въведение
Оптимизирането на офис инфраструктурата и внедряването на нови работни пространства е голямо предизвикателство за компании от всякакъв тип и размер. Най-добрият вариант за нов проект е да наемете ресурси в облака и да закупите лицензи, които можете да използвате както от доставчика, така и във вашия собствен център за данни. Едно решение за такъв сценарий е , което ви позволява да създадете платформа за сътрудничество и корпоративни комуникации на предприятие както в облачната среда, така и във вашата собствена инфраструктура.

Решението е предназначено за офиси от всякакъв размер и има два основни сценария за внедряване: конфигурация с един сървър за до 3000 пощенски кутии и ниски изисквания за отказоустойчивост, докато конфигурацията с няколко сървъра поддържа надеждна и бърза работа за десетки или стотици хиляди пощенски кутии. Във всички случаи потребителите имат достъп до имейли, документи и съобщения чрез един уеб интерфейс от всеки настолен компютър, без необходимост от инсталиране или конфигуриране на допълнителен софтуер, или чрез мобилни приложения за iOS и... AndroidМожете да използвате познатите клиенти на Outlook и Thunderbird.
За внедряване на проекта Zextras партньор - избра Yandex.Cloud, защото архитектурата му е подобна на AWS и има поддръжка за S3 съвместимо хранилище, което ще намали разходите за съхранение на големи обеми поща, съобщения и документи и ще увеличи устойчивостта на грешки на решението.
В средата Yandex.Cloud се използват основни инструменти за управление на виртуална машина за инсталиране на единичен сървър и възможности за управление на виртуална мрежа . За многосървърна инсталация, в допълнение към посочените инструменти, е необходимо да се използват технологии , при необходимост (в зависимост от мащаба на системата) – също и мрежов балансьор .
S3-съвместимо съхранение на обекти може да се използва и в двете опции за инсталиране и може също да се свърже към системи, внедрени на място за икономично и устойчиво на грешки съхранение на данни от пощенски сървър в Yandex.Cloud.
За инсталация на един сървър, в зависимост от броя на потребителите и/или пощенските кутии, е необходимо следното: за главния сървър 4-12 vCPU, 8-64 GB vRAM (специфичните стойности на vCPU и vRAM зависят от броя на пощенските кутии и действителното натоварване), най-малко 80 GB диск за операционната система и приложенията, както и допълнително дисково пространство за съхранение на поща, индекси, регистрационни файлове и др., в зависимост от броя и средния размер на пощенските кутии и които могат динамично се променят по време на работа на системата; за помощни Docs сървъри: 2-4 vCPU, 2-16 GB vRAM, 16 GB дисково пространство (специфичните стойности на ресурсите и броят на сървърите зависят от действителното натоварване); Освен това може да е необходим TURN/STUN сървър (необходимостта му като отделен сървър и ресурси зависят от действителното натоварване). При многосървърни инсталации броят и предназначението на ролевите виртуални машини и разпределените за тях ресурси се определят индивидуално в зависимост от изискванията на потребителя.
Цел на статията
Описание на внедряването в средата Yandex.Cloud на продукти Zextras Suite, базирани на пощенския сървър Zimbra в опцията за инсталиране на един сървър. Получената инсталация може да се използва в производствена среда (опитните потребители могат да направят необходимите настройки и да добавят ресурси).
Системата Zextras Suite/Zimbra включва:
- Zimbra — корпоративна електронна поща с възможност за споделяне на пощенски кутии, календари и списъци с контакти (адресни книги).
- Zextras Docs — вграден офис пакет, базиран на LibreOffice онлайн за създаване и съвместна работа с документи, електронни таблици и презентации.
- Zextras Drive – индивидуално съхранение на файлове, което ви позволява да редактирате, съхранявате и споделяте файлове и папки с други потребители.
- Екипът на Zextras – месинджър с поддръжка на аудио и видео конференции. Наличните версии са Team Basic, която позволява само комуникация 1:1, и Team Pro, която поддържа многопотребителски конференции, канали, споделяне на екрана, споделяне на файлове и други функции.
- Zextras Mobile – поддръжка за мобилни устройства чрез Exchange ActiveSync за синхронизиране на поща с мобилни устройства с функции за управление на MDM (Управление на мобилни устройства). Позволява ви да използвате Microsoft Outlook като имейл клиент.
- Администратор на Zextras – внедряване на мултитенантна системна администрация с делегиране на администратори за управление на групи от клиенти и класове услуги.
- Zextras Backup - пълен цикъл на архивиране и възстановяване на данни в реално време
- Zextras Powerstore — йерархично съхранение на обекти на пощенската система с поддръжка на класове за обработка на данни, с възможност за съхраняване на данни локално или в облачни хранилища на архитектурата S3, включително Yandex Object Storage.
След завършване на инсталацията потребителят получава система, работеща в среда Yandex.Cloud.
Условия и ограничения
- Разпределянето на дисково пространство за пощенски кутии, индекси и други типове данни не е обхванато, тъй като Zextras Powerstore поддържа множество типове съхранение. Типът и размерът на хранилището зависи от задачите и системните параметри. Ако е необходимо, това може да стане по-късно в процеса на преобразуване на описаната инсталация в производствена.
- За да се опрости инсталацията, не се взема предвид използването на управляван от администратор DNS сървър за разрешаване на вътрешни (непублични) имена на домейни; използва се стандартният DNS сървър Yandex.Cloud. Когато се използва в производствена среда, се препоръчва използването на DNS сървър, който може вече да съществува в корпоративната инфраструктура.
- Предполага се, че акаунтът в Yandex.Cloud се използва с настройки по подразбиране (по-специално, когато влизате в „Конзолата“ на услугата, има само директория (в списъка „Налични облаци“ под името по подразбиране). запознати с работата в Yandex.Cloud, те могат по свое усмотрение да създадат отделна директория за тестовия стенд или да използват съществуваща.
- Потребителят трябва да има публична DNS зона, до която трябва да има административен достъп.
- Потребителят трябва да има достъп до директорията в „Конзолата“ на Yandex.Cloud с поне ролята на „редактор“ („Собственикът на облака“ има всички необходими права по подразбиране; има ръководства за предоставяне на достъп до облака на други потребители : , , )
- Тази статия не описва инсталирането на персонализирани X.509 сертификати, използвани за защита на мрежови комуникации чрез TLS механизми. След като инсталацията приключи, ще се използват самоподписани сертификати, позволяващи използването на браузъри за достъп до инсталираната система. Те обикновено показват известие, че сървърът няма сертификат, който може да се провери, но ви позволяват да продължите да работите. До инсталирането на сертификати, проверени от клиентски устройства (подписани от публични и/или корпоративни сертифициращи органи), приложенията за мобилни устройства може да не работят с инсталираната система. Следователно инсталирането на посочените сертификати в производствената среда е необходимо и се извършва след приключване на теста в съответствие с корпоративните политики за сигурност.
Описание на инсталационния процес на системата Zextras/Zimbra във версията “single-server”.
1. Предварителна подготовка
Преди да започнете инсталацията, трябва да се уверите:
а) Извършване на промени в публичната DNS зона (създаване на A запис за сървъра на Zimbra и MX запис за обслужвания пощенски домейн).
б) Настройка на виртуална мрежова инфраструктура в Yandex.Cloud.
В същото време, след извършване на промени в DNS зона, отнема известно време, за да се разпространят тези промени, но от друга страна, не можете да създадете A запис, без да знаете IP адреса, свързан с него.
Следователно действията се извършват в следната последователност:
1. Резервирайте публичен IP адрес в Yandex.Cloud
1.1 В „Yandex.Cloud Console“ (ако е необходимо, като изберете папки в „налични облаци“), отидете в секцията „Виртуален частен облак“, подраздел „IP адреси“, след което щракнете върху бутона „Резервиране на адрес“, изберете предпочитаната от вас зона за достъпност (или се съгласите с предложената стойност; тази зона на достъпност трябва впоследствие да се използва за всички действия, описани по-късно в Yandex.Cloud, ако съответните формуляри имат опция за избор на зона на достъпност), в диалоговия прозорец, който се отваря, можете, но не е задължително, изберете опцията „DDoS защита“ и щракнете върху бутона „Резервиране“ (вижте също ).

След затваряне на диалоговия прозорец статичен IP адрес, определен от системата, ще бъде наличен в списъка с IP адреси, който може да бъде копиран и използван в следващата стъпка.

1.2 В DNS зоната „напред“ направете запис A за сървъра на Zimbra, сочещ към предварително зададения IP адрес, запис A за сървъра TURN, сочещ към същия IP адрес, и MX запис за приетия пощенски домейн. В нашия пример това ще бъдат съответно mail.testmail.svzcloud.ru (сървър на Zimbra), turn.testmail.svzcloud.ru (сървър на TURN) и testmail.svzcloud.ru (домейн за електронна поща).
1.3 В Yandex.Cloud, в избраната зона за достъпност за подмрежата, която ще се използва за разполагане на виртуални машини, активирайте NAT в интернет.
За да направите това, в секцията Virtual Private Cloud, подраздел „Cloud Networks“, изберете подходящата облачна мрежа (по подразбиране там е налична само мрежата по подразбиране), изберете подходящата зона за достъпност в нея и изберете „Активиране на NAT в Интернет ” в неговите настройки.

Състоянието ще се промени в списъка с подмрежи:

За повече подробности вижте документацията: и .
2. Създавайте виртуални машини
2.1. Създаване на виртуална машина за Zimbra
Последователност на действията:
2.1.1 В „Yandex.Cloud Console“ отидете в раздела Compute Cloud, подраздел „Виртуални машини“, щракнете върху бутона „Създаване на VM“ (за повече информация относно създаването на VM вижте ).

2.1.2 Там трябва да зададете:
- Име – произволно (в съответствие с формата, поддържан от Yandex.Cloud)
- Зона на достъпност – трябва да съответства на предварително избраната за виртуалната мрежа.
- В „Публични изображения“ изберете Ubuntu 18.04 литра
- Инсталирайте диск за зареждане с размер най-малко 80 GB. За тестови цели е достатъчен тип HDD (а също и за продуктивна употреба, при условие че някои типове данни се прехвърлят на дискове тип SSD). Ако е необходимо, могат да се добавят допълнителни дискове след създаване на VM.
В набора „изчислителни ресурси“:
- vCPU: поне 4.
- Гарантиран дял на vCPU: за продължителността на действията, описани в статията, най-малко 50%; след инсталиране, ако е необходимо, той може да бъде намален.
- RAM: 8 GB препоръчително.
- Подмрежа: изберете подмрежа, за която Internet NAT е активиран по време на етапа на предварителна подготовка.
- Публичен адрес: изберете от списъка IP адреса, използван преди това за създаване на A запис в DNS.
- Потребител: по ваша преценка, но различен от root потребителя и системните акаунти Linux.
- Трябва да посочите публичен (отворен) SSH ключ.
→
Вижте също Приложение 1. Създаване на SSH ключове в openssh и putty и конвертиране на ключове от putty във формат openssh.
2.1.3 След като настройката приключи, щракнете върху „Създаване на виртуална машина“.
2.2. Създаване на виртуална машина за Zextras Docs
Последователност на действията:
2.2.1 В „Yandex.Cloud Console“ отидете в раздела Compute Cloud, подраздел „Виртуални машини“, щракнете върху бутона „Създаване на VM“ (за повече информация относно създаването на VM вижте ).

2.2.2 Там трябва да зададете:
- Име – произволно (в съответствие с формата, поддържан от Yandex.Cloud)
- Зона на достъпност – трябва да съответства на предварително избраната за виртуалната мрежа.
- В „Публични изображения“ изберете Ubuntu 18.04 литра
- Инсталирайте диск за зареждане с размер най-малко 80 GB. За тестови цели е достатъчен тип HDD (а също и за продуктивна употреба, при условие че някои типове данни се прехвърлят на дискове тип SSD). Ако е необходимо, могат да се добавят допълнителни дискове след създаване на VM.
В набора „изчислителни ресурси“:
- vCPU: поне 2.
- Гарантиран дял на vCPU: за продължителността на действията, описани в статията, най-малко 50%; след инсталиране, ако е необходимо, той може да бъде намален.
- RAM: поне 2GB.
- Подмрежа: изберете подмрежа, за която Internet NAT е активиран по време на етапа на предварителна подготовка.
- Публичен адрес: без адрес (тази машина не изисква достъп от Интернет, само изходящ достъп от тази машина до Интернет, който се предоставя от опцията „NAT към Интернет“ на използваната подмрежа).
- Потребител: по ваша преценка, но различен от root потребителя и системните акаунти Linux.
- Определено трябва да зададете публичен (отворен) SSH ключ, можете да използвате същия като за сървъра на Zimbra, можете да генерирате отделна двойка ключове, тъй като частният ключ за сървъра на Zextras Docs ще трябва да бъде поставен на сървъра на Zimbra диск.
Вижте също Приложение 1. Създаване на SSH ключове в openssh и putty и конвертиране на ключове от putty във формат openssh.
2.2.3 След като настройката приключи, щракнете върху „Създаване на виртуална машина“.
2.3 Създадените виртуални машини ще бъдат достъпни в списъка с виртуални машини, който показва по-специално техния статус и използваните IP адреси, както публични, така и вътрешни. Информация за IP адресите ще бъде необходима в следващите стъпки на инсталиране.

3. Подготовка на сървъра Zimbra за инсталиране
3.1 Инсталиране на актуализации
Трябва да влезете в сървъра на Zimbra на публичния му IP адрес, като използвате предпочитания от вас ssh клиент, като използвате частния ssh ключ и използвате потребителското име, посочено при създаването на виртуалната машина.
След като влезете, изпълнете командите:
sudo apt update
sudo apt upgrade
(когато изпълнявате последната команда, отговорете с „y“ на въпроса дали сте сигурни за инсталирането на предложения списък с актуализации)
След като инсталирате актуализациите, можете (но не сте длъжни) да изпълните командата:
sudo apt autoremove
И в края на стъпката изпълнете командата
sudo shutdown –r now
3.2 Допълнителна инсталация на приложения
Трябва да инсталирате NTP клиент, за да синхронизирате системното време и екранното приложение със следната команда:
sudo apt install ntp screen
(Когато изпълнявате последната команда, отговорете с „y“, когато бъдете попитани дали сте сигурни, че инсталирате приложения списък с пакети)
Можете също така да инсталирате допълнителни помощни програми за удобство на администратора. Например Midnight Commander може да се инсталира с командата:
sudo apt install mc
3.3. Промяна на конфигурацията на системата
3.3.1 Във файла /etc/cloud/cloud.cfg.d/95-yandex-cloud.cfg промяна на стойността на параметъра management_etc_hosts c вярно на фалшив.
Забележка: за да промените този файл, редакторът трябва да се стартира с root потребителски права, например, „sudo vi /etc/cloud/cloud.cfg.d/95-yandex-cloud.cfg” или, ако пакетът mc е инсталиран, можете да използвате командата „sudo mcedit /etc/cloud/cloud.cfg.d/95-yandex-cloud.cfg»
3.3.2 редактиране / Etc / hosts както следва, замествайки в реда, дефиниращ FQDN на хоста, адреса от 127.0.0.1 с вътрешния IP адрес на този сървър и името от пълното име в .internal зоната с публичното име на сървъра, посочено по-рано в A -запис на DNS зоната и съответното чрез промяна на краткото име на хост (ако е различно от краткото име на хост от публичния DNS A запис).
Например, в нашия случай файлът hosts изглеждаше така:

След редакцията изглеждаше така:

Забележка: за да промените този файл, редакторът трябва да се стартира с root потребителски права, например, „sudo vi /etc/hosts” или, ако пакетът mc е инсталиран, можете да използвате командата „sudo mcedit /etc/hosts»
3.4 Задайте потребителска парола
Това е необходимо поради факта, че в бъдеще защитната стена ще бъде конфигурирана и ако възникнат проблеми с нея, ако потребителят има парола, ще бъде възможно да влезете във виртуалната машина с помощта на серийната конзола от Yandex. Облачна уеб конзола и деактивирайте защитната стена и/или коригирайте грешката. Когато създава виртуална машина, потребителят няма парола и следователно достъпът е възможен само чрез SSH, използвайки удостоверяване с ключ.
За да зададете парола, трябва да изпълните командата:
sudo passwd <имя пользователя>
Например в нашия случай това ще бъде командата „sudo passwd потребител".
4. Инсталиране на Zimbra и Zextras Suite
4.1. Изтегляне на дистрибуции на Zimbra и Zextras Suite
4.1.1 Изтегляне на дистрибуцията на Zimbra
Последователност на действията:
1) Отидете на URL с браузър и попълнете формата. Ще получите имейл с връзки за изтегляне на Zimbra за различни операционни системи.
2) Изберете текущата версия на дистрибуцията за платформата Ubuntu 18.04 LTS и копирайте връзката
3) Изтеглете дистрибуцията на Zimbra на сървъра на Zimbra и я разопаковайте. За да направите това, изпълнете командите в ssh сесия на сървъра на zimbra
cd ~
mkdir zimbra
cd zimbra
wget <url, скопированный на предыдущем шаге>
tar –zxf <имя скачанного файла>
(в нашия пример това е „катран –zxf zcs-9.0.0_OSE_UBUNTU18_latest-zextras.tgz")
4.1.2 Изтегляне на дистрибуцията на Zextras Suite
Последователност на действията:
1) Отидете на URL с браузър
2) Попълнете формата, като въведете необходимите данни и щракнете върху бутона „ИЗТЕГЛЕТЕ СЕГА“.

3) Ще се отвори страницата за изтегляне

Има два URL адреса, които ни интересуват: единият в горната част на страницата за самия Zextras Suite, който ще ни е нужен сега, и другият в долната част в блока Docs Server за Ubuntu 18.04 LTS, която ще е необходима по-късно за инсталиране на Zextras Docs на виртуална машина за Docs.
4) Изтеглете дистрибуцията на Zextras Suite на сървъра на Zimbra и я разопаковайте. За да направите това, изпълнете командите в ssh сесия на сървъра на zimbra
cd ~
mkdir zimbra
cd zimbra
(ако текущата директория не е променена след предишната стъпка, командите по-горе могат да бъдат пропуснати)
wget http://download.zextras.com/zextras_suite-latest.tgz
tar –zxf zextras_suite-latest.tgz
4.2. Инсталиране на Zimbra
Последователност на действието
1) Отидете до директорията, където файловете са били разопаковани в стъпка 4.1.1 (може да се види с командата ls, докато сте в директорията ~/zimbra).
В нашия пример би било:
cd ~/zimbra/zcs-9.0.0_OSE_UBUNTU18_latest-zextras/zimbra-installer
2) Стартирайте инсталацията на Zimbra, като използвате командата
sudo ./install.sh
3) Ние отговаряме на въпросите на инсталатора
Можете да отговорите на въпросите на инсталатора с „y“ (съответства на „да“), „n“ (съответства на „не“) или да оставите предложението на инсталатора непроменено (той предлага опции, като ги показва в квадратни скоби, например „ [Y]” или “ [N].”
Съгласни ли сте с условията на лицензионното споразумение за софтуер? - Да.
Използване на хранилището на пакети на Zimbra? – по подразбиране (да).
"Инсталиране на zimbra-ldap?","Инсталиране на zimbra-logger?","Инсталиране на zimbra-mta?” – по подразбиране (да).
Инсталиране на zimbra-dnscache? – не (операционната система има собствен кеширащ DNS сървър, активиран по подразбиране, така че този пакет ще има конфликт с него поради използваните портове).
Инсталиране на zimbra-snmp? – ако желаете, можете да оставите опцията по подразбиране (да), не е необходимо да инсталирате този пакет. В нашия пример опцията по подразбиране е оставена.
"Инсталиране на zimbra-store?","Инсталиране на zimbra-apache?","Инсталиране на zimbra-spell?","Инсталиране на zimbra-memcached?","Инсталиране на zimbra-прокси?” – по подразбиране (да).
Инсталиране на zimbra-snmp? – не (пакетът всъщност не се поддържа и е функционално заменен от Zextras Drive).
Инсталиране на zimbra-imapd? – по подразбиране (не).
Инсталиране на zimbra-chat? – не (функционално заменен от Zextras Team)
След което инсталаторът ще попита дали да продължи инсталацията?

Отговаряме с „да“, ако можем да продължим, в противен случай отговаряме с „не“ и получаваме възможност да променим отговорите на предварително зададени въпроси.
След като се съгласи да продължи, инсталаторът ще инсталира пакетите.
4.) Отговаряме на въпроси от основния конфигуратор
4.1) Тъй като в нашия пример DNS името на сървъра за електронна поща (име на запис A) и името на обслужвания домейн за поща (име на запис на MX) са различни, конфигураторът показва предупреждение и ви подканва да зададете името на домейна за обслужвана поща. Съгласяваме се с неговото предложение и въвеждаме името на MX записа. В нашия пример изглежда така:

Забележка: можете също така да настроите домейна на обслужваната поща да бъде различен от името на сървъра, ако името на сървъра има MX запис със същото име.
4.2) Конфигураторът показва главното меню.

Трябва да зададем администраторската парола на Zimbra (точка от менюто 6 в нашия пример), без която е невъзможно да продължим инсталацията, и да променим настройката на zimbra-proxy (точка от менюто 8 в нашия пример; ако е необходимо, тази настройка може да бъде променена след инсталиране).
4.3) Промяна на настройките на zimbra-store
В подканата на конфигуратора въведете номера на елемента от менюто и натиснете Enter. Стигаме до менюто с настройки за съхранение:

където в поканата на конфигуратора въвеждаме номера на елемента от менюто Admin Password (в нашия пример 4), натискаме Enter, след което конфигураторът предлага произволно генерирана парола, с която можете да се съгласите (запомняйки я) или да въведете своя собствена. И в двата случая в края трябва да натиснете Enter, след което елементът „Admin Password“ ще премахне маркера за изчакване на въвеждане на информация от потребителя:

Връщаме се към предишното меню (съгласни сме с предложението на конфигуратора).
4.4) Промяна на настройките на zimbra-proxy
По аналогия с предишната стъпка, в главното меню изберете номера на елемента „zimbra-proxy“ и го въведете в подканата на конфигуратора.

В менюто за конфигурация на прокси, което се отваря, изберете номера на елемента „Режим на прокси сървър“ и го въведете в подканата на конфигуратора.

Конфигураторът ще предложи да изберете един от режимите, въведете „пренасочване“ в неговия ред и натиснете Enter.
След което се връщаме в главното меню (съгласни сме с предложението на конфигуратора).
4.5) Текуща конфигурация
За да започнете конфигурацията, въведете „a“ в подканата на конфигуратора. След което ще попита дали да запише въведената конфигурация във файл (който може да се използва за преинсталация) - можете да се съгласите с предложението по подразбиране, ако записването е направено - ще попита в кой файл да запише конфигурацията (вие можете също да се съгласите с предложението по подразбиране или да въведете собствено име на файл).

На този етап все още можете да откажете да продължите и да направите промени в конфигурацията, като се съгласите с отговора по подразбиране на въпроса „Системата ще бъде модифицирана – продължете?“
За да започнете инсталацията, трябва да отговорите с „Да“ на този въпрос, след което конфигураторът ще приложи за известно време предварително въведените настройки.
4.6) Завършване на инсталацията на Zimbra
Преди завършване инсталаторът ще попита дали да уведоми Zimbra за инсталацията. Можете или да се съгласите с предложението по подразбиране, или да откажете (като отговорите с „Не“) известието.
След което инсталаторът ще продължи да изпълнява финални операции за известно време и ще покаже известие, че конфигурацията на системата е завършена с подкана да натиснете произволен клавиш, за да излезете от инсталатора.

4.3. Инсталиране на Zextras Suite
За повече информация относно инсталирането на Zextras Suite вижте .
Последователност на действията:
1) Отидете до директорията, където файловете са били разопаковани в стъпка 4.1.2 (може да се види с командата ls, докато сте в директорията ~/zimbra).
В нашия пример би било:
cd ~/zimbra/zextras_suite
2) Стартирайте инсталацията на Zextras Suite, като използвате командата
sudo ./install.sh all
3) Ние отговаряме на въпросите на инсталатора
Принципът на работа на инсталатора е подобен на този на инсталатора на Zimbra, с изключение на липсата на конфигуратор. Можете да отговорите на въпросите на инсталатора с „y“ (съответства на „да“), „n“ (съответства на „не“) или да оставите предложението на инсталатора непроменено (той предлага опции, като ги показва в квадратни скоби, например „ [Y]” или “ [N].”
За да започнете инсталационния процес, трябва последователно да отговаряте с „да“ на следните въпроси:
Съгласни ли сте с условията на лицензионното споразумение за софтуер?
Желаете ли Zextras Suite автоматично да изтегли, инсталира и надстрои ZAL библиотеката?
След което ще се покаже известие с молба да натиснете Enter, за да продължите:

След като натиснете Enter, процесът на инсталиране ще започне, понякога прекъсван от въпроси, на които обаче ние отговаряме, като се съгласяваме с предложенията по подразбиране („да“), а именно:
Zextras Suite Core вече ще бъде инсталиран. Продължавам?
Искате ли да спрете уеб приложението на Zimbra (пощенска кутия)?
Zextras Suite Zimlet вече ще бъде инсталиран. Продължавам?
Преди да започне последната част от инсталацията, ще бъдете уведомени, че трябва да конфигурирате DOS филтъра и ще ви помолим да натиснете Enter, за да продължите. След натискане на Enter започва последната част от инсталацията, в края се показва последно известие и инсталаторът завършва.

4.4. Настройка на първоначалната настройка и определяне на LDAP конфигурационните параметри
1) Всички последващи действия се извършват под потребителя на zimbra. За да направите това, трябва да изпълните командата
sudo su - zimbra
2) Променете настройката на DOS филтъра с командата
zmprov mcf zimbraHttpDosFilterMaxRequestsPerSec 150
3) За да инсталирате Zextras Docs, ще ви трябва информация за някои опции за конфигуриране на Zimbra. За да направите това, можете да изпълните командата:
zmlocalconfig –s | grep ldap
В нашия пример ще се покаже следната информация:

За по-нататъшна употреба ще ви трябва ldap_url, zimbra_ldap_password (и zimbra_ldap_userdn, въпреки че инсталаторът на Zextras Docs обикновено прави правилни предположения за LDAP потребителското име).
4) Излезте като потребител на zimbra, като изпълните командата
изход
5. Подготовка на Docs сървъра за инсталиране
5.1. Качване на SSH частен ключ на Zimbra сървър и влизане в Docs сървър
Необходимо е да поставите на сървъра на Zimbra частния ключ на двойката SSH ключове, чийто публичен ключ е използван в стъпка 2.2.2 от точка 2.2 при създаването на виртуалната машина на Docs. Може да бъде качен на сървъра чрез SSH (например чрез sftp) или поставен чрез клипборда (ако възможностите на използвания SSH клиент и неговата среда за изпълнение позволяват).
Предполагаме, че частният ключ е поставен във файла ~/.ssh/docs.key и потребителят, използван за влизане в сървъра на Zimbra, е неговият собственик (ако изтеглянето/създаването на този файл е извършено под този потребител, той автоматично стана негов собственик).
Трябва да изпълните командата веднъж:
chmod 600 ~/.ssh/docs.key
В бъдеще, за да влезете в сървъра на Документи, трябва да изпълните следната последователност от действия:
1) Влезте в сървъра на Zimbra
2) Изпълни команда
ssh -i ~/.ssh/docs.key user@<внутренний ip-адрес сервера Docs>
Където стойността <вътрешен IP адрес на сървъра за документи> може да бъде намерена в „Yandex.Cloud Console“, например, както е показано в параграф 2.3.
5.2. Инсталиране на актуализации
След като влезете в сървъра на Docs, изпълнете команди, подобни на тези за сървъра на Zimbra:
sudo apt update
sudo apt upgrade
(когато изпълнявате последната команда, отговорете с „y“ на въпроса дали сте сигурни за инсталирането на предложения списък с актуализации)
След като инсталирате актуализациите, можете (но не сте длъжни) да изпълните командата:
sudo apt autoremove
И в края на стъпката изпълнете командата
sudo shutdown –r now
5.3. Допълнителна инсталация на приложения
Трябва да инсталирате NTP клиент, за да синхронизирате системното време и екранното приложение, подобно на същото действие за сървъра Zimbra, със следната команда:
sudo apt install ntp screen
(Когато изпълнявате последната команда, отговорете с „y“, когато бъдете попитани дали сте сигурни, че инсталирате приложения списък с пакети)
Можете също така да инсталирате допълнителни помощни програми за удобство на администратора. Например Midnight Commander може да се инсталира с командата:
sudo apt install mc
5.4. Промяна на конфигурацията на системата
5.4.1. Във файла /etc/cloud/cloud.cfg.d/95-yandex-cloud.cfg, по същия начин, както за сървъра на Zimbra, променете стойността на параметъра manage_etc_hosts от true на false.
Забележка: за да промените този файл, редакторът трябва да се стартира с root потребителски права, например, „sudo vi /etc/cloud/cloud.cfg.d/95-yandex-cloud.cfg” или, ако пакетът mc е инсталиран, можете да използвате командата „sudo mcedit /etc/cloud/cloud.cfg.d/95-yandex-cloud.cfg»
5.4.2. Редактирайте /etc/hosts, като добавите публичното FQDN на сървъра на Zimbra, но с вътрешния IP адрес, зададен от Yandex.Cloud. Ако имате контролиран от администратор вътрешен DNS сървър, използван от виртуални машини (например в производствена среда) и способен да разрешава публичното FQDN на сървъра на Zimbra с вътрешния IP адрес при получаване на заявка от вътрешната мрежа (за заявки от Интернет, FQDN на сървъра на Zimbra трябва да бъде разрешен с публичния IP адрес, а сървърът TURN винаги трябва да бъде разрешен с публичен IP адрес, включително при достъп от вътрешни адреси), тази операция не е задължителна.
Например, в нашия случай файлът hosts изглеждаше така:

След редакцията изглеждаше така:

Забележка: за да промените този файл, редакторът трябва да се стартира с root потребителски права, например, „sudo vi /etc/hosts” или, ако пакетът mc е инсталиран, можете да използвате командата „sudo mcedit /etc/hosts»
6. Инсталиране на Zextras Docs
6.1. Влезте в сървъра на Документи
Процедурата за влизане в сървъра на Документи е описана в точка 5.1.
6.2. Изтегляне на дистрибуцията на Zextras Docs
Последователност на действията:
1) От страницата, от която е изтеглена дистрибуцията на Zextras Suite в раздел 4.1.2. Изтегляне на дистрибуцията на Zextras Suite (в стъпка 3), копирайте URL адреса за сглобяване на документи за Ubuntu 18.04 LTS (ако не е била копирана по-рано).
2) Изтеглете дистрибуцията на Zextras Suite на сървъра на Zimbra и я разопаковайте. За да направите това, изпълнете командите в ssh сесия на сървъра на zimbra
cd ~
mkdir zimbra
cd zimbra
wget <URL со страницы скачивания>
(в нашия случай се изпълнява командата “wget”. »)
tar –zxf <имя скачанного файла>
(в нашия случай се изпълнява командата „tar –zxf zextras-docs-“ubuntu18.tgz»)
6.3. Инсталиране на Zextras Docs
За повече информация относно инсталирането и конфигурирането на Zextras Docs вижте .
Последователност на действията:
1) Отидете до директорията, където файловете са били разопаковани в стъпка 4.1.1 (може да се види с командата ls, докато сте в директорията ~/zimbra).
В нашия пример би било:
cd ~/zimbra/zextras-docs-installer
2) Стартирайте инсталацията на Zextras Docs, като използвате командата
sudo ./install.sh
3) Ние отговаряме на въпросите на инсталатора
Можете да отговорите на въпросите на инсталатора с „y“ (съответства на „да“), „n“ (съответства на „не“) или да оставите предложението на инсталатора непроменено (той предлага опции, като ги показва в квадратни скоби, например „ [Y]” или “ [N]”).
Системата ще бъде променена, искате ли да продължите? – приемете опцията по подразбиране („да“).
След това ще започне инсталирането на зависимости: инсталаторът ще покаже кои пакети иска да инсталира и ще поиска потвърждение за инсталирането им. Във всички случаи ние се съгласяваме с офертите по подразбиране.
Например, той може да попита "python2.7 не е намерен. Искате ли да го инсталирате?","python-ldap не е намерен. Искате ли да го инсталирате?" и така нататък.
След като инсталира всички необходими пакети, инсталаторът иска съгласие за инсталиране на Zextras Docs:
Искате ли да инсталирате Zextras DOCS? – приемете опцията по подразбиране („да“).
След което се отделя известно време за инсталиране на пакетите, самия Zextras Docs и преминаване към въпросите за конфигуратора.
4) Отговаряме на въпроси от конфигуратора
Конфигураторът изисква конфигурационни параметри един по един; в отговор се въвеждат стойностите, получени в стъпка 3 в точка 4.4. Първоначална настройка на настройките и определяне на конфигурационни параметри на LDAP.
В нашия пример настройките изглеждат така:

5) Завършване на инсталирането на Zextras Docs
След като отговори на въпросите на конфигуратора, инсталаторът завършва локалната конфигурация на Документи и регистрира инсталираната услуга на основния сървър на Zimbra, инсталиран по-рано.
За инсталация на един сървър това обикновено е достатъчно, но в някои случаи (ако документите няма да се отварят в Документи в уеб клиента в раздела Диск) може да се наложи да извършите действие, което се изисква за инсталация на няколко сървъра - в нашия пример, на главния сървър на Zimbra, ще трябва да го извършите от потребител на Zimbra Teams /opt/zimbra/libexec/zmproxyconfgen и zmproxyctl рестартиране.
7. Първоначална настройка на Zimbra и Zextras Suite (с изключение на Team)
7.1. Влезте в админ конзолата за първи път
Влезте в браузъра с URL: https:// :7071
Ако желаете, можете да влезете в уеб клиента, като използвате URL: https://
При влизане браузърите показват предупреждение за несигурна връзка поради невъзможност за проверка на сертификата. Трябва да отговорите на браузъра за вашето съгласие да отидете на сайта въпреки това предупреждение. Това се дължи на факта, че след инсталирането се използва самоподписан сертификат X.509 за TLS връзки, който по-късно (при продуктивна употреба - трябва) да бъде заменен с търговски сертификат или друг сертификат, разпознат от използваните браузъри.
Във формуляра за удостоверяване въведете потребителското име във формат admin@<вашият приет пощенски домейн> и администраторската парола на Zimbra, зададена при инсталиране на сървъра на Zimbra в стъпка 4.3 в точка 4.2.
В нашия пример изглежда така:
Административна конзола:

Уеб клиент:

Бележка 1 Ако не посочите приет пощенски домейн, когато влизате в администраторската конзола или уеб клиента, потребителите ще бъдат удостоверени за пощенския домейн, създаден при инсталирането на сървъра на Zimbra. След инсталирането това е единственият приет пощенски домейн, който съществува на този сървър, но докато системата работи, могат да се добавят допълнителни пощенски домейни и тогава изричното посочване на домейна в потребителското име ще има значение.
Бележка 2 Когато влезете в уеб клиента, вашият браузър може да поиска разрешение за показване на известия от сайта. Трябва да се съгласите да получавате известия от този сайт.
Бележка 3 След като влезете в администраторската конзола, може да бъдете уведомени, че има съобщения до администратора, които обикновено ви напомнят да настроите Zextras Backup и/или да закупите Zextras лиценз, преди пробният лиценз по подразбиране да изтече. Тези действия могат да бъдат извършени по-късно и следователно съобщенията, съществуващи към момента на въвеждане, могат да бъдат игнорирани и/или маркирани като прочетени в менюто на Zextras: Zextras Alert.

Бележка 4 Особено важно е да се отбележи, че в монитора за състояние на сървъра състоянието на услугата за документи се показва като „недостъпно“, дори ако документите в уеб клиента работят правилно:

Това е функция на пробната версия и може да бъде коригирана само след закупуване на лиценз и свързване с поддръжката.
7.2. Внедряване на компоненти на Zextras Suite
В менюто Zextras: Core трябва да щракнете върху бутона „Разполагане“ за всички zimlets, които възнамерявате да използвате.

При разполагане на Winterlets се появява диалогов прозорец с резултата от операцията, както следва:

В нашия пример всички Zextras Suite winterlets са разгърнати, след което Zextras: Core формулярът ще приеме следната форма:

7.3. Промяна на настройките за достъп
7.3.1. Промяна на глобалните настройки
В меню Настройки: Глобални настройки, подменю Прокси сървър, променете следните параметри:
Режим на уеб прокси: пренасочване
Активиране на прокси сървър на административната конзола: поставете отметка в квадратчето.
След това кликнете върху „Запазване“ в горната дясна част на формата.
В нашия пример, след направените промени, формулярът изглежда така:

7.3.2. Промени в основните настройки на сървъра на Zimbra
В меню Настройки: Сървъри: <име на главния сървър на Zimbra>, подменю Прокси сървър, променете следните параметри:
Режим на уеб прокси: щракнете върху бутона „Нулиране до стойност по подразбиране“ (самата стойност няма да се промени, тъй като вече е зададена по време на инсталацията). Активирайте прокси сървъра на административната конзола: проверете дали квадратчето е отметнато (стойността по подразбиране трябва да е приложена, ако не е, можете да щракнете върху бутона „Нулиране до стойност по подразбиране“ и/или да я зададете ръчно). След това кликнете върху „Запазване“ в горната дясна част на формата.
В нашия пример, след направените промени, формулярът изглежда така:

Забележка: (може да се наложи рестартиране, ако влизането през този порт не работи)
7.4. Ново влизане в администраторската конзола
Влезте в административната конзола във вашия браузър, като използвате URL: https:// :9071
В бъдеще използвайте този URL за влизане
Забележка: за инсталация на един сървър по правило промените, направени в предишната стъпка, са достатъчни, но в някои случаи (ако страницата на сървъра не се показва при въвеждане на посочения URL адрес), може да се наложи да извършите необходимото действие за многосървърна инсталация - в нашия пример командите на главния сървър на Zimbra ще трябва да се изпълняват като потребител на Zimbra /opt/zimbra/libexec/zmproxyconfgen и zmproxyctl рестартиране.
7.5. Редактиране на COS по подразбиране
В менюто Settings: Service Class изберете COS с име “default”.
В подменюто „Възможности“ премахнете отметката от функцията „Портфолио“, след което щракнете върху „Запазване“ в горната дясна част на формата.
В нашия пример, след конфигуриране, формулярът изглежда така:

Също така се препоръчва да поставите отметка в настройката „Разрешаване на споделяне на файлове и папки“ в подменюто на Диск, след което щракнете върху „Запазване“ в горната дясна част на формата.
В нашия пример, след конфигуриране, формулярът изглежда така:

В тестова среда, в същия клас услуга, можете да активирате Team Pro функции, като поставите отметка със същото име в подменюто Team, след което конфигурационната форма ще приеме следния вид:

Когато функциите на Team Pro са деактивирани, потребителите ще имат достъп само до функциите на Team Basic.
Моля, обърнете внимание, че Zextras Team Pro е лицензиран независимо от Zextras Suite, което ви позволява да го закупите за по-малко пощенски кутии от самия Zextras Suite; Функциите на Team Basic са включени в лиценза за Zextras Suite. Следователно, ако се използва в производствена среда, може да се наложи да създадете отделен клас услуги за потребителите на Team Pro, който включва подходящите функции.
7.6. Настройка на защитната стена
Изисква се за основния сървър на Zimbra:
а) Разрешаване на достъп от интернет до портовете ssh, http/https, imap/imaps, pop3/pop3s, smtp (основният порт и допълнителните портове за използване от пощенски клиенти) и порта на административната конзола.
б) Разрешаване на всички връзки от вътрешната мрежа (за която NAT в интернет беше активиран в стъпка 1.3 в стъпка 1).
Няма нужда да конфигурирате защитна стена за сървъра на Zextras Docs, защото не е достъпен от интернет.
За да направите това, трябва да изпълните следната последователност от действия:
1) Влезте в текстовата конзола на главния сървър на Zimbra. Когато влизате през SSH, трябва да изпълните командата “screen”, за да избегнете прекъсване на изпълнението на командата, ако връзката със сървъра е временно изгубена поради промени в настройките на защитната стена.
2) Изпълнение на команди
sudo ufw allow 22,25,80,110,143,443,465,587,993,995,9071/tcp
sudo ufw allow from <адрес_вашей_сети>/<длина CIDR маски>
sudo ufw enable
В нашия пример изглежда така:

7.7. Проверка на достъпа до уеб клиента и административната конзола
За да наблюдавате функционалността на защитната стена, можете да отидете на следния URL адрес във вашия браузър
Администраторска конзола: https:// :9071
Уеб клиент: http:// (ще има автоматично пренасочване към https:// )
В същото време, използвайки алтернативния URL https:// :7071 Административната конзола не трябва да се отваря.
Уеб клиентът в нашия пример изглежда така:

Забележка. Когато влезете в уеб клиента, вашият браузър може да поиска разрешение за показване на известия от сайта. Трябва да се съгласите да получавате известия от този сайт.
8. Осигуряване на работата на аудио и видео конференции в Zextras Team
8.1. Преглед
Действията, описани по-долу, не са необходими, ако всички клиенти на екипа на Zextras взаимодействат помежду си, без да използват NAT (в този случай взаимодействията със самия сървър на Zimbra могат да се извършват чрез NAT, т.е. важно е да няма NAT между клиенти), или ако се използва само текст месинджър.
За да осигурите взаимодействие с клиента чрез аудио и видеоконференции:
а) Трябва да инсталирате или използвате съществуващ TURN сървър.
б) защото TURN сървърът обикновено има и функционалността на STUN сървър, препоръчително е да го използвате и в това си качество (като алтернатива можете да използвате публични STUN сървъри, но само STUN функционалността обикновено не е достатъчна).
В производствена среда, поради потенциално голямо натоварване, се препоръчва да преместите TURN сървъра на отделна виртуална машина. За тестване и/или леко натоварване сървърът TURN може да се комбинира с основния сървър на Zimbra.
Нашият пример разглежда инсталирането на сървъра TURN на главния сървър на Zimbra. Инсталирането на TURN на отделен сървър е подобно, с изключение на това, че стъпките, свързани с инсталирането и конфигурирането на софтуера TURN, се изпълняват на сървъра TURN, а стъпките за конфигуриране на сървъра Zimbra да използва този сървър се изпълняват на главния сървър на Zimbra.
8.2. Инсталиране на TURN сървър
След като преди това сте влезли през SSH в главния сървър на Zimbra, изпълнете командата
sudo apt install resiprocate-turn-server
8.3. Настройване на TURN сървър
Забележка. За да промените всички следните конфигурационни файлове, редакторът трябва да се стартира с root потребителски права, например „sudo vi /etc/reTurn/reTurnServer.config” или, ако пакетът mc е инсталиран, можете да използвате командата „sudo mcedit /etc/reTurn/reTurnServer.config»
Опростено създаване на потребители
За да опростим създаването и отстраняването на грешки на тестова връзка към TURN сървъра, ние ще деактивираме използването на хеширани пароли в потребителската база данни на TURN сървъра. В производствена среда се препоръчва използването на хеширани пароли; в този случай генерирането на хешове на пароли за тях трябва да се извърши в съответствие с инструкциите, съдържащи се във файловете /etc/reTurn/reTurnServer.config и /etc/reTurn/users.txt.
Последователност на действията:
1) Редактирайте файла /etc/reTurn/reTurnServer.config
Променете стойността на параметъра „UserDatabaseHashedPasswords“ от „true“ на „false“.
2) Редактирайте файла /etc/reTurn/users.txt
Задайте го на потребителско име, парола, област (произволно, не се използва при настройване на връзка със Zimbra) и задайте състоянието на акаунта на „АВТОРИЗИРАН“.
В нашия пример първоначално файлът изглеждаше така:

След редакцията изглеждаше така:

3) Прилагане на конфигурация
Изпълни команда
sudo systemctl restart resiprocate-turn-server
8.4. Настройване на защитна стена за сървъра TURN
На този етап се инсталират допълнителни правила за защитна стена, необходими за работата на TURN сървъра. Трябва да разрешите достъп до основния порт, на който сървърът приема заявки, и до динамичния диапазон от портове, използвани от сървъра за организиране на медийни потоци.
Портовете са посочени във файла /etc/reTurn/reTurnServer.config, в нашия случай това е:

и

За да инсталирате правилата на защитната стена, трябва да изпълните командите
sudo ufw allow 3478,49152:65535/udp
sudo ufw allow 3478,49152:65535/tcp
8.5. Конфигуриране за използване на сървъра TURN в Zimbra
За конфигуриране се използва FQDN на сървъра, сървърът TURN, създаден в стъпка 1.2 от параграф 1, и който трябва да бъде разрешен от DNS сървъри с един и същ публичен IP адрес както за заявки от Интернет, така и за заявки от вътрешни адреси.
Вижте текущата конфигурация на връзката „zxsuite team iceServer get“, работеща под потребителя на zimbra.
За повече информация относно настройването на използването на сървъра TURN вижте раздела „Инсталиране на Zextras Team за използване на сървъра TURN“ в .
За да конфигурирате, трябва да изпълните следните команди на сървъра на Zimbra:
sudo su - zimbra
zxsuite team iceServer add stun:<FQDN вашего сервера TURN>:3478?transport=udp
zxsuite team iceServer add turn:<FQDN вашего сервера TURN>:3478?transport=udp credential <пароль> username <имя пользователя>
zxsuite team iceServer add stun:<FQDN вашего сервера TURN>:3478?transport=tcp
zxsuite team iceServer add turn:<FQDN вашего сервера TURN>:3478?transport=tcp credential <пароль> username <имя пользователя>
zxsuite team iceServer add stun:<FQDN вашего сервера TURN>:3478
logout
Стойностите съответно на потребителското име и паролата, посочени в стъпка 2 в точка 8.3, се използват като <потребителско име> и <парола>.
В нашия пример изглежда така:

9. Разрешаване на пощата да преминава през SMTP протокола
Според , в Yandex.Cloud, изходящият трафик към TCP порт 25 в Интернет и към виртуалните машини на Yandex Compute Cloud винаги се блокира при достъп през публичен IP адрес. Това няма да ви попречи да проверите приемането на поща, изпратена от друг пощенски сървър до приетия пощенски домейн, но ще ви попречи да изпращате поща извън сървъра на Zimbra.
В документацията се посочва, че Yandex.Cloud може да отвори TCP порт 25 при заявка за поддръжка, ако спазвате , и си запазва правото да блокира отново порта в случай на нарушение на правилата. За да отворите порта, трябва да се свържете с поддръжката на Yandex.Cloud.
App
Създаване на SSH ключове в openssh и putty и конвертиране на ключове от putty във формат openssh
1. Създаване на двойки ключове за SSH
В Windows Използване на Putty: Изпълнете командата puttygen.exe и щракнете върху бутона „Генериране“.
В Linux: изпълнение на команда
ssh-keygen
2. Конвертиране на ключове от putty във формат openssh
В Windows:
Последователност на действията:
- Стартирайте програмата puttygen.exe.
- Заредете личния ключ във формат ppk, използвайте елемента от менюто Файл → Зареди частен ключ.
- Въведете паролата, ако се изисква за този ключ.
- Публичният ключ във формат OpenSSH се показва в puttygen с надпис „Публичен ключ за поставяне във файловото поле Authorized_keys на OpenSSH“
- За да експортирате частен ключ във формат OpenSSH, изберете Конверсии → Експортиране на OpenSSH ключ в главното меню
- Запазете личния ключ в нов файл.
В Linux
1. Инсталирайте пакета с инструменти PuTTY:
в Ubuntu:
sudo apt-get install putty-tools
в Debian-подобни разпределения:
apt-get install putty-tools
в RPM-базирани дистрибуции, базирани на yum (CentOS и други):
yum install putty
2. За да конвертирате частния ключ, изпълнете командата:
puttygen <key.ppk> -O private-openssh -o <key_openssh>
3. За да генерирате публичен ключ (ако е необходимо):
puttygen <key.ppk> -O public-openssh -o <key_openssh.pub>
Резултат
След инсталиране в съответствие с препоръките, потребителят получава пощенски сървър Zimbra, конфигуриран в инфраструктурата Yandex.Cloud с разширение Zextras за корпоративни комуникации и сътрудничество с документи. Настройките се правят с определени ограничения за тестова среда, но не е трудно да превключите инсталацията в производствен режим и да добавите опции за използване на хранилище на обекти Yandex.Cloud и други. За въпроси относно внедряването и използването на решението, моля, свържете се с вашия партньор на Zextras - или представители .
За всички въпроси, свързани със Zextras Suite, можете да се свържете с представителя на Zextras Екатерина Триандафилиди по имейл katerina@zextras.com
Източник: www.habr.com
