nKognito Опубликовано 5 Апреля 2022 Жалоба Поделиться Опубликовано 5 Апреля 2022 Доброго времени суток. У нас следующая задача: есть сервер в облаке на Ubuntu, на нем в докере крутится приложение написанно на java. Это приложение должно выгружать данные по защищенному каналу vipnet стороннему поставщику. Вопросы: Есть ли возможность установить софт в облаке? Какой именно софт нам подойдет, при условии что это не рабочее место и экспорт должен происходить автоматически (мое предположение это либо client либо coordinator, но хотелось бы быть уверенным) Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
KostiK2011IT Опубликовано 5 Апреля 2022 Жалоба Поделиться Опубликовано 5 Апреля 2022 Доброго дня! У стороннего поставщика есть сеть ViPNet? Доступ к серверу в облаке на каком уровне? Выгрузку документов хотите делать средствами вашего приложения? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
nKognito Опубликовано 5 Апреля 2022 Автор Жалоба Поделиться Опубликовано 5 Апреля 2022 8 minutes ago, KostiK2011IT said: Доброго дня! У стороннего поставщика есть сеть ViPNet? Доступ к серверу в облаке на каком уровне? Выгрузку документов хотите делать средствами вашего приложения? 1. Да, у него уже все организовано. Собственно это требование поставщика, доступ строг по защищенному каналу. 2. Полный доступ по SSH, с максимально возможными правами 3. Выгрузку будем реализовывать сами, тут проблем нет. Пытаемся понять как нам организовать этот самый защищенный канал. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
KostiK2011IT Опубликовано 5 Апреля 2022 Жалоба Поделиться Опубликовано 5 Апреля 2022 4 минуты назад, nKognito сказал: 2. Полный доступ по SSH, с максимально возможными правами во время загрузки доступ есть? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
nKognito Опубликовано 5 Апреля 2022 Автор Жалоба Поделиться Опубликовано 5 Апреля 2022 6 minutes ago, KostiK2011IT said: во время загрузки доступ есть? Скорее всего нет. Это я так понимаю критично? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
KostiK2011IT Опубликовано 5 Апреля 2022 Жалоба Поделиться Опубликовано 5 Апреля 2022 16 минут назад, nKognito сказал: Скорее всего нет. Это я так понимаю критично? Могут возникнуть трудности с первоначальной настройкой фаервола - можно потерять доступ ко всему серверу, и не имея доступа чарез консоль, правила фаервола никак не настроить. Про Client 4U for Linux, точно сказать не могу, на Windows клиенте такие проблемы были. По идеи, есть Client в контейнере Docker (в презентациях попадался), но как настроить в нем взаимодействие с вашим приложением из другого контейнера, не понятно - Client не для этого, тунеллировать не умеет. Я думаю, вам надо посмотреть в строну Координатора HW-VA, но потребуется еще одна виртуальная машина + виртуальный коммутатор для взаимодействия между сервером и HW, только как в облаке, это реализовать - это надо у владельцев облака уточнять. При такой схеме, даже если с координатором что-то случиться, хоть сервис свой не потеряете. Вообще, попробуйте в Инфотексе консультацию получить - только им сразу подробную схему опишите и требования, может что-то вам посоветуют. Потом тут сообщите, получилось или нет. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Alexander Murzinov Опубликовано 5 Апреля 2022 Жалоба Поделиться Опубликовано 5 Апреля 2022 20 минут назад, KostiK2011IT сказал: Могут возникнуть трудности с первоначальной настройкой фаервола - можно потерять доступ ко всему серверу, и не имея доступа чарез консоль, правила фаервола никак не настроить. Про Client 4U for Linux, точно сказать не могу, на Windows клиенте такие проблемы были. По идеи, есть Client в контейнере Docker (в презентациях попадался), но как настроить в нем взаимодействие с вашим приложением из другого контейнера, не понятно - Client не для этого, тунеллировать не умеет. Я думаю, вам надо посмотреть в строну Координатора HW-VA, но потребуется еще одна виртуальная машина + виртуальный коммутатор для взаимодействия между сервером и HW, только как в облаке, это реализовать - это надо у владельцев облака уточнять. При такой схеме, даже если с координатором что-то случиться, хоть сервис свой не потеряете. Вообще, попробуйте в Инфотексе консультацию получить - только им сразу подробную схему опишите и требования, может что-то вам посоветуют. Потом тут сообщите, получилось или нет. Как получить консультацию в Инфотексе? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
KostiK2011IT Опубликовано 5 Апреля 2022 Жалоба Поделиться Опубликовано 5 Апреля 2022 Пробуйте по почте или телофону горячей линии. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
zero Опубликовано 5 Апреля 2022 Жалоба Поделиться Опубликовано 5 Апреля 2022 4 часа назад, Alexander Murzinov сказал: Как получить консультацию в Инфотексе? Написав на hotline@infotecs.ru Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Alexander Murzinov Опубликовано 5 Апреля 2022 Жалоба Поделиться Опубликовано 5 Апреля 2022 Написал запрос на данный email, попросили адресовать в коммерческий отдел, адресовал, ответа не получил. Номер тикета - № 001-00-1630716. Может быть возможно проконсультировать нас прямо здесь? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
KostiK2011IT Опубликовано 5 Апреля 2022 Жалоба Поделиться Опубликовано 5 Апреля 2022 31 минуту назад, Alexander Murzinov сказал: Написал запрос на данный email, попросили адресовать в коммерческий отдел, адресовал, ответа не получил. Номер тикета - № 001-00-1630716. Может быть возможно проконсультировать нас прямо здесь? У вас тоже вопрос про установку ViPNet в облако Яндекса? Тут официальных ответов вы не получите. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
nKognito Опубликовано 5 Апреля 2022 Автор Жалоба Поделиться Опубликовано 5 Апреля 2022 6 hours ago, KostiK2011IT said: Могут возникнуть трудности с первоначальной настройкой фаервола - можно потерять доступ ко всему серверу, и не имея доступа чарез консоль, правила фаервола никак не настроить. Про Client 4U for Linux, точно сказать не могу, на Windows клиенте такие проблемы были. По идеи, есть Client в контейнере Docker (в презентациях попадался), но как настроить в нем взаимодействие с вашим приложением из другого контейнера, не понятно - Client не для этого, тунеллировать не умеет. Я думаю, вам надо посмотреть в строну Координатора HW-VA, но потребуется еще одна виртуальная машина + виртуальный коммутатор для взаимодействия между сервером и HW, только как в облаке, это реализовать - это надо у владельцев облака уточнять. При такой схеме, даже если с координатором что-то случиться, хоть сервис свой не потеряете. Вообще, попробуйте в Инфотексе консультацию получить - только им сразу подробную схему опишите и требования, может что-то вам посоветуют. Потом тут сообщите, получилось или нет. Да, пока что попробуем проконсультироваться со спецами поставщика, они в свою очередь тоже сеть настраивали, может быть помогут. В любом случае отпишусь здесь о результатах, спасибо за сооветы. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Stratos Опубликовано 11 Апреля 2022 Жалоба Поделиться Опубликовано 11 Апреля 2022 05.04.2022 в 16:09, Alexander Murzinov сказал: Написал запрос на данный email, попросили адресовать в коммерческий отдел, адресовал, ответа не получил. Номер тикета - № 001-00-1630716. Может быть возможно проконсультировать нас прямо здесь? Ну зачем же Вы вводите пользователей в заблуждение? На указанный Вами запрос Вам ответили. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
KostiK2011IT Опубликовано 11 Апреля 2022 Жалоба Поделиться Опубликовано 11 Апреля 2022 05.04.2022 в 16:09, Alexander Murzinov сказал: Написал запрос на данный email, попросили адресовать в коммерческий отдел, адресовал, ответа не получил. Номер тикета - № 001-00-1630716. Может быть возможно проконсультировать нас прямо здесь? Сюда, пожалуйста, выложите, что вам с поддержки ответили. Интересная тема... Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Stratos Опубликовано 12 Апреля 2022 Жалоба Поделиться Опубликовано 12 Апреля 2022 11.04.2022 в 12:44, KostiK2011IT сказал: Сюда, пожалуйста, выложите, что вам с поддержки ответили. Интересная тема... Ответ был дан в рамках запроса Клиента. Замечу, что к первоначальной постановке вопроса данной темы заданный вопрос не относился от слова совсем. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
KostiK2011IT Опубликовано 11 Августа 2022 Жалоба Поделиться Опубликовано 11 Августа 2022 Доброго дня, коллеги! Тема на счет размещения ViPNet в облако Яндекса заглохла? У кого-нибудь есть успехи?) Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
R.Sheyn Опубликовано 11 Августа 2022 Жалоба Поделиться Опубликовано 11 Августа 2022 50 минут назад, KostiK2011IT сказал: Доброго дня, коллеги! Тема на счет размещения ViPNet в облако Яндекса заглохла? У кого-нибудь есть успехи?) А в чем именно и с чем проблема? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
KostiK2011IT Опубликовано 12 Августа 2022 Жалоба Поделиться Опубликовано 12 Августа 2022 14 часов назад, R.Sheyn сказал: А в чем именно и с чем проблема? Проблемы нет, просто интересная тема. Думал может кто-то поделится своими результатами общения с ТП или в Яндексе кто-нибудь справки наводил. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
R.Sheyn Опубликовано 12 Августа 2022 Жалоба Поделиться Опубликовано 12 Августа 2022 1 час назад, KostiK2011IT сказал: Проблемы нет, просто интересная тема. Думал может кто-то поделится своими результатами общения с ТП или в Яндексе кто-нибудь справки наводил. Ну пусть будет не проблема, а сценарий. Какой сценарий надо реализовать? Что-то в яндекс облаке развернуть? Что именно? И в чем именно сложность? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
KostiK2011IT Опубликовано 12 Августа 2022 Жалоба Поделиться Опубликовано 12 Августа 2022 3 часа назад, R.Sheyn сказал: Ну пусть будет не проблема, а сценарий. Какой сценарий надо реализовать? Что-то в яндекс облаке развернуть? Что именно? И в чем именно сложность? типовой сценарий - спрятать какой-то важный сервис в облаке за кластер VA, чтобы организовать доступ по ГОСТ VPN сложность в той же передаче ключей - как легитимным методом в облако ключ передать? не возникнет ли проблем при сборе кластера? со внутренней структурой облака не будет ли проблем, в плане маршрутизации между защищаемыми сегментами? конкретных вопросов особо нет, пока не попробуешь ... Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
R.Sheyn Опубликовано 12 Августа 2022 Жалоба Поделиться Опубликовано 12 Августа 2022 23 минуты назад, KostiK2011IT сказал: сложность в той же передаче ключей - как легитимным методом в облако ключ передать? Зависит от МУН которая принята в ИС. В общем случае, конечно, никак, любая передача будет означать компрометацию. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
KostiK2011IT Опубликовано 12 Августа 2022 Жалоба Поделиться Опубликовано 12 Августа 2022 21 минуту назад, R.Sheyn сказал: Зависит от МУН которая принята в ИС. В общем случае, конечно, никак, любая передача будет означать компрометацию. Виртуалку надо привязывать к конкретному хосту в цоде, причем и сам цод должен иметь аттестацию, отправлять фельдъегерем в цод носитель с ключами, там обученный/сертифицированный человек этот носитель должен подключить к конкретному хосту (физически к серверу)... Получается так?( + это все еще все запротоколировано должны быть, т.к это все криптосредства (опускаю момент передачи самого ПО). Может у Яндекса есть своя сеть ViPNet для таких дел, на железных ПАКах, например? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
R.Sheyn Опубликовано 12 Августа 2022 Жалоба Поделиться Опубликовано 12 Августа 2022 6 часов назад, KostiK2011IT сказал: Виртуалку надо привязывать к конкретному хосту в цоде, причем и сам цод должен иметь аттестацию, отправлять фельдъегерем в цод носитель с ключами, там обученный/сертифицированный человек этот носитель должен подключить к конкретному хосту (физически к серверу)... Получается так?( + это все еще все запротоколировано должны быть, т.к это все криптосредства (опускаю момент передачи самого ПО). Может у Яндекса есть своя сеть ViPNet для таких дел, на железных ПАКах, например? Врядли кто-то выделит отдельный хост под вашу ВМ, а это означает потенциальный шаринг вашей флешки с ключами на непренадлежащие вам ВМ. Да и в принципе вставить флешку в чужую виртуализацию, считай, передать флешку с ключем первому встречному. С нормативной точки зрения установка виртуального исполнения как мне кажется легитимна только на on prem виртуаализации, хотя и тут надо учитывать нюансы, т.к. опять же админ виртуализации получает доступ к флешке с ключем. Админ виртуализации как правило не наделен полномочиями иметь доступ к ключам. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
cto_hh Опубликовано 6 Января 2023 Жалоба Поделиться Опубликовано 6 Января 2023 ключ по идее может быть в памяти контейнера. Пока контейнер с клиентом запущен - туннель до защищённой сети есть. Ключ можно передавать пайпом по ssh, тогда файл с ключом не осядет на диске. Единственное при перезапуске ВМ или краше контейнера с клиентом придётся опять подсовывать ключ, но это решается мониторингом. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
cto_hh Опубликовано 26 Февраля 2023 Жалоба Поделиться Опубликовано 26 Февраля 2023 в общем нормально клиент випнета в Я.облаке запускается и в кубере тоже. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Рекомендуемые сообщения
Присоединиться к обсуждению
Вы можете ответить сейчас, а зарегистрироваться позже. Если у вас уже есть аккаунт, войдите, чтобы ответить от своего имени.