Статья содержит порядок подготовки сервера с ОС Astra Linux Special Edition для установки платформы и настройки узлов кластера.
Если на сервере уже установлена ОС Astra Linux, переустановите ОС и выполните её настройку по инструкциям из этой статьи.
Установка ОС
При установке операционной системы:
- Выберите ядро Generic 5.15.
- Выберите режим защищённости "Орёл" или "Воронеж".
- Выберите компоненты для установки:
- Средства виртуализации.
- Консольные утилиты.
-
Средства удалённого подключения SSH.
Работа платформы с остальными компонентами ОС не тестировалась. Выбор других компонентов может привести к проблемам с работой платформы и узлов кластера.
-
На шаге "Дополнительные настройки ОС" убедитесь, что отключены опции:
- Замкнутая программная среда.
- Запрет установки бита исполнения.
-
Запрет исполнения скриптов пользователя.
Опция "Очистка освобождаемой внешней памяти" значительно увеличивает нагрузку на CPU и время выполнения некоторых операций.
Действия после установки ОС
-
Перейдите в режим суперпользователя:
sudo su -
-
Настройте список источников в файле /etc/apt/sources.list:
-
для установки в закрытом контуре в файле должны быть закомментированы все строки, кроме:
deb cdrom:[OS Astra Linux <номер версии> 1.7_x86-64 DVD]/ 1.7_x86-64 contrib main non-free
-
для установки в открытом контуре в файле должны быть раскомментированы все строки, кроме:
deb cdrom:[OS Astra Linux <номер версии> 1.7_x86-64 DVD]/ 1.7_x86-64 contrib main non-free
-
-
В файле /etc/network/interfaces настройте сетевую конфигурацию со статическим IP-адресом:
Пример конфигурацииauto lo iface lo inet loopback auto eth0 iface eth0 inet static address 192.168.1.10 netmask 255.255.255.0 gateway 192.168.1.254
-
Создайте файл /etc/resolv.conf и укажите в нём настройки DNS-серверов:
Пример настройкиnameserver 77.88.8.8 nameserver 1.1.1.1 options timeout:1 options attempts:2
-
Перезапустите сервис networking:
systemctl restart networking
- Проверьте доступность сети.
Настройки сети на узлах кластера
-
В файле /etc/network/interfaces настройте сетевую конфигурацию. Примеры конфигураций:
Минимальная конфигурация без бриджей и бондовКонфигурация с бриджем и интерфейсом во VLANКонфигурация с бондом во VLAN в режиме active-backupКонфигурация в режиме balance-alb с VLANКонфигурация с бондом и бриджем в режиме LACP (802.3ad)Конфигурация с бондом и бриджем в режиме LACP (802.3ad) c интерфейсом во VLANПодробнее о сетевых настройках см. в статьях Настройки сети на узле кластера, Режимы работы бондов.
-
Перезапустите сервис networking:
systemctl restart networking
-
Проверьте настройки сети:
ip -c a
- Проверьте доступность узла со стороны сервера с платформой.
При добавлении узла в кластер включите опцию Не настраивать сеть автоматически, если:
- в качестве IP-адреса сервера используется VLAN-интерфейс;
- в сетевой конфигурации нет единого интерфейса, через который проходит весь трафик.
Действия на узле кластера с ОС в режиме защищённости "Орёл"
-
Задайте пароль для пользователя root:
passwd
или добавьте в файл /root/.ssh/authorized_keys публичный SSH-ключ сервера с платформой. Содержимое публичного ключа можно посмотреть в интерфейсе платформы на форме добавления узла кластера: Узлы → Подключить узел → кнопка Хочу использовать публичный ssh-ключ. Если вы используете подключение по SSH-ключу, установите следующие права для файла /root/.ssh/authorized_keys:
chmod 600 ~/.ssh/authorized_keys
-
Разрешите доступ к серверу по SSH. Для этого в файле /etc/ssh/sshd_config добавьте строку:
-
для аутентификации по паролю:
PermitRootLogin yes
-
для аутентификации по SSH-ключу:
PermitRootLogin prohibit-password
-
-
Перезапустите сервис sshd:
service sshd restart
-
В файле /etc/sudoers разрешите выполнение команд от имени суперпользователя:
%astra-admin ALL=(ALL:ALL) NOPASSWD: ALL %sudo ALL=(ALL:ALL) NOPASSWD: ALL
-
Настройте права пользователя для подключения к узлу кластера:
sudo usermod -a -G astra-admin,kvm,libvirt,libvirt-qemu,libvirt-admin <username>
Пояснения к команде
Действия на узле кластера с ОС в режиме защищённости "Воронеж"
-
Убедитесь, что службы astra-sudo-control, astra-nochmodx-lock, astra-interpreters-lock отключены:
astra-sudo-control disable
astra-nochmodx-lock disable
astra-interpreters-lock disable
-
Создайте директорию для хранения ВМ (например, /vm) и установите для неё мандатные атрибуты:
sudo mkdir /vm && sudo pdpl-file 0:63:0:ccnr /vm
Пояснения к команде -
Если вы планируете создавать виртуальные машины с ОС Windows, установите мандатные атрибуты для директории /tmp:
sudo pdpl-file 0:63:0:ccnr /tmp
Директория /tmp используется платформой при создании ВМ с ОС Windows. В этой директории создаётся временный файл для установки ОС. После установки ОС файл удаляется. -
В файле /etc/sudoers разрешите выполнение команд от имени суперпользователя:
%astra-admin ALL=(ALL:ALL) NOPASSWD: ALL %sudo ALL=(ALL:ALL) NOPASSWD: ALL
-
Настройте права пользователя для подключения к узлу кластера:
sudo usermod -a -G astra-admin,kvm,libvirt,libvirt-qemu,libvirt-admin <username>
pdpl-user -i 63 <username>
Пояснения к команде - Для подключения по SSH-ключу:
- Добавьте в файл /home/<username>/.ssh/authorized_keys публичный SSH-ключ сервера с платформой. Содержимое публичного ключа можно посмотреть в интерфейсе платформы на форме добавления узла кластера: Узлы → Подключить узел → кнопка Хочу использовать публичный ssh-ключ.
-
Установите права для файла /home/<username>/.ssh/authorized_keys:
chmod 600 /home/<username>/.ssh/authorized_keys
Пояснения к команде -
В файле /etc/ssh/sshd_config добавьте строку
PermitRootLogin prohibit-password
-
Перезапустите сервис sshd:
service sshd restart