🥇פריסת תחנות עבודה משרדיות Zextras/Zimbra ב-Yandex.Cloud

מבוא

אופטימיזציה של תשתית משרדית ופריסה של חללי עבודה חדשים היא אתגר גדול עבור חברות מכל הסוגים והגדלים. האפשרות הטובה ביותר לפרויקט חדש היא לשכור משאבים בענן ולרכוש רישיונות שניתן להשתמש בהם הן מהספק והן במרכז הנתונים שלכם. פתרון אחד לתרחיש כזה הוא סוויטת זקסטראס, המאפשר ליצור פלטפורמה לשיתוף פעולה ותקשורת ארגונית של ארגון הן בסביבת הענן והן על התשתית שלכם.

הפתרון מיועד למשרדים בכל גודל ויש לו שני תרחישי פריסה עיקריים: אם יש לך עד 3000 אלף תיבות דואר ואין דרישות גבוהות לסובלנות תקלות, אתה יכול להשתמש בהתקנה של שרת יחיד, ובאפשרות התקנת ריבוי שרתים תומך בהפעלה אמינה ומגיבה של עשרות ומאות אלפי תיבות דואר. בכל המקרים, המשתמש מקבל גישה לדואר, מסמכים והודעות דרך ממשק אינטרנט אחד ממקום עבודה המריץ כל מערכת הפעלה ללא התקנה והגדרת תוכנה נוספת, או דרך אפליקציות מובייל עבור iOS ואנדרואיד. אפשר להשתמש בלקוחות Outlook ו-Thunderbird המוכרים.

כדי לפרוס את הפרויקט, שותף Zextras - SVZ בחרה ב-Yandex.Cloud מכיוון שהארכיטקטורה שלו דומה ל-AWS ויש תמיכה באחסון תואם S3, מה שיוזיל את עלות האחסון של כמויות גדולות של דואר, הודעות ומסמכים ויגדיל את סובלנות התקלות של הפתרון.

בסביבת Yandex.Cloud, נעשה שימוש בכלי ניהול מכונות וירטואליות בסיסיות להתקנת שרת יחיד "ענן מחשוב" ויכולות ניהול רשת וירטואלית "ענן פרטי וירטואלי". להתקנה מרובה שרתים, בנוסף לכלים שצוינו, יש צורך להשתמש בטכנולוגיות "קבוצת מיקום", במידת הצורך (בהתאם לקנה המידה של המערכת) - גם "קבוצות מופע", ומאזן רשת מאזן עומסים של Yandex.

אחסון אובייקטים תואם S3 אחסון אובייקטים של Yandex ניתן להשתמש בשתי אפשרויות ההתקנה, וניתן לחבר אותו גם למערכות הפרוסות במקום לאחסון חסכוני וסובלני לתקלות של נתוני שרת הדואר ב-Yandex.Cloud.

עבור התקנה של שרת יחיד, בהתאם למספר המשתמשים ו/או תיבות הדואר, נדרשים הדברים הבאים: עבור השרת הראשי 4-12 vCPU, 8-64 GB vRAM (ערכים ספציפיים של vCPU ו-vRAM תלויים במספר של תיבות דואר והעומס בפועל), לפחות 80 ג'יגה-בייט של דיסק עבור מערכת ההפעלה והיישומים, וכן שטח דיסק נוסף לאחסון דואר, אינדקסים, יומנים וכו', בהתאם למספר ולגודל הממוצע של תיבות הדואר ואשר יכולות שינוי דינמי במהלך פעולת המערכת; עבור שרתי Docs עזר: 2-4 vCPU, 2-16 GB vRAM, 16 GB שטח דיסק (ערכי משאב ספציפיים ומספר שרתים תלויים בעומס בפועל); בנוסף, ייתכן שיידרש שרת TURN/STUN (הצורך שלו כשרת נפרד ומשאבים תלויים בעומס בפועל). עבור התקנות מרובות שרתים, המספר והמטרה של מכונות וירטואליות משחק תפקידים והמשאבים המוקצים להן נקבעים בנפרד בהתאם לדרישות המשתמש.

מטרת המאמר

תיאור הפריסה בסביבת Yandex.Cloud של מוצרי Zextras Suite המבוססים על שרת הדואר Zimbra באפשרות התקנת שרת יחיד. ניתן להשתמש בהתקנה המתקבלת בסביבת ייצור (משתמשים מנוסים יכולים לבצע את ההגדרות הדרושות ולהוסיף משאבים).

מערכת Zextras Suite/Zimbra כוללת:

Zimbra - אימייל ארגוני עם יכולת לשתף תיבות דואר, לוחות שנה ורשימות אנשי קשר (פנקסי כתובות).
Zextras Docs - חבילת משרד מובנית המבוססת על LibreOffice מקוונת ליצירה ושיתוף פעולה עם מסמכים, גיליונות אלקטרוניים ומצגות.
Zextras Drive - אחסון קבצים בודדים המאפשר לך לערוך, לאחסן ולשתף קבצים ותיקיות עם משתמשים אחרים.
צוות Zextras – שליח עם תמיכה בשיחות ועידה בשמע ווידאו. הגרסאות הזמינות הן Team Basic, המאפשר תקשורת 1:1 בלבד, ו-Team Pro, התומך בכנסים מרובי משתמשים, ערוצים, שיתוף מסך, שיתוף קבצים ופונקציות נוספות.
Zextras Mobile - תמיכה במכשירים ניידים באמצעות Exchange ActiveSync לסנכרון דואר עם מכשירים ניידים עם פונקציות ניהול MDM (ניהול התקנים ניידים). מאפשר לך להשתמש ב-Microsoft Outlook כלקוח דוא"ל.
Admin של Zextras – הטמעת ניהול מערכת ריבוי דיירים עם האצלה של מנהלים לניהול קבוצות לקוחות וסוגי שירותים.
גיבוי Zextras -גיבוי ושחזור נתונים במחזור מלא בזמן אמת
Zextras Powerstore - אחסון היררכי של אובייקטי מערכת דואר עם תמיכה במחלקות עיבוד נתונים, עם יכולת לאחסן נתונים מקומית או באחסון ענן של ארכיטקטורת S3, כולל אחסון אובייקטים של Yandex.

עם השלמת ההתקנה, המשתמש מקבל מערכת הפועלת בסביבת Yandex.Cloud.

תנאים והגבלות

הקצאת שטח דיסק לתיבות דואר, אינדקסים וסוגי נתונים אחרים אינה מכוסה מכיוון ש-Zextras Powerstore תומך במספר סוגי אחסון. סוג וגודל האחסון תלויים במשימות ובפרמטרים של המערכת. במידת הצורך, ניתן לעשות זאת מאוחר יותר בתהליך המרת ההתקנה המתוארת לייצור.
כדי לפשט את ההתקנה, לא נחשב השימוש בשרת DNS המנוהל על ידי מנהל כדי לפתור שמות דומיינים פנימיים (לא ציבוריים); נעשה שימוש בשרת ה-DNS הסטנדרטי של Yandex.Cloud. בשימוש בסביבת ייצור, מומלץ להשתמש בשרת DNS, שאולי כבר קיים בתשתית הארגונית.
ההנחה היא כי נעשה שימוש בחשבון ב-Yandex.Cloud עם הגדרות ברירת מחדל (בפרט, בעת כניסה ל"קונסול" של השירות, יש רק ספרייה (ברשימת "עננים זמינים" תחת השם ברירת מחדל). משתמשים מכירים את העבודה ב-Yandex.Cloud, הם יכולים, לפי שיקול דעתם, ליצור ספרייה נפרדת לספסל הבדיקה, או להשתמש במדריך קיים.
למשתמש חייב להיות אזור DNS ציבורי אליו חייבת להיות לו גישה מנהלתית.
למשתמש חייבת להיות גישה לספרייה ב"קונסול" Yandex.Cloud עם תפקיד "עורך" לפחות (ל"בעל הענן" יש את כל הזכויות הדרושות כברירת מחדל; ישנם מדריכים להענקת גישה לענן למשתמשים אחרים : זמן, два, שלוש)
מאמר זה אינו מתאר התקנת אישורי X.509 מותאמים אישית המשמשים לאבטחת תקשורת רשת באמצעות מנגנוני TLS. לאחר השלמת ההתקנה, ייעשה שימוש באישורים בחתימה עצמית, המאפשרים להשתמש בדפדפנים כדי לגשת למערכת המותקנת. בדרך כלל הם מציגים הודעה שלשרת אין אישור שניתן לאמת, אבל מאפשרים לך להמשיך לעבוד. עד להתקנת אישורים מאומתים על ידי מכשירי לקוח (חתומים על ידי רשויות אישורים ציבוריות ו/או תאגידיות), ייתכן שיישומים למכשירים ניידים לא יפעלו עם המערכת המותקנת. לכן, התקנת התעודות שצוינו בסביבת הייצור היא הכרחית, ומתבצעת לאחר סיום הבדיקה בהתאם למדיניות האבטחה הארגונית.

תיאור תהליך ההתקנה של מערכת Zextras/Zimbra בגרסת "שרת יחיד".

1. הכנה מוקדמת

לפני תחילת ההתקנה עליך לוודא:

א) ביצוע שינויים באזור ה-DNS הציבורי (יצירת רשומת A עבור שרת Zimbra ורשומת MX עבור תחום הדואר המוגש).
ב) הגדרת תשתית רשת וירטואלית ב-Yandex.Cloud.

יחד עם זאת, לאחר ביצוע שינויים באזור DNS, לוקח זמן עד שהשינויים הללו מתפשטים, אך מצד שני, לא ניתן ליצור רשומת A מבלי לדעת את כתובת ה-IP המשויכת אליה.

לכן, הפעולות מבוצעות ברצף הבא:

1. שמור כתובת IP ציבורית ב-Yandex.Cloud

1.1 ב-"Yandex.Cloud Console" (במידת הצורך, בחירת תיקיות ב"עננים זמינים"), עבור לקטע ענן פרטי וירטואלי, סעיף המשנה של כתובות IP, ולאחר מכן לחץ על כפתור "שמור כתובת", בחר את אזור הזמינות המועדף עליך (או הסכים עם הערך המוצע; לאחר מכן יש להשתמש באזור זמינות זה עבור כל הפעולות המתוארות בהמשך ב- Yandex.Cloud, אם בטפסים המתאימים יש אפשרות לבחור אזור זמינות), בתיבת הדו-שיח שנפתחת, תוכל, אם תרצה, אך לא בהכרח, בחר באפשרות "DDoS Protection" ולחץ על כפתור "שמור" (ראה גם תיעוד).

לאחר סגירת הדו-שיח, כתובת IP סטטית שהוקצתה על ידי המערכת תהיה זמינה ברשימת כתובות ה-IP, אותה ניתן להעתיק ולהשתמש בשלב הבא.

1.2 באזור ה-DNS "העבר", בצע רשומת A עבור שרת Zimbra המפנה לכתובת ה-IP שהוקצתה קודם לכן, רשומת A עבור שרת TURN המפנה לאותה כתובת IP, ורשומת MX עבור תחום הדואר המקובל. בדוגמה שלנו, אלה יהיו mail.testmail.svzcloud.ru (שרת זימברה), turn.testmail.svzcloud.ru (שרת TURN) ו-testmail.svzcloud.ru (דומיין דואר), בהתאמה.

1.3 ב-Yandex.Cloud, באזור הזמינות שנבחר עבור רשת המשנה שתשמש לפריסת מכונות וירטואליות, הפעל NAT באינטרנט.

לשם כך, בסעיף ענן פרטי וירטואלי, תת-סעיף "רשתות ענן", בחר את רשת הענן המתאימה (כברירת מחדל, רק רשת ברירת המחדל זמינה שם), בחר את אזור הזמינות המתאים בה ובחר "הפעל NAT באינטרנט " בהגדרות שלו.

הסטטוס ישתנה ברשימת רשתות המשנה:

לפרטים נוספים, עיין בתיעוד: זמן и два.

2. יצירת מכונות וירטואליות

2.1. יצירת מכונה וירטואלית עבור Zimbra

סדר הפעולות:

2.1.1 ב-"Yandex.Cloud Console", עבור לקטע Compute Cloud, תת-סעיף "מכונות וירטואליות", לחץ על כפתור "צור VM" (למידע נוסף על יצירת VM, ראה תיעוד).

2.1.2 שם אתה צריך להגדיר:

שם – שרירותי (בהתאם לפורמט הנתמך על ידי Yandex.Cloud)
אזור זמינות - חייב להתאים לזה שנבחר בעבר עבור הרשת הוירטואלית.
ב"תמונות ציבוריות" בחר אובונטו 18.04 lts
התקן דיסק אתחול בגודל של 80GB לפחות. למטרות בדיקה, מספיק סוג HDD (וגם לשימוש פרודוקטיבי, בתנאי שחלק מסוגי הנתונים מועברים לדיסקים מסוג SSD). במידת הצורך, ניתן להוסיף דיסקים נוספים לאחר יצירת ה-VM.

בקבוצת "משאבי מחשוב":

vCPU: לפחות 4.
נתח מובטח של vCPU: למשך הפעולות המתוארות במאמר, לפחות 50%; לאחר ההתקנה, במידת הצורך, ניתן להפחית אותו.
זיכרון RAM: 8GB מומלץ.
רשת משנה: בחר רשת משנה שעבורה הופעל NAT אינטרנט בשלב ההכנה המקדים.
כתובת ציבורית: בחר מהרשימה את כתובת ה-IP ששימשה בעבר ליצירת רשומת A ב-DNS.
משתמש: לפי שיקול דעתך, אך שונה ממשתמש השורש ומחשבונות מערכת לינוקס.
עליך לציין מפתח SSH ציבורי (פתוח).

→ למידע נוסף על שימוש ב-SSH

См. также נספח 1. יצירת מפתחות SSH ב-openssh ו-putty והמרת מפתחות מ-putty לפורמט openssh.

2.1.3 לאחר השלמת ההגדרה, לחץ על "צור VM".

2.2. יצירת מכונה וירטואלית עבור Zextras Docs

סדר הפעולות:

2.2.1 ב-"Yandex.Cloud Console", עבור לקטע Compute Cloud, תת-סעיף "מכונות וירטואליות", לחץ על כפתור "צור VM" (למידע נוסף על יצירת VM, ראה כאן).

2.2.2 שם אתה צריך להגדיר:

שם – שרירותי (בהתאם לפורמט הנתמך על ידי Yandex.Cloud)
אזור זמינות - חייב להתאים לזה שנבחר בעבר עבור הרשת הוירטואלית.
ב"תמונות ציבוריות" בחר אובונטו 18.04 lts
התקן דיסק אתחול בגודל של 80GB לפחות. למטרות בדיקה, מספיק סוג HDD (וגם לשימוש פרודוקטיבי, בתנאי שחלק מסוגי הנתונים מועברים לדיסקים מסוג SSD). במידת הצורך, ניתן להוסיף דיסקים נוספים לאחר יצירת ה-VM.

בקבוצת "משאבי מחשוב":

vCPU: לפחות 2.
נתח מובטח של vCPU: למשך הפעולות המתוארות במאמר, לפחות 50%; לאחר ההתקנה, במידת הצורך, ניתן להפחית אותו.
זיכרון RAM: לפחות 2GB.
רשת משנה: בחר רשת משנה שעבורה הופעל NAT אינטרנט בשלב ההכנה המקדים.
כתובת ציבורית: ללא כתובת (מכונה זו אינה דורשת גישה מהאינטרנט, רק גישה יוצאת ממכשיר זה לאינטרנט, הניתנת על ידי אפשרות "NAT to Internet" של רשת המשנה שבה נעשה שימוש).
משתמש: לפי שיקול דעתך, אך שונה ממשתמש השורש ומחשבונות מערכת לינוקס.
אתה בהחלט חייב להגדיר מפתח SSH ציבורי (פתוח), אתה יכול להשתמש באותו כמו עבור שרת Zimbra, אתה יכול ליצור זוג מפתחות נפרד, שכן המפתח הפרטי עבור שרת Zextras Docs יצטרך להיות ממוקם על שרת Zimbra דִיסק.

ראה גם נספח 1. יצירת מפתחות SSH ב-openssh ו-putty והמרת מפתחות מ-putty ל-openssh.

2.2.3 לאחר השלמת ההגדרה, לחץ על "צור VM".

2.3 המכונות הוירטואליות שנוצרו יהיו זמינות ברשימת המכונות הווירטואליות, המציגה, במיוחד, את הסטטוס שלהן ואת כתובות ה-IP בהן נעשה שימוש, הן ציבוריות והן פנימיות. מידע על כתובות IP יידרש בשלבי ההתקנה הבאים.

3. הכנת שרת Zimbra להתקנה

3.1 מתקין עדכונים

עליך להיכנס לשרת Zimbra בכתובת ה-IP הציבורית שלו באמצעות לקוח ה-ssh המועדף עליך באמצעות מפתח ssh הפרטי ושימוש בשם המשתמש שצוין בעת יצירת המחשב הוירטואלי.

לאחר הכניסה, הפעל את הפקודות:

sudo apt update
sudo apt upgrade

(בעת ביצוע הפקודה האחרונה, השב "y" לשאלה האם אתה בטוח לגבי התקנת רשימת העדכונים המוצעת)

לאחר התקנת העדכונים, אתה יכול (אך לא נדרש) להפעיל את הפקודה:

sudo apt autoremove

ובסוף השלב, הפעל את הפקודה

sudo shutdown –r now

3.2 התקנה נוספת של אפליקציות

עליך להתקין לקוח NTP כדי לסנכרן את זמן המערכת ואת אפליקציית המסך עם הפקודה הבאה:

sudo apt install ntp screen

(בעת ביצוע הפקודה האחרונה, ענה "y" כשתישאל אם אתה בטוח שאתה מתקין את רשימת החבילות המצורפת)

אתה יכול גם להתקין כלי עזר נוספים לנוחיות המנהל. לדוגמה, ניתן להתקין את Midnight Commander עם הפקודה:

sudo apt install mc

3.3. שינוי תצורת המערכת

3.3.1 בקובץ /etc/cloud/cloud.cfg.d/95-yandex-cloud.cfg לשנות את ערך הפרמטר manage_etc_hosts c נָכוֹן על שקר.

הערה: כדי לשנות קובץ זה, יש להפעיל את העורך עם זכויות משתמש שורש, למשל, "sudo vi /etc/cloud/cloud.cfg.d/95-yandex-cloud.cfg" או, אם חבילת mc מותקנת, אתה יכול להשתמש בפקודה "sudo mcedit /etc/cloud/cloud.cfg.d/95-yandex-cloud.cfg»

3.3.2 לַעֲרוֹך / Etc / hosts כדלקמן, החלפת בשורה המגדירה את ה-FQDN של המארח את הכתובת מ-127.0.0.1 לכתובת ה-IP הפנימית של שרת זה, ואת השם מהשם המלא באזור .internal לשם הציבורי של השרת שצוין קודם לכן ב-A -רשומה של אזור ה-DNS, והמתאים על-ידי שינוי שם המארח הקצר (אם הוא שונה משם המארח הקצר מהרשומה הציבורית של DNS A).

לדוגמה, במקרה שלנו קובץ המארחים נראה כך:

לאחר העריכה זה נראה כך:

הערה: כדי לשנות קובץ זה, יש להפעיל את העורך עם זכויות משתמש שורש, למשל, "sudo vi /etc/hosts" או, אם חבילת mc מותקנת, אתה יכול להשתמש בפקודה "sudo mcedit /etc/hosts»

3.4 הגדר סיסמת משתמש

זה הכרחי בשל העובדה שבעתיד תוגדר חומת האש, ואם יתעוררו בעיות כלשהן איתה, אם למשתמש יש סיסמה, ניתן יהיה להיכנס למכונה הווירטואלית באמצעות הקונסולה הטורית מ- Yandex. מסוף האינטרנט בענן והשבת את חומת האש ו/או תקן את השגיאה. בעת יצירת מכונה וירטואלית, למשתמש אין סיסמה, ולכן הגישה אפשרית רק באמצעות SSH באמצעות אימות מפתח.

כדי להגדיר את הסיסמה עליך להפעיל את הפקודה:

sudo passwd <имя пользователя>

לדוגמה, במקרה שלנו זו תהיה הפקודה "משתמש sudo passwd".

4. התקנת Zimbra ו-Zextras Suite

4.1. הורדת הפצות Zimbra ו-Zextras Suite

4.1.1 הורדת הפצת זימברה

סדר הפעולות:

1) עבור אל כתובת האתר עם הדפדפן www.zextras.com/download-zimbra-9 ומלא את הטופס. תקבל אימייל עם קישורים להורדת Zimbra עבור מערכות הפעלה שונות.

2) בחר את גרסת ההפצה הנוכחית עבור פלטפורמת Ubuntu 18.04 LTS והעתק את הקישור

3) הורד את הפצת Zimbra לשרת Zimbra ופרק אותה. לשם כך, הפעל את הפקודות בסשן ssh בשרת הזימברה

cd ~
mkdir zimbra
cd zimbra
wget <url, скопированный на предыдущем шаге>
tar –zxf <имя скачанного файла>

(בדוגמה שלנו זה "tar –zxf zcs-9.0.0_OSE_UBUNTU18_latest-zextras.tgz")

4.1.2 הורדת הפצת Zextras Suite

סדר הפעולות:

1) עבור אל כתובת האתר עם הדפדפן www.zextras.com/download

2) מלא את הטופס על ידי הזנת הנתונים הנדרשים ולחץ על כפתור "הורד עכשיו".

3) דף ההורדה ייפתח

יש לו שתי כתובות אתרים שמעניינים אותנו: האחת בראש העמוד עבור חבילת ה-Zextras עצמה, שאותה נצטרך כעת, והשנייה בתחתית בבלוק Docs Server עבור Ubuntu 18.04 LTS, שיהיה צורך בהמשך כדי התקן את Zextras Docs ב-VM for Docs.

4) הורד את הפצת Zextras Suite לשרת Zimbra ופרק אותה. לשם כך, הפעל את הפקודות בסשן ssh בשרת הזימברה

cd ~
mkdir zimbra
cd zimbra

(אם הספרייה הנוכחית לא השתנתה לאחר השלב הקודם, ניתן להשמיט את הפקודות למעלה)

wget http://download.zextras.com/zextras_suite-latest.tgz
tar –zxf zextras_suite-latest.tgz

4.2. התקנת זימברה

רצף של פעולות

1) עבור אל הספרייה שבה פורקו הקבצים בשלב 4.1.1 (ניתן לראות עם הפקודה ls תוך כדי ספריית ~/zimbra).

בדוגמה שלנו זה יהיה:

cd ~/zimbra/zcs-9.0.0_OSE_UBUNTU18_latest-zextras/zimbra-installer

2) הפעל את התקנת Zimbra באמצעות הפקודה

sudo ./install.sh

3) אנו עונים על שאלות המתקין

אתה יכול לענות על שאלות המתקין ב-"y" (מקביל ל-"כן"), "n" (מקביל ל-"לא"), או להשאיר את הצעת המתקין ללא שינוי (הוא מציע אפשרויות, הצגתן בסוגריים מרובעים, למשל, " [Y]" או "[N]."

האם אתה מסכים לתנאי הסכם רישיון התוכנה? - כן.

להשתמש במאגר החבילות של זימברה? - כברירת מחדל (כן).

"להתקין zimbra-ldap?","להתקין zimbra-logger?","להתקין zimbra-mta?" - ברירת מחדל (כן).

להתקין zimbra-dnscache? – לא (למערכת ההפעלה יש שרת DNS משלה למטמון מופעל כברירת מחדל, כך שלחבילה זו תהיה התנגשות איתה עקב היציאות שבהן נעשה שימוש).

להתקין zimbra-snmp? - אם תרצה, אתה יכול להשאיר את אפשרות ברירת המחדל (כן), אתה לא צריך להתקין את החבילה הזו. בדוגמה שלנו, אפשרות ברירת המחדל נשארת.

"להתקין zimbra-store?","להתקין zimbra-apache?","להתקין zimbra-spell?","להתקין zimbra-memcached?","להתקין zimbra-proxy?" - ברירת מחדל (כן).

להתקין zimbra-snmp? – לא (החבילה למעשה אינה נתמכת ומוחלפת באופן פונקציונלי ב-Zextras Drive).

להתקין zimbra-imapd? - ברירת מחדל (לא).

להתקין zimbra-chat? - לא (הוחלף באופן פונקציונלי על ידי צוות Zextras)

לאחר מכן המתקין ישאל האם להמשיך בהתקנה?

אנחנו עונים "כן" אם אנחנו יכולים להמשיך, אחרת אנחנו עונים "לא" ומקבלים הזדמנות לשנות את התשובות לשאלות שנשאלו בעבר.

לאחר הסכמה להמשיך, המתקין יתקין את החבילות.

<br> אנו עונים על שאלות מהקונפיגורטור הראשי

4.1) מכיוון שבדוגמה שלנו שם ה-DNS של שרת הדואר (שם רשומה) ושם תחום הדואר המוגש (שם רשומת MX) שונים, הקופיגורטור מציג אזהרה ומבקש ממך להגדיר את שם תחום הדואר המוגש. אנו מסכימים להצעתו ומכניסים את שם רשומת ה-MX. בדוגמה שלנו זה נראה כך:

הערה: אתה יכול גם להגדיר את דומיין הדואר המוגש להיות שונה משם השרת אם לשם השרת יש רשומת MX באותו שם.

4.2) הקופיגורטור מציג את התפריט הראשי.

עלינו להגדיר את סיסמת המנהל של Zimbra (פריט תפריט 6 בדוגמה שלנו), בלעדיה אי אפשר להמשיך בהתקנה, ולשנות את הגדרת zimbra-proxy (פריט תפריט 8 בדוגמה שלנו; במידת הצורך, ניתן לשנות הגדרה זו אחרי ההתקנה).

4.3) שינוי הגדרות חנות זימברה

בהנחיית הקופיגורטור, הזן את מספר פריט התפריט והקש Enter. נגיע לתפריט הגדרות האחסון:

כאשר בהזמנת הקופיגורטור נזין את המספר של פריט התפריט Admin Password (בדוגמה שלנו 4), הקש Enter, ולאחר מכן הקופיגורטור מציע סיסמה שנוצרה באופן אקראי, שתוכל להסכים איתה (לזכור אותה) או להזין סיסמה משלך. בשני המקרים, בסוף יש ללחוץ על Enter, ולאחר מכן פריט "סיסמת מנהל" יסיר את הסמן להמתנה לקלט מידע מהמשתמש:

אנו חוזרים לתפריט הקודם (אנו מסכימים עם הצעת הקופיגורטור).

4.4) שינוי הגדרות zimbra-proxy

באנלוגיה לשלב הקודם, בתפריט הראשי, בחר את המספר של פריט "Zimbra-proxy" והזן אותו בשורת הקופיגורטור.

בתפריט תצורת Proxy שנפתח, בחר את המספר של הפריט "מצב שרת פרוקסי" והזן אותו בהנחיית הקופיגורטור.

הקופיגורטור יציע לבחור אחד מהמצבים, להזין "הפניה מחדש" בהנחיה שלו וללחוץ על Enter.

לאחר מכן נחזור לתפריט הראשי (אנו מסכימים עם ההצעה של הקופיגורטור).

4.5) הפעלת תצורה

כדי להתחיל את התצורה, הזן "a" בהנחיית הקופיגורטור. לאחר מכן ישאל אם לשמור את התצורה שהוזנה לקובץ (שאפשר להשתמש בו להתקנה מחדש) - ניתן להסכים עם הצעת ברירת המחדל, אם השמירה מתבצעת - ישאל באיזה קובץ לשמור את התצורה (אתה יכול גם להסכים עם הצעת ברירת המחדל או להזין שם קובץ משלך).

בשלב זה, אתה עדיין יכול לסרב להמשיך ולבצע שינויים בתצורה על ידי הסכמה עם תשובת ברירת המחדל לשאלה "המערכת תשתנה - המשך?"

כדי להתחיל בהתקנה, עליך לענות "כן" לשאלה זו, ולאחר מכן הקופיגורטור יחיל את ההגדרות שהוכנסו קודם לכן למשך זמן מה.

4.6) השלמת התקנת זימברה

לפני השלמתו, המתקין ישאל האם להודיע ל-Zimbra על ההתקנה. אתה יכול להסכים עם הצעת ברירת המחדל או לסרב (על ידי מענה "לא") להודעה.

לאחר מכן המתקין ימשיך לבצע פעולות אחרונות למשך זמן מה ויציג הודעה שתצורת המערכת הושלמה עם הנחיה ללחוץ על מקש כלשהו כדי לצאת מהמתקין.

4.3. התקנה של Zextras Suite

למידע נוסף על התקנת Zextras Suite, ראה הוראה.

סדר הפעולות:

1) עבור אל הספרייה שבה פורקו הקבצים בשלב 4.1.2 (ניתן לראות עם הפקודה ls תוך כדי ספריית ~/zimbra).

בדוגמה שלנו זה יהיה:

cd ~/zimbra/zextras_suite

2) הפעל את התקנת Zextras Suite באמצעות הפקודה

sudo ./install.sh all

3) אנו עונים על שאלות המתקין

עקרון הפעולה של המתקין דומה לזה של מתקין זימברה, למעט היעדר קופיגורטור. אתה יכול לענות על שאלות המתקין ב-"y" (מקביל ל-"כן"), "n" (מקביל ל-"לא"), או להשאיר את הצעת המתקין ללא שינוי (הוא מציע אפשרויות, הצגתן בסוגריים מרובעים, למשל, " [Y]" או "[N]."

כדי להתחיל בתהליך ההתקנה, עליך לענות באופן עקבי "כן" לשאלות הבאות:

האם אתה מסכים לתנאי הסכם רישיון התוכנה?
האם אתה מעוניין ש-Zextras Suite תוריד, תתקין ותשדרג אוטומטית את ספריית ZAL?

לאחר מכן תוצג הודעה המבקשת ממך ללחוץ על Enter כדי להמשיך:

לאחר לחיצה על Enter, יתחיל תהליך ההתקנה, לעיתים מופרע על ידי שאלות, שעליהן, עם זאת, אנו עונים על ידי הסכמה להצעות ברירת המחדל ("כן"), כלומר:

כעת תותקן Zextras Suite Core. להמשיך?
האם ברצונך לעצור את אפליקציית האינטרנט של זימברה (תיבת דואר)?
כעת תותקן ה-Zextras Suite Zimlet. להמשיך?

לפני תחילת החלק האחרון של ההתקנה, תקבל הודעה שעליך להגדיר את מסנן ה-DOS ולבקש ממך ללחוץ על Enter כדי להמשיך. לאחר לחיצה על Enter, מתחיל החלק האחרון של ההתקנה, בסופה מוצגת הודעה סופית והמתקין מסתיים.

4.4. כוונון הגדרה ראשונית וקביעת פרמטרי תצורת LDAP

1) כל הפעולות הבאות מבוצעות תחת משתמש הזימברה. לשם כך עליך להפעיל את הפקודה

sudo su - zimbra

2) שנה את הגדרת מסנן DOS עם הפקודה

zmprov mcf zimbraHttpDosFilterMaxRequestsPerSec 150

3) כדי להתקין את Zextras Docs, תזדקק למידע על כמה אפשרויות תצורה של Zimbra. כדי לעשות זאת אתה יכול להריץ את הפקודה:

zmlocalconfig –s | grep ldap

בדוגמה שלנו, המידע הבא יוצג:

לשימוש נוסף, תזדקק ל-ldap_url, zimbra_ldap_password (ו-zimbra_ldap_userdn, למרות שמתקין Zextras Docs בדרך כלל עושה ניחושים נכונים לגבי שם המשתמש של LDAP).

4) צא כמשתמש זימברה על ידי הפעלת הפקודה
התנתקות

5. הכנת שרת Docs להתקנה

5.1. העלאת מפתח SSH פרטי לשרת Zimbra וכניסה לשרת Docs

יש צורך להציב בשרת Zimbra את המפתח הפרטי של צמד מפתחות SSH, שהמפתח הציבורי שלו שימש בשלב 2.2.2 של סעיף 2.2 בעת יצירת המחשב הוירטואלי של Docs. ניתן להעלות אותו לשרת באמצעות SSH (לדוגמה, דרך sftp) או להדביק אותו דרך הלוח (אם היכולות של לקוח ה-SSH בו נעשה שימוש וסביבת הביצוע שלו מאפשרות).

אנו מניחים שהמפתח הפרטי ממוקם בקובץ ~/.ssh/docs.key והמשתמש המשמש לכניסה לשרת Zimbra הוא הבעלים שלו (אם ההורדה/יצירת קובץ זה בוצעה תחת משתמש זה, הוא אוטומטית הפך לבעליו).

אתה צריך להפעיל את הפקודה פעם אחת:

chmod 600 ~/.ssh/docs.key

בעתיד, כדי להיכנס לשרת Docs, עליך לבצע את רצף הפעולות הבא:

1) התחבר לשרת Zimbra

2) הפעל פקודה

ssh -i ~/.ssh/docs.key user@<внутренний ip-адрес сервера Docs>

כאשר הערך <כתובת IP פנימית של שרת Docs> ניתן למצוא ב-"Yandex.Cloud Console", למשל, כפי שמוצג בסעיף 2.3.

5.2. מתקין עדכונים

לאחר הכניסה לשרת Docs, הפעל פקודות דומות לאלו של שרת Zimbra:

sudo apt update
sudo apt upgrade

(בעת ביצוע הפקודה האחרונה, השב "y" לשאלה האם אתה בטוח לגבי התקנת רשימת העדכונים המוצעת)

לאחר התקנת העדכונים, אתה יכול (אך לא נדרש) להפעיל את הפקודה:

sudo apt autoremove

ובסוף השלב, הפעל את הפקודה

sudo shutdown –r now

5.3. התקנה נוספת של אפליקציות

עליך להתקין לקוח NTP כדי לסנכרן את זמן המערכת ואת אפליקציית המסך, בדומה לאותה פעולה עבור שרת Zimbra, עם הפקודה הבאה:

sudo apt install ntp screen

(בעת ביצוע הפקודה האחרונה, ענה "y" כשתישאל אם אתה בטוח שאתה מתקין את רשימת החבילות המצורפת)

אתה יכול גם להתקין כלי עזר נוספים לנוחיות המנהל. לדוגמה, ניתן להתקין את Midnight Commander עם הפקודה:

sudo apt install mc

5.4. שינוי תצורת המערכת

5.4.1. בקובץ /etc/cloud/cloud.cfg.d/95-yandex-cloud.cfg, באותו אופן כמו עבור שרת Zimbra, שנה את הערך של הפרמטר manage_etc_hosts מ-true ל-false.

5.4.2. ערוך /etc/hosts, הוספת ה-FQDN הציבורי של שרת Zimbra, אך עם כתובת ה-IP הפנימית שהוקצתה על ידי Yandex.Cloud. אם יש לך שרת DNS פנימי הנשלט על ידי מנהל בשימוש על ידי מכונות וירטואליות (לדוגמה, בסביבת ייצור), ומסוגל לפתור את ה-FQDN הציבורי של שרת Zimbra עם כתובת ה-IP הפנימית בעת קבלת בקשה מהרשת הפנימית (עבור בקשות מהאינטרנט, יש לפתור את ה-FQDN של שרת Zimbra עם כתובת ה-IP הציבורית, ושרת TURN חייב להיפתר תמיד על-ידי כתובת IP ציבורית, לרבות בעת גישה מכתובות פנימיות), פעולה זו אינה נדרשת.

לדוגמה, במקרה שלנו קובץ המארחים נראה כך:

לאחר העריכה זה נראה כך:

6. התקנה של Zextras Docs

6.1. התחבר לשרת Docs

הליך הכניסה לשרת Docs מתואר בסעיף 5.1.

6.2. הורדת הפצת Zextras Docs

סדר הפעולות:

1) מהעמוד שממנו בסעיף 4.1.2. הורדת הפצת Zextras Suite הורד את הפצת Zextras Suite (בשלב 3), העתק את כתובת האתר לבניית Docs עבור Ubuntu 18.04 LTS (אם היא לא הועתקה קודם לכן).

2) הורד את הפצת Zextras Suite לשרת Zimbra ופרק אותה. לשם כך, הפעל את הפקודות בסשן ssh בשרת הזימברה

cd ~
mkdir zimbra
cd zimbra
wget <URL со страницы скачивания>

(במקרה שלנו הפקודה "wget" מבוצעת download.zextras.com/zextras-docs-installer/latest/zextras-docs-ubuntu18.tgz")

tar –zxf <имя скачанного файла>

(במקרה שלנו, הפקודה "tar -zxf zextras-docs-ubuntu18.tgz" מבוצעת)

6.3. התקנה של Zextras Docs

למידע נוסף על התקנה והגדרה של Zextras Docs, ראה כאן.

סדר הפעולות:

1) עבור אל הספרייה שבה פורקו הקבצים בשלב 4.1.1 (ניתן לראות עם הפקודה ls תוך כדי ספריית ~/zimbra).

בדוגמה שלנו זה יהיה:

cd ~/zimbra/zextras-docs-installer

2) הפעל את התקנת Zextras Docs באמצעות הפקודה

sudo ./install.sh

3) אנו עונים על שאלות המתקין

אתה יכול לענות על שאלות המתקין ב-"y" (מקביל ל-"כן"), "n" (מקביל ל-"לא"), או להשאיר את הצעת המתקין ללא שינוי (הוא מציע אפשרויות, הצגתן בסוגריים מרובעים, למשל, " [Y]" או "[N]").

המערכת תשתנה, האם תרצה להמשיך? - קבל את אפשרות ברירת המחדל ("כן").

לאחר מכן תתחיל התקנת התלות: המתקין יראה אילו חבילות הוא רוצה להתקין ויבקש אישור להתקנתן. בכל המקרים, אנו מסכימים עם הצעות ברירת המחדל.

לדוגמה, הוא עשוי לשאול "python2.7 לא נמצא. האם תרצה להתקין אותו?""python-ldap לא נמצא. האם תרצה להתקין אותו?" וכו.

לאחר התקנת כל החבילות הדרושות, המתקין מבקש הסכמה להתקנת Zextras Docs:

האם תרצה להתקין את Zextras DOCS? - קבל את אפשרות ברירת המחדל ("כן").

לאחר מכן מושקע זמן מה בהתקנת החבילות, של Zextras Docs עצמו, ומעבר לשאלות הקופיגורטור.

4) אנו עונים על שאלות מהקונפיגורטור

הקופיגורטור מבקש פרמטרי תצורה בזה אחר זה; בתגובה, הערכים שהושגו בשלב 3 בסעיף 4.4 מוזנים. כוונון ראשוני של הגדרות וקביעת פרמטרי תצורת LDAP.

בדוגמה שלנו, ההגדרות נראות כך:

5) השלמת ההתקנה של Zextras Docs

לאחר מענה על שאלות הקופיגורטור, המתקין משלים את תצורת ה-Docs המקומית ורושם את השירות המותקן בשרת Zimbra הראשי שהותקן קודם לכן.

עבור התקנה של שרת יחיד, זה בדרך כלל מספיק, אבל במקרים מסוימים (אם מסמכים לא ייפתחו ב-Docs בלקוח האינטרנט בלשונית Drive) ייתכן שיהיה עליך לבצע פעולה שנדרשת עבור התקנת ריבוי שרתים - בדוגמה שלנו, בשרת Zimbra הראשי, תצטרך לבצע זאת מתחת למשתמש Zimbra Teams /opt/zimbra/libexec/zmproxyconfgen и הפעלה מחדש של zmproxyctl.

7. הגדרה ראשונית של Zimbra ו-Zextras Suite (למעט צוות)

7.1. היכנס למסוף הניהול בפעם הראשונה

התחבר לדפדפן באמצעות כתובת URL: https:// :7071

אם תרצה, תוכל להיכנס ללקוח האינטרנט באמצעות כתובת האתר: https://

בעת הכניסה, דפדפנים מציגים אזהרה על חיבור לא מאובטח עקב חוסר היכולת לאמת את האישור. עליך להגיב לדפדפן על הסכמתך להיכנס לאתר למרות אזהרה זו. זאת בשל העובדה שלאחר ההתקנה, נעשה שימוש בתעודת X.509 בחתימה עצמית עבור חיבורי TLS, שניתן להחליף מאוחר יותר (בשימוש פרודוקטיבי - צריך) בתעודה מסחרית או בתעודה אחרת המוכרת על ידי הדפדפנים בהם נעשה שימוש.

בטופס האימות, הזינו את שם המשתמש בפורמט admin@<your accepted mail domain> ואת סיסמת המנהל של Zimbra שצוינה בעת התקנת שרת Zimbra בשלב 4.3 בסעיף 4.2.

בדוגמה שלנו זה נראה כך:

מסוף ניהול:

לקוח אינטרנט:

הערה 1. אם לא תציין תחום דואר מקובל בעת הכניסה למסוף הניהול או ללקוח האינטרנט, המשתמשים יעברו אימות לתחום הדואר שנוצר בעת התקנת שרת Zimbra. לאחר ההתקנה, זהו תחום הדואר המקובל היחיד שקיים בשרת זה, אך ככל שהמערכת פועלת, עשויים להתווסף דומיינים נוספים של דואר, ואז ציון מפורש של הדומיין בשם המשתמש יעשה את ההבדל.

הערה 2. כאשר אתה מתחבר ללקוח האינטרנט, הדפדפן שלך עשוי לבקש רשות להציג הודעות מהאתר. עליך להסכים לקבל הודעות מאתר זה.

הערה 3. לאחר הכניסה למסוף המנהל, ייתכן שתקבל הודעה שיש הודעות למנהל המערכת, בדרך כלל מזכירות לך להגדיר את הגיבוי של Zextras ו/או לרכוש רישיון Zextras לפני שתוקף רישיון הניסיון המוגדר כברירת מחדל יפוג. פעולות אלו ניתנות לביצוע מאוחר יותר, ולפיכך ניתן להתעלם מהודעות הקיימות בזמן הכניסה ו/או לסמן כנקראו בתפריט ה-Zextras: התראת Zextras.

הערה 4. חשוב במיוחד לציין שבמסך מצב השרת המצב של שירות Docs מוצג כ"לא זמין" גם אם Docs בלקוח האינטרנט פועל כהלכה:

זוהי תכונה של גרסת הניסיון וניתנת לתיקון רק לאחר רכישת רישיון ופנייה לתמיכה.

7.2. פריסה של רכיבי Zextras Suite

בתפריט Zextras: Core, עליך ללחוץ על כפתור "פרוס" עבור כל הזימלטים שבהם אתה מתכוון להשתמש.

בעת פריסת תווי חורף, מופיעה תיבת דו-שיח עם התוצאה של הפעולה כדלקמן:

בדוגמה שלנו, כל תווי החורף של Zextras Suite נפרסים, ולאחר מכן טופס Zextras: Core יקבל את הטופס הבא:

7.3. שינוי הגדרות גישה

7.3.1. שינוי הגדרות גלובליות

בתפריט הגדרות: הגדרות גלובליות, תפריט משנה שרת פרוקסי, שנה את הפרמטרים הבאים:

מצב פרוקסי אינטרנט: הפניה מחדש
אפשר שרת proxy של מסוף הניהול: סמן את התיבה.
לאחר מכן לחץ על "שמור" בחלק הימני העליון של הטופס.

בדוגמה שלנו, לאחר השינויים שבוצעו, הטופס נראה כך:

7.3.2. שינויים בהגדרות הראשיות של שרת Zimbra

בתפריט ההגדרות: שרתים: <שם השרת הראשי של Zimbra>, תפריט משנה שרת Proxy, שנה את הפרמטרים הבאים:

מצב פרוקסי אינטרנט: לחץ על כפתור "אפס לערך ברירת המחדל" (הערך עצמו לא ישתנה, מכיוון שהוא כבר הוגדר במהלך ההתקנה). הפעל את שרת ה-proxy של מסוף הניהול: בדוק שתיבת הסימון מסומנת (צריך היה להחיל את ערך ברירת המחדל, אם לא, תוכל ללחוץ על כפתור "אפס לערך ברירת המחדל" ו/או להגדיר אותו באופן ידני). לאחר מכן לחץ על "שמור" בחלק הימני העליון של הטופס.

בדוגמה שלנו, לאחר השינויים שבוצעו, הטופס נראה כך:

הערה: (ייתכן שתידרש הפעלה מחדש אם ההתחברות ביציאה זו לא עובדת)

7.4. כניסה חדשה למסוף הניהול

היכנס למסוף הניהול בדפדפן שלך באמצעות כתובת האתר: https:// :9071
בעתיד, השתמש בכתובת האתר הזו כדי להיכנס

הערה: עבור התקנת שרת יחיד, ככלל, השינויים שבוצעו בשלב הקודם מספיקים, אך במקרים מסוימים (אם דף השרת אינו מוצג בעת הזנת כתובת האתר שצוינה), ייתכן שיהיה עליך לבצע פעולה נדרשת עבור התקנה מרובה שרתים - בדוגמה שלנו, על שרת Zimbra הראשי יהיה צורך לבצע פקודות כמשתמש Zimbra /opt/zimbra/libexec/zmproxyconfgen и הפעלה מחדש של zmproxyctl.

7.5. עריכת ברירת המחדל של COS

בתפריט הגדרות: מחלקת שירות, בחר COS עם השם "ברירת מחדל".

בתפריט המשנה "הזדמנויות", בטל את הסימון של הפונקציה "פורטפוליו", ולאחר מכן לחץ על "שמור" בחלק הימני העליון של הטופס.

בדוגמה שלנו, לאחר ההגדרה, הטופס נראה כך:

כמו כן, מומלץ לבדוק את ההגדרה "אפשר שיתוף קבצים ותיקיות" בתפריט המשנה של Drive, ולאחר מכן ללחוץ על "שמור" בחלק הימני העליון של הטופס.

בדוגמה שלנו, לאחר ההגדרה, הטופס נראה כך:

בסביבת בדיקה, באותה מחלקת שירות, ניתן להפעיל פונקציות של Team Pro על ידי הפעלת תיבת הסימון עם אותו שם בתפריט המשנה Team, ולאחר מכן טופס התצורה יקבל את הטופס הבא:

כאשר תכונות Team Pro מושבתות, למשתמשים תהיה גישה רק לתכונות Team Basic.
שימו לב ש-Zextras Team Pro מורשה ללא תלות ב-Zextras Suite, מה שמאפשר לכם לרכוש אותה עבור פחות תיבות דואר מאשר חבילת Zextras עצמה; תכונות Team Basic כלולות ברישיון Zextras Suite. לכן, אם נעשה שימוש בסביבת ייצור, ייתכן שיהיה עליך ליצור מחלקת שירות נפרדת עבור משתמשי Team Pro הכוללת את התכונות המתאימות.

7.6. הגדרת חומת אש

נדרש עבור שרת Zimbra הראשי:

א) אפשר גישה מהאינטרנט ליציאות ssh, http/https, imap/imaps, pop3/pop3s, smtp (היציאה הראשית ויציאות נוספות לשימוש לקוחות דואר) וליציאת מסוף הניהול.

ב) אפשר את כל החיבורים מהרשת הפנימית (עבורה הופעלה NAT באינטרנט בשלב 1.3 בשלב 1).

אין צורך להגדיר חומת אש עבור שרת Zextras Docs, מכיוון זה לא נגיש מהאינטרנט.

לשם כך, עליך לבצע את רצף הפעולות הבא:

1) היכנס למסוף הטקסט של שרת Zimbra הראשי. בעת כניסה דרך SSH, עליך להפעיל את פקודת "מסך" כדי למנוע הפרעה של ביצוע הפקודה אם החיבור עם השרת אבד באופן זמני עקב שינויים בהגדרות חומת האש.

2) הפעל פקודות

sudo ufw allow 22,25,80,110,143,443,465,587,993,995,9071/tcp
sudo ufw allow from <адрес_вашей_сети>/<длина CIDR маски>
sudo ufw enable

בדוגמה שלנו זה נראה כך:

7.7. בדיקת גישה ללקוח האינטרנט ולמסוף הניהול

כדי לפקח על הפונקציונליות של חומת האש, אתה יכול ללכת לכתובת ה-URL הבאה בדפדפן שלך

מסוף מנהל מערכת: https:// :9071
לקוח אינטרנט: http:// (תהיה הפניה אוטומטית אל https:// )
במקביל, השתמש בכתובת האתר החלופית https:// :7071 מסוף הניהול לא אמור להיפתח.

לקוח האינטרנט בדוגמה שלנו נראה כך:

הערה. כאשר אתה מתחבר ללקוח האינטרנט, הדפדפן שלך עשוי לבקש רשות להציג הודעות מהאתר. עליך להסכים לקבל הודעות מאתר זה.

8. הבטחת תפעול ועידות אודיו ווידאו ב-Zextras Team

8.1. סקירה

הפעולות המתוארות להלן אינן נדרשות אם כל לקוחות Zextras Team מקיימים אינטראקציה זה עם זה ללא שימוש ב-NAT (במקרה זה, ניתן לבצע אינטראקציות עם שרת Zimbra עצמו באמצעות NAT, כלומר חשוב שלא יהיה NAT בין לקוחות). או אם משתמשים רק בטקסט במסנג'ר.

כדי להבטיח אינטראקציה עם הלקוח באמצעות ועידת אודיו ווידאו:

א) עליך להתקין או להשתמש בשרת TURN קיים.

ב) כי לשרת TURN יש בדרך כלל גם פונקציונליות של שרת STUN, מומלץ להשתמש בו גם בתכונה זו (לחלופין, ניתן להשתמש בשרתי STUN ציבוריים, אך פונקציונליות STUN לבדה לרוב לא מספיקה).

בסביבת ייצור, עקב עומס פוטנציאלי גבוה, מומלץ להעביר את שרת TURN למכונה וירטואלית נפרדת. לבדיקה ו/או עומס קל, ניתן לשלב את שרת ה-TURN עם השרת הראשי של Zimbra.

הדוגמה שלנו מסתכלת על התקנת שרת TURN בשרת Zimbra הראשי. התקנת TURN בשרת נפרד דומה, אלא שהשלבים הקשורים להתקנה וקביעת התצורה של תוכנת TURN מבוצעים בשרת TURN, והשלבים להגדרת שרת Zimbra לשימוש באותו שרת מבוצעים בשרת Zimbra הראשי.

8.2. התקנת שרת TURN

לאחר שנכנסתי בעבר דרך SSH לשרת Zimbra הראשי, הפעל את הפקודה

sudo apt install resiprocate-turn-server

8.3. הקמת שרת TURN

הערה. כדי לשנות את כל קובצי התצורה הבאים, יש להפעיל את העורך עם זכויות משתמש שורש, לדוגמה, "sudo vi /etc/reTurn/reTurnServer.config" או, אם חבילת mc מותקנת, אתה יכול להשתמש בפקודה "sudo mcedit /etc/reTurn/reTurnServer.config»

יצירת משתמש פשוטה

כדי לפשט את היצירה והניפוי באגים של חיבור בדיקה לשרת TURN, נשבית את השימוש בסיסמאות גיבוב במסד הנתונים של המשתמשים של שרת TURN. בסביבת ייצור, מומלץ להשתמש בסיסמאות hashed; במקרה זה, יצירת גיבוב סיסמא עבורם חייבת להתבצע בהתאם להוראות הכלולות בקבצי /etc/reTurn/reTurnServer.config ו- /etc/reTurn/users.txt.

סדר הפעולות:

1) ערוך את הקובץ /etc/reTurn/reTurnServer.config

שנה את הערך של הפרמטר "UserDatabaseHashedPasswords" מ-"true" ל-"false".

2) ערוך את הקובץ /etc/reTurn/users.txt

הגדר אותו לשם משתמש, סיסמה, תחום (שרירותי, לא בשימוש בעת הגדרת חיבור Zimbra) והגדר את מצב החשבון ל"AUTHORIZED".

בדוגמה שלנו, הקובץ נראה בתחילה כך:

לאחר העריכה זה נראה כך:

3) החלת תצורה

הפעל פקודה

sudo systemctl restart resiprocate-turn-server

8.4. הגדרת חומת אש עבור שרת TURN

בשלב זה מותקנים כללים נוספים של חומת אש הדרושים לפעולת שרת TURN. עליך לאפשר גישה ליציאה הראשית שבה השרת מקבל בקשות, ולטווח הדינמי של יציאות המשמשות את השרת לארגון זרמי מדיה.

היציאות מצוינות בקובץ /etc/reTurn/reTurnServer.config, במקרה שלנו זה:

כדי להתקין כללי חומת אש, עליך להפעיל את הפקודות

sudo ufw allow 3478,49152:65535/udp
sudo ufw allow 3478,49152:65535/tcp

8.5. הגדרה לשימוש בשרת TURN ב-Zimbra

כדי להגדיר, נעשה שימוש ב-FQDN של השרת, שרת TURN, שנוצר בשלב 1.2 של סעיף 1, ואשר חייב להיפתר על ידי שרתי DNS עם אותה כתובת IP ציבורית הן עבור בקשות מהאינטרנט והן עבור בקשות מכתובות פנימיות.

הצג את התצורה הנוכחית של חיבור "zxsuite team iceServer get" הפועל תחת משתמש zimbra.

למידע נוסף על הגדרת השימוש בשרת TURN, עיין בסעיף "התקנת Zextras Team לשימוש בשרת TURN" ב תיעוד.

כדי להגדיר, עליך להפעיל את הפקודות הבאות בשרת Zimbra:

sudo su - zimbra
zxsuite team iceServer add stun:<FQDN вашего сервера TURN>:3478?transport=udp
zxsuite team iceServer add turn:<FQDN вашего сервера TURN>:3478?transport=udp credential <пароль> username <имя пользователя>
zxsuite team iceServer add stun:<FQDN вашего сервера TURN>:3478?transport=tcp
zxsuite team iceServer add turn:<FQDN вашего сервера TURN>:3478?transport=tcp credential <пароль> username <имя пользователя>
zxsuite team iceServer add stun:<FQDN вашего сервера TURN>:3478
logout

הערכים של שם המשתמש והסיסמה, בהתאמה, שצוינו בשלב 2 בסעיף 8.3 משמשים כ<username> ו<password>.

בדוגמה שלנו זה נראה כך:

9. מתן אפשרות לדואר לעבור בפרוטוקול SMTP

בהתאם תיעוד, ב-Yandex.Cloud, תעבורה יוצאת ליציאת TCP 25 באינטרנט ולמכונות וירטואליות של Yandex Compute Cloud נחסמת תמיד כאשר הגישה אליה היא דרך כתובת IP ציבורית. זה לא ימנע ממך לבדוק קבלה של דואר שנשלח משרת דואר אחר לתחום הדואר המקובל, אך ימנע ממך לשלוח דואר מחוץ לשרת Zimbra.

התיעוד מציין ש-Yandex.Cloud יכול לפתוח את יציאת TCP 25 על פי בקשת תמיכה אם תציית הנחיות שימוש מקובלות, ושומרת לעצמה את הזכות לחסום שוב את הנמל במקרה של הפרת הכללים. כדי לפתוח את היציאה, עליך לפנות לתמיכה של Yandex.Cloud.

יישום

יצירת מפתחות SSH ב-openssh ו-putty והמרת מפתחות מ-putty לפורמט openssh

1. יצירת צמדי מפתחות עבור SSH

ב-Windows באמצעות מרק: הפעל את הפקודה puttygen.exe ולחץ על כפתור "צור".

בלינוקס: הפעל פקודה

ssh-keygen

2. המרת מפתחות ממרק לפורמט openssh

בווינדוס:

סדר הפעולות:

הפעל את תוכנית puttygen.exe.
טען את המפתח הפרטי בפורמט ppk, השתמש בפריט התפריט קובץ ← טען מפתח פרטי.
הזן את ביטוי הסיסמה אם נדרש עבור מפתח זה.
המפתח הציבורי בפורמט OpenSSH מוצג ב-puttygen עם הכיתוב "מפתח ציבורי להדבקה בשדה הקובץ authorized_keys של OpenSSH"
כדי לייצא מפתח פרטי לפורמט OpenSSH, בחר המרות ← ייצוא מפתח OpenSSH בתפריט הראשי
שמור את המפתח הפרטי לקובץ חדש.

על לינוקס

1. התקן את חבילת הכלים של PuTTY:

באובונטו:

sudo apt-get install putty-tools

על הפצות דמויות דביאן:

apt-get install putty-tools

בהפצות מבוססות RPM המבוססות על yum (CentOS וכו'):

yum install putty

2. כדי להמיר את המפתח הפרטי, הפעל את הפקודה:

puttygen <key.ppk> -O private-openssh -o <key_openssh>

3. כדי ליצור מפתח ציבורי (במידת הצורך):

puttygen <key.ppk> -O public-openssh -o <key_openssh.pub>

תוצאה

לאחר ההתקנה בהתאם להמלצות, המשתמש מקבל שרת דואר Zimbra המוגדר בתשתית Yandex.Cloud עם סיומת Zextras לתקשורת ארגונית ושיתוף פעולה עם מסמכים. ההגדרות נעשות עם הגבלות מסוימות עבור סביבת בדיקה, אך לא קשה להעביר את ההתקנה למצב ייצור ולהוסיף אפשרויות לשימוש באחסון אובייקטים של Yandex.Cloud ואחרים. לשאלות בנוגע לפריסה ושימוש בפתרון, אנא צור קשר עם שותף ה-Zextras שלך - SVZ או נציגים Yandex.Cloud.

לכל השאלות הקשורות ל-Zextras Suite, ניתן ליצור קשר עם נציגת Zextras, Ekaterina Triandafilidi, במייל katerina@zextras.com

מקור: www.habr.com