Разгортванне офісных працоўных месцаў Zextras/Zimbra у Яндэкс.Хмара

Увядзенне

Аптымізацыя офіснай інфраструктуры і разгортванне новых працоўных месцаў - сур'ёзная праблема для кампаній усіх тыпаў і памераў. Аптымальным варыянтам для новага праекту з'яўляецца арэнда рэсурсаў у воблаку і набыццё ліцэнзій, якія можна выкарыстоўваць як у правайдэра, так і ва ўласным ЦАД. Адным з рашэнняў для такога сцэнара з'яўляецца Zextras Suite, які дазваляе стварыць платформу для сумеснай працы і карпаратыўных камунікацый прадпрыемства як у хмарным асяроддзі, так і на сваёй інфраструктуры.

Рашэнне разлічана на офісы любога памеру і мае два асноўных сцэнара разгортвання: пры наяўнасці да 3000 тысяч паштовых скрынь і адсутнасці высокіх патрабаванняў да адмоваўстойлівасці, можна выкарыстоўваць усталёўку ў варыянце single-server, а варыянт усталёўкі multi-server падтрымлівае надзейную і спагадную працу дзясяткаў і сотняў тысяч паштовых скрынь. Ва ўсіх выпадках карыстач атрымлівае доступ да пошты, дакументам і паведамленням праз адзіны вэб-інтэрфейс з працоўнага месца з любой АС без усталёўкі і налады дадатковага ПЗ, або праз мабільныя прыкладанні для iOS і Android. Магчыма выкарыстанне звыклых кліентаў Outlook і Thunderbird.

Для разгортвання праекта партнёр Zextras - СВЗ абраў Яндэкс.Хмара, бо яго архітэктура аналагічная AWS і маецца падтрымка S3 сумяшчальнага сховішча, што дазволіць зрабіць таннейшым кошт захоўвання вялікага аб'ёму пошты, паведамленняў і дакументаў і павысіць адмоваўстойлівасць рашэння.

У асяроддзі Яндэкс.Хмара для ўстаноўкі single-server выкарыстоўваюцца базавыя сродкі кіравання віртуальнымі машынамі. Compute Cloud і магчымасці кіравання віртуальнымі сеткамі Virtual Private Cloud. Для multi-server усталёўкі ў дадатак да паказаных сродкаў неабходна выкарыстоўваць тэхналогіі "Груп размяшчэння", пры неабходнасці (у залежнасці ад маштабу сістэмы) – таксама і "Instance Groups", і сеткавы балансавальнік Yandex Load Balancer.

S3-сумяшчальнае аб'ектнае сховішча Yandex Object Storage можа выкарыстоўвацца ў абодвух варыянтах усталёўкі, а таксама можа быць падлучана да сістэм, разгорнутым on-premise для эканомнага і адмоваўстойлівага захоўвання дадзеных паштовага сервера ў Яндекс.Облаке.

Для single-server усталёўкі, у залежнасці ад колькасці карыстачоў і/ці паштовых скрынь, патрабуецца: для асноўнага сервера 4-12 vCPU, 8-64 GB vRAM (канкрэтныя значэнні vCPU і vRAM залежаць ад колькасці паштовых скрынь і фактычнай нагрузкі), не меней 80 GB дыска для аперацыйнай сістэмы і прыкладанняў, а таксама дадатковая дыскавая прастора для захоўвання пошты, індэксаў, логаў і да т.п., якое залежыць ад колькасці і сярэдняга памеру паштовых скрынь і якое можа дынамічна змяняцца падчас эксплуатацыі сістэмы; для дапаможных сервераў Docs: 2-4 vCPU, 2-16 GB vRAM, 16 GB дыскавай прасторы (канкрэтныя значэнні рэсурсаў і колькасць сервераў залежаць ад фактычнай нагрузкі); дадаткова можа запатрабавацца сервер TURN/STUN (яго неабходнасць як асобнага сервера і рэсурсы залежаць ад фактычнай нагрузкі). Для multi-server усталёвак колькасць і прызначэнне ролевых віртуальных машын і вылучаныя ім рэсурсы вызначаюцца індывідуальна ў залежнасці ад патрабаванняў карыстача.

Мэта артыкула

Апісанне разгортвання ў асяроддзі Яндэкс.Хмара прадуктаў Zextras Suite на базе паштовага сервера Zimbra у варыянце ўстаноўкі single-server. Атрыманая ўсталёўка можа быць скарыстана ў прадуктыўным асяроддзі (вопытныя карыстачы могуць зрабіць неабходныя налады і дадаць рэсурсы).

У склад сістэмы Zextras Suite/Zimbra уваходзяць:

• Zimbra - карпаратыўная электронная пошта з магчымасцю дзяліцца паштовымі скрынямі, календарамі і спісамі кантактаў (адраснымі кнігамі).
• Zextras Docs - убудаваны офісны пакет на базе LibreOffice online для стварэння і сумеснай працы з дакументамі, табліцамі, прэзентацыямі.
• Zextras Drive – індывідуальнае файлавае сховішча, якое дазваляе рэдагаваць, захоўваць і дзяліцца з іншымі карыстальнікамі файламі і тэчкамі.
• Zextras Team - мэсанджар з падтрымкай аўдыё-і відэаканферэнцый. Даступныя версіі Team Basic, якая дазваляе толькі камунікацыі 1:1, і Team Pro, якая падтрымлівае шматкарыстальніцкія канферэнцыі, каналы, магчымасць дэманстрацыі экрана, абмену файламі і іншыя функцыі.
• Zextras Mobile – падтрымка мабільных прылад праз Exchange ActiveSync для сінхранізацыі пошты з мабільнымі прыладамі з функцыямі кіравання MDM (Mobile Device Management). Дазваляе выкарыстоўваць Microsoft Outlook у якасці паштовага кліента.
• Zextras Admin – рэалізацыя мультытэнантнага адміністравання сістэмы з дэлегаваннем адміністратараў для кіравання групамі кліентаў і класамі сэрвісаў.
• Zextras Backup -рэзерваванне і аднаўленне дадзеных поўнага цыклу ў рэжыме рэальнага часу
• Zextras Powerstore - іерархічнае сховішча аб'ектаў паштовай сістэмы з падтрымкай класаў апрацоўкі дадзеных, з магчымасцю захоўвання дадзеных лакальна або ў хмарных сховішчах архітэктуры S3, уключаючы Yandex Object Storage.

Па заканчэнні ўстаноўкі карыстальнік атрымлівае працуючую ў асяроддзі Яндэкс.Хмара сістэму.

Умовы і абмежаванні

1. Не апісваецца вылучэнне дыскавай прасторы для паштовых скрынь, азначнікаў і іншых тыпаў дадзеных, т. да. Zextras Powerstore падтрымлівае розныя тыпы сховішчаў. Тып і памер сховішчаў залежаць ад задач і параметраў сістэмы. Пры неабходнасці гэта можа быць зроблена пазней падчас перакладу апісанай усталёўкі ў прадуктыўную.
2. Для спрашчэння ўстаноўкі не разглядаецца выкарыстанне кіраванага адміністратарам DNS сервера для дазволу ўнутраных (непублічных) даменных імёнаў, выкарыстоўваецца стандартны DNS-сервер Яндэкс.Аблокі. Пры выкарыстанні ў прадуктыўным асяроддзі рэкамендуецца выкарыстоўваць DNS-сервер, магчыма, ужо ёсць у карпаратыўнай інфраструктуры.
3. Мяркуецца, што выкарыстоўваецца ўліковы запіс у Яндэкс.Хмара з наладамі па змаўчанні (у прыватнасці, пры ўваходзе ў «Кансоль» сэрвісу існуе толькі каталог (у спісе «Даступныя аблокі» пад імем default). Карыстальнікі, знаёмыя з працай у Яндэкс.Воблака, могуць па сваім меркаванні, стварыць асобны каталог для тэставага стэнда, ці выкарыстоўваць наяўны.
4. У карыстача павінна быць публічная зона DNS, да якой у яго павінен быць адміністрацыйны доступ.
5. У карыстальніка павінен быць доступ да каталога ў «Кансалі» Яндэкс.Хмара прынамсі з роляй «editor» (ва «Уладальніку воблака» ўсе неабходныя правы ёсць па змаўчанні, для прадастаўлення доступу іншым карыстальнікам да воблака ёсць кіраўніцтва: раз, два, 3)
6. У дадзеным артыкуле не апісваецца ўстаноўка карыстацкіх X.509 сертыфікатаў, якія выкарыстоўваюцца для абароны сеткавых камунікацый з дапамогай механізмаў TLS. Па канчатку ўсталёўкі будуць скарыстаны самападпісаныя сертыфікаты, што дазваляе выкарыстоўваць браўзэры для доступу да ўсталяванай сістэмы. Яны як правіла выводзяць апавяшчэнне аб адсутнасці ў сервера верыфікаванага сертыфіката, але дазваляюць працягнуць працу. Да ўсталёўкі верыфікаваных кліенцкімі прыладамі сертыфікатаў (падпісаных публічнымі і/або карпаратыўнымі якія сведчаць цэнтрамі) з усталяванай сістэмай могуць не працаваць прыкладанні для мабільных прылад. Таму ўстаноўка названых сертыфікатаў у прадуктыўным асяроддзі неабходна, і праводзіцца пасля завяршэння тэсту ў адпаведнасці з карпаратыўнымі палітыкамі бяспекі.

Апісанне працэсу ўсталёўкі сістэмы Zextras / Zimbra у варыянце "single-server"

1. Папярэдняя падрыхтоўка

Перад пачаткам усталёўкі неабходна забяспечыць:

а) Унясенне змен у публічную DNS зону (стварэнне A-запісы для сервера Zimbra і MX-запісы для абслугоўванага паштовага дамена).
б) Настройку віртуальнай сеткавай інфраструктуры ў Яндэкс.Хмара.

Пры гэтым, пасля занясення змен у зону DNS, неабходны некаторы час на распаўсюджванне гэтых змен, але, з іншага боку, нельга стварыць A-запіс, не ведаючы IP-адрасы, з ёй злучанага.

Таму дзеянні робяцца ў наступнай паслядоўнасці:

1. Зарэзерваваць публічны IP-адрас у Яндэкс.Хмара

1.1 У «Кансалі Яндэкс.Аблокі» (пры неабходнасці выбраўшы каталак у «даступныя аблокі») зайсці ў раздзел Virtual Private Cloud, падраздзел IP-адрасы, пасля чаго націснуць кнопку «Зарэзерваваць адрас», абраць упадабаную зону даступнасці (ці пагадзіцца з прапанаваным значэннем; гэтая зона даступнасці пасля павінна выкарыстоўвацца для ўсіх апісваных у далейшым дзеянняў у Яндэкс.Хмара, калі на адпаведных формах ёсць магчымасць выбару зоны даступнасці), у якое адкрылася дыялогавым акне, пры жаданні можна, але не абавязкова, абраць опцыю «Абарона ад DDoS», і націснуць кнопку «Зарэзерваваць» (гл. таксама дакументацыю).

Пасля закрыцця дыялогу ў спісе IP-адрасоў будзе даступны выдзеленых сістэмай статычны IP-адрас, які можна скапіяваць і выкарыстоўваць на наступным кроку.

1.2 У "прамой" зоне DNS зрабіць A-запіс для сервера Zimbra, якая паказвае на вылучаны раней IP-адрас, A-запіс для сервера TURN, якая паказвае на той жа самы IP-адрас, і MX-запіс для абслугоўванага паштовага дамена. У нашым прыкладзе гэта будуць mail.testmail.svzcloud.ru (сервер Zimbra), turn.testmail.svzcloud.ru (сервер TURN), і testmail.svzcloud.ru (паштовы дамен) адпаведна.

1.3 У Яндекс.Хмара ў абранай зоне даступнасці для падсеткі, якая будзе выкарыстоўвацца для разгортвання віртуальных машын, уключыць NAT у Інтэрнет.

Для гэтага ў падзеле Virtual Private Cloud, падраздзел «Хмарныя сеткі», абраць адпаведную хмарную сетку (па змаўчанні там даступная толькі сетка default), у ёй абраць адпаведную зону даступнасці і ў яе налада абраць пункт «Уключыць NAT у інтэрнэт».

Статус зменіцца ў спісе падсетак:

Падрабязней гл. у дакументацыі: раз и два.

2. Стварэнне віртуальных машын

2.1. Стварэнне віртуальнай машыны для Zimbra

Паслядоўнасць дзеянняў:

2.1.1 У «Кансалі Яндэкс.Аблокі» зайсці ў раздзел Compute Cloud, падраздзел «Віртуальныя машыны», націснуць кнопку «Стварыць ВМ» (падрабязней аб стварэнні ВМ гл. дакументацыю).

2.1.2 Там неабходна задаць:

• Імя – адвольна (у адпаведнасці з фарматам, які падтрымліваецца Яндэкс.Аблокам)
• Зона даступнасці - павінна адпавядаць раней абранай для віртуальнай сеткі.
• У «Публічныя вобразы» абраць Ubuntu 18.04 lts
• У дысках усталяваць загрузную кружэлку памерам не меней 80ГБ. Для тэставых мэт дастаткова тыпу HDD (і таксама для прадуктыўнага выкарыстання пры ўмове вынясення некаторых тыпаў дадзеных на дыскі тыпу SSD). Пры неабходнасці дадатковыя дыскі можна будзе дадаць пасля стварэння ВМ.

У "вылічальных рэсурсах" задаць:

• vCPU: не менш за 4-х.
• Гарантаваная доля vCPU: на час выканання апісваных у артыкуле дзеянняў не меней 50%, пасля канчатка ўсталёўкі, пры неабходнасці, можна будзе паменшыць.
• RAM: рэкамендуецца 8ГБ.
• Падсетка: абраць падсетку, для якой на этапе папярэдняй падрыхтоўкі быў уключаны NAT у Інтэрнэт.
• Публічны адрас: выбраць са спісу IP-адрас, раней скарыстаных для стварэння A-запісы ў DNS.
• Карыстальнік: па сваім меркаванні, але выдатны ад карыстача root і ад сістэмных уліковых запісаў Linux.
• Абавязкова трэба задаць публічны (адкрыты) SSH-ключ.

→ Больш падрабязна аб выкарыстанні SSH

Глядзіце таксама Дадатак 1. Стварэнне ключоў SSH у openssh і putty і канвертаванне ключоў з фармату putty у openssh.

2.1.3 Па канчатку налады націснуць «Стварыць ВМ».

2.2. Стварэнне віртуальнай машыны для Zextras Docs

Паслядоўнасць дзеянняў:

2.2.1 У «Кансалі Яндэкс.Аблокі» зайсці ў раздзел Compute Cloud, падраздзел «Віртуальныя машыны», націснуць кнопку «Стварыць ВМ» (падрабязней аб стварэнні ВМ гл. тут).

2.2.2 Там неабходна задаць:

• Імя – адвольна (у адпаведнасці з фарматам, які падтрымліваецца Яндэкс.Аблокам)
• Зона даступнасці - павінна адпавядаць раней абранай для віртуальнай сеткі.
• У «Публічныя вобразы» абраць Ubuntu 18.04 lts
• У дысках усталяваць загрузную кружэлку памерам не меней 80ГБ. Для тэставых мэт дастаткова тыпу HDD (і таксама для прадуктыўнага выкарыстання пры ўмове вынясення некаторых тыпаў дадзеных на дыскі тыпу SSD). Пры неабходнасці дадатковыя дыскі можна будзе дадаць пасля стварэння ВМ.

У "вылічальных рэсурсах" задаць:

• vCPU: не менш за 2-х.
• Гарантаваная доля vCPU: на час выканання апісваных у артыкуле дзеянняў не меней 50%, пасля канчатка ўсталёўкі, пры неабходнасці, можна будзе паменшыць.
• RAM: не менш за 2ГБ.
• Падсетка: абраць падсетку, для якой на этапе папярэдняй падрыхтоўкі быў уключаны NAT у Інтэрнэт.
• Публічны адрас: без адраса (да дадзенай машыны не патрабуецца доступ з Інтэрнэту, толькі выходны доступ з гэтай машыны ў Інтэрнэт, які забяспечваецца опцыяй «NAT у Інтэрнэт» падсеткі).
• Карыстальнік: па сваім меркаванні, але выдатны ад карыстача root і ад сістэмных уліковых запісаў Linux.
• Абавязкова трэба задаць публічны (адкрыты) SSH-ключ, можна той жа самы, што і для сервера Zimbra, можна згенераваць асобную ключавую пару, т. к. зачынены ключ для сервера Zextras Docs запатрабуецца змясціць на дыск сервера Zimbra.

Глядзіце таксама Дадатак 1. Стварэнне ключоў SSH у openssh і putty і канвертаванне ключоў з фармату putty ў openssh.

2.2.3 Па канчатку налады націснуць «Стварыць ВМ».

2.3 Створаныя віртуальныя машыны будуць даступныя ў спісе віртуальных машын, дзе адлюстроўваецца, у прыватнасці, іх статут і выкарыстоўваныя IP-адрасы, як публічныя, так і ўнутраныя. Інфармацыя пра IP-адрасы запатрабуецца на наступных кроках усталёўкі.

3. Падрыхтоўка сервера Zimbra да ўсталёўкі

3.1 Ўстаноўка абнаўленняў

Неабходна зайсці на сервер Zimbra па яго публічным IP-адрасу пасродкам упадабанага вамі ssh-кліента з выкарыстаннем зачыненага (прыватнага, прыватнага) ключа ssh і выкарыстаючы імя карыстача, зададзенага пры стварэнні віртуальнай машыны.

Пасля ўваходу выканаць каманды:

sudo apt update
sudo apt upgrade

(пры выкананні апошняй каманды адказаць "y" на пытанне аб тым, ці ўпэўненыя вы ва ўсталёўцы прапанаванага спісу абнаўленняў)

Пасля ўсталёўкі абнаўленняў можна (але не абавязкова) выканаць каманду:

sudo apt autoremove

І ў завяршэнні кроку выканаць каманду

sudo shutdown –r now

3.2 Даўстаноўка прыкладанняў

Неабходна ўсталяваць NTP-кліент для сінхранізацыі сістэмнага часу і дадатак screen наступнай камандай:

sudo apt install ntp screen

(пры выкананні апошняй каманды адказаць "y" на пытанне аб тым, ці ўпэўненыя вы ва ўсталёўцы прыкладаемага спісу пакетаў)

Таксама можна ўсталяваць дадатковыя ўтыліты для зручнасці адміністратара. Напрыклад, Midnight Commander можа быць усталяваны камандай:

sudo apt install mc

3.3. Змяненне сістэмнай канфігурацыі

3.3.1 У файле /etc/cloud/cloud.cfg.d/95-yandex-cloud.cfg змяніць значэнне параметру manage_etc_hosts c праўда на ілжывы.

Нататка: рэдактар ​​для змены гэтага файла трэба запускаць з правамі карыстача root, напрыклад, “sudo vi /etc/cloud/cloud.cfg.d/95-yandex-cloud.cfg” ці, калі ўсталяваны пакет mc, можна выкарыстоўваць каманду «sudo mcedit /etc/cloud/cloud.cfg.d/95-yandex-cloud.cfg»

3.3.2 Адрэдагаваць / Etc / хастоў наступным чынам, замяніўшы ў радку, вызначальнай FQDN хаста, адрас з 127.0.0.1 на ўнутраны IP-адрас гэтага сервера, а імя – з поўнага імя ў зоне .internal на публічнае імя сервера, паказанае раней у A-запісы зоны DNS, і адпаведным выявай змяніўшы кароткае імя хаста (калі яно адрозніваецца ад кароткага імя хаста з A-запісы публічнага DNS).

Напрыклад, у нашым выпадку файл hosts меў выгляд:

Пасля рэдагавання ён прыняў выгляд:

Нататка: рэдактар ​​для змены гэтага файла трэба запускаць з правамі карыстача root, напрыклад, “sudo vi /etc/hosts” ці, калі ўсталяваны пакет mc, можна выкарыстоўваць каманду «sudo mcedit /etc/hosts»

3.4 Задаць пароль карыстальніка

Гэта неабходна ў сувязі з тым, што ў далейшым будзе ажыццяўляцца настройка файрвола, і ў выпадку ўзнікнення якіх-небудзь праблем з ім, пры наяўнасці ў карыстальніка пароля, можна будзе зайсці на віртуальную машыну з выкарыстаннем серыяльнай кансолі з вэб-кансолі Яндекс.Воблако і адключыць файрвол і/або выправіць памылку. Пры стварэнні віртуальнай машыны карыстач не мае пароля, і таму доступ магчымы толькі па SSH з выкарыстаннем аўтэнтыфікацыі па ключах.

Для задання пароля неабходна выканаць каманду:

sudo passwd <имя пользователя>

Напрыклад, у нашым выпадку гэта будзе каманда.sudo passwd user».

4. Усталёўка Zimbra і Zextras Suite

4.1. Запампоўванне дыстрыбутываў Zimbra і Zextras Suite

4.1.1 Спампоўка дыстрыбутыва Zimbra

Паслядоўнасць дзеянняў:

1) Зайсці браўзэрам па URL www.zextras.com/download-zimbra-9 і запоўніце форму. Вам прыйдзе ліст са спасылкамі на загрузку Zimbra для розных АС.

2) Выбраць актуальную версію дыстрыбутыва для платформы Ubuntu 18.04/XNUMX LTS і скапіяваць спасылку

3) Спампаваць дыстрыбутыў Zimbra на сервер Zimbra і распакаваць яго. Для гэтага ў ssh-сеансе на сэрвэры zimbra выканаць каманды

cd ~
mkdir zimbra
cd zimbra
wget <url, скопированный на предыдущем шаге>
tar –zxf <имя скачанного файла>

(у нашым прыкладзе гэта “tar –zxf zcs-9.0.0_OSE_UBUNTU18_latest-zextras.tgz»)

4.1.2 Запампоўванне дыстрыбутыва Zextras Suite

Паслядоўнасць дзеянняў:

1) Зайсці браўзэрам па URL www.zextras.com/download

2) Запоўніць форму, увёўшы неабходныя дадзеныя, і націснуць кнопку "DOWNLOAD NOW"

3) Адкрыецца старонка для запампоўкі

На ёй ёсць два цікавыя для нас URL: адзін уверсе старонкі для самога Zextras Suite, які будзе неабходны нам цяпер, а іншы ўнізе ў блоку Docs Server для Ubuntu 18.04 LTS, які спатрэбіцца пазней для ўсталёўкі Zextras Docs на ВМ для Docs.

4) Спампаваць дыстрыбутыў Zextras Suite на сервер Zimbra і распакаваць яго. Для гэтага ў ssh-сеансе на сэрвэры zimbra выканаць каманды

cd ~
mkdir zimbra
cd zimbra

(калі пасля папярэдняга кроку не змянялася бягучая дырэкторыя - каманды вышэй можна не выконваць)

wget http://download.zextras.com/zextras_suite-latest.tgz
tar –zxf zextras_suite-latest.tgz

4.2. Інсталяцыя Zimbra

паслядоўнасць дзеянняў

1) Перайсці ў дырэкторыю, у якую распакаваліся файлы на кроку 4.1.1 (можна прагледзець камандай ls, знаходзячыся ў дырэкторыі ~/zimbra).

У нашым прыкладзе гэта будзе:

cd ~/zimbra/zcs-9.0.0_OSE_UBUNTU18_latest-zextras/zimbra-installer

2) Запусціць усталёўку Zimbra камандай

sudo ./install.sh

3) Адказваем на пытанні ўсталёўніка

На пытанні ўсталёўніка можна адказваць "y" (адпавядае "так"), "n" (адпавядае "не") або пакінуць прапанову ўсталёўніка без змен (ён прапануе варыянты, адлюстроўваючы іх у квадратных дужках, напрыклад, "[Y]" ці " [N]”.

Як вы ідзяце з часамі software license agreement? - так.

Use Zimbra's package repository? – па змаўчанні (так).

"Install zimbra-ldap?»,«Install zimbra-logger?»,«Install zimbra-mta?” – па змаўчанні (так).

Install zimbra-dnscache? – не (у аперацыйнай сістэме па змаўчанні ўключаны свой які кэшуе DNS сервер, таму ў гэтага пакета будзе з ім канфлікт з-за выкарыстоўваных партоў).

Install zimbra-snmp? - па жаданні, можна пакінуць варыянт па змаўчанні (так), можна не ўсталёўваць гэты пакет. У нашым прыкладзе пакінуты варыянт па змаўчанні.

"Install zimbra-store?»,«Install zimbra-apache?»,«Install zimbra-spell?»,«Install zimbra-memcached?»,«Install zimbra-proxy?” – па змаўчанні (так).

Install zimbra-snmp? - не (пакет фактычна не падтрымліваецца і функцыянальна замяняецца Zextras Drive).

Install zimbra-imapd? – па змаўчанні (не).

Install zimbra-chat? - не (функцыянальна замяняецца Zextras Team)

Пасля чаго ўсталёўнік спытае, ці працягваць усталёўку?

Адказваем "так" калі можна працягваць, інакш адказваем "не" і атрымліваем магчымасць змяніць адказы на раней зададзеныя пытанні.

Пасля згоды на працяг усталёўнік выканае ўсталёўку пакетаў.

4). Адказваем на пытанні першаснага канфігуратара

4.1) Паколькі ў нашым прыкладзе адрозніваюцца DNS-імя паштовага сервера (імя A-запісы) і імя абслугоўванага паштовага дамена (імя MX-запісы), канфігуратар выводзіць папярэджанне і прапануе задаць імя абслугоўванага паштовага дамена. Згаджаемся з яго прапановай і ўводзім імя MX-запісы. У нашым прыкладзе гэта выглядае наступным чынам:

Нататка: задаць абслугоўванага паштовага дамена выдатным ад імя сервера можна і ў тым выпадку, калі для імя сервера ёсць аднайменны MX-запіс.

4.2) Канфігуратар адлюстроўвае асноўнае меню.

Нам неабходна задаць пароль адміністратара Zimbra (пункт меню 6 у нашым прыкладзе), без якога немагчыма працяг усталёўкі, і змяніць наладу zimbra-proxy (пункт меню 8 у нашым прыкладзе; пры неабходнасці гэтую наладу можна змяніць і пасля ўсталёўкі).

4.3) Змяненне налад zimbra-store

У запрашэнне канфігуратара ўводны нумар пункта меню і націсканы Enter. Пападаем у меню налады сховішча:

дзе ў запрашэнні канфігуратара ўводны нумар пункта меню Admin Password (у нашым прыкладзе 4), націсканы Enter, пасля чаго канфігуратар прапануе выпадкова згенераваны пароль, з якім можна пагадзіцца (запомніўшы яго) або ўвесці свой. У абодвух выпадках у канцы трэба націснуць Enter, пасля чаго з пункта "Admin Password" будзе зняты маркер чакання ўводу інфармацыі ад карыстальніка:

Вяртаемся ў папярэдняе меню (пагаджаемся з прапановай канфігуратара).

4.4) Змяненне налад zimbra-proxy

Па аналогіі з папярэднім крокам, у галоўным меню выбіраемы нумар пункта "zimbra-proxy" і ўводны яго ў запрашэнне канфігуратара.

У якое адкрылася меню Proxy configuration выбіраемы нумар пункта «Proxy server mode» і ўводны яго ў запрашэнне канфігуратара.

Канфігуратар прапануе абраць адзін з рэжымаў, уводны ў яго запрашэнне "redirect" і націсканы Enter.

Пасля чаго вяртаемся ў асноўнае меню (пагаджаемся з прапановай канфігуратара).

4.5) Запуск канфігурацыі

Для запуску канфігурацыі ўводны «a» у запрашэнне канфігуратара. Пасля чаго ён спытае, ці захаваць уведзеную канфігурацыю ў файл (які можна выкарыстоўваць для паўторнай усталёўкі) – можна пагадзіцца з прапановай па змаўчанні, калі захаванне будзе выраблена – спытае, у якім файле захаваць канфігурацыю (таксама можна пагадзіцца з прапановай па змаўчанні ці ўвесці сваё імя файла).

На дадзеным этапе яшчэ можна адмовіцца ад працягу і занесці змены ў канфігурацыю, пагадзіўшыся з адказам па змаўчанні на пытанне "The system will be modified - continue?".

Для пачатку ўсталёўкі на гэтае пытанне неабходна адказаць "Yes", пасля чаго канфігуратар будзе некаторы час ужываць уведзеныя раней налады.

4.6) Завяршэнне ўсталёўкі Zimbra

Перад завяршэннем усталёўнік спытае, апавяшчаць ці Zimbra аб вырабленай усталёўцы? Можна як пагадзіцца з прапановай па змаўчанні, так і адмовіцца (адказаўшы "No") ад апавяшчэння.

Пасля чаго ўсталёўнік яшчэ некаторы час будзе праробліваць завяршальныя аперацыі і выведзе апавяшчэнне аб завяршэнні канфігуравання сістэмы з прапановай націснуць любую клавішу для выйсця з усталёўніка.

4.3. Усталёўка Zextras Suite

Падрабязней аб усталёўцы Zextras Suite гл. інструкцыю.

Паслядоўнасць дзеянняў:

1) Перайсці ў дырэкторыю, у якую распакаваліся файлы на кроку 4.1.2 (можна прагледзець камандай ls, знаходзячыся ў дырэкторыі ~/zimbra).

У нашым прыкладзе гэта будзе:

cd ~/zimbra/zextras_suite

2) Запусціць усталёўку Zextras Suite камандай

sudo ./install.sh all

3) Адказваем на пытанні ўсталёўніка

Прынцып працы ўсталёўніка аналагічны працы ўсталёўніка Zimbra, за выключэннем адсутнасці канфігуратара. На пытанні ўсталёўніка можна адказваць "y" (адпавядае "так"), "n" (адпавядае "не") або пакінуць прапанову ўсталёўніка без змен (ён прапануе варыянты, адлюстроўваючы іх у квадратных дужках, напрыклад, "[Y]" ці " [N]”.

Для пачатку працэсу ўсталёўкі неабходна паслядоўна адказаць "так" на наступныя пытанні:

Як вы ідзяце з часамі software license agreement?
Ці патрабуеце Вы для Zextras Suite аўтаматычна download, install and upgrade ZAL Library?

Пасля чаго будзе выведзена апавяшчэнне з прапанову націснуць Enter для працягу:

Пасля націску на Enter пачнецца працэс усталёўкі, часам які перарываецца пытаннямі, на якія, зрэшты, адказваем згодай з прапановамі па змаўчанні («так»), а менавіта:

Zextras Suite Core павінна быць нададзена. Proceed?
Як вы збіраецеся забраць Zimbra Web Application (mailbox)?
The Zextras Suite Zimlet будзе вядома ўжо. Proceed?

Перад пачаткам фінальнай часткі ўсталёўкі будзе выведзена апавяшчэнне аб неабходнасці налады фільтра DOS з прапановай націснуць Enter для працягу. Пасля націску на Enter пачынаецца фінальная частка ўсталёўкі, у канцы выводзіцца фінальнае апавяшчэнне і праца ўсталёўніка завяршаецца.

4.4. Першасны цюнінг налады і вызначэнне параметраў канфігурацыі LDAP

1) Усе наступныя дзеянні выконваюцца з-пад карыстальніка zimbra. Для гэтага неабходна выканаць каманду

sudo su - zimbra

2) Змяняны наладу DOS фільтра камандай

zmprov mcf zimbraHttpDosFilterMaxRequestsPerSec 150

3) Для ўсталёўкі Zextras Docs спатрэбіцца інфармацыя аб некаторых параметрах налады Zimbra. Для гэтага можна выканаць каманду:

zmlocalconfig –s | grep ldap

У нашым прыкладзе будзе выведзена наступная інфармацыя:

Для далейшага выкарыстання спатрэбяцца ldap_url, zimbra_ldap_password (і zimbra_ldap_userdn, хоць усталёўнік Zextras Docs звычайна выдае правільныя здагадкі аб імі карыстальніка LDAP).

4) Завяршыць працу пад карыстальнікам zimbra, выканаўшы каманду
Выхад

5. Падрыхтоўка сервера Docs да ўсталёўкі

5.1. Загрузка закрытага ключа SSH на сервер Zimbra і ўваход на сервер Docs

Неабходна змясціць на сервер Zimbra зачынены ключ пары SSH ключоў, публічны ключ якой быў скарыстаны на кроку 2.2.2 п.2.2 пры стварэнні віртуальнай машыны Docs. Яго можна загрузіць на сервер па SSH (напрыклад, па sftp) або ўставіць праз буфер абмену (калі дазваляюць магчымасці выкарыстоўванага SSH-кліента і асяроддзі яго выканання).

Лічым, што зачынены ключ змешчаны ў файл ~/.ssh/docs.key і карыстач, выкарыстоўваны для ўваходу на сервер Zimbra з'яўляецца яго ўладальнікам (калі загрузка/стварэнне гэтага файла ажыццяўляліся з-пад гэтага карыстача – ён аўтаматычна стаў яго ўладальнікам).

Неабходна аднаразова выканаць каманду:

chmod 600 ~/.ssh/docs.key

У далейшым для ўваходу на сервер Docs неабходна выконваць наступную паслядоўнасць дзеянняў:

1) Зайсці на сервер Zimbra

2) Выканаць каманду

ssh -i ~/.ssh/docs.key user@<внутренний ip-адрес сервера Docs>

Дзе значэнне <ўнутраны ip-адрас сервера Docs> можна даведацца ў «Кансалі Яндэкс.Хмара», напрыклад, як гэта паказана ў п.2.3.

5.2. Ўстаноўка абнаўленняў

Пасля ўваходу на сервер Docs выканаць каманды аналагічна такім для сервера Zimbra:

sudo apt update
sudo apt upgrade

(пры выкананні апошняй каманды адказаць "y" на пытанне аб тым, ці ўпэўненыя вы ва ўсталёўцы прапанаванага спісу абнаўленняў)

Пасля ўсталёўкі абнаўленняў можна (але не абавязкова) выканаць каманду:

sudo apt autoremove

І ў завяршэнні кроку выканаць каманду

sudo shutdown –r now

5.3. Даўстаноўка прыкладанняў

Неабходна ўсталяваць NTP-кліент для сінхранізацыі сістэмнага часу і прыкладанне screen, аналагічна такому ж дзеянню для сервера Zimbra, наступнай камандай:

sudo apt install ntp screen

(пры выкананні апошняй каманды адказаць "y" на пытанне аб тым, ці ўпэўненыя вы ва ўсталёўцы прыкладаемага спісу пакетаў)

Таксама можна ўсталяваць дадатковыя ўтыліты для зручнасці адміністратара. Напрыклад, Midnight Commander можа быць усталяваны камандай:

sudo apt install mc

5.4. Змяненне сістэмнай канфігурацыі

5.4.1. У файле /etc/cloud/cloud.cfg.d/95-yandex-cloud.cfg гэтак жа, як і для сервера Zimbra, змяніць значэнне параметра manage_etc_hosts c true на false.

Нататка: рэдактар ​​для змены гэтага файла трэба запускаць з правамі карыстача root, напрыклад, “sudo vi /etc/cloud/cloud.cfg.d/95-yandex-cloud.cfg” ці, калі ўсталяваны пакет mc, можна выкарыстоўваць каманду «sudo mcedit /etc/cloud/cloud.cfg.d/95-yandex-cloud.cfg»

5.4.2. Адрэдагаваць /etc/hosts, дадаўшы ў яго публічны FQDN сервера Zimbra, але з унутраным IP-адрасам, прызначаным Яндэкс.Хмара. Пры наяўнасці кіраванага адміністратарам унутранага DNS-сервера, выкарыстоўванага віртуальнымі машынамі (напрыклад, у прадуктыўным асяроддзі), і здольнага дазваляць публічны FQDN сервера Zimbra унутраным IP-адрасам пры атрыманні запыту з унутранай сеткі (для запытаў з Інтэрнэт FQDN сервера Zimbra павінна дазваляцца публічным IP- адрасам, а сервер TURN павінен вырашацца публічным IP-адрасам заўсёды, у тым ліку пры звароце з унутраных адрасоў), гэтая аперацыя не патрабуецца.

Напрыклад, у нашым выпадку файл hosts меў выгляд:

Пасля рэдагавання ён прыняў выгляд:

Нататка: рэдактар ​​для змены гэтага файла трэба запускаць з правамі карыстача root, напрыклад, “sudo vi /etc/hosts” ці, калі ўсталяваны пакет mc, можна выкарыстоўваць каманду «sudo mcedit /etc/hosts»

6. Усталёўка Zextras Docs

6.1. Зайсці на сервер Docs

Парадак уваходу на сервер Docs апісаны ў п.5.1.

6.2. Запампоўванне дыстрыбутыва Zextras Docs

Паслядоўнасць дзеянняў:

1) Са старонкі, з якой у п. 4.1.2. Запампоўванне дыстрыбутыва Zextras Suite спампоўваўся дыстрыбутыў Zextras Suite (на кроку 3), скапіяваць URL для зборкі Docs для Ubuntu 18.04/XNUMX LTS (калі ён не быў скапіяваны раней).

2) Спампаваць дыстрыбутыў Zextras Suite на сервер Zimbra і распакаваць яго. Для гэтага ў ssh-сеансе на сэрвэры zimbra выканаць каманды

cd ~
mkdir zimbra
cd zimbra
wget <URL со страницы скачивания>

(у нашым выпадку выконваецца каманда «wget download.zextras.com/zextras-docs-installer/latest/zextras-docs-ubuntu18.tgz»)

tar –zxf <имя скачанного файла>

(у нашым выпадку выконваецца каманда "tar - zxf zextras-docs-ubuntu18.tgz")

6.3. Усталёўка Zextras Docs

Падрабязней аб усталёўцы і наладзе Zextras Docs гл. тут.

Паслядоўнасць дзеянняў:

1) Перайсці ў дырэкторыю, у якую распакаваліся файлы на кроку 4.1.1 (можна прагледзець камандай ls, знаходзячыся ў дырэкторыі ~/zimbra).

У нашым прыкладзе гэта будзе:

cd ~/zimbra/zextras-docs-installer

2) Запусціць усталёўку Zextras Docs камандай

sudo ./install.sh

3) Адказваем на пытанні ўсталёўніка

На пытанні ўсталёўніка можна адказваць "y" (адпавядае "так"), "n" (адпавядае "не") або пакінуць прапанову ўсталёўніка без змен (ён прапануе варыянты, адлюстроўваючы іх у квадратных дужках, напрыклад, "[Y]" ці " [N]”).

Сыстэма павінна была быць зменена, ці трэба як выкананы? - прымаем варыянт па змаўчанні ("так").

Пасля гэтага пачнецца ўсталёўка залежнасцяў: усталёўнік будзе паказваць, якія пакеты ён жадае ўсталяваць і пытаць пацверджанне на іх усталёўку. Ва ўсіх выпадках згаджаемся з прапановамі па змаўчанні.

Напрыклад, ён можа пытаццаpython2.7 not found. Ці можаце вы ў install it?"python-ldap не ня ведае. Ці можаце вы ў install it?»і да т.п.

Пасля ўсталёўкі ўсіх неабходных пакетаў усталёўнік запытвае згоду на ўсталёўку Zextras Docs:

Ці можаш ты зрабіць Zextras DOCS? - прымаем варыянт па змаўчанні ("так").

Пасля чаго некаторы час ідзе ўстаноўка пакетаў, уласна, Zextras Docs і пераход да пытанняў канфігуратара.

4) Адказваем на пытанні канфігуратара

Канфігуратар па чарзе запытвае канфігурацыйныя параметры, у адказ у ўводзяцца значэнні, атрыманыя на кроку 3 у п.4.4. Першасны цюнінг налады і вызначэнне параметраў канфігурацыі LDAP.

У нашым прыкладзе наладкі маюць выгляд:

5) Завяршэнне ўсталёўкі Zextras Docs

Пасля адказу на пытанні канфігуратара ўсталёўнік завяршае лакальную канфігурацыю Docs і рэгіструе ўсталяваны сэрвіс на асноўным серверы Zimbra, усталяваным раней.

Для single-server усталёўкі як правіла гэтага досыць, але ў некаторых выпадках (калі дакументы не будуць адчыняцца ў Docs у вэбкліенце на ўкладцы Drive) можа спатрэбіцца выкананне дзеяння, абавязковага для мультысервернай усталёўкі – у нашым прыкладзе на асноўным серверы Zimbra запатрабуецца выкананне з-пад карыстальніка Zimbra каманд /opt/zimbra/libexec/zmproxyconfgen и zmproxyctl restart.

7. Першасная настройка Zimbra і Zextras Suite (акрамя Team)

7.1. Першасны ўваход у кансоль адміністратара

Увайсці ў браўзэры па URL: https:// :7071

Пры жаданні, можна ўвайсці ў вэб-кліент па URL: https://

Пры ўваходзе браўзэры паказваюць папярэджанне аб небяспечным падключэнні ў сувязі з немагчымасцю праверыць сертыфікат. Неабходна адказаць браўзэру аб згодзе перайсці на сайт нягледзячы дадзенае папярэджанне. Гэта звязана з тым, што пасля ўсталёўкі выкарыстоўваецца самападпісаны X.509 сертыфікат для TLS-злучэнняў, які пасля можна (у прадуктыўным выкарыстанні - трэба) замяніць на камерцыйны сертыфікат ці іншы сертыфікат, які прызнаецца выкарыстоўванымі браўзэрамі.

У форме для аўтэнтыфікацыі ўвесці імя карыстача ў фармаце admin@<ваш абслугоўваны паштовы дамен> і пароль адміністратара Zimbra, зададзены пры ўсталёўцы сервера Zimbra на кроку 4.3 у п.4.2.

У нашым прыкладзе гэта выглядае наступным чынам:

Кансоль адміністратара:

Вэб-кліент:

Заўвага 1. Калі не паказаць абслугоўваны паштовы дамен пры ўваходзе ў кансоль адміністратара ці ў вэб-кліент, карыстачы будуць аўтэнтыфікавацца ў паштовым дамене, створаным пры ўсталёўцы сервера Zimbra. Пасля ўсталёўкі гэта адзіны існы на гэтым серверы абслугоўваны паштовы дамен, але пры эксплуатацыі сістэмы могуць быць дададзены дадатковыя паштовыя дамены, і тады відавочнае ўказанне дамена ў імі карыстача будзе мець значэнне.

Заўвага 2. Пры ўваходзе ў вэб-кліент браўзэр можа запытваць дазвол на адлюстраванне апавяшчэнняў з сайта. Неабходна даць згоду на атрыманне апавяшчэнняў з гэтага сайта.

Заўвага 3. Пасля ўваходу ў кансоль адміністратара можа быць выведзена апавяшчэнне аб наяўнасці паведамленняў адміністратару, як правіла, якія з'яўляюцца напамінкам аб неабходнасці наладзіць Zextras Backup і/ці аб неабходнасці набыць ліцэнзію Zextras да канчатка тэрміна дзеяння трыяльнай ліцэнзіі, усталяванай па змаўчанні. Гэтыя дзеянні можна вырабіць пазней, а таму наяўныя на момант уваходу паведамлення можна ігнараваць і/ці адзначыць іх як прачытаныя ў меню Zextras: Абвестка Zextras.

Заўвага 4. Асоба неабходна адзначыць, што ў маніторы стану сервера статут службы Docs адлюстроўваецца як "не даступная" нават калі Docs у вэб кліенце працуе карэктна:

Гэта асаблівасць трыяльнай версіі і можа быць ухіленая толькі пасля набыцця ліцэнзіі і звароты ў службу падтрымкі.

7.2. Разгортванне кампанентаў Zextras Suite

У меню Zextras: Core неабходна націснуць на кнопку "Разгарнуць" для ўсіх зімлетаў, якія мяркуецца выкарыстоўваць.

Пры разгортванні зімлетаў выводзіцца дыялог з вынікам аперацыі наступнага выгляду:

У нашым прыкладзе робіцца разгортванне ўсіх зімлетаў Zextras Suite, пасля чаго форма Zextras: Core прыме наступны выгляд:

7.3. Змяненне настроек доступу

7.3.1. Змяненне глабальных настроек

У меню Налада: Глабальныя налады, падменю Проксі-сервер, змяніць наступныя параметры:

Рэжым вэб-проксі: redirect
Уключыць проксі-сервер кансолі адміністраванне: паставіць чэкбокс.
Пасля чаго ў правай верхняй частцы форму націснуць на "Захаваць".

У нашым прыкладзе пасля ўнесеных змен форма мае наступны выгляд:

7.3.2. Змены налад сервера асноўнага Zimbra

У меню Настройка: Серверы: <імя асноўнага сервера Zimbra>, падменю Проксі-сервер, змяніць наступныя параметры:

Рэжым вэб-проксі: націснуць на кнопку "Скінуць на значэнне па змаўчанні" (пры гэтым само значэнне не зменіцца, т. к. ужо было зададзена пры ўсталёўцы). Уключыць проксі-сервер кансолі адміністраванне: праверыць, што чэкбокс варта (павінна было прымяніцца значэнне па змаўчанні, калі не прымянілася - можна націснуць кнопку "Скінуць на значэнне па змаўчанні" і/або паставіць уручную). Пасля чаго ў правай верхняй частцы формы націснуць на "Захаваць".

У нашым прыкладзе пасля ўнесеных змен форма мае наступны выгляд:

Заўвага: (можа спатрэбіцца перазапуск, калі не запрацуе ўваход па гэтым порце)

7.4. Новы ўваход у кансоль адміністратара

Увайсці ў кансоль адміністратара ў браўзэры па URL: https:// :9071
У далейшым выкарыстоўваць для ўваходу гэты URL

Нататка: для single-server усталёўкі як правіла досыць змены, праведзенага на папярэднім кроку, але ў некаторых выпадках (калі пры ўваходзе па паказаным URL не адлюстроўваецца старонка сервера) можа спатрэбіцца выкананне дзеяння, абавязковага для мультысервернай усталёўкі – у нашым прыкладзе на асноўным серверы Zimbra спатрэбіцца выкананне з-пад карыстальніка Zimbra каманд /opt/zimbra/libexec/zmproxyconfgen и zmproxyctl restart.

7.5. Рэдагаванне COS па змаўчанні

У меню Налада: Клас абслугоўвання абраць COS з імем "default".

У падменю "Магчымасці" зняць чэкбокс для функцыі "Партфель", пасля чаго ў правай верхняй частцы формы націснуць на "Захаваць".

У нашым прыкладзе пасля наладкі форма мае наступны выгляд:

Таксама рэкамендуецца ў падменю Drive паставіць чэкбокс для налады "Уключыць агульны доступ да файлаў і тэчак", пасля чаго ў правай верхняй частцы формы націснуць на "Захаваць".

У нашым прыкладзе пасля наладкі форма мае наступны выгляд:

У тэставым асяроддзі ў гэтым жа класе абслугоўвання можна ўключыць функцыі Team Pro, для чаго ў падменю Team уключыць чэкбокс з аднайменнай назвай, пасля чаго форма наладкі прыме наступны выгляд:

Пры адключаных функцыях Team Pro карыстальнікам будуць даступныя толькі функцыі Team Basic.
Звяртаем вашу ўвагу на тое, што Zextras Team Pro ліцэнзуецца незалежна ад Zextras Suite, што дазваляе набыць яго на меншую колькасць паштовых скрынь, чым уласна Zextras Suite; функцыі Team Basic уключаны ў ліцэнзію Zextras Suite. Таму пры выкарыстанні ў прадуктыўным асяроддзі можа запатрабавацца стварэнне асобнага класа абслугоўвання для карыстачоў Team Pro, у якім будуць уключаны адпаведныя функцыі.

7.6. Настройка файрвала

Неабходна для асноўнага сервера Zimbra:

а) Дазволіць доступ з Інтэрнэту да партоў ssh, http/https, imap/imaps, pop3/pop3s, smtp (асноўны порт і дадатковыя парты для выкарыстання паштовымі кліентамі) і порт кансолі адміністравання.

б) Дазволіць усе падлучэнні з унутранай сеткі (для якой на кроку 1.3 у п.1 быў уключаны NAT у Інтэрнэт).

Для сервера Zextras Docs наладжваць файрвол не патрабуецца, т.я. да яго адсутнічае доступ з Інтэрнета.

Для гэтага неабходна выканаць наступную паслядоўнасць дзеянняў:

1) Зайсці ў тэкставую кансоль асноўнага сервера Zimbra. Пры ўваходзе па SSH неабходна выканаць каманду "screen", каб пазбегнуць перапынення выканання каманд пры часовай страты сувязі з серверам з-за змены налад файрвола.

2) Выканаць каманды

sudo ufw allow 22,25,80,110,143,443,465,587,993,995,9071/tcp
sudo ufw allow from <адрес_вашей_сети>/<длина CIDR маски>
sudo ufw enable

У нашым прыкладзе гэта выглядае наступным чынам:

7.7. Праверка доступу да вэб-кліенту і кансолі адміністратара

Для кантролю працаздольнасці файрвала можна зайсці ў браўзэры па наступных URL

Кансоль адміністратара: https:// :9071
Вэб-кліент: http:// (адбудзецца аўтаматычны рэдырэкт на https:// )
Пры гэтым па альтэрнатыўным URL https:// :7071 кансоль адміністратара не павінна адчыняцца.

Вэб-кліент у нашым прыкладзе выглядае наступным чынам:

Заўвага. Пры ўваходзе ў вэб-кліент браўзэр можа запытваць дазвол на адлюстраванне апавяшчэнняў з сайта. Неабходна даць згоду на атрыманне апавяшчэнняў з гэтага сайта.

8. Забеспячэнне працы аўдыё-і відэаканферэнцый у Zextras Team

8.1. Агульныя звесткі

Выкананне апісаных далей дзеянне не патрабуецца, калі ўсе кліенты Zextras Team узаемадзейнічаюць сябар з сябрам без выкарыстання NAT (пры гэтым узаемадзеянні з самім серверам Zimbra можа ажыццяўляцца з выкарыстаннем NAT, т.е. важна адсутнасць NAT менавіта паміж кліентамі), або калі выкарыстоўваецца толькі тэкставы мэсанджар.

Для забеспячэння ўзаемадзеяння кліентаў у рэжыме аўдыё-і відэаканферэнцсувязі:

а) Неабходна ўсталяваць або выкарыстоўваць існуючы сервер TURN.

б) Т.к. сервер TURN як правіла мае таксама і функцыянальнасць сервера STUN, рэкамендуецца выкарыстоўваць яго і ў гэтай якасці таксама (у якасці альтэрнатывы можна выкарыстоўваць публічныя серверы STUN, але адной толькі функцыянальнасці STUN як правіла нядосыць).

У прадуктыўным асяроддзі з-за патэнцыйна высокай нагрузкі рэкамендуецца выносіць сервер TURN на асобную віртуальную машыну. Для тэставання і/ці невялікай нагрузкі сервер TURN можа быць сумешчаны з асноўным серверам Zimbra.

У нашым прыкладзе разглядаецца ўстаноўка сервера TURN на асноўны сервер Zimbra. Усталёўка TURN на асобны сервер аналагічная з той розніцай, што крокі, якія адносяцца ва ўсталёўцы і канфігураванні праграмнага забеспячэння TURN выконваюцца на серверы TURN, а крокі па наладзе сервера Zimbra на выкарыстанне гэтага сервера - выконваюцца на асноўным серверы Zimbra.

8.2. Устаноўка TURN-сервера

Папярэдне зойдучы па SSH на асноўны сервер Zimbra выканаць каманду

sudo apt install resiprocate-turn-server

8.3. Настройка TURN сервера

Заўвага. Рэдактар ​​для змены ўсіх паказаных далей канфігурацыйных файлаў трэба запускаць з правамі карыстача root, напрыклад, “sudo vi /etc/reTurn/reTurnServer.config” ці, калі ўсталяваны пакет mc, можна выкарыстоўваць каманду «sudo mcedit /etc/reTurn/reTurnServer.config»

Спрошчанае стварэнне карыстальніка

Для спрашчэння стварэння і адладкі тэставага падлучэння да TURN сервера мы адключым выкарыстанне хэшаваных пароляў у базе карыстальнікаў TURN сервера. У прадуктыўным асяроддзі рэкамендуецца выкарыстоўваць хэшаваныя паролі; у гэтым выпадку генерацыю хэшаў пароляў для іх неабходна выконваць у адпаведнасці з інструкцыямі, якія змяшчаюцца ў файлах /etc/reTurn/reTurnServer.config і /etc/reTurn/users.txt.

Паслядоўнасць дзеянняў:

1) Адрэдагаваць файл /etc/reTurn/reTurnServer.config

Змяніць значэнне параметру "UserDatabaseHashedPasswords" з "true" на "false".

2) Адрэдагаваць файл /etc/reTurn/users.txt

Задаць у ім імя карыстальніка, пароль, realm (адвольны, не выкарыстоўваецца пры наладзе падлучэння Zimbra) і ўсталяваць уліковага запісу статус “AUTHORIZED”.

У нашым прыкладзе файл першапачаткова меў выгляд:

Пасля рэдагавання прыняў выгляд:

3) Ужыванне канфігурацыі

Выканаць каманду

sudo systemctl restart resiprocate-turn-server

8.4. Настройка файрвала для сервера TURN

На дадзеным этапе ўстанаўліваюцца дадатковыя правілы файрвала, неабходныя для працы сервера TURN. Неабходна дазволіць доступ да асноўнага порта, на якім сервер прымае запыты, і да дынамічнага дыяпазону портаў, выкарыстоўваных серверам для арганізацыі медыяструменяў.

Парты пазначаны ў файле /etc/reTurn/reTurnServer.config, у нашым выпадку гэта:

и

Для ўстаноўкі правілаў файрвала неабходна выканаць каманды

sudo ufw allow 3478,49152:65535/udp
sudo ufw allow 3478,49152:65535/tcp

8.5. Настройка выкарыстання сервера TURN у Zimbra

Для налады выкарыстоўваецца FQDN сервера сервер TURN, створанае на кроку 1.2 п.1, і якое павінна DNS-серверамі дазваляцца адным і тым жа публічным IP-адрасам як для запытаў з Інтэрнэт, так і для запытаў з унутраных адрасоў.

Прагледзець бягучую наладу падлучэння "zxsuite team iceServer get", якая выконваецца з-пад карыстальніка zimbra.

Падрабязней аб наладзе выкарыстання сервера TURN гл. раздзел «Усталяванне Zextras Team для выкарыстання TURN сервера» у дакументацыі.

Для настройкі неабходна выканаць наступныя каманды на серверы Zimbra:

sudo su - zimbra
zxsuite team iceServer add stun:<FQDN вашего сервера TURN>:3478?transport=udp
zxsuite team iceServer add turn:<FQDN вашего сервера TURN>:3478?transport=udp credential <пароль> username <имя пользователя>
zxsuite team iceServer add stun:<FQDN вашего сервера TURN>:3478?transport=tcp
zxsuite team iceServer add turn:<FQDN вашего сервера TURN>:3478?transport=tcp credential <пароль> username <имя пользователя>
zxsuite team iceServer add stun:<FQDN вашего сервера TURN>:3478
logout

У якасці <імя карыстальніка> і <пароль> выкарыстоўваюцца значэнні імя карыстальніка і пароля адпаведна, зададзеныя на кроку 2 у п.8.3.

У нашым прыкладзе гэта выглядае наступным чынам:

9. Дазвол праходжання пошты па пратаколе SMTP

У адпаведнасці з дакументацыяй, у Яндэкс.Аблокі заўсёды блакуецца выходны трафік на TCP-порт 25 у Інтэрнэт і на віртуальныя машыны Yandex Compute Cloud, пры звароце праз публічны IP-адрас. Гэта не перашкодзіць праверыць прыём пошты на абслугоўваны паштовы дамен, адпраўленай з іншага паштовага сервера, але перашкодзіць адправіць пошту за межы сервера Zimbra.

У дакументацыі пазначана, што Яндэкс.Хмара можа адкрыць TCP-порт 25 па запыце ў падтрымку, калі вы выконваеце Правілы дапушчальнага выкарыстання, і пакідае за сабой права зноў заблакаваць порт у выпадку парушэння правілаў. Для адкрыцця порта неабходна звязацца са службай падтрымкай Яндекс.Аблокі.

Дадатак

Стварэнне ключоў SSH у openssh і putty і канвертаванне ключоў з фармату putty у openssh

1. Стварэнне ключавых пар для SSH

У Windows з выкарыстаннем putty: запусціць каманду puttygen.exe і націснуць кнопку "Generate"

У Linux: выканаць каманду

ssh-keygen

2. Канвертаванне ключоў з фармату putty у openssh

У Windows:

Паслядоўнасць дзеянняў:

1. Запусціць праграму puttygen.exe.
2. Загрузіць зачынены ключ у фармаце ppk, для чаго скарыстацца пунктам меню File → Load private key.
3. Увесці код (passphrase), калі ён патрабуецца для дадзенага ключа.
4. Публічны ключ фармаце OpenSSH адлюстроўваецца ў puttygen з надпісам "Public key for pasting into OpenSSH authorized_keys file field"
5. Для экспарту зачыненага ключа ў фармат OpenSSH абраць у галоўным меню Conversions → Export OpenSSH key
6. Захаваць зачынены ключ у новы файл.

У Linux

1. Усталяваць пакет інструментаў PuTTY:

у Ubuntu:

sudo apt-get install putty-tools

у Debian-падобных дыстрыбутывах:

apt-get install putty-tools

у RPM-based дыстрыбутывах на аснове yum (CentOS і інш.):

yum install putty

2. Для канвертавання закрытага ключа выканаць каманду:

puttygen <key.ppk> -O private-openssh -o <key_openssh>

3. Для генерацыі адкрытага ключа (калі неабходна):

puttygen <key.ppk> -O public-openssh -o <key_openssh.pub>

Вынік

Пасля ўсталёўкі ў адпаведнасці з рэкамендацыямі, карыстач атрымлівае наладжаны ў інфраструктуры Яндэкс.Хмара паштовы сервер Zimbra з пашырэннем Zextras для карпаратыўных камунікацый і сумеснай працы з дакументамі. Налады зроблены з пэўнымі абмежаваннямі для тэставага асяроддзя, але перавесці інсталяцыю ў прадуктыўны рэжым і дадаць опцыі выкарыстання аб'ектнага сховішча Яндэкс.Хмара і іншыя не складана. З пытаннямі па разгортванні і выкарыстанні рашэння звяртайцеся да партнёра Zextras — СВЗ ці прадстаўнікам Яндэкс.Хмара.

Па ўсіх пытаннях, звязаных з Zextras Suite вы можаце звярнуцца да Прадстаўніка кампаніі «Zextras» Кацярыны Трыяндафілідзі па электроннай пошце. [электронная пошта абаронена]

Крыніца: habr.com