Розгортання офісних робочих місць Zextras/Zimbra в Яндекс.Хмара

Запровадження

Оптимізація офісної інфраструктури та розгортання нових робочих місць – серйозна проблема для компаній усіх типів та розмірів. Оптимальним варіантом для нового проекту є оренда ресурсів у хмарі та придбання ліцензій, які можна використовувати як у провайдера, так і у власному ЦОДі. Одним із рішень для такого сценарію є Zextras Suite, що дозволяє створити платформу для спільної роботи та корпоративних комунікацій підприємства як у хмарному середовищі, так і на своїй інфраструктурі.

Рішення розраховане на офіси будь-якого розміру та має два основні сценарії розгортання: за наявності до 3000 тисяч поштових скриньок та відсутності високих вимог до відмовостійкості, можна використовувати установку у варіанті single-server, а варіант установки multi-server підтримує надійну та чуйну роботу десятків та сотень тисяч поштових скриньок. У всіх випадках користувач отримує доступ до пошти, документів та повідомлень через єдиний веб-інтерфейс з робочого місця з будь-якої ОС без встановлення та налаштування додаткового ПЗ, або через мобільні програми для iOS та Android. Можливе використання звичних клієнтів Outlook та Thunderbird.

Для розгортання проекту партнер Zextras СВЗ вибрав Яндекс.Хмара, тому що його архітектура аналогічна AWS і є підтримка S3 сумісного сховища, що дозволить здешевити вартість зберігання великого обсягу пошти, повідомлень і документів і підвищить стійкість до відмови.

У середовищі Яндекс.Хмара для встановлення single-server використовуються базові засоби керування віртуальними машинами "Compute Cloud" та можливості управління віртуальними мережами "Virtual Private Cloud". Для multi-server інсталяції на додаток до зазначених засобів необхідно використовувати технології «Груп розміщення», при необхідності (залежно від масштабу системи) – також і "Instance Groups", та мережевий балансувальник Yandex Load Balancer.

S3-сумісне об'єктне сховище Яндекс Об'єктне сховище може використовуватися в обох варіантах інсталяції, а також може бути підключено до систем, розгорнутих on-premise для економного та відмовостійкого зберігання даних поштового сервера в Яндекс.Хмарі.

Для single-server інсталяції, залежно від кількості користувачів та/або поштових скриньок, потрібно: для основного сервера 4-12 vCPU, 8-64 GB vRAM (конкретні значення vCPU та vRAM залежать від кількості поштових скриньок та фактичного навантаження), не менше 80 GB диска для операційної системи та додатків, а також додатковий дисковий простір для зберігання пошти, індексів, логів тощо, що залежить від кількості та середнього розміру поштових скриньок і може динамічно змінюватися під час експлуатації системи; для допоміжних серверів Docs: 2-4 vCPU, 2-16 GB vRAM, 16 GB дискового простору (конкретні значення ресурсів та кількість серверів залежать від фактичного навантаження); додатково може знадобитися сервер TURN/STUN (його необхідність як окремого сервера та ресурси залежать від фактичного навантаження). Для multi-server інсталяцій кількість і призначення рольових віртуальних машин і ресурси, що виділяються ним, визначаються індивідуально залежно від вимог користувача.

Ціль статті

Опис розгортання серед Яндекс.Хмара продуктів Zextras Suite на базі поштового сервера Zimbra у варіанті установки single-server. Отримана інсталяція може бути використана в продуктивному середовищі (досвідчені користувачі можуть зробити необхідні налаштування та додати ресурси).

До складу системи Zextras Suite/Zimbra входять:

• Zimbra - Корпоративна електронна пошта з можливістю ділитися поштовими скриньками, календарями та списками контактів (адресними книгами).
• Zextras Docs — вбудований офісний пакет на базі LibreOffice online для створення та спільної роботи з документами, таблицями, презентаціями.
• Zextras Drive – індивідуальне файлове сховище, яке дозволяє редагувати, зберігати та ділитися з іншими користувачами файлами та папками.
• Zextras Team – месенджер з підтримкою аудіо- та відеоконференцій. Доступні версії Team Basic, що дозволяє лише комунікації 1:1, і Team Pro, що підтримує конференції, канали, можливість демонстрації екрану, обміну файлами та інші функції.
• Zextras Mobile – підтримка мобільних пристроїв через Exchange ActiveSync для синхронізації пошти з мобільними пристроями з функціями керування MDM (Mobile Device Management). Дозволяє використовувати Microsoft Outlook як поштовий клієнт.
• Zextras Admin - Реалізація мультитенантного адміністрування системи з делегуванням адміністраторів для управління групами клієнтів та класами сервісів.
• Zextras Backup -Резервування та відновлення даних повного циклу в режимі реального часу
• Zextras Powerstore - ієрархічне сховище об'єктів поштової системи з підтримкою класів обробки даних, з можливістю зберігання даних локально або в хмарних сховищах архітектури S3, включаючи Yandex Object Storage.

Після закінчення установки користувач отримує систему, що працює в середовищі Яндекс.Хмара.

Умови та обмеження

1. Не описується виділення дискового простору для поштових скриньок, індексів та інших типів даних, оскільки Zextras Powerstore підтримує різні типи сховищ. Тип та розмір сховищ залежать від завдань та параметрів системи. При необхідності це може бути зроблено пізніше в процесі переведення описаної інсталяції в продуктивну.
2. Для спрощення установки не розглядається використання керованого адміністратором DNS-сервера для дозволу внутрішніх (непублічних) доменних імен, використовується стандартний DNS-сервер Яндекс.Хмари. При використанні в продуктивному середовищі рекомендується використовувати DNS-сервер, можливо, вже є в корпоративній інфраструктурі.
3. Передбачається, що використовується обліковий запис в Яндекс.Хмара з налаштуваннями за умовчанням (зокрема, при вході в «Консоль» сервісу існує тільки каталог (у списку «Доступні хмари» під назвою default). Користувачі, знайомі з роботою в Яндекс.Хмара, можуть на власний розсуд створити окремий каталог для тестового стенду, або використовувати існуючий.
4. У користувача має бути публічна зона DNS, до якої має бути адміністративний доступ.
5. Користувач повинен мати доступ до каталогу в «Консолі» Яндекс.Хмара принаймні з роллю «editor» (у «Власника хмари» всі необхідні права є за замовчуванням, для надання доступу іншим користувачам до хмари є посібники: раз, два, три)
6. У цій статті не описується встановлення користувача X.509 сертифікатів, що використовуються для захисту мережевих комунікацій за допомогою механізмів TLS. Після закінчення установки будуть використані самопідписані сертифікати, що дозволяє використовувати браузери для доступу до встановленої системи. Вони зазвичай виводять повідомлення про відсутність у сервера сертифіката, що верифікується, але дозволяють продовжити роботу. До встановлення сертифікатів (підписаних публічними та/або корпоративними посвідчувальними центрами), що верифікуються клієнтськими пристроями, із встановленою системою можуть не працювати програми для мобільних пристроїв. Тому встановлення зазначених сертифікатів у продуктивному середовищі необхідне, і проводиться після завершення тесту відповідно до корпоративних політик безпеки.

Опис процесу встановлення системи Zextras/Zimbra у варіанті «single-server»

1. Попередня підготовка

Перед початком встановлення необхідно забезпечити:

а) Внесення змін до публічної DNS зони (створення A-запису для сервера Zimbra і MX-запису для поштового домену, що обслуговується).
б) Налаштування віртуальної мережної інфраструктури в Яндекс.Хмарі.

При цьому, після внесення змін до зони DNS, потрібен деякий час на поширення цих змін, але, з іншого боку, не можна створити A-запис, не знаючи IP-адреси, з нею пов'язаного.

Тому дії виконуються в наступній послідовності:

1. Зарезервувати публічну IP-адресу в Яндекс.Хмара

1.1 У «Консолі Яндекс.Хмари» (при необхідності обравши каталок в «доступні хмари») зайти в розділ Virtual Private Cloud, підрозділ IP-адреси, після чого натиснути кнопку «Зарезервувати адресу», вибрати зону доступності (або погодитися з пропонованим значенням); ця зона доступності згодом повинна використовуватися для всіх дій, що описуються в подальшому, в Яндекс.Хмара, якщо на відповідних формах є можливість вибору зони доступності), в діалоговому вікні, за бажання можна, але не обов'язково, вибрати опцію «Захист від DDoS», і натиснути кнопку «Зарезервувати» (див. також документацію).

Після закриття діалогу в списку IP-адрес буде доступна статична IP-адреса, яку можна скопіювати і використовувати на наступному кроці.

1.2 У «прямій» зоні DNS зробити A-запис для сервера Zimbra, що вказує на виділену раніше IP-адресу, A-запис для сервера TURN, що вказує на ту ж саму IP-адресу, і MX-запис для поштового домену, що обслуговується. У нашому прикладі це будуть mail.testmail.svzcloud.ru (сервер Zimbra), turn.testmail.svzcloud.ru (сервер TURN) та testmail.svzcloud.ru (поштовий домен) відповідно.

1.3 У Яндекс.Хмара у вибраній зоні доступності для підмережі, яка використовуватиметься для розгортання віртуальних машин, включити NAT до Інтернету.

Для цього у розділі Virtual Private Cloud, підрозділ «Хмарні мережі», вибрати відповідну хмарну мережу (за замовчуванням там доступна лише мережа default), у ній вибрати відповідну зону доступності та в її налаштування вибрати пункт «Увімкнути NAT в інтернет».

Статус зміниться у списку підмереж:

Детальніше див. у документації: раз и два.

2. Створення віртуальних машин

2.1. Створення віртуальної машини для Zimbra

Послідовність дій:

2.1.1 У «Консолі Яндекс.Хмари» зайти в розділ Compute Cloud, підрозділ «Віртуальні машини», натиснути кнопку «Створити ВМ» (докладніше про створення ВМ див. документацію).

2.1.2 Там необхідно задати:

• Ім'я – довільно (відповідно до формату, що підтримується Яндекс.Хмарою)
• Зона доступності – повинна відповідати раніше вибраній для віртуальної мережі.
• У «Публічні образи» вибрати Ubuntu 18.04 lts
• У дисках встановити завантажувальний диск розміром щонайменше 80ГБ. Для тестових цілей достатньо типу HDD (і для продуктивного використання за умови винесення деяких типів даних на диски типу SSD). За потреби додаткові диски можна буде додати після створення ВМ.

У «обчислювальних ресурсах» поставити:

• vCPU: не менше 4-х.
• Гарантована частка vCPU: на час виконання описаних у статті дій не менше 50%, після закінчення установки, за потреби, можна буде зменшити.
• RAM: рекомендується 8ГБ.
• Підмережа: вибрати підмережу, для якої на етапі попередньої підготовки було включено NAT в Інтернет.
• Публічна адреса: вибрати зі списку IP-адреси, які раніше були використані для створення A-запису в DNS.
• Користувач: на власний розсуд, але відмінний від користувача root і від системних облікових записів Linux.
• Обов'язково треба встановити публічний (відкритий) SSH-ключ.

→ Докладніше про використання SSH

Див також Додаток 1. Створення ключів SSH у openssh та putty та конвертація ключів з формату putty у openssh.

2.1.3 Після налаштування натиснути «Створити ВМ».

2.2. Створення віртуальної машини для Zextras Docs

Послідовність дій:

2.2.1 У «Консолі Яндекс.Хмари» зайти в розділ Compute Cloud, підрозділ «Віртуальні машини», натиснути кнопку «Створити ВМ» (докладніше про створення ВМ див. тут).

2.2.2 Там необхідно задати:

• Ім'я – довільно (відповідно до формату, що підтримується Яндекс.Хмарою)
• Зона доступності – повинна відповідати раніше вибраній для віртуальної мережі.
• У «Публічні образи» вибрати Ubuntu 18.04 lts
• У дисках встановити завантажувальний диск розміром щонайменше 80ГБ. Для тестових цілей достатньо типу HDD (і для продуктивного використання за умови винесення деяких типів даних на диски типу SSD). За потреби додаткові диски можна буде додати після створення ВМ.

У «обчислювальних ресурсах» поставити:

• vCPU: не менше 2-х.
• Гарантована частка vCPU: на час виконання описаних у статті дій не менше 50%, після закінчення установки, за потреби, можна буде зменшити.
• RAM: щонайменше 2ГБ.
• Підмережа: вибрати підмережу, для якої на етапі попередньої підготовки було включено NAT в Інтернет.
• Публічна адреса: без адреси (до цієї машини не потрібен доступ з Інтернету, тільки вихідний доступ з цієї машини до Інтернету, який забезпечується опцією «NAT в Інтернет» підмережі).
• Користувач: на власний розсуд, але відмінний від користувача root і від системних облікових записів Linux.
• Обов'язково треба задати публічний (відкритий) SSH-ключ, можна той самий, що і для сервера Zimbra, можна згенерувати окрему ключову пару, тому що закритий ключ для сервера Zextras Docs потрібно буде помістити на диск сервера Zimbra.

також Додаток 1. Створення ключів SSH у openssh та putty та конвертація ключів з формату putty у openssh.

2.2.3 Після налаштування натиснути «Створити ВМ».

2.3 Створені віртуальні машини будуть доступні в списку віртуальних машин, де відображається, зокрема, їх статус і IP-адреси, що використовуються, як публічні, так і внутрішні. Інформація про IP-адреси буде потрібна на наступних кроках встановлення.

3. Підготовка сервера Zimbra до інсталяції

3.1 Встановлення оновлень

Необхідно зайти на сервер Zimbra за його публічною IP-адресою за допомогою вподобаного вами ssh-клієнта з використанням закритого (приватного, приватного) ключа ssh і використовуючи ім'я користувача, заданого при створенні віртуальної машини.

Після входу виконати команди:

sudo apt update
sudo apt upgrade

(при виконанні останньої команди відповісти “y” на питання про те, чи впевнені ви в установці пропонованого списку оновлень)

Після встановлення оновлень можна (але не обов'язково) виконати команду:

sudo apt autoremove

І на завершення кроку виконати команду

sudo shutdown –r now

3.2 Доустановка додатків

Необхідно встановити NTP-клієнт для синхронізації системного часу та програму screen наступною командою:

sudo apt install ntp screen

(при виконанні останньої команди відповісти “y” на запитання про те, чи впевнені ви в встановленні списку пакетів, що додається)

Також можна встановити додаткові утиліти для зручності адміністратора. Наприклад, Midnight Commander може бути встановлений командою:

sudo apt install mc

3.3. Зміна системної конфігурації

3.3.1 У файлі /etc/cloud/cloud.cfg.d/95-yandex-cloud.cfg змінити значення параметра manage_etc_hosts c правда на false.

Примітка: редактор для зміни цього файлу слід запускати з правами користувача root, наприклад, “sudo vi /etc/cloud/cloud.cfg.d/95-yandex-cloud.cfg” або, якщо встановлений пакет mc, можна використовувати команду «sudo mcedit /etc/cloud/cloud.cfg.d/95-yandex-cloud.cfg»

3.3.2 Відредагувати / Etc / хостів наступним чином, замінивши в рядку, що визначає FQDN хоста, адресу з 127.0.0.1 на внутрішню IP-адресу цього сервера, а ім'я – з повного імені в зоні .internal на публічне ім'я сервера, зазначене раніше в A-запису зони DNS, та відповідною змінивши коротке ім'я хоста (якщо воно відрізняється від короткого імені хоста з A-запису публічного DNS).

Наприклад, у нашому випадку файл hosts мав вигляд:

Після редагування він набув вигляду:

Примітка: редактор для зміни цього файлу слід запускати з правами користувача root, наприклад, “sudo vi /etc/hosts” або, якщо встановлений пакет mc, можна використовувати команду «sudo mcedit /etc/hosts»

3.4 Задати пароль користувача

Це необхідно у зв'язку з тим, що надалі проводитиметься налаштування файрвола, і у разі виникнення будь-яких проблем з ним, за наявності у користувача пароля, можна буде зайти на віртуальну машину з використанням серіальної консолі з веб-консолі Яндекс.Хмара та вимкнути файрвол та/або виправити помилку. При створенні віртуальної машини користувач не має пароля, тому доступ можливий тільки за SSH з використанням аутентифікації за ключами.

Для завдання пароля необхідно виконати команду:

sudo passwd <имя пользователя>

Наприклад, у нашому випадку це буде команда “sudo passwd user".

4. Інсталяція Zimbra та Zextras Suite

4.1. Завантаження дистрибутивів Zimbra та Zextras Suite

4.1.1 Завантаження дистрибутива Zimbra

Послідовність дій:

1) Зайти браузером по URL www.zextras.com/download-zimbra-9 та заповніть форму. Вам прийде лист із посиланнями на завантаження Zimbra для різних ОС.

2) Вибрати актуальну версію дистрибутива для платформи Ubuntu 18.04 LTS та скопіювати посилання

3) Завантажити дистрибутив Zimbra на сервер Zimbra та розпакувати його. Для цього у ssh-сеансі на сервері zimbra виконати команди

cd ~
mkdir zimbra
cd zimbra
wget <url, скопированный на предыдущем шаге>
tar –zxf <имя скачанного файла>

(У нашому прикладі це “tar-zxf zcs-9.0.0_OSE_UBUNTU18_latest-zextras.tgz»)

4.1.2 Завантаження дистрибутива Zextras Suite

Послідовність дій:

1) Зайти браузером по URL www.zextras.com/download

2) Заповнити форму, ввівши необхідні дані, та натиснути кнопку “DOWNLOAD NOW”

3) Відкриється сторінка для скачування

На ній є два URL, що цікавлять нас: один вгорі сторінки для самого Zextras Suite, який буде необхідний нам зараз, а інший внизу в блоці Docs Server для Ubuntu 18.04 LTS, який знадобиться пізніше для встановлення Zextras Docs на ВМ для Docs.

4) Завантажити дистрибутив Zextras Suite на сервер Zimbra та розпакувати його. Для цього у ssh-сеансі на сервері zimbra виконати команди

cd ~
mkdir zimbra
cd zimbra

(якщо після попереднього кроку не змінювалася поточна директорія – команди вищі можна не виконувати)

wget http://download.zextras.com/zextras_suite-latest.tgz
tar –zxf zextras_suite-latest.tgz

4.2. Інсталяція Zimbra

Послідовність дій

1) Перейти в директорію, в яку файли розпакувалися на кроці 4.1.1 (можна переглянути командою ls, перебуваючи в директорії ~/zimbra).

У нашому прикладі це буде:

cd ~/zimbra/zcs-9.0.0_OSE_UBUNTU18_latest-zextras/zimbra-installer

2) Запустити інсталяцію Zimbra командою

sudo ./install.sh

3) Відповідаємо на запитання інсталятора

На запитання інсталятора можна відповідати “y” (відповідає “так”), “n” (відповідає “ні”) або залишити пропозицію інсталятора без змін (він пропонує варіанти, відображаючи їх у квадратних дужках, наприклад, “[Y]” або “ [N]”.

Do you agree with the terms of software license agreement? - Так.

Use Zimbra's package реpository? – за умовчанням (так).

"Install zimbra-ldap?»,«Install zimbra-logger?»,«Install zimbra-mta?” – за умовчанням (так).

Install zimbra-dnscache? – ні (в операційній системі за умовчанням включений свій кешуючий DNS сервер, тому цей пакет матиме з ним конфлікт через порти, що використовуються).

Install zimbra-snmp? – за бажанням, можна залишити варіант за умовчанням (так), можна не встановлювати цей пакет. У нашому прикладі залишено варіант за замовчуванням.

"Install zimbra-store?»,«Install zimbra-apache?»,«Install zimbra-spell?»,«Install zimbra-memcached?»,«Install zimbra-proxy?” – за умовчанням (так).

Install zimbra-snmp? – ні (пакет практично не підтримується і функціонально замінюється Zextras Drive).

Install zimbra-imapd? – за замовчуванням (ні).

Install zimbra-chat? – ні (функціонально замінюється Zextras Team)

Після чого інсталятор запитає, чи установку продовжувати?

Відповідаємо «так» якщо можна продовжувати, інакше відповідаємо «ні» та отримуємо можливість змінити відповіді на раніше задані запитання.

Після згоди продовження інсталятор виконає установку пакетів.

4). Відповідаємо на запитання первинного конфігуратора

4.1) Оскільки в нашому прикладі розрізняються DNS-ім'я поштового сервера (ім'я A-запису) і ім'я поштового домену (ім'я MX-запису), конфігуратор виводить попередження і пропонує задати ім'я поштового домену, що обслуговується. Погоджуємося з його пропозицією та вводимо ім'я MX-запису. У нашому прикладі це виглядає так:

Примітка: задати поштового домену, що обслуговується, відмінним від імені сервера можна і в тому випадку, якщо для імені сервера є однойменний MX-запис.

4.2) Конфігуратор відображає головне меню.

Нам необхідно задати пароль адміністратора Zimbra (пункт меню 6 у нашому прикладі), без якого неможливе продовження інсталяції, та змінити налаштування zimbra-proxy (пункт меню 8 у нашому прикладі; при необхідності це налаштування можна змінити і після інсталяції).

4.3) Зміна налаштувань zimbra-store

У запрошення конфігуратора вводимо номер пункту меню та натискаємо Enter. Потрапляємо в меню налаштування сховища:

де в запрошенні конфігуратора вводимо номер пункту меню Admin Password (у прикладі 4), натискаємо Enter, після чого конфігуратор пропонує випадково згенерований пароль, з яким можна погодитися (запам'ятавши його) чи ввести свій. В обох випадках в кінці потрібно натиснути Enter, після чого з пункту Admin Password буде знято маркер очікування введення інформації від користувача:

Повертаємося до попереднього меню (погоджуємося з пропозицією конфігуратора).

4.4) Зміна налаштувань zimbra-proxy

За аналогією з попереднім кроком, у головному меню вибираємо номер пункту «zimbra-proxy» та вводимо його у запрошення конфігуратора.

У меню Proxy configuration, що відкрилося, вибираємо номер пункту «Proxy server mode» і вводимо його в запрошення конфігуратора.

Конфігуратор запропонує вибрати один із режимів, вводимо в його запрошення "redirect" і натискаємо Enter.

Після чого повертаємось в основне меню (погоджуємося з пропозицією конфігуратора).

4.5) Запуск конфігурації

Для запуску конфігурації вводимо "a" у запрошення конфігуратора. Після чого він запитає, чи зберегти введену конфігурацію у файл (який можна використовувати для повторної інсталяції) – можна погодитися з пропозицією за промовчанням, якщо збереження буде зроблено – запитає, у якому файлі зберегти конфігурацію (також можна погодитися із пропозицією за умовчанням або ввести своє ім'я файлу).

На даному етапі ще можна відмовитися від продовження та внести зміни до конфігурації, погодившись із відповіддю за замовчуванням на питання "The system will be modified – continue?".

Для початку інсталяції на це питання необхідно відповісти “Yes”, після чого конфігуратор деякий час використовуватиме введені раніше налаштування.

4.6) Завершення інсталяції Zimbra

Перед закінченням інсталятор запитає, чи повідомляти Zimbra про здійснену інсталяцію? Можна як погодитись із пропозицією за замовчуванням, так і відмовитися (відповівши “No”) від повідомлення.

Після чого інсталятор ще деякий час пророблятиме завершальні операції і виведе повідомлення про завершення конфігурування системи з пропозицією натиснути будь-яку клавішу для виходу з інсталятора.

4.3. Інсталяція Zextras Suite

Докладніше про встановлення Zextras Suite див. інструкцію.

Послідовність дій:

1) Перейти в директорію, в яку файли розпакувалися на кроці 4.1.2 (можна переглянути командою ls, перебуваючи в директорії ~/zimbra).

У нашому прикладі це буде:

cd ~/zimbra/zextras_suite

2) Запустити інсталяцію Zextras Suite командою

sudo ./install.sh all

3) Відповідаємо на запитання інсталятора

Принцип роботи інсталятора аналогічний роботі інсталятора Zimbra, за винятком відсутності конфігуратора. На запитання інсталятора можна відповідати “y” (відповідає так), “n” (відповідає ні) або залишити пропозицію інсталятора без змін (він пропонує варіанти, відображаючи їх у квадратних дужках, наприклад, [Y] або “ [N]”.

Для початку процесу інсталяції необхідно послідовно відповісти «так» на такі питання:

Do you agree with the terms of software license agreement?
Do you wish for Zextras Suite для автоматичного download, install and upgrade ZAL Library?

Після чого буде виведено повідомлення із пропозицією натиснути Enter для продовження:

Після натискання на Enter почнеться процес інсталяції, який іноді переривається питаннями, на які, втім, відповідаємо згодою з пропозиціями за умовчанням («так»), а саме:

Zextras Suite Core will now be installed. Proceed?
Do you wish to stop Zimbra Web Application (mailbox)?
The Zextras Suite Zimlet will now be installed. Proceed?

Перед початком фінальної частини установки буде виведено повідомлення про необхідність налаштування DOS фільтра з пропозицією натиснути Enter для продовження. Після натискання на Enter починається фінальна частина установки, наприкінці виводиться фінальне повідомлення та робота інсталятора завершується.

4.4. Первинний тюнінг налаштування та визначення параметрів конфігурації LDAP

1) Усі наступні дії виконуються з-під користувача zimbra. Для цього необхідно виконати команду

sudo su - zimbra

2) Змінюємо налаштування DOS фільтра командою

zmprov mcf zimbraHttpDosFilterMaxRequestsPerSec 150

3) Для встановлення Zextras Docs знадобиться інформація про деякі параметри налаштування Zimbra. Для цього можна виконати команду:

zmlocalconfig –s | grep ldap

У нашому прикладі буде виведено таку інформацію:

Для подальшого використання знадобляться ldap_url, zimbra_ldap_password (та zimbra_ldap_userdn, хоч інсталятор Zextras Docs зазвичай видає правильні припущення про ім'я користувача LDAP).

4) Завершити роботу під користувачем zimbra, виконавши команду
Вихід

5. Підготовка сервера Docs до інсталяції

5.1. Завантаження закритого ключа SSH на сервер Zimbra та вхід на сервер Docs

Необхідно помістити на сервер Zimbra закритий ключ пари SSH ключів, публічний ключ якої був використаний на кроці 2.2.2 п.2.2 під час створення віртуальної машини Docs. Його можна завантажити на сервер по SSH (наприклад, по sftp) або вставити через буфер обміну (якщо дозволяють можливості використовуваного SSH-клієнта та середовища виконання).

Вважаємо, що закритий ключ поміщений у файл ~/.ssh/docs.key і користувач, який використовується для входу на сервер Zimbra, є його власником (якщо завантаження/створення цього файлу здійснювалися з-під цього користувача – він автоматично став його власником).

Необхідно одноразово виконати команду:

chmod 600 ~/.ssh/docs.key

Надалі для входу на сервер Docs необхідно виконувати таку послідовність дій:

1) Зайти на сервер Zimbra

2) Виконати команду

ssh -i ~/.ssh/docs.key user@<внутренний ip-адрес сервера Docs>

Де значення <внутрішній IP-адреса сервера Docs> можна дізнатися в «Консолі Яндекс.Хмара», наприклад, як це показано в п.2.3.

5.2. Встановлення оновлень

Після входу на сервер Docs виконати команди аналогічно до сервера Zimbra:

sudo apt update
sudo apt upgrade

(при виконанні останньої команди відповісти “y” на питання про те, чи впевнені ви в установці пропонованого списку оновлень)

Після встановлення оновлень можна (але не обов'язково) виконати команду:

sudo apt autoremove

І на завершення кроку виконати команду

sudo shutdown –r now

5.3. Доустановка додатків

Необхідно встановити NTP-клієнт для синхронізації системного часу та програму screen, аналогічно такій же дії для сервера Zimbra, наступною командою:

sudo apt install ntp screen

(при виконанні останньої команди відповісти “y” на запитання про те, чи впевнені ви в встановленні списку пакетів, що додається)

Також можна встановити додаткові утиліти для зручності адміністратора. Наприклад, Midnight Commander може бути встановлений командою:

sudo apt install mc

5.4. Зміна системної конфігурації

5.4.1. У файлі /etc/cloud/cloud.cfg.d/95-yandex-cloud.cfg, як і для сервера Zimbra, змінити значення параметра manage_etc_hosts c true на false.

Примітка: редактор для зміни цього файлу слід запускати з правами користувача root, наприклад, “sudo vi /etc/cloud/cloud.cfg.d/95-yandex-cloud.cfg” або, якщо встановлений пакет mc, можна використовувати команду «sudo mcedit /etc/cloud/cloud.cfg.d/95-yandex-cloud.cfg»

5.4.2. Відредагувати /etc/hosts, додавши до нього публічний FQDN сервера Zimbra, але з внутрішньою IP-адресою, призначеною Яндекс.Хмара. За наявності керованого адміністратором внутрішнього DNS-сервера, використовуваного віртуальними машинами (наприклад, у продуктивному середовищі), і здатного дозволяти публічний FQDN сервера Zimbra внутрішньою IP-адресою при отриманні запиту з внутрішньої мережі (для запитів з Інтернету FQDN сервера Zimbra має дозволятися публічним IP- адресою, а сервер TURN повинен дозволятися публічною IP-адресою завжди, у тому числі при поводженні з внутрішніх адрес), ця операція не потрібна.

Наприклад, у нашому випадку файл hosts мав вигляд:

Після редагування він набув вигляду:

Примітка: редактор для зміни цього файлу слід запускати з правами користувача root, наприклад, “sudo vi /etc/hosts” або, якщо встановлений пакет mc, можна використовувати команду «sudo mcedit /etc/hosts»

6. Інсталяція Zextras Docs

6.1. Зайти на сервер Docs

Порядок входу на сервер Docs описано у п.5.1.

6.2. Завантаження дистрибутива Zextras Docs

Послідовність дій:

1) Зі сторінки, з якої у п. 4.1.2. Скачування дистрибутива Zextras Suite завантажувалося дистрибутивом Zextras Suite (на кроці 3), скопіювати URL для складання Docs для Ubuntu 18.04 LTS (якщо він не був скопійований раніше).

2) Завантажити дистрибутив Zextras Suite на сервер Zimbra та розпакувати його. Для цього у ssh-сеансі на сервері zimbra виконати команди

cd ~
mkdir zimbra
cd zimbra
wget <URL со страницы скачивания>

(У нашому випадку виконується команда «wget download.zextras.com/zextras-docs-installer/latest/zextras-docs-ubuntu18.tgz»)

tar –zxf <имя скачанного файла>

(У нашому випадку виконується команда "tar-zxf zextras-docs-ubuntu18.tgz")

6.3. Інсталяція Zextras Docs

Докладніше про встановлення та налаштування Zextras Docs див. тут.

Послідовність дій:

1) Перейти в директорію, в яку файли розпакувалися на кроці 4.1.1 (можна переглянути командою ls, перебуваючи в директорії ~/zimbra).

У нашому прикладі це буде:

cd ~/zimbra/zextras-docs-installer

2) Запустити інсталяцію Zextras Docs командою

sudo ./install.sh

3) Відповідаємо на запитання інсталятора

На запитання інсталятора можна відповідати “y” (відповідає так), “n” (відповідає ні) або залишити пропозицію інсталятора без змін (він пропонує варіанти, відображаючи їх у квадратних дужках, наприклад, [Y] або “ [N]”).

System will be modified, would you like to proceed? – приймаємо варіант за умовчанням (так).

Після цього почнеться установка залежностей: інсталятор показуватиме, які пакети він хоче встановити та запитувати підтвердження на їхню установку. У всіх випадках погоджуємось із пропозиціями за умовчанням.

Наприклад, він може запитуватиpython2.7 немає інформації. Would you like to install it?», « python-ldap немає інформації. Would you like to install it?" і т.п.

Після встановлення всіх необхідних пакетів інсталятор запитує згоду на встановлення Zextras Docs:

Would you like to install Zextras DOCS? – приймаємо варіант за умовчанням (так).

Після цього деякий час йде установка пакетів, власне, Zextras Docs і перехід до питань конфігуратора.

4) Відповідаємо на запитання конфігуратора

Конфігуратор по черзі запитує конфігураційні параметри, у відповідь вводяться значення, отримані на кроці 3 п.4.4. Первинний тюнінг налаштування та визначення параметрів конфігурації LDAP.

У нашому прикладі налаштування мають вигляд:

5) Завершення інсталяції Zextras Docs

Після відповіді питання конфігуратора інсталятор завершує локальну конфігурацію Docs і реєструє встановлений сервіс на основному сервері Zimbra, встановленому раніше.

Для single-server інсталяції зазвичай цього достатньо, але в деяких випадках (якщо документи не будуть відкриватися в Docs у веб-клієнті на вкладці Drive) може знадобитися виконання дії, обов'язкової для мультисерверної установки – у нашому прикладі на основному сервері Zimbra буде потрібно виконання з-під користувача Zimbra команд /opt/zimbra/libexec/zmproxyconfgen и zmproxyctl restart.

7. Первинне налаштування Zimbra та Zextras Suite (крім Team)

7.1. Первинний вхід до консолі адміністратора

Увійти до браузера за URL: https:// :7071

За бажанням, можна увійти до веб-клієнта за URL: https://

При вході браузери показують попередження про небезпечне підключення через неможливість перевірити сертифікат. Необхідно відповісти браузеру про згоду перейти на сайт, незважаючи на це попередження. Це пов'язано з тим, що після встановлення використовується самопідписаний X.509 сертифікат для TLS-з'єднань, який згодом можна (у продуктивному використанні – потрібно) замінити на комерційний сертифікат або інший сертифікат, який визнають браузерами.

У формі для аутентифікації ввести ім'я користувача у форматі admin@<ваш поштовий домен, що обслуговується> і пароль адміністратора Zimbra, заданий при встановленні сервера Zimbra на кроці 4.3 в п.4.2.

У нашому прикладі це виглядає так:

Консоль адміністратора:

Веб-клієнт:

Примітка 1. Якщо не вказати поштовий домен під час входу в консоль адміністратора або веб-клієнт, користувачі будуть автентифікуватися в поштовому домені, створеному при інсталяції сервера Zimbra. Після інсталяції це єдиний існуючий на цьому сервері поштовий домен, але при експлуатації системи можуть бути додані додаткові поштові домени, і тоді явна вказівка ​​домену в імені користувача буде мати значення.

Примітка 2. При вході в веб-клієнт браузер може вимагати дозволу на відображення повідомлень із сайту. Необхідно дати згоду на отримання повідомлень із цього сайту.

Примітка 3. Після входу в консоль адміністратора може бути виведене повідомлення про наявність повідомлень адміністратору, які зазвичай є нагадуванням про необхідність налаштування Zextras Backup та/або про необхідність придбати ліцензію Zextras до закінчення терміну дії тріальної ліцензії, встановленої за умовчанням. Ці дії можна зробити пізніше, тому наявні на момент входу повідомлення можна ігнорувати і/або відзначити їх як прочитані в меню Zextras: Оповіщення Zextras.

Примітка 4. Особливо слід зазначити, що в моніторі стану сервера статус служби Docs відображається як «не доступна» навіть якщо Docs у веб-клієнті працює коректно:

Це особливість тріальної версії і може бути усунена лише після придбання ліцензії та звернення до служби підтримки.

7.2. Розгортання компонентів Zextras Suite

У меню Zextras: Core необхідно натиснути кнопку «Розгорнути» для всіх зимлетів, які передбачається використовувати.

При розгортанні зимлетів виводиться діалог з результатом операції наступного виду:

У нашому прикладі проводиться розгортання всіх зимлетів Zextras Suite, після чого форма Zextras: Core набуде наступного вигляду:

7.3. Зміна налаштувань доступу

7.3.1. Зміна глобальних налаштувань

У меню Налаштування: Глобальні налаштування, підменю проксі-сервер, змінити наступні параметри:

Режим веб-проксі: redirect
Включити проксі-сервер консолі адміністрування: встановити чекбокс.
Після цього у правій верхній частині форму натиснути на «Зберегти».

У нашому прикладі після внесених змін форма має такий вигляд:

7.3.2. Зміна налаштувань сервера основного Zimbra

У меню Налаштування: Сервери: <ім'я основного сервера Zimbra>, підменю Проксі-сервер, змінити наступні параметри:

Режим веб-проксі: натиснути кнопку «Скинути на значення за замовчуванням» (при цьому саме значення не зміниться, тому що вже було встановлено під час встановлення). Увімкнути проксі-сервер консолі адміністрування: перевірити, що чекбокс стоїть (мало застосувати значення за замовчуванням, якщо не застосовано – можна натиснути кнопку «Скинути на значення за замовчуванням» та/або поставити вручну). Після цього у правій верхній частині форми натиснути на «Зберегти».

У нашому прикладі після внесених змін форма має такий вигляд:

Примітка: (може знадобитися перезапуск, якщо не запрацює вхід до цього порту)

7.4. Новий вхід до консолі адміністратора

Увійти до консолі адміністратора у браузері за URL: https:// :9071
Надалі використовувати для входу цей URL

Примітка: для single-server інсталяції зазвичай достатньо зміни, зробленої на попередньому кроці, але в деяких випадках (якщо при вході по вказаному URL не відображається сторінка сервера) може знадобитися виконання дії, обов'язкової для мультисерверної установки – у нашому прикладі на основному сервері Zimbra потрібно виконання з-під користувача Zimbra команд /opt/zimbra/libexec/zmproxyconfgen и zmproxyctl restart.

7.5. Редагування COS за замовчуванням

У меню Налаштування: Клас обслуговування вибрати COS під назвою «default».

У підменю "Можливості" зняти чекбокс для функції "Портфель", після чого у правій верхній частині форми натиснути на "Зберегти".

У нашому прикладі після налаштування форма має такий вигляд:

Також рекомендується в підменю Drive поставити чекбокс для налаштування «Увімкнути спільний доступ до файлів та папок», після чого у правій верхній частині форми натиснути на «Зберегти».

У нашому прикладі після налаштування форма має такий вигляд:

У тестовому середовищі в цьому ж класі обслуговування можна включити функції Team Pro, для чого в підменю Team включити чекбокс з однойменною назвою, після чого форма налаштування набуде наступного вигляду:

У разі вимкнених функцій Team Pro користувачам будуть доступні лише функції Team Basic.
Звертаємо вашу увагу, що Zextras Team Pro ліцензується незалежно від Zextras Suite, що дозволяє придбати його на меншу кількість поштових скриньок, ніж власне Zextras Suite; Функції Team Basic включені до ліцензії Zextras Suite. Тому при використанні в продуктивному середовищі може знадобитися створення окремого класу обслуговування для користувачів Team Pro, в якому будуть включені відповідні функції.

7.6. Налаштування файрволу

Необхідно для основного сервера Zimbra:

а) Дозволити доступ з Інтернету до портів ssh, http/https, imap/imaps, pop3/pop3s, smtp (основний порт та додаткові порти для використання поштовими клієнтами) та порт консолі адміністрування.

б) Дозволити всі підключення з внутрішньої мережі (для якої на кроці 1.3 п.1 був включений NAT в Інтернет).

Для сервера Zextras Docs налаштовувати файл не потрібно, т.к. до нього немає доступу з Інтернету.

Для цього необхідно виконати таку послідовність дій:

1) Зайти до текстової консолі основного сервера Zimbra. При вході по SSH необхідно виконати команду “screen” щоб уникнути переривання виконання команд при тимчасової втрати зв'язку з сервером через зміну налаштувань файрвола.

2) Виконати команди

sudo ufw allow 22,25,80,110,143,443,465,587,993,995,9071/tcp
sudo ufw allow from <адрес_вашей_сети>/<длина CIDR маски>
sudo ufw enable

У нашому прикладі це виглядає так:

7.7. Перевірка доступу до веб-клієнта та консолі адміністратора

Для контролю працездатності файрвола можна зайти у браузері за наступними URL-адресами

Консоль адміністратора: https:// :9071
Веб-клієнт: http:// (відбудеться автоматичний редирект на https:// )
При цьому за альтернативним URL https:// :7071 консоль адміністратора не має відкриватися.

Веб-клієнт у нашому прикладі виглядає так:

Примітка. При вході в веб-клієнт браузер може вимагати дозволу на відображення повідомлень із сайту. Необхідно дати згоду на отримання повідомлень із цього сайту.

8. Забезпечення роботи аудіо- та відеоконференцій у Zextras Team

8.1. Загальні відомості

Виконання описаних далі дія не потрібна, якщо всі клієнти Zextras Team взаємодіють один з одним без використання NAT (при цьому взаємодія з самим сервером Zimbra може здійснюватися з використанням NAT, тобто важлива відсутність NAT саме між клієнтами), або якщо використовується тільки текстовий месенджер.

Для забезпечення взаємодії клієнтів у режимі аудіо- та відеоконференцзв'язку:

а) Необхідно встановити або використовувати сервер TURN.

б) Т.к. сервер TURN зазвичай має також і функціональність сервера STUN, рекомендується використовувати його і в цій якості теж (в якості альтернативи можна використовувати публічні сервери STUN, але лише функціональності STUN як правило недостатньо).

У продуктивному середовищі через потенційно високе навантаження рекомендується виносити сервер TURN на окрему віртуальну машину. Для тестування та/або невеликого навантаження сервер TURN може бути поєднаний із основним сервером Zimbra.

У прикладі розглядається установка сервера TURN на основний сервер Zimbra. Установка TURN на окремий сервер аналогічна з тією різницею, що кроки, які стосуються встановлення та конфігурування програмного забезпечення TURN виконуються на сервері TURN, а кроки з налаштування сервера Zimbra на використання цього сервера – виконуються на основному сервері Zimbra.

8.2. Встановлення TURN-сервера

Попередньо зайшовши SSH на основний сервер Zimbra виконати команду

sudo apt install resiprocate-turn-server

8.3. Налаштування сервера TURN

Примітка. Редактор для зміни всіх вказаних далі конфігураційних файлів треба запускати з правами користувача root, наприклад, “sudo vi /etc/reTurn/reTurnServer.config” або, якщо встановлений пакет mc, можна використовувати команду «sudo mcedit /etc/reTurn/reTurnServer.config»

Спрощене створення користувача

Для спрощення створення та налагодження тестового підключення до TURN-сервера ми відключимо використання хешованих паролів в базі користувачів TURN-сервера. У продуктивному середовищі рекомендується використовувати хешовані паролі; у цьому випадку генерацію хешів паролів для них необхідно виконувати відповідно до інструкцій, що містяться у файлах /etc/reTurn/reTurnServer.config та /etc/reTurn/users.txt.

Послідовність дій:

1) Відредагувати файл /etc/reTurn/reTurnServer.config

Змінити значення параметра "UserDatabaseHashedPasswords" з "true" на "false".

2) Відредагувати файл /etc/reTurn/users.txt

Задати в ньому ім'я користувача, пароль, realm (довільний, не використовується при налаштуванні підключення Zimbra) та встановити обліковий запис статус “AUTHORIZED”.

У нашому прикладі файл спочатку мав вигляд:

Після редагування набув вигляду:

3) Застосування конфігурації

Виконати команду

sudo systemctl restart resiprocate-turn-server

8.4. Налаштування файрволу для сервера TURN

На цьому етапі встановлюються додаткові правила файрвола, необхідні роботи сервера TURN. Необхідно дозволити доступ до основного порту, на якому сервер приймає запити, та до динамічного діапазону портів, які сервер використовує для організації медіапотоків.

Порти вказані у файлі /etc/reTurn/reTurnServer.config, у нашому випадку це:

и

Для встановлення правил файрволу необхідно виконати команди

sudo ufw allow 3478,49152:65535/udp
sudo ufw allow 3478,49152:65535/tcp

8.5. Налаштування використання сервера TURN у Zimbra

Для налаштування використовується FQDN сервера сервер TURN, створений на кроці 1.2 п.1, і який має DNS-серверами дозволятися однією і тією ж публічною IP-адресою як для запитів з Інтернету, так і для запитів з внутрішніх адрес.

Переглянути поточне налаштування підключення «zxsuite team iceServer get», яке виконується з-під користувача zimbra.

Докладніше про налаштування використання сервера TURN див. у розділі «Установка Zextras Team для використання TURN сервера» в документації.

Для налаштування необхідно виконати такі команди на сервері Zimbra:

sudo su - zimbra
zxsuite team iceServer add stun:<FQDN вашего сервера TURN>:3478?transport=udp
zxsuite team iceServer add turn:<FQDN вашего сервера TURN>:3478?transport=udp credential <пароль> username <имя пользователя>
zxsuite team iceServer add stun:<FQDN вашего сервера TURN>:3478?transport=tcp
zxsuite team iceServer add turn:<FQDN вашего сервера TURN>:3478?transport=tcp credential <пароль> username <имя пользователя>
zxsuite team iceServer add stun:<FQDN вашего сервера TURN>:3478
logout

Як <ім'я користувача> та <пароль> використовуються значення імені користувача та пароля відповідно, задані на кроці 2 у п.8.3.

У нашому прикладі це виглядає так:

9. Дозвіл проходження пошти за протоколом SMTP

У відповідності з документацією, в Яндекс.Хмарі завжди блокується вихідний трафік на TCP-порт 25 в Інтернет та на віртуальні машини Yandex Compute Cloud, при зверненні через публічну IP-адресу. Це не завадить перевірити прийом пошти на поштовий домен, що обслуговується, відправленої з іншого поштового сервера, але завадить відправити пошту за межі сервера Zimbra.

У документації зазначено, що Яндекс.Хмара може відкрити TCP-порт 25 за запитом на підтримку, якщо ви дотримуєтеся Правила допустимого використання, та залишає за собою право знову заблокувати порт у разі порушення правил. Для відкриття порту необхідно зв'язатися зі службою підтримки Яндекс.Хмари.

додаток

Створення ключів SSH у openssh та putty та конвертація ключів з формату putty у openssh

1. Створення ключових пар для SSH

У Windows за допомогою putty: запустити команду puttygen.exe і натиснути кнопку “Generate”

У Linux: виконати команду

ssh-keygen

2. Конвертація ключів з формату putty у openssh

У Windows:

Послідовність дій:

1. Запустити програму puttygen.exe.
2. Завантажити закритий ключ у форматі ppk, навіщо скористатися пунктом меню File → Load private key.
3. Введіть код (passphrase), якщо він потрібний для даного ключа.
4. Публічний ключ формату OpenSSH відображається в puttygen з написом "Public key for pasting into OpenSSH authorized_keys file field"
5. Для експорту закритого ключа у формат OpenSSH вибрати у головному меню Conversions → Export OpenSSH key
6. Зберегти закритий ключ у новий файл.

У Linux

1. Встановити пакет інструментів PuTTY:

в Ubuntu:

sudo apt-get install putty-tools

у Debian-подібних дистрибутивах:

apt-get install putty-tools

у RPM-based дистрибутивах на основі yum (CentOS та ін.):

yum install putty

2. Для конвертації закритого ключа виконати команду:

puttygen <key.ppk> -O private-openssh -o <key_openssh>

3. Для генерації відкритого ключа (якщо необхідно):

puttygen <key.ppk> -O public-openssh -o <key_openssh.pub>

Результат

Після встановлення відповідно до рекомендацій користувач отримує налаштований в інфраструктурі Яндекс.Хмара поштовий сервер Zimbra з розширенням Zextras для корпоративних комунікацій та спільної роботи з документами. Налаштування зроблені з певними обмеженнями для тестового середовища, але перевести інсталяцію в продуктивний режим та додати опції використання об'єктного сховища Яндекс.Хмара та інші не складно. З питаннями щодо розгортання та використання рішення звертайтесь до партнера Zextras — СВЗ або представникам Яндекс.Хмара.

З усіх питань, пов'язаних з Zextras Suite ви можете звернутися до Представника компанії «Zextras» Катерини Тріандафіліді електронною поштою [захищено електронною поштою]

Джерело: habr.com