Подготовка сервера с ОС Astra Linux

Статья содержит порядок подготовки сервера с ОС Astra Linux Special Edition для установки платформы и настройки узлов кластера.

Если на сервере уже установлена ОС Astra Linux, переустановите ОС и выполните её настройку по инструкциям из этой статьи.

Установка ОС

При установке операционной системы:

1. Выберите ядро Generic 5.15.
2. Выберите режим защищённости "Орёл" или "Воронеж".
3. Выберите компоненты для установки:
   
   1. Средства виртуализации.
   2. Консольные утилиты.

   3. Средства удалённого подключения SSH.

      Работа платформы с остальными компонентами ОС не тестировалась. Выбор других компонентов может привести к проблемам с работой платформы и узлов кластера.

4. На шаге "Дополнительные настройки ОС" убедитесь, что отключены опции:

   1. Замкнутая программная среда.
   2. Запрет установки бита исполнения.

   3. Запрет исполнения скриптов пользователя.

      Опция "Очистка освобождаемой внешней памяти" значительно увеличивает нагрузку на CPU и время выполнения некоторых операций. 

Действия после установки ОС

1. Перейдите в режим суперпользователя: 

   sudo su -

2. Настройте список источников в файле /etc/apt/sources.list:

   • для установки в закрытом контуре в файле должны быть закомментированы все строки, кроме: 

     deb cdrom:[OS Astra Linux <номер версии> 1.7_x86-64 DVD]/ 1.7_x86-64 contrib main non-free

   • для установки в открытом контуре в файле должны быть раскомментированы все строки, кроме: 

     deb cdrom:[OS Astra Linux <номер версии> 1.7_x86-64 DVD]/ 1.7_x86-64 contrib main non-free

3. В файле /etc/network/interfaces настройте сетевую конфигурацию со статическим IP-адресом: 

   Пример конфигурации

   auto lo
   iface lo inet loopback
   
   auto eth0
   iface eth0 inet static
       address   192.168.1.10
       netmask   255.255.255.0
       gateway   192.168.1.254
   

4. Создайте файл /etc/resolv.conf и укажите в нём настройки DNS-серверов:

   Пример настройки

   nameserver 77.88.8.8
   nameserver 1.1.1.1
   options timeout:1
   options attempts:2

5. Перезапустите сервис networking: 

   systemctl restart networking

6. Проверьте доступность сети.

Настройки сети на узлах кластера

1. В файле /etc/network/interfaces настройте сетевую конфигурацию. Примеры конфигураций: 

   Минимальная конфигурация без бриджей и бондов

   auto lo
   iface lo inet loopback
   
   auto eth0
   iface eth0 inet static
       address   192.168.1.10
       netmask   255.255.255.0
       gateway   192.168.1.254

   Конфигурация с бриджем и интерфейсом во VLAN

   auto lo
   iface lo inet loopback
   
   auto eth0 vmbr0 vmbr1
   iface eth0 inet manual
   
   auto eth0.111
   iface eth0.111 inet manual
       vlan_raw_device eth0
   
   auto eth0.112
   iface eth0.112 inet manual
       vlan_raw_device eth0
   
   iface vmbr0 inet static
    address 1.1.111.10
    netmask 255.255.255.0
    gateway 1.1.111.1
    bridge_ports eth0.111
    bridge_stp off
   
   iface vmbr1 inet static
    address 1.1.112.10
    netmask 255.255.255.0
    gateway 1.1.112.1
    bridge_ports eth0.112
    bridge_stp off

   Конфигурация с бондом во VLAN в режиме active-backup

   auto lo
   iface lo inet loopback
   
   auto eth0 eth1 bond0 bond0.118 vmbr0
   iface eth0 inet manual
   iface eth1 inet manual
   
   iface bond0 inet manual
    pre-up modprobe bonding mode=active-backup
    post-down rmmod bonding
    bond-mode active-backup
    bond-primary eth0
    bond-miimon 100
    bond-downdelay 200
    bond-updelay 150
    bond-slaves eth0 eth1
   
   iface bond0.118 inet manual 
       vlan-raw-device bond0
   
   iface vmbr0 inet static
    address 172.22.18.74
    netmask 255.255.255.0
    gateway 172.22.18.1
    bridge_ports bond0.118
    bridge_stp off

   Конфигурация в режиме balance-alb с VLAN

   auto lo 
   iface lo inet loopback
   
   auto eth2 eth3 bond0 bond0.772 vmbr0
   
   iface eth2 inet manual
   iface eth3 inet manual
   
   iface bond0 inet manual
       bond-mode 6
       bond-miimon 100
       bond-slaves eth2 eth3
   
   iface bond0.772 inet manual 
       vlan-raw-device bond0
   
   iface vmbr0 inet static
       address 10.77.2.20/24
       gateway 10.77.2.1
       bridge_ports bond0.772
       bridge_stp off

   Конфигурация с бондом и бриджем в режиме LACP (802.3ad)

   auto lo
   iface lo inet loopback
   
   auto eth0 eth1 bond0 vmbr0
   iface eth0 inet manual
   iface eth1 inet manual
   
   iface bond0 inet manual
    bond-mode 802.3ad
    bond-miimon 100
    bond-downdelay 200
    bond-updelay 200
    bond-xmit-hash-policy 1 
    bond-slaves eth0 eth1
   
   iface vmbr0 inet static
    address 172.22.18.74
    netmask 255.255.255.0
    gateway 172.22.18.1
    bridge_ports bond0
    bridge_stp off

   Конфигурация с бондом и бриджем в режиме LACP (802.3ad) c интерфейсом во VLAN

   auto lo
   iface lo inet loopback
   
   auto eth0 eth1 bond0 bond0.118 vmbr0
   iface eth0 inet manual
   iface eth1 inet manual
   
   iface bond0 inet manual
    bond-mode 802.3ad
    bond-miimon 100
    bond-downdelay 200
    bond-updelay 200
    bond-xmit-hash-policy 1 
    bond-slaves eth0 eth1
   
   iface bond0.118 inet manual 
       vlan-raw-device bond0
   
   iface vmbr0 inet static
    address 172.22.18.74
    netmask 255.255.255.0
    gateway 172.22.18.1
    bridge_ports bond0.118
    bridge_stp off

   Подробнее о сетевых настройках см. в статьях Настройки сети на узле кластера, Режимы работы бондов.

2. Перезапустите сервис networking: 

   systemctl restart networking

3. Проверьте настройки сети: 

   ip -c a

4. Проверьте доступность узла со стороны сервера с платформой.

Действия на узле кластера с ОС в режиме защищённости "Орёл"

1. Задайте пароль для пользователя root: 

   passwd

   или добавьте в файл /root/.ssh/authorized_keys публичный SSH-ключ сервера с платформой. Содержимое публичного ключа можно посмотреть в интерфейсе платформы на форме добавления узла кластера: Узлы → Подключить узел → кнопка Хочу использовать публичный ssh-ключ. Если вы используете подключение по SSH-ключу, установите следующие права для файла /root/.ssh/authorized_keys:

   chmod 600 ~/.ssh/authorized_keys

2. Разрешите доступ к серверу по SSH. Для этого в файле /etc/ssh/sshd_config добавьте строку:

   • для аутентификации по паролю:

     PermitRootLogin yes

   • для аутентификации по SSH-ключу: 

     PermitRootLogin prohibit-password

3. Перезапустите сервис sshd: 

   service sshd restart

4. В файле /etc/sudoers разрешите выполнение команд от имени суперпользователя: 

   %astra-admin ALL=(ALL:ALL) NOPASSWD: ALL
   %sudo ALL=(ALL:ALL) NOPASSWD: ALL

5. Настройте права пользователя для подключения к узлу кластера: 

   sudo usermod -a -G astra-admin,kvm,libvirt,libvirt-qemu,libvirt-admin <username>

   Пояснения к команде

   <username> — имя пользователя для подключения

Действия на узле кластера с ОС в режиме защищённости "Воронеж"

1. Убедитесь, что службы astra-sudo-control, astra-nochmodx-lock, astra-interpreters-lock отключены: 

   astra-sudo-control disable
   

   astra-nochmodx-lock disable
   

   astra-interpreters-lock disable

2. Создайте директорию для хранения ВМ (например, /vm) и установите для неё мандатные атрибуты: 

   sudo mkdir /vm && sudo pdpl-file 0:63:0:ccnr /vm

   Пояснения к команде

   /vm — имя директории

3. Если вы планируете создавать виртуальные машины с ОС Windows, установите мандатные атрибуты для директории /tmp: 

   sudo pdpl-file 0:63:0:ccnr /tmp

   Директория /tmp используется платформой при создании ВМ с ОС Windows. В этой директории создаётся временный файл для установки ОС. После установки ОС файл удаляется.

4. В файле /etc/sudoers разрешите выполнение команд от имени суперпользователя: 

   %astra-admin ALL=(ALL:ALL) NOPASSWD: ALL
   %sudo ALL=(ALL:ALL) NOPASSWD: ALL

5. Настройте права пользователя для подключения к узлу кластера: 

   sudo usermod -a -G astra-admin,kvm,libvirt,libvirt-qemu,libvirt-admin <username>

   pdpl-user -i 63 <username>

   Пояснения к команде

   <username> — имя пользователя для подключения
6. Для подключения по SSH-ключу:
   1. Добавьте в файл /home/<username>/.ssh/authorized_keys публичный SSH-ключ сервера с платформой. Содержимое публичного ключа можно посмотреть в интерфейсе платформы на форме добавления узла кластера: Узлы → Подключить узел → кнопка Хочу использовать публичный ssh-ключ. 

   2. Установите права для файла /home/<username>/.ssh/authorized_keys:

      chmod 600 /home/<username>/.ssh/authorized_keys

      Пояснения к команде

      <username> — имя пользователя для подключения

   3. В файле /etc/ssh/sshd_config добавьте строку

      PermitRootLogin prohibit-password

7. Перезапустите сервис sshd: 

   service sshd restart