Distribution av Zextras/Zimbra kontorsarbetsstationer i Yandex.Cloud

Inledning

Att optimera kontorsinfrastruktur och distribuera nya arbetsytor är en stor utmaning för företag av alla typer och storlekar. Det bästa alternativet för ett nytt projekt är att hyra resurser i molnet och köpa licenser som kan användas både från leverantören och i ditt eget datacenter. En lösning för ett sådant scenario är Svit Zextras, som låter dig skapa en plattform för samarbete och företagskommunikation för ett företag både i molnmiljön och på din egen infrastruktur.

Lösningen är designad för kontor av alla storlekar och har två huvudsakliga distributionsscenarier: om du har upp till 3000 XNUMX tusen brevlådor och det inte finns några höga krav på feltolerans, kan du använda en enkelserverinstallation och installationsalternativet för flera servrar stöder tillförlitlig och lyhörd drift av tiotals och hundratusentals brevlådor. I alla fall får användaren tillgång till e-post, dokument och meddelanden via ett enda webbgränssnitt från en arbetsplats som kör valfritt operativsystem utan att installera och konfigurera ytterligare programvara, eller via mobilapplikationer för iOS och Android. Det är möjligt att använda de välbekanta Outlook- och Thunderbird-klienterna.

För att distribuera projektet, Zextras partner - SVZ valde Yandex.Cloud eftersom dess arkitektur liknar AWS och det finns stöd för S3-kompatibel lagring, vilket kommer att minska kostnaderna för att lagra stora volymer post, meddelanden och dokument och öka lösningens feltolerans.

I Yandex.Cloud-miljön används grundläggande verktyg för virtuell maskinhantering för att installera en enda server "Compute Cloud" och funktioner för virtuell nätverkshantering "Virtuellt privat moln". För installation av flera servrar, förutom de angivna verktygen, är det nödvändigt att använda teknik "Placeringsgrupp", vid behov (beroende på systemets skala) – också "Instansgrupper", och nätverksbalanserare Yandex Load Balancer.

S3-kompatibel objektlagring Yandex objektlagring kan användas i båda installationsalternativen, och kan även anslutas till system som distribueras på plats för ekonomisk och feltolerant lagring av e-postserverdata i Yandex.Cloud.

För en enkelserverinstallation, beroende på antalet användare och/eller brevlådor, krävs följande: för huvudservern 4-12 vCPU, 8-64 GB vRAM (specifika värden för vCPU och vRAM beror på antalet av postlådor och den faktiska belastningen), minst 80 GB disk för operativsystem och applikationer, samt ytterligare diskutrymme för lagring av post, index, loggar, etc., beroende på antalet och genomsnittliga storleken på postlådorna och som kan dynamisk förändring under systemdrift; för extra Docs-servrar: 2-4 vCPU, 2-16 GB vRAM, 16 GB diskutrymme (specifika resursvärden och antal servrar beror på den faktiska belastningen); Dessutom kan en TURN/STUN-server krävas (dess behov som en separat server och resurser beror på den faktiska belastningen). För installationer med flera servrar bestäms antalet och syftet med virtuella rollspelsmaskiner och de resurser som tilldelats dem individuellt beroende på användarens krav.

Syftet med artikeln

Beskrivning av distributionen i Yandex.Cloud-miljön av Zextras Suite-produkter baserade på Zimbras e-postserver i installationsalternativet för en server. Den resulterande installationen kan användas i en produktionsmiljö (erfarna användare kan göra nödvändiga inställningar och lägga till resurser).

Zextras Suite/Zimbra-systemet inkluderar:

• Zimbra — företags-e-post med möjlighet att dela brevlådor, kalendrar och kontaktlistor (adressböcker).
• Zextras Docs — en inbyggd kontorssvit baserad på LibreOffice online för att skapa och samarbeta med dokument, kalkylblad och presentationer.
• Zextras Drive – individuell fillagring som låter dig redigera, lagra och dela filer och mappar med andra användare.
• Zextras Team – en budbärare med stöd för ljud- och videokonferenser. Tillgängliga versioner är Team Basic, som endast tillåter 1:1-kommunikation, och Team Pro, som stöder fleranvändarkonferenser, kanaler, skärmdelning, fildelning och andra funktioner.
• Zextras mobil – stöd för mobila enheter via Exchange ActiveSync för att synkronisera e-post med mobila enheter med MDM-hanteringsfunktioner (Mobile Device Management). Låter dig använda Microsoft Outlook som en e-postklient.
• Zextras Admin – implementering av systemadministration med flera hyresgäster med delegering av administratörer för att hantera grupper av klienter och klasser av tjänster.
• Zextras backup -full-cykel säkerhetskopiering och återställning av data i realtid
• Zextras Powerstore — hierarkisk lagring av postsystemobjekt med stöd för databehandlingsklasser, med möjlighet att lagra data lokalt eller i molnlagringar av S3-arkitekturen, inklusive Yandex Object Storage.

När installationen är klar får användaren ett system som fungerar i Yandex.Cloud-miljön.

Villkor och begränsningar

1. Allokering av diskutrymme för postlådor, index och andra datatyper täcks inte eftersom Zextras Powerstore stöder flera lagringstyper. Typen och storleken på lagringen beror på uppgifterna och systemparametrarna. Vid behov kan detta göras senare i processen att omvandla den beskrivna installationen till en produktionsanläggning.
2. För att förenkla installationen övervägs inte användningen av en administratörshanterad DNS-server för att lösa interna (icke-offentliga) domännamn, utan standard Yandex.Cloud DNS-server används. När det används i en produktionsmiljö rekommenderas det att använda en DNS-server, som kanske redan finns i företagets infrastruktur.
3. Det antas att ett konto i Yandex.Cloud används med standardinställningar (särskilt när du loggar in på "Konsolen" för tjänsten finns det bara en katalog (i listan "Tillgängliga moln" under namnet standard). Användare bekanta med att arbeta i Yandex.Cloud, De kan, efter eget gottfinnande, skapa en separat katalog för testbänken eller använda en befintlig.
4. Användaren måste ha en offentlig DNS-zon som de måste ha administrativ åtkomst till.
5. Användaren måste ha åtkomst till katalogen i Yandex.Cloud "Console" med åtminstone rollen "redigerare" ("Cloudägaren" har alla nödvändiga rättigheter som standard; det finns guider för att ge åtkomst till molnet till andra användare : tid, два, tre)
6. Den här artikeln beskriver inte installation av anpassade X.509-certifikat som används för att säkra nätverkskommunikation med TLS-mekanismer. När installationen är klar kommer självsignerade certifikat att användas, vilket gör att webbläsare kan användas för att komma åt det installerade systemet. De visar vanligtvis ett meddelande om att servern inte har ett verifierbart certifikat, men låter dig fortsätta arbeta. Fram till installationen av certifikat som verifierats av klientenheter (signerade av offentliga och/eller företagscertifieringsmyndigheter) kanske inte applikationer för mobila enheter fungerar med det installerade systemet. Därför är installation av de angivna certifikaten i produktionsmiljön nödvändig och utförs efter slutförandet av testet i enlighet med företagets säkerhetspolicy.

Beskrivning av installationsprocessen för Zextras/Zimbra-systemet i versionen "single-server".

1. Preliminär förberedelse

Innan du påbörjar installationen måste du säkerställa:

a) Göra ändringar i den offentliga DNS-zonen (skapa en A-post för Zimbra-servern och en MX-post för den serverade e-postdomänen).
b) Konfigurera en virtuell nätverksinfrastruktur i Yandex.Cloud.

Samtidigt, efter att ha gjort ändringar i en DNS-zon, tar det lite tid för dessa ändringar att spridas, men å andra sidan kan du inte skapa en A-post utan att veta vilken IP-adress som är kopplad till den.

Därför utförs åtgärder i följande ordning:

1. Reservera en offentlig IP-adress i Yandex.Cloud

1.1 I "Yandex.Cloud Console" (om nödvändigt, välj mappar i "tillgängliga moln"), gå till avsnittet Virtual Private Cloud, IP-adresser undersektionen, klicka sedan på knappen "Reservera adress", välj din önskade tillgänglighetszon (eller godkänn med det föreslagna värdet; denna tillgänglighetszon måste därefter användas för alla åtgärder som beskrivs senare i Yandex.Cloud, om motsvarande formulär har möjlighet att välja en tillgänglighetszon), i dialogrutan som öppnas kan du, om så önskas, men inte nödvändigtvis, välj alternativet "DDoS Protection" och klicka på knappen "Reservera" (se även dokumentation).

Efter att ha stängt dialogrutan kommer en statisk IP-adress som tilldelats av systemet att finnas tillgänglig i listan över IP-adresser, som kan kopieras och användas i nästa steg.

1.2 I "framåt" DNS-zonen, gör en A-post för Zimbra-servern som pekar på den tidigare tilldelade IP-adressen, en A-post för TURN-servern som pekar på samma IP-adress och en MX-post för den accepterade e-postdomänen. I vårt exempel kommer dessa att vara mail.testmail.svzcloud.ru (Zimbra-server), turn.testmail.svzcloud.ru (TURN-server) respektive testmail.svzcloud.ru (e-postdomän).

1.3 I Yandex.Cloud, i den valda tillgänglighetszonen för undernätet som kommer att användas för att distribuera virtuella maskiner, aktivera NAT på Internet.

För att göra detta, i avsnittet Virtual Private Cloud, underavsnittet "Cloud-nätverk", välj lämpligt molnnätverk (som standard är bara standardnätverket tillgängligt där), välj lämplig tillgänglighetszon i det och välj "Aktivera NAT på Internet " i sina inställningar.

Statusen kommer att ändras i listan över undernät:

För mer information, se dokumentationen: tid и два.

2. Skapa virtuella maskiner

2.1. Skapa en virtuell maskin för Zimbra

Sekvens av åtgärder:

2.1.1 I "Yandex.Cloud Console", gå till avsnittet Compute Cloud, underavsnittet "Virtuella maskiner", klicka på knappen "Skapa VM" (för mer information om att skapa en virtuell dator, se dokumentation).

2.1.2 Där måste du ställa in:

• Namn – godtyckligt (i enlighet med formatet som stöds av Yandex.Cloud)
• Tillgänglighetszon – måste matcha den som tidigare valts för det virtuella nätverket.
• I "Offentliga bilder" väljer du Ubuntu 18.04 lts
• Installera en startdiskett på minst 80 GB. För teständamål räcker det med en hårddisktyp (och även för produktiv användning, förutsatt att vissa typer av data överförs till diskar av SSD-typ). Vid behov kan ytterligare diskar läggas till efter att den virtuella datorn skapats.

I "datorresurser" ställs in:

• vCPU: minst 4.
• Garanterad andel av vCPU: under varaktigheten av åtgärderna som beskrivs i artikeln, minst 50%; efter installation, om nödvändigt, kan den reduceras.
• RAM: 8GB rekommenderas.
• Subnät: välj ett subnät för vilket Internet NAT var aktiverat under det preliminära förberedelseskedet.
• Offentlig adress: välj från listan den IP-adress som tidigare använts för att skapa A-posten i DNS.
• Användare: efter eget gottfinnande, men skiljer sig från root-användaren och från Linux-systemkonton.
• Du måste ange en offentlig (öppen) SSH-nyckel.

→ Läs mer om hur du använder SSH

См. также Bilaga 1. Skapa SSH-nycklar i openssh och putty och konvertera nycklar från putty till openssh-format.

2.1.3 När installationen är klar klickar du på "Skapa VM".

2.2. Skapa en virtuell maskin för Zextras Docs

Sekvens av åtgärder:

2.2.1 I "Yandex.Cloud Console", gå till avsnittet Compute Cloud, underavsnittet "Virtuella maskiner", klicka på knappen "Skapa VM" (för mer information om att skapa en virtuell dator, se här).

2.2.2 Där måste du ställa in:

• Namn – godtyckligt (i enlighet med formatet som stöds av Yandex.Cloud)
• Tillgänglighetszon – måste matcha den som tidigare valts för det virtuella nätverket.
• I "Offentliga bilder" väljer du Ubuntu 18.04 lts
• Installera en startdiskett på minst 80 GB. För teständamål räcker det med en hårddisktyp (och även för produktiv användning, förutsatt att vissa typer av data överförs till diskar av SSD-typ). Vid behov kan ytterligare diskar läggas till efter att den virtuella datorn skapats.

I "datorresurser" ställs in:

• vCPU: minst 2.
• Garanterad andel av vCPU: under varaktigheten av åtgärderna som beskrivs i artikeln, minst 50%; efter installation, om nödvändigt, kan den reduceras.
• RAM: minst 2GB.
• Subnät: välj ett subnät för vilket Internet NAT var aktiverat under det preliminära förberedelseskedet.
• Offentlig adress: ingen adress (denna maskin kräver inte åtkomst från Internet, endast utgående åtkomst från denna maskin till Internet, vilket tillhandahålls av alternativet "NAT till Internet" för det subnät som används).
• Användare: efter eget gottfinnande, men skiljer sig från root-användaren och från Linux-systemkonton.
• Du måste definitivt ställa in en offentlig (öppen) SSH-nyckel, du kan använda samma som för Zimbra-servern, du kan generera ett separat nyckelpar, eftersom den privata nyckeln för Zextras Docs-servern måste placeras på Zimbra-servern disk.

Se även bilaga 1. Skapa SSH-nycklar i openssh och putty och konvertera nycklar från putty- till openssh-format.

2.2.3 När installationen är klar klickar du på "Skapa VM".

2.3 De skapade virtuella maskinerna kommer att finnas tillgängliga i listan över virtuella maskiner, som i synnerhet visar deras status och de IP-adresser som används, både offentliga och interna. Information om IP-adresser kommer att krävas i efterföljande installationssteg.

3. Förbereder Zimbra-servern för installation

3.1 Installerar uppdateringar

Du måste logga in på Zimbra-servern på dess offentliga IP-adress med din föredragna ssh-klient med den privata ssh-nyckeln och med det användarnamn som angavs när du skapade den virtuella maskinen.

När du har loggat in, kör kommandona:

sudo apt update
sudo apt upgrade

(när du kör det sista kommandot, svara "y" på frågan om du är säker på att installera den föreslagna listan med uppdateringar)

Efter installation av uppdateringarna kan du (men är inte skyldig att) köra kommandot:

sudo apt autoremove

Och i slutet av steget, kör kommandot

sudo shutdown –r now

3.2 Ytterligare installation av applikationer

Du måste installera en NTP-klient för att synkronisera systemtiden och skärmapplikationen med följande kommando:

sudo apt install ntp screen

(När du kör det sista kommandot, svara "y" när du tillfrågas om du är säker på att installera den bifogade listan med paket)

Du kan också installera ytterligare verktyg för administratörens bekvämlighet. Till exempel kan Midnight Commander installeras med kommandot:

sudo apt install mc

3.3. Ändra systemkonfigurationen

3.3.1 I fil /etc/cloud/cloud.cfg.d/95-yandex-cloud.cfg ändra parametervärde hantera_etc_hosts c sann på falsk.

Obs: för att ändra den här filen måste editorn köras med root användarrättigheter, till exempel "sudo vi /etc/cloud/cloud.cfg.d/95-yandex-cloud.cfg" eller, om mc-paketet är installerat, kan du använda kommandot "sudo mcedit /etc/cloud/cloud.cfg.d/95-yandex-cloud.cfg»

3.3.2 Redigera / Etc / hosts enligt följande, ersätter i raden som definierar värdens FQDN adressen från 127.0.0.1 till den interna IP-adressen för denna server, och namnet från det fullständiga namnet i .internal-zonen till det offentliga namnet på servern som specificerats tidigare i A. -post för DNS-zonen, och motsvarande genom att ändra det korta värdnamnet (om det skiljer sig från det korta värdnamnet från den offentliga DNS A-posten).

Till exempel, i vårt fall såg hosts-filen ut så här:

Efter redigering såg det ut så här:

Obs: för att ändra den här filen måste editorn köras med root användarrättigheter, till exempel "sudo vi /etc/hosts" eller, om mc-paketet är installerat, kan du använda kommandot "sudo mcedit /etc/hosts»

3.4 Ställ in användarlösenord

Detta är nödvändigt på grund av det faktum att brandväggen i framtiden kommer att konfigureras, och om det uppstår problem med den, om användaren har ett lösenord, kommer det att vara möjligt att logga in på den virtuella maskinen med den seriella konsolen från Yandex. Cloud webbkonsol och inaktivera brandväggen och/eller åtgärda felet. När du skapar en virtuell maskin har användaren inget lösenord, och därför är åtkomst endast möjlig via SSH med nyckelautentisering.

För att ställa in lösenordet måste du köra kommandot:

sudo passwd <имя пользователя>

Till exempel, i vårt fall kommer det att vara kommandot "sudo passwd användare".

4. Installation av Zimbra och Zextras Suite

4.1. Ladda ner Zimbra och Zextras Suite-distributioner

4.1.1 Laddar ner Zimbra-distributionen

Sekvens av åtgärder:

1) Gå till URL med webbläsaren www.zextras.com/download-zimbra-9 och fyll i formuläret. Du kommer att få ett e-postmeddelande med länkar för att ladda ner Zimbra för olika operativsystem.

2) Välj den aktuella distributionsversionen för Ubuntu 18.04 LTS-plattformen och kopiera länken

3) Ladda ner Zimbra-distributionen till Zimbra-servern och packa upp den. För att göra detta, kör kommandona i en ssh-session på zimbra-servern

cd ~
mkdir zimbra
cd zimbra
wget <url, скопированный на предыдущем шаге>
tar –zxf <имя скачанного файла>

(i vårt exempel är detta "tar –zxf zcs-9.0.0_OSE_UBUNTU18_latest-zextras.tgz")

4.1.2 Ladda ner Zextras Suite-distributionen

Sekvens av åtgärder:

1) Gå till URL med webbläsaren www.zextras.com/download

2) Fyll i formuläret genom att ange nödvändiga uppgifter och klicka på knappen "LADDA NER NU".

3) Nedladdningssidan öppnas

Den har två webbadresser av intresse för oss: en högst upp på sidan för själva Zextras Suite, som vi kommer att behöva nu, och den andra längst ner i Docs Server-blocket för Ubuntu 18.04 LTS, som kommer att behövas senare för att installera Zextras Docs på en virtuell dator för Docs.

4) Ladda ner Zextras Suite-distributionen till Zimbra-servern och packa upp den. För att göra detta, kör kommandona i en ssh-session på zimbra-servern

cd ~
mkdir zimbra
cd zimbra

(om den aktuella katalogen inte har ändrats efter föregående steg, kan kommandona ovan utelämnas)

wget http://download.zextras.com/zextras_suite-latest.tgz
tar –zxf zextras_suite-latest.tgz

4.2. Installation av Zimbra

Последовательность действий

1) Gå till katalogen där filerna packades upp i steg 4.1.1 (kan visas med kommandot ls i ~/zimbra-katalogen).

I vårt exempel skulle det vara:

cd ~/zimbra/zcs-9.0.0_OSE_UBUNTU18_latest-zextras/zimbra-installer

2) Kör Zimbra-installationen med kommandot

sudo ./install.sh

3) Vi svarar på installatörens frågor

Du kan svara på installatörens frågor med "y" (motsvarar "ja"), "n" (motsvarar "nej") eller lämna installatörens förslag oförändrat (det erbjuder alternativ, visa dem inom hakparenteser, till exempel " [Y]" eller " [N]."

Håller du med om villkoren i mjukvarulicensavtalet? - Ja.

Använda Zimbras paketförråd? – som standard (ja).

"Installera zimbra-ldap?","Installera zimbra-logger?","Installera zimbra-mta?” – standard (ja).

Installera zimbra-dnscache? – nej (operativsystemet har sin egen cachande DNS-server aktiverad som standard, så detta paket kommer att ha en konflikt med det på grund av de portar som används).

Installera zimbra-snmp? – om så önskas kan du lämna standardalternativet (ja), du behöver inte installera det här paketet. I vårt exempel är standardalternativet kvar.

"Installera zimbra-store?","Installera zimbra-apache?","Installera zimbra-spell?","Installera zimbra-memcached?","Installera zimbra-proxy?” – standard (ja).

Installera zimbra-snmp? – nej (paketet stöds faktiskt inte och är funktionellt ersatt av Zextras Drive).

Installera zimbra-imapd? – standard (nej).

Installera zimbra-chat? – nej (funktionellt ersatt av Zextras Team)

Därefter kommer installationsprogrammet att fråga om installationen ska fortsätta?

Vi svarar ”ja” om vi kan fortsätta, annars svarar vi ”nej” och får möjlighet att ändra svaren på tidigare ställda frågor.

Efter att ha accepterat att fortsätta kommer installationsprogrammet att installera paketen.

4.) Vi svarar på frågor från den primära konfiguratorn

4.1) Eftersom i vårt exempel DNS-namnet för e-postservern (A-postnamn) och namnet på den betjänade e-postdomänen (MX-postnamn) är olika, visar konfiguratorn en varning och uppmanar dig att ställa in namnet på den betjänade e-postdomänen. Vi håller med hans förslag och anger namnet på MX-posten. I vårt exempel ser det ut så här:

Obs! Du kan också ställa in den serverade e-postdomänen så att den skiljer sig från servernamnet om servernamnet har en MX-post med samma namn.

4.2) Konfiguratorn visar huvudmenyn.

Vi måste ställa in Zimbra-administratörslösenordet (menypunkt 6 i vårt exempel), utan vilket det är omöjligt att fortsätta installationen, och ändra zimbra-proxy-inställningen (menypunkt 8 i vårt exempel; vid behov kan denna inställning ändras efter installation).

4.3) Ändra zimbra-butiksinställningar

Ange menypunktsnumret i konfiguratorn och tryck på Enter. Vi kommer till menyn för lagringsinställningar:

där vi i konfiguratorinbjudan anger numret på menyalternativet Admin Password (i vårt exempel 4), trycker du på Enter, varefter konfiguratorn erbjuder ett slumpmässigt genererat lösenord, som du kan godkänna (komma ihåg) eller ange ditt eget. I båda fallen måste du i slutet trycka på Enter, varefter posten "Admin Password" tar bort markören för att vänta på informationsinmatning från användaren:

Vi återgår till föregående meny (vi håller med konfiguratorns förslag).

4.4) Ändra zimbra-proxyinställningar

I analogi med föregående steg, välj numret på "zimbra-proxy"-objektet i huvudmenyn och skriv in det i konfiguratorprompten.

I menyn Proxykonfiguration som öppnas, välj numret för "Proxyserverläge" och skriv in det i konfiguratorprompten.

Konfiguratorn kommer att erbjuda att välja ett av lägena, ange "omdirigering" i dess prompt och tryck på Enter.

Därefter återgår vi till huvudmenyn (vi håller med konfiguratorns förslag).

4.5) Kör konfiguration

För att starta konfigurationen, skriv "a" vid konfiguratorprompten. Därefter kommer den att fråga om den angivna konfigurationen ska sparas till en fil (som kan användas för ominstallation) - du kan acceptera standardförslaget, om sparandet är gjort - det kommer att fråga i vilken fil du vill spara konfigurationen (du kan också acceptera standardförslaget eller ange ditt eget filnamn).

I det här skedet kan du fortfarande vägra att fortsätta och göra ändringar i konfigurationen genom att acceptera standardsvaret på frågan "Systemet kommer att ändras - fortsätt?"

För att påbörja installationen måste du svara "Ja" på denna fråga, varefter konfiguratorn kommer att tillämpa de tidigare angivna inställningarna under en tid.

4.6) Slutför Zimbra-installationen

Innan installationen är klar kommer installatören att fråga om den ska meddela Zimbra om installationen. Du kan antingen godkänna standardförslaget eller vägra (genom att svara "Nej") meddelandet.

Därefter fortsätter installationsprogrammet att utföra de sista åtgärderna under en tid och visar ett meddelande om att systemkonfigurationen är klar med en uppmaning att trycka på valfri tangent för att avsluta installationsprogrammet.

4.3. Installation av Zextras Suite

För mer information om installation av Zextras Suite, se instruktion.

Sekvens av åtgärder:

1) Gå till katalogen där filerna packades upp i steg 4.1.2 (kan visas med kommandot ls i ~/zimbra-katalogen).

I vårt exempel skulle det vara:

cd ~/zimbra/zextras_suite

2) Kör installationen av Zextras Suite med kommandot

sudo ./install.sh all

3) Vi svarar på installatörens frågor

Funktionsprincipen för installatören liknar den för Zimbra-installatören, förutom avsaknaden av en konfigurator. Du kan svara på installatörens frågor med "y" (motsvarar "ja"), "n" (motsvarar "nej") eller lämna installatörens förslag oförändrat (det erbjuder alternativ, visa dem inom hakparenteser, till exempel " [Y]" eller " [N]."

För att påbörja installationsprocessen måste du konsekvent svara "ja" på följande frågor:

Håller du med om villkoren i mjukvarulicensavtalet?
Vill du att Zextras Suite ska ladda ner, installera och uppgradera ZAL-biblioteket automatiskt?

Därefter visas ett meddelande som ber dig att trycka på Enter för att fortsätta:

Efter att ha tryckt på Enter kommer installationsprocessen att börja, ibland avbruten av frågor, som vi dock svarar på genom att acceptera standardförslagen ("ja"), nämligen:

Zextras Suite Core kommer nu att installeras. Fortsätt?
Vill du stoppa Zimbra Web Application (brevlåda)?
Zextras Suite Zimlet kommer nu att installeras. Fortsätt?

Innan den sista delen av installationen börjar kommer du att få ett meddelande om att du måste konfigurera DOS-filtret och ber dig att trycka på Enter för att fortsätta. Efter att ha tryckt på Enter börjar den sista delen av installationen, i slutet visas ett sista meddelande och installationsprogrammet slutförs.

4.4. Inledande inställningsinställning och bestämning av LDAP-konfigurationsparametrar

1) Alla efterföljande åtgärder utförs under zimbra-användaren. För att göra detta måste du köra kommandot

sudo su - zimbra

2) Ändra DOS-filterinställningen med kommandot

zmprov mcf zimbraHttpDosFilterMaxRequestsPerSec 150

3) För att installera Zextras Docs behöver du information om vissa Zimbra-konfigurationsalternativ. För att göra detta kan du köra kommandot:

zmlocalconfig –s | grep ldap

I vårt exempel kommer följande information att visas:

För vidare användning behöver du ldap_url, zimbra_ldap_password (och zimbra_ldap_userdn, även om installationsprogrammet för Zextras Docs vanligtvis gör korrekta gissningar om LDAP-användarnamnet).

4) Avsluta som zimbra-användare genom att köra kommandot
logout

5. Förbereder Docs-servern för installation

5.1. Laddar upp privat SSH-nyckel till Zimbra-servern och loggar in på Docs-servern

Det är nödvändigt att placera den privata nyckeln för SSH-nyckelparet på Zimbra-servern, vars publika nyckel användes i steg 2.2.2 i klausul 2.2 när den virtuella Docs-maskinen skapades. Den kan laddas upp till servern via SSH (till exempel via sftp) eller klistras in via urklipp (om funktionerna hos den använda SSH-klienten och dess exekveringsmiljö tillåter).

Vi antar att den privata nyckeln är placerad i filen ~/.ssh/docs.key och att användaren som används för att logga in på Zimbra-servern är dess ägare (om nedladdningen/skapandet av denna fil utfördes under denna användare, kommer han automatiskt att blev dess ägare).

Du måste köra kommandot en gång:

chmod 600 ~/.ssh/docs.key

I framtiden, för att logga in på Docs-servern, måste du utföra följande sekvens av åtgärder:

1) Logga in på Zimbra-servern

2) Kör kommando

ssh -i ~/.ssh/docs.key user@<внутренний ip-адрес сервера Docs>

Där värdet <Docs-serverns intern IP-adress> kan hittas i "Yandex.Cloud Console", till exempel, som visas i avsnitt 2.3.

5.2. Installerar uppdateringar

När du har loggat in på Docs-servern, kör kommandon liknande de för Zimbra-servern:

sudo apt update
sudo apt upgrade

(när du kör det sista kommandot, svara "y" på frågan om du är säker på att installera den föreslagna listan med uppdateringar)

Efter installation av uppdateringarna kan du (men är inte skyldig att) köra kommandot:

sudo apt autoremove

Och i slutet av steget, kör kommandot

sudo shutdown –r now

5.3. Ytterligare installation av applikationer

Du måste installera en NTP-klient för att synkronisera systemtiden och skärmapplikationen, liknande samma åtgärd för Zimbra-servern, med följande kommando:

sudo apt install ntp screen

(När du kör det sista kommandot, svara "y" när du tillfrågas om du är säker på att installera den bifogade listan med paket)

Du kan också installera ytterligare verktyg för administratörens bekvämlighet. Till exempel kan Midnight Commander installeras med kommandot:

sudo apt install mc

5.4. Ändra systemkonfigurationen

5.4.1. I filen /etc/cloud/cloud.cfg.d/95-yandex-cloud.cfg, på samma sätt som för Zimbra-servern, ändra värdet på parametern manage_etc_hosts från true till false.

Obs: för att ändra den här filen måste editorn köras med root användarrättigheter, till exempel "sudo vi /etc/cloud/cloud.cfg.d/95-yandex-cloud.cfg" eller, om mc-paketet är installerat, kan du använda kommandot "sudo mcedit /etc/cloud/cloud.cfg.d/95-yandex-cloud.cfg»

5.4.2. Redigera /etc/hosts, lägg till den offentliga FQDN för Zimbra-servern, men med den interna IP-adressen tilldelad av Yandex.Cloud. Om du har en administratörskontrollerad intern DNS-server som används av virtuella maskiner (till exempel i en produktionsmiljö) och som kan lösa Zimbra-serverns publika FQDN med den interna IP-adressen när du tar emot en begäran från det interna nätverket (t. förfrågningar från Internet, FQDN för Zimbra-servern måste lösas med den offentliga IP-adressen, och TURN-servern måste alltid lösas av en offentlig IP-adress, inklusive vid åtkomst från interna adresser), denna operation krävs inte.

Till exempel, i vårt fall såg hosts-filen ut så här:

Efter redigering såg det ut så här:

Obs: för att ändra den här filen måste editorn köras med root användarrättigheter, till exempel "sudo vi /etc/hosts" eller, om mc-paketet är installerat, kan du använda kommandot "sudo mcedit /etc/hosts»

6. Installation av Zextras Docs

6.1. Logga in på Docs server

Proceduren för att logga in på Docs-servern beskrivs i klausul 5.1.

6.2. Ladda ner Zextras Docs-distributionen

Sekvens av åtgärder:

1) Från sidan som i klausul 4.1.2. Ladda ner Zextras Suite-distributionen Ladda ner Zextras Suite-distributionen (i steg 3), kopiera URL:en för att bygga Docs för Ubuntu 18.04 LTS (om den inte kopierades tidigare).

2) Ladda ner Zextras Suite-distributionen till Zimbra-servern och packa upp den. För att göra detta, kör kommandona i en ssh-session på zimbra-servern

cd ~
mkdir zimbra
cd zimbra
wget <URL со страницы скачивания>

(i vårt fall exekveras kommandot "wget". download.zextras.com/zextras-docs-installer/latest/zextras-docs-ubuntu18.tgz»)

tar –zxf <имя скачанного файла>

(i vårt fall exekveras kommandot "tar -zxf zextras-docs-ubuntu18.tgz")

6.3. Installation av Zextras Docs

För mer information om att installera och konfigurera Zextras Docs, se här.

Sekvens av åtgärder:

1) Gå till katalogen där filerna packades upp i steg 4.1.1 (kan visas med kommandot ls i ~/zimbra-katalogen).

I vårt exempel skulle det vara:

cd ~/zimbra/zextras-docs-installer

2) Kör Zextras Docs-installationen med kommandot

sudo ./install.sh

3) Vi svarar på installatörens frågor

Du kan svara på installatörens frågor med "y" (motsvarar "ja"), "n" (motsvarar "nej") eller lämna installatörens förslag oförändrat (det erbjuder alternativ, visa dem inom hakparenteser, till exempel " [Y]” eller “ [N]”).

Systemet kommer att ändras, vill du fortsätta? – acceptera standardalternativet (”ja”).

Efter detta börjar installationen av beroenden: installationsprogrammet visar vilka paket den vill installera och ber om bekräftelse för att installera dem. I alla fall godkänner vi standarderbjudandena.

Till exempel kan han fråga "python2.7 hittades inte. Vill du installera den?""python-ldap hittades inte. Vill du installera den?" och så vidare.

Efter att ha installerat alla nödvändiga paket, begär installationsprogrammet samtycke för att installera Zextras Docs:

Vill du installera Zextras DOCS? – acceptera standardalternativet (”ja”).

Därefter ägnas lite tid åt att installera paketen, själva Zextras Docs, och gå vidare till konfiguratorfrågorna.

4) Vi svarar på frågor från konfiguratorn

Konfiguratorn begär konfigurationsparametrar en efter en; som svar skrivs de värden som erhållits i steg 3 i avsnitt 4.4 in. Initial justering av inställningar och bestämning av LDAP-konfigurationsparametrar.

I vårt exempel ser inställningarna ut så här:

5) Slutför installationen av Zextras Docs

Efter att ha svarat på konfiguratorns frågor, slutför installationsprogrammet den lokala Docs-konfigurationen och registrerar den installerade tjänsten på Zimbra-huvudservern som installerats tidigare.

För en enserverinstallation är detta vanligtvis tillräckligt, men i vissa fall (om dokument inte kommer att öppnas i Dokument i webbklienten på fliken Drive) kan du behöva utföra en åtgärd som krävs för en multiserverinstallation - i vårt exempel, på Zimbras huvudserver, måste du utföra det från Zimbra Teams-användare /opt/zimbra/libexec/zmproxyconfgen и zmproxyctl starta om.

7. Inledande installation av Zimbra och Zextras Suite (förutom Team)

7.1. Logga in på administratörskonsolen för första gången

Logga in i webbläsaren med URL: https:// :7071

Om så önskas kan du logga in på webbklienten med URL:en: https://

När du loggar in visar webbläsare en varning om en osäker anslutning på grund av oförmågan att verifiera certifikatet. Du måste svara webbläsaren om ditt samtycke för att gå till sidan trots denna varning. Detta beror på att efter installationen används ett självsignerat X.509-certifikat för TLS-anslutningar, som senare (vid produktiv användning - bör) ersättas med ett kommersiellt certifikat eller annat certifikat som känns igen av de webbläsare som används.

I autentiseringsformuläret anger du användarnamnet i formatet admin@<din godkända e-postdomän> och Zimbra-administratörslösenordet som angavs när du installerade Zimbra-servern i steg 4.3 i klausul 4.2.

I vårt exempel ser det ut så här:

Administratörskonsol:

Webbklient:

Not 1 Om du inte anger en accepterad e-postdomän när du loggar in på administratörskonsolen eller webbklienten, kommer användare att autentiseras till e-postdomänen som skapades när Zimbra-servern installerades. Efter installationen är detta den enda accepterade e-postdomänen som finns på den här servern, men när systemet fungerar kan ytterligare e-postdomäner läggas till, och att sedan explicit ange domänen i användarnamnet kommer att göra skillnad.

Not 2 När du loggar in på webbklienten kan din webbläsare be om tillåtelse att visa meddelanden från webbplatsen. Du måste acceptera att ta emot meddelanden från denna webbplats.

Not 3 Efter att ha loggat in på administratörskonsolen kan du få ett meddelande om att det finns meddelanden till administratören, som vanligtvis påminner dig om att konfigurera Zextras Backup och/eller köpa en Zextras-licens innan standardtestlicensen löper ut. Dessa åtgärder kan utföras senare, och därför kan meddelanden som finns vid tidpunkten för inmatningen ignoreras och/eller markeras som lästa i Zextras-menyn: Zextras Alert.

Not 4 Det är särskilt viktigt att notera att i serverstatusövervakaren visas statusen för Dokumenttjänsten som "ej tillgänglig" även om Dokument i webbklienten fungerar korrekt:

Detta är en funktion i testversionen och kan bara fixas efter att du köpt en licens och kontaktat supporten.

7.2. Distribution av Zextras Suite-komponenter

I Zextras: Core-menyn måste du klicka på knappen "Deploy" för alla zimlets som du tänker använda.

När du distribuerar winterlets visas en dialogruta med resultatet av operationen enligt följande:

I vårt exempel är alla Zextras Suite winterlets utplacerade, varefter Zextras: Core-formen kommer att ha följande form:

7.3. Ändra åtkomstinställningar

7.3.1. Ändra globala inställningar

I menyn Inställningar: Globala inställningar, undermenyn Proxyserver, ändra följande parametrar:

Webproxyläge: omdirigering
Aktivera administrationskonsolens proxyserver: markera rutan.
Klicka sedan på "Spara" i den övre högra delen av formuläret.

I vårt exempel, efter de ändringar som gjorts, ser formuläret ut så här:

7.3.2. Ändringar av Zimbra-serverns huvudinställningar

I menyn Inställningar: Servrar: <namn på Zimbras huvudserver>, undermenyn Proxyserver, ändra följande parametrar:

Webbproxyläge: klicka på knappen "Återställ till standardvärde" (värdet i sig ändras inte, eftersom det redan ställdes in under installationen). Aktivera administrationskonsolens proxyserver: kontrollera att kryssrutan är markerad (standardvärdet borde ha tillämpats, om inte kan du klicka på knappen "Återställ till standardvärde" och/eller ställa in det manuellt). Klicka sedan på "Spara" i den övre högra delen av formuläret.

I vårt exempel, efter de ändringar som gjorts, ser formuläret ut så här:

Obs: (en omstart kan krävas om inloggning på den här porten inte fungerar)

7.4. Ny inloggning till administratörskonsolen

Logga in på administratörskonsolen i din webbläsare med URL:en: https:// :9071
Använd denna URL för att logga in i framtiden

Obs: för en enkelserverinstallation är som regel ändringarna som gjordes i föregående steg tillräckliga, men i vissa fall (om serversidan inte visas när du anger den angivna URL-adressen) kan du behöva utföra en åtgärd som krävs för en multiserverinstallation - i vårt exempel, på Zimbras huvudserver kommer kommandon att behöva köras som en Zimbra-användare /opt/zimbra/libexec/zmproxyconfgen и zmproxyctl starta om.

7.5. Redigerar standard COS

I menyn Inställningar: Serviceklass väljer du COS med namnet "default".

I undermenyn "Möjligheter", avmarkera funktionen "Portfölj" och klicka sedan på "Spara" i den övre högra delen av formuläret.

I vårt exempel, efter konfiguration, ser formuläret ut så här:

Det rekommenderas också att kontrollera inställningen "Aktivera delning av filer och mappar" i undermenyn Drive och sedan klicka på "Spara" i den övre högra delen av formuläret.

I vårt exempel, efter konfiguration, ser formuläret ut så här:

I en testmiljö, i samma tjänsteklass, kan du aktivera Team Pro-funktioner genom att aktivera kryssrutan med samma namn i undermenyn Team, varefter konfigurationsformuläret kommer att ha följande form:

När Team Pro-funktioner är inaktiverade har användarna endast åtkomst till Team Basic-funktioner.
Observera att Zextras Team Pro är licensierad oberoende av Zextras Suite, vilket gör att du kan köpa den för färre brevlådor än själva Zextras Suite; Team Basic-funktioner ingår i Zextras Suite-licensen. Därför, om den används i en produktionsmiljö, kan du behöva skapa en separat serviceklass för Team Pro-användare som innehåller lämpliga funktioner.

7.6. Brandväggsinstallation

Krävs för Zimbras huvudserver:

a) Tillåt åtkomst från Internet till ssh, http/https, imap/imaps, pop3/pop3s, smtp-portar (huvudporten och ytterligare portar för användning av e-postklienter) och administrationskonsolporten.

b) Tillåt alla anslutningar från det interna nätverket (för vilket NAT på Internet aktiverades i steg 1.3 i steg 1).

Det finns inget behov av att konfigurera en brandvägg för Zextras Docs-servern, eftersom den är inte tillgänglig från Internet.

För att göra detta måste du utföra följande sekvens av åtgärder:

1) Logga in på textkonsolen på Zimbras huvudserver. När du loggar in via SSH måste du köra kommandot "skärm" för att undvika avbrott i kommandoexekveringen om anslutningen till servern tillfälligt bryts på grund av ändringar i brandväggsinställningarna.

2) Kör kommandon

sudo ufw allow 22,25,80,110,143,443,465,587,993,995,9071/tcp
sudo ufw allow from <адрес_вашей_сети>/<длина CIDR маски>
sudo ufw enable

I vårt exempel ser det ut så här:

7.7. Kontrollerar åtkomst till webbklienten och administratörskonsolen

För att övervaka brandväggens funktion kan du gå till följande URL i din webbläsare

Administratörskonsol: https:// :9071
Webbklient: http:// (det blir en automatisk omdirigering till https:// )
Använd samtidigt den alternativa webbadressen https:// :7071 Administratörskonsolen bör inte öppnas.

Webklienten i vårt exempel ser ut så här:

Notera. När du loggar in på webbklienten kan din webbläsare be om tillåtelse att visa meddelanden från webbplatsen. Du måste acceptera att ta emot meddelanden från denna webbplats.

8. Säkerställa driften av ljud- och videokonferenser i Zextras Team

8.1. Översikt

Åtgärderna som beskrivs nedan krävs inte om alla Zextras Team-klienter interagerar med varandra utan att använda NAT (i detta fall kan interaktioner med själva Zimbra-servern utföras med NAT, det vill säga det är viktigt att det inte finns någon NAT mellan klienterna). eller om endast text används messenger.

För att säkerställa klientinteraktion via ljud- och videokonferenser:

a) Du måste installera eller använda en befintlig TURN-server.

b) Därför att TURN-servern har vanligtvis också funktionaliteten som en STUN-server, det rekommenderas att använda den även i denna egenskap (som ett alternativ kan du använda offentliga STUN-servrar, men STUN-funktionalitet ensam räcker oftast inte).

I en produktionsmiljö, på grund av potentiellt hög belastning, rekommenderas det att flytta TURN-servern till en separat virtuell maskin. För testning och/eller lätt belastning kan TURN-servern kombineras med Zimbra-huvudservern.

Vårt exempel tittar på att installera TURN-servern på Zimbras huvudserver. Att installera TURN på en separat server är liknande, förutom att stegen relaterade till installation och konfigurering av TURN-mjukvaran utförs på TURN-servern, och stegen för att konfigurera Zimbra-servern för att använda den servern utförs på Zimbra-huvudservern.

8.2. Installation av en TURN-server

Efter att tidigare ha loggat in via SSH på Zimbras huvudserver, kör kommandot

sudo apt install resiprocate-turn-server

8.3. Konfigurera en TURN-server

Notera. För att ändra alla följande konfigurationsfiler måste editorn köras med root användarrättigheter, till exempel "sudo vi /etc/reTurn/reTurnServer.config" eller, om mc-paketet är installerat, kan du använda kommandot "sudo mcedit /etc/reTurn/reTurnServer.config»

Förenklat användarskapande

För att förenkla skapandet och felsökningen av en testanslutning till TURN-servern kommer vi att inaktivera användningen av hashade lösenord i TURN-serverns användardatabas. I en produktionsmiljö rekommenderas det att använda hashade lösenord; i detta fall måste genereringen av lösenordshashar för dem utföras i enlighet med instruktionerna i filerna /etc/reTurn/reTurnServer.config och /etc/reTurn/users.txt.

Sekvens av åtgärder:

1) Redigera filen /etc/reTurn/reTurnServer.config

Ändra värdet på parametern "UserDatabaseHashedPasswords" från "true" till "false".

2) Redigera filen /etc/reTurn/users.txt

Ställ in det till ett användarnamn, lösenord, sfär (godtyckligt, används inte när du konfigurerar en Zimbra-anslutning) och ställ in kontostatusen till "AUTORISERAD".

I vårt exempel såg filen initialt ut så här:

Efter redigering såg det ut så här:

3) Använder konfigurationen

Kör kommando

sudo systemctl restart resiprocate-turn-server

8.4. Konfigurera en brandvägg för TURN-servern

I detta skede installeras ytterligare brandväggsregler som är nödvändiga för driften av TURN-servern. Du måste tillåta åtkomst till den primära porten på vilken servern accepterar förfrågningar, och till det dynamiska utbudet av portar som används av servern för att organisera medieströmmar.

Portarna är specificerade i filen /etc/reTurn/reTurnServer.config, i vårt fall är det:

и

För att installera brandväggsregler måste du köra kommandona

sudo ufw allow 3478,49152:65535/udp
sudo ufw allow 3478,49152:65535/tcp

8.5. Konfigurerar för att använda TURN-servern i Zimbra

För att konfigurera används serverns FQDN, TURN-servern, skapad i steg 1.2 i punkt 1, och som måste lösas av DNS-servrar med samma publika IP-adress för både förfrågningar från Internet och för förfrågningar från interna adresser.

Se den aktuella konfigurationen av "zxsuite team iceServer get"-anslutningen som körs under zimbra-användaren.

För mer information om hur du ställer in användningen av TURN-servern, se avsnittet "Installera Zextras Team för att använda TURN-servern" i dokumentation.

För att konfigurera måste du köra följande kommandon på Zimbra-servern:

sudo su - zimbra
zxsuite team iceServer add stun:<FQDN вашего сервера TURN>:3478?transport=udp
zxsuite team iceServer add turn:<FQDN вашего сервера TURN>:3478?transport=udp credential <пароль> username <имя пользователя>
zxsuite team iceServer add stun:<FQDN вашего сервера TURN>:3478?transport=tcp
zxsuite team iceServer add turn:<FQDN вашего сервера TURN>:3478?transport=tcp credential <пароль> username <имя пользователя>
zxsuite team iceServer add stun:<FQDN вашего сервера TURN>:3478
logout

Värdena för användarnamnet respektive lösenordet som anges i steg 2 i klausul 8.3 används som <användarnamn> och <lösenord>.

I vårt exempel ser det ut så här:

9. Tillåta e-post att passera genom SMTP-protokollet

Enligt dokumentation, i Yandex.Cloud, blockeras alltid utgående trafik till TCP-port 25 på Internet och till Yandex Compute Cloud virtuella maskiner när den nås via en offentlig IP-adress. Detta kommer inte att hindra dig från att kontrollera godkännandet av e-post som skickas från en annan e-postserver till den accepterade e-postdomänen, men det kommer att hindra dig från att skicka e-post utanför Zimbra-servern.

Dokumentationen säger att Yandex.Cloud kan öppna TCP-port 25 på en supportförfrågan om du följer Riktlinjer för godtagbar användning, och förbehåller sig rätten att blockera hamnen igen vid brott mot reglerna. För att öppna porten måste du kontakta Yandex.Cloud support.

ansökan

Skapa SSH-nycklar i openssh och putty och konvertera nycklar från putty till openssh-format

1. Skapa nyckelpar för SSH

På Windows med kitt: kör kommandot puttygen.exe och klicka på knappen "Generera".

På Linux: kör kommando

ssh-keygen

2. Konvertera nycklar från kitt till openssh-format

På Windows:

Sekvens av åtgärder:

1. Kör programmet puttygen.exe.
2. Ladda den privata nyckeln i ppk-format, använd menyalternativet Arkiv → Ladda privat nyckel.
3. Ange lösenordsfrasen om det krävs för denna nyckel.
4. Den publika nyckeln i OpenSSH-format visas i puttygen med inskriptionen "Public key for pasting into OpenSSH authorized_keys file field"
5. För att exportera en privat nyckel till OpenSSH-format, välj Konverteringar → Exportera OpenSSH-nyckel i huvudmenyn
6. Spara den privata nyckeln till en ny fil.

På Linux

1. Installera verktygspaketet PuTTY:

i Ubuntu:

sudo apt-get install putty-tools

på Debian-liknande distributioner:

apt-get install putty-tools

i RPM-baserade distributioner baserade på yum (CentOS, etc.):

yum install putty

2. För att konvertera den privata nyckeln, kör kommandot:

puttygen <key.ppk> -O private-openssh -o <key_openssh>

3. Så här genererar du en offentlig nyckel (om nödvändigt):

puttygen <key.ppk> -O public-openssh -o <key_openssh.pub>

Resultat

Efter installation i enlighet med rekommendationerna får användaren en Zimbra-e-postserver konfigurerad i Yandex.Cloud-infrastrukturen med Zextras-tillägget för företagskommunikation och samarbete med dokument. Inställningarna görs med vissa begränsningar för en testmiljö, men det är inte svårt att byta installationen till produktionsläge och lägga till alternativ för att använda Yandex.Cloud-objektlagring och annat. För frågor angående distribution och användning av lösningen, vänligen kontakta din Zextras-partner - SVZ eller representanter Yandex.Cloud.

För alla frågor relaterade till Zextras Suite kan du kontakta representanten för Zextras Ekaterina Triandafilidi via e-post [e-postskyddad]

Källa: will.com