IgNix Infrastructure Stack — корпоративная ИТ-инфраструктура на платформе UNIX
Современные предприятия сталкиваются с системной проблемой фрагментированной ИТ-инфраструктуры: разрозненные решения от множества вендоров создают зоны безответственности, непредсказуемые точки отказа и высокие операционные издержки. Отсутствие единой архитектуры приводит к тому, что при инциденте каждый подрядчик ссылается на смежные системы, а восстановление растягивается на сутки.
IgNix Stack — это целостная семиуровневая архитектура корпоративной инфраструктуры, построенная на операционных системах FreeBSD и OpenBSD. Каждый уровень спроектирован в связке с остальными, что обеспечивает сквозную управляемость, предсказуемое поведение при отказах и единую точку технической ответственности.
Архитектура решения
Ниже представлена полная схема стека — от аппаратной платформы до прикладных сервисов для бизнеса. Каждый уровень функционирует автономно и одновременно является неотъемлемой частью общей системы.
┌─────────────────────────────────────────────────────────────────────────────┐
│ СЛОЙ 7: СЕРВИСЫ ДЛЯ БИЗНЕСА │
│ ┌──────────────┐ ┌──────────────┐ ┌──────────────┐ ┌──────────────┐ │
│ │ Service Desk │ │Коммуникации │ │ Удалённый │ │ Сервер 1С │ │
│ │ GLPI │ │ TeamSpeak / │ │ доступ │ │ FreeBSD + │ │
│ │ Wiki │ │Jabber (XMPP) │ │ RustDesk / │ │ PostgreSQL │ │
│ │ DokuWiki │ │ │ │ Guacamole │ │ │ │
│ └──────────────┘ └──────────────┘ └──────────────┘ └──────────────┘ │
├─────────────────────────────────────────────────────────────────────────────┤
│ СЛОЙ 6: БЕЗОПАСНОСТЬ И ВИДИМОСТЬ │
│ ┌────────────────┐ ┌────────────────┐ ┌──────────────┐ ┌──────────────┐ │
│ │ SIEM │ │ ND │ │ Мониторинг │ │ Логирование │ │
│ │ Wazuh │ │ Zeek+Malcolm │ │ Zabbix / │ │ ELK / Loki / │ │
│ │(агенты на всех │ │ (зеркало │ │ Prometheus+ │ │ Graylog │ │
│ │ узлах) │ │ трафика) │ │ Grafana │ │ │ │
│ └────────────────┘ └────────────────┘ └──────────────┘ └──────────────┘ │
├─────────────────────────────────────────────────────────────────────────────┤
│ СЛОЙ 5: ПЕРИМЕТР (OpenBSD / FreeBSD) │
│ ┌─────────────────────────────────────────────────────────────────────┐ │
│ │ ЗАЩИЩЁННЫЙ ШЛЮЗ: pfSense / OPNsense / OpenBSD + PF │ │
│ │ PF · Suricata IDS/IPS · WireGuard/IPsec VPN · VLAN · HAProxy │ │
│ │ (единая точка входа/выхода) │ │
│ └─────────────────────────────────────────────────────────────────────┘ │
├─────────────────────────────────────────────────────────────────────────────┤
│ СЛОЙ 4: ВИРТУАЛИЗАЦИЯ И ХРАНИЛИЩА │
│ ┌──────────────────────────┐ ┌──────────────────────────────────┐ │
│ │ ВИРТУАЛИЗАЦИЯ │ │ ФАЙЛОВЫЕ ХРАНИЛИЩА / NAS │ │
│ │ bhyve + Sylve (веб-UI) │◄───►│ FreeBSD + ZFS / TrueNAS CORE │ │
│ │ | | | |
│ │ КОНТЕЙНЕРЫ / КЛЕТКИ | | SMB · NFS · iSCSI · S3-compat | |
| | jails + Bastille │ │ Снапшоты · RAID-Z2 · репликация │ │
│ │ (ВМ для каждого сервиса)│ │ │ │
│ └──────────────────────────┘ └──────────────────────────────────┘ │
│ ▲ ▲ │
│ └──────────────┬───────────────┘ │
│ ▼ │
│ ┌───────────────────────────────────┐ │
│ │ РЕЗЕРВНОЕ КОПИРОВАНИЕ │ │
│ │ Bacula + ZFS send/receive │ │
│ │ (снапшоты каждые 15 мин, │ │
│ │ репликация на резервный узел) │ │
│ └───────────────────────────────────┘ │
├─────────────────────────────────────────────────────────────────────────────┤
│ СЛОЙ 3: УПРАВЛЕНИЕ КОНФИГУРАЦИЯМИ │
│ ┌─────────────────────────────────────────────────────────────────────┐ │
│ │ Ansible + Git (Инфраструктура как Код, IaC) │ │
│ │ Любой новый узел разворачивается playbook'ом за 15–30 минут │ │
│ └─────────────────────────────────────────────────────────────────────┘ │
├─────────────────────────────────────────────────────────────────────────────┤
│ СЛОЙ 2: АППАРАТНАЯ ПЛАТФОРМА (ПАК) │
│ ┌──────────┐ ┌──────────┐ ┌──────────┐ ┌──────────┐ ┌───────────┐ │
│ │ 1U │ │ 2U │ │ 2U │ │ 1U │ │RaspberryPi│ │
│ │ Шлюз │ │ NAS/СХД │ │ Virt- │ │ SIEM / │ │ SBC / MCU │ │
│ │ (pfS) │ │ hot-swap │ │ сервер │ │Monitoring│ │thin client│ │
│ └──────────┘ └──────────┘ └──────────┘ └──────────┘ └───────────┘ │
├─────────────────────────────────────────────────────────────────────────────┤
│ СЛОЙ 1: ОПЕРАЦИОННЫЕ СИСТЕМЫ (основа) │
│ ┌─────────────────────────────────────────────────────────────────────┐ │
│ │ FreeBSD 15.x — ядро всего стека (ZFS, NAS, bhyve, маршрутизация) │ │
│ │ OpenBSD 7.x — периметровые шлюзы (максимальный аудит кода, PF) │ │
│ └─────────────────────────────────────────────────────────────────────┘ │
└─────────────────────────────────────────────────────────────────────────────┘Архитектура обеспечивает сквозные гарантии по всем потокам данных и управления:
- Трафик снаружи → Слой 5 (Шлюз/NGFW) → Слой 4 (Виртуализация/NAS) → Слой 7 (Сервисы)
- Все события безопасности → Слой 6 (Wazuh/Zabbix/Zeek) → алерт за менее 60 секунд
- Конфигурации → Слой 3 (Ansible/Git) → воспроизводимость 100%
- Данные защищены → снапшотами ZFS каждые 15 минут → RPO менее 15 минут
Ключевые характеристики и SLA-показатели
RPO (Recovery Point Objective) — менее 15 минут. Снапшоты ZFS создаются каждые 15 минут с автоматической репликацией на резервный узел. Потеря данных при любом сценарии отказа ограничена одним снапшот-интервалом
RTO (Recovery Time Objective) — менее 2 часов. Полное восстановление инфраструктуры осуществляется по Ansible-playbook без ручного вмешательства
Время реакции на инцидент безопасности — менее 60 секунд. Агенты Wazuh на всех узлах в связке с сетевым детектором Zeek обеспечивают сквозную видимость и немедленное оповещение
Время реакции на инцидент работы сети и серверов — менее 60 секунд. Агенты Zabbix на всех узлах в связке с системой логирования обеспечивают полную видимость работы и немедленное оповещение
Развёртывание нового узла — 15–30 минут. Вся конфигурация хранится в репозитории и применяется идемпотентно
Изоляция сервисов — программная sandbox-изоляция каждого компонента. Каждый прикладной сервис работает в отдельном jail-контейнере или виртуальной машине bhyve; компрометация одного компонента не распространяется на остальные
Обоснование выбора платформы UNIX
Выбор FreeBSD и OpenBSD в качестве основы стека обусловлен техническими и стратегическими факторами.
FreeBSD представляет собой целостную операционную систему, в которой ядро, сетевой стек, файловая система ZFS и инструменты управления разрабатываются единой командой в едином репозитории. Это исключает проблему рассогласования компонентов, характерную для дистрибутивов Linux. ZFS в FreeBSD работает нативно — без патчей и DKMS-модулей, что критично для производственных хранилищ данных.
OpenBSD является отраслевым эталоном в области операционной безопасности. Каждая строка кода проходит ручной аудит перед включением в релиз. Межсетевой экран PF, разработанный в проекте OpenBSD, впоследствии был портирован во FreeBSD, macOS и другие системы.
С точки зрения стратегической независимости, весь стек построен на программном обеспечении с открытым исходным кодом без зависимости от зарубежных коммерческих вендоров. Решение соответствует требованиям импортозамещения.
Целевые сегменты
Решение ориентировано на организации со следующими потребностями:
Производственные и промышленные предприятия с требованиями к непрерывности технологических процессов
Финансовые организации, бухгалтерские и юридические компании с высокими требованиями к сохранности и конфиденциальности данных
Предприятия, прошедшие через инциденты с шифровальщиками или утечками данных
Государственные и окологосударственные структуры, реализующие стратегию импортозамещения
ИТ-отделы, стремящиеся к упорядочению разрозненной инфраструктуры под единую архитектуру
Для получения консультации по применимости стека к вашей инфраструктуре, а также для проведения предварительного аудита — обратитесь к нам удобным способом:
Первичный аудит проводится бесплатно.