Tak się złożyło, że administratorzy systemu są zawsze podejrzliwi wobec wszystkiego, co nowe. Dosłownie wszystko, od nowych platform serwerowych po aktualizacje oprogramowania, jest postrzegane z ostrożnością, o ile nie ma pierwszych praktycznych doświadczeń użytkowania i pozytywnych opinii kolegów z innych przedsiębiorstw. To zrozumiałe, bo kiedy dosłownie z głową odpowiadasz za działanie przedsiębiorstwa i bezpieczeństwo ważnych informacji, z czasem przestajesz ufać nawet sobie, nie mówiąc już o kontrahentach, podwładnych czy zwykłych użytkownikach.
Nieufność do aktualizacji oprogramowania wynika z wielu nieprzyjemnych przypadków, gdy instalowanie nowych łat prowadziło do spadku wydajności, zmian w interfejsie użytkownika, awarii systemu informatycznego lub, co najbardziej nieprzyjemne, utraty danych. Nie możesz jednak całkowicie odmówić aktualizacji, w takim przypadku infrastruktura Twojego przedsiębiorstwa może zostać zaatakowana przez cyberprzestępców. Wystarczy przypomnieć sensacyjny przypadek wirusa WannaCry, kiedy to dane przechowywane na milionach komputerów nieaktualizowanych do najnowszej wersji Windowsa okazały się zaszyfrowane. Incydent ten nie tylko kosztował setki administratorów systemów utratę pracy, ale także wyraźnie pokazał potrzebę nowej polityki aktualizacji oprogramowania w przedsiębiorstwie, która pozwoliłaby połączyć bezpieczeństwo i szybkość ich instalacji. W oczekiwaniu na wydanie Zimbra 8.8.15 LTS przyjrzyjmy się, w jaki sposób można zaktualizować Zimbra Collabration Suite Open-Source Edition, aby zapewnić bezpieczeństwo wszystkich krytycznych danych.
Jedną z głównych cech Zimbra Collaboration Suite jest to, że prawie wszystkie jego łącza można powielić. W szczególności, oprócz głównego serwera LDAP-Master, można dodać zduplikowane repliki LDAP, do których w razie potrzeby można przenieść funkcje głównego serwera LDAP. Możesz także duplikować serwery proxy i serwery za pomocą MTA. Taka duplikacja pozwala w razie potrzeby usuwać z infrastruktury poszczególne łącza infrastruktury podczas aktualizacji i dzięki temu niezawodnie zabezpieczyć się nie tylko przed długimi przestojami, ale także przed utratą danych w przypadku nieudanej aktualizacji.
W przeciwieństwie do reszty infrastruktury, kopiowanie magazynów poczty w Zimbra Collaboration Suite nie jest obsługiwane. Nawet jeśli masz w swojej infrastrukturze wiele magazynów poczty, dane każdej skrzynki pocztowej mogą znajdować się na jednym serwerze pocztowym. Dlatego jedną z głównych zasad bezpieczeństwa danych podczas aktualizacji jest terminowe tworzenie kopii zapasowych informacji w magazynach pocztowych. Im świeższa kopia zapasowa, tym więcej danych zostanie zapisanych w nagłych wypadkach. Jest tu jednak pewien niuans, a mianowicie to, że darmowa edycja Zimbra Collaboration Suite nie ma wbudowanego mechanizmu tworzenia kopii zapasowych i do tworzenia kopii zapasowych trzeba będzie użyć wbudowanych narzędzi GNU/Linux. Jeśli jednak Twoja infrastruktura Zimbra ma kilka magazynów poczty, a rozmiar archiwum poczty jest wystarczająco duży, to każda taka kopia zapasowa może zająć bardzo dużo czasu, a także spowodować poważne obciążenie sieci lokalnej i samych serwerów. Ponadto podczas długotrwałego kopiowania gwałtownie wzrasta ryzyko różnych sił wyższych. Ponadto, jeśli wykonasz taką kopię zapasową bez zatrzymywania usługi, istnieje ryzyko, że wiele plików może nie zostać poprawnie skopiowanych, co doprowadzi do utraty części danych.
Dlatego też, jeśli zachodzi potrzeba utworzenia kopii zapasowej dużej ilości informacji z magazynów poczty, lepiej jest skorzystać z przyrostowej kopii zapasowej, która pozwala uniknąć tworzenia pełnej kopii wszystkich informacji i wykonać kopię zapasową tylko tych plików, które pojawiły się lub zostały zmienione po poprzednia pełna kopia zapasowa. To znacznie przyspiesza proces usuwania kopii zapasowych, a także pozwala szybko rozpocząć instalowanie aktualizacji. Możesz tworzyć przyrostowe kopie zapasowe w Zimbra Open-Source Edition za pomocą modułowego rozszerzenia Zextras Backup, które jest częścią pakietu Zextras Suite.
Kolejne potężne narzędzie, Zextras PowerStore, pozwala administratorowi systemu na deduplikację danych w magazynie poczty. Oznacza to, że wszystkie identyczne załączniki i zduplikowane wiadomości e-mail na serwerze pocztowym zostaną zastąpione tym samym oryginalnym plikiem, a wszystkie duplikaty zamienią się w przezroczyste dowiązania symboliczne. Pozwala to nie tylko zaoszczędzić dużo miejsca na dysku twardym, ale także znacznie zmniejsza rozmiar kopii zapasowej, co pozwala osiągnąć skrócenie czasu wykonywania pełnej kopii zapasowej, a co za tym idzie, znacznie częściej ją wykonywać.
Ale główną funkcją, którą Zextras PowerStore jest w stanie zapewnić w celu zapewnienia bezpiecznej aktualizacji, jest transfer skrzynek pocztowych między serwerami pocztowymi w infrastrukturach wieloserwerowych Zimbra. Dzięki tej funkcji administrator systemu ma możliwość zrobienia dokładnie tego samego z magazynami poczty, co zrobiliśmy z serwerami MTA i LDAP, aby je bezpiecznie zaktualizować. Dla przykładu, jeśli w infrastrukturze Zimbra są cztery magazyny pocztowe, można spróbować rozłożyć skrzynki pocztowe z jednego z nich do pozostałych trzech, a gdy pierwszy magazyn pocztowy jest pusty, można go aktualizować bez obawy o bezpieczeństwo danych . Jeżeli administrator systemu posiada w infrastrukturze zapasowy magazyn poczty, może go wykorzystać jako tymczasowe miejsce przechowywania skrzynek pocztowych migrowanych z aktualizowanych magazynów poczty.
Polecenie konsoli umożliwia wykonanie takiego transferu. DoPrzenieś skrzynkę pocztową. Aby użyć go do przeniesienia wszystkich kont z magazynu poczty, musisz najpierw uzyskać ich pełną listę. Aby to osiągnąć, na serwerze pocztowym wykonamy polecenie zmprov w zimbraMailHost=mailbox.example.com > account.txt. Po jego wykonaniu otrzymamy plik konta.txt z listą wszystkich skrzynek pocztowych w naszym magazynie pocztowym. Następnie możesz od razu użyć go do przeniesienia kont do innego magazynu poczty. Będzie to wyglądać na przykład tak:
zxsuite powerstore doMailboxMove Reserve_mailbox.example.com input_file account.txt etapy danych
zxsuite powerstore doMailboxMove Reserve_mailbox.example.com input_file account.txt przetwarza dane, powiadomienia o koncie [email chroniony]
Polecenie jest wykonywane dwukrotnie, aby za pierwszym razem skopiować wszystkie dane bez przenoszenia samego konta, a za drugim razem, ponieważ dane są przesyłane przyrostowo, skopiuj wszystkie dane, które pojawiły się po pierwszym transferze, a następnie przenieś same rachunki . Należy pamiętać, że transferom kont towarzyszy krótki okres niedostępności skrzynki pocztowej i dobrze byłoby ostrzec o tym użytkowników. Dodatkowo po zakończeniu wykonywania drugiego polecenia na pocztę administratora wysyłane jest odpowiednie powiadomienie. Dzięki niemu administrator może jak najszybciej przystąpić do aktualizacji magazynu poczty.
Jeśli aktualizacja oprogramowania na magazynie poczty jest przeprowadzana przez dostawcę SaaS, dużo bardziej zasadne byłoby przesyłanie danych nie przez konta, ale przez domeny na nim zlokalizowane. W tym celu wystarczy nieco zmodyfikować komendę input:
zxsuite powerstore doMailboxMove domena Reserve_mailbox.saas.com klient1.ru, klient2.ru, klient3.ru etapy danych
zxsuite powerstore doMailboxMove domena secureserver.saas.com klient1.ru, klient2.ru, klient3.ru etapy danych, powiadomienia o koncie [email chroniony]
Po zakończeniu przenoszenia kont i ich danych z magazynu poczty, dane na serwerze źródłowym przestają mieć jakiekolwiek znaczenie i można bez obaw o ich bezpieczeństwo przystąpić do aktualizacji serwera pocztowego.
Dla tych, którzy chcą zminimalizować przestoje podczas migracji skrzynek pocztowych, idealny jest zasadniczo inny scenariusz użycia polecenia zxsuite powerstore doMailboxMove, którego istotą jest natychmiastowe przeniesienie skrzynek pocztowych na zaktualizowane serwery, bez konieczności korzystania z serwerów pośredniczących. Innymi słowy, do infrastruktury Zimbra, która została już zaktualizowana do najnowszej wersji, dodajemy nowy magazyn poczty, a następnie po prostu przenosimy na niego konta z niezaktualizowanego serwera według znanego już scenariusza i powtarzamy procedurę, aż wszystkie serwery w infrastruktura jest aktualizowana.
Ta metoda pozwala na jednokrotne przeniesienie kont i tym samym skrócenie czasu, w którym skrzynki pocztowe pozostaną niedostępne. Ponadto do jego wdrożenia wymagany jest tylko jeden dodatkowy serwer pocztowy. Jednak jego użycie powinno być traktowane z ostrożnością przez tych administratorów, którzy wdrażają magazyny poczty na serwerach o różnych konfiguracjach. Faktem jest, że przeniesienie dużej liczby kont na słabszy serwer może negatywnie wpłynąć na dostępność i responsywność usługi, co może być dość krytyczne dla dużych przedsiębiorstw i dostawców SaaS.
Tym samym, dzięki Zextras Backup i Zextras PowerStore, administrator systemu Zimbra może aktualizować wszystkie węzły infrastruktury Zimbra bez żadnego ryzyka dla przechowywanych na nich informacji.
Źródło: www.habr.com