¶ Описание общего процесса установки системы
- Начните с изучения технических требований, перечисленных в этом документе. Если у вас возникнут вопросы, их можно обсудить асинхронно (в переписке) или на отдельной встрече, где мы согласуем способы и детали предоставления доступа к инфраструктуре.
- Подготовьте инфраструктуру в соответствии с требованиями и предоставьте все данные для проверки и последующей установки.
- В течение пяти рабочих дней мы подготовим дистрибутивы и конфигурации для установки.
- Непосредственная установка осуществляется в заранее назначенное время, на это мы закладываем два рабочих дня. Развертывание системы может осуществляться, как поставщиками Family Manager, так и силами Заказчиками на основании инструкций. Для развертывания поставщиком необходимо предоставить удалённый доступ к подготовленной инфраструктуре нашему инженеру, выполняющему установку. Инженер выполнит приёмку предоставленной инфраструктуры и, если инфраструктура принята, выполнит установку.
- Рекомендуем предоставить временный доступ нашему QA-инженеру для тестирования установленного Family Manager в вашей инфраструктуре.
- После тестирования системы происходит сдача и приёмка работ со стороны Заказчика.
- После приёмки ответственность за поддержку инфраструктуры и стабильность работы лежит на стороне Заказчика, в том числе настройка резервного копирования.
- Дальнейшие вопросы по поддержке установленного Family Manager решаются через специалистов техподдержки.
¶ Необходимые данные для установки системы
Данные, необходимые для развертывания системы поставщиком, требуется предоставить за пять рабочих дней до начала установки. Установка невозможна, пока заказчик не предоставит все данные для установки. Список требуемых данных приложен далее по тексту.
¶ Домен web-приложения
Для работы с Family Manager в браузере необходим домен третьего уровня или выше (например fm.company.ru).
Требуется согласовать этот домен с "внутренним Заказчиком" клиента и с инженерами, отвечающими за установку со стороны клиента.
¶ Email администратора
Администратор Family Manager – пользователь с максимально возможным уровнем доступа. Перед установкой системы необходимо указать email владельца аккаунта.
Рекомендуется использовать email, не привязанный к конкретному сотруднику (например fm.admin@company.ru).
¶ SSL-сертификат
- Необходим сертификат, подходящий для домена, который использует система.
- Сертификат должен содержать доменные имена в Subject Alternative Names, а не в Common Name (современные браузеры могут полностью игнорировать Common Name).
- Это может быть wildcard-сертификат. Ссылка по теме wildcard-сертификатов.
- Это может быть сертификат с перечислением нескольких доменов, среди которых должен быть используемый для системы. Ссылка по теме сертификатов с перечислением доменов.
- Сертификат должен быть сохранен в формате PFX.
- В файле сертификата должны быть включены "промежуточные" сертификаты (полная цепочка сертификатов, включая корневой).
¶ Сервис авторизации
Заказчик использует собственный сервис авторизации. Для этого требуется предоставить точку авторизации (SSO) по стандарту OAuth2.
В случае, когда у Заказчика отсутствует собственный сервис авторизации, может быть рассмотрен вариант развертывания отдельного сервиса авторизации (KeyCloak).
¶ Данные о почтовом сервере
Установленная система выполняет отправку писем на электронную почту, используя почтовый сервер заказчика.
Для интеграции с почтовым сервером заказчика требуется:
- Email, от имени которого будет производиться отправка email (email отправителя).
- IP-адрес (либо домен) почтового сервера.
- данные SMTP аутентификации для отправки писем через почтовый сервер (данные зависят от типа аутентификации, используемой на почтовом сервере заказчика).
¶ Контакты
- IT-специалист, отвечающий за установку со стороны заказчика.
- (опционально) Руководитель, отвечающий за установку со стороны заказчика.
¶ Технические требования
¶ Аппаратное обеспечение
Требования по минимальной конфигурации виртуальной машины:
- Сервер приложений
CPU: 2 ядра с тактовой частотой 2GHz и выше
RAM: 4 Gb
HDD/SSD: 10 Gb
- Сервер баз данных
CPU: 4 ядра с тактовой частотой 2GHz и выше
RAM: 8 Gb
HDD/SSD: 50 Gb
- Хранилище данных S3 или любое другое
При использовании Family Manager для большого количество сотрудников должна быть возможность вертикального масштабирования виртуальных серверов.
¶ Доступ в интернет
Для получения образов контейнеров необходим доступ в интернет.
¶ Операционная система
- На виртуальной машине - Ubuntu 22.04
- На сервере необходим инициализированный Docker Swarm
- Для экономии ресурсов, на машинах не должно быть установлено графических оболочек Ubuntu desktop environment и сервера печати (print server).
¶ Диаграмма развертывания
¶ Серверная часть
В серверную часть входят:
1. Серверное приложение FM-BackEnd
- Порт по умолчанию: 5080/5443
- Протокол HTTPS, REST API
2. База данных FM-DB
- Порт по умолчанию: 7432
- СУБД PostgreSQL
3. Web приложение FM-FrontEnd
- Порт по умолчанию: 4000
- Протокол HTTPS, REST API
4. Сервис выполнения задач по расписанию FM-Dashboard
- Порт по умолчанию: 3000
- Взаимодействие с FM-DB по протоколу HTTPS
5. Сервис кэширования RedisCache
- Порт по умолчанию: 11300
6. Сервис сбора метрик Prometheus
- Порт по умолчанию: 11400
- Взаимодействие с FM-BackEnd по протоколу HTTP
¶ Клиентская часть
1. Desktop приложение (.Net framework)
- Является плагином для САПР - Revit/Civil. Интегрируется по средствам API. Общается с FM-BackEnd по HTTPS REST API для получения информации о загружаемом элементе в модель. Запускается вместе с Revit/Civil внутри себя, и соответственно при закрытии Revit/Civil автоматически закрывается.
- Установщик десктопного приложения имеет расширение
.exe, которое выполняет функцию разархивации библиотек.dllпо пути%AppData%\Autodesk\ApplicationPlugins\FamilyManager.bundle\FamilyManagerи установку приложения авторизацииBimlab.Security.AuthUtility.exeпо тому же пути. - Приложение авторизации запускается для прохождении авторизации, и по таймеру для обновления токена авторизации, после чего закрывается. Авторизация пользователя происходит посредством запроса токена в сервисе авторизации (OAuth2) и передача его на FM-BackEnd.
- Права необходимые для запуска установщика десктопного приложения зависят от настроек политики Windows. У пользователя на ПК создается запись об установленном ПО.
- Сервис сбора метрик – Yandex.Appmetrica
- Сервис сбора логов - ELK Stack
2. Web браузер
- Сервис сбора метрик – Yandex.Metrica
¶ Доступ к внешним ресурсам для установки и обновления системы
При установке и обновлении Family Manager необходимо обеспечить доступ к внешнему ресурсу хранения docker-образов - cr.yandex
Список ресурсов может обновляться. При необходимости мы можем запросить доступ к другим ресурсам.
Рекомендуется размещать виртуальные машины внутри приватной сети, в которой между ними есть неограниченная фаерволами связность. Внешняя сеть должна быть доступна для получения обновлений. В случае невозможности организации изолированной сети необходимо открыть на машинах используемые порты.
¶ Удалённый доступ
Общие требования при установке системы нашими силами:
- Предоставлены данные: ip-адреса, логины, пароли для доступа на виртуальные машины, куда будет устанавливаться система.
- На виртуальных машинах для установки предоставлен доступ системного администратора (root). Например, с помощью утилиты sudo.
Заказчик настраивает удалённый доступ согласно рекомендациям своих сотрудников отдела информационной безопасности.
¶ Временный доступ для тестирования установленной системы
При необходимости требуется обеспечить временный удаленный доступ к системе Family Manager. Это требуется для того, чтобы наши инженеры QA могли убедиться, что установка завершена успешно.