Toistuva kitkapiste yhteisoperaatioissa ja koalitio-operaatioissa on irrotettu TAK-saari: Yksikkö Alpha käyttää omaa TAK Server -palvelintaan etualueen toiminnassaan, Yksikkö Bravo käyttää erillistä palvelinta kaksi portaata ylempänä, eikä kumpikaan näe toistensa jälkiä kartalla. TAK Server -federaatio on protokolla, joka ratkaisee tämän ongelman — se yhdistää kaksi tai useamman itsenäisen TAK Server -instanssin niin, että CoT-tapahtumavirrat kulkevat kaksisuuntaisesti rajan yli, antaen jokaiselle operaattorille yhtenäisen yhteisen operaatiokuvan (COP) ilman erillisten palvelinten yhdistämistä yhdeksi vikaantumispisteeksi. Tämä opas kattaa koko federaatiopolun: arkkitehtuuripäätökset, CloudTAK REST API -konfiguraation, perinnön TAK Server XML -konfiguraation, ryhmä- ja CoT-tyyppifiltterit, keskinäinen TLS -turvallisuuden sekä systemaattisen testausmenetelmän jälkien oikean välityksen varmistamiseksi.

Mitä TAK Server -federaatio on ja miksi sillä on merkitystä

Federaatio on palvelin-palvelin-protokolla, joka toimii TCP-portissa 9000 keskinäisen TLS:n kanssa. Kun kaksi TAK-palvelinta on yhdistetty federaatiolla, kumpikin välittää valitut CoT-tapahtumat toiselle — antaen molempien palvelinten operaattoreille yhteisen operaatiokuvan ilman asiakaspuolen konfigurointimuutoksia.

  • Monitasoinen käyttöönotto — etulinjan komppanian palvelin ja taaempana oleva pataljoonan palvelin jakavat tilannetietoisuuden ilman yhdistymistä.
  • Koalitio-operaatiot — erilliset hallinnolliset viranomaiset jakavat valittuja jälkiä organisaatiorajojen yli.
  • Vikasietoisuus — federaatio palautuu automaattisesti, kun yhteys palaa palvelinvian jälkeen.
  • Kaistanleveyden hallinta — filtterit päästävät läpi vain operatiivisesti oleelliset CoT-tyypit rajoitetuissa yhteyksissä.

Federaatioarkkitehtuuri: vertaisverkko vs. tähtiverkko

Vertaisverkko luo O(n²) yhteydet kaikkien palvelinten välille. Tähtiverkko yhdistää kaikki palvelimet keskussolmuun, tarviten vain yhden yhteyden kustakin haarasta. Tähtiverkko on yleisesti suositeltava kolmelle tai useammalle palvelimelle — yksinkertaisempi konfiguroida, helpompi vianmääritykseen, yhden lisä-federaatiohypyn hinnalla.

CloudTAK-federaation konfigurointi

curl -s -X POST https://tak.yourdomain.com:8443/api/federation \
  -H "Authorization: Bearer $ADMIN_TOKEN" \
  -H "Content-Type: application/json" \
  -d '{
    "name": "BN-TAK-Server",
    "address": "tak.battalion.mil",
    "port": 9000,
    "protocol": "tls",
    "ca_cert": "/ssl/remote-ca.pem",
    "bidirectional": true,
    "enabled": true
  }'

Vaihtoehtoisesti voit määritellä yhteydet deklaratiivisesti federation.json-tiedostossa, joka liitetään konttiin polkuun /app/config/federation.json.

Perinnön TAK Server -federaation konfigurointi

Ota federaation kuuntelija käyttöön CoreConfig.xml-tiedostossa asetuksella v2Enabled="true" portissa 9000. Määrittele lähtevät vertaisyhteydet federation-server.xml-tiedostossa. Tuo etä-CA federaation JKS-luottamusvarastoon komennolla keytool -import ja käynnistä palvelu uudelleen.

Suodatus: federaatiorajan ylittävän liikenteen hallinta

Salli a-f- (ystävällinen), a-n- (neutraali) ja t-x-m-c (chat) oletuksena; estä b- (anturisyötteet). Käytä ryhmäsuodattimia hallitaksesi, mitkä joukkueiden jäljet ylittävät rajan.

Turvallisuus: keskinäinen TLS, sertifikaattien kiinnitys ja peruutus

Turvallisuuden perustaso: Jokaisen operatiivisen federaatioyhteyden on käytettävä keskinäistä TLS:ää. Älä koskaan ota federaatiota käyttöön itseallekirjoitetuilla sertifikaateilla, ellei verkkoyhteyspolku ole fyysisesti eristetty.

CloudTAK ottaa mTLS:n automaattisesti käyttöön, kun ca_cert on annettu. Perinnön TAK Server vaatii clientAuth="need". Kiinnitä etä-CA:n sormenjälki: openssl x509 -in remote-ca.pem -noout -fingerprint -sha256.

Federaation testaus

Injektoi synteettinen a-f-G-U-C CoT-tapahtuma Palvelimelle A ja varmista, että kutsunimi näkyy Palvelimeen B yhdistetylle asiakkaalle 2–3 sekunnin kuluessa. Vahvista nollasta poikkeavat events_forwarded -arvot komennolla GET /api/federation.

Yleiset ongelmat

„Connecting" loputtomasti: tarkista portti 9000 komennolla openssl s_client -connect remote-server:9000.

Yhdistetty mutta ei jälkiä: yli 5 minuutin kellonero aiheuttaa CoT-tapahtumien saapumisen vanhentuneina. Synkronoi NTP molemmissa palvelimissa.

Protokollaversioepäsuhta: varmista, että perinnön TAK Server 4.8+ käyttää Federaatio v2:ta.

NAT-yhteyskatkokset: aseta "keepalive_seconds": 60 CloudTAK-federaation vertaismäärityksessä.

Aiheeseen liittyvää: CloudTAK Server -käyttöönottoopas · ATAK-lisäosien kehittäminen · SIEM/SOAR-integraatio sotilasverkkoihin.