Версия 2.0

Содержание

Версия 2.0#

Дата выпуска: 27.11.2025

Тип выпуска: стабильная версия

Примечание

Данная версия является мажорной, то есть содержит существенные изменения, которые могут повлиять на текущие процессы после обновления платформы.
Все обновления представлены по отношению к версии 1.2-upd4, новейшей на момент выпуска данного обновления.

Предупреждение

Перед переходом на новую версию ознакомьтесь также с известными проблемами.

Состав платформы и совместимость с версиями операционной системы представлены в таблице.

Главное#

Следующие обновления представляются наиболее важными:

Platform Gateway – единая точка входа для веб-интерфейса и API всех компонентов платформы;
Унифицированная аутентификация и RBAC – централизованное управление доступом и Single Sign-On для всех сервисов;
Поддержка Kubernetes – развертывание в кластере Kubernetes через операторы (technical preview);
Архитектурные улучшения – горизонтальное масштабирование и высокая доступность Event-Driven Automation;
Устранение критических уязвимостей – устранены уязвимости CVE-2024-53899 и CVE-2024-39689.
Завершение технической поддержки версии 1.0 – жизненный цикл поддержки Astra Automation 1.0 истек согласно правилам.

Изменения в развертывании#

Поддерживаются две модели развертывания:

Установка каждого компонента платформы на одной или нескольких виртуальных машинах. Последнее применяют для обеспечения высокой доступности и распределения нагрузки. Это традиционная модель развертывания с использованием утилиты aa-setup.
Установка в кластере Kubernetes через операторы. Центральная часть Astra Automation развертывается на подах Kubernetes с динамической репликацией и распределением их по рабочим узлам кластера. Плоскость исполнения состоит из узлов на виртуальных машинах или физических серверах.
Примечание
1. В этом выпуске модель представлена как техническая предварительная версия.
2. Эта модель представляется наиболее перспективной в дальнейшем развитии платформы.

Особенности развертывания в кластере Kubernetes:

Декларативное развертывание – управление платформой через Kubernetes CustomResourceDefinitions:
- Предназначено для администраторов Kubernetes.
- Позволяет описывать состав и настройку платформы с помощью файлов-манифестов.
- Обеспечивает автоматическое применение изменений через операторы.
- Функциональность доступна в режиме Technical Preview.
Автоматическое масштабирование – динамическое изменение количества реплик под нагрузкой:
- Предназначено для администраторов высоконагруженных систем.
- Обеспечивает автоматическое масштабирование компонентов на основе метрик.
- Повышает эффективность использования ресурсов кластера.
- Функциональность доступна в режиме Technical Preview.
Встроенная отказоустойчивость – автоматическое восстановление при сбоях:
- Предназначено для администраторов, обеспечивающих высокий уровень доступности систем.
- Использует встроенные механизмы Kubernetes для обеспечения отказоустойчивости.
- Автоматически перезапускает отказавшие компоненты.
- Функциональность доступна в режиме Technical Preview.

Новые возможности и улучшения#

Новая версия содержит несколько новых возможностей и улучшений существующих характеристик.

Утилита развертывания aa-setup#

Следующие улучшения предназначены для администраторов, выполняющих установку и обновление платформы:

Добавлена ранняя проверка используемых ресурсов и их описания (fast fail):
- Предотвращает траты времени на развертывание, которое заведомо завершится неудачей.
- Перед началом развертывания утилита автоматически проверяет готовность окружения, корректность его настройки и описание инвентаря. При обнаружении проблем развертывание прерывается с понятным сообщением об ошибке и ссылкой на документацию.
- Улучшение доступно сразу после обновления утилиты aa-setup.
Проверяемые параметры и ресурсы:
- корректность описания инвентаря, в частности наличие обязательных параметров, например automationgateway_admin_password;
- версия операционной системы Astra Linux (поддерживаемые версии, архитектура x86_64, отсутствие FLY desktop);
- аппаратные ресурсы серверов (CPU, RAM, свободное место на диске);
- доступность внешних ресурсов при развертывании с доступом в интернет (репозитории Debian, hub.astra-automation.ru, пользовательские реестры);
- корректность параметров базы данных PostgreSQL (доступность по указанным параметрам, версия, отсутствие ручной установки);
- доступность необходимых портов TCP у компонентов платформы.
Оптимизирован процесс миграции больших баз данных.

Platform Gateway#

В состав платформы добавлен новый компонент Platform Gateway, обеспечивающий единую точку входа для всех сервисов. Ключевые возможности:

Единая аутентификация – централизованное управление пользователями и интеграция с внешними источниками аутентификации (LDAP, SAML, RADIUS, OAuth 2.0, OIDC) через единый интерфейс:
- Предназначена для администраторов платформы.
- Позволяет настроить аутентификацию один раз для всех компонентов.
- Обеспечивает Single Sign-On для Automation Controller, Private Automation Hub и Event-Driven Automation.
- Новая возможность доступна сразу после обновления платформы.
Унифицированная ролевая модель RBAC (Role-Based Access Control) – единая модель доступа для всех компонентов:
- Предназначена для администраторов безопасности.
- Упрощает управление правами доступа через единый интерфейс.
- Централизует управление организациями, пользователями и командами пользователей.
- Новая возможность доступна сразу после обновления платформы.
Интеллектуальная маршрутизация – автоматическое перенаправление запросов к соответствующим компонентам:
- Предназначена для разработчиков интеграции.
- Обеспечивает прозрачный доступ ко всем API через единую точку входа.
- Автоматически добавляет токены аутентификации при перенаправлении запросов.
- Новая возможность доступна сразу после обновления платформы.
Централизованный мониторинг – единая точка доступа для проверки статуса всех сервисов:
- Предназначен для операторов систем мониторинга.
- Позволяет получить агрегированный статус всех компонентов одним запросом к /api/gateway/v1/status/.
- Упрощает интеграцию с внешними системами мониторинга.
- Новая возможность доступна сразу после обновления платформы.

Private Automation Hub#

Внесены изменения в Private Automation Hub:

Улучшена производительность API при работе с метаданными коллекций.
Оптимизирована работа с container registry.

Automation Controller#

Automation Controller получил значительные улучшения:

Улучшена стабильность работы планировщика при переходе на летнее/зимнее время.
Оптимизирована производительность при работе с большими шаблонами заданий.

Event-Driven Automation#

Event-Driven Automation (EDA) получил значительные архитектурные улучшения:

Кластерный вариант – полностью переработана архитектура для поддержки объединения в кластер при развертывании на ВМ.
Горизонтальное масштабирование – поддержка множественных рабочих узлов Kubernetes:
- Предназначено для администраторов высоконагруженных компонентов EDA.
- Позволяет распределять обработку событий между несколькими узлами.
- Повышает производительность обработки событий.
- Улучшение доступно сразу после обновления EDA.
Высокая доступность – автоматический failover при сбоях:
- Предназначено для критически важных компонентов EDA.
- Обеспечивает непрерывную обработку событий при отказе узлов.
- Автоматически перераспределяет нагрузку между оставшимися узлами.
- Улучшение доступно сразу после обновления EDA.
Поддержка дополнительных источников событий – добавлена поддержка дополнительных типов источников событий.

Коллекции Ansible#

В наборы коллекций, распространяемые через Automation Hub, внесены существенные изменения.

Разработаны новые коллекции:

astra.acm – роли для автоматизации развертывания ACM (Astra Configuration Manager);
astra.vmmanager – модули для базового управления виртуальными ресурсами;
orion.zvirt – коллекция для управления инфраструктурой виртуализации zVirt.

Обновлены существующие коллекции:

astra.aa_controller:
- добавлена поддержка Astra Automation 2.0;
- добавлены переменные для управления детализацией вывода aa-setup.
astra.ald_pro:
- добавлена поддержка новых версий ALD Pro;
- добавлена опция filter_nested_groups в inventory plugin для управления поведением фильтрации вложенных групп;
- добавлен LDAP inventory plugin.
astra.astralinux:
- добавлены модули postgresql_mac_control, pdac_adm.
astra.ceph:
- добавлена поддержка Ceph 17 (Quincy) из состава ALSE 1.8.3.UU1.
astra.chrony:
- актуализирован список поддерживаемых операционных систем.
astra.dcimanager:
- добавлена поддержка DCI Manager 6;
- добавлена поддержка Astra Linux Special Edition 1.8.1;
- добавлена возможность установки в сегменте, изолированном от интернета.
astra.dhcp:
- актуализирован список поддерживаемых операционных систем.
astra.hardening:

Значительно улучшена роль fstec:
- добавлены preflight-проверки;
- добавлена установка пакетов, необходимых для управления функциями безопасности;
- добавлена возможность определения собственного списка правил безопасности;
- добавлены правила login_13, digsig_1;
- внесены изменения в документации.
astra.iscsi:
- актуализирован список поддерживаемых операционных систем;
- удалена временная поддержка неправильно написанных переменных iscsi_inititator_dev_list, iscsi_inititator_wwid_list.
  
  Примечание
  
  Последнее изменение выполнено без обеспечения обратной совместимости.
astra.nfs:
- актуализирован список поддерживаемых операционных систем.
astra.postgresql:
- актуализирован список поддерживаемых операционных систем.
astra.rupost:
- добавлена поддержка RuPost 3.4.0.
astra.termidesk:
- добавлена поддержка Termidesk 6.0.2 и ALSE 1.8.2.UU1;
- прекращена поддержка Termidesk версий 6.0.0 и более ранних.
  
  Примечание
  
  Последнее изменение выполнено без сохранения обратной совместимости.

Утилиты разработчика#

Следующие улучшения предназначены для разработчиков сценариев автоматизации и коллекций Ansible. Доступны сразу после обновления утилит из AA CDK:

ansible-lint:

Улучшена совместимость с Ansible Core 2.18.
Добавлены новые правила проверки безопасности playbooks.
Оптимизирована скорость проверки больших проектов.

ansible-navigator:

Улучшена работа с execution environments.

ansible-creator:

Добавлен флаг --no-overwrite для предотвращения перезаписи существующих файлов. Защищает от случайной перезаписи важных файлов при генерации шаблонов.
Улучшена проверка допустимости названий коллекций при их создании.

Образы служебных контейнеров#

Выполнено обновление образов служебных контейнеров.

Общие обновления для всех образов:

Ansible Core обновлен до версии 2.18.3.

Примечание

Для Astra Automation 2.0 также доступны образы с Ansible Core 2.15.10. Их необходимо использовать в случае, если управляемые узлы функционируют на Astra Linux Special Edition 1.7, так как в этой операционной системе используется Python 3.7, не совместимый с Ansible Core 2.18.3.

Execution Environment aa-full-ee:

Операционная система Astra Linux Special Edition обновлена до версии 1.8.3.
Добавлена зависимость коллекции astra.ald_pro от модуля python3-ldap3.
Исправлено название переменной для указания приватного реестра в скрипте выгрузки коллекций.

Decision Environment aa-minimal-de:

Обновлен openjdk до версии 17.0.14.

Content Development Kit aa-cdk:

Операционная система Astra Linux Special Edition обновлена до версии 1.8.3.
Обновлен podman до версии 5.4.0.
Обновлен openjdk до версии 17.0.14.

Измененные функции#

При миграции на новую версию происходят следующие функциональные изменения:

Изменяется процесс аутентификации пользователей и внешних приложений. Необходимо использовать единый интерфейс для создания токенов и настройки на внешние источников аутентификации (SAML, LDAP, RADIUS).
Доступ к компонентам платформы происходит через единый интерфейс, что потребует изменения внешних приложений, интегрированных с Astra Automation.

Устаревшие сущности#

При миграции на новую версию станут недействительными следующие сущности:

Токены для Automation Controller и Private Automation Hub. Для генерации токенов используйте единый интерфейс.
Все внешние механизмы аутентификации Automation Controller и Private Automation Hub станут недействительными. Необходимо перейти на настройку через единый интерфейс.

Устранение уязвимостей#

В версии 2.0 устранены критические уязвимости безопасности:

В утилите aa-setup устранена критическая уязвимость в модуле virtualenv (CVE-2024-53899, CVSS 9.8), позволяющая выполнение произвольного кода, путем использования другой версии модуля.
В утилите aa-setup устранена уязвимость в модуле certifi (CVE-2024-39689, CVSS 7.5), связанная с недостаточной проверкой сертификатов, путем использования другой версии модуля. Процесс failure-event-handler в Automation Controller теперь запускается с привилегиями пользователя awx вместо root, что снижает потенциальные риски безопасности.

Исправления ошибок#

Ниже перечислены наиболее значимые исправления.

Утилита aa-setup#

Исправлены критические проблемы с резервным копированием и восстановлением компонентов Redis и EDA. Улучшена логика остановки и запуска сервисов при выполнении операций backup и restore. Теперь корректно учитываются состояния рабочих процессов EDA для их автоматического возобновления после восстановления.
Улучшена логика остановки и отключения рабочих процессов EDA во время установки и обновления.
Исправлена установка платформы в изолированном сегменте сети из пакета offline bundle.

Automation Controller#

Исправлена ошибка, приводившая к некорректному подсчету хостов в инвентарях с большим количеством хостов.
Устранены проблемы с кириллическими символами в файлах локализации интерфейса.
Устранена утечка памяти при длительной работе служб контроллера.
Устранены race conditions при параллельном запуске заданий.

Private Automation Hub#

Исправлены проблемы с синхронизацией коллекций большого размера.
Устранены ошибки при импорте коллекций с большим количеством зависимостей.

Event-Driven Automation#

Исправлены проблемы с обработкой webhook’ов под высокой нагрузкой.
Повышена стабильность при работе с большими rulebooks.

Коллекции Ansible#

В коллекциях исправлены следующие проблемы:

astra.ald_pro:
- устранена уязвимость CVE-2025-4404.
astra.astralinux:
- исправлена документация модуля pdpl_user.
astra.dhcp:
- добавлено условие срабатывания обработчика (handler);
- исправлен тип данных для параметра mode.
astra.hardening:
- улучшена логика обновления конфигурации для изменения параметров на месте вместо добавления их в конец файлов для auth_login_1 - auth_login_9 и auth_login_14;
- усовершенствована логика аудита и исправлений для корректной идентификации и обновления только релевантных параметров для auth_login_10;
- аудит и исправление обновлены для применения изменений в XML-конфигурацию только при наличии пакета fly-dm для limit_policy_1;
- обработано наличие LibreOffice и исправлено поведение аудита и исправлений для статуса макросов в limit_safepolicy_6;
- исправлены аудит и исправление для проверки и применения политики на основе уровня защищенности ФСТЭК вместо жестко заданного значения для auth_lockuser_1;
- исправлен файл аудита для отчета о статусе соответствия и исправление для применения корректировок на основе уровня защищенности ФСТЭК для auth_passwdcomplexity_1;
- задачи аудита обновлены для получения статуса пакета fly-dm и выполнения задач аудита для требований соответствия ФСТЭК limit_safepolicy_4;
- исправлены ссылки на README, добавлены метаданные к ролям;
- исправлена проверка и настройка параметров sysctl в основных settings_1;
- исправлена логика аудита user_wireless_1;
- исправлена логика аудита user_block_2;
- исправлена логика аудита user_block_3;
- удалено пустое правило lockuser_1;
- исправлена логика аудита integrity_shedule_2;
- исправлена логика аудита и исправления integrity_shedule_1;
- исправлена логика аудита rotate_1;
- исправлена логика аудита и исправления rotate_2, rotate_5;
- исправлена логика аудита user_noauth_1;
- исправлена логика аудита и исправления user_noauth_2;
- добавлен шаблон для syslog-ng в audit_notify_1;
- исправлена логика аудита в user_noauth_3, user_mic_2, user_mic_3, user_mic_4, user_maxlogins_1, user_mac_1, user_mac_4, user_mac_5, user_filter_1, user_devices_1, user_devices_3;
- удалены исключенные правила из fstec_orders;
- исправлены опечатки в названиях задач;
- исправлена логика аудита auth_lockuser_4;
- исправлена генерация названия отчета;
- исправлена логика user_wireless_2;
- исправлена логика limit_policy_1``;
- исправлена логика auth_login_10;
- добавлено правило auth_sudo_1 в список отключенных правил;
- исправлена логика limit_safepolicy_9;
- удалена задача обновления операционных систем.
astra.nfs:
- добавлено ожидание готовности сервера.

Утилиты разработчика#

ansible-lint:

Исправлена проблема с отображением цветов в терминале с черным фоном.

ansible-navigator:

Исправлена проблема с отображением цветов в терминале с черным фоном.

ansible-creator:

Добавлен флаг --no-overwrite для предотвращения перезаписи существующих файлов.
Улучшена проверка допустимости имен коллекций при создании.
Исправлены проблемы с генерацией шаблонов для различных типов проектов.

ansible-builder:

Исправлены проблемы с отображением длинных строк в выходных данных команд.

Обновление на версию 2.0#

Возможны следующие варианты перехода на новую версию с предыдущей версии 1.2:

Side-by-side migration – параллельная миграция, обеспечивающая обновление версии с переносом компонентов платформы на другие узлы:
- минимальный простой (минуты) для переключения на новую версию;
- при необходимости – быстрый откат;
- позволяет полностью протестировать новую версию перед переводом рабочей нагрузки на нее;
- требуется временное удвоение ресурсов инфраструктуры.
Миграция в Kubernetes – современный вариант, обеспечивающий масштабируемость, высокую доступность и автоматическое восстановление при сбоях.

Требует наибольших инвестиций и квалификации команды, но обеспечивает долгосрочную готовность к будущим обновлениям платформы и эффективность использования ресурсов.

Критические изменения#

Предупреждение

Версия 2.0 содержит существенные архитектурные изменения, которые в зависимости от текущих настроек требуют после обновления на новую версию внесения изменений с помощью ручных операций. Невыполнение указанных действий приведет к неработоспособной системе.

Ограничения автоматической миграции прав доступа#

Механизм автоматической миграции имеет существенные ограничения, связанные с изменениями в модели RBAC версии 2.0.

Тип прав доступа	Автоматическая миграция	Требуемые действия
Роли пользователей на уровне организаций (Admin, Auditor, Member)	✅ Да	Не требуются
Права групп/команд на любые объекты	❌ Нет	Ручная перенастройка
Права пользователей на проекты	❌ Нет	Ручная перенастройка
Права пользователей на инвентари	❌ Нет	Ручная перенастройка
Права пользователей на шаблоны заданий	❌ Нет	Ручная перенастройка
Права пользователей на учетные данные	❌ Нет	Ручная перенастройка

Примечание

Рекомендации:

До обновления задокументируйте все привилегии, назначенные на критически важных пользователей и команды пользователей.
Запланируйте время на восстановление привилегий после миграции.
Подробная инструкция по миграции привилегий доступна в разделе Обновление на версию 2.0.

Перенастройка внешней аутентификации#

Управление внешними источниками аутентификации полностью перенесено в Platform Gateway.

Следующие настройки требуют изменений:

LDAP/Active Directory – параметры подключения и ассоциация групп (mapping);
SAML 2.0 – параметры IdP и атрибуты пользователей;
RADIUS – параметры подключения;
OAuth 2.0 – параметры провайдеров.

Последствия:

Связи пользователей с группами LDAP будут утеряны до перенастройки аутентификации в Platform Gateway.
Single Sign-On не будет работать до завершения настройки.
Пользователи не смогут войти через внешние источники до перенастройки.

После корректной настройки внешней аутентификации в Platform Gateway членство пользователей в командах восстановится автоматически при следующем входе их в систему.

Изменения в API#

Все URI точек доступа в API изменяются в связи с введением Platform Gateway как единой точки входа.

Компонент	Путь в версии 1.2	Путь в версии 2.0
Automation Controller	`/api/v2/...`	`/api/controller/v2/...`
Private Automation Hub	`/api/galaxy/...`	`/api/galaxy/...`
Event-Driven Automation	`/api/eda/...`	`/api/eda/...`
Platform Gateway (новое)	Не существовало	`/api/gateway/v1/...`

Недействительность токенов:

Все токены API, созданные в версии 1.2 для Controller, Hub или EDA, становятся недействительными.
Требуется генерация новых токенов через Platform Gateway API.
Необходимо обновить все скрипты и настройки интегрированных систем для использования новых URI и токенов API.

Детальная информация о миграции API доступна в описании миграции.

В версии 2.0 сохранена возможность обращения к API компонентов платформы напрямую, минуя Platform Gateway. Это может потребоваться в следующих случаях:

миграционный период при переходе с версии 1.2;
специализированные интеграции, требующие прямого доступа к функциям бэкенда;
legacy-приложения, которые не могут быть быстро адаптированы.

Предупреждение

При прямом доступе недоступны:

централизованная аутентификация (SSO),
единый RBAC,
балансировка нагрузки через Gateway.

Использование прямого доступа не рекомендуется и должно рассматриваться как временная мера.

Отсутствие миграции Event-Driven Automation#

В связи со значительными архитектурными улучшениями в EDA версии 2.0, автоматическая миграция данных не поддерживается. Не мигрируют автоматически следующие ресурсы:

проекты EDA;
правила (Rulebooks);
источники событий;
учетные данные EDA;
история событий.

Перед обновлением необходимо экспортировать все настройки и rulebooks. После обновления потребуется пересоздать объекты вручную в новой версии EDA.

Изменения в документации#

Произведены следующие наиболее существенные изменения в документации:

Явно выделены основные фазы жизненного цикла продукта. Следуя лучшим мировым практикам, они обозначены как:
- Day 0 – планирование и подготовка к развертыванию платформы;
- Day 1 – развертывание платформы;
- Day 2 – техническое обслуживание.
При описании платформы и в инструкциях учитываются модели развертывания – на виртуальных машинах и в кластере Kubernetes. Особенно явно это выделяется при описании упомянутых фаз жизненного цикла.

Контактная информация и поддержка#

Для получения дополнительной информации, поиска решения проблем и обращения в службу поддержки используйте официальные каналы Astra Automation.