Ynset fan Zextras / Zimbra kantoar wurkstasjons yn Yandex.Cloud

Ynlieding

It optimalisearjen fan kantoarynfrastruktuer en it ynsetten fan nije wurkromten is in grutte útdaging foar bedriuwen fan alle soarten en maten. De bêste opsje foar in nij projekt is om boarnen yn 'e wolk te hieren en lisinsjes te keapjen dy't kinne wurde brûkt sawol fan 'e provider as yn jo eigen datasintrum. Ien oplossing foar sa'n senario is Zextras Suite, wêrtroch jo in platfoarm meitsje kinne foar gearwurking en bedriuwskommunikaasje fan in bedriuw sawol yn 'e wolkomjouwing as op jo eigen ynfrastruktuer.

De oplossing is ûntworpen foar kantoaren fan elke grutte en hat twa haadynsetsenario's: as jo maksimaal 3000 tûzen postfakken hawwe en d'r binne gjin hege easken foar fouttolerânsje, kinne jo in ynstallaasje fan ien tsjinner brûke, en de opsje foar ynstallaasje fan meardere tsjinners stipet betroubere en responsive operaasje fan tsientûzenen en hûnderttûzenen postfakken. Yn alle gefallen krijt de brûker tagong ta e-post, dokuminten en berjochten fia ien webynterface fan in wurkplak dat elk OS draait sûnder ekstra software te ynstallearjen en te konfigurearjen, of fia mobile applikaasjes foar iOS en Android. It is mooglik om de bekende Outlook- en Thunderbird-kliïnten te brûken.

Om it projekt yn te setten, partner Zextras - SVZ keas Yandex.Cloud om't syn arsjitektuer fergelykber is mei AWS en der is stipe foar S3-kompatibele opslach, dy't de kosten fan it bewarjen fan grutte folumes fan post, berjochten en dokuminten ferminderje en de fouttolerânsje fan 'e oplossing ferheegje.

Yn 'e Yandex.Cloud-omjouwing wurde basis-ark foar firtuele masinebehear brûkt om in inkele tsjinner te ynstallearjen "Compute Cloud" en mooglikheden foar firtuele netwurkbehear "Virtual Private Cloud". Foar ynstallaasje fan meardere tsjinners, neist de opjûne ark, is it nedich om technologyen te brûken "Placement group", as it nedich is (ôfhinklik fan 'e skaal fan it systeem) - ek "Instance Groups", en netwurk balancer Yandex Load Balancer.

S3-kompatible foarwerp opslach Yandex Object Storage kin brûkt wurde yn beide ynstallaasje opsjes, en kin ek wurde ferbûn mei systemen ynset op-premise foar ekonomyske en fout-tolerante opslach fan e-post tsjinner gegevens yn Yandex.Cloud.

Foar in ynstallaasje mei ien tsjinner, ôfhinklik fan it oantal brûkers en/of postfakken, is it folgjende nedich: foar de haadtsjinner 4-12 vCPU, 8-64 GB vRAM (spesifike wearden fan vCPU en vRAM binne ôfhinklik fan it oantal fan brievebussen en de eigentlike lading), op syn minst 80 GB skiif foar it bestjoeringssysteem en applikaasjes, en ek ekstra skiifromte foar it bewarjen fan post, yndeksen, logs, ensfh., ôfhinklik fan it oantal en gemiddelde grutte fan brievebussen en dy dynamyske feroaring tidens systeem operaasje; foar auxiliary Docs-tsjinners: 2-4 vCPU, 2-16 GB vRAM, 16 GB skiifromte (spesifike boarnewearden en oantal tsjinners binne ôfhinklik fan 'e werklike lading); Derneist kin in TURN / STUN-tsjinner ferplicht wurde (syn needsaak as in aparte tsjinner en boarnen binne ôfhinklik fan 'e werklike lading). Foar ynstallaasjes mei meardere tsjinners wurde it oantal en doel fan firtuele masines mei rollen en de dêroan tawiisde boarnen yndividueel bepaald ôfhinklik fan 'e easken fan' e brûker.

Doel fan it artikel

Beskriuwing fan ynset yn 'e Yandex.Cloud-omjouwing fan Zextras Suite-produkten basearre op' e Zimbra-posttsjinner yn 'e ien-tsjinner ynstallaasje opsje. De resultearjende ynstallaasje kin brûkt wurde yn in produksjeomjouwing (erfarne brûkers kinne de nedige ynstellingen meitsje en boarnen tafoegje).

It Zextras Suite/Zimbra-systeem omfettet:

• zimbra - bedriuws-e-post mei de mooglikheid om postfakken, kalinders en kontaktlisten (adresboeken) te dielen.
• Zextras Docs - in ynboude kantoarsuite basearre op LibreOffice online foar it meitsjen en gearwurkjen mei dokuminten, spreadsheets en presintaasjes.
• Zextras Drive - yndividuele bestannen opslach wêrmei jo bestannen en mappen kinne bewurkje, opslaan en diele mei oare brûkers.
• Zextras Team - in boadskipper mei stipe foar audio- en fideokonferinsjes. Beskikbere ferzjes binne Team Basic, dy't allinich 1: 1-kommunikaasje mooglik makket, en Team Pro, dy't meardere brûkerskonferinsjes, kanalen, skermdielen, bestândielen en oare funksjes stipet.
• Zextras Mobile - stipe foar mobile apparaten fia Exchange ActiveSync om e-post te syngronisearjen mei mobile apparaten mei MDM (Mobile Device Management) behearfunksjes. Hjirmei kinne jo Microsoft Outlook brûke as e-postkliïnt.
• Zextras Admin - ymplemintaasje fan systeemadministraasje mei meardere hierders mei delegaasje fan behearders om groepen kliïnten en klassen fan tsjinsten te behearjen.
• Zextras Reservekopy -backup en herstel fan gegevens yn folsleine syklus yn echte tiid
• Zextras Powerstore - hiërargyske opslach fan e-postsysteemobjekten mei stipe foar gegevensferwurkingsklassen, mei de mooglikheid om gegevens lokaal of yn wolkopslach fan 'e S3-arsjitektuer op te slaan, ynklusyf Yandex Object Storage.

Nei it foltôgjen fan de ynstallaasje krijt de brûker in systeem dat wurket yn 'e Yandex.Cloud-omjouwing.

Betingsten en beheiningen

1. It tawizen fan skiifromte foar postfakken, yndeksen en oare gegevenstypen wurdt net behannele, om't Zextras Powerstore meardere opslachtypen stipet. It type en de grutte fan opslach hinget ôf fan 'e taken en systeemparameters. As it nedich is, kin dit letter dien wurde yn it proses fan it konvertearjen fan de beskreaune ynstallaasje yn in produksje.
2. Om de ynstallaasje te ferienfâldigjen, wurdt it gebrûk fan in behearder beheare DNS-tsjinner net beskôge om ynterne (net-iepenbiere) domeinnammen op te lossen; de standert Yandex.Cloud DNS-tsjinner wurdt brûkt. Wannear't brûkt wurdt yn in produksjeomjouwing, wurdt it oanrikkemandearre om in DNS-tsjinner te brûken, dy't al yn 'e bedriuwsynfrastruktuer bestiet.
3. Der wurdt fan útgien dat in akkount yn Yandex.Cloud brûkt wurdt mei standertynstellingen (benammen by it oanmelden by de "Konsole" fan 'e tsjinst is d'r allinich in map (yn' e list "Beskikbere wolken" ûnder de namme standert). Brûkers fertroud mei wurkjen yn Yandex.Cloud, Se kinne, nei eigen goedtinken, meitsje in aparte triemtafel foar de test bank, of brûk in besteande.
4. De brûker moat in iepenbiere DNS-sône hawwe dêr't se bestjoerlike tagong ta hawwe moatte.
5. De brûker moat tagong hawwe ta de map yn 'e Yandex.Cloud "Console" mei op syn minst de rol "bewurker" (de "Cloud Eigner" hat standert alle nedige rjochten; d'r binne hantliedingen foar it jaan fan tagong ta de wolk oan oare brûkers : kearen, два, trije)
6. Dit artikel beskriuwt gjin ynstallaasje fan oanpaste X.509-sertifikaten dy't brûkt wurde om netwurkkommunikaasje te befeiligjen mei TLS-meganismen. Sadree't de ynstallaasje foltôge is, sille sels-ûndertekene sertifikaten brûkt wurde, wêrtroch browsers kinne wurde brûkt om tagong te krijen ta it ynstalleare systeem. Se litte normaal in notifikaasje sjen dat de tsjinner gjin kontrolearber sertifikaat hat, mar kinne jo trochgean mei wurkjen. Oant de ynstallaasje fan sertifikaten ferifiearre troch kliïntapparaten (ûndertekene troch publike en / of bedriuwssertifikaasje-autoriteiten), kinne applikaasjes foar mobile apparaten net wurkje mei it ynstalleare systeem. Dêrom is ynstallaasje fan 'e oantsjutte sertifikaten yn' e produksjeomjouwing needsaaklik, en wurdt útfierd nei foltôging fan 'e test yn oerienstimming mei bedriuwsfeiligensbelied.

Beskriuwing fan it ynstallaasjeproses fan it Zextras / Zimbra-systeem yn 'e ferzje fan "single-server".

1. Foarriedige tarieding

Foardat jo de ynstallaasje begjinne, moatte jo der wis fan wêze:

a) Feroarings oanmeitsje yn 'e iepenbiere DNS-sône (in A-record meitsje foar de Zimbra-tsjinner en in MX-record foar it betsjinne e-postdomein).
b) It ynstellen fan in firtuele netwurkynfrastruktuer yn Yandex.Cloud.

Tagelyk, nei it meitsjen fan wizigingen yn in DNS-sône, duorret it wat tiid foar dizze wizigingen om te propagearjen, mar, oan 'e oare kant, kinne jo gjin A-record oanmeitsje sûnder it IP-adres dat dêrmei ferbûn is te witten.

Dêrom, aksjes wurde útfierd yn de folgjende folchoarder:

1. Reservearje in iepenbier IP-adres yn Yandex.Cloud

1.1 Yn de "Yandex.Cloud Console" (as nedich, selektearje mappen yn "beskikbere wolken"), gean nei de Virtual Private Cloud seksje, IP-adressen subseksje, klik dan op de "Reservearje adres" knop, selektearje jo foarkar beskikber sône (of akkoard mei de foarstelde wearde; dizze beskikberensône moat dêrnei brûkt wurde foar alle aksjes dy't letter beskreaun binne yn Yandex.Cloud, as de oerienkommende formulieren de opsje hawwe om in beskikberensône te selektearjen), yn it dialoochfinster dat iepenet, kinne jo, as jo wolle, mar net needsaaklik, selektearje de opsje "DDoS-beskerming" en klikje op de knop "Reservearje" (sjoch ek dokumintaasje).

Nei it sluten fan it dialoochfinster sil in statysk IP-adres tawiisd troch it systeem beskikber wêze yn 'e list mei IP-adressen, dat kin wurde kopieare en brûkt yn' e folgjende stap.

1.2 Meitsje yn 'e "foarút" DNS-sône in A-record foar de Zimbra-tsjinner dy't wiist nei it earder tawiisde IP-adres, in A-record foar de TURN-tsjinner dy't nei itselde IP-adres wiist, en in MX-record foar it akseptearre e-postdomein. Yn ús foarbyld sille dit respektivelik mail.testmail.svzcloud.ru (Zimbra-tsjinner), turn.testmail.svzcloud.ru (TURN-tsjinner), en testmail.svzcloud.ru (e-postdomein) wêze.

1.3 Yn Yandex.Cloud, yn 'e selektearre beskikberensône foar it subnet dat sil wurde brûkt om firtuele masines yn te setten, ynskeakelje NAT op it ynternet.

Om dit te dwaan, yn 'e seksje Virtual Private Cloud, subseksje "Cloudnetwurken", selektearje it passende wolknetwurk (standert, allinich it standertnetwurk is dêr beskikber), selektearje de passende beskikberensône dêryn en selektearje "NAT ynskeakelje op it ynternet " yn syn ynstellings.

De status sil feroarje yn de list mei subnets:

Foar mear details, sjoch de dokumintaasje: kearen и два.

2. It meitsjen fan firtuele masines

2.1. It meitsjen fan in firtuele masine foar Zimbra

De folchoarder fan aksjes:

2.1.1 Yn 'e "Yandex.Cloud-konsole", gean nei de seksje Compute Cloud, subseksje "Firtuele masines", klikje op de knop "VM oanmeitsje" (foar mear ynformaasje oer it meitsjen fan in VM, sjoch dokumintaasje).

2.1.2 Dêr moatte jo ynstelle:

• Namme - willekeurich (yn oerienstimming mei it formaat stipe troch Yandex.Cloud)
• Beskikberensône - moat oerienkomme mei de earder selektearre foar it firtuele netwurk.
• Yn "Iepenbiere ôfbyldings" selektearje Ubuntu 18.04 lts
• Ynstallearje in bootdisk fan op syn minst 80GB yn grutte. Foar testdoelen is in HDD-type genôch (en ek foar produktyf gebrûk, op betingst dat guon soarten gegevens wurde oerbrocht nei SSD-type skiven). As it nedich is, kinne ekstra skiven tafoege wurde nei it meitsjen fan de VM.

Yn "komputerboarnen" set:

• vCPU: op syn minst 4.
• Garandearre oandiel fan vCPU: foar de doer fan 'e aksjes beskreaun yn it artikel, op syn minst 50%; nei ynstallaasje, as it nedich is, kin it wurde fermindere.
• RAM: 8GB oanrikkemandearre.
• Subnet: selektearje in subnet wêrfoar Ynternet NAT ynskeakele wie yn 'e foarriedige tariedingsfaze.
• Iepenbier adres: selektearje út de list it IP-adres dat earder is brûkt om it A-record yn DNS te meitsjen.
• Brûker: nei eigen goedtinken, mar oars as de root-brûker en fan Linux-systeemakkounts.
• Jo moatte in iepenbiere (iepen) SSH-kaai opjaan.

→ Learje mear oer it brûken fan SSH

Sjoch ek 1-app. SSH-kaaien oanmeitsje yn openssh en stopverf en toetsen konvertearje fan stopverf nei openssh-formaat.

2.1.3 As de opset foltôge is, klikje jo op "VM oanmeitsje".

2.2. It meitsjen fan in firtuele masine foar Zextras Docs

De folchoarder fan aksjes:

2.2.1 Yn 'e "Yandex.Cloud-konsole", gean nei de seksje Compute Cloud, subseksje "Firtuele masines", klikje op de knop "VM oanmeitsje" (foar mear ynformaasje oer it meitsjen fan in VM, sjoch hjir).

2.2.2 Dêr moatte jo ynstelle:

• Namme - willekeurich (yn oerienstimming mei it formaat stipe troch Yandex.Cloud)
• Beskikberensône - moat oerienkomme mei de earder selektearre foar it firtuele netwurk.
• Yn "Iepenbiere ôfbyldings" selektearje Ubuntu 18.04 lts
• Ynstallearje in bootdisk fan op syn minst 80GB yn grutte. Foar testdoelen is in HDD-type genôch (en ek foar produktyf gebrûk, op betingst dat guon soarten gegevens wurde oerbrocht nei SSD-type skiven). As it nedich is, kinne ekstra skiven tafoege wurde nei it meitsjen fan de VM.

Yn "komputerboarnen" set:

• vCPU: op syn minst 2.
• Garandearre oandiel fan vCPU: foar de doer fan 'e aksjes beskreaun yn it artikel, op syn minst 50%; nei ynstallaasje, as it nedich is, kin it wurde fermindere.
• RAM: op syn minst 2GB.
• Subnet: selektearje in subnet wêrfoar Ynternet NAT ynskeakele wie yn 'e foarriedige tariedingsfaze.
• Iepenbier adres: gjin adres (dizze masine hat gjin tagong fan it ynternet nedich, allinich útgeande tagong fan dizze masine nei it ynternet, dat wurdt levere troch de opsje "NAT nei ynternet" fan it brûkte subnet).
• Brûker: nei eigen goedtinken, mar oars as de root-brûker en fan Linux-systeemakkounts.
• Jo moatte perfoarst in iepenbiere (iepen) SSH-kaai ynstelle, jo kinne deselde brûke as foar de Zimbra-tsjinner, jo kinne in apart kaaipaar generearje, om't de priveekaai foar de Zextras Docs-tsjinner op 'e Zimbra-tsjinner pleatst wurde moat skiif.

Sjoch ek bylage 1. SSH-kaaien oanmeitsje yn openssh en putty en toetsen konvertearje fan stopverf nei openssh-formaat.

2.2.3 As de opset foltôge is, klikje jo op "VM oanmeitsje".

2.3 De oanmakke firtuele masines sille beskikber wêze yn 'e list mei firtuele masines, dy't benammen har status en de brûkte IP-adressen werjaan, sawol iepenbier as yntern. Ynformaasje oer IP-adressen sil ferplicht wurde yn folgjende ynstallaasjestappen.

3. Tariede de Zimbra tsjinner foar ynstallaasje

3.1 Ynstallearje updates

Jo moatte oanmelde by de Zimbra-tsjinner op it iepenbiere IP-adres mei jo foarkar ssh-kliïnt mei de privee ssh-kaai en mei de oantsjutte brûkersnamme by it meitsjen fan de firtuele masine.

Nei it oanmelden, útfiere de kommando's:

sudo apt update
sudo apt upgrade

(by it útfieren fan it lêste kommando, antwurdzje "y" op de fraach oft jo wis binne oer it ynstallearjen fan de foarstelde list mei updates)

Nei it ynstallearjen fan de updates kinne jo (mar binne net ferplichte) it kommando útfiere:

sudo apt autoremove

En oan 'e ein fan' e stap, útfiere it kommando

sudo shutdown –r now

3.2 Oanfoljende ynstallaasje fan applikaasjes

Jo moatte in NTP-kliïnt ynstallearje om de systeemtiid en de skermapplikaasje te syngronisearjen mei it folgjende kommando:

sudo apt install ntp screen

(As jo ​​​​it lêste kommando útfiere, antwurdzje "y" as jo frege wurde as jo wis binne dat jo de taheakke list mei pakketten ynstallearje)

Jo kinne ek ekstra nutsbedriuwen ynstallearje foar it gemak fan de behearder. Bygelyks, Midnight Commander kin ynstalleare wurde mei it kommando:

sudo apt install mc

3.3. It feroarjen fan it systeem konfiguraasje

3.3.1 Yn triem /etc/cloud/cloud.cfg.d/95-yandex-cloud.cfg feroarje parameter wearde beheare_etc_hosts c wier op falsk.

Opmerking: om dizze triem te feroarjen, moat de bewurker wurde útfierd mei root-brûkersrjochten, bygelyks "sudo vi /etc/cloud/cloud.cfg.d/95-yandex-cloud.cfg" of, as it mc-pakket is ynstalleare, kinne jo it kommando brûke "sudo mcedit /etc/cloud/cloud.cfg.d/95-yandex-cloud.cfg»

3.3.2 Bewurkje / etc / hosts as folget, it ferfangen fan yn 'e rigel dy't de FQDN fan' e host definiearret it adres fan 127.0.0.1 nei it ynterne IP-adres fan dizze tsjinner, en de namme fan 'e folsleine namme yn' e .internal sône nei de publike namme fan 'e tsjinner oantsjutte earder yn 'e A -record fan de DNS sône, en de oerienkommende troch feroarjen fan de koarte hostnamme (as it is oars út de koarte hostnamme út de iepenbiere DNS A record).

Bygelyks, yn ús gefal seach it hosts-bestân der út:

Nei it bewurkjen seach it der sa út:

Opmerking: om dizze triem te feroarjen, moat de bewurker wurde útfierd mei root-brûkersrjochten, bygelyks "sudo vi /etc/hosts" of, as it mc-pakket is ynstalleare, kinne jo it kommando brûke "sudo mcedit /etc/hosts»

3.4 Stel brûkerswachtwurd yn

Dit is nedich om't yn 'e takomst de firewall sil wurde konfigureare, en as der problemen mei him ûntsteane, as de brûker in wachtwurd hat, sil it mooglik wêze om oan te melden by de firtuele masine mei de seriële konsole fan Yandex. Cloud-webkonsole en skeakelje de firewall út en/of reparearje de flater. By it meitsjen fan in firtuele masine hat de brûker gjin wachtwurd, en dêrom is tagong allinich mooglik fia SSH mei help fan kaaiferifikaasje.

Om it wachtwurd yn te stellen moatte jo it kommando útfiere:

sudo passwd <имя пользователя>

Bygelyks, yn ús gefal sil it kommando wêze "sudo passwd brûker".

4. Ynstallaasje fan Zimbra en Zextras Suite

4.1. It ynladen fan Zimbra- en Zextras Suite-distribúsjes

4.1.1 It downloaden fan de Zimbra-distribúsje

De folchoarder fan aksjes:

1) Gean nei URL mei browser www.zextras.com/download-zimbra-9 en folje it formulier yn. Jo sille in e-post krije mei keppelings om Zimbra te downloaden foar ferskate OS's.

2) Selektearje de hjoeddeistige distribúsjeferzje foar it Ubuntu 18.04 LTS-platfoarm en kopiearje de keppeling

3) Download de Zimbra-distribúsje nei de Zimbra-tsjinner en pak it út. Om dit te dwaan, útfiere de kommando's yn in ssh-sesje op 'e zimbra-tsjinner

cd ~
mkdir zimbra
cd zimbra
wget <url, скопированный на предыдущем шаге>
tar –zxf <имя скачанного файла>

(yn ús foarbyld is dit "tar –zxf zcs-9.0.0_OSE_UBUNTU18_latest-zextras.tgz")

4.1.2 It ynladen fan de Zextras Suite-distribúsje

De folchoarder fan aksjes:

1) Gean nei URL mei browser www.zextras.com/download

2) Folje it formulier yn troch de fereaske gegevens yn te fieren en klikje op de knop "DOWNLOAD NOW".

3) De downloadside sil iepenje

It hat twa URL's fan belang foar ús: ien oan 'e boppekant fan' e side foar de Zextras Suite sels, dy't wy no nedich binne, en de oare oan 'e ûnderkant yn it Docs Server-blok foar Ubuntu 18.04 LTS, dat letter nedich is om ynstallearje Zextras Docs op in VM foar Docs.

4) Download de Zextras Suite-distribúsje nei de Zimbra-tsjinner en útpakke it. Om dit te dwaan, útfiere de kommando's yn in ssh-sesje op 'e zimbra-tsjinner

cd ~
mkdir zimbra
cd zimbra

(as de aktuele map net feroare is nei de foarige stap, kinne de boppesteande kommando's weilitten wurde)

wget http://download.zextras.com/zextras_suite-latest.tgz
tar –zxf zextras_suite-latest.tgz

4.2. Ynstallaasje fan Zimbra

Bestân fan aksjes

1) Gean nei de map wêr't de bestannen yn stap 4.1.1 útpakt binne (kin besjoen wurde mei it kommando ls yn 'e ~/zimbra-map).

Yn ús foarbyld soe it wêze:

cd ~/zimbra/zcs-9.0.0_OSE_UBUNTU18_latest-zextras/zimbra-installer

2) Rin de Zimbra-ynstallaasje út mei it kommando

sudo ./install.sh

3) Wy beantwurdzje de fragen fan 'e ynstallearder

Jo kinne de fragen fan 'e ynstallearder beantwurdzje mei "y" (komt oerien mei "ja"), "n" (komt oerien mei "nee"), of de suggestje fan 'e ynstallearder ûnferoare litte (it biedt opsjes, werjaan se yn fjouwerkante heakjes, bygelyks, " [Y]" of "[N]."

Binne jo it iens mei de betingsten fan 'e software-lisinsje-oerienkomst? - Ja.

Brûk Zimbra's pakketrepository? - standert (ja).

"Zimbra-ldap ynstallearje?","Zimbra-logger ynstallearje?","Zimbra-mta ynstallearje?" - standert (ja).

Ynstallearje zimbra-dnscache? - nee (it bestjoeringssysteem hat syn eigen caching DNS-tsjinner standert ynskeakele, dus dit pakket sil der in konflikt mei hawwe fanwegen de brûkte havens).

Ynstallearje zimbra-snmp? - as jo wolle, kinne jo de standertopsje ferlitte (ja), jo hoege dit pakket net te ynstallearjen. Yn ús foarbyld is de standertopsje lofts.

"Zimbra-winkel ynstallearje?","Zimbra-apache ynstallearje?","Ynstallearje zimbra-spell?","Zimbra-memcached ynstallearje?","Zimbra-proxy ynstallearje?" - standert (ja).

Ynstallearje zimbra-snmp? - nee (it pakket wurdt eins net stipe en wurdt funksjoneel ferfongen troch Zextras Drive).

Zimbra-imapd ynstallearje? - standert (nee).

Ynstallearje zimbra-chat? - nee (funksjoneel ferfongen troch Zextras Team)

Dêrnei sil de ynstallearder freegje oft de ynstallaasje trochgean moat?

Wy antwurdzje "ja" as wy trochgean kinne, oars antwurdzje wy "nee" en krije de kâns om de antwurden op earder stelde fragen te feroarjen.

Nei it ynstimmen om troch te gean, sil de ynstallearder de pakketten ynstallearje.

4.) Wy beantwurdzje fragen fan 'e primêre konfigurator

4.1) Om't yn ús foarbyld de DNS-namme fan 'e e-posttsjinner (In recordnamme) en de namme fan it betsjinne e-postdomein (MX-recordnamme) ferskillend binne, toant de konfigurator in warskôging en freget jo om de namme fan it betsjinne e-postdomein yn te stellen. Wy geane akkoard mei syn foarstel en fier de namme fan it MX-record yn. Yn ús foarbyld sjocht it der sa út:

Opmerking: jo kinne it betsjinne e-postdomein ek ynstelle om oars te wêzen as de tsjinnernamme as de tsjinnernamme in MX-record hat mei deselde namme.

4.2) De konfigurator toant it haadmenu.

Wy moatte it Zimbra administrator wachtwurd ynstelle (menu item 6 yn ús foarbyld), sûnder dat it ûnmooglik is om de ynstallaasje troch te gean, en de zimbra-proxy ynstelling feroarje (menu item 8 yn ús foarbyld; as it nedich is, kin dizze ynstelling feroare wurde nei ynstallaasje).

4.3) It feroarjen fan zimbra-winkelynstellingen

Fier it menu-itemnûmer yn yn 'e konfiguratorprompt en druk op Enter. Wy komme nei it opslachynstellingsmenu:

wêr't wy yn 'e konfigurator-útnoeging it nûmer fan it menu-item Admin Wachtwurd ynfiere (yn ús foarbyld 4), druk op Enter, wêrnei't de konfigurator in willekeurich oanmakke wachtwurd biedt, wêrmei jo it iens kinne (ûnthâlde it) of jo eigen ynfiere. Yn beide gefallen moatte jo oan it ein op Enter drukke, wêrnei't it item "Admin Wachtwurd" de marker sil fuortsmite om te wachtsjen op ynformaasjeynfier fan 'e brûker:

Wy geane werom nei it foarige menu (wy iens mei it foarstel fan de konfigurator).

4.4) It feroarjen fan zimbra-proxy ynstellings

Nei analogy mei de foarige stap, selektearje yn it haadmenu it nûmer fan it item "zimbra-proxy" en fier it yn 'e konfigurator-prompt.

Selektearje yn it Proxy-konfiguraasjemenu dat iepent it nûmer fan it item "Proxyservermodus" en fier it yn yn 'e konfiguratorprompt.

De konfigurator sil biede om ien fan 'e modi te selektearjen, ynfiere "trochferwizing" yn syn prompt en druk op Enter.

Dêrnei geane wy ​​werom nei it haadmenu (wy binne it iens mei it foarstel fan 'e konfigurator).

4.5) Running konfiguraasje

Om de konfiguraasje te begjinnen, fier "a" yn by de konfiguratorprompt. Hjirnei sil it freegje oft de ynfierde konfiguraasje opslein wurde moat yn in bestân (dat kin brûkt wurde foar opnij ynstallaasje) - jo kinne akkoard wurde mei it standertfoarstel, as it opslaan is dien - sil it freegje yn hokker bestân de konfiguraasje opslaan (jo kin ek akkoard wurde mei it standertfoarstel of jo eigen bestânsnamme ynfiere).

Op dit stadium kinne jo noch wegerje om troch te gean en wizigingen oan te bringen yn 'e konfiguraasje troch yn te stimmen mei it standertantwurd op' e fraach "It systeem sil wizige wurde - trochgean?"

Om de ynstallaasje te begjinnen, moatte jo dizze fraach "Ja" beantwurdzje, wêrnei't de konfigurator de earder ynfierde ynstellings foar in skoft sil tapasse.

4.6) It foltôgjen fan de Zimbra-ynstallaasje

Foar it foltôgjen sil de ynstallearder freegje oft Zimbra ynformearje moat oer de ynstallaasje. Jo kinne ynstimme mei it standertfoarstel of wegerje (troch "Nee" te beantwurdzjen) de notifikaasje.

Hjirnei sil it ynstallearder in skoft trochgean mei it útfieren fan lêste operaasjes en in notifikaasje werjaan dat systeemkonfiguraasje kompleet is mei in prompt om op elke toets te drukken om it ynstallearder te ferlitten.

4.3. Ynstallaasje fan Zextras Suite

Foar mear ynformaasje oer it ynstallearjen fan Zextras Suite, sjoch ynstruksje.

De folchoarder fan aksjes:

1) Gean nei de map wêr't de bestannen yn stap 4.1.2 útpakt binne (kin besjoen wurde mei it kommando ls yn 'e ~/zimbra-map).

Yn ús foarbyld soe it wêze:

cd ~/zimbra/zextras_suite

2) Laad de Zextras Suite-ynstallaasje út mei it kommando

sudo ./install.sh all

3) Wy beantwurdzje de fragen fan 'e ynstallearder

It prinsipe fan wurking fan 'e ynstallearder is fergelykber mei dat fan' e Zimbra-ynstallearder, útsein foar it ûntbrekken fan in konfigurator. Jo kinne de fragen fan 'e ynstallearder beantwurdzje mei "y" (komt oerien mei "ja"), "n" (komt oerien mei "nee"), of de suggestje fan 'e ynstallearder ûnferoare litte (it biedt opsjes, werjaan se yn fjouwerkante heakjes, bygelyks, " [Y]" of "[N]."

Om it ynstallaasjeproses te begjinnen, moatte jo konsekwint "ja" beantwurdzje op 'e folgjende fragen:

Binne jo it iens mei de betingsten fan 'e software-lisinsje-oerienkomst?
Wolle jo dat Zextras Suite de ZAL-biblioteek automatysk downloade, ynstallearje en opwurdearje?

Hjirnei sil in notifikaasje werjûn wurde dy't jo freget om op Enter te drukken om troch te gean:

Nei it drukken op Enter sil it ynstallaasjeproses begjinne, soms ûnderbrutsen troch fragen, wêrop wy lykwols beantwurdzje troch yn te stimmen mei de standert suggestjes ("ja"), nammentlik:

Zextras Suite Core sil no ynstalleare wurde. Trochgean?
Wolle jo de Zimbra-webapplikaasje (postfak) stopje?
De Zextras Suite Zimlet sil no ynstalleare wurde. Trochgean?

Foardat it lêste diel fan 'e ynstallaasje begjint, sille jo op 'e hichte wurde dat jo it DOS-filter moatte konfigurearje en jo freegje om op Enter te drukken om troch te gean. Nei it drukken op Enter begjint it lêste diel fan 'e ynstallaasje, oan' e ein wurdt in lêste notifikaasje werjûn en de ynstallearder foltôget.

4.4. Initial opset tuning en bepaling fan LDAP konfiguraasje parameters

1) Alle folgjende aksjes wurde útfierd ûnder de zimbra-brûker. Om dit te dwaan moatte jo it kommando útfiere

sudo su - zimbra

2) Feroarje de DOS-filterynstelling mei it kommando

zmprov mcf zimbraHttpDosFilterMaxRequestsPerSec 150

3) Om Zextras Docs te ynstallearjen, sille jo ynformaasje nedich hawwe oer guon Zimbra-konfiguraasjeopsjes. Om dit te dwaan kinne jo it kommando útfiere:

zmlocalconfig –s | grep ldap

Yn ús foarbyld sil de folgjende ynformaasje werjûn wurde:

Foar fierdere gebrûk sille jo ldap_url, zimbra_ldap_password (en zimbra_ldap_userdn) nedich wêze, hoewol it ynstallearder fan Zextras Docs meastentiids korrekte rieden makket oer de LDAP-brûkersnamme).

4) Ofslute as zimbra-brûker troch it kommando út te fieren
útlogge

5. Tariede de Docs tsjinner foar ynstallaasje

5.1. SSH-privee-kaai opladen nei Zimbra-tsjinner en oanmelde by Docs-tsjinner

It is needsaaklik om op 'e Zimbra-tsjinner de priveekaai fan it SSH-kaaipaar te pleatsen, wêrfan de iepenbiere kaai brûkt waard yn stap 2.2.2 fan klausule 2.2 by it meitsjen fan de Docs firtuele masine. It kin wurde opladen nei de tsjinner fia SSH (bygelyks fia sftp) of plakke fia it klamboerd (as de mooglikheden fan 'e brûkte SSH-kliïnt en syn útfieringsomjouwing it tastean).

Wy geane derfan út dat de privee kaai is pleatst yn it bestân ~/.ssh/docs.key en de brûker dy't brûkt wurdt om oan te melden by de Zimbra-tsjinner de eigner is (as de ynlaad/oanmeitsjen fan dit bestân waard útfierd ûnder dizze brûker, hy automatysk waard de eigner).

Jo moatte it kommando ienris útfiere:

chmod 600 ~/.ssh/docs.key

Yn 'e takomst, om oan te melden by de Docs-tsjinner, moatte jo de folgjende folchoarder fan aksjes útfiere:

1) Oanmelde by de Zimbra-tsjinner

2) Kommando útfiere

ssh -i ~/.ssh/docs.key user@<внутренний ip-адрес сервера Docs>

Wêr't de wearde <ynterne IP-adres fan 'e Docs-tsjinner> te finen is yn 'e "Yandex.Cloud Console", bygelyks, lykas werjûn yn paragraaf 2.3.

5.2. Ynstallearje updates

Nei it oanmelden by de Docs-tsjinner, útfiere kommando's lykas dy foar de Zimbra-tsjinner:

sudo apt update
sudo apt upgrade

(by it útfieren fan it lêste kommando, antwurdzje "y" op de fraach oft jo wis binne oer it ynstallearjen fan de foarstelde list mei updates)

Nei it ynstallearjen fan de updates kinne jo (mar binne net ferplichte) it kommando útfiere:

sudo apt autoremove

En oan 'e ein fan' e stap, útfiere it kommando

sudo shutdown –r now

5.3. Oanfoljende ynstallaasje fan applikaasjes

Jo moatte in NTP-kliïnt ynstallearje om de systeemtiid en de skermapplikaasje te syngronisearjen, fergelykber mei deselde aksje foar de Zimbra-tsjinner, mei it folgjende kommando:

sudo apt install ntp screen

(As jo ​​​​it lêste kommando útfiere, antwurdzje "y" as jo frege wurde as jo wis binne dat jo de taheakke list mei pakketten ynstallearje)

Jo kinne ek ekstra nutsbedriuwen ynstallearje foar it gemak fan de behearder. Bygelyks, Midnight Commander kin ynstalleare wurde mei it kommando:

sudo apt install mc

5.4. It feroarjen fan it systeem konfiguraasje

5.4.1. Yn de triem /etc/cloud/cloud.cfg.d/95-yandex-cloud.cfg, op deselde wize as foar de Zimbra-tsjinner, feroarje de wearde fan de parameter manage_etc_hosts fan wier nei falsk.

Opmerking: om dizze triem te feroarjen, moat de bewurker wurde útfierd mei root-brûkersrjochten, bygelyks "sudo vi /etc/cloud/cloud.cfg.d/95-yandex-cloud.cfg" of, as it mc-pakket is ynstalleare, kinne jo it kommando brûke "sudo mcedit /etc/cloud/cloud.cfg.d/95-yandex-cloud.cfg»

5.4.2. Bewurkje /etc/hosts, it tafoegjen fan it iepenbiere FQDN fan 'e Zimbra-tsjinner, mar mei it ynterne IP-adres tawiisd troch Yandex.Cloud. As jo ​​​​in behearder-kontroleare ynterne DNS-tsjinner hawwe dy't brûkt wurdt troch firtuele masines (bygelyks yn in produksjeomjouwing), en by steat is om de iepenbiere FQDN fan 'e Zimbra-tsjinner op te lossen mei it ynterne IP-adres by it ûntfangen fan in fersyk fan it ynterne netwurk (foar fersiken fan it ynternet, de FQDN fan 'e Zimbra-tsjinner moat wurde oplost mei it iepenbiere IP-adres, en de TURN-tsjinner moat altyd wurde oplost troch in iepenbier IP-adres, ynklusyf by tagong fan ynterne adressen), dizze operaasje is net fereaske.

Bygelyks, yn ús gefal seach it hosts-bestân der út:

Nei it bewurkjen seach it der sa út:

Opmerking: om dizze triem te feroarjen, moat de bewurker wurde útfierd mei root-brûkersrjochten, bygelyks "sudo vi /etc/hosts" of, as it mc-pakket is ynstalleare, kinne jo it kommando brûke "sudo mcedit /etc/hosts»

6. Ynstallaasje fan Zextras Docs

6.1. Oanmelde by Docs tsjinner

De proseduere foar it ynloggen op de Docs-tsjinner wurdt beskreaun yn klausule 5.1.

6.2. It ynladen fan de Zextras Docs-distribúsje

De folchoarder fan aksjes:

1) Fan 'e side wêrfan yn klausule 4.1.2. De Zextras Suite-distribúsje downloade Download de Zextras Suite-distribúsje (yn stap 3), kopiearje de URL foar it bouwen fan Docs foar Ubuntu 18.04 LTS (as it net earder kopiearre is).

2) Download de Zextras Suite-distribúsje nei de Zimbra-tsjinner en útpakke it. Om dit te dwaan, útfiere de kommando's yn in ssh-sesje op 'e zimbra-tsjinner

cd ~
mkdir zimbra
cd zimbra
wget <URL со страницы скачивания>

(yn ús gefal wurdt it kommando "wget" útfierd download.zextras.com/zextras-docs-installer/latest/zextras-docs-ubuntu18.tgz")

tar –zxf <имя скачанного файла>

(yn ús gefal wurdt it kommando "tar -zxf zextras-docs-ubuntu18.tgz" útfierd)

6.3. Ynstallaasje fan Zextras Docs

Foar mear ynformaasje oer it ynstallearjen en konfigurearjen fan Zextras Docs, sjoch hjir.

De folchoarder fan aksjes:

1) Gean nei de map wêr't de bestannen yn stap 4.1.1 útpakt binne (kin besjoen wurde mei it kommando ls yn 'e ~/zimbra-map).

Yn ús foarbyld soe it wêze:

cd ~/zimbra/zextras-docs-installer

2) Rin de Zextras Docs-ynstallaasje út mei it kommando

sudo ./install.sh

3) Wy beantwurdzje de fragen fan 'e ynstallearder

Jo kinne de fragen fan 'e ynstallearder beantwurdzje mei "y" (komt oerien mei "ja"), "n" (komt oerien mei "nee"), of de suggestje fan 'e ynstallearder ûnferoare litte (it biedt opsjes, werjaan se yn fjouwerkante heakjes, bygelyks, " [Y]” of “[N]”).

Systeem sil wizige wurde, wolle jo trochgean? - akseptearje de standertopsje ("ja").

Hjirnei sil de ynstallaasje fan ôfhinklikens begjinne: it ynstallearder sil sjen litte hokker pakketten it ynstallearje wol en freegje om befêstiging om se te ynstallearjen. Yn alle gefallen binne wy ​​it iens mei de standertoanbiedingen.

Hy kin bygelyks freegje "python2.7 net fûn. Wolle jo it ynstallearje?»,«python-ldap net fûn. Wolle jo it ynstallearje?"ensfh.

Nei it ynstallearjen fan alle nedige pakketten freget de ynstallearder tastimming om Zextras Docs te ynstallearjen:

Wolle jo Zextras DOCS ynstallearje? - akseptearje de standertopsje ("ja").

Hjirnei wurdt wat tiid bestege oan it ynstallearjen fan de pakketten, Zextras Docs sels, en trochgean nei de konfiguratorfragen.

4) Wy beantwurdzje fragen fan 'e konfigurator

De konfigurator freget ien foar ien konfiguraasjeparameters oan; as antwurd wurde de wearden krigen yn stap 3 yn klausule 4.4 ynfierd. Initial tuning fan ynstellings en bepaling fan LDAP konfiguraasje parameters.

Yn ús foarbyld sjogge de ynstellings der sa út:

5) De ynstallaasje fan Zextras Docs foltôgje

Nei it beantwurdzjen fan 'e fragen fan' e konfigurator foltôget de ynstallearder de lokale Docs-konfiguraasje en registrearret de ynstalleare tsjinst op 'e haad Zimbra-tsjinner dy't earder ynstallearre is.

Foar in ynstallaasje mei ien tsjinner is dit meastal genôch, mar yn guon gefallen (as dokuminten net wurde iepene yn Docs yn 'e webclient op it ljepblêd Drive) moatte jo miskien in aksje útfiere dy't nedich is foar in ynstallaasje mei meardere tsjinners - yn ús foarbyld, op 'e haad Zimbra-tsjinner, moatte jo it útfiere fan ûnder Zimbra Teams-brûker /opt/zimbra/libexec/zmproxyconfgen и zmproxyctl opnij starte.

7. Inisjele opset fan Zimbra en Zextras Suite (útsein Team)

7.1. Oanmelde by de admin konsole foar de earste kear

Oanmelde yn browser mei URL: https:// :7071

As jo ​​​​wolle, kinne jo oanmelde by de webclient mei de URL: https://

By it oanmelden litte browsers in warskôging sjen oer in ûnfeilige ferbining fanwegen it ûnfermogen om it sertifikaat te ferifiearjen. Jo moatte reagearje op de browser oer jo tastimming te gean nei de side nettsjinsteande dizze warskôging. Dit komt troch it feit dat nei ynstallaasje in sels-ûndertekene X.509-sertifikaat wurdt brûkt foar TLS-ferbiningen, dat letter (yn produktyf gebrûk - moat) wurde ferfongen troch in kommersjeel sertifikaat of in oar sertifikaat dat erkend wurdt troch de brûkte browsers.

Fier yn it autentikaasjeformulier de brûkersnamme yn yn it formaat admin@<jo akseptearre e-postdomein> en it Zimbra-behearderwachtwurd opjûn by it ynstallearjen fan de Zimbra-tsjinner yn stap 4.3 yn klausule 4.2.

Yn ús foarbyld sjocht it der sa út:

Behearkonsole:

Web client:

Opmerking 1. As jo ​​gjin akseptearre e-postdomein oantsjutte by it oanmelden by de admin-konsole of webklient, sille brûkers wurde authentisearre foar it e-postdomein dat makke is by it ynstallearjen fan de Zimbra-tsjinner. Nei ynstallaasje is dit it ienige akseptearre e-postdomein dat bestiet op dizze tsjinner, mar as it systeem wurket, kinne ekstra e-postdomeinen tafoege wurde, en dan sil it eksplisyt spesifisearje it domein yn 'e brûkersnamme in ferskil meitsje.

Opmerking 2. As jo ​​ynlogge by de webclient, kin jo browser om tastimming freegje om notifikaasjes fan 'e side wer te jaan. Jo moatte akkoard te ûntfangen meidielings fan dizze side.

Opmerking 3. Nei it oanmelden by de behearderkonsole kinne jo op 'e hichte wurde dat d'r berjochten binne nei de behearder, dy't jo gewoanlik herinnerje om Zextras Reservekopy yn te stellen en/of in Zextras-lisinsje te keapjen foardat de standertproeflisinsje ferrint. Dizze aksjes kinne letter wurde útfierd, en dêrom kinne berjochten besteande op it momint fan yngong wurde negearre en / of markearre as lêzen yn it Zextras-menu: Zextras Alert.

Opmerking 4. It is foaral wichtich om te notearjen dat yn 'e serverstatusmonitor de status fan' e Docs-tsjinst wurdt werjûn as "net beskikber", sels as Docs yn 'e webclient goed wurket:

Dit is in funksje fan 'e proefferzje en kin allinich wurde reparearre nei it keapjen fan in lisinsje en kontakt opnimme mei stipe.

7.2. Ynset fan Zextras Suite-komponinten

Yn it Zextras: Core-menu moatte jo klikke op de knop "Deploy" foar alle zimlets dy't jo fan doel binne te brûken.

By it ynsetten fan winterlets ferskynt in dialooch mei it resultaat fan 'e operaasje as folget:

Yn ús foarbyld wurde alle Zextras Suite-winterlets ynset, wêrnei't de Zextras: Core-foarm de folgjende foarm sil nimme:

7.3. Feroarje tagong ynstellings

7.3.1. Globale ynstellings feroarje

Yn it Ynstellingsmenu: Globale ynstellings, Submenu Proxy-tsjinner, feroarje de folgjende parameters:

Webproxymodus: trochferwizing
Proxyserver foar administraasjekonsole ynskeakelje: selektearje it fakje.
Klikje dan op "Bewarje" yn 'e rjochter boppeste diel fan it formulier.

Yn ús foarbyld, nei de makke wizigingen, sjocht it formulier der sa út:

7.3.2. Feroarings oan de wichtichste Zimbra tsjinner ynstellings

Yn it menu Ynstellings: Servers: <namme fan de haad Zimbra-tsjinner>, submenu Proxy-tsjinner, feroarje de folgjende parameters:

Webproxy-modus: klikje op de knop "Weromsette nei standertwearde" (de wearde sels sil net feroarje, om't it al ynsteld wie tidens de ynstallaasje). Skeakelje de proxy-tsjinner fan de administraasjekonsole yn: kontrolearje dat it karfakje ynskeakele is (de standertwearde soe tapast wêze moatte, as net, kinne jo op de knop "Reset nei standertwearde" klikke en/of it manuell ynstelle). Klikje dan op "Bewarje" yn 'e rjochter boppeste diel fan it formulier.

Yn ús foarbyld, nei de makke wizigingen, sjocht it formulier der sa út:

Opmerking: (in opnij starte kin nedich wêze as it oanmelde op dizze poarte net wurket)

7.4. Nije oanmelding foar adminkonsole

Oanmelde by de admin konsole yn jo browser mei de URL: https:// :9071
Brûk yn 'e takomst dizze URL om oan te melden

Opmerking: foar ynstallaasje fan ien tsjinner binne yn 'e regel de wizigingen makke yn' e foarige stap genôch, mar yn guon gefallen (as de serverside net werjûn wurdt by it ynfieren fan 'e opjûne URL), moatte jo miskien in ferplichte aksje útfiere foar in ynstallaasje mei meardere tsjinners - yn ús foarbyld, op 'e haad Zimbra-tsjinner kommando's moatte wurde útfierd as in Zimbra-brûker /opt/zimbra/libexec/zmproxyconfgen и zmproxyctl opnij starte.

7.5. Standert COS bewurkje

Selektearje yn it menu Ynstellings: Serviceklasse COS mei de namme "standert".

Untselektearje yn it submenu "Kânsen" de funksje "Portfolio", en klikje dan op "Bewarje" yn 'e rjochter boppeste diel fan it formulier.

Yn ús foarbyld, nei konfiguraasje, sjocht it formulier der sa út:

It is ek oan te rieden om de ynstelling "Diel fan bestannen en mappen ynskeakelje" te kontrolearjen yn it submenu Drive, en klikje dan op "Bewarje" yn 'e rjochter boppeste diel fan it formulier.

Yn ús foarbyld, nei konfiguraasje, sjocht it formulier der sa út:

Yn in testomjouwing, yn deselde klasse fan tsjinst, kinne jo Team Pro-funksjes ynskeakelje troch it karfakje yn te skeakeljen mei deselde namme yn it Team submenu, wêrnei't it konfiguraasjeformulier de folgjende foarm sil nimme:

As Team Pro-funksjes útskeakele binne, sille brûkers allinich tagong hawwe ta Team Basic-funksjes.
Tink derom dat Zextras Team Pro ûnôfhinklik fan 'e Zextras Suite lisinsje hat, wêrtroch jo it kinne keapje foar minder postfakken as de Zextras Suite sels; Team Basic funksjes binne opnaam yn de Zextras Suite lisinsje. Dêrom, as brûkt yn in produksjeomjouwing, moatte jo miskien in aparte tsjinstklasse meitsje foar Team Pro-brûkers dy't de passende funksjes omfettet.

7.6. Firewall opset

Fereaske foar de haad Zimbra-tsjinner:

a) Tastean tagong fan it ynternet ta de ssh, http/https, imap/imaps, pop3/pop3s, smtp-poarten (de haadpoarte en ekstra havens foar gebrûk troch e-postkliïnten) en de administraasjekonsole-poarte.

b) Tastean alle ferbiningen fan it ynterne netwurk (wêrfoar NAT op it ynternet yn stap 1.3 yn stap 1 ynskeakele wie).

D'r is gjin needsaak om in firewall te konfigurearjen foar de Zextras Docs-tsjinner, om't it is net tagonklik fan it ynternet.

Om dit te dwaan, moatte jo de folgjende folchoarder fan aksjes útfiere:

1) Meld jo oan by de tekstkonsole fan 'e haad Zimbra-tsjinner. By it oanmelden fia SSH moatte jo it kommando "skerm" útfiere om ûnderbrekking fan útfiering fan kommando te foarkommen as de ferbining mei de tsjinner tydlik ferlern is troch feroaringen yn 'e firewallynstellingen.

2) Kommando's útfiere

sudo ufw allow 22,25,80,110,143,443,465,587,993,995,9071/tcp
sudo ufw allow from <адрес_вашей_сети>/<длина CIDR маски>
sudo ufw enable

Yn ús foarbyld sjocht it der sa út:

7.7. Kontrolearje tagong ta de webclient en admin konsole

Om de funksjonaliteit fan 'e firewall te kontrolearjen, kinne jo nei de folgjende URL yn jo blêder gean

Behearderskonsole: https:// :9071
Web client: http:// (d'r sil in automatyske trochferwizing wêze nei https:// )
Tagelyk, mei de alternative URL https:// :7071 De admin konsole moat net iepenje.

De webclient yn ús foarbyld sjocht der sa út:

Noat. As jo ​​ynlogge by de webclient, kin jo browser om tastimming freegje om notifikaasjes fan 'e side wer te jaan. Jo moatte akkoard te ûntfangen meidielings fan dizze side.

8. It garandearjen fan de wurking fan audio- en fideokonferinsjes yn Zextras Team

8.1. Algemiene ynformaasje

De hjirûnder beskreaune aksjes binne net fereaske as alle Zextras Team-kliïnten mei-inoar ynteraksje sûnder NAT te brûken (yn dit gefal kinne ynteraksjes mei de Zimbra-tsjinner sels wurde útfierd mei NAT, d.w.s. it is wichtich dat d'r gjin NAT is tusken kliïnten), of as allinnich tekst wurdt brûkt messenger.

Om klantinteraksje te garandearjen fia audio- en fideokonferinsjes:

a) Jo moatte in besteande TURN-tsjinner ynstallearje of brûke.

b) Omdat de TURN-tsjinner hat meastal ek de funksjonaliteit fan in STUN-tsjinner, it is oan te rieden om it ek yn dizze kapasiteit te brûken (as alternatyf kinne jo publike STUN-tsjinners brûke, mar STUN-funksjonaliteit allinich is meastentiids net genôch).

Yn in produksjeomjouwing is it oan te rieden om de TURN-tsjinner nei in aparte firtuele masine te ferpleatsen fanwegen potinsjeel hege lading. Foar testen en / of lichte lading kin de TURN-tsjinner kombineare wurde mei de haad Zimbra-tsjinner.

Us foarbyld sjocht nei it ynstallearjen fan de TURN-tsjinner op 'e haad Zimbra-tsjinner. It ynstallearjen fan TURN op in aparte tsjinner is fergelykber, útsein dat de stappen yn ferbân mei it ynstallearjen en konfigurearjen fan de TURN-software wurde útfierd op 'e TURN-tsjinner, en de stappen om de Zimbra-tsjinner te konfigurearjen om dizze tsjinner te brûken wurde útfierd op 'e haad Zimbra-tsjinner.

8.2. It ynstallearjen fan in TURN-tsjinner

Nei't jo earder ynlogd binne fia SSH by de haad Zimbra-tsjinner, fier it kommando út

sudo apt install resiprocate-turn-server

8.3. It ynstellen fan in TURN-tsjinner

Noat. Om alle folgjende konfiguraasjebestannen te feroarjen, moat de bewurker wurde útfierd mei root-brûkersrjochten, bygelyks "sudo vi /etc/reTurn/reTurnServer.config" of, as it mc-pakket is ynstalleare, kinne jo it kommando brûke "sudo mcedit /etc/reTurn/reTurnServer.config»

Simplified brûker skepping

Om it oanmeitsjen en debuggen fan in testferbining mei de TURN-tsjinner te ferienfâldigjen, sille wy it gebrûk fan hashed wachtwurden yn 'e TURN-tsjinner brûkersdatabase útskeakelje. Yn in produksjeomjouwing is it oan te rieden om hashed wachtwurden te brûken; yn dit gefal moat de generaasje fan wachtwurdhashes foar har wurde útfierd yn oerienstimming mei de ynstruksjes yn 'e /etc/reTurn/reTurnServer.config en /etc/reTurn/users.txt triemmen.

De folchoarder fan aksjes:

1) Bewurkje it bestân /etc/reTurn/reTurnServer.config

Feroarje de wearde fan de parameter "UserDatabaseHashedPasswords" fan "wier" yn "false".

2) Bewurkje de triem /etc/reTurn/users.txt

Stel it yn op in brûkersnamme, wachtwurd, ryk (willekeurich, net brûkt by it ynstellen fan in Zimbra-ferbining) en set de akkountstatus op "AUTHORIZED".

Yn ús foarbyld seach de triem ynearsten sa út:

Nei it bewurkjen seach it der sa út:

3) It tapassen fan de konfiguraasje

Kommando útfiere

sudo systemctl restart resiprocate-turn-server

8.4. In firewall ynstelle foar de TURN-tsjinner

Op dit stadium wurde ekstra firewall-regels ynstalleare dy't nedich binne foar de wurking fan 'e TURN-tsjinner. Jo moatte tagong tastean ta de primêre poarte wêrop de tsjinner fersiken akseptearret, en ta it dynamyske berik fan poarten dat wurdt brûkt troch de tsjinner om mediastreamen te organisearjen.

De havens wurde oantsjutte yn it /etc/reTurn/reTurnServer.config-bestân, yn ús gefal is it:

и

Om firewall regels te ynstallearjen, moatte jo de kommando's útfiere

sudo ufw allow 3478,49152:65535/udp
sudo ufw allow 3478,49152:65535/tcp

8.5. Konfigurearje om de TURN-tsjinner yn Zimbra te brûken

Om te konfigurearjen, wurdt de FQDN fan 'e tsjinner brûkt, de TURN-tsjinner, makke yn stap 1.2 fan paragraaf 1, en dy't oplost wurde moat troch DNS-tsjinners mei itselde iepenbiere IP-adres foar sawol oanfragen fan it ynternet as foar oanfragen fan ynterne adressen.

Besjoch de hjoeddeistige konfiguraasje fan de "zxsuite team iceServer get" ferbining dy't rint ûnder de zimbra brûker.

Foar mear ynformaasje oer it ynstellen fan it gebrûk fan 'e TURN-tsjinner, sjoch de seksje "Ynstallearje Zextras Team om de TURN-tsjinner te brûken" yn dokumintaasje.

Om te konfigurearjen, moatte jo de folgjende kommando's op 'e Zimbra-tsjinner útfiere:

sudo su - zimbra
zxsuite team iceServer add stun:<FQDN вашего сервера TURN>:3478?transport=udp
zxsuite team iceServer add turn:<FQDN вашего сервера TURN>:3478?transport=udp credential <пароль> username <имя пользователя>
zxsuite team iceServer add stun:<FQDN вашего сервера TURN>:3478?transport=tcp
zxsuite team iceServer add turn:<FQDN вашего сервера TURN>:3478?transport=tcp credential <пароль> username <имя пользователя>
zxsuite team iceServer add stun:<FQDN вашего сервера TURN>:3478
logout

De wearden fan respektivelik de brûkersnamme en wachtwurd spesifisearre yn stap 2 yn klausule 8.3 wurde brûkt as <brûkersnamme> en <wachtwurd>.

Yn ús foarbyld sjocht it der sa út:

9. Tastean post troch it SMTP protokol

Neffens dokumintaasje, yn Yandex.Cloud, útgeande ferkear nei TCP-poarte 25 op it ynternet en nei Yandex Compute Cloud firtuele masines wurdt altyd blokkearre as tagong fia in iepenbier IP-adres. Dit sil jo net foarkomme dat jo de akseptaasje kontrolearje fan e-post ferstjoerd fan in oare e-posttsjinner nei it akseptearre e-postdomein, mar it sil jo foarkomme dat jo e-post bûten de Zimbra-tsjinner ferstjoere.

De dokumintaasje stelt dat Yandex.Cloud TCP-poarte 25 kin iepenje op in stipefersyk as jo foldogge Akseptabel gebrûk Rjochtlinen, en behâldt it rjocht foar om de haven wer te blokkearjen yn gefal fan ynbreuk op de regels. Om de haven te iepenjen, moatte jo kontakt opnimme mei Yandex.Cloud-stipe.

Applikaasje

SSH-kaaien oanmeitsje yn openssh en stopverf en toetsen konvertearje fan stopverf nei openssh-formaat

1. Key pearen meitsje foar SSH

Op Windows mei putty: fier it kommando puttygen.exe út en klikje op de knop "Generearje".

Op Linux: kommando útfiere

ssh-keygen

2. Kaaien konvertearje fan stopverf nei openssh-formaat

Op Windows:

De folchoarder fan aksjes:

1. Run it programma puttygen.exe.
2. Laad de privee kaai yn ppk-formaat, brûk it menu-item Triem → Privee kaai laden.
3. Fier de passphrase yn as nedich foar dizze kaai.
4. De iepenbiere kaai yn OpenSSH-formaat wurdt werjûn yn puttygen mei de ynskripsje "Iepenbiere kaai foar plakke yn OpenSSH authorized_keys file field"
5. Om in privee kaai te eksportearjen nei OpenSSH-formaat, selektearje Conversions → OpenSSH-kaai eksportearje yn it haadmenu
6. Bewarje de privee kaai yn in nij bestân.

Op Linux

1. Ynstallearje it PuTTY-arkpakket:

yn Ubuntu:

sudo apt-get install putty-tools

op Debian-like distribúsjes:

apt-get install putty-tools

yn RPM-basearre distribúsjes basearre op yum (CentOS, ensfh.):

yum install putty

2. Om de privee kaai te konvertearjen, útfiere it kommando:

puttygen <key.ppk> -O private-openssh -o <key_openssh>

3. Om in iepenbiere kaai te generearjen (as nedich):

puttygen <key.ppk> -O public-openssh -o <key_openssh.pub>

resultaat

Nei ynstallaasje yn oerienstimming mei de oanbefellings, krijt de brûker in Zimbra-posttsjinner konfigureare yn 'e Yandex.Cloud-ynfrastruktuer mei de Zextras-útwreiding foar bedriuwskommunikaasje en gearwurking mei dokuminten. De ynstellings wurde makke mei bepaalde beheiningen foar in testomjouwing, mar it is net dreech om de ynstallaasje te wikseljen nei produksjemodus en opsjes tafoegje foar it brûken fan Yandex.Cloud-objekt opslach en oaren. Foar fragen oangeande ynset en gebrûk fan 'e oplossing, nim dan kontakt op mei jo Zextras-partner - SVZ of fertsjintwurdigers Yandex.Cloud.

Foar alle fragen yn ferbân mei Zextras Suite kinne jo kontakt opnimme mei de fertsjintwurdiger fan Zextras Ekaterina Triandafilidi fia e-post [e-post beskerme]

Boarne: www.habr.com