Ana içeriğe geç

Air-Gapped Kurulum

Amaç

Cyprob EE’yi internete doğrudan çıkışı olmayan kısıtlı ağlarda güvenli ve işletilebilir şekilde kurmak ve güncellemek.

Dağıtım Prensipleri

  • Çalışma anında public cloud bağımlılığı yok.
  • Açık ağdan kapalı ağa kontrollü artifact transferi.
  • Tekrar üretilebilir kurulum, güncelleme ve geri dönüş akışı.
  • Her transfer noktasında bütünlük doğrulaması.

Kapsam

Bu rehber şunları kapsar:

  • Offline artifact hazırlığı
  • Kısıtlı ağa güvenli aktarım
  • Kurulum ve ilk doğrulama
  • Offline güncelleme döngüsü
  • Geri dönüş kontrol noktaları

Gerekli Artifact’ler (Açık Ağda Hazırlanır)

  • Cyprob EE container imajları (veya dağıtım paketi)
  • Docker Compose manifestleri ve ortam şablonları
  • Gerekliyse migration paketi
  • Lisans dosyası ve ilk secret girdileri
  • Bütünlük doğrulaması için checksum/imza dosyaları

Önerilen Air-Gap Akışı

1. Release Bundle Hazırlığı (Açık Ağ)

  • Gerekli imajları onaylı registry’den çek.
  • İmajları tar arşivine al.
  • Dağıtım manifestlerini ve config şablonlarını dışa aktar.
  • Hash manifesti üret.

2. Kısıtlı Ağa Transfer

  • Onaylı güvenli medya/süreç ile taşı.
  • Transfer olayını ve operatör bilgisini kaydet.
  • Import öncesi hash doğrulaması yap.

3. Import ve Kurulum

  • İmajları local registry/engine’e yükle.
  • Kısıtlı ortam config’ini uygula.
  • Servisleri başlat.
  • Health kontrolü ve baseline smoke test uygula.

4. İlk Çalıştırma Doğrulaması

Minimum doğrulama:

  • Health endpoint sağlıklı dönüyor (/health veya dağıtıma göre /healthz).
  • Login çalışıyor ve org bağlamı alınabiliyor.
  • En az bir scan başlatılıp tamamlanıyor.
  • Bulgular okunabiliyor.
  • En az bir rapor üretilebiliyor/indirilebiliyor.

5. Offline Güncelleme Döngüsü

Her güncelleme penceresinde:

  • Açık ağda yeni offline release bundle hazırlanır.
  • Transfer + bütünlük doğrulaması yapılır.
  • Kademeli rollout uygulanır (control plane, sonra worker’lar).
  • Smoke testler tekrar çalıştırılır.
  • Geri dönüş için önceki stabil imaj seti saklanır.

Air-Gapped Ortamlar İçin Operasyonel Kontroller

  • Güncelleme için değişiklik penceresi zorunlu.
  • Regülasyonlu ortamlarda çift onaylı import süreci önerilir.
  • Dağıtım ve admin işlemleri için denetlenebilir kayıt tutulur.
  • Veritabanı ve kritik runtime config için periyodik yedek alınır.

Limitler ve Netleştirme

  • “Air-gapped hazır” ifadesi “bakım gerektirmez” anlamına gelmez; feed/güncelleme için kontrollü import döngüsü gerekir.
  • Zaman senkronizasyonu ve iç PKI/sertifika yönetimi müşteri ortamının sorumluluğundadır.
  • SIEM/ITSM entegrasyon hedefleri kısıtlı ağ sınırları içinde erişilebilir olmalıdır.

Kanıt Checklist'i

  • Artifact hash doğrulama kayıtları saklandı.
  • Kurulum/güncelleme yürütme logları saklandı.
  • Health + ilk tarama doğrulama kanıtları saklandı.
  • Geri dönüş prosedürü en az bir kez prod dışı ortamda test edildi.

Sonraki Adım

Kısıtlı dağıtımlarda güven sınırlarını netleştirmek için Güvenlik Modeli sayfasına geç.