Технические требования к программно-аппаратному комплексу, устанавливаемому у Клиента
Принципиальная схема сервиса «Мультибанк (Транзит 2.0)»
|
|---|
| Рисунок 1 - Принципиальная схема сервиса «Мультибанк (Транзит 2.0)» |
Принципиальная схема сервиса «Мультибанк (Транзит 2.0)» + Сервис-бюро СПФС (Корпорация)
|
|---|
| Рисунок 2 - Принципиальная схема сервиса «Мультибанк (Транзит 2.0)» + Сервис-бюро СПФС (Корпорация) |
Принципиальная схема сервиса «Мультибанк (Транзит 2.0)» + Сервис-бюро СПФС (Банк)
|
|---|
| Рисунок 3 - Принципиальная схема сервиса «Мультибанк (Транзит 2.0)» + Сервис-бюро СПФС (Банк) |
Схема сетевого взаимодействия
|
|---|
| Рисунок 4 - Схема сетевого взаимодействия |
Схема работы СКЗИ КриптоПРО, ИнфоКрипт на стороне Корпорации
|
|---|
| Рисунок 5 - Схема работы СКЗИ КриптоПРО, ИнфоКрипт на стороне Корпорации |
Схема работы СКЗИ Валидата при взаимодействии по ЭДО НРД
|
|---|
| Рисунок 6 - Схема работы СКЗИ Валидата при взаимодействии по ЭДО НРД |
Схема работы Банка с ЭДО НРД
|
|---|
| Рисунок 7 - Схема работы Банка с ЭДО НРД |
Технические требования
СКЗИ Валидата CSP 6.0
Сервер ИШ
Назначение
Провайдер криптографического сервиса (ПО для обеспечения ЭДО на стороне Клиента, Участника СЭД)
Ссылка на дистрибутив
ПО для обеспечения ЭДО на клиентском рабочем месте Участника СЭД
Устанавливается на сервер Интеграционного Шлюза (ИШ).
При установке требуется номер продукта. Его можно получить в Личном Кабинете Участника в разделе «Услуги УЦ» - подробнее см. https://fs.moex.com/files/15280/
Ссылки на ПО и документацию: https://www.moex.com/s1292
Необходимые сетевые проходы
Сетевые проходы не требуются.
АПК «Валидата Клиент»/ПК «Справочник сертификатов»
Сервер ИШ
Назначение
Формирование персонального защищенного справочника сертификатов для обмена зашифрованными пакетами и работы ИШ
Ссылка на дистрибутив
ПО для обеспечения ЭДО на клиентском рабочем месте Участника СЭД Устанавливается на сервер Интеграционного Шлюза (ИШ).
При установке требуется номер продукта. Его можно получить в Личном Кабинете Участника в разделе «Услуги УЦ» - подробнее см. https://fs.moex.com/files/15280/
Ссылки на ПО и документацию: https://www.moex.com/s1292
Необходимые сетевые проходы
Сетевые проходы не требуются.
ПО Интеграционный Шлюз (ИШ)**
Сервер ИШ
Назначение
ПО для отправки и приема зашифрованных пакетов, содержащих сообщения в формате ISO, определяемых Правилами ЭДО НРД
Минимальные требования (ОС, CPU, ОЗУ, ПЗУ)
- Windows Server 2016/2019;
- 4+ vCPU (общее кол-во ядер);
- 4+ ГБ ОЗУ;
- Место на диске: 10-100 Гб свободного места для данных (журналы/логи работы ИШ, БД с принятыми/отправленными пакетами/документами) – зависит от среднедневного объема передаваемых документов, их размера и регламента хранения входящих/исходящих документов. CPU и RAM так же зависит от объема одномоментной отправки пакетов/документов.
Ссылка на дистрибутив
Сеть: прямое подключение к Интернету, желательно без использования прокси-сервера.
Доступ к внешним ресурсам НРД: ПРОД – TCP:443 - https://edog.nsd.ru/onyx/OnyxEdoWSService/OnyxEdo ТЕСТ – TCP:443 - https://gost-gt.nsd.ru/onyx-ms/OnyxEdoWSService/OnyxEdo
Доступ для внутренних сервисов: От ПО Мультибанк (Транзит 2.0): TCP:HTTP/HTTPS (порт указывается при настройке ИШ).
Ссылка на документацию
Устанавливается на сервер Интеграционного Шлюза.
Ссылки на ПО и документацию: https://www.nsd.ru/workflow/system/programs раздел «ЛРМ СЭД НРД (WEB-СЕРВИС)», подраздел «Интеграционный шлюз НРД». Дополнительно предоставляется инструкция в составе пакета документации по установке и первичной настройке программного комплекса Транзит2.0.
Необходимые сетевые проходы
Внешние*****: Порт 443
- https://gost-gt.nsd.ru/onyx-ms/OnyxEdoWSService/OnyxEdo - – GUEST, контур для тестирования с клиентами;
- https://edog.nsd.ru/onyx/OnyxEdoWSService/OnyxEdo – PROM, промышленный контур;
Внутренние**:
- ПО Мультибанк (Транзит 2.0): 445.
СУБД PostgreSQL*
Назначение
Хранение всех отправленных/принятых пакетов через ЭДО НРД, настроек ИШ, сертификатов Участников транзита
Ссылка на дистрибутив
Необходимые сетевые проходы
Отдельные сетевые взаимодействия для Типовой схемы** не требуются. ПО Интеграционный Шлюз работает с БД через TCP:localhost:5432.
Минимальные требования (ОС, CPU, ОЗУ, ПЗУ)
- Windows Server 2016/2019;
- 4+ vCPU (общее кол-во ядер);
- 4+ ГБ ОЗУ; Место на диске: 10-100 ГБ свободного места для данных – зависит от среднедневного объема передаваемых документов, их размера и регламента хранения входящих/исходящих документов. CPU и RAM так же зависит от объема одномоментной отправки пакетов/документов. Типовая схема**: устанавливается на сервер Интеграционного Шлюза.
Ссылки на ПО и документацию:
- https://www.postgresql.org/download/windows/
- https://www.enterprisedb.com/downloads/postgres-postgresql-downloads
- Требуемая версия – не ниже 14. Дополнительно предоставляется инструкция в составе пакета документации по установке и первичной настройке программного комплекса Транзит2.0.
СУБД PostgreSQL***
Сервер Мультибанка (Транзит 2.0) или Выделенный сервер/кластер БД
Назначение
Хранение всех отправленных/принятых документов, настроек Пользователей Мультибанка (Транзит 2.0), Организаций, Счетов, Полномочий и прочих данных
Минимальные требования (ОС, CPU, ОЗУ, ПЗУ)
- Windows Server 2016/2019;
- 4+ vCPU (общее кол-во ядер);
- 4+ ГБ ОЗУ;
- Место на диске: 10-100 ГБ свободного места для данных – зависит от среднедневного объема передаваемых документов, их размера и регламента хранения входящих/исходящих документов.
- CPU и RAM так же зависит от объема одномоментной отправки пакетов/документов. Доступ для внутренних сервисов:
- От ПО Мультибанк (Транзит 2.0): TCP:5432 (в случае установки БД на выделенный сервер/кластер БД). Типовая схема***:
- Тестовый контур – устанавливается на сервер Мультибанка (Транзит 2.0);
- Прод/Пром контур – устанавливается на выделенный сервер/кластер БД.
Ссылки на ПО и документацию: https://www.postgresql.org/download/windows/ https://www.enterprisedb.com/downloads/postgres-postgresql-downloads Требуемая версия – не ниже 14.
ПО Мультибанк (Транзит 2.0)*
Назначение
ПО Мультибанка (Транзит 2.0) реализует функции по обмену сообщениями и документами между Корпорацией и обслуживающими её Банками. ПО представлено в виде службы Windows. Пользователю доступен интерфейс в виде WEB-страницы.
Внимание: Для работы с ПК Мультибанк (Транзит 2.0) рекомендуется использовать браузер Google Chrome, поскольку тестирование осуществляется исключительно в этом браузере. Ввиду вышесказанного работоспособность приложения в других браузерах не гарантируется.
Ссылка на дистрибутив
Дистрибутив
Минимальные требования (ОС, CPU, ОЗУ, ПЗУ)
- Windows Server 2016/2019;
- 4+ vCPU (общее кол-во ядер);
- 4+ ГБ ОЗУ;
- Место на диске: 20 ГБ (приложение и его журналы/логи) – размер журналов/логов зависит от среднедневного объема обрабатываемых документов и активности при работе с Мультибанком (Транзит 2.0) – при необходимости HDD требуется увеличить. CPU и RAM так же зависит от объема одномоментной отправки пакетов/документов.
Необходимые сетевые проходы
С сервера Мультибанка (Транзит 2.0) требуются доступы:
- К серверу ИШ: TCP: HTTP/HTTPS (порт указывается при настройке ИШ);
- К серверу API Оркестратора: TCP:HTTP/HTTPS (порт указывается при настройке ПО Оркестратора);
К серверу Мультибанка (Транзит 2.0) требуются доступы:
- Доступ Пользователей Мультибанка (Транзит 2.0) с их АРМ внутри Корпорации к WEB-интерфейсу Мультибанка (Транзит 2.0);
- С серверов ERP Корпорации к API Мультибанка (Транзит 2.0). Порт (TCP) для доступа к Мультибанка (Транзит 2.0) задается при установке ПО – один порт для 1 и 2. Устанавливается на сервер Мультибанка (Транзит 2.0)***
Ссылки на ПО и документацию: предоставляются в составе пакета по установке и первичной настройке программного комплекса Транзит2.0.
ПО API Оркестратор + СУБД PostgreSQL
Сервер API Оркестратор
Назначение
ПО интеграции с сервисами банков:
- Сбербанк – SberBusinessAPI;
- Райффайзенбанк – API Оркестратор.
Минимальные требования (ОС, CPU, ОЗУ, ПЗУ)
- Windows Server 2016/2019;
- 4+ vCPU (общее кол-во ядер);
- 6+ ГБ ОЗУ;
- Место на диске: 10-100 ГБ свободного места для данных – зависит от среднедневного объема передаваемых документов, их размера и регламента хранения входящих/исходящих документов.
- CPU и RAM так же зависит от объема одномоментной отправки пакетов/документов.
Доступ к внешнему ресурсу (TCP:9443):
Сбербанк –
- ПРОД - https://fintech.sberbank.ru:9443
- ТЕСТ - https://iftfintech.testsbi.sberbank.ru:9443 Райффайзенбанк ПРОД (TCP:443) –
- https://sso.rbo.raiffeisen.ru
- https://api.openapi.raiffeisen.ru
Доступ с АРМ пользователей внутри Корпорации (для процедуры подписания оферты (Сбербанк) или авторизации в сервисе (Райффайзенбанк)) к серверу Оркестратора. Порт (TCP) для доступа к Оркестратору задается при установке/настройке ПО. Устанавливается на выделенный сервер API Оркестратора Сбербанка/Райффайзенбанка совместно с СУБД PostgreSQL.
Ссылки на ПО и документацию: предоставляются отдельно по запросу при подключении Корпорации к Сбербанку/Райффайзенбанку в рамках Транзит2.0.
СКЗИ КриптоПРО CSP 5.0 (Серверная лицензия)
Назначение
Провайдер криптографического сервиса для подписания документов при отправке в Банки на стороне сервера Мультибанка (Транзит 2.0) (Серверное подписание)
Ссылка на дистрибутив
Дистрибутив Устанавливается на сервер Мультибанка (Транзит 2.0): при серверном подписании документов, использовании автоматического подписания документов, в том числе запросов выписок, банковскими ключами формата КриптоПРО и Всегда для работы с Банками ВТБ, ГПБ (ГПБ - при отправке документов с вложениями).
Минимальные требования (ОС, CPU, ОЗУ, ПЗУ)
Согласно требованиям ПО КриптоПРО CSP 5.0
Ссылка на документацию
Необходимые сетевые проходы
Сетевые проходы не требуются.
Установка плагина КриптоПРО CADESCOM
При подписании документов банковскими ключами, а также для входа в систему по сертификату, на рабочем месте пользователя Мультибанка установите плагин КриптоПРО CADESCOM (КриптоПро ЭЦП Browser Plug-in) по инструкции: https://cryptopro.ru/products/cades/plugin. Плагин следует установить на этом рабочем месте – Прод и Тест.
Так же указанный плагин устанавливается на сервере Мультибанк (Транзит 2.0) при Серверном подписании – под УЗ/Пользователем, от которой работает служба Мультибанка (Транзит 2.0) (см. п.3) – Прод и Тест.
«Зеленый токен» - VPNkey-TLS (ИнфоКрипт)
Назначение
Выполнение подписания документов, направляемых в Сбербанк. Стандартное средство входа и подписания документов в СББОЛ.
Ссылка на дистрибутив
Выдается Сбербанком
Минимальные требования (ОС, CPU, ОЗУ, ПЗУ)
Устанавливается на рабочее место операциониста
Ссылка на документацию
Информации на сайте производителя устройств
Необходимые сетевые проходы
Сетевые проходы не требуются.
Комментарии и примечания
Комментарий:
Архитектурные особенности при развертывании Продуктивной/Промышленной и Тестовой среды/контура:
- Мультибанк (Транзит 2.0) и Интеграционный Шлюз необходимо устанавливать на разных серверах – Прод и Тест;
- Сервера могут быть как физическими, так и виртуальными. Если это виртуальная машина, то должны выделяться не динамические ресурсы (RAM) – Прод и Тест;
- Службу Мультибанка (Транзит 2.0) необходимо запускать от Отдельной учетной записи (УЗ), не системной. Соответственно эта УЗ должна иметь полномочия входа в систему в качестве службы (права выдаются автоматически при указании УЗ в настройках запуска службы). Интерактивный вход в систему для этой УЗ так же должен быть доступен (необходимо при установке банковских ключей для Серверного подписания документов) – Прод и Тест;
Технические требования к серверам в разрезе трафика через Транзит2.0:
Характеристики Продуктивных/Промышленных серверов для предполагаемой нагрузки по отправляемым Платежам: 10 000 - 15 000 в день / 3 000 одномоментно:
- Сервер Мультибанка (Транзит 2.0) – 8 x vCPU, Static RAM – 8 GB RAM, 50 GB HDD (SAS/SSD). OS – Windows Server 2016/2019 Standard
- Сервер ИШ+БД – 8 x vCPU, Static RAM – 8 GB RAM, 100 GB HDD (SAS/SSD). OS – Windows Server 2016/2019 Standard
- Сервер БД Мультибанка (Транзит 2.0) – 8 x vCPU, Static RAM – 8 GB RAM, 150 GB HDD (SAS/SSD). OS – Windows Server 2016/2019 Standard – приведенные характеристики обеспечат приемлемую скорость отправки Платежей в указанном выше объёме.
Выделенный сервер для интеграции с API Банков (см. таблицу, п.7) – Сбербанк, Райффайзенбанк: Сервер Оркестратор API (для работы со Сбербанком и Райффайзенбанком (API)) – 4 x vCPU, Static RAM – 6 GB RAM, 50 GB HDD. OS – Windows Server 2016/2019 Standard
ВАЖНО: в случае регулярного (более 1 раза в день по заведенным в Мультибанка (Транзит 2.0) счетам) получения банковских выписок/справок по счету, а также в случае большого размера получаемых выписок/справок (например, более 10 МБ) следует проанализировать утилизацию дискового пространства (HDD) на серверах ИШ и БД Мультибанка (Транзит 2.0) и при необходимости внести корректировки в выделенные ресурсы.
Примечания:
* Приведенные Минимальные требования к CPU/RAM/HDD допустимо использовать на Тестовом контуре ввиду небольшого трафика и нагрузки на используемое ПО. Если на Тестовом контуре будет выполняться активная работа, либо он должен соответствовать показателям мощности/производительности Продуктивного/Промышленного контура с целью проведения Нагрузочного тестирования и/или прочих проверок/оценки производительности/использования выделенных ресурсов, то на Тестовом контуре необходимо применять требования Продуктивного/Промышленного контура – подробнее см. далее «Архитектурные особенности при развертывании ИШ, Мультибанка (Транзит 2.0) и БД».
** Типовая схема: Установка СУБД PostgreSQL на один сервер с Интеграционным Шлюзом рекомендуется как для Тестового, так и для Продуктивного/Промышленного контура. При установке PostgreSQL на один сервер с Интеграционным Шлюзом технические требования к CPU/RAM/HDD для Продуктивного/Промышленного контура суммируются.
*** Установка СУБД PostgreSQL на один сервер с Мультибанком (Транзит 2.0) допускается на Тестовом контуре, если иное не требует другой реализации – см. выше Минимальные требования к CPU/RAM/HDD. В случае установки PostgreSQL на один сервер с Мультибанком (Транзит 2.0) технические требования к CPU/RAM/HDD для Продуктивного/Промышленного контура суммируются.
Матрица сетевых взаимодействий:
| Источник | Получатель | Протокол | Порт получателя | Описание |
|---|---|---|---|---|
| Интеграционный шлюз (ИШ) | СУБД PostgreSQL TCP/IP 5432 Взаимодействие ИШ со своей БД | |||
| Интеграционный шлюз (ИШ) | WSL-сервис ЭДО НРД TCP/IP: HTTPS 443 Взаимодействие ИШ с НРД - WSL-сервис ЭДО НРД – прием/передача пакетов | |||
| Мультибанк (Транзит 2.0) | СУБД PostgreSQL TCP/IP 5432 Взаимодействие Мультибанка (Транзит 2.0) со своей БД | |||
| Мультибанк (Транзит 2.0) | API Оркестратор TCP/IP: HTTPS 8110 Порт для конфигурации Маршрутизатора API Оркестратора | |||
| Мультибанк (Транзит 2.0) | API Оркестратор TCP/IP: HTTPS 8115 Порт для отправки сообщений в Маршрутизатор API Оркестратора | |||
| Мультибанк (Транзит 2.0) | Интеграционный шлюз (ИШ) TCP/IP: HTTP/HTTPS 8088/443 Взаимодействие Мультибанка (Транзит 2.0) с ИШ – прием/передача пакетов | |||
| API Оркестратор СУБД PostgreSQL TCP/IP 5432 Взаимодействие ПО API Оркестратора со своей БД | ||||
| API Оркестратор Сервер Сбербанка TCP/IP: HTTPS 9443 Взаимодействие ПО API Оркестратора с сервисами Сбербанка | ||||
| API Оркестратор Сервер Райффайзенбанка TCP/IP: HTTPS 443 Взаимодействие ПО API Оркестратора с сервисами Райффайзенбанка | ||||
| АРМ Пользователя Мультибанк (Транзит 2.0) TCP/IP: HTTP/HTTPS 8000/443 Работа Пользователя в Web-интерфейсе Мультибанка (Транзит 2.0) | ||||
| ERP Клиента Мультибанк (Транзит 2.0) TCP/IP: HTTP/HTTPS 8000/443 Взаимодействие ERP с Мультибанка (Транзит 2.0) посредством API Мультибанка (Транзит 2.0) | ||||
| Примечание: указанные в таблице порты для взаимодействий Мультибанка (Транзит 2.0), ИШ, БД между собой и элементов Корпоративной сети Клиента могут отличаться от указываемых/используемых Клиентом при настройке компонент программного комплекса Транзит2.0. Соответственно данная матрица сетевых взаимодействий должна быть откорректирована согласно Вашим настройкам. |
ТЕСТОВЫЕ ДАННЫЕ (предоставляются при заключении договора)
Необходимо настроить канал в ИШ (п.3): GUEST
Тестовый депозитарный код: MS…TR
Ссылка на контейнер с ключами: ССЫЛКА
Серийный ключ СКЗИ Валидата (п.1): КЛЮЧ
Тестовый депозитарный код (код Участника Транзита) (первый банк для проведения настройки и тестирования …): MC…TT