Назначение и условия применения ================================ Назначение ------------ ПОДД СМЭВ состоит из следующих компонентов: - Ядро ПОДД СМЭВ – центральный компонент ПОДД СМЭВ, размещенный в ИЭП; - Агент ПОДД СМЭВ – компонент ПОДД СМЭВ, устанавливаемый в контуре участника взаимодействия. Агент ПОДД СМЭВ представляет собой типовое программное обеспечение, устанавливаемое на стороне УВ и обеспечивающее сопряжение Витрин, хранилищ реплик, ИС УВ с ПОДД. Данный документ содержит состав и содержание дистрибутивного пакета, порядок установки и описание настроек Агента ПОДД СМЭВ. Требования к среде для развертывания Агента ПОДД СМЭВ ----------------------------------------------------- Минимальные требования к серверу ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ :numref:`tab_req` содержит минимальные требования к характеристикам сервера для развертывания Агента ПОДД СМЭВ. .. _tab_req: .. table:: Минимальные требования к характеристикам сервера для развертывания Агента ПОДД СМЭВ +-----------------------+------------------------+ | Характеристики | Агент ПОДД СМЭВ | +=======================+========================+ | ОС | CentOS 7.9 | +-----------------------+------------------------+ | ЦПУ | 4-х ядерный процессор | +-----------------------+------------------------+ | Оперативная память | 8 Гб | +-----------------------+------------------------+ | Дисковое пространство | 20 Гб | +-----------------------+------------------------+ .. _skzi_agent: СКЗИ для работы Агента СМЭВ4 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Канал связи между Агентом ПОДД и Ядром ПОДД должен быть защищен программно-аппаратным комплексом СКЗИ с уровнем не хуже КС3. Требования к установке СКЗИ: - При использовании mTLS: - Комплекс СКЗИ может быть установлен в другой подсети по отношению к Агенту ПОДД. - При отсутствии mTLS: - Комплекс СКЗИ должен быть установлен в закрытом контуре Агента ПОДД. - Комплекс СКЗИ должен быть установлен в той же подсети, что и Агент ПОДД. - Между Агентом ПОДД и СКЗИ не допускается использование отрытых сетей связи с возможностью доступа из вне (из сети интернет). Для работы с электронными подписями Агенту СМЭВ4 необходимы следующие средства криптозащиты: - КриптоПро CSP. Агент СМЭВ4 является сервером для всех его клиентов и при этом является клиентом для Ядра СМЭВ4. Криптография в Агенте обеспечивается CSP. Для аутентификации Агента в Ядре СМЭВ4 используется JWT токен. для этого может использоваться: 1. mTLS с КриптоПро JCP 2. mTLS с stunnel 3. без mTLS, через СКЗИ с помощью подписанного запроса в keycloack 4. односторонний TLS, через СКЗИ с помощью подписанного запроса в keycloack Таким образом, для работы Агента СМЭВ4 необходимо приобрести серверную лицензию для: - CryptoPro CSP 5.0; - CryptoPro JavaCSP 5.0. или другие в соответствии с применяемым вариантом канала в Ядро ПОДД `Прайс лист `_ и типы лицензий доступны на официальном сайте поставщика: https://www.cryptopro.ru/ Количество необходимых лицензий требуется рассчитать, ознакомившись с рекомендациями на сайте КриптоПро. .. _connect_smev: Точки подключения к Агенту ПОДД СМЭВ -------------------------------------- :numref:`tab_connect` содержит точки подключения к Агенту ПОДД СМЭВ и их назначение .. _tab_connect: .. table:: Точки подключения к Агенту ПОДД СМЭВ +-----------------------------------+---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+ | Порт (значение по умолчанию) [#]_ | Назначение | +===================================+=======================================================================================================================================================================================================================================================================================+ | 8183 | Обмены по Регламентированным SQL-запросам через JDBC-интерфейс | +-----------------------------------+---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+ | 8192 | - обмены по Регламентированным SQL-запросам через REST-интерфейс; | | | | | | - скачивание JDBC-драйвера; | | | | | | - получение списка спецификаций OpenAPI для Регламентированных REST-запросов. | | | | +-----------------------------------+---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+ | 8171 (транспорт pulsar) | Обмены по Регламентированным REST-запросам. | | | | | 8172 (транспорт rsocket) | Агенты Потребителя и Поставщика должны использовать единый транспорт. Потребитель, в зависимости от используемого Поставщиком транспорта, должен направлять запросы в соответствующий этому транспорту порт Агента. | | | | | | Примечания: | | | | | | - Для использования транспорта rsocket, версия Агента должна быть 3.7.0 или выше как на стороне Потребителя, так и на стороне Поставщика. При этом значение параметра agent.use-ca должно быть true как на стороне Потребителя, так и на стороне Поставщика (:ref:`common_settings`). | | | | | | - При использовании транспорта pulsar поддерживается максимальный объем запросов не более 5 мегабайт. Для транспорта rsocket поддерживается максимальный объем запросов не более 30 гигабайт. | +-----------------------------------+---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+ .. [#] Данные порты могут быть переопределены посредством конфигурационного файла