I'm available for business trips to other cities for projects lasting a month or longer.
Сетевые параметры
Схема взаимодействия, порты, протоколы, направления потоков, межсетевое экранирование
ООО «Рапид.Исследовательские системы»
Версия: 1.1.2
Дата: март 2026
1. Общая схема
Платформа развёртывается на одном или нескольких хостах в виде контейнеров Docker. Все компоненты объединены в изолированную Docker-сеть. Единственная внешняя точка входа: reverse proxy на портах 80 и 443.
2. Внешние интерфейсы
Платформа предоставляет два внешних порта для взаимодействия с пользователями:
| Порт | Протокол | Направление | Назначение | Аутентификация |
|---|---|---|---|---|
| 443/tcp | HTTPS (TLS 1.2 / 1.3) | Входящий | Веб-интерфейс, REST API, SSO, WebSocket, мониторинг, журналы | Keycloak OIDC / OAuth2 Proxy |
| 80/tcp | HTTP | Входящий | Перенаправление на HTTPS | — |
2.1. URL-маршруты
| Путь | Назначение | Защита |
|---|---|---|
| / | Веб-интерфейс | Keycloak SSO |
| /admin | Панель администрирования | Keycloak SSO + проверка роли администратора |
| /api/* | REST API платформы | Bearer token |
| /settings/* | API настроек | Bearer token |
| /pivotms/* | API сводных таблиц | Bearer token |
| /upload/* | Загрузка файлов | Bearer token |
| /keycloak/* | Управление идентификацией | Встроенная аутентификация Keycloak |
| /grafana/* | Мониторинг | OAuth2 Proxy + Keycloak SSO |
| /logs/* | Журналы событий | OAuth2 Proxy + проверка роли |
| /rabbitmq/* | Управление очередями | OAuth2 Proxy |
| /tempo/* | Трассировка запросов | OAuth2 Proxy |
| /metrics/* | Метрики | OAuth2 Proxy |
| /excel/* | Экспорт данных | Bearer token + проверка прав доступа |
3. Внутренние коммуникации
Компоненты взаимодействуют внутри изолированной Docker-сети. Доступ к внутренним портам извне не требуется для штатной работы.
| Источник | Назначение | Протокол | Порт | Описание |
|---|---|---|---|---|
| Reverse Proxy | REST API | HTTP | 8000 | Проксирование запросов |
| Reverse Proxy | Keycloak | HTTP | 8080 | Проксирование SSO |
| Reverse Proxy | Микросервисы | HTTP | 3000 | Проксирование настроек и сводных таблиц |
| Reverse Proxy | Загрузка файлов | HTTP | 3000 | Проксирование загрузки |
| Reverse Proxy | Grafana | HTTP | 3000 | Проксирование мониторинга |
| Reverse Proxy | OAuth2 Proxy | HTTP | 4180 | Аутентификация служебных интерфейсов |
| Reverse Proxy | VictoriaLogs | HTTP | 9428 | Проксирование журналов |
| REST API | Аналитическое ядро | gRPC | 50100 | Аналитические запросы |
| REST API | PostgreSQL | PostgreSQL | 5432 | Хранение данных (SCRAM-SHA-256) |
| REST API | Keycloak | HTTP | 8080 | Валидация токенов |
| Микросервисы | PostgreSQL | PostgreSQL | 5432 | Хранение настроек |
| Микросервисы | Keycloak | HTTP | 8080 | Валидация токенов |
| Импорт данных | Аналитическое ядро | gRPC | 50100 | Загрузка данных |
| Импорт данных | RabbitMQ | AMQP | 5672 | Статусы и уведомления |
| WebSocket proxy | RabbitMQ | AMQP | 5672 | Подписка на события |
| Аналитическое ядро | Выч. узлы (×3) | gRPC | 50111–50113 | Распределённые вычисления |
| OAuth2 Proxy | Keycloak | HTTP | 8080 | Проверка аутентификации |
| Grafana | Keycloak | HTTP | 8080 | SSO |
| Grafana | VictoriaLogs | HTTP | 9428 | Источник данных: журналы |
| Grafana | VictoriaMetrics | HTTP | 8428 | Источник данных: метрики |
| Grafana | Tempo | HTTP | 3200 | Источник данных: трассировка |
| Vector | VictoriaLogs | HTTP | 9428 | Отправка журналов |
| VictoriaMetrics | cAdvisor | HTTP | 8080 | Сбор метрик контейнеров |
| Все компоненты | Tempo | gRPC / HTTP | 4317 / 4318 | OpenTelemetry трассировка |
4. Сводная таблица портов
4.1. Порты на интерфейсах хоста
| Порт | Протокол | Компонент | Доступ |
|---|---|---|---|
| 80/tcp | HTTP | Reverse Proxy | Пользователи (перенаправление на 443) |
| 443/tcp | HTTPS | Reverse Proxy | Пользователи (основная точка входа) |
| 50100/tcp | gRPC | Аналитическое ядро (master) | Внутренняя сеть |
| 50111–50113/tcp | gRPC | Вычислительные узлы | Внутренняя сеть |
| 50150/tcp | gRPC | Импорт данных | Внутренняя сеть |
| 9428/tcp | HTTP | VictoriaLogs | Локальный доступ |
| 8428/tcp | HTTP | VictoriaMetrics | Локальный доступ |
| 4317/tcp | gRPC | Tempo (OTLP) | Внутренняя сеть |
| 4318/tcp | HTTP | Tempo (OTLP) | Внутренняя сеть |
4.2. Порты внутри Docker-сети
| Порт | Протокол | Компонент |
|---|---|---|
| 5432/tcp | PostgreSQL | База данных |
| 5672/tcp | AMQP | RabbitMQ |
| 15672/tcp | HTTP | RabbitMQ Management |
| 8080/tcp | HTTP | Keycloak |
| 8000/tcp | HTTP | REST API |
| 3000/tcp | HTTP | Микросервисы / Grafana / Загрузка |
| 4180/tcp | HTTP | OAuth2 Proxy |
| 3200/tcp | HTTP | Tempo (query) |
5. Направления сетевых потоков
5.1. Входящие (к платформе)
| Источник | Назначение | Порт | Протокол | Описание |
|---|---|---|---|---|
| Браузер пользователя | Reverse Proxy | 443 | HTTPS | Работа с интерфейсом и API |
| Браузер пользователя | Reverse Proxy | 80 | HTTP | Перенаправление на HTTPS |
| Браузер пользователя | Reverse Proxy | 443 | WSS | WebSocket (уведомления) |
5.2. Исходящие (от платформы)
| Источник | Назначение | Порт | Протокол | Описание |
|---|---|---|---|---|
| Vector | SIEM-коллектор | настраиваемый | TCP (JSON) | Передача событий безопасности |
| Keycloak | SMTP-сервер | 465 / 587 | SMTPS | Отправка писем (сброс пароля, OTP) |
| Импорт данных | Внешний источник | настраиваемый | ODBC / TCP | Импорт из внешних БД |
Платформа не устанавливает подключений к сети Интернет. Все исходящие соединения направлены к внутренним корпоративным сервисам и активируются только при явной настройке администратором.
6. Подключение к внешним системам
Все подключения к внешним системам опциональны и настраиваются администратором:
| Система | Протокол | Настройка |
|---|---|---|
| SIEM | TCP (JSON) | Переменная окружения SIEM_ADDRESS |
| SMTP | SMTPS (SSL/TLS) | Переменные KC_SMTP_HOST, KC_SMTP_PORT |
| LDAP / Active Directory | LDAP(S) | Настраивается в консоли Keycloak |
| Внешние источники данных | ODBC / TCP | Настраивается при создании импорта |
| NTP | NTP (UDP 123) | Настраивается на уровне операционной системы хоста |
7. Рекомендации по межсетевому экранированию
7.1. Входящие соединения
| Источник | Порт | Протокол | Действие |
|---|---|---|---|
| Подсеть пользователей | 443/tcp | HTTPS | Разрешить |
| Подсеть пользователей | 80/tcp | HTTP | Разрешить |
| Подсеть мониторинга | 9428/tcp | HTTP | Разрешить при необходимости |
| Все остальные | * | * | Запретить |
7.2. Исходящие соединения
| Назначение | Порт | Протокол | Действие |
|---|---|---|---|
| SIEM-коллектор | настраиваемый | TCP | Разрешить при использовании |
| SMTP-сервер | 465/tcp | SMTPS | Разрешить при использовании |
| NTP-сервер | 123/udp | NTP | Разрешить |
| Источники данных | настраиваемый | TCP | Разрешить при необходимости |
| Интернет | * | * | Запретить |
Служебные порты (50100, 50150, 9428, 8428, 4317, 4318), проброшенные на хост, рекомендуется ограничить правилами межсетевого экрана до адресов внутренней сети.
8. DNS и разрешение имён
Внутри Docker-сети компоненты обращаются друг к другу по именам сервисов через встроенный DNS Docker. Внешнее DNS-имя платформы задаётся при развёртывании через параметр SiteUrl и используется для настройки CORS, redirect URI и cookie domain.
Платформа не выполняет DNS-запросов к внешним серверам при штатной работе.