Требования к инфраструктуре
Kubernetes
Заголовок раздела «Kubernetes»- Версия — 1.24 и выше.
- Вариант не важен: managed (AKS / EKS / GKE / Yandex Managed K8s) либо self-hosted (vanilla, kubeadm, k3s, RKE2).
- Доступ
kubectl+ Helm 3.x у инженера, который выполняет установку. - Ingress-контроллер (NGINX, Traefik, Istio Gateway — любой).
Ресурсы платформы (минимум / рекомендовано)
Заголовок раздела «Ресурсы платформы (минимум / рекомендовано)»| Компонент | CPU | Memory | Диск |
|---|---|---|---|
| API-служба | 1 / 2 cores | 2 / 4 GB | stateless, локальный диск не нужен |
| Консоль | 0.5 / 1 core | 512 MB / 1 GB | stateless |
| PostgreSQL | 2 / 4 cores | 4 / 8 GB | 100 GB на старте, с запасом под рост |
Для крупных инсталляций (сотни подключённых кластеров, десятки тысяч подов) — ресурсы линейно масштабируются.
PostgreSQL
Заголовок раздела «PostgreSQL»- Версия — 12 и выше (рекомендуется 14+).
- Managed-сервис или self-hosted — на ваш выбор.
- Поддерживаются стандартные TLS-подключения (
sslmode=require). - Рекомендуется включить автоматический daily backup и WAL-архивацию или PITR.
Сетевая доступность
Заголовок раздела «Сетевая доступность»| От → До | Протокол | Порт | Комментарий |
|---|---|---|---|
| Браузер пользователя → Консоль | HTTPS | 443 | Публичный или VPN-доступ |
| Консоль → API-служба | HTTPS | 443 | Внутренний, по DNS |
| API-служба → PostgreSQL | TCP | 5432 | Внутренний |
| API-служба → Облачные API | HTTPS | 443 | Egress: Yandex |
| API-служба → SMTP | TCP | 25/465/587 | Если используются email-уведомления |
| API-служба → Telegram API | HTTPS | 443 | Если используется Telegram |
| Kubernetes-агент клиента → API-служба | HTTPS | 443 | Egress из клиентского кластера |
DNS и TLS
Заголовок раздела «DNS и TLS»- Выделите два субдомена: например
console.company.com(консоль) иapi-opsman.company.com(API-служба). - Получите TLS-сертификаты — через внутренний УЦ, Let’s Encrypt (при наличии egress) или коммерческого провайдера.
- Настройте ingress-правила на два домена.
Права доступа
Заголовок раздела «Права доступа»Инженер, выполняющий установку, должен иметь:
- Права
cluster-adminили достаточные для создания namespace, deployments, ingress, secrets в выбранных namespace. - Доступ к управлению DNS для создания записей
console.*иapi-opsman.*. - Доступ к PostgreSQL для создания базы и пользователя.
Опционально: внешний PDF-сервис
Заголовок раздела «Опционально: внешний PDF-сервис»Для крупных PDF-отчётов (сотни страниц) API-служба может использовать выделенный PDF-рендерер. В стандартной поставке он встроен и не требует отдельного развёртывания.
Проверка готовности
Заголовок раздела «Проверка готовности»Перед установкой убедитесь, что:
- Есть доступ к Kubernetes-кластеру с правами администратора.
- Доступна PostgreSQL и есть credentials.
- Созданы DNS-записи и выпущены TLS-сертификаты.
- Известен SMTP-сервер (если нужны email-уведомления).
- Команда получила дистрибутив Helm-чартов и образы контейнеров (из приватного registry заказчика или поставщика).
Следующий шаг — Установка платформы.