоставлением самообслуживания и администрированием по требованию |
Оператор платформы "ГосТех" | Федеральное казенное учреждение "Государственные технологии" |
Сервисы защиты информации | Сервисы, обеспечивающие функции защиты информации, включающие в том числе программно-аппаратные комплексы и сервисы обнаружения и блокирования сетевых атак |
Мультитенантность | Элемент архитектуры программного обеспечения, где единый экземпляр программного обеспечения (приложения), сервиса платформы или виртуальной вычислительной инфраструктуры (далее - мультитенантные объекты), изолированно обслуживает множество клиентов-организаций (Tenancy - аренда, Multitenancy - множественная аренда) |
ГОСТ-TLS | Реализация протокола TLS средствами криптографической защиты информации, использующими российские криптографические алгоритмы и соответствующими требованиям ФСБ России к средствам криптографической защиты информации. |
Хост | Физическая или виртуальная машина (узел), подключенная к физической или виртуальной сети, осуществляющая взаимодействие в формате "клиент-сервер" в режиме сервера |
VPN с ГОСТ-шифрованием | Реализация технологии VPN средствами криптографической защиты информации, использующими российские криптографические алгоритмы и соответствующими требованиям ФСБ России к средствам криптографической защиты информации. |
Pod | Совокупность контейнеров (одного или нескольких) запускаемых по запросу на одном узле и разделяющих доступ к таким ресурсам, как тома хранилища и сетевой стек. |
В настоящих методических рекомендациях
использованы следующие сокращения:
Сокращение | Определение |
API | Application Programming Interface (набор классов, процедур, функций, структур или констант, которыми одна компьютерная программа может взаимодействовать с другой программой) |
CLI | Command Line Interface (интерфейс командной строки) |
CPU | Central Processing Unit (центральный процессор) |
HDD | Hard Disk Drive (накопитель на жестких магнитных дисках) |
HTTP/HTTPS | HyperText Transfer Protocol (Secure) |
IaaS | Infrastructure as a Service ("инфраструктура как услуга") |
IP | Internet Protocol (маршрутизируемый протокол сетевого уровня стека TCP/IP) |
LDAP | Lightweight Directory Access Protocol (протокол прикладного уровня для доступа к службе каталогов X.500) |
ODBC | Open Database Connectivity (программный интерфейс доступа к базам данных) |
RADIUS | Remote Authentication in Dial-In User Service (протокол для реализации аутентификации, авторизации и сбора сведений об использованных ресурсах) |
RAM | Random Access Memory (оперативная память) |
REST | Representational State Transfer (архитектурный стиль взаимодействия компонентов распределенного приложения в сети) |
SAS HDD | Serial Attached SCSI (последовательный компьютерный интерфейс) |
SATA HDD | Serial Advanced Technology Attachment (последовательный интерфейс обмена данными с накопителями информации) |
SDK | Software Development Kit (комплект для разработки программного обеспечения) |
SQL | Structured Query Language (декларативный язык программирования, применяемый для создания, модификации и управления данными в реляционной базе данных) |
SSD | Solid-State Drive (твердотельный накопитель) |
SSL | Secure Sockets Layer (уровень защищенных сокетов) |
TLS | Transport Layer Security (криптографический протокол, обеспечивающий защищенную передачу данных в компьютерной сети) |
TTL | Time to Live (время жизни пакета данных в протоколе IP) |
VLAN | Virtual Local Area Network (англ. "виртуальная локальная компьютерная сеть") |
VPN | Virtual private network (англ. "виртуальная частная сеть", технология защищенного соединения) |
XML | eXtensible Markup Language (расширяемый язык разметки) |
БД | База данных |
ВЦОД | Виртуальный центр обработки данных |
ГБ | Гигабайт |
ГИС | Государственная информационная система |
ГОСТ | Государственный стандарт |
НСД | Несанкционированный доступ |
ОС | Операционная система |
ПО | Программное обеспечение |
ПОДД | Подсистема обеспечения доступа к данным |
ПБ | Петабайт |
СЗИ | Средство защиты информации |
СКЗИ | Средство криптографической защиты информации |
СМЭВ | Система межведомственного электронного взаимодействия |
СПО | Специальное программное обеспечение |
СУБД | Система управления базами данных |
ТБ | Терабайт |
ТКМ | Технологические карты мониторинга |
ФГИС У | "Федеральная государственная информационная система "Управление государственной единой облачной платформой" |
ФСТЭК | Федеральная служба по техническому и экспортному контролю |
ЦОД | Центр обработки данных |
ЭП | Электронная подпись |
В настоящих методических рекомендациях "Инфраструктурные технологические сервисы единой цифровой платформы Российской Федерации "ГосТех". Основные требования к составу и функциям" (далее - методические рекомендации) определяются основные требования к составу, функциям и характеристикам инфраструктурных технологических сервисов платформы "ГосТех" (далее - ИТ сервисы), которые предоставляются Исполнителем(-ями) пользователям платформы "ГосТех" для создания, развития, эксплуатации ГИС на платформе "ГосТех".
Инфраструктурные технологические сервисы платформы "ГосТех" (ИТ сервисы) - это цифровые продукты, предоставляющие инфраструктурные вычислительные ресурсы, в том числе:
- Программно-аппаратные комплексы;
- Виртуальные вычислительные ресурсы;
- Хранение и обработка данных;
- Управление контейнеризацией;
- Управление облачными сетями;
- Резервное копирование;
- Мониторинг функционирования ИТ сервисов, услуг, Сервисов платформы "ГосТех";
- Управление ресурсными записями DNS;
- Вычислительные ресурсы;
- Средства защиты информации,
а также каналы связи и сервисы обеспечивающие информационно-технологическое взаимодействие с инфраструктурой электронного правительства, в том числе предоставляемые посредством государственной единой облачной платформы
Настоящие методические рекомендации разработаны с учетом требований нормативных правовых актов Российской Федерации, правовых актов.
Настоящие методические рекомендации подлежат применению совместно с методическими рекомендациями "Стандарт по управлению динамической инфраструктурой единой цифровой платформы "ГосТех".
Перечень сервисов защиты информации платформы "ГосТех, а также требования к их функциям и характеристикам определяются методическими рекомендациям по включению сервисов, обеспечивающих функции защиты информации, включающих в том числе программно-аппаратные комплексы и сервисы обнаружения и блокирования сетевых атак, в каталог цифровых продуктов единой цифровой платформы Российской Федерации "ГосТех".
платформы "ГосТех"
ИТ сервисы платформы "ГосТех" подразделяются на следующие типы в соответствии с их функциональным предназначением:
- "ПАК машины баз данных", который представляет собой программно-аппаратный комплекс для размещения баз данных.
- "ПАК машины резидентной СУБД", который представляет собой программно-аппаратный комплекс для размещения баз данных.
- "ПАК машины аналитической обработки больших данных", который представляет собой программно-аппаратный комплекс для размещения баз данных.
- "ПАК машины статистической обработки больших данных", который представляет собой программно-аппаратный комплекс для размещения баз данных.
- "ПАК машины обработки неструктурированных больших данных", который представляет собой программно-аппаратный комплекс для размещения баз данных.
- "ПАК машины хранения данных", который представляет собой программно-аппаратный комплекс для хранения данных.
- "ПАК машины потоковой обработки больших данных", который представляет собой программно-аппаратный комплекс для размещения баз данных.
- "Виртуальная машина", который представляет собой типовую виртуальную машину для размещения прикладного ПО или для организации рабочих удаленных мест.
- "Объектное хранилище", которое представляет собой универсальное масштабируемое решение для хранения данных.
- "Платформа контейнеризации" представляет собой окружение для работы с контейнеризованными приложениями в инфраструктуре платформы.
- "Управления облачными сетями";
- "Балансировка нагрузки";
- "Логический канал связи";
- "Доступ в сеть Интернет";
- "Балансировка нагрузки уровня приложений".
- "Резервное копирование" представляет собой инструмент, для создания резервных копий виртуальных машин и восстановления виртуальных машин из резервных копий согласно Регламента резервного копирования входящего в пакет эксплуатационной документации ИТ сервисов платформы "ГосТех".
- "Мониторинг инфраструктуры" позволяющий собирать данные, анализировать, визуализировать и оповещать о состоянии, утилизации или сбоях в инфраструктурных технологических сервисах платформы "ГосТех"
- "Управление ресурсными записями DNS" обеспечивающее создание, изменение и удаление доменных зон и ресурсных записей в созданных зонах.
- "Сервер";
- "Система хранения данных";
- "Коммутатор".
- "Комплект средств периметрового межсетевого экранирования";
- "Средство обнаружения вторжений";
- "Комплект СКЗИ уровня L2/L3 класса КВ";
- "Комплект СКЗИ уровня L2 класса КВ";
- "Комплект СКЗИ уровня L2/L3 класса КС3 для организации защищенного канала до ФГИС У";
- "Комплект СКЗИ уровня L7 класса КС3";
- "Средство централизованного управления СКЗИ информации класса КВ";
- "Средство доверенной загрузки";
- "Средство антивирусной защиты";
- "Комплект средств межсетевого экранирования уровня приложений";
- "Средство защиты от НСД";
- "Комплект средств контроля и анализа защищенности";
- "Средство контроля действий привилегированных пользователей";
- "Электронная подпись";
- "Средство контроля конфигурации";
- "Средство программного клиентского СКЗИ";
- "Комплект средств балансировки трафика для средств защиты информации";
- "Предоставление стойко-мест для СЗИ Потребителя".
- "Канал связи к сети Интернет";
- "Подключение к СМЭВ через сеть Интернет";
- "Канал связи";
- "Канал связи VPN";
- "Подключение к технической инфраструктуре НКЦКИ (ГОССОПКА)";
- "Публичные IPv4-адреса".
Требование к программному обеспечению, в том числе в составе программно-аппаратных комплексов, используемому при предоставлении ИТ сервисов платформы "ГосТех" - наличие в Едином реестре российских программ для электронных вычислительных машин и баз данных или в Едином реестре программ для электронных вычислительных машин и баз данных из государств - членов Евразийского экономического союза, за исключением Российской Федерации.
Программное обеспечение, предназначенное для обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, должно соответствовать настоящим требованиям и требованиям, установленным Федеральной службой по техническому и экспортному контролю, что должно быть подтверждено соответствующим документом (сертификатом).
Средства, предназначенные для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты, должны соответствовать требованиям, определенным в приказе ФСБ России от 6 мая 2019 г. N 196 "Об утверждении Требований к средствам, предназначенным для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты".
Используемые для оказания ИТ сервисов сервера и системы хранения данных должны быть внесены в Единый реестр радиоэлектронной продукции Министерства промышленности и торговли Российской Федерации.
Соответствие требованиям нормативных правовых актов уполномоченных федеральных органов исполнительной власти, предъявляемым к доверенным аппаратно-программным комплексам, интегральным микросхемам и электронным модулям, используемым в составе программно-аппаратных комплексов и радиоэлектронных устройств.
ИТ сервисы должны быть совместимы с базовыми сервисами платформы "ГосТех".
Исполнитель с целью предоставления ИТ сервисов предоставляет подтверждение наличия исключительного права или права использования программного обеспечения, входящего в состав ИТ сервисов, в том числе ПО среды виртуализации, а также подтверждение возможности использования такого ПО в интересах третьих лиц.
Использование программного обеспечения, входящего в состав ИТ сервисов, должно быть разрешено лицензиаром на всей территории Российской Федерации. Условия использования указываются в соответствующем лицензионном договоре.
Исполнитель с целью предоставления ИТ сервисов предоставляет подтверждение наличия права владения и пользования или права собственности, или иного законного основания использования в отношении аппаратного обеспечения и программно-аппаратных комплексов.
Все ИТ сервисы должны быть синхронизированы с серверами точного времени Исполнителя, осуществляющего поставку ИТ сервисов.
ИТ сервисы должны обеспечивать обратную совместимость своего API, в том числе за счет поддержки версионности.
Мониторинг функционирования ИТ сервисов, предоставляемых Исполнителем, должен обеспечивать проактивное и реактивное обнаружение сбоев в работе контроль и визуализацию (консолидацию) показателей состояния аппаратного обеспечения и программно-аппаратных комплексов, показателей нагрузки; автоматизацию процессов оповещения возникновения нештатных ситуаций (выход из строя аппаратного обеспечения или комплектующих, превышения пороговых и триггерных значений).
Показатели, метрики, триггерные и пороговые значения должны быть указаны в ТКМ, разработанных Исполнителем. ТКМ должны соответствовать стандартам, предъявляемым к документации на автоматизированные системы ГОСТ Р 59853-2021 и ГОСТ 34.201-2020. Исполнитель, осуществляющий поставку ИТ сервисов, должен подготовить ТКМ по каждому типу ИТ сервисов с учетом следующего:
- отдельно для каждой линейки аппаратного обеспечения и программно-аппаратных комплексов (сервера, СХД, телекоммуникационное оборудование) входящих в состав ИТ сервисов;
- для виртуальных вычислительных ресурсов, входящих в состав ИТ сервисов;
- отдельно для каждого вида программного обеспечения, входящего в состав ИТ сервисов, поставляемых Исполнителем;
- отдельно по каждому каналу связи, предоставляемому Исполнителем в составе ИТ сервисов.
Мониторинг доступности ИТ-сервиса должен иметь в своем составе:
- механизмы (серверные или внешние) сбора, агрегации и хранения данных, генерации отчетов по предоставляемым программным и аппаратным ресурсам входящим в поставляемые Исполнителем ИТ сервисы;
Мониторинг должен обеспечивать работу как в обособленном режиме, так и выступать как источник данных для базового сервиса мониторинга платформы "ГосТех" описанного в документе "Методические рекомендации "Базовые сервисы Единой Цифровой Платформы Российской Федерации "ГосТех".
Мониторинг должен обеспечивать проактивное обнаружение потенциальных инцидентов для реализации на основе полученных данных следующих возможностей:
- оптимизацию бизнес-процессов;
- сокращение времени простоев;
- повышение доступности и непрерывности работы, поставляемых Исполнителем ИТ сервисов;
- отслеживание использования ИТ сервисов, их доступность и непрерывность, производительность и утилизацию как на уровне физических и виртуальных ресурсов, так и на уровне контейнеров, сервисов (как обособленных, так и совместного использования) и баз данных;
- гибкость в получении и масштабируемость данных из различных источников;
- предоставление унифицированной платформы мониторинга с единым интерфейсом;
- интеграцию с наиболее распространенными системами для организации и автоматизации обслуживания пользователей (Service Desk) для автоматического открытия обращений.
Метрики, пороговые и триггерные значения для мониторинга аппаратных и программных ресурсов, а также каналов связи в ИТ сервисах, предоставляемых Исполнителем, должны включать (в случае применимости к конкретному ИТ сервису) в себя:
- состояние аппаратного обеспечения (программно-аппаратных комплексов, телекоммуникационного оборудования) и комплектующих;
- статусы кластеров (состояние кластера, количество узлов в кластере в режиме "master", доступность узла в кластере, работоспособность кластера);
- количество доступных узлов в кластере;
- утилизация узлов в кластере;
- состояние узлов в кластере;
- выделенные ресурсы как физические так и виртуальные (процессор, оперативная память, дисковое пространство);
- утилизация ресурсов как физических так и виртуальных (процессор, оперативная память, дисковое пространство);
- выделенные каналы связи и их пропускная способность;
- утилизация каналов связи;
- время отклика (БД);
- мониторинг свободного места в табличных пространствах (БД);
- проверка наличия сообщений об ошибках в файлах журналов (БД);
- проверка свободного пространства на диске и использования диска (БД);
- количество успешных/неуспешных выполнений входящих запросов (БД);
- время исполнения входящих запросов (БД);
- статус репликации (БД);
- рестарт инстанса (БД);
- доступность файловой системы с авторизацией через учетную запись (БД);
- количество операций ввода-вывода;
- время задержки (запросов);
- время работы сервиса;
- работа граничного и сервисного прокси;
- максимальное время отправки запроса в СМЭВ;
- максимальное время обработки ответа СМЭВ;
- общее количество неудачных попыток запросов в СМЭВ;
- количество неудачных попыток входа за отчетный период времени;
- количество критических ошибок за отчетный период времени;
- количество недоступных таргетов;
- проверка доступности по порту;
- проверка доступности хоста по HTTPS;
- проверка текущего статуса;
- доступность сервиса;
- запросы CPU;
- использованное место на каждый бакет;
- использованное место;
- наличие сетевого доступа ко всем узлам виртуализации и управления;
- статусы ВМ совпадают с сохраненными в моделях;
- время отклика (ping) узлов платформы и ВМ не превышает заданные значения;
- отклонение параметров ВМ от сохраненных в моделях
- процессы не открывают избыточное количество файловых дескрипторов (file descriptors);
- объем используемых swap разделов;
- отсутствие избыточного использования swap раздела;
- число открытых потоков на вычислительном узле не больше 18000;
- все подключенные СХД активны и доступны;
- отсутствие переполнения очередей;
- все сетевые интерфейсы исправны и работают;
- raid массивы работают исправно;
- температура на узлах платформы не превышает установленные значения.
Исполнителем должны быть определены требования к надежности Сервиса, включая, но не ограничиваясь:
- состав и количественные значения показателей надежности функционирования ИТ сервиса в целом и/или его компонентам, обеспечивающим реализацию одного или нескольких процессов предоставления ИТ сервиса;
- перечень аварийных ситуаций, по которым должны быть регламентированы требования к надежности, и значения соответствующих показателей;
- требования к надежности технических средств, на базе которых должен быть развернут (будет функционировать) ИТ сервис;
- требования к методам оценки и контроля показателей надежности на разных этапах жизненного цикла ИТ сервиса в соответствии с действующими нормативно-техническими документами.
ИТ сервис должен предоставлять механизмы обеспечения сохранности данных через применение процедур резервного копирования (если применимо) и восстановления, описанных в документации ИТ сервиса.
в составе ИТ сервисов
Программное обеспечение, используемое в составе ИТ сервисов и/или для их предоставления, должно удовлетворять следующим требованиям:
- разработка ПО должна осуществляться в соответствии с требованиями национального стандарта ГОСТ Р 56939-2016 "Защита информации. Разработка безопасного программного обеспечения. Общие требования" и требованиями приказа ФСТЭК России от 11.02.2013 N 17 "Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах";
- ПО должно быть размещено в локальном репозитории разработчика ПО, защищенном от внешнего воздействия, в котором осуществляется анализ компонентов на наличие известных уязвимостей, проводится контроль целостности, а также антивирусный и контекстный контроль содержимого;
- сборка компонентов ПО должна проводиться в локальном и изолированном сборщике разработчика ПО;
- в составе ИТ сервиса должно отсутствовать программное обеспечение, предоставленное Исполнителю на основании лицензионного договора, содержащего условия, ограничивающие его использование на платформе "ГосТех".
Исполнитель должен обеспечивать:
- проведение испытаний по выявлению уязвимостей и недекларированных возможностей в отношении программного обеспечения;
- реализацию процедур отслеживания и исправления обнаруженных ошибок и уязвимостей программного обеспечения, входящего в состав ИТ сервиса;
- определение способов и сроков доведения Исполнителем до Оператора платформы "ГосТех" и Пользователей платформы "ГосТех" информации о выявленных уязвимостях программного обеспечения сервиса, о компенсирующих мерах по защите информации или ограничениях по применению такого программного обеспечения.
ИТ сервисы и их компоненты должны осуществлять отправку событий безопасности, связанных с действиями пользователей этих ИТ сервисов в централизованный сервис аудита платформы "ГосТех".
В соответствии с требованиями приказа ФСТЭК России от 11.02.2013 N 17 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах", приказа ФСТЭК России от 03.04.2018 N 55 "Об утверждении Положения о системе сертификации средств защиты информации" компоненты ИТ сервисов, являющиеся средствами защиты информации, должны быть сертифицированы на соответствие требованиям по безопасности информации, установленным нормативными правовыми актами ФСТЭК России, а также Исполнителю необходимо обеспечить соответствие техническим условиям, техническому заданию, заданиям по безопасности, согласованными заявителями на сертификацию с ФСТЭК России.
Все применяемые средства криптографической защиты информации в составе ИТ сервисов должны соответствовать требованиям ФСБ России.
Среды виртуализации, которые используются Исполнителем для обеспечения функционирования ИТ сервисов, должны соответствовать требованиям методических рекомендаций Оператора платформы "ГосТех" по вопросам функционирования платформы "ГосТех", в том числе:
методическим рекомендациям "Стандарт по управлению динамической инфраструктурой Единой цифровой платформы "ГосТех";
методическим рекомендациям по предъявлению требований к поставщикам вычислительной инфраструктуры и облачных платформ в части используемых ими информационных технологий и технологий обеспечения информационной безопасности.Среды виртуализации Исполнителя должны обеспечивать следующие функциональные возможности:
- отказоустойчивость на уровне полного выхода из строя не менее одного управляющего физического сервера или вычислительного сервера;
- возможность массового создания/изменения/удаления виртуальных машин;
- добавление виртуальных дисков к виртуальным машинам;
- наличие и возможность управления ролевой моделью доступа к виртуальным объектам;
- возможность управления вычислительными ресурсами с использованием программного интерфейса (портального API);
- возможность мониторинга событий функционирования виртуальных машин;
- возможность мониторинга и журналирования событий аудита действий пользователей среды виртуализации;
- возможность вывода вычислительных узлов в режим обслуживания;
- возможность управления миграцией виртуальных машин между вычислительными узлами среды виртуализации, без выключения вычислительных машин;
- возможность реализация балансировки нагрузки между вычислительными узлами на основании данных о доступности, свободной оперативной памяти и систем хранения данных, подключенных к среде виртуализации;
- работоспособность и доступность виртуальных машин в случае отказов и сбоев в работе вычислительных узлов;
- резервное копирование и восстановление данных виртуальных машин по заданному расписанию.
Необходимо, чтобы среда виртуализации Исполнителя соответствовала следующим критериям:
сертифицирована на соответствие Требованиям по безопасности информации к средствам виртуализации, утвержденным приказом ФСТЭК России от 27 октября 2022 г. N 187;
сертифицирована ФСТЭК России на соответствие Требованиям по безопасности информации, установленным в документе "Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий", утвержденным приказом ФСТЭК России от 2 июня 2020 N 76 по 4 уровню доверия;
сертифицирована на соответствие техническим условиям, содержащим требования по реализации следующих мер защиты согласно требованиям приказа ФСТЭК России от 11.02.2013 N 17:- реализация необходимых методов управления доступом, типов и правил разграничения доступа (УПД.2);
- определение событий безопасности, подлежащих регистрации и сроков их хранения (РСБ.1, в части регистрации следующих событий: попытки доступа к ВЦОД по прямой ссылке пользователем, у которого нет прав доступа к данному ВЦОД, попытки доступа к ВМ по прямой ссылке пользователем, у которого нет прав доступа к данной ВМ, создание/удаление ВЦОД, изменение конфигурации ВЦОД, создание/удаление ВМ, изменение конфигурации ВМ, изменение привилегий доступа пользователей);
- определение состава и содержания информации о событиях безопасности, подлежащих регистрации (РСБ.2);
- сбор информации о событиях безопасности в течение установленного времени хранения (РСБ.3, в части обеспечения возможности выбора администратором информационной безопасности событий безопасности, подлежащих регистрации в текущий момент времени, генерации записей регистрации для событий безопасности, подлежащих регистрации);
- контроль целостности программного обеспечения, включая программное обеспечение средств защиты информации (ОЦЛ.1, в части контроля целостности компонентов (за исключением средств защиты информации) исходя из возможности реализации угроз безопасности информации, по наличию имен (идентификаторов) компонентов программного обеспечения и (или) по контрольным суммам в процессе загрузки и (или) динамически в процессе работы).
Среда виртуализации должна удовлетворять следующим требованиям:
ПО, используемое в составе среды виртуализации, должно быть размещено в локальном репозитории Исполнителя, защищенном от внешнего воздействия, в котором осуществляется анализ компонентов на наличие известных уязвимостей, проводится контроль целостности, а также антивирусный и содержимого;
сборка компонентов среды виртуализации должна проводиться в локальной и изолированной среде сборки Исполнителя;
Исполнителем должен осуществляться анализ ПО и компонентов ПО в составе среды виртуализации на наличие известных уязвимостей. При этом в составе ПО среды виртуализации должны отсутствовать, распространяемые на основании лицензионных договоров, ограничивающих возможность их использования на платформе "ГосТех".Доступ к среде виртуализации Исполнителя из-за пределов контролируемой зоны должен осуществляться только по защищенным каналам связи, с использованием сертифицированных средств криптографической защиты информации, прошедшими установленным порядком процедуру оценки соответствия требованиям ФСБ России, класс которых определен в модели угроз безопасности информации Исполнителя.
Исполнителем предоставляются Оператору платформы "ГосТех" эксплуатационные документы на каждый предоставляемый ИТ сервис.
предоставляемых ИТ Сервисов
Стоимость услуг по предоставлению сервиса должна быть сформирована как стоимость за одну единицу измерения за одни сутки с момента предоставление ИТ сервиса в пользование.
Порядок расчета определяется в государственных контрактах на предоставление соответствующего ИТ сервиса.
"Программно-аппаратные комплексы".
Сервис предоставления Базового модуля ПАК СУБД N 1 должен соответствовать следующим требованиям:
- БМ ПАК СУБД N 1 должен поставляться как прединсталлированное решение, готовое к эксплуатации после выполнения монтажных работ и настройки адресного пространства в соответствии с требованиями Потребителя услуг или Заказчика;
- БМ ПАК СУБД N 1 должен представлять собой единое интегрированное решение;
- БМ ПАК СУБД N 1 должен быть единым программно-аппаратным комплексом, состоящим из следующих компонентов:
- Узлы БД;
- Узлы хранения;
- Узел мониторинга;
- Узлы сетевой подсистемы;
- а также программного обеспечения для управления базами данных,
размещаемого на узлах БД.
- сетевая подсистема БМ ПАК СУБД N 1 должна обеспечивать взаимодействие всех вычислительных компонентов с реализацией следующего функционала:
- реализация резервированного канала доступа между серверами со
скоростью не менее 100 Гбит/с;
- реализация подключения сетевых интерфейсов компонент управления
на скорости - не менее 1 Гбит/с.
- БМ ПАК СУБД N 1 должен обеспечивать размещение на своих ресурсах до 3 (трех) сервисов СУБД, в которых суммарный объем БД зависит от конфигурации узлов модуля и требований производительности, предъявляемым к табличным пространствам;
- узлы БД должны работать под управлением операционной системы, соответствующей требованиям документов: "Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий" (ФСТЭК России, 2020 г.) - по уровню доверия не ниже 4, "Требования безопасности информации к операционным системам" (ФСТЭК России, 2016 г.) и "Профиль защиты операционных систем типа А четвертого класса защиты. ИТ.ОС.А4.ПЗ" (ФСТЭК России, 2017 г.).
- Программное обеспечение СУБД должно обеспечивать следующие характеристики:
- наличие поддержки четырех основных свойств транзакций (ACID):
атомарность, консистентность, изоляция, долговечность;
- наличие функционала одновременного доступа к данным на основе
многоверсионности;
- наличие функционала разграничения доступа на уровне отдельных
строк таблицы;
- наличие поддержки стандарта ANSI SQL;
- наличие функционала разграничения доступа к объектам СУБД;
- наличие функционала разграничения доступа к таблицам на уровне
строк;
- наличие функционала добавления новых типов данных, функций,
операторов, методов доступа, языков программирования без
перекомпилирования ядра системы и остановки сервера;
- наличие поддержки безопасного хранения паролей;
- наличие поддержки покрывающих индексов;
- наличие функционала оптимизации обработки запросов по
секционированным таблицам;
- наличие функционала отслеживания состояния длительных запросов в
процессе выполнения;
- наличие функционала сжатия данных при записи на диск;
- наличие функционала работы с временными объектами в рамках одной
сессии;
- наличие встроенного агента мониторинга состояния СУБД;
- наличие поддержки NoSQL;
- наличие поддержки доступа к сторонним данным для работы с СУБД
Oracle, Microsoft SQL, PostgreSQL и MySQL;
- наличие встроенной в СУБД системы полнотекстового поиска;
- наличие поддержки различных типов индексов: B-tree, B+-tree,
R-tree, partial sum trees, ranked B+-trees;
- наличие поддержки секционирования для больших таблиц;
- отсутствие ограничения на размер базы данных;
- отсутствие ограничения на максимальное количество записей;
- отсутствие ограничения на количество индексов;
- поддержка максимального размера таблицы - не менее 32 Тбайт;
- поддержка максимального размера строки - не менее 1,6 Тбайт;
- поддержка максимального размера атрибута - не менее 1 Гбайт;
- поддержка максимального числа атрибутов - не менее 1600;
- наличие встроенной поддержки работы с массивами на уровне SQL;
- наличие поддержки хранимых процедур;
- наличие поддержки табличных триггеров базы данных и триггеров
событий;
- наличие поддержки нескольких процедурных языков Perl, Python;
- наличие программных интерфейсов для работы с C/C++, Java, .Net,
Perl, Python, Ruby, Tcl, ODBC;
- наличие встроенных средств аутентификации пользователей,
поддерживающих SSL, LDAP, GSSAPI, SSPI, RADIUS, PAM;
- наличие возможности интеграции с подсистемой SE-Linux;
- наличие встроенных средств горячего резервного копирования и
восстановления;
- наличие функционала полного и инкрементального резервного
копирования, с сохранением логов транзакций;
- наличие функционала восстановления на заданный момент в прошлом;
- наличие встроенных средств репликации данных (синхронная,
асинхронная, каскадная);
- наличие поддержки многоядерных серверов, имеющих не менее 256
ядер;
- наличие поддержки кодировки UTF8.
- ПО СУБД N 3 должно обладать следующими характеристиками:
- наличие возможности горизонтального масштабирования путем
добавления серверов хранения;
- наличие встроенных механизмов отказоустойчивости данных;
- возможность организации хранения данных таблиц как по записям,
так и по столбцам;
- наличие механизмов резервного копирования и восстановления;
- наличие единой точки входа для SQL-запросов к компонентам сред,
обеспечивающих хранение данных;
- наличие инструментов для формирования федерации данных без
увеличения времени доступа к данным. Должна обеспечиваться возможность
подключения в федерацию любых источников данных, поддерживающих
ODBC/JDBC-стандарты взаимодействия;
- возможность распространения параметров секции "where" SQL-запроса
в любую систему-поставщик федерации данных для ограничения размера
перемещаемой выборки данных;
- шардирование данных с обеспечением локальности исполнения
запросов;
- наличие возможности настройки прав доступа к очередям сообщений,
строкам и столбцам таблиц баз данных, отдельным файлам распределенной
иерархической файловой системы. В том числе с использованием доменной
авторизации по протоколу LDAP;
- поддержка стандарта ANSI SQL версии 2008 или выше;
- наличие эффективных алгоритмов сжатия данных (например,
Zstandard);
- наличие встроенной системы развертывания и управления.
Сервис предоставления Базового модуля ПАК СУБД N 2 должен соответствовать следующим требованиям:
- БМ ПАК СУБД N 2 должен поставляться как прединсталлированное решение, готовое к эксплуатации после выполнения монтажных работ и настройки адресного пространства в соответствии с требованиями Потребителя услуг или Заказчика;
- БМ ПАК СУБД N 2 должен представлять собой единое интегрированное решение;
- БМ ПАК СУБД N 2 должен быть единым программно-аппаратным комплексом, состоящим из следующих компонентов:
- Узлы БД;
- Узлы хранения;
- Узел мониторинга;
- Узлы сетевой подсистемы;
- а также программного обеспечения для управления базами данных,
размещаемого на узлах БД.
- сетевая подсистема БМ ПАК СУБД N 2 должна обеспечивать взаимодействие всех вычислительных компонентов с реализацией следующего функционала:
- реализация резервированного канала доступа между серверами со
скоростью не менее 100 Гбит/с;
- реализация подключения сетевых интерфейсов компонент управления
на скорости - не менее 1 Гбит/с.
- БМ ПАК СУБД N 2 должен обеспечивать размещение на своих ресурсах до 3 (трех) сервисов СУБД, в которых суммарный объем БД зависит от конфигурации узлов модуля и требований производительности, предъявляемым к табличным пространствам;
- узлы БД должны работать под управлением операционной системы, соответствующей требованиям документов: "Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий" (ФСТЭК России, 2020 г.) - по уровню доверия не ниже 4, "Требования безопасности информации к операционным системам" (ФСТЭК России, 2016 г.) и "Профиль защиты операционных систем типа А четвертого класса защиты. ИТ.ОС.А4.ПЗ" (ФСТЭК России, 2017 г.).
- Программное обеспечение СУБД должно обеспечивать следующие характеристики:
- наличие поддержки четырех основных свойств транзакций (ACID):
атомарность, консистентность, изоляция, долговечность;
- наличие функционала одновременного доступа к данным на основе
многоверсионности;
- наличие функционала разграничения доступа на уровне отдельных
строк таблицы;
- наличие поддержки стандарта ANSI SQL;
- наличие функционала разграничения доступа к объектам СУБД;
- наличие функционала разграничения доступа к таблицам на уровне
строк;
- наличие функционала добавления новых типов данных, функций,
операторов, методов доступа, языков программирования без
перекомпилирования ядра системы и остановки сервера;
- наличие поддержки безопасного хранения паролей;
- наличие поддержки покрывающих индексов;
- наличие функционала оптимизации обработки запросов по
секционированным таблицам;
- наличие функционала отслеживания состояния длительных запросов в
процессе выполнения;
- наличие функционала сжатия данных при записи на диск;
- наличие функционала работы с временными объектами в рамках одной
сессии;
- наличие встроенного агента мониторинга состояния СУБД;
- наличие поддержки NoSQL;
- наличие поддержки доступа к сторонним данным для работы с СУБД
Oracle, Microsoft SQL, PostgreSQL и MySQL;
- наличие встроенной в СУБД системы полнотекстового поиска;
- наличие поддержки различных типов индексов: B-tree, B+-tree,
R-tree, partial sum trees, ranked B+-trees;
- наличие поддержки секционирования для больших таблиц;
- отсутствие ограничения на размер базы данных;
- отсутствие ограничения на максимальное количество записей;
- отсутствие ограничения на количество индексов;
- поддержка максимального размера таблицы - не менее 32 Тбайт;
- поддержка максимального размера строки - не менее 1,6 Тбайт;
- поддержка максимального размера атрибута - не менее 1 Гбайт;
- поддержка максимального числа атрибутов - не менее 1600;
- наличие встроенной поддержки работы с массивами на уровне SQL;
- наличие поддержки хранимых процедур;
- наличие поддержки табличных триггеров базы данных и триггеров
событий;
- наличие поддержки нескольких процедурных языков Perl, Python;
- наличие программных интерфейсов для работы с C/C++, Java, .Net,
Perl, Python, Ruby, Tcl, ODBC;
- наличие встроенных средств аутентификации пользователей,
поддерживающих SSL, LDAP, GSSAPI, SSPI, RADIUS, PAM;
- наличие возможности интеграции с подсистемой SE-Linux;
- наличие встроенных средств горячего резервного копирования и
восстановления;
- наличие функционала полного и инкрементального резервного
копирования, с сохранением логов транзакций;
- наличие функционала восстановления на заданный момент в прошлом;
- наличие встроенных средств репликации данных (синхронная,
асинхронная, каскадная);
- наличие поддержки многоядерных серверов, имеющих не менее 256
ядер;
- наличие поддержки кодировки UTF8.
- ПО СУБД N 3 должно обладать следующими характеристиками:
- наличие возможности горизонтального масштабирования путем
добавления серверов хранения;
- наличие встроенных механизмов отказоустойчивости данных;
- возможность организации хранения данных таблиц как по записям,
так и по столбцам;
- наличие механизмов резервного копирования и восстановления;
- наличие единой точки входа для SQL-запросов к компонентам сред,
обеспечивающих хранение данных;
- наличие инструментов для формирования федерации данных без
увеличения времени доступа к данным. Должна обеспечиваться возможность
подключения в федерацию любых источников данных, поддерживающих
ODBC/JDBC-стандарты взаимодействия;
- возможность распространения параметров секции "where" SQL-запроса
в любую систему-поставщик федерации данных для ограничения размера
перемещаемой выборки данных;
- шардирование данных с обеспечением локальности исполнения
запросов;
- наличие возможности настройки прав доступа к очередям сообщений,
строкам и столбцам таблиц баз данных, отдельным файлам распределенной
иерархической файловой системы. В том числе с использованием доменной
авторизации по протоколу LDAP;
- поддержка стандарта ANSI SQL версии 2008 или выше;
- наличие эффективных алгоритмов сжатия данных (например,
Zstandard);
- наличие встроенной системы развертывания и управления.
прочих БД N 1"
Сервис предоставления Базовый модуль ПАК прочих БД N 1 должен соответствовать следующим требованиям:
- БМ ПАК прочих БД N 1 должен поставляться как прединсталлированное решение, готовое к эксплуатации после выполнения монтажных работ и настройки адресного пространства в соответствии с требованиями Потребителя услуг или Заказчика;
- Должен быть единым программно-аппаратным комплексом, состоящим из следующих компонентов:
- Узлов БД;
- Узлов резервного копирования;
- Узлы сетевой подсистемы;
- а также программного обеспечения для управления базами данных,
размещаемого на узлах БД.
- БМ ПАК прочих БД N 1 должен представлять собой единое интегрированное решение;
- сетевая подсистема БМ ПАК прочих БД N 1 должна обеспечивать взаимодействие всех вычислительных компонентов с реализацией следующего функционала:
- реализация резервированного канала доступа между серверами со скоростью не менее 100 Гбит/с;
- реализация подключения сетевых интерфейсов компонент управления на скорости - не менее 1 Гбит/с;
- БМ ПАК прочих БД N 1 должен обеспечивать размещение на своих ресурсах сервисов СУБД, в которых суммарный объем БД зависит от конфигурации узлов модуля и требований производительности, предъявляемым к табличным пространствам;
- Программное обеспечение СУБД должно обеспечивать следующие характеристики:
- ПО СУБД должно обладать следующими характеристиками:
наличие возможности горизонтального масштабирования путем
добавления серверов хранения;
наличие встроенных механизмов отказоустойчивости данных;
возможность организации хранения данных таблиц как по записям,
так и по столбцам;
наличие механизмов резервного копирования и восстановления;
наличие единой точки входа для SQL-запросов к компонентам сред,
обеспечивающих хранение данных;
наличие инструментов для формирования федерации данных без
увеличения времени доступа к данным. Должна обеспечиваться
возможность подключения в федерацию любых источников данных,
поддерживающих ODBC/JDBC-стандарты взаимодействия;
возможность распространения параметров секции "where"
SQL-запроса в любую систему-поставщик федерации данных для
ограничения размера перемещаемой выборки данных;
шардирование данных с обеспечением локальности исполнения
запросов;
наличие возможности настройки прав доступа к очередям
сообщений, строкам и столбцам таблиц баз данных, отдельным файлам
распределенной иерархической файловой системы. В том числе с
использованием доменной авторизации по протоколу LDAP;
поддержка стандарта ANSI SQL версии 2008 или выше;
наличие эффективных алгоритмов сжатия данных (например,
Zstandard);
наличие встроенной системы развертывания и управления.
- ПО системы управления базами данных N 5 должно обладать
следующими характеристиками:
возможность пакетного обновления данных (> 1000 строк);
выполнение простых запросов с задержкой не более 50 мс;
реализация функционала работы с запросами объемом в миллиарды
строк по малому количеству столбцов;
наличие возможности обработки запросов не по столбцам, а по
векторам (частям столбцов);
наличие эффективных алгоритмов сжатия данных (например,
Zstandard);
поддержка конструкций языка SQL: group by, order by, подзапросы
в секциях FROM, IN, JOIN, а также скалярные подзапросы;
поддержка индексов;
реализация возможности быстрого индексного доступ за счет
хранения данных в отсортированном виде (merge tree);
реализация возможности ускорение выборки данных за счет
использования фильтров Блума;
возможность выполнения запросов над частью выборки с выводом
приближенного результата, возможность выполнения агрегации по
ограниченному набору случайных ключей;
репликация данных и возможность выполнения распределенных
запросов;
шардирование данных с обеспечением локальности исполнения
запросов;
наличие возможности горизонтальной и вертикальной
масштабируемости;
наличие встроенных механизмов отказоустойчивости данных;
возможность реализации отказоустойчивости за счет использования
асинхронной репликации;
наличие встроенной системы развертывания и управления.
- ПО распределенного хранения и обработки данных должно обладать
следующими характеристиками:
наличие поддержки работы в кластере из нескольких серверов;
возможность шардирования данных (под "шардированием"
подразумевается подход, при котором секции файлов и таблиц базы
данных могут храниться на разных, физически и логически независимых
серверах кластера);
наличие поддержки автоматического распределения данных между
серверами кластера и возможностью балансировки нагрузки на
серверах кластера;
возможность хранения данных как в реляционном виде, так и в
виде файлов в распределенной иерархической сетевой файловой
системе;
возможность настройки прав доступа к строкам и столбцам таблиц
баз данных, отдельным файлам распределенной иерархической файловой
системы, в том числе с использованием доменной авторизации по
протоколу LDAP;
наличие инструментария пошаговой установки сервисов;
наличие инструмента управления сервисами в кластере;
централизованное управление кластером с возможностью выполнения
следующих действий: запуск, остановка и переконфигурация сервисов
в рамках всего кластера, управление ресурсами;
возможность мониторинга состояния и статуса кластера, рассылки
уведомлений о состоянии кластера;
возможность развертывания и настройки новых хостов в кластере с
помощью преднастроенных шаблонов;
высокая доступность для следующих сервисов: HDFS, MapReduce,
YARN;
наличие версионной нереляционной распределенной базы данных,
работающей поверх HDFS;
наличие СУБД для выполнения SQL-подобных запросов и анализа
данных, хранящихся на HDFS;
наличие пакета утилит для полной установки без доступа к сети
Интернет;
наличие возможности горизонтальной масштабируемости.
- ПО потоковой обработки данных должно обладать следующими
характеристиками:
прием и хранение сообщений с возможностью доставки сообщения
нескольким реципиентам;
возможность создания записей от нескольких издателей в один
элемент хранения сообщений;
возможность ведения различных очередей чтения по одному
элементу хранения для различных реципиентов;
возможность хранения переданных сообщений в течение
настраиваемого периода времени;
возможность создания партиций (разделов) в рамках элемента
хранения и распределения сообщений по этим разделам последовательно
(round-robin) согласно хэш-значению ключа или с явным указанием
номера раздела;
распределение данных по нескольким серверам во время загрузки;
выполнение как потоковых, так и произвольных считываний файлов;
наличие возможности горизонтальной масштабируемости;
наличие встроенных механизмов отказоустойчивости данных;
автоматическое распараллеливание и распределение задач.
- ПО управления виртуализацией должно соответствовать следующим
требованиям:
использовать гипервизором подсистемы виртуализации в качестве
гостевой операционные системы, как минимум, следующих операционных
систем:
Альт Сервер 8/8.1/8.2, Альт Сервер 9/9.1, Альт Сервер 8 СП;
Альт Рабочая Станция 8/8.1/8.2, Альт Рабочая Станция 9/9.1,
Альт Рабочая Станция 8 СП;
Astra Linux CE 2.12 (Орел), Astra Linux SE 1.6 (Смоленск);
Ред ОС 7.2 или выше;
количество виртуальных ЦПУ, поддерживаемых одной виртуальной
машиной, должно быть не менее 64;
объем памяти, поддерживаемой виртуальной машиной, должно быть
не менее 1 Тбайт;
поддерживать диски объемом не менее 16 Тбайт в виртуальных
машинах;
поддерживать USB-устройства в виртуальных машинах с
возможностью проброса USB ключей в виртуальную машину;
иметь возможность добавления к виртуальной среде в процессе ее
работы, следующих устройств: виртуальные ЦПУ; оперативная память;
накопители, сетевые карты;
иметь возможность предоставления виртуальным машинам больше
памяти, чем доступно физически, с осуществлением динамического
перераспределения памяти между виртуальными машинами и
освобождением неиспользуемой памяти;
обеспечивать возможность автоматического восстановления
работоспособности виртуальных машин в случае выхода из строя узла
вычислительной подсистемы с помощью перезапуска их на
работоспособных узлах;
иметь возможность включения или отключения режима высокой
доступности индивидуально для каждой виртуальной машины;
иметь возможность конвертации виртуальных машин из среды
виртуализации VMware и Microsoft Hyper-V;
поддерживать стандарт VirtIO виртуализации дисковых и сетевых
устройств;
иметь в составе гостевых инструментов (агенты для гостевых
систем поддерживаемых ОС) обеспечивающих расширенные возможности
управления гостевой операционной системой.
"Базовый модуль ПАК прочих БД N 2"
Сервис предоставления Базовый модуль ПАК прочих БД N 2 должен соответствовать следующим требованиям:
- БМ ПАК прочих БД N 2 должен поставляться как прединсталлированное решение, готовое к эксплуатации после выполнения монтажных работ и настройки адресного пространства в соответствии с требованиями Потребителя услуг или Заказчика;
- Должен быть единым программно-аппаратным комплексом, состоящим из следующих компонентов:
- Узлов БД;
- Узлов резервного копирования;
- а также программного обеспечения для управления базами данных,
размещаемого на узлах БД.
- БМ ПАК прочих БД N 2 должен представлять собой единое интегрированное решение;
- сетевая подсистема БМ ПАК прочих БД N 2 должна обеспечивать взаимодействие всех вычислительных компонентов с реализацией следующего функционала:
- реализация резервированного канала доступа между серверами со скоростью не менее 100 Гбит/с;
- реализация подключения сетевых интерфейсов компонент управления на скорости - не менее 1 Гбит/с;
- БМ ПАК прочих БД N 1 должен обеспечивать размещение на своих ресурсах сервисов СУБД, в которых суммарный объем БД зависит от конфигурации узлов модуля и требований производительности, предъявляемым к табличным пространствам;
- Программное обеспечение СУБД должно обеспечивать следующие характеристики:
- ПО СУБД должно обладать следующими характеристиками:
наличие возможности горизонтального масштабирования путем
добавления серверов хранения;
наличие встроенных механизмов отказоустойчивости данных;
возможность организации хранения данных таблиц как по записям,
так и по столбцам;
наличие механизмов резервного копирования и восстановления;
наличие единой точки входа для SQL-запросов к компонентам
сред, обеспечивающих хранение данных;
наличие инструментов для формирования федерации данных без
увеличения времени доступа к данным. Должна обеспечиваться
возможность подключения в федерацию любых источников данных,
поддерживающих ODBC/JDBC-стандарты взаимодействия;
возможность распространения параметров секции "where"
SQL-запроса в любую систему-поставщик федерации данных для
ограничения размера перемещаемой выборки данных;
шардирование данных с обеспечением локальности исполнения
запросов;
наличие возможности настройки прав доступа к очередям
сообщений, строкам и столбцам таблиц баз данных, отдельным файлам
распределенной иерархической файловой системы. В том числе с
использованием доменной авторизации по протоколу LDAP;
поддержка стандарта ANSI SQL версии 2008 или выше;
наличие эффективных алгоритмов сжатия данных (например,
Zstandard);
наличие встроенной системы развертывания и управления.
- ПО системы управления базами данных N 5 должно обладать
следующими характеристиками:
возможность пакетного обновления данных (> 1000 строк);
выполнение простых запросов с задержкой не более 50 мс;
реализация функционала работы с запросами объемом в миллиарды
строк по малому количеству столбцов;
наличие возможности обработки запросов не по столбцам, а по
векторам (частям столбцов);
наличие эффективных алгоритмов сжатия данных (например,
Zstandard);
поддержка конструкций языка SQL: group by, order by, подзапросы
в секциях FROM, IN, JOIN, а также скалярные подзапросы;
поддержка индексов;
реализация возможности быстрого индексного доступа за счет
хранения данных в отсортированном виде (merge tree);
реализация возможности ускорение выборки данных за счет
использования фильтров Блума;
возможность выполнения запросов над частью выборки с выводом
приближенного результата, возможность выполнения агрегации по
ограниченному набору случайных ключей;
репликация данных и возможность выполнения распределенных
запросов;
шардирование данных с обеспечением локальности исполнения
запросов;
наличие возможности горизонтальной и вертикальной
масштабируемости;
наличие встроенных механизмов отказоустойчивости данных;
возможность реализации отказоустойчивости за счет использования
асинхронной репликации;
наличие встроенной системы развертывания и управления.
- ПО распределенного хранения и обработки данных N 7 должно
обладать следующими характеристиками:
наличие поддержки работы в кластере из нескольких серверов;
возможность шардирования данных (под "шардированием"
подразумевается подход, при котором секции файлов и таблиц базы
данных могут храниться на разных, физически и логически независимых
серверах кластера);
наличие поддержки автоматического распределения данных между
серверами кластера и возможностью балансировки нагрузки на серверах
кластера;
возможность хранения данных как в реляционном виде, так и в
виде файлов в распределенной иерархической сетевой файловой
системе;
возможность настройки прав доступа к строкам и столбцам таблиц
баз данных, отдельным файлам распределенной иерархической файловой
системы, в том числе с использованием доменной авторизации по
протоколу LDAP;
наличие инструментария пошаговой установки сервисов;
наличие инструмента управления сервисами в кластере;
централизованное управление кластером с возможностью
выполнения следующих действий: запуск, остановка и переконфигурация
сервисов в рамках всего кластера, управление ресурсами;
возможность мониторинга состояния и статуса кластера, рассылки
уведомлений о состоянии кластера;
возможность развертывания и настройки новых хостов в кластере с
помощью преднастроенных шаблонов;
высокая доступность для следующих сервисов: HDFS, MapReduce,
YARN;
наличие версионной нереляционной распределенной базы данных,
работающей поверх HDFS;
наличие СУБД для выполнения SQL-подобных запросов и анализа
данных, хранящихся на HDFS;
наличие пакета утилит для полной установки без доступа к сети
Интернет;
наличие возможности горизонтальной масштабируемости.
- ПО потоковой обработки данных должно обладать следующими
характеристиками:
прием и хранение сообщений с возможностью доставки сообщения
нескольким реципиентам;
возможность создания записей от нескольких издателей в один
элемент хранения сообщений;
возможность ведения различных очередей чтения по одному
элементу хранения для различных реципиентов;
возможность хранения переданных сообщений в течение
настраиваемого периода времени;
возможность создания партиций (разделов) в рамках элемента
хранения и распределения сообщений по этим разделам последовательно
(round-robin) согласно хэш-значению ключа или с явным указанием
номера раздела;
распределение данных по нескольким серверам во время загрузки;
выполнение как потоковых, так и произвольных считываний файлов;
наличие возможности горизонтальной масштабируемости;
наличие встроенных механизмов отказоустойчивости данных;
автоматическое распараллеливание и распределение задач.
- ПО управления виртуализацией должно соответствовать следующим
требованиям:
использовать гипервизором подсистемы виртуализации в качестве
гостевой операционные системы, как минимум, следующих операционных
систем:
Альт Сервер 8/8.1/8.2, Альт Сервер 9/9.1, Альт Сервер 8 СП;
Альт Рабочая Станция 8/8.1/8.2, Альт Рабочая Станция
9/9.1, Альт Рабочая Станция 8 СП;
Astra Linux CE 2.12 (Орел), Astra Linux SE 1.6 (Смоленск);
Ред ОС 7.2 или выше;
количество виртуальных ЦПУ, поддерживаемых одной виртуальной
машиной, должно быть не менее 64;
объем памяти, поддерживаемой виртуальной машиной, должно быть
не менее 1 Тбайт;
поддерживать диски объемом не менее 16 Тбайт в виртуальных
машинах;
поддерживать USB-устройства в виртуальных машинах с
возможностью проброса USB ключей в виртуальную машину;
иметь возможность добавления к виртуальной среде в процессе ее
работы, следующих устройств: виртуальные ЦПУ; оперативная память;
накопители, сетевые карты;
иметь возможность предоставления виртуальным машинам больше
памяти, чем доступно физически, с осуществлением динамического
перераспределения памяти между виртуальными машинами и
освобождением неиспользуемой памяти;
обеспечивать возможность автоматического восстановления
работоспособности виртуальных машин в случае выхода из строя узла
вычислительной подсистемы с помощью перезапуска их на
работоспособных узлах;
иметь возможность включения или отключения режима высокой
доступности индивидуально для каждой виртуальной машины;
иметь возможность конвертации виртуальных машин из среды
виртуализации VMware и Microsoft Hyper-V;
поддерживать стандарт VirtIO виртуализации дисковых и сетевых
устройств;
иметь в составе гостевых инструментов (агенты для гостевых
систем поддерживаемых ОС) обеспечивающих расширенные возможности
управления гостевой операционной системой.
Сервис предоставления ПАК машины резидентной СУБД (далее - Машина) должен соответствовать следующим требованиям:
- Состоять из базового модуля (обязательно), а также функциональных модулей:
модулей вычисления и хранения,
модулей коммутации, вычисления и хранения,
модуля агрегации,
модулей резервного копирования,а также программного обеспечения для управления базами данных; количество и тип функциональных модулей варьируются в зависимости от требуемого объема хранения и производительности СУБД;
- Базовый модуль должен поддерживать интеграцию со всеми модулями, иметь возможности масштабирования объема хранения за счет добавления модулей, входящих в состав ПАК;
- Базовый модуль должен предоставлять функции отказоустойчивого управления хранением, а именно обеспечение сохранности данных, доступности объемов хранения и протоколов их подключения при отказе своих компонентов, обеспечивать служебные функции управления Машиной, управление и обеспечение сетевой связности между остальными типами модулей.
- Техническая реализация отказоустойчивого управления хранением должна обладать следующими параметрами:
поддерживать хранение данных на накопителях типов SSD и HDD с интерфейсами SAS и SATA;
поддерживать технологии избыточного хранения данных на физических дисках для обеспечения отказоустойчивости RAID 10, RAID 5, RAID 6;
иметь возможность обеспечивать сохранность данных при одновременном выходе из строя более двух любых накопителей в группе отказоустойчивости;
обеспечивать работу в режиме блочного хранилища данных;
обеспечивать работу в режиме файлового хранилища данных;
обеспечивать доступность информации в графическом виде в веб-интерфейсе системы в режиме реального времени;- Должны выполняться требования к параметрам внутреннего сетевого взаимодействия:
скорость передачи данных не менее 100 Гбит/с;
передача сверхдлинных кадров (Jumbo frames), максимальный размер кадра должен быть не менее 9000 байт;
поддержка сетевых технологий: виртуальных локальных сетей (802.1Q), быстрый протокол основного дерева (802.1w), агрегации каналов (802.3ad), управление потоком (802.3x), управление потоком на основе приоритета (802.1Qbb), явного уведомления о перегруженности (ECN), механизма классификации, управления трафиком и обеспечения качества обслуживания на основе кодов дифференцированных услуг (DSCP), поддержка технологии RDMA over Converge Ethernet (ROCE v2).- Должны выполняться требования к параметрам сети для управления Машиной:
скорость передачи данных не менее 1 Гбит/с по технологии 1000 Base-T (или эквивалент);
отказоустойчивое подключение к внешнему оборудованию на скоростях не менее 10 Гбит/с;
поддержка сетевых технологий: виртуальных локальных сетей (802.1Q), быстрый протокол основного дерева (802.1w), агрегации каналов (802.3ad).- Программные средства Базового модуля должны обеспечивать:
развертывание и управление жизненным циклом (ЖЦ) Машины;
мониторинг Машины.
формирование Электронного Паспорта Машины по завершении ее развертывания и внесение в него изменений в соответствии с изменениями в конфигурации Машины в процессе ее эксплуатации.
с помощью пользовательского интерфейса установку и обновление версий пакетов установленного в составе Машины программных средств, в том числе и при развертывании Машины в ландшафте без доступа к сети Интернет.
взаимодействие с персоналом, осуществляющим эксплуатацию Машины, при помощи графического web-интерфейса.
Управление вычислительными узлами, кластерами вычислительных узлов и их сервисами.
регистрацию и ведение списка объектов управления.
возможность доступа по сети управления до всех объектов мониторинга в составе Машины.
постоянный мониторинг в близком к реальному времени активных компонентов модулей Машины, служебных сервисов и сервисов баз данных.
графическое отображение метрик работоспособности Машины в виде графиков, отдельных значений, карт (charts), диаграмм, тепловых карт (heatmap).
хранение собранных метрик с возможностью настройки глубины хранения и управления жизненным циклом хранимых данных.
возможность изменения параметров мониторинга и пороговых значений из web-интерфейса консоли управления мониторингом.
иметь механизм оповещения о событиях мониторинга по различным каналам связи.- Все модули сервиса должны иметь конструктив и интерфейсы, обеспечивающие их интеграцию в ПАК.
- Техническая реализация модулей вычисления и хранения должна обеспечивать отказоустойчивое внутреннее взаимодействие по сети на скорости не менее 100 Гбит/с, активные компоненты модулей должны быть зарезервированы по питанию и внутреннему охлаждению. Модули должны обеспечивать размещение отказоустойчивых экземпляров данных и представлены в двух вариантах: на двух или трех вычислительных узлах.
- Накопители, используемые в модулях вычисления и хранения, должны быть собраны в отказоустойчивую конфигурацию средствами программного обеспечения Модуля, обеспечивающего следующий функционал:
поддержка работы с SSD с интерфейсами NVMe, SAS, SATA;
поддержка уровней RAID 0, 1, 5, 6, 10;
поддержка восстановления RAID;
поддержка пулов резервных дисков;
поддержка фоновой инициализации, сохранения прогресса, приоритета инициализации RAID;
поддержка реконструкции и частичной реконструкции, сохранения прогресса реконструкции, приоритета реконструкции RAID;
поддержка высокопроизводительной обработки запросов в режиме множества потоков записи с низкой интенсивностью;
поддержка обработки потоковых запросов на запись без использования кэширования отложенной записи.- Программное обеспечение модулей вычисления и хранения должно обеспечивать следующие возможности:
использование резидентной СУБД в сценариях OLTP вместо реляционной базы данных;
поддерживать язык программирования RUST;
использовать режим распределенного кэширования для валидации и обеспечения уникальности (исключения дубликатов записей) в сохраняемых СУБД данных;
иметь пропускную способность от 21000 операций в секунду в тесте производительности СУБД YCSB (opensource, тип нагрузка - A) на одном экземпляре;
иметь возможность минимизации времени задержки ответа для 95-го перцентиля запросов не более 200 микросекунд в тесте производительности СУБД YCSB (opensource, тип нагрузка - A) на одном экземпляре;
обеспечивать отказоустойчивость с помощью применения синхронной и асинхронной репликации;
избегать необходимости прогрева кэша за счет наличия персистентности;
иметь готовые коннекторы к основным базам данных, шинам, очередям - Oracle, Kafka, MySQL, PostgreSQL, MQTT и пр.;
поддерживать автоматическую миграцию и применение схемы данных;
иметь возможность шардирования (sharding), то есть размещения данных на несвязанных серверах без потери скорости;
обеспечивать возможность выбора доли всех используемых физических ядер процессоров (pCPU) вычислительных узлов доступных для использования.- Модуль коммутации, вычисления и хранения должен предоставлять функции отказоустойчивого управления хранением и обработкой данных, доступности объемов хранения и протоколов их подключения при отказе отдельных компонентов, должен обеспечивать размещение отказоустойчивых экземпляров данных на трех вычислительных узлах, а также следующие параметры сетевого взаимодействия:
скорость передачи данных не менее 100 Гбит/с на каждый канал;
передача сверхдлинных кадров (Jumbo frames), максимальный размер кадра должен быть не менее 9000 байт;
поддержка сетевых технологий: виртуальных локальных сетей (802.1Q), быстрый протокол основного дерева (802.1w), агрегации каналов (802.3ad), управление потоком (802.3x), управление потоком на основе приоритета (802.1Qbb), явного уведомления о перегруженности (ECN), механизма классификации, управления трафиком и обеспечения качества обслуживания на основе кодов дифференцированных услуг (DSCP), поддержка технологии RDMA over Converge Ethernet (ROCE v2).- Должны выполняться требования к параметрам сети для управления Машиной:
скорость передачи данных не менее 1 Гбит/с по технологии 1000 Base-T (или эквивалент);
отказоустойчивое подключение к внешнему оборудованию на скоростях не менее 10 Гбит/с;
поддержка сетевых технологий: виртуальных локальных сетей (802.1Q), быстрый протокол основного дерева (802.1w), агрегации каналов (802.3ad).- Накопители, используемые в модуле коммутации, вычисления и хранения, должны быть собраны в отказоустойчивую конфигурацию средствами программного обеспечения модуля, обеспечивающего следующий функционал:
поддержка работы с SSD с интерфейсами NVMe, SAS, SATA;
поддержка уровней RAID 0, 1, 5, 6, 10;
поддержка восстановления RAID;
поддержка пулов резервных дисков;
поддержка фоновой инициализации, сохранения прогресса, приоритета инициализации RAID;
поддержка реконструкции и частичной реконструкции, сохранения прогресса реконструкции, приоритета реконструкции RAID;
поддержка высокопроизводительной обработки запросов в режиме множества потоков записи с низкой интенсивностью;
поддержка обработки потоковых запросов на запись без использования кэширования отложенной записи.- Программное обеспечение модулей коммутации, вычисления и хранения должно обеспечивать следующие возможности:
использование резидентной СУБД в сценариях OLTP вместо реляционной базы данных;
поддерживать язык программирования RUST;
использовать режим распределенного кэширования для валидации и обеспечения уникальности (исключения дубликатов записей) в сохраняемых СУБД данных;
иметь пропускную способность от 21000 операций в секунду в тесте производительности СУБД YCSB (opensource, тип нагрузка - A) на одном экземпляре;
иметь возможность минимизации времени задержки ответа для 95-го перцентиля запросов не более 200 микросекунд в тесте производительности СУБД YCSB (opensource, тип нагрузка - A) на одном экземпляре;
обеспечивать отказоустойчивость с помощью применения синхронной и асинхронной репликации;
избегать необходимости прогрева кэша за счет наличия персистентности;
иметь готовые коннекторы к основным базам данных, шинам, очередям - Oracle, Kafka, MySQL, PostgreSQL, MQTT и др.;
поддерживать автоматическую миграцию и применение схемы данных;
иметь возможность шардирования (sharding), то есть размещение данных на несвязанных серверах без потери скорости.
обеспечивать возможность выбора доли всех используемых физических ядер процессоров (pCPU) вычислительных узлов доступных для использования.- Модуль агрегации должен обеспечивать функционал для взаимодействия двух и более модулей коммутации, вычисления и хранения, в том числе минимизацию времени отказов соединений при единичном выходе из строя (аварии) устройства сетевой связности за счет использования протоколов агрегации каналов между парными устройствами (MLAG или аналогичных).
- Модуль резервного копирования должен иметь конструктив и интерфейсы, обеспечивающие его встраивание в Базовый модуль Машины и предоставлять пространство отказоустойчивого дискового хранения.
обработки больших данных"
Сервис предоставления ПАК машины аналитической обработки больших данных должен соответствовать следующим требованиям:
- Состоять из базового модуля (обязательно), а также функциональных модулей:
модуля управления и распределения,
модулей вычисления и хранения,
модулей коммутации, вычисления и хранения,
модуля агрегации,
модулей резервного копирования,а также соответствующего программного обеспечения;
количество и тип функциональных модулей варьируются в зависимости от требуемого объема хранения и производительности СУБД;
- Базовый модуль должен поддерживать интеграцию со всеми модулями, иметь возможности масштабирования объема хранения за счет добавления модулей, входящих в состав ПАК;
- Базовый модуль должен предоставлять функции отказоустойчивого управления хранением, а именно обеспечение сохранности данных, доступности объемов хранения и протоколов их подключения при отказе своих компонентов, обеспечивать служебные функции управления Машиной, управление и обеспечение сетевой связности между остальными типами модулей.
- Техническая реализация отказоустойчивого управления хранением должна обладать следующими параметрами:
поддерживать хранение данных на накопителях типов SSD и HDD с интерфейсами SAS и SATA;
поддерживать технологии избыточного хранения данных на физических дисках для обеспечения отказоустойчивости RAID 10, RAID 5, RAID 6;
иметь возможность обеспечивать сохранность данных при одновременном выходе из строя более двух любых накопителей в группе отказоустойчивости;
обеспечивать работу в режиме блочного хранилища данных;
обеспечивать работу в режиме файлового хранилища данных;
обеспечивать доступность информации в графическом виде в веб-интерфейсе системы в режиме реального времени;- Должны выполняться требования к параметрам внутреннего сетевого взаимодействия:
скорость передачи данных не менее 100 Гбит/с;
передача сверхдлинных кадров (Jumbo frames), максимальный размер кадра должен быть не менее 9000 байт;
поддержка сетевых технологий: виртуальных локальных сетей (802.1Q), быстрый протокол основного дерева (802.1w), агрегации каналов (802.3ad), управление потоком (802.3x), управление потоком на основе приоритета (802.1Qbb), явного уведомления о перегруженности (ECN), механизма классификации, управления трафиком и обеспечения качества обслуживания на основе кодов дифференцированных услуг (DSCP), поддержка технологии RDMA over Converge Ethernet (ROCE v2).- Должны выполняться требования к параметрам сети для управления Машиной:
скорость передачи данных не менее 1 Гбит/с по технологии 1000 Base-T (или эквивалент);
отказоустойчивое подключение к внешнему оборудованию на скоростях не менее 10 Гбит/с;
поддержка сетевых технологий: виртуальных локальных сетей (802.1Q), быстрый протокол основного дерева (802.1w), агрегации каналов (802.3ad).- Программные средства Базового модуля должны обеспечивать:
развертывание и управление жизненным циклом (ЖЦ) Машины;
мониторинг Машины.
формирование Электронного Паспорта Машины по завершении ее развертывания и внесение в него изменений в соответствии с изменениями в конфигурации Машины в процессе ее эксплуатации.
с помощью пользовательского интерфейса установку и обновление версий пакетов установленного в составе Машины программных средств, в том числе и при развертывании Машины в ландшафте без доступа к сети Интернет.
взаимодействие с персоналом, осуществляющим эксплуатацию Машины, при помощи графического web-интерфейса.
Управление вычислительными узлами, кластерами вычислительных узлов и их сервисами.
регистрацию и ведение списка объектов управления.
возможность доступа по сети управления до всех объектов мониторинга в составе Машины.
постоянный мониторинг в близком к реальному времени активных компонентов модулей Машины, служебных сервисов и сервисов баз данных.
графическое отображение метрик работоспособности Машины в виде графиков, отдельных значений, карт (charts), диаграмм, тепловых карт (heatmap).
хранение собранных метрик с возможностью настройки глубины хранения и управления жизненным циклом хранимых данных.
возможность изменения параметров мониторинга и пороговых значений из web-интерфейса консоли управления мониторингом.
иметь механизм оповещения о событиях мониторинга по различным каналам связи.- Все модули сервиса должны иметь конструктив и интерфейсы, обеспечивающие их интеграцию в ПАК.
- Базовый модуль управления и распределения должен обеспечивать функции исполнения программного обеспечения системы Машины в отказоустойчивом режиме, а также управление отказоустойчивостью и нагрузкой на распределенные экземпляры данных.
- Программные средства модуля управления и распределения должны:
возможность организации хранения данных таблиц как по строкам, так и по столбцам;
возможность партиционирования таблиц с указанием различной ориентации (колоночная/строковая) и различных типов и параметров компрессии для каждой из партиций;
возможность одновременного и параллельного управления несколькими базами данных;
параллельная обработка запроса на разных процессорных ядрах;
распределение запросов по таблицам БД и их репликам;
обеспечивать автоматическое распараллеливание всех данных и запросов в архитектуре с масштабируемым общим доступом;
являться точкой входа в систему баз данных для пользователей и осуществлять их аутентификацию;
хранить глобальный системный каталог в формате системных таблиц, содержащих полный набор метаданных о распределенной базе;
обрабатывать входящие команды SQL, распределять рабочие нагрузки между сегментами, координировать результаты, возвращаемые каждым сегментом, и представлять конечные результаты клиентской программе;
обладать отказоустойчивостью на уровне узла.
обеспечивать возможность выбора доли всех используемых физических ядер процессоров (pCPU) вычислительных узлов доступных для использования.- Техническая реализация модулей вычисления и хранения должна обеспечивать отказоустойчивое внутреннее взаимодействие по сети на скорости не менее 100 Гбит/с, активные компоненты модулей должны быть зарезервированы по питанию и внутреннему охлаждению. Модули должны обеспечивать размещение отказоустойчивых экземпляров данных и представлены в двух вариантах: на двух или трех вычислительных узлах.
- Накопители, используемые в модулях вычисления и хранения, должны быть собраны в отказоустойчивую конфигурацию средствами программного обеспечения Модуля, обеспечивающего следующий функционал:
поддержка работы с SSD дисками с интерфейсами NVMe, SAS, SATA;
поддержка уровней RAID 0, 1, 5, 6, 10;
поддержка восстановления RAID;
поддержка пулов резервных дисков;
поддержка фоновой инициализации, сохранения прогресса, приоритета инициализации RAID;
поддержка реконструкции и частичной реконструкции, сохранения прогресса реконструкции, приоритета реконструкции RAID;
поддержка высокопроизводительной обработки запросов в режиме множества потоков записи с низкой интенсивностью;
поддержка обработки потоковых запросов на запись без использования кэширования отложенной записи.- Программное обеспечение модулей вычисления и хранения должно обеспечивать следующие возможности:
возможность организации хранения данных таблиц как по строкам, так и по столбцам;
возможность партиционирования таблиц с указанием различной ориентации (колоночная/строковая) и различных типов и параметров компрессии для каждой из партиций;
возможность одновременного и параллельного управления несколькими базами данных;
сжатие данных при сохранении работы с данными на диске без потери производительности;
параллельная обработка запроса на разных процессорных ядрах;
работать как с таблицами без кластеризованного индекса в режиме OLTP, так и с оптимизированными для операций присоединения со строковым и колоночным хранением в режиме OLAP;
поддерживать шардирование (sharding) как стратегию горизонтального масштабирования кластера, при которой части каждой таблицы в базе данных размещаются на разных хостах-сегментах;
иметь режим равномерного распределения данных по сегментам;
обеспечивать возможность выбора доли физических ядер процессоров (pCPU) вычислительных узлов доступных для использования;
наличие мониторинга запросов для работы с крупными объемами данных без потери производительности.- Модуль коммутации, вычисления и хранения должен предоставлять функции отказоустойчивого управления хранением и обработкой данных, доступности объемов хранения и протоколов их подключения при отказе отдельных компонентов, должен обеспечивать размещение отказоустойчивых экземпляров данных на трех вычислительных узлах, а также следующие параметры сетевого взаимодействия:
скорость передачи данных не менее 100 Гбит/с на каждый канал;
передача сверхдлинных кадров (Jumbo frames), максимальный размер кадра должен быть не менее 9000 байт;
поддержка сетевых технологий: виртуальных локальных сетей (802.1Q), быстрый протокол основного дерева (802.1w), агрегации каналов (802.3ad), управление потоком (802.3x), управление потоком на основе приоритета (802.1Qbb), явного уведомления о перегруженности (ECN), механизма классификации, управления трафиком и обеспечения качества обслуживания на основе кодов дифференцированных услуг (DSCP), поддержка технологии RDMA over Converge Ethernet (ROCE v2).- Должны выполняться требования к параметрам сети для управления Машиной:
скорость передачи данных не менее 1 Гбит/с по технологии 1000 Base-T (или эквивалент);
отказоустойчивое подключение к внешнему оборудованию на скоростях не менее 10 Гбит/с;
поддержка сетевых технологий: виртуальных локальных сетей (802.1Q), быстрый протокол основного дерева (802.1w), агрегации каналов (802.3ad).- Накопители, используемые в модуле коммутации, вычисления и хранения, должны быть собраны в отказоустойчивую конфигурацию средствами программного обеспечения модуля, обеспечивающего следующий функционал:
поддержка работы с SSD дисками с интерфейсами NVMe, SAS, SATA;
поддержка уровней RAID 0, 1, 5, 6, 10;
поддержка восстановления RAID;
поддержка пулов резервных дисков;
поддержка фоновой инициализации, сохранения прогресса, приоритета инициализации RAID;
поддержка реконструкции и частичной реконструкции, сохранения прогресса реконструкции, приоритета реконструкции RAID;
поддержка высокопроизводительной обработки запросов в режиме множества потоков записи с низкой интенсивностью;
поддержка обработки потоковых запросов на запись без использования кэширования отложенной записи.- Программное обеспечение модулей коммутации, вычисления и хранения должно обеспечивать следующие возможности:
возможность организации хранения данных таблиц как по строкам, так и по столбцам;
возможность партиционирования таблиц с указанием различной ориентации (колоночная/строковая) и различных типов и параметров компрессии для каждой из партиций;
возможность одновременного и параллельного управления несколькими базами данных;
сжатие данных при сохранении работы с данными на диске без потери производительности;
параллельная обработка запроса на разных процессорных ядрах;
работать как с таблицами без кластеризованного индекса в режиме OLTP, так и с оптимизированными для операций присоединения со строковым и колоночным хранением в режиме OLAP;
поддерживать шардирование (sharding) как стратегию горизонтального масштабирования кластера, при которой части каждой таблицы в базе данных размещаются на разных хостах-сегментах;
иметь режим равномерного распределения данных по сегментам;
обеспечивать возможность выбора доли физических ядер процессоров (pCPU) вычислительных узлов доступных для использования;
наличие мониторинга запросов для работы с крупными объемами данных без потери производительности.- Модуль агрегации должен обеспечивать функционал для взаимодействия двух и более модулей коммутации, вычисления и хранения, в том числе минимизацию времени отказов соединений при единичном выходе из строя (аварии) устройства сетевой связности за счет использования протоколов агрегации каналов между парными устройствами (MLAG или аналогичных).
- Модуль агрегации должен выполнять требования к параметрам внутреннего сетевого взаимодействия и организации сетевого доступа внешних потребителей сервисов Машины:
скорость передачи данных не менее 100 Гбит/с на каждый канал;
передача сверхдлинных кадров (Jumbo frames), максимальный размер кадра должен быть не менее 9000 байт;
поддержка отказоустойчивого подключения к внешнему оборудованию (вне Машины) на номинальных скоростях не менее 200 Гбит/с;
отказоустойчивость шлюза по умолчанию (VRRP или аналог);
поддержка сетевых технологий: виртуальных локальных сетей (802.1Q), быстрый протокол основного дерева (802.1w), агрегации каналов (802.3ad), управление потоком (802.3x), управление потоком на основе приоритета (802.1Qbb), явного уведомления о перегруженности (ECN), механизма классификации, управления трафиком и обеспечения качества обслуживания на основе кодов дифференцированных услуг (DSCP), поддержка технологии RDMA over Converge Ethernet (ROCE v2).- Модуль резервного копирования должен иметь конструктив и интерфейсы, обеспечивающие его встраивание в Базовый модуль Машины и предоставлять пространство отказоустойчивого дискового хранения.
статистической обработки больших данных"
Сервис предоставления ПАК машины статистической обработки больших данных должен соответствовать следующим требованиям:
- Состоять из базового модуля (обязательно), а также следующих функциональных модулей:
модуля управления и распределения нескольких типов,
модулей вычисления и хранения нескольких типов,
модулей коммутации, вычисления и хранения нескольких типов,
модуля агрегации,
модуля резервного копирования,а также соответствующего программного обеспечения;
количество и тип функциональных модулей варьируются в зависимости от требуемого объема хранения и производительности СУБД;
- Базовый модуль должен поддерживать интеграцию со всеми модулями, иметь возможности масштабирования объема хранения за счет добавления модулей, входящих в состав ПАК;
- Базовый модуль должен предоставлять функции отказоустойчивого управления хранением, а именно обеспечение сохранности данных, доступности объемов хранения и протоколов их подключения при отказе своих компонентов, обеспечивать служебные функции управления Машиной, управление и обеспечение сетевой связности между остальными типами модулей.
- Техническая реализация отказоустойчивого управления хранением должна обладать следующими параметрами:
поддерживать хранение данных на накопителях типов SSD и HDD с интерфейсами SAS и SATA;
поддерживать технологии избыточного хранения данных на физических дисках для обеспечения отказоустойчивости RAID 10, RAID 5, RAID 6;
иметь возможность обеспечивать сохранность данных при одновременном выходе из строя более двух любых накопителей в группе отказоустойчивости;
обеспечивать работу в режиме блочного хранилища данных;
обеспечивать работу в режиме файлового хранилища данных;
обеспечивать доступность информации в графическом виде в веб-интерфейсе системы в режиме реального времени;- Должны выполняться требования к параметрам внутреннего сетевого взаимодействия:
скорость передачи данных не менее 100 Гбит/с;
передача сверхдлинных кадров (Jumbo frames), максимальный размер кадра должен быть не менее 9000 байт;
поддержка сетевых технологий: виртуальных локальных сетей (802.1Q), быстрый протокол основного дерева (802.1w), агрегации каналов (802.3ad), управление потоком (802.3x), управление потоком на основе приоритета (802.1Qbb), явного уведомления о перегруженности (ECN), механизма классификации, управления трафиком и обеспечения качества обслуживания на основе кодов дифференцированных услуг (DSCP), поддержка технологии RDMA over Converge Ethernet (ROCE v2).- Должны выполняться требования к параметрам сети для управления Машиной:
скорость передачи данных не менее 1 Гбит/с по технологии 1000 Base-T (или эквивалент);
отказоустойчивое подключение к внешнему оборудованию на скоростях не менее 10 Гбит/с;
поддержка сетевых технологий: виртуальных локальных сетей (802.1Q), быстрый протокол основного дерева (802.1w), агрегации каналов (802.3ad).- Программные средства Базового модуля должны обеспечивать:
развертывание и управление жизненным циклом (ЖЦ) Машины;
мониторинг Машины.
формирование Электронного Паспорта Машины по завершении ее развертывания и внесение в него изменений в соответствии с изменениями в конфигурации Машины в процессе ее эксплуатации.
с помощью пользовательского интерфейса установку и обновление версий пакетов установленного в составе Машины программных средств, в том числе и при развертывании Машины в ландшафте без доступа к сети Интернет.
взаимодействие с персоналом, осуществляющим эксплуатацию Машины, при помощи графического web-интерфейса.
Управление вычислительными узлами, кластерами вычислительных узлов и их сервисами.
регистрацию и ведение списка объектов управления.
возможность доступа по сети управления до всех объектов мониторинга в составе Машины.
постоянный мониторинг в близком к реальному времени активных компонентов модулей Машины, служебных сервисов и сервисов баз данных.
графическое отображение метрик работоспособности Машины в виде графиков, отдельных значений, карт (charts), диаграмм, тепловых карт (heatmap).
хранение собранных метрик с возможностью настройки глубины хранения и управления жизненным циклом хранимых данных.
возможность изменения параметров мониторинга и пороговых значений из web-интерфейса консоли управления мониторингом.
иметь механизм оповещения о событиях мониторинга по различным каналам связи.- Все модули сервиса должны иметь конструктив и интерфейсы, обеспечивающие их интеграцию в ПАК.
- Модуль управления и распределения должен обеспечивать функции исполнения программного обеспечения системы Машины в отказоустойчивом режиме, а также управление отказоустойчивостью и нагрузкой на распределенные экземпляры данных.
- Программные средства модуля управления и распределения должны:
колоночное хранение данных;
поддержка индексов и вторичных индексов, не входящих в первичный; поддержка Log-structured merge-tree (LSM) и фильтров Блума;
возможность партиционирования таблиц;
возможность одновременного и параллельного управления несколькими базами данных;
параллельная обработка запроса на разных процессорных ядрах;
распределение запросов по таблицам БД и их репликам;
формирование запросов для обработки данных по векторам;
поддержка работы с таблицами с первичным ключом без блокировок при добавлении данных;
наличие агрегатных функций для приближенного вычисления количества различных значений, медианы и квантилей;
генерация запроса на основе части (выборки) данных и для получения приближенного результата;
контроль и поддержка асинхронной мультимастер-репликации с возможностью включения кворумной записи в реплики;
создание встроенной генерации кода для выполнения запроса;
возможность работы с массивами;
возможность задать время хранения значений (TTL);
обеспечивать возможность выбора доли всех используемых физических ядер процессоров (pCPU) вычислительных узлов доступных для использования.- Техническая реализация модулей вычисления и хранения должна обеспечивать отказоустойчивое внутреннее взаимодействие по сети на скорости не менее 100 Гбит/с, активные компоненты модулей должны быть зарезервированы по питанию и внутреннему охлаждению. Модули должны обеспечивать размещение отказоустойчивых экземпляров данных и представлены в двух вариантах: на двух или трех вычислительных узлах.
- Накопители, используемые в модулях вычисления и хранения, должны быть собраны в отказоустойчивую конфигурацию средствами программного обеспечения Модуля, обеспечивающего следующий функционал:
поддержка работы с SSD дисками с интерфейсами NVMe, SAS, SATA;
поддержка уровней RAID 0, 1, 5, 6, 10;
поддержка восстановления RAID;
поддержка пулов резервных дисков;
поддержка фоновой инициализации, сохранения прогресса, приоритета инициализации RAID;
поддержка реконструкции и частичной реконструкции, сохранения прогресса реконструкции, приоритета реконструкции RAID;
поддержка высокопроизводительной обработки запросов в режиме множества потоков записи с низкой интенсивностью;
поддержка обработки потоковых запросов на запись без использования кэширования отложенной записи.- Программное обеспечение модулей вычисления и хранения должно обеспечивать следующие возможности:
колоночное хранение данных;
поддержка индексов и вторичных индексов, не входящих в первичный; поддержка Log-structured merge-tree (LSM) и фильтров Блума;
возможность партиционирования таблиц;
возможность одновременного и параллельного управления несколькими базами данных;
параллельная обработка запроса на разных процессорных ядрах;
распределение запросов по таблицам БД и их репликам;
формирование запросов для обработки данных по векторам;
поддержка работы с таблицами с первичным ключом без блокировок при добавлении данных;
наличие агрегатных функций для приближенного вычисления количества различных значений, медианы и квантилей;
генерация запроса на основе части (выборки) данных и для получения приближенного результата;
контроль и поддержка асинхронной мультимастер-репликации с возможностью включения кворумной записи в реплики;
создание встроенной генерации кода для выполнения запроса;
возможность работы с массивами;
возможность задать время хранения значений (TTL);
обеспечивать возможность выбора доли всех используемых физических ядер процессоров (pCPU) вычислительных узлов доступных для использования.- Модуль коммутации, вычисления и хранения должен предоставлять функции отказоустойчивого управления хранением и обработкой данных, доступности объемов хранения и протоколов их подключения при отказе отдельных компонентов, должен обеспечивать размещение отказоустойчивых экземпляров данных на трех вычислительных узлах, а также следующие параметры сетевого взаимодействия:
скорость передачи данных не менее 100 Гбит/с на каждый канал;
передача сверхдлинных кадров (Jumbo frames), максимальный размер кадра должен быть не менее 9000 байт;
поддержка сетевых технологий: виртуальных локальных сетей (802.1Q), быстрый протокол основного дерева (802.1w), агрегации каналов (802.3ad), управление потоком (802.3x), управление потоком на основе приоритета (802.1Qbb), явного уведомления о перегруженности (ECN), механизма классификации, управления трафиком и обеспечения качества обслуживания на основе кодов дифференцированных услуг (DSCP), поддержка технологии RDMA over Converge Ethernet (ROCE v2).- Должны выполняться требования к параметрам сети для управления Машиной:
скорость передачи данных не менее 1 Гбит/с по технологии 1000 Base-T (или эквивалент);
отказоустойчивое подключение к внешнему оборудованию на скоростях не менее 10 Гбит/с;
поддержка сетевых технологий: виртуальных локальных сетей (802.1Q), быстрый протокол основного дерева (802.1w), агрегации каналов (802.3ad).- Накопители, используемые в модуле коммутации, вычисления и хранения, должны быть собраны в отказоустойчивую конфигурацию средствами программного обеспечения модуля, обеспечивающего следующий функционал:
поддержка работы с SSD дисками с интерфейсами NVMe, SAS, SATA;
поддержка уровней RAID 0, 1, 5, 6, 10;
поддержка восстановления RAID;
поддержка пулов резервных дисков;
поддержка фоновой инициализации, сохранения прогресса, приоритета инициализации RAID;
поддержка реконструкции и частичной реконструкции, сохранения прогресса реконструкции, приоритета реконструкции RAID;
поддержка высокопроизводительной обработки запросов в режиме множества потоков записи с низкой интенсивностью;
поддержка обработки потоковых запросов на запись без использования кэширования отложенной записи.- Программное обеспечение модулей коммутации, вычисления и хранения должно обеспечивать следующие возможности:
- поддержка индексов и вторичных индексов, не входящих в первичный;
- поддержка Log-structured merge-tree (LSM) и фильтров Блума;
- возможность партиционирования таблиц;
- возможность одновременного и параллельного управления несколькими базами данных;
- сжатие данных при сохранении работы с данными на диске без потери производительности;
- параллельная обработка запроса на разных процессорных ядрах;
- распределенная обработка запроса на разных шардах (shards);
- поддержка конструкций языка SQL: distinct, group by, order by, having, apply, union/union all, регулярные выражения; подзапросы в секциях FROM, IN, JOIN; скалярные подзапросы, оконные функции;
- колоночное (по столбцам) хранение данных в БД;
- обработка данных по векторам;
- поддержка таблиц с первичным ключом без блокировок при добавлении данных;
- наличие агрегатных функций для приближенного вычисления количества различных значений, медианы и квантилей;
- возможность выполнения запрос на основе части (выборки) данных и для получения приближенного результата;
- наличие асинхронной мультимастер-репликации с возможностью включения кворумной записи в реплики;
- возможность работы с массивами;
возможность задать время хранения значений (TTL).
обеспечивать возможность выбора доли физических ядер процессоров (pCPU) вычислительных узлов доступных для использования;
наличие мониторинга запросов для работы с крупными объемами данных без потери производительности.
- Модуль агрегации должен обеспечивать функционал для взаимодействия двух и более модулей коммутации, вычисления и хранения, в том числе минимизацию времени отказов соединений при единичном выходе из строя (аварии) устройства сетевой связности за счет использования протоколов агрегации каналов между парными устройствами (MLAG или аналогичных).
- Модуль агрегации должен выполнять требования к параметрам внутреннего сетевого взаимодействия и организации сетевого доступа внешних потребителей сервисов Машины:
скорость передачи данных не менее 100 Гбит/с на каждый канал;
передача сверхдлинных кадров (Jumbo frames), максимальный размер кадра должен быть не менее 9000 байт;
поддержка отказоустойчивого подключения к внешнему оборудованию (вне Машины) на номинальных скоростях не менее 200 Гбит/с;
отказоустойчивость шлюза по умолчанию (VRRP или аналог);
поддержка сетевых технологий: виртуальных локальных сетей (802.1Q), быстрый протокол основного дерева (802.1w), агрегации каналов (802.3ad), управление потоком (802.3x), управление потоком на основе приоритета (802.1Qbb), явного уведомления о перегруженности (ECN), механизма классификации, управления трафиком и обеспечения качества обслуживания на основе кодов дифференцированных услуг (DSCP), поддержка технологии RDMA over Converge Ethernet (ROCE v2).- Модуль резервного копирования должен иметь конструктив и интерфейсы, обеспечивающие его встраивание в Базовый модуль Машины и предоставлять пространство отказоустойчивого дискового хранения.
неструктурированных больших данных"
Сервис предоставления ПАК машины обработки неструктурированных больших данных должен соответствовать следующим требованиям:
- Состоять из базового модуля (обязательно), а также следующих функциональных модулей:
модуля управления и распределения,
модулей вычисления и хранения,
модулей коммутации, вычисления и хранения,
модулей граничных функций,
модуля агрегации,
модуля резервного копирования,а также соответствующего программного обеспечения;
количество и тип функциональных модулей варьируются в зависимости от требуемого объема хранения и производительности СУБД;
- Базовый модуль должен поддерживать интеграцию со всеми модулями, иметь возможности масштабирования объема хранения за счет добавления модулей, входящих в состав ПАК;
- Базовый модуль должен предоставлять функции отказоустойчивого управления хранением, а именно обеспечение сохранности данных, доступности объемов хранения и протоколов их подключения при отказе своих компонентов, обеспечивать служебные функции управления Машиной, управление и обеспечение сетевой связности между остальными типами модулей.
- Техническая реализация отказоустойчивого управления хранением должна обладать следующими параметрами:
поддерживать хранение данных на накопителях типов SSD и HDD с интерфейсами SAS и SATA;
поддерживать технологии избыточного хранения данных на физических дисках для обеспечения отказоустойчивости RAID 10, RAID 5, RAID 6;
иметь возможность обеспечивать сохранность данных при одновременном выходе из строя более двух любых накопителей в группе отказоустойчивости;
обеспечивать работу в режиме блочного хранилища данных;
обеспечивать работу в режиме файлового хранилища данных;
обеспечивать доступность информации в графическом виде в веб-интерфейсе системы в режиме реального времени;- Должны выполняться требования к параметрам внутреннего сетевого взаимодействия:
скорость передачи данных не менее 100 Гбит/с;
передача сверхдлинных кадров (Jumbo frames), максимальный размер кадра должен быть не менее 9000 байт;
поддержка сетевых технологий: виртуальных локальных сетей (802.1Q), быстрый протокол основного дерева (802.1w), агрегации каналов (802.3ad), управление потоком (802.3x), управление потоком на основе приоритета (802.1Qbb), явного уведомления о перегруженности (ECN), механизма классификации, управления трафиком и обеспечения качества обслуживания на основе кодов дифференцированных услуг (DSCP), поддержка технологии RDMA over Converge Ethernet (ROCE v2).- Должны выполняться требования к параметрам сети для управления Машиной:
скорость передачи данных не менее 1 Гбит/с по технологии 1000 Base-T (или эквивалент);
отказоустойчивое подключение к внешнему оборудованию на скоростях не менее 10 Гбит/с;
поддержка сетевых технологий: виртуальных локальных сетей (802.1Q), быстрый протокол основного дерева (802.1w), агрегации каналов (802.3ad).- Программные средства Базового модуля должны обеспечивать:
развертывание и управление жизненным циклом (ЖЦ) Машины;
мониторинг Машины.
формирование Электронного Паспорта Машины по завершении ее развертывания и внесение в него изменений в соответствии с изменениями в конфигурации Машины в процессе ее эксплуатации.
с помощью пользовательского интерфейса установку и обновление версий пакетов установленного в составе Машины программных средств, в том числе и при развертывании Машины в ландшафте без доступа к сети Интернет.
взаимодействие с персоналом, осуществляющим эксплуатацию Машины, при помощи графического web-интерфейса.
Управление вычислительными узлами, кластерами вычислительных узлов и их сервисами.
регистрацию и ведение списка объектов управления.
возможность доступа по сети управления до всех объектов мониторинга в составе Машины.
постоянный мониторинг в близком к реальному времени активных компонентов модулей Машины, служебных сервисов и сервисов баз данных.
графическое отображение метрик работоспособности Машины в виде графиков, отдельных значений, карт (charts), диаграмм, тепловых карт (heatmap).
хранение собранных метрик с возможностью настройки глубины хранения и управления жизненным циклом хранимых данных.
возможность изменения параметров мониторинга и пороговых значений из web-интерфейса консоли управления мониторингом.
иметь механизм оповещения о событиях мониторинга по различным каналам связи.- Все модули сервиса должны иметь конструктив и интерфейсы, обеспечивающие их интеграцию в ПАК.
- Базовый модуль управления и распределения должен обеспечивать функции исполнения программного обеспечения системы Машины в отказоустойчивом режиме, а также управление отказоустойчивостью и нагрузкой на распределенные экземпляры данных.
- Программные средства модуля управления и распределения должны:
создавать отказоустойчивое хранение пространства имен файловой системы, сохраняя дерево файлов, а также метаданные файлов и каталогов распределенной файловой системы, нацеленной на хранение файлов больших размеров с возможностью потокового доступа к информации, поблочно распределенной по узлам вычислительного кластера, который, в свою очередь, может состоять из произвольного аппаратного обеспечения;
отвечать за открытие и закрытие файлов, создание и удаление каталогов, управление доступом со стороны внешних клиентов и соответствие между файлами и блоками, дублированными (реплицированными) на узлах данных;
раскрывать для клиентов системы расположение блоков данных на машинах кластера;
реплицировать образ HDFS и лог транзакций операций с файловыми блоками во временную папку, применять изменения, накопленные в логе транзакций к образу HDFS;
контролировать и поддерживать принцип единственности записи при множественном чтении для освобождения от блокировок множественной записи;
обеспечивать возможность выбора доли всех используемых физических ядер процессоров (pCPU) вычислительных узлов доступных для использования.- Техническая реализация модулей вычисления и хранения должна обеспечивать отказоустойчивое внутреннее взаимодействие по сети на скорости не менее 100 Гбит/с, активные компоненты модулей должны быть зарезервированы по питанию и внутреннему охлаждению. Модули должны обеспечивать размещение отказоустойчивых экземпляров данных и представлены в двух вариантах: на двух или трех вычислительных узлах.
- Накопители, используемые в модулях вычисления и хранения, должны быть собраны в отказоустойчивую конфигурацию средствами программного обеспечения Модуля, обеспечивающего следующий функционал:
поддержка работы с SSD дисками с интерфейсами NVMe, SAS, SATA;
поддержка уровней RAID 0, 1, 5, 6, 10;
поддержка восстановления RAID;
поддержка пулов резервных дисков;
поддержка фоновой инициализации, сохранения прогресса, приоритета инициализации RAID;
поддержка реконструкции и частичной реконструкции, сохранения прогресса реконструкции, приоритета реконструкции RAID;
поддержка высокопроизводительной обработки запросов в режиме множества потоков записи с низкой интенсивностью;
поддержка обработки потоковых запросов на запись без использования кэширования отложенной записи.- Программное обеспечение модулей вычисления и хранения должно обеспечивать следующие возможности:
быть ориентированным на хранение неструктурированных, слабоструктурированных и сильно разреженных данных с возможностью массивно-параллельной обработки;
иметь возможность построения системы хранения с не менее чем тремя репликами каждой таблицы с автоматическим изменением карты хранения данных для достижения отказоустойчивости;
иметь возможность хранения данных как в реляционном виде, так и в виде файлов в распределенной иерархической сетевой файловой системе;
иметь возможность обработки и хранения данных любых типов и форматов;
обеспечивать высокую доступность для следующих сервисов: HDFS, YARN;
наличие СУБД для выполнения SQL-подобных запросов и анализа данных, хранящихся в файловой системе;
иметь наличие версионной нереляционной распределенной базы данных, работающей поверх HDFS;
иметь встроенную совместимость (коннекторы) с приложениями для работы с данными через REST API;
иметь возможность обработки транзакций в реальном времени;
поддерживать программное сжатие данных для ускорения выполнения аналитических запросов;
обеспечивать линейную горизонтальную масштабируемость в кластере из множества модулей;
обеспечивать возможность выбора доли всех используемых физических ядер процессоров (pCPU) вычислительных узлов доступных для использования.- Модуль коммутации, вычисления и хранения должен предоставлять функции отказоустойчивого управления хранением и обработкой данных, доступности объемов хранения и протоколов их подключения при отказе отдельных компонентов, должен обеспечивать размещение отказоустойчивых экземпляров данных на трех вычислительных узлах, а также следующие параметры сетевого взаимодействия:
скорость передачи данных не менее 100 Гбит/с на каждый канал;
передача сверхдлинных кадров (Jumbo frames), максимальный размер кадра должен быть не менее 9000 байт;
поддержка сетевых технологий: виртуальных локальных сетей (802.1Q), быстрый протокол основного дерева (802.1w), агрегации каналов (802.3ad), управление потоком (802.3x), управление потоком на основе приоритета (802.1Qbb), явного уведомления о перегруженности (ECN), механизма классификации, управления трафиком и обеспечения качества обслуживания на основе кодов дифференцированных услуг (DSCP), поддержка технологии RDMA over Converge Ethernet (ROCE v2).- Должны выполняться требования к параметрам сети для управления Машиной:
скорость передачи данных не менее 1 Гбит/с по технологии 1000 Base-T (или эквивалент);
отказоустойчивое подключение к внешнему оборудованию на скоростях не менее 10 Гбит/с;
поддержка сетевых технологий: виртуальных локальных сетей (802.1Q), быстрый протокол основного дерева (802.1w), агрегации каналов (802.3ad).- Накопители, используемые в модуле коммутации, вычисления и хранения, должны быть собраны в отказоустойчивую конфигурацию средствами программного обеспечения модуля, обеспечивающего следующий функционал:
поддержка работы с SSD дисками с интерфейсами NVMe, SAS, SATA;
поддержка уровней RAID 0, 1, 5, 6,10;
поддержка восстановления RAID;
поддержка пулов резервных дисков;
поддержка фоновой инициализации, сохранения прогресса, приоритета инициализации RAID;
поддержка реконструкции и частичной реконструкции, сохранения прогресса реконструкции, приоритета реконструкции RAID;
поддержка высокопроизводительной обработки запросов в режиме множества потоков записи с низкой интенсивностью;
поддержка обработки потоковых запросов на запись без использования кэширования отложенной записи.- Программное обеспечение модулей коммутации, вычисления и хранения должно обеспечивать следующие возможности:
быть ориентированным на хранение неструктурированных, слабоструктурированных и сильно разреженных данных с возможностью массивно-параллельной обработки;
иметь возможность построения системы хранения с не менее чем тремя репликами каждой таблицы с автоматическим изменением карты хранения данных для достижения отказоустойчивости;
иметь возможность хранения данных как в реляционном виде, так и в виде файлов в распределенной иерархической сетевой файловой системе;
иметь возможность обработки и хранения данных любых типов и форматов;
обеспечивать высокую доступность для следующих сервисов: HDFS, YARN;
наличие СУБД для выполнения SQL-подобных запросов и анализа данных, хранящихся в файловой системе;
иметь наличие версионной нереляционной распределенной базы данных, работающей поверх HDFS;
иметь встроенную совместимость (коннекторы) с приложениями для работы с данными через REST API;
иметь возможность обработки транзакций в реальном времени;
поддерживать программное сжатие данных для ускорения выполнения аналитических запросов;
обеспечивать линейную горизонтальную масштабируемость в кластере из множества модулей;
обеспечивать возможность выбора доли всех используемых физических ядер процессоров (pCPU) вычислительных узлов доступных для использования.- Модуль граничных функций должен обеспечивать функции исполнения программного обеспечения системы Машины в отказоустойчивом режиме.
- Накопители, используемые в модуле граничных функций, должны быть собраны в отказоустойчивую конфигурацию средствами программного обеспечения модуля, обеспечивающего следующий функционал:
поддержка работы с SSD дисками с интерфейсами NVMe, SAS, SATA;
поддержка уровней RAID 0, 1, 5, 6, 10;
поддержка восстановления RAID;
поддержка пулов резервных дисков;
поддержка фоновой инициализации, сохранения прогресса, приоритета инициализации RAID;
поддержка реконструкции и частичной реконструкции, сохранения прогресса реконструкции, приоритета реконструкции RAID;
поддержка высокопроизводительной обработки запросов в режиме множества потоков записи с низкой интенсивностью;
поддержка обработки потоковых запросов на запись без использования кэширования отложенной записи.- Программное обеспечение модулей граничных функций должно обеспечивать следующие возможности:
иметь ориентацию на снятие вычислительной нагрузки с модулей хранения и вычисления;
обеспечивать непрерывность обработки данных при загрузке и выгрузке данных;
полнофункциональная поддержка аутентификации с использованием Kerberos, интеграция с LDAP/Active Directory, поддержка авторизации доступа к объектам кластера с использованием Ranger, журналы и отчеты аудита;
возможность запуска сервисов обработки данных на платформе параллельной обработки с открытым API для выполнения задач инженерии данных, анализа данных и машинного обучения без нагрузки на системы хранения;
вычисление и построение графов с возможностью динамической реконфигурации для оптимизации под тип данных;
обеспечивать возможность выбора доли всех используемых физических ядер процессоров (pCPU) вычислительных узлов доступных для использования.- Модуль агрегации должен обеспечивать функционал для взаимодействия двух и более модулей коммутации, вычисления и хранения, в том числе минимизацию времени отказов соединений при единичном выходе из строя (аварии) устройства сетевой связности за счет использования протоколов агрегации каналов между парными устройствами (MLAG или аналогичных).
- Модуль агрегации должен выполнять требования к параметрам внутреннего сетевого взаимодействия и организации сетевого доступа внешних потребителей сервисов Машины:
скорость передачи данных не менее 100 Гбит/с на каждый канал;
передача сверхдлинных кадров (Jumbo frames), максимальный размер кадра должен быть не менее 9000 байт;
поддержка отказоустойчивого подключения к внешнему оборудованию (вне Машины) на номинальных скоростях не менее 200 Гбит/с;
отказоустойчивость шлюза по умолчанию (VRRP или аналог);
поддержка сетевых технологий: виртуальных локальных сетей (802.1Q), быстрый протокол основного дерева (802.1w), агрегации каналов (802.3ad), управление потоком (802.3x), управление потоком на основе приоритета (802.1Qbb), явного уведомления о перегруженности (ECN), механизма классификации, управления трафиком и обеспечения качества обслуживания на основе кодов дифференцированных услуг (DSCP), поддержка технологии RDMA over Converge Ethernet (ROCE v2).- Модуль резервного копирования должен иметь конструктив и интерфейсы, обеспечивающие его встраивание в Базовый модуль Машины и предоставлять пространство отказоустойчивого дискового хранения.
Сервис предоставления ПАК машины хранения данных должен соответствовать следующим требованиям:
- Состоять из базового модуля (обязательно), а также следующих функциональных моделей:
модулей хранения,
модулей коммутации и хранения,
модуля агрегации,
модулей глобального балансировщика,а также соответствующего программного обеспечения; количество и тип функциональных модулей варьируются в зависимости от требуемого объема хранения и производительности ПАК;
- Базовый модуль должен поддерживать интеграцию со всеми модулями, иметь возможности масштабирования объема хранения за счет добавления модулей, входящих в состав ПАК;
- Базовый модуль должен предоставлять функции отказоустойчивого управления хранением, а именно обеспечение сохранности данных, доступности объемов хранения и протоколов их подключения при отказе своих компонентов, обеспечивать служебные функции управления Машиной, управление и обеспечение сетевой связности между остальными типами модулей.
- Техническая реализация отказоустойчивого управления хранением должна обладать следующими параметрами:
реализовывать хранение данных на накопителях SSD, SAS HDD, SATA HDD 7.2K;
обеспечивать кэширование, как минимум, операций записи с использованием накопителей SSD;
реализовывать технологии избыточного хранения данных на физических дисках с хранением копий на физически разных узлах Машины для обеспечения отказоустойчивого хранения данных;
обеспечивать работоспособность Базового модуля при выходе любого одного устройства, входящего в состав Модуля;
поддерживать протоколы объектного доступа S3 и блочного доступа iSCSI;
включать программные средства мониторинга, позволяющие собирать информацию о состоянии физических компонентов Машины.- Должны выполняться требования к параметрам организации сетевого доступа потребителей сервиса:
скорость передачи данных не менее 25 Гбит/с;
поддержка отказоустойчивого подключения к внешнему оборудованию на номинальных скоростях не менее 100 Гбит/с;
отказоустойчивость шлюза по умолчанию (VRRP);
поддержка сетевых технологий: виртуальных локальных сетей (802.1Q), быстрый протокол основного дерева (802.1w), агрегации каналов (802.3ad), управление потоком (802.3x), механизм классификации, управления трафиком и обеспечения качества обслуживания на основе кодов дифференцированных услуг (DSCP).- Должны выполняться требования к параметрам внутреннего сетевого взаимодействия:
скорость передачи данных не менее 100 Гбит/с;
передача сверхдлинных кадров (Jumbo frames), максимальный размер кадра должен быть не менее 9000 байт;
поддержка сетевых технологий: виртуальных локальных сетей (802.1Q), быстрый протокол основного дерева (802.1w), агрегации каналов (802.3ad), управление потоком (802.3x), управление потоком на основе приоритета (802.1Qbb), явного уведомления о перегруженности (ECN), механизма классификации, управления трафиком и обеспечения качества обслуживания на основе кодов дифференцированных услуг (DSCP), поддержка технологии RDMA over Converge Ethernet (ROCE v2).- Должны выполняться требования к параметрам сети для управления Машиной:
скорость передачи данных не менее 1 Гбит/с по технологии 1000 Base-T (или эквивалент);
отказоустойчивое подключение к внешнему оборудованию на скоростях не менее 10 Гбит/с;
поддержка сетевых технологий: виртуальных локальных сетей (802.1Q), быстрый протокол основного дерева (802.1w), агрегации каналов (802.3ad).- Базовый модуль должен поддерживать интеграцию со всеми модулями, иметь возможности масштабирования объема хранения за счет добавления модулей, входящих в состав ПАК;
- Программное обеспечение хранения объектов (данных) должно обеспечивать реализацию, как минимум, следующих функций и свойств:
обеспечение возможности масштабирования хранения данных не менее 8 Пб;
объединение накопителей модулей хранения и модулей коммутации и хранения в единый распределенный дисковый массив;
обеспечение отказоустойчивости хранения данных при выходе из строя, как минимум, одного любого узла модулей хранения или модулей коммутации и хранения;
возможность одновременного использования дисков SSD, SAS HDD и SATA HDD разной емкости для реализации распределенного дискового массива;
возможность предоставлять доступ к хранилищу по протоколу iSCSI;
обеспечение отказоустойчивости хранения с использованием следующих технологий:
создания трех копий данных при использовании при соответствующей конфигурации ПАК;
реализации помехоустойчивого кодирования (erasure coding) при соответствующей конфигурации ПАК;
возможность использования SSD накопителей под задачи кэширования операций записи/чтения для HDD накопителей;
возможность замены используемых или вышедших из строя накопителей без прерывания работы модуля.- Программное обеспечение хранения объектов с доступом по протоколу S3 должно обеспечивать реализацию, как минимум, следующих функций и свойств:
отказоустойчивость реализации, исключающую отказ в предоставлении сервиса при отказах аппаратных компонентов;
использование протокола, совместимого с Amazon S3;
отсутствие программных ограничений на количество хранимых объектов;
поддержку метода авторизации AWS Signature Version 4;
поддержку версионности объектов.- Программное обеспечение балансировки нагрузки при доступе по протоколу S3 должно обеспечивать реализацию, как минимум, следующих функций и свойств:
перенаправление запросов пользователей на разные узлы хранения данных для равномерного распределения нагрузки;
возможность использования, как минимум, технологии Round-robin для реализации балансировки;
контроль доступности узлов, на которые осуществляется балансировка нагрузки, для исключения перенаправления запроса на неработающие узлы.- Программное обеспечение мониторинга должно обеспечивать реализацию, как минимум, следующих функций:
контроль состояния аппаратных компонентов;
контроль состояния распределенного дискового массива, включая корректность работы его основных сервисов и показатели использования.- Программные средства Базового модуля должны обеспечивать:
развертывание и управление жизненным циклом (ЖЦ) Машины;
мониторинг Машины.
формирование Электронного Паспорта Машины по завершении ее развертывания и внесение в него изменений в соответствии с изменениями в конфигурации Машины в процессе ее эксплуатации.
с помощью пользовательского интерфейса установку и обновление версий пакетов установленного в составе Машины программных средств, в том числе и при развертывании Машины в ландшафте без доступа к сети Интернет.
взаимодействие с персоналом, осуществляющим эксплуатацию Машины, при помощи графического web-интерфейса.
возможность доступа по сети управления до всех объектов мониторинга в составе Машины.
постоянный мониторинг в близком к реальному времени активных компонентов модулей Машины, служебных сервисов и сервисов баз данных.
графическое отображение метрик работоспособности Машины в виде графиков, отдельных значений, карт (charts), диаграмм, тепловых карт (heatmap).
хранение собранных метрик с возможностью настройки глубины хранения и управления жизненным циклом хранимых данных.
возможность изменения параметров мониторинга и пороговых значений из web-интерфейса консоли управления мониторингом.
иметь механизм оповещения о событиях мониторинга по различным каналам связи.- Техническая реализация отказоустойчивого управления хранением должна обладать следующими параметрами и возможностями:
реализовывать технологии избыточного хранения данных на физических накопителях с хранением копий на физически разных узлах для обеспечения отказоустойчивого хранения данных;
обеспечивать работоспособность модуля коммутации и хранения при выходе любого одного устройства (компонента узла), входящего в его состав.- Техническая реализация модуля коммутации и хранения должна обеспечивать отказоустойчивое внутреннее взаимодействие по сети на скорости не менее 100 Гбит/с, активные компоненты модуля должны быть зарезервированы по питанию и внутреннему охлаждению. Модули должны обеспечивать размещение отказоустойчивых экземпляров данных на трех вычислительных узлах.
- Модуль коммутации и хранения должен предоставлять функции отказоустойчивого управления хранением и обработкой данных, доступности объемов хранения и протоколов их подключения при отказе отдельных компонентов, а также следующие параметры сетевого взаимодействия:
скорость передачи данных не менее 100 Гбит/с на каждый канал;
передача сверхдлинных кадров (Jumbo frames), максимальный размер кадра должен быть не менее 9000 байт;
поддержка сетевых технологий: виртуальных локальных сетей (802.1Q), быстрый протокол основного дерева (802.1w), агрегации каналов (802.3ad), управление потоком (802.3x), управление потоком на основе приоритета (802.1Qbb), явного уведомления о перегруженности (ECN), механизма классификации, управления трафиком и обеспечения качества обслуживания на основе кодов дифференцированных услуг (DSCP), поддержка технологии RDMA over Converge Ethernet (ROCE v2).- Должны выполняться требования к параметрам организации сетевого доступа потребителей сервисов хранения объектов с доступом по протоколу S3:
скорость передачи данных не менее 25 Гбит/с;
поддержка отказоустойчивого подключения к внешнему оборудованию на номинальных скоростях не менее 100 Гбит/с;
отказоустойчивость шлюза по умолчанию (VRRP);
поддержка сетевых технологий: виртуальных локальных сетей (802.1Q), быстрый протокол основного дерева (802.1w), агрегации каналов (802.3ad), управление потоком (802.3x).- Должны выполняться требования к параметрам сети для управления Машиной:
скорость передачи данных не менее 1 Гбит/с по технологии 1000 Base-T (или эквивалент);
отказоустойчивое подключение к внешнему оборудованию на скоростях не менее 10 Гбит/с;
поддержка сетевых технологий: виртуальных локальных сетей (802.1Q), быстрый протокол основного дерева (802.1w), агрегации каналов (802.3ad).- Все модули сервиса должны иметь конструктив и интерфейсы, обеспечивающие их интеграцию в ПАК.
- Модуль хранения должен предоставлять функции отказоустойчивого управления хранением - обеспечение сохранности данных, доступности объемов хранения и протоколов их подключения при отказе любого одного отдельного компонента модуля.
- Служебные программные сервисы организации хранения модуля хранения должны быть обеспечены отказоустойчивым сетевым подключением со скоростью интерфейса не менее 100 Гбит/с. Используемая технология отказоустойчивости должна обеспечивать время восстановления не более 300 миллисекунд при отказе любого одного аппаратного компонента, обеспечивающего организацию сетевого взаимодействия.
- Служебные программные сервисы доступа с использованием протокола S3 модуля хранения должны быть обеспечены отказоустойчивым сетевым подключением со скоростью интерфейса не менее 10 Гбит/с.
- Служебные программные сервисы управления модуля хранения должны быть обеспечены сетевым подключением со скоростью интерфейса не менее 1 Гбит/с.
- Активные компоненты модуля хранения должны быть зарезервированы по питанию и внутреннему охлаждению.
- Модуль хранения должен предоставлять функционал хранения данных на базе программно-определяемой системы хранения в их составе.
- Техническая реализация отказоустойчивого управления хранением должна реализовывать технологии избыточного хранения данных на физических дисках с хранением копий на физически разных узлах для обеспечения отказоустойчивого хранения данных.
- Программное обеспечение хранения объектов с доступом по протоколу S3 модулей хранения, а также программное обеспечение мониторинга модулей хранения должно обеспечивать реализацию набора функций, идентичных реализуемым в Базовом модуле.
- Модуль агрегации должен обеспечивать функционал для взаимодействия модулей коммутации и хранения и базовых модулей, в том числе минимизацию времени отказов соединений при единичном выходе из строя (аварии) устройства сетевой связности за счет использования протоколов агрегации каналов между парными устройствами (MLAG или аналогичных).
- Модуль агрегации должен выполнять требования к параметрам внутреннего сетевого взаимодействия и организации сетевого доступа внешних потребителей сервисов Машины:
скорость передачи данных не менее 100 Гбит/с на каждый канал;
передача сверхдлинных кадров (Jumbo frames), максимальный размер кадра должен быть не менее 9000 байт;
поддержку сетевых технологий: виртуальных локальных сетей (802.1Q), быстрый протокол основного дерева (802.1w), агрегации каналов (802.3ad), управление потоком (802.3x), управление потоком на основе приоритета (802.1Qbb), явного уведомления о перегруженности (ECN), механизм классификации, управления трафиком и обеспечения качества обслуживания на основе кодов дифференцированных услуг (DSCP);- Модуль глобального балансировщика должен предоставлять функции отказоустойчивого перенаправления запросов пользователей к хранилищу S3 между разными ПАК машинами хранения данных, в зависимости от сетевой доступности, обслуживаемой машины хранения данных.
- программные средства модуля глобального балансировщика при доступе по протоколу S3 должно обеспечивать реализацию, как минимум, следующего набора функций:
контроль доступности сервиса S3, реализуемого на машине хранения данных;
настройку правил маршрутизации запросов пользователей между машинами хранения данных в зависимости от доступности сервиса S3, реализуемого на машине хранения данных.потоковой обработки больших данных"
Сервис предоставления ПАК машины потоковой обработки больших данных должен соответствовать следующим требованиям:
- Состоять из базового модуля (обязательно), а также следующих функциональных модулей:
модуля управления и распределения нескольких типов,
модулей вычисления и хранения,
модулей коммутации, вычисления и хранения,
модулей обработки данных,
модуля агрегации,
модуля резервного копирования,а также соответствующего программного обеспечения; количество и тип функциональных модулей варьируются в зависимости от требуемого объема хранения и производительности ПАК;
- Базовый модуль должен поддерживать интеграцию со всеми модулями, иметь возможности масштабирования объема хранения за счет добавления модулей, входящих в состав ПАК;
- Базовый модуль должен предоставлять функции отказоустойчивого управления хранением, а именно обеспечение сохранности данных, доступности объемов хранения и протоколов их подключения при отказе своих компонентов, обеспечивать служебные функции управления Машиной, управление и обеспечение сетевой связности между остальными типами модулей.
- Техническая реализация отказоустойчивого управления хранением должна обладать следующими параметрами:
поддерживать хранение данных на накопителях типов SSD и HDD с интерфейсами SAS и SATA;
поддерживать технологии избыточного хранения данных на физических дисках для обеспечения отказоустойчивости RAID 10, RAID 5, RAID 6;
иметь возможность обеспечивать сохранность данных при одновременном выходе из строя более двух любых накопителей в группе отказоустойчивости;
обеспечивать работу в режиме блочного хранилища данных;
обеспечивать работу в режиме файлового хранилища данных;
обеспечивать доступность информации в графическом виде в веб-интерфейсе системы в режиме реального времени;- Должны выполняться требования к параметрам внутреннего сетевого взаимодействия:
скорость передачи данных не менее 100 Гбит/с на каждый канал;
передача сверхдлинных кадров (Jumbo frames), максимальный размер кадра должен быть не менее 9000 байт;
поддержка сетевых технологий: виртуальных локальных сетей (802.1Q), быстрый протокол основного дерева (802.1w), агрегации каналов (802.3ad), управление потоком (802.3x), управление потоком на основе приоритета (802.1Qbb), явного уведомления о перегруженности (ECN), механизма классификации, управления трафиком и обеспечения качества обслуживания на основе кодов дифференцированных услуг (DSCP), поддержка технологии RDMA over Converge Ethernet (ROCE v2).- Должны выполняться требования к параметрам сети для управления Машиной:
скорость передачи данных не менее 1 Гбит/с по технологии 1000 Base-T (или эквивалент);
отказоустойчивое подключение к внешнему оборудованию на скоростях не менее 10 Гбит/с;
поддержка сетевых технологий: виртуальных локальных сетей (802.1Q), быстрый протокол основного дерева (802.1w), агрегации каналов (802.3ad).- Программные средства Базового модуля должны обеспечивать:
развертывание и управление жизненным циклом (ЖЦ) Машины;
мониторинг Машины.
формирование Электронного Паспорта Машины по завершении ее развертывания и внесение в него изменений в соответствии с изменениями в конфигурации Машины в процессе ее эксплуатации.
с помощью пользовательского интерфейса установку и обновление версий пакетов установленных в составе Машины программных средств, в том числе и при развертывании Машины в ландшафте без доступа к сети Интернет.
взаимодействие с персоналом, осуществляющим эксплуатацию Машины, при помощи графического web-интерфейса.
возможность доступа по сети управления до всех объектов мониторинга в составе Машины.
постоянный мониторинг в близком к реальному времени активных компонентов модулей Машины, служебных сервисов и сервисов баз данных.
графическое отображение метрик работоспособности Машины в виде графиков, отдельных значений, карт (charts), диаграмм, тепловых карт (heatmap).
хранение собранных метрик с возможностью настройки глубины хранения и управления жизненным циклом хранимых данных.
возможность изменения параметров мониторинга и пороговых значений из web-интерфейса консоли управления мониторингом.
иметь механизм оповещения о событиях мониторинга по различным каналам связи.- Все модули сервиса должны иметь конструктив и интерфейсы, обеспечивающие их интеграцию в ПАК.
- Базовый модуль управления и распределения должен обеспечивать функции исполнения программного обеспечения системы Машины в отказоустойчивом режиме, а также управление отказоустойчивостью и нагрузкой на распределенные экземпляры данных.
- Программные средства модуля управления и распределения должны:
предоставлять высокую отказоустойчивость всей Машины за счет построения согласованного кластера с автоматическим кворумом;
реализовывать интеграцию и использование сервисов Модуля с помощью распространенных протоколов - S3, jdbc;
обеспечивать высокую пропускную способность с помощью разделения входящего потока кратно количеству узлов в Модуле;
предоставлять возможность горизонтального масштабирования для повышения производительности;
унифицировать протокол обмена данными между системами источника и приемника;
выполнять управление распределенными конфигурациями модулей хранения и обработки информации;
хранить распределенный сервер имен и распределенное членство в группах;
обеспечивать автоматический выбор лидирующего узла в группе.
обеспечивать возможность выбора доли всех используемых физических ядер процессоров (pCPU) вычислительных узлов доступных для использования.- Техническая реализация модулей вычисления и хранения должна обеспечивать отказоустойчивое внутреннее взаимодействие по сети на скорости не менее 100 Гбит/с, активные компоненты модулей должны быть зарезервированы по питанию и внутреннему охлаждению. Модули должны обеспечивать размещение отказоустойчивых экземпляров данных на трех вычислительных узлах.
- Накопители, используемые в модулях вычисления и хранения, должны быть собраны в отказоустойчивую конфигурацию средствами программного обеспечения Модуля, обеспечивающего следующий функционал:
поддержка работы с SSD дисками с интерфейсами NVMe, SAS, SATA;
поддержка уровней RAID 0, 1, 5, 6, 10;
поддержка восстановления RAID;
поддержка пулов резервных дисков;
поддержка фоновой инициализации, сохранения прогресса, приоритета инициализации RAID;
поддержка реконструкции и частичной реконструкции, сохранения прогресса реконструкции, приоритета реконструкции RAID;
поддержка высокопроизводительной обработки запросов в режиме множества потоков записи с низкой интенсивностью;
поддержка обработки потоковых запросов на запись без использования кэширования отложенной записи.- Программное обеспечение модулей вычисления и хранения должно обеспечивать следующие возможности:
предоставлять высокую отказоустойчивость всей Машины;
реализовывать интеграцию и использование сервисов Модуля с помощью распространенных протоколов - S3, jdbc;
обеспечивать высокую пропускную способность с помощью разделения входящего потока кратно количеству узлов в Модуле;
предоставлять возможность горизонтального масштабирования для повышения производительности;
иметь возможность долгосрочного хранения истории сообщений;
поддерживать гарантированную консистентность данных;
унифицировать протокол обмена данными между системами источника и приемника;
выступать гарантированным хранилищем очередей запросов и информации между источником и приемником в пределах несжатого информационного пространства модуля;
буферизовать нагрузку источника информации;
осуществлять доставку данных с низкими задержками, агрегируя записи от разных источников с максимальной скоростью.
обеспечивать возможность выбора доли физических ядер процессоров (pCPU) вычислительных узлов доступных для использования;- Модуль коммутации, вычисления и хранения должен предоставлять функции отказоустойчивого управления хранением и обработкой данных, доступности объемов хранения и протоколов их подключения при отказе отдельных компонентов, должен обеспечивать размещение отказоустойчивых экземпляров данных на трех вычислительных узлах, а также следующие параметры сетевого взаимодействия:
скорость передачи данных не менее 100 Гбит/с на каждый канал;
передача сверхдлинных кадров (Jumbo frames), максимальный размер кадра должен быть не менее 9000 байт;
поддержка сетевых технологий: виртуальных локальных сетей (802.1Q), быстрый протокол основного дерева (802.1w), агрегации каналов (802.3ad), управление потоком (802.3x), управление потоком на основе приоритета (802.1Qbb), явного уведомления о перегруженности (ECN), механизма классификации, управления трафиком и обеспечения качества обслуживания на основе кодов дифференцированных услуг (DSCP), поддержка технологии RDMA over Converge Ethernet (ROCE v2).- Должны выполняться требования к параметрам сети для управления Машиной:
скорость передачи данных не менее 1 Гбит/с по технологии 1000 Base-T (или эквивалент);
отказоустойчивое подключение к внешнему оборудованию на скоростях не менее 10 Гбит/с;
поддержка сетевых технологий: виртуальных локальных сетей (802.1Q), быстрый протокол основного дерева (802.1w), агрегации каналов (802.3ad).- Накопители, используемые в модуле коммутации, вычисления и хранения, должны быть собраны в отказоустойчивую конфигурацию средствами программного обеспечения модуля, обеспечивающего следующий функционал:
поддержка работы с SSD дисками с интерфейсами NVMe, SAS, SATA;
поддержка уровней RAID 0, 1, 5, 6, 10;
поддержка восстановления RAID;
поддержка пулов резервных дисков;
поддержка фоновой инициализации, сохранения прогресса, приоритета инициализации RAID;
поддержка реконструкции и частичной реконструкции, сохранения прогресса реконструкции, приоритета реконструкции RAID;
поддержка высокопроизводительной обработки запросов в режиме множества потоков записи с низкой интенсивностью;
поддержка обработки потоковых запросов на запись без использования кэширования отложенной записи.- Программное обеспечение модулей коммутации, вычисления и хранения должно обеспечивать следующие возможности:
предоставлять высокую отказоустойчивость всей Машины;
реализовывать интеграцию и использование сервисов Модуля с помощью распространенных протоколов - S3, jdbc;
обеспечивать высокую пропускную способность с помощью разделения входящего потока кратно количеству узлов в Модуле;
предоставлять возможность горизонтального масштабирования для повышения производительности;
иметь возможность долгосрочного хранения истории сообщений;
поддерживать гарантированную консистентность данных;
унифицировать протокол обмена данными между системами источника и приемника;
выступать гарантированным хранилищем очередей запросов и информации между источником и приемником в пределах несжатого информационного пространства модуля;
буферизовать нагрузку источника информации;
осуществлять доставку данных с низкими задержками, агрегируя записи от разных источников с максимальной скоростью;
обеспечивать возможность выбора доли физических ядер процессоров (pCPU) вычислительных узлов доступных для использования.- Модуль обработки данных должен обеспечивать функции исполнения программного обеспечения Машины в отказоустойчивом режиме, обеспечивать размещение отказоустойчивых экземпляров данных на двух вычислительных узлах.
- Накопители, используемые в модуле обработки данных, должны быть собраны в отказоустойчивую конфигурацию средствами программного обеспечения модуля, обеспечивающего следующий функционал:
поддержка работы с SSD дисками с интерфейсами NVMe, SAS, SATA;
поддержка уровней RAID 0, 1, 5, 6, 10;
поддержка восстановления RAID;
поддержка пулов резервных дисков;
поддержка фоновой инициализации, сохранения прогресса, приоритета инициализации RAID;
поддержка реконструкции и частичной реконструкции, сохранения прогресса реконструкции, приоритета реконструкции RAID;
поддержка высокопроизводительной обработки запросов в режиме множества потоков записи с низкой интенсивностью;
поддержка обработки потоковых запросов на запись без использования кэширования отложенной записи.- Программное обеспечение модулей обработки данных, вычисления и хранения должно обеспечивать следующие возможности:
поддерживать распределенную архитектуру для параллельной обработки и загрузки данных;
обеспечивать процессы ETL/ELT;
обеспечивать взаимодействие с HDFS, Hive, HBase, Solr, Cassandra, MongoDB, Elastic Search, Kafka, RabbitMQ, Syslog, HTTPS, SFTP;
выполнять процессинговую поточную обработку и консолидацию данных, выполнять по ним SQL-запросы, фильтровать и добавлять поля, конвертировать один формат данных в другой;
работать в режиме отказоустойчивого и сбалансированного кластера;
поддерживать иерархические группы процессов;
обеспечивать возможность выбора доли физических ядер процессоров (pCPU) вычислительных узлов доступных для использования.- Модуль агрегации должен обеспечивать функционал для взаимодействия двух и более модулей коммутации, вычисления и хранения, в том числе минимизацию времени отказов соединений при единичном выходе из строя (аварии) устройства сетевой связности за счет использования протоколов агрегации каналов между парными устройствами (MLAG или аналогичных).
- Модуль агрегации должен выполнять требования к параметрам внутреннего сетевого взаимодействия и организации сетевого доступа внешних потребителей сервисов Машины:
скорость передачи данных не менее 100 Гбит/с на каждый канал;
передача сверхдлинных кадров (Jumbo frames), максимальный размер кадра должен быть не менее 9000 байт;
поддержка отказоустойчивого подключения к внешнему оборудованию (вне Машины) на номинальных скоростях не менее 200 Гбит/с;
отказоустойчивость шлюза по умолчанию (VRRP или аналог);
поддержка сетевых технологий: виртуальных локальных сетей (802.1Q), быстрый протокол основного дерева (802.1w), агрегации каналов (802.3ad), управление потоком (802.3x), управление потоком на основе приоритета (802.1Qbb), явного уведомления о перегруженности (ECN), механизма классификации, управления трафиком и обеспечения качества обслуживания на основе кодов дифференцированных услуг (DSCP), поддержка технологии RDMA over Converge Ethernet (ROCE v2).- Модуль резервного копирования должен иметь конструктив и интерфейсы, обеспечивающие его встраивание в Базовый модуль Машины и предоставлять пространство отказоустойчивого дискового хранения.
вычислительные ресурсы".
Сервис предоставления виртуальной машины должен соответствовать следующим требованиям:
- Совместимость виртуальных машин со следующими операционными системами, как минимум с: Альт 8 СП, AstraLinux 1.7.*.
- Поддерживаемое количество vCPU в ВМ: от 1 до 128 шт.
- Поддерживаемый объем оперативной памяти в ВМ: от 1 ГБ до 1 ТБ.
- Максимальный размер дисков для ВМ: 2 ТБ.
- Максимальное количество дисков, подключаемых к ВМ: до 8 шт.
- Максимальное количество сетевых интерфейсов, подключаемых к ВМ: 8 шт.
- Возможность проброса физической видео карты в виртуальную машину.
- Возможность создания шаблонов виртуальных машин и развертывания виртуальных машин из этих шаблонов.
- Создание stateless виртуальных машин, без возможности изменения данных первоначального образа виртуальной машины.
- Возможность добавить SSH ключ пользователю по умолчанию при создании виртуальной машины.
- Возможность создания ВМ, которой непосредственно адресовано (выделено) указанное число ядер гипервизора
- Возможность создания ВМ, которой непосредственно и эксклюзивно адресована (выделена) шина PCIe гипервизора и устройство, смонтированное в PCIe-разъем сервера-гипервизора на этой шине
- Возможность создания ВМ, которой непосредственно и эксклюзивно адресовано (выделено) аппаратно виртуализованное устройство средствами виртуализации устройства, смонтированного в PCIe-разъем
- Создание/восстановление/клонирование виртуальных машин из мгновенного снимка без использования соответствующих функций СХД
- Удаление ВМ, имеющей мгновенный снимок
- Проверка целостности виртуальных машин ее конфигураций
- Контроль переподписки на виртуальные процессоры
с установленными графическими ускорителями"
Сервис предоставления виртуальной машины с установленными графическими ускорителями предназначен для решения ресурсоемких вычислительных задач, таких как машинное обучение и другие технологии искусственного интеллекта и анализа данных, криптография и криптоанализ, блокчейн и графический дизайн.
Сервис "Виртуальная машина с установленными графическими ускорителями" должен предоставляться в трех различных вариантах в зависимости от предъявляемых требований и предоставляемых характеристик.
с установленными графическими ускорителями тип 1"
Сервис "Виртуальная машина с установленными графическими ускорителями тип 1" представляет собой виртуальную машину для задач глубокого обучения.
Сервис должен соответствовать следующим требованиям и иметь следующие возможности:
- обеспечивать совместимость ВМ со следующими операционными системами: Альт 8 СП, AstraLinux 1.7 и выше;
- поддерживаемое количество vCPU в ВМ: от 1 до 96 шт;
- поддерживаемый объем оперативной памяти в ВМ: от 1 ГБ до 1.5 ТБ;
- максимальный размер дисков для ВМ: 2 ТБ;
- максимальное количество дисков, подключаемых к ВМ: до 8 шт;
- максимальное количество сетевых интерфейсов, подключаемых к ВМ: 8 шт.
- максимальное поддерживаемое количество vGPU карт на одну ВМ: не менее 8 шт;
- возможность выделения от 1 до максимального поддерживаемого количества vGPU карт на одну ВМ с шагом 1 vGPU;
- 1 vGPU соответствует одной выделенной физической карте GPU, производительность (FP64) которой должна быть не менее 9.5 TFLOPS, и должна поддерживать CUDA версии не ниже 8.0;
- возможность проброса (pass-through) физической карты GPU в ВМ;
- возможность создания шаблонов ВМ и развертывания ВМ из этих шаблонов;
- создание stateless ВМ, без возможности изменения данных первоначального образа ВМ;
- возможность добавить SSH ключ пользователю по умолчанию при создании ВМ;
- возможность создания ВМ, которой непосредственно адресовано (выделено) указанное число ядер гипервизора;
- возможность создания ВМ, которой непосредственно и эксклюзивно адресована (выделена) одна или несколько шин PCIe гипервизора и устройство(а), смонтированное(ые) в PCIe-разъем сервера-гипервизора на этой шине;
- возможность создания ВМ, которой непосредственно и эксклюзивно адресовано (выделено) аппаратно виртуализованное устройство средствами виртуализации устройства, смонтированного в PCIe-разъем;
- удаление ВМ, имеющей мгновенный снимок;
- проверка целостности виртуальных машин ее конфигураций;
- контроль переподписки на виртуальные процессоры.
с установленными графическими ускорителями тип 2"
Сервис "Виртуальная машина с установленными графическими ускорителями тип 2" представляет собой виртуальную машину для инференс CUDA.
Сервис должен соответствовать следующим требованиям и иметь следующие возможности:
- обеспечивать совместимость ВМ со следующими операционными системами: Альт 8 СП, AstraLinux 1.7 и выше;
- поддерживаемое количество vCPU в ВМ: от 1 до 96 шт;
- поддерживаемый объем оперативной памяти в ВМ: от 1 ГБ до 1 ТБ;
- максимальный размер дисков для ВМ: 2 ТБ;
- максимальное количество дисков, подключаемых к ВМ: до 8 шт;
- максимальное количество сетевых интерфейсов, подключаемых к ВМ: 8 шт;
- максимальное поддерживаемое количество vGPU карт на одну ВМ: не менее 4 шт;
- возможность выделения от 1 до максимального поддерживаемого количества vGPU карт на одну ВМ с шагом 1 vGPU;
- 1 vGPU соответствует одной выделенной физической карте GPU, производительность (FP16) которой должна быть не менее 16 TFLOPS, и должна поддерживать CUDA версии не ниже 7.5;
- возможность проброса (pass-through) физической карты GPU в ВМ;
- возможность создания шаблонов ВМ и развертывания ВМ из этих шаблонов;
- создание stateless ВМ, без возможности изменения данных первоначального образа ВМ;
- возможность добавить SSH ключ пользователю по умолчанию при создании ВМ;
- возможность создания ВМ, которой непосредственно адресовано (выделено) указанное число ядер гипервизора;
- возможность создания ВМ, которой непосредственно и эксклюзивно адресована (выделена) одна или несколько шин PCIe гипервизора и устройство(а), смонтированное(ые) в PCIe-разъем сервера-гипервизора на этой шине;
- возможность создания ВМ, которой непосредственно и эксклюзивно адресовано (выделено) аппаратно виртуализованное устройство средствами виртуализации устройства, смонтированного в PCIe-разъем;
- удаление ВМ, имеющей мгновенный снимок;
- проверка целостности ВМ ее конфигураций;
- контроль переподписки на виртуальные процессоры.
с установленными графическими ускорителями тип 3"
Сервис "Виртуальная машина с установленными графическими ускорителями тип 3" представляет собой виртуальную машину для инференс NM.
Сервис должен соответствовать следующим требованиям и иметь следующие возможности:
- обеспечивать совместимость ВМ со следующими операционными системами: Альт 8 СП, AstraLinux 1.7 и выше;
- поддерживаемое количество vCPU в ВМ: от 1 до 96 шт;
- поддерживаемый объем оперативной памяти в ВМ: от 1 ГБ до 1 ТБ;
- максимальный размер дисков для ВМ: 2 ТБ;
- максимальное количество дисков, подключаемых к ВМ: до 8 шт;
- максимальное количество сетевых интерфейсов, подключаемых к ВМ: 8 шт;
- максимальное поддерживаемое количество vGPU карт на одну ВМ: не менее 6 шт;
- возможность выделения от 1 до максимального поддерживаемого количества vGPU карт на одну ВМ с шагом 1 vGPU;
- 1 vGPU соответствует одной выделенной физической карте GPU, производительность (FP32) которой должна быть не менее 0.5 TFLOPS, и должна поддерживать программное обеспечение для поддержки нейросетевых ускорителей NEUROMATRIX;
- возможность проброса (pass-through) физической карты GPU в ВМ;
- возможность создания шаблонов ВМ и развертывания ВМ из этих шаблонов;
- создание stateless ВМ, без возможности изменения данных первоначального образа ВМ;
- возможность добавить SSH ключ пользователю по умолчанию при создании ВМ;
- возможность создания ВМ, которой непосредственно адресовано (выделено) указанное число ядер гипервизора;
- возможность создания ВМ, которой непосредственно и эксклюзивно адресована (выделена) одна или несколько шин PCIe гипервизора и устройство(а), смонтированное(ые) в PCIe-разъем сервера-гипервизора на этой шине;
- возможность создания ВМ, которой непосредственно и эксклюзивно адресовано (выделено) аппаратно виртуализованное устройство средствами виртуализации устройства, смонтированного в PCIe-разъем;
- удаление ВМ, имеющей мгновенный снимок;
- проверка целостности ВМ ее конфигураций;
- контроль переподписки на виртуальные процессоры.
и обработка данных".
Сервис предоставления объектного хранилища должен соответствовать следующим требованиям:
- работает на сертифицированной ОС;
- обеспечивает сохранность данных, хранящихся в объектном хранилище при выходе из строя, как минимум двух хостов (в одной стойке, или одном ЦОД);
- имеет возможность одновременного использования дисков SSD, SAS HDD и SATA HDD разной емкости для реализации распределенного дискового хранилища;
- имеет возможность предоставлять доступ к хранилищу по протоколу S3;
- поддерживает масштабирование до 8 ПБ и 2 миллиардов объектов;
- имеет возможность хранения данных с использованием технологии Erasure coding;
- имеет возможность использования SSD под задачи кэширования операций записи/чтения для HDD;
- обеспечивает реализацию объектного хранилища с доступом по протоколу, совместимому с S3;
- поддерживает протоколы S3, HTTP/REST;
- поддерживает версионность объектов;
- поддерживает возможность разграничения прав доступа администраторов и групп администраторов к объектам системы;
- поддерживает возможность создания пользовательского набора прав для разграничения доступа;
- поддерживает возможность интеграции с внешним LDAP-каталогом учетных записей администраторов;
- обеспечивает ведение журналов системы с фиксацией действий администраторов;
- поддерживает геораспределенную защиту данных с использованием асинхронной репликации;
- имеет CLI интерфейс управления объектным хранилищем.
- Сервис должен хранить данные произвольного формата как объекты с доступом по текстовому идентификатору.
- Объектное хранилище должно поддерживать шифрование данных;
- Объектное хранилище должно поддерживать автоматическую репликацию данных и объектов между двумя инженерно-независимыми ЦОД;
- Объектное хранилище должно поддерживать возможность монтирования в качестве файловой системы в ОС Linux;
- Возможность использовать разные типы хранилища в зависимости от активности работы с объектами и частоты запросов на чтение и запись;
- Совместимость с набором средств разработки Python SDK (boto);
- Возможность автоматического расширения объема хранилища при превышении текущей квоты;
- Наличие механизма автоматического создания копий с последующим восстановлением при сбое;
- Возможность хранить историю версий объекта хранилища, где каждая версия является полной копией объекта;
"Управление контейнеризацией".
Платформа контейнеризации - это совокупность виртуальных вычислительных ресурсов, предоставляемых с использованием Сервисов категории "Виртуальные вычислительные ресурсы", и управляемые с использованием базового сервиса Платформы "ГосТех" реализующего функциональную возможность управления кластерами контейнеров.
Платформа контейнеризации должна быть сертифицирована на соответствие Требованиям по безопасности информации к средствам контейнеризации, утвержденным приказом ФСТЭК России от 4 июля 2022 г. N 118, а также Требованиям по безопасности информации, устанавливающим уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий, утвержденным приказом ФСТЭК России от 2 июня 2020 N 76.
Платформа контейнеризации должна предоставлять узлы контейнеров для исполнения программного кода, в контейнерах и Pod без необходимости развертывания обособленных виртуальных машин и операционных сред для каждого экземпляра контейнера.
В рамках управляемого кластера контейнеров должна быть возможность создавать узлы кластера с использованием Сервисов категории "Виртуальные вычислительные ресурсы.
Платформа контейнеризации должна обеспечивать следующий минимальный, но не ограничивающий функционал:
- консоль управления кластером контейнеров должна обеспечивать доступ и демонстрацию:
текущего статуса кластера;
количества вычислительных узлов в кластере;
характеристики каждого узла в кластере;- доступ к данным об утилизации следующих параметров узлов кластера: CPU, HDD, NAT через web-интерфейс;
- выбор подключения сети кластера при создании;
- изменение количества узлов в кластере;
- создание групп worker-узлов кластера с разными характеристиками CPU, RAM;
- настройку публикации сервисов с указанием используемых сетевых адресов, портов и протоколов;
- получение информации о совокупном объеме выделенных вычислительных ресурсов кластера контейнеров и использованию квоты;
- отображение информации о параметрах подключения к кластеру контейнеров;
- иметь возможность обеспечения сетевой связности с компонентами или подсистемами информационно-технологической инфраструктуры Оператора платформы "ГосТех".
вычислительными сетями"
Сервисы, предназначены для создания и управления каналами связи, которые используются для передачи информации во внутренней инфраструктуре, а также для взаимодействия с внешними системами, в том числе с сетью Интернет.
Сервисы позволяют управлять трафиком сетях и подсетях платформы "ГосТех".
Сервисы должны, как минимум, иметь следующие возможности:
- возможность создания изолированных сетевых сегментов на основе виртуальных маршрутизаторов;
- возможность управления маршрутизацией в изолированном сегменте сети;
- возможность подключения виртуальных машин к сетевым сегментам средствами платформы;
- реализация управления правилами NAT виртуальных сегментов средствами платформы. Возможность создания/удаления правил NAT и просмотра списка правил;
- должна быть возможность создания виртуальных сетевых сегментов со следующими опциями:
встроенный DHCP;
создание/редактирование NAT правил;
возможность подключения/отключения средствами платформы виртуального сегмента во внешнюю сеть vlan или создания частной сети;
резервация IP адресов за определенными ВМ;- создание выделенного канала связи между виртуальными ЦОДами с помощью виртуальных сегментов;
- создание защищенного периметра сети передачи данных.
Сервис должен обеспечивать распределение сетевой нагрузки по облачным ресурсам (между группами виртуальных машин или внутри кластеров оркестраторов контейнеризации, работающих на платформе) с целью оптимизации использования ресурсов, сокращения времени обслуживания запросов, горизонтального масштабирования кластера (динамическое добавление/удаление устройств), а также обеспечения отказоустойчивости (резервирования).
Сервис должен соответствовать следующим основным требованиям:
- периодическая проверка состояния ресурсов подключенной целевой группы по протоколам TCP или HTTP;
- адресация трафика по принципу 5-tuple: учитывается адрес и порт отправителя, адрес и порт принимающего облачного ресурса, и протокол передачи информации;
- обеспечение отказоустойчивости;
- обеспечение горизонтального масштабирования;
- равномерное распределение нагрузки для оптимальной утилизации вычислительных ресурсов.
Сервис предоставления выделенного канала связи позволяет организовать выделенное логическое соединение между инфраструктурой Пользователя платформы "ГосТех" и инфраструктурой платформы "ГосТех".
Сервис предоставления выделенного логического канала связи должен удовлетворять, как минимум, следующим требованиям:
- реализация подключения типа "точка-точка" на третьем уровне модели OSI без использования сети Интернет между информационно-технологической инфраструктурой и телекоммуникационной сетью платформы "ГосТех" в соответствии с заданной пропускной способностью канала связи;
- процент потерянных пакетов информации не более 1%;
- реализация отказоустойчивости логического канала связи путем резервирования с использованием существующих физических каналов связи платформы "ГосТех". Трафик должен маршрутизироваться через основной и резервный каналы связи платформы "ГосТех", непересекающиеся по кабельным трассам.
Сервис предоставления доступа в сеть Интернет позволяет организовать подключение информационных систем Пользователя платформы "ГосТех", размещаемых в информационно-технологической инфраструктуре платформы "ГосТех", к ресурсам сети Интернет с использованием существующих каналов связи платформы "ГосТех".
Сервис предоставления доступа в сеть Интернет должен удовлетворять, как минимум, следующим требованиям:
- реализация подключения информационных ресурсов и информационных систем Пользователя платформы "ГосТех", размещаемых в информационно-технологической инфраструктуре платформы "ГосТех", к ресурсам сети Интернет в соответствии с заявленной пропускной способностью, но не более пропускной способностью существующих каналов связи к сети Интернет платформы "ГосТех";
- должна быть реализована защита от DDoS-атак в отношении интернет-трафика, поступающего на защищаемые ресурсы Пользователя платформы "ГосТех", размещаемые в информационно-технологической инфраструктуре платформы "ГосТех";
- защита от DDoS-атак должна обеспечивать защиту, как минимум, от следующих типов атак: TCP SYN flood, TCP SYN/ACK flood, UDP flood, TCP Connection flood, ICMP flood, DNS/NTP Amplification;
- фильтрация трафика при защите от DDoS-атак должна осуществляться, как минимум, по следующим критериям: по географическому признаку, по "черным" и "белым" спискам IP-адресов, протоколам, портам, с помощью регулярных выражений содержимого TCP/UDP протоколов, с отслеживанием соединений на наличие медленных атак;
- возможность подавлять атаки до транспортного уровня семиуровневой модели OSI без установления TCP-соединения не менее 5 Тбит/с;
- время включения режима очистки трафика должно составлять не более 5 минут при настроенной функции автоматического подавления аномалий;
- реализация отказоустойчивости доступа связи путем использования резервированных каналов связи к сети Интернет платформы "ГосТех". Трафик должен маршрутизироваться через основной и резервный каналы связи к Интернет платформы "ГосТех", которые организованы по непересекающимся кабельным трассам.
уровня приложений"
Сервис балансировки нагрузки уровня приложений предназначен для распределения входящего трафика между разными компонентами веб-приложений и терминирования TLS-сессий.
Балансировки нагрузки уровня приложений должен соответствовать следующим основным требованиям:
- обработка TLS-трафика: установка соединений и терминирование TLS-сессий;
- анализ потока запросов по access-логам;
- управление HTTP-трафиком;
- журналирование входящих запросов;
- распределение нагрузки на основе параметров HTTP-запросов;
- проверка состояния бэкенда;
- определение набора доступных бэкендов;
- балансировка нагрузки на основе заданных алгоритмов.
ИТ Сервис "Резервное копирование" должен обеспечивать возможность резервного копирования:
- виртуальных машин;
- отдельных логических объединений виртуальных машин;
- информации, содержащейся в базах данных.
Сервис резервного копирования должен обеспечивать возможность создания полных и инкрементальных резервных копий, причем с указанием уровня консистентности (операционная система или приложение), восстановления из резервных копий с возможностью перезаписи исходных данных или создания новых экземпляров данных в пространстве объекта резервного копирования.
ИТ Сервис должен предоставлять возможность хранения данных в объеме не менее 20 Тб и возможность управления глубиной хранения резервных копий не менее 180 дней.
Сервис должен обеспечивать хранение резервных копий, на аппаратном обеспечении Исполнителя. Для хранения резервных копий и данных ВМ должны использоваться независимые друг от друга аппаратные средства.
Должна быть предусмотрена возможность выгрузки резервных копий данных на отчуждаемые носители со скоростью передачи данных не менее 1 Гбит/с.
Интерфейс управления ИТ Сервисом должен осуществляться с помощью веб-интерфейса и (или) отдельного программного продукта.
Интерфейс управления резервным копированием должен позволять выполнять следующие действия:
- создание резервных копий и восстановления данных, согласно политикам и регламентам резервного копирования;
- настройка политик ресурсов хранения данных;
- просмотр расписания резервного копирования;
- управление жизненным циклом резервных копий.
Интерфейс управления резервным копированием должен обеспечивать возможности управления доступом и аутентификации пользователей ИТ Сервисов использованием соответствующих базовых сервисов платформы "ГосТех"
При создании задания резервного копирования должна быть предоставлена возможность задания длительности хранения резервной копии (по точкам или по времени) и периодичность или последовательность выполнения резервного копирования.
функционирования"
ИТ Сервис "Мониторинг функционирования" должен обеспечивать следующие возможности и функции:
- возможность настройки следующих метрик мониторинга оборудования и информационно-технологической инфраструктуры, в том числе виртуальной:
загрузка процессора на серверном оборудовании;
загрузка оперативной памяти на серверном оборудовании;
утилизация дискового пространства на дисковых массивах;
контроль аварийных событий;
контроль пороговых значений;- возможность просмотра графиков по настроенным метрикам;
- возможность корректировки сценариев/параметров мониторинга;
- разграничение доступа к просмотру данных через механизмы аутентификации и авторизации портала системы мониторинга на основе ролевой модели доступа;
- автоматическое оповещение о сервисных событиях мониторинга и их фиксация с указанием времени наступления события;
- проверку состояния (работоспособность) служб, интеграций со смежными и (или) технологическими системами;
- ведение статистики производительности сети, использования служб, интеграций;
- обеспечивать сбор метрик о производительности виртуальной инфраструктуры;
- классификацию событий по степени критичности;
- возможность автоматизированной интеграции с внешними системами технической поддержки и автоматическую передачу информации об инцидентах в структурированном формат;
- хранение и анализ всех типов данных производительности и статистики событий с учетом специализированных метрик за период времени не менее 1 (одного) года для использования в отчетности и аналитике.
ресурсными записями DNS".
ресурсными записями DNS".
ИТ Сервис "Управление ресурсными записями DNS" должен обеспечивать функциональные возможности создания, изменения и удаления доменных зон и ресурсных записей в созданных зонах.
Для доменных зон должно обеспечиваться возможность управления следующими параметрами:
Наименование DNS-зоны: имя создаваемой зоны.
Контактный email: почтовый адрес администратора зоны.
Time to expire: время (в секундах), после которого вторичный NS-сервер перестает отвечать на запросы для данной зоны, если первичный NS-сервер не отвечает.
Time to refresh: время (в секундах), по истечении которого вторичный NS-сервер должен запросить SOA-запись у первичного, чтобы поддержать изменения в зоне.
Time to retry: время (в секундах), по истечении которого вторичный NS-сервер вновь запросит SOA-запись у первичного, если первичный NS-сервер не ответил.
Time to live (TTL): время жизни кэша при отрицательном ответе на запрос в зоне.
Сервисом должна быть обеспечена возможность управления ресурсными записями описанными ниже, а также возможность управления ресурсными записями через программный интерфейс (API).
A - запись DNS, которая сопоставляет доменное имя с адресом IPv4.
При добавлении записи типа A должно задаваться:
Имя - имя записи в следующих возможных значениях значения:
@, example.com или пустое значение - указывает на саму зону;
subzone или subzone.example.com - указывает на подзону subzone;
\*.dns.zone - Wildcard-символ.
TTL - время жизни кеша в секундах.
IP-адрес (IPv4).
AAAA - аналогично записи типа A
При добавлении записи типа AAAA должны указываться:
Имя - имя записи в следующих возможных значениях значения:
@, example.com или пустое значение - указывает на саму зону;
subzone или subzone.example.com - указывает на подзону subzone;
\*.dns.zone - Wildcard-символ;
TTL - время жизни кеша в секундах;
IP-адрес (IPv6).
NS - запись DNS, должна содержать адрес сервера имен, обслуживающего данную зону или подзону.
При добавлении записи типа NS должны указываться:
Имя - имя записи. Возможны следующие значения:
@, example.com или пустое значение - указывает на саму зону;
subzone или subzone.example.com - указывает на подзону subzone;
TTL - время жизни кеша в секундах;
Значение - адрес NS-сервера, например, ns1.mcs.mail.ru или ns2.mcs.mail.ru.
CNAME - запись DNS, привязывающая псевдоним к доменному имени.
При добавлении записи типа CNAME должны указываться:
Имя - имя записи. Имя записи в следующих возможных значениях значения:
@, example.com или пустое значение - должно указывать на саму зону;
subzone или subzone.example.com - должно указывать на подзону subzone;
\*.dns.zone - Wildcard-символ.
TTL - время жизни кеша в секундах.
Значение - FQDN-адрес назначения.
MX - запись DNS, сообщающая адрес сервера обрабатывающего электронную почту.
При добавлении записи типа MX должны указываться:
Имя - имя записи. Возможны следующие значения:
@, example.com или пустое значение - должно указывать на саму зону;
subzone или subzone.example.com - должно указывать на подзону subzone;
Приоритет - приоритет хоста.
TTL - время жизни кеша в секундах.
Значение - FQDN-адрес почтового сервера.
SRV - запись DNS, определяющая местоположение (имя хоста и порт сервера) определенных сетевых служб.
При добавлении записи типа SRV должны указываться:
- Имя - имя записи. Возможны следующие значения:
- @, example.com или пустое значение - должно указывать на саму зону;
- subzone или subzone.example.com - должно указывать на подзону subzone;
- \*.dns.zone - Wildcard-символ.
- Сервис - символьное имя сервиса (например, _sip).
- Протокол - символьное имя протокола (например, _tcp или _udp).
- Приоритет - приоритет хоста.
- Вес - вес для хостов с одинаковым приоритетом. Чем это значение ближе к 0, тем меньше шансов, что хост будет выбран.
- Порт - порт, который использует служба.
- TTL - время жизни кеша в секундах.
- Хост - FQDN-хоста, на котором размещается служба.
TXT - запись DNS, которая содержит текстовую информацию для источников за пределами домена.
При добавлении записи типа TXT должны указываться:
Имя - имя записи. Возможны следующие значения:
@, example.com или пустое значение - должно указывать на саму зону;
subzone или subzone.example.com - должно указывать на подзону subzone;
\*.dns.zone - Wildcard-символ.
TTL - время жизни кеша в секундах.
Значение - текстовое значение.
В рамках функционирования ИТ Сервиса устанавливаются следующие лимиты:
максимальное количество DNS зон внутри проекта - 100;
максимальное количество ресурсных записей для зоны DNS - 500.
При оказании сервиса "Сервер" оборудование должно быть смонтировано в телекоммуникационные шкафы с использованием заводского (штатного) монтажного набора из комплекта поставки оборудования.
Сервис "Сервер" должен предоставляться в трех различных вариантах в зависимости от предъявляемых требований и предоставляемых характеристик.
Сервер тип 1
Должны использоваться технические средства, удовлетворяющие следующим минимальным техническим требованиям (в расчете за один Сервис):
монтажная высота - не более 2U;
установленный процессор (CPU) с количеством ядер (core) не менее 24, базовой частотой не ниже 2,4 ГГц - не менее 2 шт.;
установленный модуль оперативной памяти (RAM) объемом не менее 64 Гб с частотой модулей не ниже 2933 МГц - не менее 12 шт.;
накопитель формата SSD емкостью не менее 240 Гб с интерфейсом подключения SATA с поддержкой горячей замены и уровнем надежности (DWPD) не менее 3 - не менее 2 шт.;
контроллер с поддержкой RAID уровней 1, 10, с не менее чем 2 Гб кэш-памяти и защитой от сбоев электропитания - не менее 1 шт.;
сетевой адаптер Ethernet с не менее чем 4 портами 10 Гбит/с форм-фактора SFP+ (LOM или PCIe) - не менее 1 шт. В комплекте должны быть поставлены все компоненты (в т.ч. кабельные соединения), обеспечивающие коммутацию не менее 2 (двух) портов сетевого адаптера;
сетевой адаптер Ethernet с не менее 2 портами 10/25 Гбит/с форм-фактора SFP28 PCIe (без SFP) с поддержкой Open vSwitch Offloads (OVS) и DPDK - не менее 4 шт. В комплекте должны быть поставлены все компоненты (в т.ч. кабельные соединения), обеспечивающие коммутацию не менее 2 (двух) портов каждого сетевого адаптера на скорости не менее 25 Гбит/с;
комплект блоков питания с резервированием 2N, с горячей заменой - не менее 1 шт.;
комплект вентиляторов с резервированием N+1 или 2N, достаточным для работы при отключении половины вводов электропитания - не менее 1 шт.;
модуль удаленного управления и мониторинга с выделенным Ethernet-портом и полным функционалом с поддержкой виртуальной консоли KVM и возможностью подключения виртуальных дисков;
наличие на технических средствах Сервера Тип 1 установленного блока защиты от НСД (модуля доверенной загрузки) с характеристиками не хуже следующих:
- аппаратный комплекс в виде платы форм-фактора PCIe;
- поддержка USB-ключей и ключей iButton;
- возможность идентификации и аутентификации пользователей при запуске сервера с помощью электронных идентификаторов;
- возможность защиты от несанкционированной загрузки операционной системы со съемных носителей;
- обеспечение контроля целостности программного и аппаратного обеспечения сервера до загрузки операционной системы;
- совместимость с операционной системой специального назначения "Astra Linux Special Edition" релиз "Смоленск" версии не ниже 1.7;
наличие действующего сертификата ФСТЭК России на соответствие требованиям к средствам доверенной загрузки не ниже четвертого класса (руководящие документы "Требования к средствам доверенной загрузки" (ФСТЭК России, 2013) и "Профиль защиты средства доверенной загрузки уровня платы расширения четвертого класса защиты ИТ.СДЗ.ПР4.ПЗ" (ФСТЭК России, 2013));
наличие паспорта и руководства по эксплуатации на русском языке в соответствии с ГОСТ Р 2.601-2019 и ГОСТ Р 2.610-2019;
производитель сервера должен гарантировать возможность предоставления обновлений ПО в течение всего гарантийного срока эксплуатации оборудования;
Сервер тип 2
Должны использоваться технические средства, удовлетворяющие следующим минимальным техническим требованиям (в расчете за один Сервис):
монтажная высота не более 2U;
установленный процессор (CPU) с количеством ядер (core) не менее 16, базовой и частотой не ниже 2,4 ГГц - не менее 2 шт.;
установленный модуль оперативной памяти (RAM) объемом не менее 64 Гб с частотой модулей не ниже 2933 МГц - не менее 12 шт.;
накопитель SSD емкостью не менее 240 Гб SATA с поддержкой горячей замены и уровнем надежности (DWPD) не ниже 3 (третьего) - не менее 2 шт.;
накопитель HDD емкостью не менее 8 ТБ NL-SAS с поддержкой горячей замены - не менее 12 шт.;
накопитель SSD NVMe емкостью не менее 3.2 ТБ и уровнем надежности (DWPD) не ниже 3 (третьего) - не менее 2 шт.;
контроллер с поддержкой RAID уровней 1, 10, с не менее чем 2 Гб кэш-памяти и защитой от сбоев электропитания - не менее 1 шт.;
сетевой адаптер Ethernet с не менее чем 4 портами 10 Гбит/с форм-фактора SFP+ (LOM или PCIe) - не менее 1 шт. В комплекте должны быть поставлены все компоненты (в т.ч. кабельные соединения), обеспечивающие коммутацию не менее 2 (двух) портов сетевого адаптера;
сетевой адаптер Ethernet с не менее 2 портами 10/25 Гбит/с форм-фактора SFP28 PCIe (без SFP) с поддержкой Open vSwitch Offloads (OVS) и DPDK - не менее 2 шт. В комплекте должны быть поставлены все компоненты (в т.ч. кабельные соединения), обеспечивающие коммутацию не менее 2 (двух) портов каждого сетевого адаптера на скорости не менее 25 Гбит/с;
комплект блоков питания с резервированием 2N, с горячей заменой - не менее 1 шт.;
комплект вентиляторов с резервированием N+1 или 2N, достаточным для работы при отключении половины вводов электропитания - не менее 1 шт.;
модуль удаленного управления и мониторинга с выделенным Ethernet портом и полным функционалом с поддержкой виртуальной консоли KVM и возможностью подключения виртуальных дисков;
наличие на технических средствах Сервера Тип 2 установленного блока защиты от НСД (модуля доверенной загрузки) с характеристиками не хуже следующих:
- аппаратный комплекс в виде платы форм-фактора PCIe;
- поддержка USB-ключей и ключей iButton;
- возможность идентификации и аутентификации пользователей при запуске сервера с помощью электронных идентификаторов;
- возможность защиты от несанкционированной загрузки операционной системы со съемных носителей;
- обеспечение контроля целостности программного и аппаратного обеспечения сервера до загрузки операционной системы;
- совместимость с Сервером Тип 2;
- совместимость с операционной системой специального назначения "Astra Linux Special Edition" релиз "Смоленск" версии не ниже 1.7;
- наличие действующего сертификата ФСТЭК России на соответствие требованиям к средствам доверенной загрузки не ниже пятого класса (руководящие документы "Требования к средствам доверенной загрузки" (ФСТЭК России, 2013) и "Профиль защиты средства доверенной загрузки уровня платы расширения пятого класса защиты ИТ.СДЗ.ПР5.ПЗ" (ФСТЭК России, 2013));
наличие паспорта и руководства по эксплуатации на русском языке в соответствии с ГОСТ Р 2.601-2019 и ГОСТ Р 2.610-2019;
Производитель сервера должен гарантировать возможность предоставления обновлений ПО в течение всего гарантийного срока эксплуатации оборудования.
Сервер тип 3
Должны использоваться технические средства, удовлетворяющие следующим минимальным техническим требованиям (в расчете за один Сервис):
- шасси с монтажной высотой не более 2U;
- поддержка протоколов NTP v2, NTP v3, NTP v4, SNTPv3, SNTP v4;
- сетевой адаптер Ethernet с не менее чем 2 портами 1 Гбит/с - не менее 1 шт.;
- наличие антенного блока ГЛОНАСС со встроенным усилителем, громозащитой и комплектом монтажа, антенным кабелем и кабелем громозащиты достаточной длины для установки на внешних конструкциях ЦОД.
Оборудование должно относиться к техническим средствам передачи эталонных сигналов времени и частоты и функционировать в соответствии с "Положением о Государственной службе времени, частоты и определения параметров вращения Земли", утвержденным постановлением Правительства Российской Федерации от 23 марта 2001 г. N 225, а его поверка должна быть проведена в соответствии с "Государственной поверочной схемой для средств измерений времени и частоты", утвержденной приказом Федерального агентства по техническому регулированию и метрологии от 31 июля 2018 года N 1621.
Должны использоваться технические средства, удовлетворяющие следующим минимальным техническим требованиям (в расчете за один Сервис):
отсутствие единой точки отказа (все компоненты: контроллеры управления, блоки электропитания, модули вентиляторов, контроллеры модулей дисковых расширения (дисковых полок), диски, должны быть зарезервированы и иметь возможность "горячей замены". Архитектура СХД должна обеспечивать безостановочную работу при проведении регламентных работ и модернизации СХД);
хранение незавершенных транзакций при аварийном отключении электропитания;
поддержка не менее 2 (двух) контроллеров управления;
суммарный объем кэш-памяти без учета использования высокопроизводительных накопителей - не менее 512 Гб;
возможность установки твердотельных накопителей SSD;
количество установленных портов доступа Ethernet со скоростью не менее 25 Гбит/с каждый, укомплектованных модулями SFP28 25Gb Ethernet SR с возможностью настройки статических маршрутов - не менее 16 шт.;
обеспечение сохранности данных при одновременном выходе из строя трех любых дисков в одной RAID-группе;
поддержка протоколов доступа iSCSI. Использование внешних выделенных физических контроллеров для обеспечения работы указанных протоколов не допускается;
поддержка технологии разделения доступа серверов к дисковым ресурсам (логическим томам), (LUN masking) и возможность подключения не менее 800 инициаторов на систему хранения;
производительность контроллеров должна быть не менее 300 000 IOPS;
поддержка не менее 500 томов на систему хранения;
поддержка интерфейсов управления массивом через GUI и CLI;
поддержка функционала мониторинга инцидентов и производительности с сохранением истории наблюдений;
поддержка QoS с возможностью ограничения производительности по количеству операций чтения-записи (IOPS);
поддержка возможности работы с тонкими LUN (Thin Provisioning);
система хранения данных должна иметь драйвер OpenStack/Cinder для релиза не ниже Train с поддержкой следующих функциональных возможностей:
Supported Vendor Driver;
Extend an Attached Volume;
Thin Provisioning;
Сервис "Система хранения данных" должен предоставляться в трех различных вариантах в зависимости от предъявляемых требований и предоставляемых характеристик.
Система хранения данных тип 1
Должны использоваться технические средства, удовлетворяющие следующим минимальным техническим требованиям (в расчете за один Сервис):
не менее 177,6 Тб сырой емкости на накопителях, каждый из которых обеспечивает не менее 2000 IOPS на каждые 1000 Гб пространства.
Система хранения данных тип 2
Должны использоваться технические средства, удовлетворяющие следующим минимальным техническим требованиям (в расчете за один Сервис):
не менее 393,7 Тб сырой емкости на накопителях, каждый из которых обеспечивает не менее 2000 IOPS на каждые 1000 Гб пространства.
Система хранения данных тип 3
Должны использоваться технические средства, удовлетворяющие следующим минимальным техническим требованиям (в расчете за один Сервис):
не менее 523,2 Тб сырой емкости на накопителях, каждый из которых обеспечивает не менее 2000 IOPS на каждые 1000 Гб пространства.
Сервис "Коммутатор" должен предоставляться в пяти различных вариантах в зависимости от предъявляемых требований и предоставляемых характеристик.
Коммутатор тип 1
Должны использоваться технические средства, удовлетворяющие следующим минимальным техническим требованиям (в расчете за один Сервис):
- монтажная высота не более 1 RU (rack unit);
- наличие не менее 48 фиксированных портов 100/1000 Mbps;
- наличие не менее 4 портов 10 Гбит/с SFP+;
- наличие не менее двух блоков питания (основного и резервного) с возможностью горячей замены;
- наличие управляющего и консольного портов;
Коммутатор Тип 1 должен обладать следующими функциональными возможностями:
- поддержка MLAG;
- наличие отдельного VRF для управляющего порта;
- поддержка NTP из VRF management;
- поддержка мониторинга: SNMPv3, Syslog из VRF management;
- поддержка аппаратного QoS, поддержка функциональности QoS: поддержка очередей LLQ, поддержка механизма WRED;
- в комплект Коммутатора Тип 1 должны входить оптико-электронные преобразователи форм-фактора SFP+, поддерживающие стандарт передачи IEEE 802.3by-2016 (10GBASE-SR) - не менее 4 шт.
Коммутатор тип 2
Должны использоваться технические средства, удовлетворяющие следующим минимальным техническим требованиям (в расчете за один Сервис):
- монтажная высота не более чем 1 RU (rack unit);
- наличие не менее 48 портов 1/10/25 Гбит/с SFP28;
- наличие не менее 6 портов 40/100 Гбит/с QSFP28;
- наличие управляющего и консольного портов;
- поддерживать максимальную пропускную способность (скорость коммутации) не менее 3,6 Тбит/с;
- наличие не менее двух блоков питания (основного и резервного) с возможностью горячей замены;
Коммутатор должен обладать следующими функциональными возможностями:
- VLANs, SVI, возможность добавления secondary адресов на любой L3 интерфейс;
- IP routing: VRF-lite, BGP, PBR, BGP standard/extended community, 32bit ASN, ECMP до 64 путей с балансировкой, BGP templates/peer-groups, BGP PIC или аналог - возможность установить резервный маршрут сразу в FIB-коммутатора, возможность запуска BGP в VRF;
- аппаратный BFD и/или с поддержкой BFD в VRRP;
- поддержка MLAG;
- поддержка VRRP, возможность использовать совместно с MLAG;
- поддержка VXLAN/EVPN с возможностью выделения Route Server с поддержкой Active-Active;
- наличие отдельного VRF для management порта;
- мониторинг: SNMPv3, Syslog из VRF management;
- поддержка NTP из VRF management;
- аппаратный QoS, поддержка функционала QoS: shaping, policing, поддержка очередей LLQ, поддержка механизма WRED;
- возможность отслеживания состояния линков и выключения SVI при падении;
- в комплект Коммутатора Тип 2 должны входить оптико-электронные преобразователи форм-фактора QSFP28, поддерживающие стандарт передачи IEEE P802.3bm - не менее 10 шт.
Коммутатор тип 3
Должны использоваться технические средства, удовлетворяющие следующим минимальным техническим требованиям (в расчете за один Сервис):
- монтажная высота не более 2 RU (rack unit);
- наличие не менее 64 портов 40/100 Гбит/с QSFP28;
- наличие управляющего и консольного портов;
- поддерживать максимальную пропускную способность (скорость коммутации) не менее 6,4 Тбит/с;
- наличие не менее двух блоков питания (основного и резервного) с возможностью горячей замены;
Коммутатор должен обладать следующими функциональными возможностями:
- VLANs, SVI, возможность добавления secondary адресов на любой L3 интерфейс;
- IP routing: VRF-lite, BGP, PBR, BGP standard/extended community, 32bit ASN, ECMP до 64 путей с балансировкой, BGP templates/peer-groups, BGP PIC или аналог - возможность установить резервный маршрут сразу в FIB-коммутатора, возможность запуска BGP в VRF;
- аппаратный BFD и/или с поддержкой BFD в VRRP;
- поддержка MLAG;
- поддержка VRRP, возможность использовать совместно с MLAG;
- поддержка VXLAN/EVPN с возможностью выделения Route Server с поддержкой Active-Active;
- наличие отдельного VRF для management порта;
- мониторинг: SNMPv3, Syslog из VRF management;
- поддержка NTP из VRF management;
- аппаратный QoS, поддержка функционала QoS: shaping, policing, поддержка очередей LLQ, поддержка механизма WRED;
- возможность отслеживания состояния линков и выключения SVI при падении.
Коммутатор тип 4
Должны использоваться технические средства, удовлетворяющие следующим минимальным техническим требованиям (в расчете за один Сервис):
- монтажная высота не более 1 RU (rack unit);
- наличие не менее 48 портов 10/25 Гбит/с SFP28;
- наличие не менее 6 портов 40/100 Гбит/с QSFP28;
- наличие управляющего и консольного портов;
- поддерживать максимальную пропускную способность (скорость коммутации) не менее 3,6 Тбит/с;
- наличие не менее двух блоков питания (основного и резервного) с возможностью горячей замены;
Коммутатор должен обладать следующими функциональными возможностями:
- IP routing: BGP, PBR, BGP standard/extended community, 32bit ASN, ECMP до 64 путей с балансировкой, BGP templates/peer-groups, BGP PIC или аналог - возможность установить резервный маршрут сразу в FIB-коммутатора;
- аппаратный BFD;
- наличие отдельного VRF для управляющего порта;
- мониторинг: SNMPv3, Syslog из VRF management;
- поддержка NTP из VRF management;
- аппаратный QoS, поддержка очередей LLQ, поддержка механизма WRED.
- в комплект Коммутатора Тип 4 должны входить оптико-электронные преобразователи форм-фактора QSFP28, поддерживающие стандарт передачи IEEE P802.3bm - не менее 2 шт.
Коммутатор тип 5
Должны использоваться технические средства, удовлетворяющие следующим минимальным техническим требованиям (в расчете за один Сервис):
- монтажная высота не более 1 RU (rack unit);
- наличие не менее 4 портов 25 Гбит/с SFP28;
- наличие не менее 20 портов 10 Гбит/с SFP+
- наличие не менее 2 портов 40 Гбит/с QSFP+;
- наличие управляющего и консольного портов;
- поддерживать максимальную пропускную способность (скорость коммутации) не менее 3,6 Тбит/с;
- наличие не менее двух блоков питания (основного и резервного) с возможностью горячей замены, 2 слота питания, 2 слота для вентиляторов;
- возможность стекирования до двух коммутаторов в стеке.
Коммутатор должен обладать следующими функциональными возможностями:
- IP routing: Static routing, RIP, RIPng, OSPFv2, OSPFv3, IS-ISv4, IS-ISv6, BGP4, BGP4+ ECMP;
- Агрегирование портов: LACP;
- Протоколы резервирования: VSU (virtualization technology for virtualizing multiple devices into 1), GR для RIP/OSPF/BGP, BFD, G.8032 (ERPS), технология быстрого переключения REUP, (Rapid Link Detection Protocol);
- Протоколы управления: SNMP, CLI (Telnet/Console), RMON (1,2,4,9), Syslog, NTP, SNMP по IPv6, поддержка IPv6 MIB для SNMP, Telnet v6, FTP/TFTP v6, DNS v6, NTP для v6, Traceroute v6, sFlow;
- VLAN функционал: 802.1Q VLAN, Port-based VLAN, Private VLAN, GVRP, Super VLAN, 4K VLAN;
- в комплект Коммутатора Тип 5 должны входить оптико-электронные преобразователи форм-фактора QSFP28, поддерживающие стандарт передачи IEEE P802.3bm - не менее 2 шт.
"Средства защиты информации"
В рамках предоставления ИТ сервисов категории "Средства защиты информации" должны предоставляться комплекты средств защиты информации, отвечающих следующим требованиям.
Предоставляемые средства технической защиты конфиденциальной информации должны быть сертифицированы в системе сертификации ФСТЭК России на соответствие требованиям по безопасности информации, позволяющим осуществлять на базе них построение системы защиты информации для государственных информационных систем не ниже первого класса защищенности (К1):
- средства защиты информации не ниже 5 класса и соответствующие 5 или более высокому уровню доверия;
- средства вычислительной техники не ниже 5 класса.
В соответствии с требованиями ОДТ.2 Методического документа "Меры защиты информации в государственных информационных системах", утвержденного Федеральной службой по техническому и экспортному контролю 11 февраля 2014 г. средства технической защиты конфиденциальной информации должны предоставляться с применением резервных (дублирующих) технических средств, программного обеспечения, каналов передачи информации и (или) средств обеспечения функционирования информационной системы, обеспечивающих требуемые условия непрерывности функционирования информационной системы и доступности информации.
периметрового межсетевого экранирования"
Комплект средств периметрового межсетевого экранирования должен иметь следующие характеристики:
- высота - не более 2U;
- поддержка режима кластера высокой доступности (HA) в режиме "Active-Standby";
- поддержка функции межсетевого экранирования сетевого трафика;
- пропускная способность в режиме межсетевого экранирования сетевого трафика не менее 13 Гбит/сек;
- поддержка возможности управления средством с использованием специально выделенного (или назначенного) management-порта;
- поддержка возможности локального управления и администрирования комплектом средств периметрового межсетевого экранирования;
- наличие действующего сертификата ФСТЭК России, подтверждающего соответствие требованиям к межсетевым экранам не ниже 5 класса и требованиям к уровню доверия не ниже 5 (руководящие документы "Требования к межсетевым экранам" (ФСТЭК России, 2016 г.), "Профиль защиты межсетевого экрана типа А пятого класса защиты. ИТ.МЭ.А5.ПЗ" (ФСТЭК России, 2016 г.), "Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий" (ФСТЭК, 2020 г.)).
Комплект средств межсетевого экранирования должен обеспечивать отказоустойчивость за счет кластеризации.
Единицей расчета Сервиса должен являться комплект из двух средств межсетевого экранирования, объединенных в кластер в режиме "Active-Standby", указываемый как 1 шт.
"Средство обнаружения вторжений"
Средство обнаружения вторжений должно иметь следующие характеристики:
- поддержка функции обнаружения компьютерных атак (IDS) и/или предотвращения вторжений (IPS);
- производительность анализа сетевого трафика в режиме обнаружения компьютерных атак и/или предотвращения вторжений: не менее 5 Гбит/с;
- возможность регистрации факта обнаружения атаки (вторжения) и идентификации события с фиксацией информации об атаке;
- возможность регистрации, визуализации и экспорта в PCAP IP-пакетов, соответствующих зарегистрированным событиям (атакам), для более детального анализа и разбора произошедшего инцидента;
- возможность оповещения администратора безопасности о факте обнаружения атаки;
- наличие сервиса автоматической выгрузки информации по зарегистрированным событиям информационной безопасности во внешние системы анализа и выявления угроз;
- поддержка возможности управления средством с использованием специально выделенного (или назначенного) management-порта;
- поддержка возможности локального управления и администрирования средством;
- поддержка возможности централизованного (дистанционного) управления;
- наличие действующего сертификата ФСТЭК России, подтверждающего соответствие требованиям к системам обнаружения вторжений не ниже 5 класса и требованиям к уровню доверия не ниже 5 (руководящие документы "Требования к системам обнаружения вторжений" (ФСТЭК России, 2011), "Профиль защиты систем обнаружения вторжений уровня сети пятого класса защиты. ИТ.СОВ.С5.ПЗ" (ФСТЭК России, 2012), "Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий" (ФСТЭК, 2020 г.)).
Единицей расчета Сервиса должен являться комплект из одного средства обнаружения вторжений, указываемый как 1 шт.
уровня L2/L3 класса КВ"
Сервис "Комплект СКЗИ уровня L2/L3 класса КВ" должен предоставляться в трех различных вариантах в зависимости от предъявляемых требований и предоставляемых характеристик.
Комплект СКЗИ уровня L2/L3 класса КВ тип 1
Комплект средств криптографической защиты информации уровня L2/L3 класса КВ должен иметь следующие характеристики:
пропускная способность с учетом шифрования сетевого трафика - не менее 850 Мбит/с для каналов связи L2 или L3 с пропускной способностью 1 Гбит/с;
наличие кластера высокой доступности (HA);
поддержка централизованного управления комплексом;
поддержка централизованного управления криптографическими ключами;
поддержка работы с отказоустойчивыми каналами связи;
организация криптографических (шифрованных) VPN-туннелей по схеме Site-to-site VPN с установкой ответного оборудования на площадке, указанной Потребителем;
наличие действующего сертификата ФСБ России, подтверждающего соответствие требованиям к средствам криптографической защиты информации не ниже класса КВ.
Единицей расчета Сервиса является комплект из двух средств криптографической защиты информации уровня L2/L3, объединенных в один кластер высокой доступности, указываемый как 1 шт.
Комплект СКЗИ уровня L2/L3 класса КВ тип 2
Комплект средств криптографической защиты информации уровня L2/L3 класса КВ должен иметь следующие характеристики:
пропускная способность с учетом шифрования сетевого трафика - не менее 1,5 Гбит/с для каналов связи L2 или L3 с пропускной способностью 2 Гбит/с;
наличие кластера высокой доступности (HA);
поддержка централизованного управления комплексом;
поддержка централизованного управления криптографическими ключами;
поддержка работы с отказоустойчивыми каналами связи;
организация криптографических (шифрованных) VPN-туннелей по схеме Site-to-site VPN с установкой ответного оборудования на площадке, указанной Потребителя;
наличие действующего сертификата ФСБ России, подтверждающего соответствие требованиям к средствам криптографической защиты информации не ниже класса КВ.
Единицей расчета Сервиса должен являться комплект из двух средств криптографической защиты информации уровня L2/L3, объединенных в один кластер высокой доступности, указываемый как 1 шт.
Комплект СКЗИ уровня L2/L3 класса КВ тип 3
Комплект средств криптографической защиты информации уровня L2/L3 класса КВ должен иметь следующие характеристики:
пропускная способность с учетом шифрования сетевого трафика - не менее 4,5 Гбит/с для каналов связи L2 или L3 с пропускной способностью 5 Гбит/с;
наличие кластера высокой доступности (HA);
поддержка централизованного управления комплексом;
поддержка централизованного управления криптографическими ключами;
поддержка работы с отказоустойчивыми каналами связи;
организация криптографических (шифрованных) VPN-туннелей по схеме Site-to-site VPN с установкой ответного оборудования на площадке, указанной Потребителем;
наличие действующего сертификата ФСБ России, подтверждающего соответствие требованиям к средствам криптографической защиты информации не ниже класса КВ.
Единицей расчета Сервиса должен являться комплект из двух средств криптографической защиты информации уровня L2/L3, объединенных в один кластер высокой доступности, указываемый как 1 шт.
уровня L2 класса КВ"
Комплект средств криптографической защиты информации уровня L2 должен иметь следующие характеристики:
пропускная способность с учетом шифрования сетевого трафика, не менее 9,5 Гбит/с для каналов связи L2 с пропускной способностью 10 Гбит/с;
поддержка работы с отказоустойчивыми каналами связи;
организация криптографических (шифрованных) VPN-туннелей по схеме Site-to-site VPN с установкой ответного оборудования у Потребителя;
наличие действующего сертификата ФСБ России, подтверждающего соответствие требованиям к средствам криптографической защиты информации не ниже класса КВ.
Единицей расчета Сервисов должен являться комплект из одного средства криптографической защиты информации уровня L2, указываемый как 1 шт.
класса КС3 для организации защищенного канала до ФГИС У"
Комплект средств криптографической защиты информации уровня L3 должен иметь следующие характеристики:
пропускная способность с учетом шифрования сетевого трафика не менее 100 Мбит/с;
наличие кластера высокой доступности (HA);
поддержка централизованного управления комплексом;
поддержка централизованного управления криптографическими ключами;
поддержка работы с отказоустойчивыми каналами связи;
организация криптографических (шифрованных) VPN-туннелей по схеме Site-to-site VPN с установкой ответного оборудования у Потребителя;
наличие действующего сертификата ФСБ России, подтверждающего соответствие требованиям к средствам криптографической защиты информации не ниже класса КС3.
Единицей расчета Сервис должен являться комплект из двух средств криптографической защиты информации уровня L3 класса КС3, объединенных в отказоустойчивый кластер, указываемый как 1 шт.
уровня L7 класса КС3"
Комплект средств криптографической защиты информации уровня L7 должен иметь следующие характеристики:
поддержка режима кластера высокой доступности (HA);
количество одновременных подключений - не менее 40 000;
обеспечение криптографически защищенного (шифрованного) доступа к веб-приложениям;
обоюдная аутентификация пользователя и сервера в процессе установки защищенного соединения;
поддержка протоколов TLS v1.2 или выше;
поддержка цифровых сертификатов стандарта x.509v3;
сокрытие защищаемых серверов (обратный прокси-сервер);
блокировка неиспользуемых портов;
наличие действующего сертификата ФСБ России, подтверждающего соответствие Требованиям к средствам криптографической защиты информации, предназначенным для защиты информации, не содержащей сведений, составляющих государственную тайну, класса не ниже КС3.
Комплект средств криптографической защиты информации уровня L7 должен обеспечивать отказоустойчивость за счет кластеризации.
Единицей расчета Сервиса должен являться комплект из двух средств криптографической защиты информации уровня L7, объединенных в кластер высокой доступности (HA) с использованием (в случае необходимости) дополнительного оборудования, рекомендуемого производителем СКЗИ, указываемый как 1 шт.
управления СКЗИ информации класса КВ"
Средство централизованного управления средствами криптографической защиты информации класса КВ должно иметь следующие характеристики:
Централизованное управления комплексом, состоящим из средств криптографической защиты информации уровня L2/L3 или L2;
Централизованное управление криптографическими ключами средств криптографической защиты информации уровня L2/L3 или L2;
Наличие действующего сертификата ФСБ России, подтверждающего соответствие требованиям к средствам криптографической защиты информации не ниже класса КС3.
Единицей расчета Сервиса должно являться одно средство централизованного управления средствами криптографической защиты информации класса КВ, в том числе АРМ Администратора СКЗИ, указываемое как 1 шт.
Средство доверенной загрузки должно иметь следующие характеристики:
аппаратный модуль в виде платы форм-фактора PCIe;
поддержка USB-ключей и (или) ключей iButton;
возможность идентификации и аутентификации пользователей с помощью электронных идентификаторов;
возможность защиты от несанкционированной загрузки ОС со съемных носителей;
обеспечение контроля целостности программного и аппаратного обеспечения до загрузки операционной системы;
наличие действующего сертификата ФСТЭК России, подтверждающего соответствие требованиям к средствам доверенной загрузки не ниже 5 класса и требованиям к уровню доверия не ниже 5. Руководящие документы: "Требования к средствам доверенной загрузки" (ФСТЭК России, 2013), "Профиль защиты средства доверенной загрузки уровня загрузочной записи 5 класса защиты. ИТ.СДЗ.ЗЗ5.ПЗ" (ФСТЭК России, 2013), "Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий" (ФСТЭК, 2020 г.).
Единицей расчета Сервиса должно являться одно средство доверенной загрузки, указываемое как 1 шт.
Средство антивирусной защиты должно иметь следующие характеристики:
- защита АРМ и файловых серверов от вредоносного ПО, включая вирусы "шифровальщики";
- защита виртуальных машин;
- обеспечение защиты от новейших угроз, в том числе от бесфайловых вирусов;
- функциональность поведенческого анализа программ;
- персональный сетевой экран и функциональность по предотвращению вторжений;
- возможность контроля программ по динамическими белым спискам;
- возможность создания политик работы со съемными носителями и другими периферийными устройствами;
- возможность управления из единой консоли, централизованный контроль настроек безопасности для каждого устройства в сети;
- совместимость со средствами виртуализации и операционными системами, применяемыми в составе Платформы "ГосТех";
- возможность централизованного управления (средство централизованного управления предоставляется Исполнителем в единичном экземпляре, независимо от количества заказываемых услуг);
- наличие действующего сертификата ФСТЭК России, подтверждающего соответствие требованиям к средствам антивирусной защиты не ниже 4 класса и требованиям к уровню доверия не ниже 4. Руководящие документы: "Требования к САВЗ, "Профиль защиты средств антивирусной защиты типа Б четвертого класса защиты. ИТ.САВЗ.Б4.ПЗ" (ФСТЭК России, 2012 г.), "Профиль защиты средств антивирусной защиты типа В четвертого класса защиты. ИТ.САВЗ.В4.ПЗ" (ФСТЭК России, 2012 г.), "Профиль защиты средств антивирусной защиты типа Г четвертого класса защиты. ИТ.САВЗ.Г4.ПЗ" (ФСТЭК России, 2012 г.), "Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий" (ФСТЭК, 2018 г.).
Единицей расчета Сервиса должно являться одно средство антивирусной защиты, указываемый как 1 шт.
межсетевого экранирования уровня приложений"
Комплект средств межсетевого экранирования уровня приложений должен иметь следующие характеристики:
обеспечение межсетевого экранирования уровня приложения в отношении вычислительной инфраструктуры;
поддержка возможности организации конфигурации с обеспечением отказоустойчивости по схеме "Active-Passive";
поддержка количества обрабатываемых запросов в секунду (RPS) не менее 1 000 RPS;
поддержка возможности локального управления и администрирования;
наличие порта управления;
наличие действующего сертификата ФСТЭК России, подтверждающего соответствие требованиям к межсетевым экранам не ниже 5 класса и требованиям к уровню доверия не ниже 5 (руководящие документы "Требования к межсетевым экранам" (ФСТЭК России, 2016 г.), "Профиль защиты межсетевого экрана типа Г пятого класса защиты. ИТ.МЭ.Г5.ПЗ (ФСТЭК России, 2016 г.), "Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий" (ФСТЭК, 2020 г.)).
Комплект средств межсетевого экранирования уровня приложений должен обеспечивать отказоустойчивость за счет кластеризации.
Единицей расчета Сервиса должен являться комплект из двух средств межсетевого экранирования уровня приложений, объединенных в кластер по схеме "Active-Passive", указываемый как 1 шт.
Единицей предоставления сервиса является 1 (одно) средство защиты от НСД.
Средство защиты от НСД должно соответствовать следующим характеристикам:
быть совместимым со средством доверенной загрузки;
иметь действующий сертификат ФСТЭК России на соответствие требованиям к средствам контроля съемных машинных носителей информации не ниже 4 класса. Руководящие документы: "Требования к средствам контроля съемных машинных носителей информации" (ФСТЭК России, 2014) и "Профиль защиты средств контроля съемных машинных носителей информации четвертого класс. ИТ.СКН.П4.ПЗ" (ФСТЭК России 2014).ИС МЕГАНОРМ: примечание. Здесь и далее в официальном тексте документа, видимо, допущена опечатка: разд. 5.11 отсутствует. |
Сервис должен предоставляться Исполнителем в соответствии с требованиями раздела 5.11, а также включать в себя:
мониторинг работоспособности;
изменение настроек в рамках запросов на обслуживание и запросов на изменение;
реагирование при авариях.контроля и анализа защищенности
Комплект средств контроля и анализа защищенности должен иметь следующие характеристики:
контроль изменений на сканируемых узлах;
инвентаризация сетевых устройств;
эвристический метод определения типов и имен сервисов (HTTP, FTP, SMTP, POP3, DNS, SSH и др.) даже на нестандартных портах;
сбор информации об используемых RPC-сервисах;
проверка слабости парольной защиты: оптимизированный подбор паролей в сервисах, требующих аутентификации;
анализ структуры HTTP-серверов для поиска слабых мест в конфигурации;
проведение проверок на стандартные DoS-атаки;
наличие действующего сертификата ФСТЭК России, подтверждающего соответствие требованиям к уровню доверия не ниже 5 (руководящий документ "Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий" (ФСТЭК, 2020 г.)).
Единицей расчета Сервиса должен являться комплект из одного средства контроля и анализа защищенности, позволяющего проводить сканирование до 512 узлов, указываемый как 1 шт.
привилегированных пользователей"
Комплект средств контроля действий привилегированных пользователей должен иметь следующие характеристики:
- запись видео файлов, содержащих сессии привилегированных пользователей системы;
- фиксирование действий привилегированных пользователей круглосуточно в автономном режиме (без участия оператора);
- работа в режиме шлюза/прокси-сервера без установки агентов на сервера и АРМ Заказчика;
- обеспечение контроля одновременных (конкурентных) сессий привилегированных пользователей, в том числе по протоколу SSH;
- просмотр активных сессий пользователей в режиме реального времени с возможностью принудительного прерывания конкретной сессии пользователя;
- анализ передаваемых команд по протоколу SSH;
- анализ данных и инцидентов информационной безопасности в режиме, приближенном к режиму реального времени, а также анализу аномального поведения пользователей в рамках сессий удаленного доступа, созданием цифровых профилей пользователей с автоматической индикацией уровня доверия к пользователю;
- разрыв сессии привилегированного пользователя в автоматическом режиме или оповещение администратора при введении запрещенной команды из заранее созданного списка;
- поддержка возможности оперативного оповещения администраторов системы о событиях безопасности по протоколам SNMP и/или SMTP;
- идентификация пользователей по уникальному идентификатору и аутентификации посредством локальных паролей или паролей профилей LDAP-сервера;
- запрет любых действий пользователей до прохождения ими процедур идентификации и аутентификации;
- наличие предустановленных ролей пользователей с различным набором прав доступа (не менее трех ролей: администратор, пользователь, аудитор);
- поддержка реализации отказоустойчивого решения на базе кластера по схемам вида "Active-Passive" или "Active-Active";
- запись сессий пользователей в журналы событий, как в формате видеозаписи (с контролем ввода с клавиатуры), так и в формате текстового файла с функцией показа ввода и вывода пользовательской команды, буфера обмена (текстового и файлового), определения запускаемых процессов, а также дополнительной информации, собираемой в рамках сессий;
- хранение записей на подключаемых по сети хранилищах данных по протоколам NFS и CIFS;
- обеспечение хранения журналов и записанных сессий привилегированных пользователей в течение не менее 6 месяцев;
- наличие действующего сертификата ФСТЭК России, подтверждающего соответствие требованиям к уровню доверия не ниже 5 (руководящий документ "Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий" (ФСТЭК, 2020 г.)).
Единицей расчета Сервиса должен являться комплект из одного средства контроля действий привилегированных пользователей (поддерживающее до 10 одновременных (конкурентных) сессий) в отказоустойчивом исполнении, указываемый как 1 шт.
Сервис "Электронная подпись" должен предоставляться в двух типах в зависимости от функционального назначения.
Сервис автоматизированного формирования ЭП
Сервис автоматизированного формирования электронной подписи должен реализовывать:
формирование хэша и электронной подписи в соответствии с алгоритмами, описанными в ГОСТ Р 34.10-2012, ГОСТ Р 34.11-2012;
поддержку ЭП в следующих форматах: CMS, CAdES-BES, CAdES-T, CAdES-C, CAdES-A, XMLDSig, XAdES-BES, XAdES-T, XAdES-C, XAdES-A, WSSec-T, WSSec-C, WSSec-A;
поддержку формирования attached- и detached-подписей;
поддержку подписания как всего xml-файла, так и отдельного элемента xml-файла, определяемого по id в параметрах запроса;
поддержку применения набора трансформов (правил нормализации XML-документов) - XPath, XSLT, SMEV3, при их объявлении в составе структуры SignedInfo при формировании подписи в формате XMLDSig и ее расширенных версий (XAdES, WS-Security) для взаимодействия со СМЭВ;
возможность выбора ключевого контейнера для формирования подписи;
возможность работы с внешними источниками точного времени по протоколу сетевого времени NTP.
возможность увеличения производительности средства в части функции формирования электронной подписи не менее, чем до 500 TPS, посредством увеличения количества сервисов в составе объекта ГИС.Сервис автоматизированного формирования электронной подписи должен использовать средство электронной подписи класса не выше КС2, поставляться в виде программно-аппаратного комплекса и для обработки информации, подлежащей защите в соответствии с действующим законодательством Российской Федерации и при интеграции со средством автоматизированного формирования электронной подписи не должно требоваться проведения оценки влияния и проведения процедур контроля встраивания. При этом, в соответствии с Моделью угроз и нарушителя безопасности информации платформы "ГосТех", минимальный класс используемого в составе Сервиса средства электронной подписи должен быть не ниже КС1.
Сервис должна обеспечивать возможность горизонтального масштабирования производительности не менее, чем до 500 транзакций в секунду (TPS).
Сервис проверки ЭП
Сервис проверки электронной подписи должен обрабатывать входящие запросы на проверку ЭП, проверку и усиление ЭП, проверку структуры сертификата ЭП и проверку действительности сертификата ЭП, в том числе реализовывать:
проверку ЭП с возможностью использования криптографических алгоритмов ГОСТ Р 34.10-2001, ГОСТ Р 34.11-94, ГОСТ Р 34.10-2012, ГОСТ Р 34.11-2012;
поддержку следующих форматов ЭП: CMS, CAdES-BES, CAdES-T, CAdES-C, CAdES-A, XMLDSig, XAdES-BES, XAdES-T, XAdES-C, XAdES-A, WSSec-BES, WSSec-T, WSSec-C, WSSec-A;
поддержку проверки attached- и detached-подписей;
усиление ЭП путем фиксации метки времени (путем определения времени подписания с использованием поверенного источника точного времени) и подписанием технологической (используемой не для обеспечения юридической значимости) электронной подписи;
проверку сертификатов на действительность и соответствие требованиям к квалифицированным сертификатам.
проверку сертификатов ЭП на действительность и соответствие структуры актуальным требованиям к квалифицированных сертификатам;
проверку меток доверенного времени, содержащихся в ЭП;
осуществление автоматического сбора, хранения и актуализации информации об аккредитованных удостоверяющих центрах и списка отозванных сертификатов (CRL) из реестра аккредитованных удостоверяющих центров, публикуемого на Портале уполномоченного федерального органа в XML-формате (http://e-trust.gosuslugi.ru).Сервис проверки ЭП должен использовать средство ЭП класса не выше КС2, поставляться в виде программно-аппаратного комплекса и для обработки информации, подлежащей защите в соответствии с действующим законодательством Российской Федерации и при интеграции со средством проверки ЭП, не должно требоваться проведения оценки влияния и проведения процедур контроля встраивания.
Сервис должен обеспечивать возможность горизонтального масштабирования производительности в части увеличения количества транзакций в единицу времени.
Сервис проверки ЭП может быть реализован только в случае осуществления функций доверенной третьей стороны, аккредитованной в соответствии с Федеральным законом "Об электронной подписи" N 63-ФЗ.
"Средство контроля конфигурации"
Единицей предоставления сервиса является 1 (одно) средство контроля конфигурации.
Средство контроля конфигурации предварительно имеет следующие характеристики:
Управление конфигурациями сетевого оборудования;
Централизованное управление доступом к сетевому оборудованию;
Анализ эффективности политик межсетевого экранирования и контроль изменений в конфигурациях межсетевых экранов;
Контроль целостности конфигураций операционных систем;
Контроль целостности конфигураций средств виртуализации;
Инвентаризация и ведение единого списка объектов защиты;
Контроль доступа пользователей к подключенному оборудованию;
Поддержка протоколов TACACS+ и RADIUS для аутентификации, авторизации и учета действий пользователя на сетевых устройствах;
Наличие действующего сертификата ФСТЭК России, подтверждающего соответствие требованиям к уровню доверия не ниже 4 (руководящий документ "Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий" (ФСТЭК, 2020 г.)).Сервис должен оказываться Исполнителем в соответствии с требованиями раздела 5.11, а также включать в себя:
мониторинг работоспособности и корректности настроек;
централизованное управление доступом к сетевому оборудованию;
управление конфигурациями сетевого оборудования;
контроль доступа пользователей к подключенному оборудованию;
инвентаризация и ведение единого списка объектов защиты;
выполнение запросов в рамках сопровождения и реагирование при авариях."Средство программного клиентского СКЗИ"
Средство программного клиентского СКЗИ должно иметь следующие характеристики:
возможность организации шифрованного канала VPN типа "клиент-сайт" с использованием сертифицированных средств криптографической защиты информации, поддерживающих криптоалгоритмы ГОСТ Р 34.10-* и ГОСТ Р 34.12-*.В рамках предоставления Сервис Исполнитель должен организовать доступ пользователей Потребителя к заказанным ресурсам посредством шифрованного канала VPN типа "клиент-сайт", организованного с использованием средства программного клиентского СКЗИ.
Для заказа Сервиса Заказчику необходимо предоставить Исполнителю следующую информацию, полученную от Потребителя:
информация, необходимая для учета СКЗИ органом криптографической защиты Исполнителя в соответствии с требованиями приказа ФАПСИ от 13.06.2001 г. N 152 "Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну", в том числе фамилия, имя, отчество администратора (пользователя) СКЗИ.В рамках предоставления Сервиса Исполнитель также должен предоставить Потребителю сформированную ключевую и справочную информацию СКЗИ, а также в рамках запросов на обслуживание и запросов на изменение осуществлять:
изменение конфигурации ключевой и справочной информации;
формирование и перевыпуск ключевой информации, необходимой для функционирования криптосети.Организация доверенной среды функционирования программного обеспечения СКЗИ на автоматизированном рабочем месте пользователя в соответствии с правилами пользования осуществляется Потребителем самостоятельно.
Единицей расчета ИТ Сервиса должно являться одно средство программного клиентского СКЗИ, указываемого как 1 шт.
трафика для средств защиты информации"
Единицей предоставления Сервиса является 1 комплект средств балансировки трафика для средств защиты информации.
Комплект средств балансировки трафика для средств защиты информации предварительно имеет следующие характеристики:
Пропускная способность оборудования до 1,28 Тбит/с;
Возможность объединения двух средств балансировки трафика в кластер;
Поддержка 8 интерфейсов 40G;
Поддержка 32 интерфейсов 10G;
Агрегация с 32 подключений в 8 групп;
Фильтрация на основе внешних и вложенных заголовков;
Балансировка с индивидуальными правилами распределения;
Зеркалирование в режимах one-to-one, one-to-many, many-to-one и many-to-many;
Модификация заданного количества байт/поля данных;
Дедупликация с установкой временного интервала и интерфейсов для идентификации дубликата;
Защита от всплесков с объемом буферизации до 8 Гбайт;
Туннелирование по протоколу GRE;
Поддержка протоколов аутентификации LDAP, TACACS+, RADIUS;
Поддержка нескольких уровней прав доступа.Сервис должен оказываться Исполнителем в соответствии с требованиями раздела 5.11., а также включать в себя:
мониторинг работоспособности и корректности настроек;
настройка правил обработки трафика;
настройка прав доступа пользователей;
настройка SNMP-агента;
выполнение запросов в рамках сопровождения и реагирование при авариях.для СЗИ Потребителя"
В рамках данного Сервиса должно обеспечиваться размещение программно-аппаратных комплексов средств защиты информации Потребителя, кроме средств криптографической защиты информации класса КВ, КА, а также необходимого для их функционирования дополнительного оборудования в центрах обработки данных с их подключением к линиям питания и подключением к сети ЦОД, сети Интернет и (или) выделенным каналам связи.
При предоставлении стойко-мест для СЗИ Потребителя должно обеспечиваться соблюдение технологических условий эксплуатации СЗИ, указанных производителем программно-аппаратных комплексов в сопроводительной документации к СЗИ.
СЗИ должно передается Потребителем на основании Акта приема-передачи оборудования. Наименование и количество СЗИ должно указываться в соответствующем Заказе. Размещаемые СЗИ должны соответствовать указанным в Заказе.
Сервис предоставляется для оборудования, предназначенного для монтажа в серверные шкафы форм-фактора 19". Оборудование должно быть технически исправным и проходить встроенные механизмы тестирования без ошибок. Оборудование должно иметь не менее 2 (двух) блоков питания переменного тока для подключения к двум независимым линиям питания или иметь в комплекте дополнительное оборудование для подключения к двум независимым линиям питания.
Предоставление Сервиса подразумевает реализацию всех необходимых организационных и технических мер и условий, исключающих несанкционированный доступ посторонних лиц (любых третьих лиц) к размещаемому Потребителем СЗИ, предоставленному Потребителем, как в процессе его работы, так и в период его хранения в ЦОД.
Сервис предоставляется в следующем порядке:
Стороны согласовывают перечень и количество единиц размещаемого оборудования;
Стороны согласовывают технические условия присоединения оборудования к инфраструктуре платформы "ГосТех" и физическую сетевую схему (L1) его подключения к коммутационному оборудованию платформы "ГосТех";
Стороны согласовывают дату доставки оборудования Потребителя в ЦОД и проведения монтажных работ и настройки оборудования после монтажа в предоставленные технологические ресурсы;
Исполнитель заказывает и предоставляет Потребителю пропуска в ЦОД на ввоз оборудования и проход представителей Потребителя для проведения пуско-наладочных работ на согласованную дату проведения работ;
Потребитель самостоятельно обеспечивает доставку оборудования в ЦОД в согласованную дату;
Исполнитель осуществляет проверку внешнего вида оборудования;
Исполнитель осуществляет монтаж оборудования в центре обработки данных и обеспечивает подключение оборудования к сети ЦОД, доступ в Интернет или к выделенным каналам связи и обеспечение электропитания, а также обеспечивает проведение работ по демонтажу оборудования;
Предоставление публичных IP адресов осуществляется в рамках соответствующего Сервиса;
Потребитель, при необходимости, в присутствии инженеров Исполнителя производит локальную настройку установленного оборудования;
Стороны подписывают акт о приемке-передаче оборудования;
Запуск и настройка оборудования осуществляется силами Потребителя;
Потребитель самостоятельно эксплуатирует установленное в пределах предоставленных Исполнителем технологических ресурсов и подключенное к сетям передачи данных и/или Интернет оборудование, выполняя дистанционный контроль, управление, мониторинг, ремонт и обслуживание оборудования;
Исполнитель обеспечивает климатические условия эксплуатации оборудования, указанные в сопроводительной документации СЗИ, обеспечивает непрерывность электропитания и подключение к сетям ЦОД.
При необходимости, по предварительной заявке, согласованной с Потребитель в присутствии инженеров Исполнителя, посещает ЦОД, проводит профилактические, плановые или ремонтные работы с возможной заменой (с подписанием нового Акта приема-передачи оборудования) установленного на объекте Исполнителя оборудования.
Потребитель производит вывоз оборудования из ЦОД.
По результату демонтажа подписывается Акт приема-передачи оборудования.
Единицей расчета Сервиса должно являться количество монтажных юнитов, занимаемых размещаемым оборудованием, единица измерения - шт.
Исполнитель в рамках оказания данного ИТ сервиса должен обеспечить предоставление каналов связи без учета и ограничения объема получаемого или передаваемого трафика.
В рамках Сервиса предоставляется подключение информационных ресурсов и информационных систем Потребителя, размещаемых в информационно-технологической инфраструктуре Исполнителя, к ресурсам сети Интернет с защитой от DDoS-атак с пропускной способностью канала связи, соответствующей типу, указанному в Заказе.
Предоставление каналов связи с сетью Интернет должны иметь возможность расширения пропускной способности до 10 Гбит/с.
Подключение к сети Интернет должно обеспечиваться через телекоммуникационную инфраструктуру с использованием основного и резервного каналов передачи данных через двух различных операторов связи (провайдеров).
Под пропускной способностью канала связи к сети Интернет с защитой от DDoS-атак принимается пропускная способность порта каналообразующего оборудования информационно-технологической инфраструктуры Исполнителя.
Защита от DDoS-атак должна производиться в отношении интернет-трафика, поступающего на защищаемые ресурсы.
Защита от DDoS-атак должна обеспечивать защиту от следующих типов атак:
TCP SYN flood;
TCP SYN/ACK flood;
UDP flood;
TCP Connection flood;
ICMP flood;
DNS/NTP Amplification;
Фильтрация трафика при защите от DDoS-атак должна осуществляться, как минимум, по следующим критериям:
по географическому признаку;
по "черным" и "белым" спискам IP-адресов.
Решение для защиты информационных ресурсов и информационных систем от DDoS-атак, должно иметь возможность:
подавлять атаки до транспортного уровня семиуровневой модели OSI без установления TCP-соединения не менее 5 Тбит/с, обеспечивая неснижаемую пропускную способность каналов связи для подключения информационных ресурсов и информационных систем Потребителя к сети Интернет;
загружать и применять "белые" и "черные" списки IP-адресов сети Интернет.
Решение защиты от DDoS-атак должно поддерживать включение режима очистки трафика перечисленными ниже способами:
в режиме постоянной очистки входящего трафика в направлении информационных ресурсов и информационных систем Потребителя;
в автоматическом режиме при обнаружении аномалии в трафике Потребителя;
вручную путем обращения Потребителя в службу технической поддержки Исполнителя;
вручную при обнаружении аномалии в трафике Потребителя.
Время включения режима очистки трафика должно составлять не более 5 минут при настроенной функции автоматического подавления аномалий.
Предоставление канала связи к сети Интернет должно осуществляться без учета и ограничения объема, получаемого или передаваемого трафика.
Функции автоматического переключения маршрутизации трафика между основным и резервным каналами должны быть реализованы техническими средствами, настройку и поддержку данной функции выполняет Исполнитель.
Общее количество каналов связи к сети Интернет и их пропускная способность указываются в Заказе. Основной и резервный каналы должны отдельно отражаться и тарифицироваться в Заказе.
Сервис "Канал связи к сети Интернет" должен предоставляться в трех различных вариантах в зависимости от предъявляемых требований и предоставляемых характеристик.
Канал связи к сети Интернет тип 1
ИС МЕГАНОРМ: примечание. Здесь и далее в официальном тексте документа, видимо, допущена опечатка: п. 5.11.1 отсутствует. |
Сервис по предоставлению канала связи к сети Интернет Тип 1 предоставляет возможность подключения информационных ресурсов и информационных систем Потребителя, размещаемых в информационно-технологической инфраструктуре Исполнителя, к ресурсам сети Интернет в соответствии с требованиями к оказанию услуги по предоставлению канала связи с сетью Интернет, приведенными в пункте 5.11.1, с пропускной способностью канала связи, равной 1 Гбит/с.
Канал связи к сети Интернет тип 2
Сервис по предоставлению канала связи к сети Интернет Тип 2 предоставляет возможность подключения информационных ресурсов и информационных систем Потребителя, размещаемых в информационно-технологической инфраструктуре Исполнителя, к ресурсам сети Интернет в соответствии с требованиями к оказанию услуги по предоставлению канала связи с сетью Интернет, приведенными в пункте 5.11.1, с пропускной способностью канала связи, равной 5 Гбит/с.
Канал связи к сети Интернет тип 3
Сервис по предоставлению канала связи к сети Интернет Тип 3 предоставляет возможность подключения информационных ресурсов и информационных систем Потребителя, размещаемых в информационно-технологической инфраструктуре Исполнителя, к ресурсам сети Интернет в соответствии с требованиями к оказанию услуги по предоставлению канала связи с сетью Интернет, приведенными в пункте 5.11.1, с пропускной способностью канала связи, равной 10 Гбит/с.
через сеть Интернет"
В рамках данного Сервиса должно обеспечиваться защищенное соединение информационных ресурсов и информационных систем Потребителя, размещаемых в информационно-технологической инфраструктуре Исполнителя, со СМЭВ через сеть Интернет с использованием СКЗИ для Потребителя с пропускной способностью канала, равной 100 Мбит/с.
Под пропускной способностью подключения к СМЭВ принимается пропускная способность порта каналообразующего оборудования информационно-технологической инфраструктуры Исполнителя.
Подключение к СМЭВ должно быть защищенным с помощью СКЗИ. СКЗИ должны быть класса не ниже КС3 и должны иметь возможность объединения в отказоустойчивый кластер. Отказоустойчивый кластер СКЗИ должен работать в режиме "active-standby". Один канал для подключения к СМЭВ должен подключаться в выделенный отказоустойчивый кластер СКЗИ.
В Заказе должно быть указано назначение канала для подключения к СМЭВ - основной или резервный. Основной и резервный каналы должны подключаться в разные отказоустойчивые кластеры СКЗИ. Общее количество каналов для подключения к СМЭВ и их пропускная способность указываются в Заказе. Основной и резервный каналы должны отдельно отражаться и тарифицироваться в Заказе.
Потребитель обязан осуществить мероприятия, определенные в Регламенте взаимодействия участников информационного обмена и единой системы межведомственного электронного взаимодействия при предоставлении информации об обстоятельствах межведомственного информационного обмена в зоне своей ответственности.
Потребитель до оказания услуги обязан предоставить Исполнителю исчерпывающую информацию об информационной системе, подключаемой к СМЭВ, достаточной для настройки СКЗИ.
В рамках данного ИТ сервиса предоставляются каналы связи для организации подключения между информационно-технологической инфраструктурой платформы "ГосТех" и телекоммуникационной сетью Потребителя на втором или третьем уровне модели OSI без использования сети Интернет в соответствии с типом канала связи.
Под пропускной способностью канала связи принимается пропускная способность порта каналообразующего оборудования информационно-технологической инфраструктуры платформы "ГосТех".
Гарантии качества передачи IP-пакетов с данными между информационно-технологической инфраструктурой платформы "ГосТех" и телекоммуникационной сетью Потребителя на каналообразующем оборудовании в зоне ответственности Исполнителя должны удовлетворять следующим требованиям:
процент потерянных пакетов информации не более 1%;
задержка передачи пакетов информации в одну сторону не более 250 мс;
вариация задержки (джиттер) не нормируется.Общее количество каналов связи и их пропускная способность указывается в Заказе. Основной и резервный каналы являются отдельно организованными, должны отдельно отражаться и тарифицироваться в Заказе.
Подключение информационно-технологической инфраструктуры платформы "ГосТех" к телекоммуникационной сети Потребителя посредством канала связи должно быть выполнено с использованием основного и резервного каналов передачи данных.
Основной и резервный каналы должны быть организованы по не пересекающимся кабельным трассам.
Потребитель обязан принять оборудование, установленное на площадках, указанных в Заказе и используемое при оказании услуги в соответствии с требованиями настоящего документа, на основании Акта приема-передачи оборудования.
Единицей расчета Сервиса должен являться канал связи с указанием типа и пропускной способности.
Потребитель Сервисов в Заказе должен указать адреса площадок для подключения канала связи.
Исполнитель должен предоставить каналы связи для организации подключения между информационно-технологической инфраструктурой Исполнителя и телекоммуникационной сетью Потребителя или Заказчика на 2 (втором) или 3 (третьем) уровне модели ВОС (OSI) с использованием выделенных каналов связи в соответствии с пропускной способностью канала, указанной в Заказе.
Единицей предоставления Сервиса должен являться один канал связи VPN с пропускной способностью, указанной в Заказе, единица измерения - шт.
Под пропускной способностью канала связи VPN принимается пропускная способность порта каналообразующего оборудования информационно-технологической инфраструктуры Исполнителя.
Общее количество каналов связи VPN и их пропускная способность указывается в Заказе. Основной и резервный каналы являются отдельно организованными, должны отдельно отражаться и тарифицироваться в Заказе.
Заказчик в Заказе должен указать адрес технологической площадки Потребителя или Заказчика для подключения канала связи VPN.
Подключение информационно-технологической инфраструктуры Исполнителя к телекоммуникационной сети Потребителя или Заказчика посредством канала связи VPN должно быть выполнено с использованием основного и резервного каналов передачи данных.
Каналы связи VPN должны быть защищенными с помощью СКЗИ, средства межсетевого экранирования и средства обнаружения и предотвращения вторжений на уровне сети. СКЗИ должны быть не ниже класса КС3, иметь действующий сертификат соответствия ФСБ России и поддерживать объединение в отказоустойчивый кластер.
Для предоставления Сервиса Исполнитель должен на технологической площадке Потребителя или Заказчика установить СКЗИ и дополнительное сетевое оборудование для подключения к сети Потребителя или Заказчика. Для размещения оборудования СКЗИ и сетевого оборудования на технологической площадке Потребителя или Заказчика, Исполнитель должен направить письменное обращение Заказчику с указанием моделей, размерности (высота RU) и количества линий электропитания. Потребитель или Заказчик предоставляет необходимое количество линий электропитания и место в стойках на технологической площадке Потребителя или Заказчика. Передача и прием указанного оборудования осуществляется Исполнителем и Потребителем или Заказчиком на основании Акта приема-передачи оборудования.
Основной и резервный каналы должны быть организованы по непересекающимся кабельным трассам.
При прекращении действий Заказов данного Сервиса, Исполнитель в течение 10 рабочих дней проводит демонтаж и вывоз оборудования Исполнителя с Технологической площадки Потребителя или Заказчика на основании Акта приема-передачи оборудования.
инфраструктуре НКЦКИ (ГОССОПКА)"
Исполнитель должен обеспечить защищенное соединение (в соответствии с требованиями по защите информации) информационных ресурсов и информационных систем Потребителя или Заказчика, размещаемых в информационно-технологической инфраструктуре Исполнителя, с технической инфраструктурой НКЦКИ с использованием СКЗИ для Потребителя в соответствии с пропускной способностью, указанной в Заказе.
Единицей расчета должно являться одно подключение к технической инфраструктуре НКЦКИ с пропускной способностью, указанной в Заказе, единица измерения - шт.
Под пропускной способностью подключения к технической инфраструктуре НКЦКИ принимается пропускная способность порта каналообразующего оборудования информационно-технологической инфраструктуры Исполнителя.
Подключение к технической инфраструктуре НКЦКИ должно осуществляться в соответствии с порядком организации подключения к технической инфраструктуре НКЦКИ, определенным НКЦКИ.
В рамках сервиса Исполнитель должен предоставить СКЗИ для организации защищенного межсетевого взаимодействия между информационно-технологической инфраструктурой Исполнителя и технической инфраструктурой НКЦКИ на третьем уровне модели ВОС (OSI) в соответствии с пропускной способностью, указанной в Заказе.
Управление, настройка СКЗИ и организация защищенного межсетевого взаимодействия на СКЗИ, настройки средств межсетевого экранирования, определение сетей и объектов для межсетевого взаимодействия, экспорт, передача другой стороне и импорт полученной от другой стороны необходимой для организации защищенного межсетевого взаимодействия ключевой информации, в том числе цифровых сертификатов, межсетевых ключей и иные действия с СКЗИ на стороне Исполнителя осуществляется специалистами Исполнителя, а на стороне НКЦКИ - специалистами НКЦКИ.
Взаимодействие с НКЦКИ по обнаружению, предупреждению и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты на платформе "ГосТех" должно проводиться через Головной центр ГосСОПКА "ГосТех" в соответствии с Единой концепцией обнаружения, предупреждения, ликвидации последствий компьютерных атак, а также реагирования на компьютерные инциденты, связанные с информационными ресурсами платформы "ГосТех".
В рамках данного ИТ сервиса для обеспечения взаимодействия с внешними публичными ресурсами, должна предоставляться подсеть публичных, маршрутизируемых в сети Интернет IPv4-адресов в указанном количестве. Единицей расчета Сервиса должен являться один IPv4-адрес - шт.