🥇Implantação de estações de trabalho de escritório Zextras/Zimbra no Yandex.Cloud

Introdução

Otimizar a infraestrutura do escritório e implantar novos espaços de trabalho é um grande desafio para empresas de todos os tipos e tamanhos. A melhor opção para um novo projeto é alugar recursos na nuvem e adquirir licenças que podem ser utilizadas tanto no provedor quanto em seu próprio data center. Uma solução para tal cenário é Suíte Zextras, que permite criar uma plataforma de colaboração e comunicação corporativa de uma empresa tanto no ambiente de nuvem quanto em sua própria infraestrutura.

A solução foi projetada para escritórios de qualquer tamanho e possui dois cenários principais de implantação: uma configuração de servidor único para até 3000 caixas de correio e baixos requisitos de tolerância a falhas, enquanto uma configuração com vários servidores oferece operação confiável e responsiva para dezenas ou centenas de milhares de caixas de correio. Em todos os casos, os usuários acessam e-mails, documentos e mensagens por meio de uma única interface web a partir de qualquer computador, sem a necessidade de instalar ou configurar softwares adicionais, ou por meio de aplicativos móveis para iOS e iOS. AndroidVocê pode usar os clientes Outlook e Thunderbird que já conhece.

Para implantar o projeto, o parceiro Zextras - SVZ escolheu Yandex.Cloud porque sua arquitetura é semelhante à AWS e há suporte para armazenamento compatível com S3, o que reduzirá o custo de armazenamento de grandes volumes de correspondência, mensagens e documentos e aumentará a tolerância a falhas da solução.

No ambiente Yandex.Cloud, ferramentas básicas de gerenciamento de máquina virtual são usadas para instalar um servidor único "Nuvem computacional" e recursos de gerenciamento de rede virtual “Nuvem privada virtual”. Para instalação multiservidor, além das ferramentas especificadas, é necessário utilizar tecnologias "Grupo de posicionamento", se necessário (dependendo da escala do sistema) – também "Grupos de instâncias"e balanceador de rede Balanceador de carga Yandex.

Armazenamento de objetos compatível com S3 Armazenamento de objetos Yandex pode ser usado em ambas as opções de instalação e também pode ser conectado a sistemas implantados no local para armazenamento econômico e tolerante a falhas de dados do servidor de e-mail no Yandex.Cloud.

Para uma instalação em servidor único, dependendo do número de usuários e/ou caixas de correio, é necessário o seguinte: para o servidor principal 4-12 vCPU, 8-64 GB vRAM (valores específicos de vCPU e vRAM dependem do número de caixas de correio e a carga real), pelo menos 80 GB de disco para o sistema operacional e aplicativos, bem como espaço em disco adicional para armazenar correio, índices, logs, etc., dependendo do número e tamanho médio das caixas de correio e que podem mudar dinamicamente durante a operação do sistema; para servidores auxiliares do Docs: 2 a 4 vCPU, 2 a 16 GB de vRAM, 16 GB de espaço em disco (valores de recursos específicos e número de servidores dependem da carga real); Além disso, um servidor TURN/STUN pode ser necessário (sua necessidade como servidor separado e os recursos dependem da carga real). Para instalações multiservidor, o número e a finalidade das máquinas virtuais de role-playing e os recursos alocados a elas são determinados individualmente, dependendo dos requisitos do usuário.

Objetivo do artigo

Descrição da implantação no ambiente Yandex.Cloud dos produtos Zextras Suite baseados no servidor de e-mail Zimbra na opção de instalação em servidor único. A instalação resultante pode ser usada em ambiente de produção (usuários experientes podem fazer as configurações necessárias e adicionar recursos).

O sistema Zextras Suite/Zimbra inclui:

Zimbra — e-mail corporativo com capacidade de compartilhar caixas de correio, calendários e listas de contatos (catálogos de endereços).
Documentos Zextras — um pacote de escritório integrado baseado no LibreOffice online para criar e colaborar com documentos, planilhas e apresentações.
Unidade Zextras – armazenamento individual de arquivos que permite editar, armazenar e compartilhar arquivos e pastas com outros usuários.
Equipe Zextras – um mensageiro com suporte para áudio e videoconferência. As versões disponíveis são Team Basic, que permite apenas comunicação 1:1, e Team Pro, que suporta conferências multiusuários, canais, compartilhamento de tela, compartilhamento de arquivos e outras funções.
Zextras Mobile – suporte para dispositivos móveis via Exchange ActiveSync para sincronizar e-mails com dispositivos móveis com funções de gerenciamento MDM (Mobile Device Management). Permite que você use o Microsoft Outlook como cliente de e-mail.
Administrador Zextras – implementação de administração de sistema multi-tenant com delegação de administradores para gerenciar grupos de clientes e classes de serviços.
Backup Zextras -backup e recuperação de dados de ciclo completo em tempo real
Zextras Powerstore — armazenamento hierárquico de objetos do sistema de correio com suporte para classes de processamento de dados, com capacidade de armazenar dados localmente ou em armazenamentos em nuvem da arquitetura S3, incluindo Yandex Object Storage.

Após a conclusão da instalação, o usuário recebe um sistema funcionando no ambiente Yandex.Cloud.

Condições e restrições

A alocação de espaço em disco para caixas de correio, índices e outros tipos de dados não é abordada porque Zextras Powerstore suporta vários tipos de armazenamento. O tipo e o tamanho do armazenamento dependem das tarefas e dos parâmetros do sistema. Se necessário, isso pode ser feito posteriormente no processo de conversão da instalação descrita em uma instalação de produção.
Para simplificar a instalação, o uso de um servidor DNS gerenciado pelo administrador para resolver nomes de domínio internos (não públicos) não é considerado; o servidor DNS padrão Yandex.Cloud é usado. Quando utilizado em ambiente de produção, recomenda-se a utilização de um servidor DNS, que pode já existir na infraestrutura corporativa.
Presume-se que uma conta no Yandex.Cloud seja usada com configurações padrão (em particular, ao fazer login no “Console” do serviço, há apenas um diretório (na lista “Nuvens disponíveis” sob o nome padrão). Usuários familiarizados com o trabalho no Yandex.Cloud, eles podem, a seu critério, criar um diretório separado para o banco de testes ou usar um já existente.
O usuário deve ter uma zona DNS pública à qual deve ter acesso administrativo.
O usuário deve ter acesso ao diretório no “Console” Yandex.Cloud com pelo menos a função de “editor” (o “Proprietário da nuvem” tem todos os direitos necessários por padrão; existem guias para conceder acesso à nuvem a outros usuários : tempo, два, três)
Este artigo não descreve a instalação de certificados X.509 personalizados usados para proteger comunicações de rede usando mecanismos TLS. Assim que a instalação for concluída, certificados autoassinados serão usados, permitindo que navegadores sejam usados para acessar o sistema instalado. Eles geralmente exibem uma notificação de que o servidor não possui um certificado verificável, mas permitem que você continue trabalhando. Até a instalação dos certificados verificados pelos dispositivos clientes (assinados por autoridades certificadoras públicas e/ou corporativas), os aplicativos para dispositivos móveis poderão não funcionar com o sistema instalado. Portanto, a instalação dos certificados especificados no ambiente de produção é necessária e é realizada após a conclusão do teste de acordo com as políticas de segurança corporativa.

Descrição do processo de instalação do sistema Zextras/Zimbra na versão “single-server”

1. Preparação preliminar

Antes de iniciar a instalação você deve garantir:

a) Fazendo alterações na zona DNS pública (criando um registro A para o servidor Zimbra e um registro MX para o domínio de correio servido).
b) Configurando uma infraestrutura de rede virtual em Yandex.Cloud.

Ao mesmo tempo, depois de fazer alterações em uma zona DNS, leva algum tempo para que essas alterações se propaguem, mas, por outro lado, não é possível criar um registro A sem conhecer o endereço IP associado a ele.

Portanto, as ações são executadas na seguinte sequência:

1. Reserve um endereço IP público no Yandex.Cloud

1.1 No “Yandex.Cloud Console” (se necessário, selecionando pastas em “nuvens disponíveis”), vá para a seção Virtual Private Cloud, subseção Endereços IP, clique no botão “Reservar endereço”, selecione sua zona de disponibilidade preferida (ou concorde com o valor proposto; esta zona de disponibilidade deve posteriormente ser utilizada para todas as ações descritas posteriormente em Yandex.Cloud, se os formulários correspondentes tiverem a opção de selecionar uma zona de disponibilidade), na caixa de diálogo que se abre, você pode, se desejar, mas não necessariamente, selecione a opção “Proteção DDoS” e clique no botão “Reservar” (veja também documentação).

Após fechar a caixa de diálogo, um endereço IP estático alocado pelo sistema estará disponível na lista de endereços IP, que poderá ser copiado e utilizado na próxima etapa.

1.2 Na zona DNS "forward", faça um registro A para o servidor Zimbra apontando para o endereço IP alocado anteriormente, um registro A para o servidor TURN apontando para o mesmo endereço IP e um registro MX para o domínio de correio aceito. Em nosso exemplo, serão mail.testmail.svzcloud.ru (servidor Zimbra), turn.testmail.svzcloud.ru (servidor TURN) e testmail.svzcloud.ru (domínio de correio), respectivamente.

1.3 No Yandex.Cloud, na zona de disponibilidade selecionada para a sub-rede que será usada para implantar máquinas virtuais, habilite o NAT na Internet.

Para fazer isso, na seção Virtual Private Cloud, subseção “Redes em nuvem”, selecione a rede em nuvem apropriada (por padrão, apenas a rede padrão está disponível lá), selecione a zona de disponibilidade apropriada nela e selecione “Ativar NAT na Internet ”Em suas configurações.

O status mudará na lista de sub-redes:

Para mais detalhes, consulte a documentação: tempo и два.

2. Criando máquinas virtuais

2.1. Criando uma máquina virtual para Zimbra

Sequência de ações:

2.1.1 No “Yandex.Cloud Console”, vá para a seção Compute Cloud, subseção “Máquinas Virtuais”, clique no botão “Criar VM” (para obter mais informações sobre como criar uma VM, consulte documentação).

2.1.2 Lá você precisa definir:

Nome – arbitrário (de acordo com o formato suportado pelo Yandex.Cloud)
Zona de disponibilidade – deve corresponder àquela previamente selecionada para a rede virtual.
Em "Imagens Públicas", selecione Ubuntu 18.04 lts
Instale um disco de inicialização de pelo menos 80 GB. Para fins de teste, um tipo de HDD é suficiente (e também para uso produtivo, desde que alguns tipos de dados sejam transferidos para discos do tipo SSD). Se necessário, discos adicionais podem ser adicionados após a criação da VM.

No conjunto “recursos computacionais”:

vCPU: pelo menos 4.
Participação garantida de vCPU: durante as ações descritas no artigo, no mínimo 50%; após a instalação, se necessário, pode ser reduzida.
RAM: 8 GB recomendado.
Sub-rede: selecione uma sub-rede para a qual o Internet NAT foi habilitado durante a fase de preparação preliminar.
Endereço público: selecione na lista o endereço IP utilizado anteriormente para criar o registro A no DNS.
Usuário: a seu critério, mas diferente do usuário root e das contas do sistema. Linux.
Você deve especificar uma chave SSH pública (aberta).

→ Saiba mais sobre como usar SSH

См. также Apêndice 1. Criação de chaves SSH em openssh e putty e conversão de chaves do formato putty para openssh.

2.1.3 Assim que a configuração for concluída, clique em “Criar VM”.

2.2. Criando uma máquina virtual para Zextras Docs

Sequência de ações:

2.2.1 No “Yandex.Cloud Console”, vá para a seção Compute Cloud, subseção “Máquinas Virtuais”, clique no botão “Criar VM” (para obter mais informações sobre como criar uma VM, consulte aqui).

2.2.2 Lá você precisa definir:

Nome – arbitrário (de acordo com o formato suportado pelo Yandex.Cloud)
Zona de disponibilidade – deve corresponder àquela previamente selecionada para a rede virtual.
Em "Imagens Públicas", selecione Ubuntu 18.04 lts
Instale um disco de inicialização de pelo menos 80 GB. Para fins de teste, um tipo de HDD é suficiente (e também para uso produtivo, desde que alguns tipos de dados sejam transferidos para discos do tipo SSD). Se necessário, discos adicionais podem ser adicionados após a criação da VM.

No conjunto “recursos computacionais”:

vCPU: pelo menos 2.
Participação garantida de vCPU: durante as ações descritas no artigo, no mínimo 50%; após a instalação, se necessário, pode ser reduzida.
RAM: pelo menos 2 GB.
Sub-rede: selecione uma sub-rede para a qual o Internet NAT foi habilitado durante a fase de preparação preliminar.
Endereço público: sem endereço (esta máquina não necessita de acesso à Internet, apenas acesso de saída desta máquina à Internet, que é fornecido pela opção “NAT para Internet” da sub-rede utilizada).
Usuário: a seu critério, mas diferente do usuário root e das contas do sistema. Linux.
Definitivamente, você deve definir uma chave SSH pública (aberta), você pode usar a mesma do servidor Zimbra, você pode gerar um par de chaves separado, pois a chave privada do servidor Zextras Docs precisará ser colocada no servidor Zimbra disco.

Consulte também o Apêndice 1. Criando chaves SSH no formato openssh e putty e convertendo chaves do formato putty para o formato openssh.

2.2.3 Assim que a configuração for concluída, clique em “Criar VM”.

2.3 As máquinas virtuais criadas ficarão disponíveis na lista de máquinas virtuais, que apresenta, nomeadamente, o seu estado e os endereços IP utilizados, tanto públicos como internos. As informações sobre endereços IP serão necessárias nas etapas subsequentes da instalação.

3. Preparando o servidor Zimbra para instalação

3.1 Instalando atualizações

Você precisa fazer login no servidor Zimbra em seu endereço IP público usando seu cliente ssh preferido, usando a chave ssh privada e o nome de usuário especificado ao criar a máquina virtual.

Após fazer login, execute os comandos:

sudo apt update
sudo apt upgrade

(ao executar o último comando, responda “y” à pergunta sobre se você tem certeza de instalar a lista de atualizações proposta)

Depois de instalar as atualizações, você pode (mas não é obrigado a) executar o comando:

sudo apt autoremove

E no final da etapa, execute o comando

sudo shutdown –r now

3.2 Instalação adicional de aplicativos

Você precisa instalar um cliente NTP para sincronizar a hora do sistema e a tela do aplicativo com o seguinte comando:

sudo apt install ntp screen

(Ao executar o último comando, responda “y” quando perguntado se você tem certeza de instalar a lista de pacotes anexada)

Você também pode instalar utilitários adicionais para conveniência do administrador. Por exemplo, Midnight Commander pode ser instalado com o comando:

sudo apt install mc

3.3. Alterando a configuração do sistema

3.3.1 No arquivo /etc/cloud/cloud.cfg.d/95-yandex-cloud.cfg alterar o valor do parâmetro gerenciar_etc_hosts c verdadeiro em falso.

Nota: para alterar este arquivo, o editor deve ser executado com direitos de usuário root, por exemplo, “sudo vi /etc/cloud/cloud.cfg.d/95-yandex-cloud.cfg”Ou, se o pacote mc estiver instalado, você pode usar o comando“sudo mcedit /etc/cloud/cloud.cfg.d/95-yandex-cloud.cfg»

3.3.2 Editar / Etc / hosts da seguinte forma, substituindo na linha que define o FQDN do host o endereço de 127.0.0.1 para o endereço IP interno deste servidor, e o nome do nome completo na zona .internal para o nome público do servidor especificado anteriormente no A -registro da zona DNS e o correspondente alterando o nome de host abreviado (se for diferente do nome de host abreviado do registro DNS A público).

Por exemplo, no nosso caso, o arquivo hosts parecia:

Após a edição ficou assim:

Nota: para alterar este arquivo, o editor deve ser executado com direitos de usuário root, por exemplo, “sudo vi /etc/hosts”Ou, se o pacote mc estiver instalado, você pode usar o comando“sudo mcedit /etc/hosts»

3.4 Definir senha do usuário

Isso é necessário porque futuramente o firewall será configurado, e caso surja algum problema com ele, se o usuário possuir senha, será possível efetuar login na máquina virtual através do console serial do Yandex. Console da web na nuvem e desative o firewall e/ou corrija o erro. Ao criar uma máquina virtual, o usuário não possui senha e, portanto, o acesso só é possível via SSH utilizando autenticação de chave.

Para definir a senha você precisa executar o comando:

sudo passwd <имя пользователя>

Por exemplo, no nosso caso será o comando “usuário sudo senha".

4. Instalação do Zimbra e Zextras Suite

4.1. Baixando distribuições Zimbra e Zextras Suite

4.1.1 Baixando a distribuição Zimbra

Sequência de ações:

1) Vá para o URL com o navegador www.zextras.com/download-zimbra-9 e preencha o formulário. Você receberá um e-mail com links para baixar o Zimbra para diferentes sistemas operacionais.

2) Selecione a versão atual da distribuição para a plataforma. Ubuntu 18.04 LTS e copie o link

3) Baixe a distribuição Zimbra para o servidor Zimbra e descompacte-a. Para fazer isso, execute os comandos em uma sessão ssh no servidor zimbra

cd ~
mkdir zimbra
cd zimbra
wget <url, скопированный на предыдущем шаге>
tar –zxf <имя скачанного файла>

(no nosso exemplo é “tar –zxf zcs-9.0.0_OSE_UBUNTU18_latest-zextras.tgz")

4.1.2 Baixando a distribuição Zextras Suite

Sequência de ações:

1) Vá para o URL com o navegador www.zextras.com/download

2) Preencha o formulário inserindo os dados solicitados e clique no botão “BAIXAR AGORA”

3) A página de download será aberta

Existem dois URLs que nos interessam: um no topo da página, referente ao próprio Zextras Suite, que precisaremos agora, e o outro na parte inferior, no bloco Docs Server, para Ubuntu 18.04 LTS, que será necessário posteriormente para instalar o Zextras Docs na VM para documentação.

4) Baixe a distribuição Zextras Suite para o servidor Zimbra e descompacte-a. Para fazer isso, execute os comandos em uma sessão ssh no servidor zimbra

cd ~
mkdir zimbra
cd zimbra

(se o diretório atual não tiver sido alterado após a etapa anterior, os comandos acima poderão ser omitidos)

wget http://download.zextras.com/zextras_suite-latest.tgz
tar –zxf zextras_suite-latest.tgz

4.2. Instalação do Zimbra

Sequência de ações

1) Vá para o diretório onde os arquivos foram descompactados na etapa 4.1.1 (pode ser visualizado com o comando ls enquanto estiver no diretório ~/zimbra).

No nosso exemplo seria:

cd ~/zimbra/zcs-9.0.0_OSE_UBUNTU18_latest-zextras/zimbra-installer

2) Execute a instalação do Zimbra usando o comando

sudo ./install.sh

3) Respondemos às perguntas do instalador

Você pode responder às perguntas do instalador com “y” (corresponde a “sim”), “n” (corresponde a “não”), ou deixar inalterada a sugestão do instalador (oferece opções, exibindo-as entre colchetes, por exemplo, “ [S]” ou “[N]”.

Você concorda com os termos do contrato de licença de software? - Sim.

Usar o repositório de pacotes do Zimbra? – por padrão (sim).

"Instalar o zimbra-ldap?"nós,"Instalar o zimbra-logger?"nós,"Instalar o zimbra-mta?”- padrão (sim).

Instalar o zimbra-dnscache? – não (o sistema operacional tem seu próprio servidor DNS de cache habilitado por padrão, então este pacote terá um conflito com ele devido às portas usadas).

Instalar o zimbra-snmp? – se desejar, você pode deixar a opção padrão (sim), não é necessário instalar este pacote. No nosso exemplo, a opção padrão é deixada.

"Instalar loja zimbra?"nós,"Instalar o zimbra-apache?"nós,"Instalar o feitiço zimbra?"nós,"Instalar o zimbra-memcached?"nós,"Instalar proxy zimbra?”- padrão (sim).

Instalar o zimbra-snmp? – não (o pacote na verdade não é suportado e foi substituído funcionalmente pelo Zextras Drive).

Instalar o zimbra-imapd? – padrão (não).

Instalar o zimbra-chat? – não (substituído funcionalmente pela Equipe Zextras)

Depois disso, o instalador perguntará se deseja continuar a instalação.

Respondemos “sim” se pudermos continuar, caso contrário respondemos “não” e temos a oportunidade de alterar as respostas às perguntas feitas anteriormente.

Depois de concordar em continuar, o instalador instalará os pacotes.

4). Respondemos perguntas do configurador principal

4.1) Como no nosso exemplo o nome DNS do servidor de correio (nome do registro A) e o nome do domínio de correio servido (nome do registro MX) são diferentes, o configurador exibe um aviso e solicita que você defina o nome do domínio de correio servido. Concordamos com sua proposta e inserimos o nome do registro MX. No nosso exemplo fica assim:

Observação: você também pode definir o domínio de correio servido para ser diferente do nome do servidor se o nome do servidor tiver um registro MX com o mesmo nome.

4.2) O configurador exibe o menu principal.

Precisamos definir a senha do administrador Zimbra (item de menu 6 em nosso exemplo), sem a qual é impossível continuar a instalação, e alterar a configuração do zimbra-proxy (item de menu 8 em nosso exemplo; se necessário, esta configuração pode ser alterada depois da instalação).

4.3) Alterando as configurações do zimbra-store

No prompt do configurador, insira o número do item de menu e pressione Enter. Chegamos ao menu de configurações de armazenamento:

onde no convite do configurador inserimos o número do item de menu Admin Password (no nosso exemplo 4), pressione Enter, após o qual o configurador oferece uma senha gerada aleatoriamente, com a qual você pode concordar (lembrando-a) ou inserir a sua própria. Em ambos os casos, ao final deve-se pressionar Enter, após o qual o item “Senha do Administrador” removerá o marcador de espera pela entrada de informações do usuário:

Voltamos ao menu anterior (concordamos com a proposta do configurador).

4.4) Alterando as configurações do proxy zimbra

Por analogia com o passo anterior, no menu principal selecione o número do item “zimbra-proxy” e insira-o no prompt do configurador.

No menu de configuração do proxy que se abre, selecione o número do item “Modo servidor proxy” e insira-o no prompt do configurador.

O configurador oferecerá a seleção de um dos modos, digite “redirecionar” em seu prompt e pressione Enter.

Depois voltamos ao menu principal (concordamos com a proposta do configurador).

4.5) Configuração em execução

Para iniciar a configuração, digite “a” no prompt do configurador. Depois disso ele perguntará se deseja salvar a configuração inserida em um arquivo (que pode ser usado para reinstalação) - você pode concordar com a proposta padrão, se o salvamento for feito - ele perguntará em qual arquivo salvar a configuração (você também pode concordar com a proposta padrão ou inserir seu próprio nome de arquivo).

Nesta fase, você ainda pode recusar continuar e fazer alterações na configuração concordando com a resposta padrão à pergunta “O sistema será modificado – continuar?”

Para iniciar a instalação, você deve responder “Sim” a esta pergunta, após o que o configurador aplicará as configurações inseridas anteriormente por algum tempo.

4.6) Concluindo a instalação do Zimbra

Antes da conclusão, o instalador perguntará se deseja notificar o Zimbra sobre a instalação. Você pode concordar com a proposta padrão ou recusar (respondendo “Não”) a notificação.

Depois disso, o instalador continuará a realizar as operações finais por algum tempo e exibirá uma notificação de que a configuração do sistema foi concluída com um prompt para pressionar qualquer tecla para sair do instalador.

4.3. Instalação do Zextras Suite

Para obter mais informações sobre a instalação do Zextras Suite, consulte instrução.

Sequência de ações:

1) Vá para o diretório onde os arquivos foram descompactados na etapa 4.1.2 (pode ser visualizado com o comando ls enquanto estiver no diretório ~/zimbra).

No nosso exemplo seria:

cd ~/zimbra/zextras_suite

2) Execute a instalação do Zextras Suite usando o comando

sudo ./install.sh all

3) Respondemos às perguntas do instalador

O princípio de funcionamento do instalador é semelhante ao do instalador Zimbra, exceto pela ausência de configurador. Você pode responder às perguntas do instalador com “y” (corresponde a “sim”), “n” (corresponde a “não”), ou deixar inalterada a sugestão do instalador (oferece opções, exibindo-as entre colchetes, por exemplo, “ [S]” ou “[N]”.

Para iniciar o processo de instalação, você deve responder “sim” consistentemente às seguintes perguntas:

Você concorda com os termos do contrato de licença de software?
Deseja que o Zextras Suite baixe, instale e atualize automaticamente a Biblioteca ZAL?

Depois disso, uma notificação será exibida solicitando que você pressione Enter para continuar:

Após premir Enter, terá início o processo de instalação, por vezes interrompido por questões, às quais, no entanto, respondemos concordando com as sugestões predefinidas (“sim”), nomeadamente:

Zextras Suite Core agora será instalado. Continuar?
Deseja interromper o aplicativo Zimbra Web (caixa de correio)?
O Zextras Suite Zimlet agora será instalado. Continuar?

Antes do início da parte final da instalação, você será notificado de que precisa configurar o filtro DOS e será solicitado que pressione Enter para continuar. Após pressionar Enter, a parte final da instalação é iniciada, ao final uma notificação final é exibida e o instalador é concluído.

4.4. Ajuste de configuração inicial e determinação de parâmetros de configuração LDAP

1) Todas as ações subsequentes são executadas pelo usuário Zimbra. Para fazer isso você precisa executar o comando

sudo su - zimbra

2) Altere a configuração do filtro DOS com o comando

zmprov mcf zimbraHttpDosFilterMaxRequestsPerSec 150

3) Para instalar o Zextras Docs, você precisará de informações sobre algumas opções de configuração do Zimbra. Para fazer isso você pode executar o comando:

zmlocalconfig –s | grep ldap

Em nosso exemplo, as seguintes informações serão exibidas:

Para uso posterior, você precisará de ldap_url, zimbra_ldap_password (e zimbra_ldap_userdn, embora o instalador do Zextras Docs geralmente faça suposições corretas sobre o nome de usuário LDAP).

4) Saia como usuário zimbra executando o comando
Sair

5. Preparando o servidor Docs para instalação

5.1. Fazendo upload da chave privada SSH para o servidor Zimbra e fazendo login no servidor Docs

É necessário colocar no servidor Zimbra a chave privada do par de chaves SSH, cuja chave pública foi utilizada no passo 2.2.2 da cláusula 2.2 ao criar a máquina virtual Docs. Ele pode ser carregado no servidor via SSH (por exemplo, via sftp) ou colado na área de transferência (se os recursos do cliente SSH usado e seu ambiente de execução permitirem).

Assumimos que a chave privada está colocada no arquivo ~/.ssh/docs.key e o usuário utilizado para efetuar login no servidor Zimbra é o seu proprietário (se o download/criação deste arquivo foi realizado sob este usuário, ele automaticamente tornou-se seu proprietário).

Você precisa executar o comando uma vez:

chmod 600 ~/.ssh/docs.key

No futuro, para fazer login no servidor Docs, você deverá realizar a seguinte sequência de ações:

1) Faça login no servidor Zimbra

2) Comando de execução

ssh -i ~/.ssh/docs.key user@<внутренний ip-адрес сервера Docs>

Onde o valor <endereço IP interno do servidor Docs> pode ser encontrado no “Yandex.Cloud Console”, por exemplo, conforme mostrado no parágrafo 2.3.

5.2. Instalando atualizações

Após fazer login no servidor Docs, execute comandos semelhantes aos do servidor Zimbra:

sudo apt update
sudo apt upgrade

(ao executar o último comando, responda “y” à pergunta sobre se você tem certeza de instalar a lista de atualizações proposta)

Depois de instalar as atualizações, você pode (mas não é obrigado a) executar o comando:

sudo apt autoremove

E no final da etapa, execute o comando

sudo shutdown –r now

5.3. Instalação adicional de aplicativos

É necessário instalar um cliente NTP para sincronizar a hora do sistema e a tela do aplicativo, semelhante à mesma ação para o servidor Zimbra, com o seguinte comando:

sudo apt install ntp screen

(Ao executar o último comando, responda “y” quando perguntado se você tem certeza de instalar a lista de pacotes anexada)

Você também pode instalar utilitários adicionais para conveniência do administrador. Por exemplo, Midnight Commander pode ser instalado com o comando:

sudo apt install mc

5.4. Alterando a configuração do sistema

5.4.1. No arquivo /etc/cloud/cloud.cfg.d/95-yandex-cloud.cfg, da mesma forma que para o servidor Zimbra, altere o valor do parâmetro manage_etc_hosts de verdadeiro para falso.

5.4.2. Edite /etc/hosts, adicionando o FQDN público do servidor Zimbra, mas com o endereço IP interno atribuído pelo Yandex.Cloud. Se você possui um servidor DNS interno controlado pelo administrador usado por máquinas virtuais (por exemplo, em um ambiente de produção) e capaz de resolver o FQDN público do servidor Zimbra com o endereço IP interno ao receber uma solicitação da rede interna (por solicitações da Internet, o FQDN do servidor Zimbra deve ser resolvido com o endereço IP público, e o servidor TURN deve ser sempre resolvido por um endereço IP público, inclusive ao acessar de endereços internos), esta operação não é necessária.

Por exemplo, no nosso caso, o arquivo hosts parecia:

Após a edição ficou assim:

6. Instalação do Zextras Docs

6.1. Faça login no servidor do Documentos

O procedimento para login no servidor Docs está descrito na cláusula 5.1.

6.2. Baixando a distribuição Zextras Docs

Sequência de ações:

1) Na página de onde o pacote Zextras Suite foi baixado, conforme descrito no parágrafo 4.1.2, copie o URL para montar a documentação (Docs for) após baixar o pacote Zextras Suite (passo 3). Ubuntu 18.04 LTS (caso não tenha sido copiado anteriormente).

2) Baixe a distribuição Zextras Suite para o servidor Zimbra e descompacte-a. Para fazer isso, execute os comandos em uma sessão ssh no servidor zimbra

cd ~
mkdir zimbra
cd zimbra
wget <URL со страницы скачивания>

(no nosso caso o comando “wget” é executado download.zextras.com/zextras-docs-installer/latest/zextras-docs-ubuntu18.tgz")

tar –zxf <имя скачанного файла>

(No nosso caso, o comando “tar –zxf zextras-docs-” é executado)ubuntu18.tgz»)

6.3. Instalação do Zextras Docs

Para obter mais informações sobre instalação e configuração do Zextras Docs, consulte aqui.

Sequência de ações:

1) Vá para o diretório onde os arquivos foram descompactados na etapa 4.1.1 (pode ser visualizado com o comando ls enquanto estiver no diretório ~/zimbra).

No nosso exemplo seria:

cd ~/zimbra/zextras-docs-installer

2) Execute a instalação do Zextras Docs usando o comando

sudo ./install.sh

3) Respondemos às perguntas do instalador

O sistema será modificado, deseja continuar? – aceite a opção padrão (“sim”).

Depois disso, começará a instalação das dependências: o instalador mostrará quais pacotes deseja instalar e pedirá confirmação para instalá-los. Em todos os casos, concordamos com as ofertas padrão.

Por exemplo, ele pode perguntar "python2.7 não encontrado. Você gostaria de instalá-lo?","python-ldap não encontrado. Você gostaria de instalá-lo?"etc.

Após instalar todos os pacotes necessários, o instalador solicita consentimento para instalar o Zextras Docs:

Gostaria de instalar o Zextras DOCS? – aceite a opção padrão (“sim”).

Depois disso, gasta-se algum tempo instalando os pacotes, o próprio Zextras Docs, e passando para as questões do configurador.

4) Respondemos perguntas do configurador

O configurador solicita os parâmetros de configuração um por um, em resposta são inseridos os valores obtidos no passo 3 da cláusula 4.4. Ajuste inicial de configurações e determinação de parâmetros de configuração LDAP.

Em nosso exemplo, as configurações são assim:

5) Concluindo a instalação do Zextras Docs

Após responder às perguntas do configurador, o instalador conclui a configuração local do Docs e registra o serviço instalado no servidor Zimbra principal instalado anteriormente.

Para uma instalação de servidor único, isso geralmente é suficiente, mas em alguns casos (se os documentos não forem abertos no Documentos no cliente Web na guia Unidade), pode ser necessário executar uma ação necessária para uma instalação de vários servidores - em nosso exemplo, no servidor Zimbra principal, você precisará executá-lo no usuário Zimbra Teams /opt/zimbra/libexec/zmproxyconfgen и reinicialização do zmproxyctl.

7. Configuração inicial do Zimbra e Zextras Suite (exceto Team)

7.1. Faça login no console de administração pela primeira vez

Faça login no navegador usando URL: https:// :7071

Se desejar, você pode fazer login no cliente web usando o URL: https://

Ao fazer login, os navegadores exibem um aviso sobre uma conexão insegura devido à impossibilidade de verificar o certificado. Você deve responder ao navegador sobre seu consentimento para acessar o site, apesar deste aviso. Isso se deve ao fato de que após a instalação, um certificado X.509 autoassinado é utilizado para conexões TLS, que pode posteriormente (em uso produtivo - deve) ser substituído por um certificado comercial ou outro certificado reconhecido pelos navegadores utilizados.

No formulário de autenticação, insira o nome de usuário no formato admin@<seu domínio de correio aceito> e a senha do administrador Zimbra especificada ao instalar o servidor Zimbra na etapa 4.3 da cláusula 4.2.

No nosso exemplo, fica assim:

Console de administração:

Cliente da web:

Nota 1. Se você não especificar um domínio de e-mail aceito ao fazer login no console de administração ou no cliente web, os usuários serão autenticados no domínio de e-mail criado durante a instalação do servidor Zimbra. Após a instalação, este é o único domínio de correio aceito que existe neste servidor, mas à medida que o sistema opera, domínios de correio adicionais podem ser adicionados e, em seguida, especificar explicitamente o domínio no nome de usuário fará a diferença.

Nota 2. Ao fazer login no cliente web, seu navegador pode solicitar permissão para exibir notificações do site. Você deve concordar em receber avisos deste site.

Nota 3. Depois de fazer login no console do administrador, você poderá ser notificado de que há mensagens para o administrador, geralmente lembrando-o de configurar o Zextras Backup e/ou de comprar uma licença do Zextras antes que a licença de avaliação padrão expire. Estas ações podem ser realizadas posteriormente, e portanto as mensagens existentes no momento da entrada podem ser ignoradas e/ou marcadas como lidas no menu Zextras: Alerta Zextras.

Nota 4. É especialmente importante observar que no monitor de status do servidor o status do serviço Docs é exibido como “não disponível”, mesmo que o Docs no cliente web esteja funcionando corretamente:

Este é um recurso da versão de teste e só pode ser corrigido após adquirir uma licença e entrar em contato com o suporte.

7.2. Implantação de componentes do Zextras Suite

No menu Zextras: Core, você deve clicar no botão “Deploy” para todos os zimlets que pretende usar.

Ao implantar Winterlets, uma caixa de diálogo aparece com o resultado da operação da seguinte forma:

Em nosso exemplo, todos os Winterlets Zextras Suite são implantados, após o que o formulário Zextras: Core assumirá o seguinte formato:

7.3. Alterando configurações de acesso

7.3.1. Alterando configurações globais

No menu Configurações: Configurações globais, submenu Servidor proxy, altere os seguintes parâmetros:

Modo proxy da Web: redirecionamento
Habilitar servidor proxy do console de administração: marque a caixa.
Em seguida, clique em “Salvar” na parte superior direita do formulário.

No nosso exemplo, após as alterações feitas, o formulário fica assim:

7.3.2. Mudanças nas configurações principais do servidor Zimbra

No menu Configurações: Servidores: <nome do servidor Zimbra principal>, submenu Servidor Proxy, altere os seguintes parâmetros:

Modo proxy web: clique no botão “Redefinir para valor padrão” (o valor em si não será alterado, pois já foi definido durante a instalação). Habilite o servidor proxy do console de administração: verifique se a caixa de seleção está marcada (o valor padrão deveria ter sido aplicado, caso contrário, você pode clicar no botão “Redefinir para o valor padrão” e/ou defini-lo manualmente). Em seguida, clique em “Salvar” na parte superior direita do formulário.

No nosso exemplo, após as alterações feitas, o formulário fica assim:

Nota: (pode ser necessário reiniciar se o login nesta porta não funcionar)

7.4. Novo login no console de administração

Faça login no console de administração em seu navegador usando o URL: https:// :9071
No futuro, use este URL para fazer login

Nota: para uma instalação de servidor único, via de regra, as alterações feitas na etapa anterior são suficientes, mas em alguns casos (se a página do servidor não for exibida ao inserir o URL especificado), pode ser necessário executar uma ação necessária para uma instalação multi-servidor - em nosso exemplo, no servidor Zimbra principal, os comandos precisarão ser executados como um usuário Zimbra /opt/zimbra/libexec/zmproxyconfgen и reinicialização do zmproxyctl.

7.5. Editando COS padrão

No menu Configurações: Classe de Serviço, selecione COS com o nome “default”.

No submenu “Oportunidades”, desmarque a função “Portfólio” e clique em “Salvar” no canto superior direito do formulário.

No nosso exemplo, após a configuração, o formulário fica assim:

Também é recomendável marcar a configuração “Ativar compartilhamento de arquivos e pastas” no submenu do Drive e clicar em “Salvar” na parte superior direita do formulário.

No nosso exemplo, após a configuração, o formulário fica assim:

Em um ambiente de teste, na mesma classe de serviço, você pode habilitar as funções do Team Pro marcando a caixa de seleção com o mesmo nome no submenu Team, após o qual o formulário de configuração terá o seguinte formato:

Quando os recursos do Team Pro estão desativados, os usuários terão acesso apenas aos recursos do Team Basic.
Observe que o Zextras Team Pro é licenciado independentemente do Zextras Suite, o que permite adquiri-lo por menos caixas de correio do que o próprio Zextras Suite; Os recursos do Team Basic estão incluídos na licença do Zextras Suite. Portanto, se usado em um ambiente de produção, pode ser necessário criar uma classe de serviço separada para usuários do Team Pro que inclua os recursos apropriados.

7.6. Configuração de firewall

Obrigatório para o servidor Zimbra principal:

a) Permitir acesso da Internet às portas ssh, http/https, imap/imaps, pop3/pop3s, smtp (a porta principal e portas adicionais para uso por clientes de e-mail) e à porta do console de administração.

b) Permitir todas as conexões da rede interna (para as quais o NAT na Internet foi habilitado na etapa 1.3 da etapa 1).

Não há necessidade de configurar firewall para o servidor Zextras Docs, pois não é acessível pela Internet.

Para fazer isso, você deve executar a seguinte sequência de ações:

1) Faça login no console de texto do servidor Zimbra principal. Ao efetuar login via SSH, você deve executar o comando “screen” para evitar a interrupção da execução do comando caso a conexão com o servidor seja perdida temporariamente devido a alterações nas configurações do firewall.

2) Executar comandos

sudo ufw allow 22,25,80,110,143,443,465,587,993,995,9071/tcp
sudo ufw allow from <адрес_вашей_сети>/<длина CIDR маски>
sudo ufw enable

No nosso exemplo, fica assim:

7.7. Verificando o acesso ao cliente web e ao console administrativo

Para monitorar a funcionalidade do firewall, você pode acessar o seguinte URL em seu navegador

Console do administrador: https:// :9071
Cliente Web: http:// (haverá um redirecionamento automático para https:// )
Ao mesmo tempo, usando o URL alternativo https:// :7071 O console administrativo não deve abrir.

O cliente web em nosso exemplo se parece com isto:

Observação. Ao fazer login no cliente web, seu navegador pode solicitar permissão para exibir notificações do site. Você deve concordar em receber avisos deste site.

8. Garantir o funcionamento das conferências de áudio e vídeo na Equipe Zextras

8.1. Visão global

As ações descritas abaixo não são necessárias caso todos os clientes do Time Zextras interajam entre si sem utilizar NAT (neste caso, as interações com o próprio servidor Zimbra podem ser realizadas utilizando NAT, ou seja, é importante que não haja NAT entre clientes), ou se apenas texto for usado no messenger.

Para garantir a interação do cliente por meio de áudio e videoconferência:

a) Você deve instalar ou usar um servidor TURN existente.

b) Porque o servidor TURN geralmente também possui a funcionalidade de um servidor STUN, é recomendado usá-lo também nesta capacidade (como alternativa, você pode usar servidores STUN públicos, mas a funcionalidade STUN por si só geralmente não é suficiente).

Em um ambiente de produção, devido à carga potencialmente elevada, é recomendado mover o servidor TURN para uma máquina virtual separada. Para testes e/ou carga leve, o servidor TURN pode ser combinado com o servidor Zimbra principal.

Nosso exemplo analisa a instalação do servidor TURN no servidor Zimbra principal. A instalação do TURN em um servidor separado é semelhante, exceto que as etapas relacionadas à instalação e configuração do software TURN são executadas no servidor TURN e as etapas para configurar o servidor Zimbra para usar esse servidor são executadas no servidor Zimbra principal.

8.2. Instalando um servidor TURN

Tendo logado previamente via SSH no servidor Zimbra principal, execute o comando

sudo apt install resiprocate-turn-server

8.3. Configurando um servidor TURN

Observação. Para alterar todos os arquivos de configuração a seguir, o editor deve ser executado com direitos de usuário root, por exemplo, “sudo vi /etc/reTurn/reTurnServer.config”Ou, se o pacote mc estiver instalado, você pode usar o comando“sudo mcedit /etc/reTurn/reTurnServer.config»

Criação simplificada de usuários

Para simplificar a criação e depuração de uma conexão de teste com o servidor TURN, desabilitaremos o uso de senhas com hash no banco de dados de usuários do servidor TURN. Em um ambiente de produção, é recomendado o uso de senhas com hash; neste caso, a geração de hashes de senha para eles deve ser realizada de acordo com as instruções contidas nos arquivos /etc/reTurn/reTurnServer.config e /etc/reTurn/users.txt.

Sequência de ações:

1) Edite o arquivo /etc/reTurn/reTurnServer.config

Altere o valor do parâmetro "UserDatabaseHashedPasswords" de "true" para "false".

2) Edite o arquivo /etc/reTurn/users.txt

Defina-o como nome de usuário, senha, domínio (arbitrário, não usado ao configurar uma conexão Zimbra) e defina o status da conta como “AUTORIZADO”.

Em nosso exemplo, o arquivo inicialmente se parecia com:

Após a edição ficou assim:

3) Aplicando uma configuração

Comando de execução

sudo systemctl restart resiprocate-turn-server

8.4. Configurando um firewall para o servidor TURN

Nesta fase, são instaladas regras de firewall adicionais necessárias para o funcionamento do servidor TURN. Você deve permitir acesso à porta primária na qual o servidor aceita solicitações e ao intervalo dinâmico de portas usado pelo servidor para organizar fluxos de mídia.

As portas são especificadas no arquivo /etc/reTurn/reTurnServer.config, no nosso caso é:

Para instalar regras de firewall, você precisa executar os comandos

sudo ufw allow 3478,49152:65535/udp
sudo ufw allow 3478,49152:65535/tcp

8.5. Configurando para usar o servidor TURN no Zimbra

Para configurar é utilizado o FQDN do servidor, o servidor TURN, criado no passo 1.2 do parágrafo 1, e que deve ser resolvido por servidores DNS com o mesmo endereço IP público tanto para solicitações da Internet como para solicitações de endereços internos.

Veja a configuração atual da conexão “zxsuite team iceServer get” em execução no usuário zimbra.

Para mais informações sobre como configurar o uso do servidor TURN, consulte a seção “Instalando o Zextras Team para usar o servidor TURN” em documentação.

Para configurar, você precisa executar os seguintes comandos no servidor Zimbra:

sudo su - zimbra
zxsuite team iceServer add stun:<FQDN вашего сервера TURN>:3478?transport=udp
zxsuite team iceServer add turn:<FQDN вашего сервера TURN>:3478?transport=udp credential <пароль> username <имя пользователя>
zxsuite team iceServer add stun:<FQDN вашего сервера TURN>:3478?transport=tcp
zxsuite team iceServer add turn:<FQDN вашего сервера TURN>:3478?transport=tcp credential <пароль> username <имя пользователя>
zxsuite team iceServer add stun:<FQDN вашего сервера TURN>:3478
logout

Os valores de nome de usuário e senha, respectivamente, especificados no passo 2 da cláusula 8.3 são utilizados como <nome de usuário> e <senha>.

No nosso exemplo, fica assim:

9. Permitir que mensagens passem pelo protocolo SMTP

Conforme documentação, no Yandex.Cloud, o tráfego de saída para a porta TCP 25 na Internet e para as máquinas virtuais Yandex Compute Cloud é sempre bloqueado quando acessado por meio de um endereço IP público. Isso não impedirá que você verifique a aceitação de mensagens enviadas de outro servidor de correio para o domínio de correio aceito, mas impedirá que você envie mensagens para fora do servidor Zimbra.

A documentação afirma que Yandex.Cloud pode abrir a porta TCP 25 mediante solicitação de suporte, se você cumprir Diretrizes de uso aceitável, e reserva-se o direito de bloquear novamente a porta em caso de violação das regras. Para abrir a porta, você precisa entrar em contato com o suporte do Yandex.Cloud.

Aplicação

Criando chaves SSH em openssh e putty e convertendo chaves do formato putty para openssh

1. Criando pares de chaves para SSH

В Windows Usando o Putty: Execute o comando puttygen.exe e clique no botão “Generate” (Gerar).

В Linux: executar comando

ssh-keygen

2. Convertendo chaves do formato PuTTY para OpenSSH

В Windows:

Sequência de ações:

Execute o programa puttygen.exe.
Carregue a chave privada no formato ppk, use o item de menu Arquivo → Carregar chave privada.
Digite a senha, se necessário, para esta chave.
A chave pública no formato OpenSSH é exibida no puttygen com a inscrição “Chave pública para colar no campo do arquivo OpenSSHauthorized_keys”
Para exportar uma chave privada para o formato OpenSSH, selecione Conversões → Exportar chave OpenSSH no menu principal
Salve a chave privada em um novo arquivo.

В Linux

1. Instale o pacote de ferramentas PuTTY:

в Ubuntu:

sudo apt-get install putty-tools

в Debian-distribuições semelhantes:

apt-get install putty-tools

em distribuições baseadas em RPM baseadas em yum (CentOS e outros):

yum install putty

2. Para converter a chave privada, execute o comando:

puttygen <key.ppk> -O private-openssh -o <key_openssh>

3. Para gerar uma chave pública (se necessário):

puttygen <key.ppk> -O public-openssh -o <key_openssh.pub>

resultado

Após a instalação de acordo com as recomendações, o usuário recebe um servidor de e-mail Zimbra configurado na infraestrutura Yandex.Cloud com extensão Zextras para comunicação corporativa e colaboração com documentos. As configurações são feitas com certas restrições para um ambiente de teste, mas não é difícil mudar a instalação para o modo de produção e adicionar opções para usar o armazenamento de objetos Yandex.Cloud e outros. Para dúvidas sobre implantação e uso da solução, entre em contato com seu parceiro Zextras - SVZ ou representantes Yandex.Cloud.

Para todas as questões relacionadas ao Zextras Suite, você pode entrar em contato com a representante da Zextras, Ekaterina Triandafilidi, pelo e-mail katerina@zextras.com

Fonte: habr.com