¶ Введение
Архитектура DION предусматривает возможность переноса части сервисов, отвечающих за обработку медиа трафика, на площадку организации. Остальные сервисы продолжают работать в облаке DION. Это позволяет отвечать повышенным требованиям информационной безопасности и экономить локальные ресурсы по сравнению с полной on-premise установкой. Сервисы, установленные локально, называются гибридными нодами.
В гибридном сценарии связь гибридных нод с облаком DION является обязательным условием для работы конференций, так как в облако передаются сигнальная информация и управляющие команды.
Все гибридные компоненты, доступные к установке, можно разделить на группы по функциональному назначению:
- служебные: dion-proxy необходим для всех задач
- проведение конференций внутри контура
- создание записей конференций внутри контура
- SIP звонки внутри контура
- видеопортал DION Video с хранением видео внутри контура
¶ Конференции
При наличии гибридных нод можно выбирать, на каких медиа-серверах будет проводиться конференция: в облаке или локально. Можно принудительно проводить локально все конференции, либо разрешить пользователю выбор из интерфейса личного кабинета.
При проведении конференций в гибриде медиа-трафик конфренции не покидает сеть организации и не проходит через облако DION. В облако отправляются только управляющие команды от сервисов и от пользователей, которые не содержат конфиденциальную информацию.
¶ Запись
Гибридные конференции являются конфиденциальными и не могут быть записаны при помощи облачных сервисов записи. Облачные сервисы записи обрабатывают медиа-трафик конференций в облаке, что недопустимо с точки зрения информационной безопасности. Поэтому для записи гибридных конференций необходимо развернуть гибридные сервисы записи.
Все записи, созданные локально, сохраняются на локальном хранилище S3 и недоступны на облачном портале DION Video. Пользователь может скачать запись по ссылке.
.jpg)
¶ SIP звонки внутри контура
Если компоненты SIP не развернуты в гибридном варианте, как описано в данном руководстве, все SIP звонки, включая звонки с устройств, расположенных в контуре компании, проходят через облако. При этом медиа трафик от SIP устройств не шифруется. Этот вариант полностью поддерживается со стороны DION, но не всегда удовлетворяет требованиям информационной безопасности.
При наличии гибридных нод SIP трафик звонков в гибридные конференции замыкается внутри контура безопасности компании. Трафик в сторону облачных конференций DION передается в защищенном канале по протоколу SRTP, что исключает угрозу перехвата трафика.
Кроме того, наличие гибридного SIP позволяет совершать вызовы в облачные конференции DION даже при отсутствии в SIP инфраструктуре компании элемента, выполняющего роль SBC (Session Border Controller), либо устройства NAT с поддержкой SIP ALG.
.jpg)
¶ Видеопортал DION Video
При развертывании DION Video в гибридном варианте появляется локальный экземпляр видеопортала. Все загружаемые туда видео файлы хранятся в локальном S3-хранилище. На портале также доступны записи гибридных конференций, если развернуты сервисы записи. Весь облачный контент можно посмотреть на локальном портале, но не наоборот.
Для направления локальных пользователей на локальный видео-портал, необходимо прописать соответствующие имена на корпоративном DNS-сервере.
В гибридном варианте реализации видеопортала все сопроводительные данные к видео файлам, каналам и плейлистам, такие как название, описание, комментарии, таймкоды, хранятся в базе данных на стороне облачного DION. Сами видео файлы — в локальном S3. При этом перед отправкой в облако вся информация шифруется ключом, который генерируется на основе информации из KMS (на данный момент поддерживается сервис HashiCorp Vault) на стороне компании. Перед шифрованием данных все пользовательские запросы в облако могут быть перенаправлены на DLP компании.
