Вычислительный кластер Вебмониторэкс недоступен¶

Если Вычислительный кластер Вебмониторэкс недоступен, нода Вебмониторэкс продолжает фильтровать трафик?¶

Да, но с некоторыми ограничениями.

Вычислительный кластер Вебмониторэкс – масштабируемый сервис, отличающийся высокой стабильностью и обеспечивающий защиту данных от потери.

Вычислительный кластер бывает недоступен в редких случаях, например, при техническом обслуживании. Когда Вычислительный кластер недоступен, нода Вебмониторэкс продолжает фильтровать трафик, хотя и с некоторыми ограничениями.

Что продолжает работать:

• Фильтрация трафика в выбранном режиме и на основе правил, выгруженных на ноду во время последней успешной синхронизации между Вычислительным кластером и нодой. Нода может продолжать работать, так как последние версии следующих элементов выгружаются из Вычислительного кластера по расписанию и хранятся на ноде локально:

  • Индивидуальный набор правил
  • proton.db

• Списки IP-адресов также выгружаются на ноду при последней синхронизации с Вычислительным кластером и хранятся на ней локально. Нода продолжает фильтровать запросы по источникам, но только до истечения времени нахождения соответствующих IP-адресов в списках.

  Это время не будет обновляться вплоть до первой успешной синхронизации после восстановления Вычислительного кластера. Также нода не сможет скачать обновления списков IP-адресов: новые и удаленные записи, время нахождения адресов в списках.

  Следует учитывать, что удаление IP-адресов из списков по истечении времени ведет к прекращению защиты от брутфорс атак, отправленных с этих адресов.

Что прекращает работать:

• Нода будет собирать, но не сможет отправить в Вычислительный кластер данные об обнаруженных атаках и уязвимостях. Собранные данные временно отправляются в хранилище модуля постаналитики (Tarantool). После восстановления Вычислительного кластера эти данные будут выгружены в него.

  Ограничение временного хранилища данных

  Размер хранилища Tarantool в модуле постаналитики ограничен. При его превышении, более старые данные будут удалены.

  Если Вычислительный кластер был недоступен продолжительное время и количество собранных данных превысило размер хранилища, после восстановления Вычислительного кластера в него может выгрузиться только часть данных за период. Соответственно, в Консоли управления будет доступна информация только о выгруженных данных.

• Нода будет собирать, но не сможет отправить в Вычислительный кластер метрики для обработанного трафика.

• Сканирование публичных ресурсов и типовых уязвимостей остановится.

• Триггеры перестанут работать и в связи с этим:

  • Списки IP-адресов перестанут обновляться.
  • Прекратится отправка уведомлений, настроенных с помощью триггеров.

• Прекратится построение и обновление структуры API.

• Активная проверка атак остановится.

• Брутфорс атаки не будут обнаруживаться.

• Интеграции перестанут работать, включая:

  • Уведомления в мессенджеры и по email.
  • Отправку отчетов.

• Консоль управления Вебмониторэкс будет недоступна.

• Вебмониторэкс API будет недоступен.

Помимо полной недоступности Вычислительного кластера, описанной выше, могут быть временно недоступны только отдельные сервисы.

Что произойдет после восстановления Вычислительного кластера?¶

После восстановления Вычислительного кластера:

• Возобновится доступ к Консоли управления Вебмониторэкс.

• Нода отправит в Вычислительный кластер информацию из хранилища Tarantool (с учетом описанных выше ограничений).

• В соответствии с полученными данными триггеры отправят соответствующие уведомления и обновят списки IP-адресов.

• Если в списках IP-адресов есть изменения, Вычислительный кластер выгрузит их на ноду во время следующей синхронизации.

• Если была незавершенная сборка индивидуального набора правил, она начнется заново.

• Далее Вычислительный кластер и фильтрующая нода будут синхронизироваться в обычном режиме.

Могут ли настройки, сохраненные в Консоли Вебмониторэкс, не выгрузиться на ноду до того, как Вычислительный кластер перестанет работать?¶

Да, это возможно. Предположим, что интервал синхронизации 3 минуты, и:

1. Последняя сборка индивидуального набора правил была завершена в Вычислительном кластере 21 минуту назад и выгружена на ноду 20 минут назад.

2. Во время 6 следующих синхронизаций изменений не было и ничего не выгружалось из Вычислительного кластера.

3. Затем правила в Вычислительном кластере были изменены и началась новая сборка – для завершения сборки требовалось 4 минуты, но через 2 минуты Вычислительный кластер перестал работать.

4. Нода скачивает только завершенную сборку, так что в течение 2 минут выгружать было нечего.

5. Еще через минуту нода отправила запрос на синхронизацию, но Вычислительный кластер уже не ответил.

6. Нода продолжит фильтрацию трафика используя ранее загруженный индивидуальный набор правил возрастом в 24 минуты. Этот возраст продолжит расти, пока Вычислительный кластер недоступно.

Как Вебмониторэкс защищает от потери данные, сохраненные в Вычислительном кластере?¶

Вычислительный кластер Вебмониторэкс хранит все данные, сохраненные пользователем в Консоли управления Вебмониторэкс, а также загруженные с подключенных фильтрующих нод. Недоступность Вычислительного кластера Вебмониторэкс – редкий случай. Если отключение все же случается, шанс, что сбой затронет сохраненные на дисках данные, невелик. Это означает, что после восстановления работоспособности Вычислительного кластера вы сможете немедленно продолжить работу с вашими данными.

Чтобы снизить риск повреждения жестких дисков, Вебмониторэкс автоматически создает их резервные копии:

• RPO: резервная копия создается каждые 24 часа.

• RTO: система будет снова доступна не более, чем через 48 часов.

• Хранятся 14 последних резервных копий.

При необходимости можно восстановить данные из самой актуальной копии.

Для получения более детальной информации о схеме защиты и восстановления Вебмониторэкс после сбоя (Вебмониторэкс disaster recovery (DR) plan) и его особенностях для вашей компании, свяжитесь с технической поддержкой Вебмониторэкс.