Как установить «МойОфис Частное Облако 2» в связке с «МойОфис Почта 2»

50473ce06d5ad7ce64c85cf574d688f6.png

О чём и зачем эта статья

Продукты Microsoft Exchange Server и SharePoint Server широко используются во многих средних и крупных организациях в России. Замена этой связки часто требует от компаний складывания лицензионно-технологического «пазла» из нескольких решений от разных производителей. При этом уже достаточно давно на российском рынке есть совместимый «из коробки» сервис корпоративной почты и совместной работы с документами — «МойОфис Почта 2» и «Частное Облако 2». Статья адресована системным администраторам, которые собираются установить МойОфис в своей компании или просто хотят оценить возможности новых отечественных продуктов. Кстати, блог компании МойОфис можно полистать и здесь же на Хабре.

Рассмотрим установку и настройку связки «МойОфис Почта 2» и «Частное Облако 2», которая обеспечивает обмен почтой и совместную работу с документами. Я буду описывать версию 2.4, актуальную на момент написания статьи, установленную в закрытом контуре сети для тестирования и неопубликованную в интернет, но с доступом к нему. При установке есть некоторые нюансы, на которых можно споткнуться и затем долго искать причину сбоя установки. Я постараюсь убрать эти грабли с вашего пути.

Картинок не будет, да они в формате этой статьи и не нужны. Да пребудет с вами сила!

Подложка

Установить компоненты МойОфис можно на разные свежие операционные системы, но я пошёл по пути упрощения и унификации. Для всех компонентов системы в качестве операционной системы использована CentOS 7.9 — да, старенькая, но проверенная. К тому же по документации МойОфис она единственная, на которую можно установить и Частное Облако 2, и Почта 2 от МойОфис. ОС установлена в минимальной конфигурации.

Инфраструктура

Минимальный состав для установки компонентов включает четыре сервера: сервер установки, он же инфраструктурный; сервер почты — PSN; сервер совместной работы CO и сервер хранилища — PGS. МойОфис в боевой инфраструктуре предполагает разнесение компонентов ролей на разные физические или виртуальные серверы для повышения отказоустойчивости и производительности. У нас же все роли компонентов будут установлены на единственный для каждой роли сервер. На моём стенде серверы установлены со следующими параметрами:

IP

Name

Description

10.10.111.16

 infra01

 МойОфис 2.4 Сервер установки

10.10.111.17

 psn01

 МойОфис 2.4 Почта

10.10.111.18

 pgs01

 МойОфис 2.4 Хранилище

10.10.111.19

 co01

 МойОфис 2.4 Сервер совместной работы

10.10.111.10

dns

DNS сервер

 Для работы установщика и упрощения своей жизни нужно настроить подключение с сервера установки к серверам компонентов по SSH по ключам и без пароля.

Подготовка

Установим необходимое и опциональное ПО на сервер установки:

yum install -y epel-release

yum install -y mc tmux pwgen wget python3 python3-pip rsync yum-utils bind-utils nmap sshpass vim jq

yum update

python3 -m pip install --upgrade pip==20.3.4

python3 -m pip install jmespath netaddr jinja2 

Установка производится с помощью Ansible, а потому нам нужен и он. МойОфис чувствителен к версии Ansible, так что в соответствии с документацией по установке используем Ansible 2.11.6.

python3 -m pip install ansible-core==2.11.6

python3 -m pip install ansible==4.7.0  

Дистрибутивы

Установочные пакеты МойОфис версии 2.4 распространяются в двух форматах:

  • архив каталога установки для компонентов PSN и PGS;

  • в виде больших бинарных файлов, выполняющих  предварительную подготовку к установке и разворачивание каталога установки для CO.

Все три пакета нужно скачать на инфраструктурный сервер, дальнейшие действий выполняются именно на нём, если что-то потребуется сделать на других серверах, я отмечу это особо.

Архивы с файлами конфигурации и установки PSN и PGS достаточно разархивировать в папки inst_psn24 и inst_pgs24 соответственно, имена папок некритичны. CO нужно установить из бинарников, которые подготовят систему и распакуют каталог установщика. В составе предварительного установщика CO два основных файла: co_infra_2.4.run — скрипт установки хранилища образов Docker; и co_ansible_bin_2.4.run — скрипт установки подсистемы управления конфигурациями CO. Сначала нужно выполнить co_infra_2.4.run, затем co_ansible_bin_2.4.run. Скрипты создадут в домашнем каталоге папку install_co, в которой содержатся установочные и конфигурационные файлы CO. Дополнительно скрипт co_infra_2.4.run требуется скопировать на сервер co01 и выполнить там. На этом этап подготовки дистрибутивов завершён. 

Сертификаты

Важнейший момент — выпуск SSL сертификатов. Имя или имена, на которое выписан сертификат, определяют структуру именования компонентов МойОфис, либо наоборот — структура именования компонентов диктует имя SSL сертификата. Отталкиваться стоит от того, что у вас в приоритете. У меня не было ни инфраструктуры, ни сертификата, так что я выписал у LetsEncrypt wildcard-сертификат на все домены третьего уровня для своего домена *.mo2.fun и это определило структуру имён компонентов МойОфис. LetsEncrypt предоставил мне сам сертификат, закрытый ключ для него (так не стоит делать в боевой среде) и сертификаты корневого и выдающих центров сертификации. Изменять форматы файлов сертификатов не требуется. Переименуйте эти ключи и сертификаты и уберите их в надёжное место, когда они нам понадобятся, мы их достанем оттуда.

Соответствие имён сертификатов, полученных от LetsEncrypt и сертификатов МойОфис

LetsEncrypt

 МойОфис

chain.pem

 ca.pem

cert.pem

 server.crt

privkey.pem

 server.nopass.key

DNS

Второй важный момент подготовки — создание DNS записей для компонентов МойОфис. Поскольку работа извне с комплексом не предусматривалась, DNS записи были созданы на внутреннем DNS сервере, на который и смотрят все серверы МойОфис. Мой DNS на стенде на Windows, если у вас также — держите в помощь:

Add-DnsServerResourceRecord -A -Name "instsrv01" -IPv4Address "10.10.111.16" -ZoneName "mo2.fun"

Add-DnsServerResourceRecord -A -Name "co01" -IPv4Address "10.10.111.19" -ZoneName "mo2.fun"

Add-DnsServerResourceRecord -A -Name "pgs01" -IPv4Address "10.10.111.18" -ZoneName "mo2.fun"

Add-DnsServerResourceRecord -A -Name "psn01" -IPv4Address "10.10.111.17" -ZoneName "mo2.fun"

Add-DnsServerResourceRecord -CName -Name "admin" -HostNameAlias "pgs01.mo2.fun" -ZoneName "mo2.fun"

Add-DnsServerResourceRecord -CName -Name "pgs" -HostNameAlias "pgs01.mo2.fun" -ZoneName "mo2.fun"

Add-DnsServerResourceRecord -CName -Name "autoconfig" -HostNameAlias "psn01.mo2.fun" -ZoneName "mo2.fun"

Add-DnsServerResourceRecord -CName -Name "cab" -HostNameAlias "psn01.mo2.fun" -ZoneName "mo2.fun"

Add-DnsServerResourceRecord -CName -Name "imap" -HostNameAlias "psn01.mo2.fun" -ZoneName "mo2.fun"

Add-DnsServerResourceRecord -CName -Name "mail" -HostNameAlias "psn01.mo2.fun" -ZoneName "mo2.fun"

Add-DnsServerResourceRecord -CName -Name "psnapi" -HostNameAlias "psn01.mo2.fun" -ZoneName "mo2.fun"

Add-DnsServerResourceRecord -CName -Name "push" -HostNameAlias "psn01.mo2.fun" -ZoneName "mo2.fun"

Add-DnsServerResourceRecord -CName -Name "smtp" -HostNameAlias "psn01.mo2.fun" -ZoneName "mo2.fun"

Add-DnsServerResourceRecord -CName -Name "pbm" -HostNameAlias "psn01.mo2.fun" -ZoneName "mo2.fun"

Add-DnsServerResourceRecord -CName -Name "auth" -HostNameAlias "co01.mo2.fun" -ZoneName "mo2.fun"

Add-DnsServerResourceRecord -CName -Name "cdn" -HostNameAlias "co01.mo2.fun" -ZoneName "mo2.fun"

Add-DnsServerResourceRecord -CName -Name "coapi" -HostNameAlias "co01.mo2.fun" -ZoneName "mo2.fun"

Add-DnsServerResourceRecord -CName -Name "docs" -HostNameAlias "co01.mo2.fun" -ZoneName "mo2.fun"

Add-DnsServerResourceRecord -CName -Name "files" -HostNameAlias "co01.mo2.fun" -ZoneName "mo2.fun"

Add-DnsServerResourceRecord -CName -Name "links" -HostNameAlias "co01.mo2.fun" -ZoneName "mo2.fun"

Add-DnsServerResourceRecord -Srv -Name "_https._tcp" -DomainName "auth.mo2.fun" -ZoneName "mo2.fun" -Priority 0 -Weight 0 -Port 443

Add-DnsServerResourceRecord -CName -Name "fsapi" -HostNameAlias "pgs01.mo2.fun" -ZoneName "mo2.fun"

Add-DnsServerResourceRecord -CName -Name "appapi" -HostNameAlias "pgs01.mo2.fun" -ZoneName "mo2.fun"

Add-DnsServerResourceRecord -CName -Name "cardapi" -HostNameAlias "pgs01.mo2.fun" -ZoneName "mo2.fun" 

Необязательный пункт

Запуск установщика рекомендую выполнять из-под запущенного мультиплексора, например tmux. Это позволит отслеживать процесс установки и даже в случае потери связи с сервером установки можно будет восстановить соединение и снова подключиться в сессию мультиплексора, из которой выполняется установка. 

Конфигурирование

Настройка того, что и где будет установлено, выполняется правкой конфигурационных файлов компонентов. Это, вероятно, самый длительный и скрупулёзный этап в установке, а потому после того, как все настройки будут выполнены и МойОфис успешно установлен, я рекомендую сохранить конфигурационные файлы в надёжное место. Очень досадно в случае потери конфигов заново их переписывать с нуля.

Обратите внимание на формирование FQDN компонентов. В файлах конфигурации компонентов есть переменные, отвечающие за имя домена: domain_name в конфиге CO, external_domain в конфиге PSN и DEFAULT_DOMAIN в конфиге PGS. Эти переменные и будут определять имя домена, для совместной установки компонентов имеет смысл назначить им одинаковые значения. Остальные имена компонентов МойОфис по умолчанию формируются как домены третьего уровня от основного имени домена, что и видно выше в примере создания DNS записей.

domain_name: "mo2.fun"

 Длина ключей и паролей описана в конфигах, можно генерировать их прямо теми командами, что указаны в качестве примеров, следите только за совпадением значений в конфигах разных компонентов.

Большая часть настройки выполняется по инструкции по установке. На что обратить внимание:  

Настройка установки CO

Считаем, что файлы установки в каталоге install_co

Заполнить файл конфигурации group_vars/co_setup/main.yml

Значение FS_APP_LOGIN должно совпадать с APP_ADMIN_LOGIN на стороне PGS.

Значение FS_APP_PASSWORD должно совпадать с APP_ADMIN_PASSWORD на стороне PGS.

Ключи, соли, расширения соли и IV должны совпадать с конфигом на стороне PGS.

Значение fs_token_salt_ext должно совпадать с FS_TOKEN_SALT_EXT на стороне PGS.

В файле group_vars/co_setup/extra_vars.yml указать внешний DNS с настроенными записями. Внутренний unbound в устанавливаемой версии 2.4 не резолвил имена компонентов МойОфис из внешнего DNS.

# List of DNS servers that the queries will be forwarded to unbound_forward_addresses:

  - "10.10.111.10" 

Сертификаты разместить в каталоге install_co/certificates с именами

  • ca.pem — сертификаты выдающих ЦС

  • server.crt — сертификат сервера

  • server.nopass.key — закрытый ключ сертификата 

Настройка установки PSN

Считаем, что файлы установки в каталоге inst_psn24

Заполнить файл конфигурации hosts.yml в каталоге inventory

Сертификаты разместить в каталоге inst_psn24/certificates/mo2.fun с именами

  • ca.pem — сертификаты выдающих ЦС

  • server.crt — сертификат сервера

  • server.nopass.key — закрытый ключ сертификата

  • dkim.key — ключ DKIM

Сгенерировать DKIM сертификат можно, например на https://tools.socketlabs.com/dkim/generator 

Настройка установки PGS

Считаем, что файлы установки в каталоге inst_pgs24

Заполнить файл конфигурации hosts.yml

На что обратить внимание:

Параметр APP_ADMIN_LOGIN по умолчанию отсутствует, а он нужен. Добавить:

APP_ADMIN_LOGIN: «app-co»

APP_ADMIN_LOGIN должен совпадать с FS_APP_LOGIN в конфигурации на стороне CO

APP_ADMIN_PASSWORD должен совпадать с FS_APP_PASSWORD в конфигурации на стороне CO

Ключи, соли, расширения соли и IV должны совпадать с конфигами CO и PGS.

Сертификаты разместить в каталоге inst_pgs24/certificates/mo2.fun с именами

  • ca.pem — сертификаты выдающих ЦС

  • server.crt — сертификат сервера

  • server.nopass.key — закрытый ключ сертификата

 На этом конфигурация компонентов закончена и можно приступать к установке. 

Установка

Порядок установки: CO, затем PSN и, в последнюю очередь, PGS. 

Установка CO

Из каталога install_co запустить команду ansible-playbook playbooks/main.yml --diff 

Установка PSN

Из каталога inst_psn24 запустить команду ./deploy_psn.sh hosts.yml 

Установка PGS

Из каталога inst_pgs24 запустить команду ./deploy.sh hosts.yml 

Проверка работоспособности установленного комплекса

Для входа на страничку лендинга необходимо браузером зайти по адресу auth.mo2.fun, указать имя пользователя в формате user@mo2.fun  и пароль, принять лицензионное соглашение и вуаля, можно пользоваться почтой, хранилищем и редактором документов МойОфис.

Для администрирования системы необходимо браузером зайти по адресу admin.mo2.fun, указать имя пользователя admin@mo2.fun  и пароль и вы — главный перец.

Пароль администратора

Его вы указали в конфигурации PGS

default_tenant:

      # required parameters

      ADMIN_PASSWORD: «Passw0rd»

Особенность релиза 2.4

В текущей версии 2.4 для всех пользователей, у которых есть доступ к административной панели, например, администратор по умолчанию admin@domain.com, необходимо выполнить сначала стандартную авторизацию и принять соглашение EULA и только потом заходить в админ панель. Иначе не получится принять лицензионное соглашение.

CMD

Для администрирования можно воспользоваться и командной строкой.

Запросить и разобрать токен аутентификации:

RESPOND=$(curl -X POST "https://admin.mo2.fun/adminapi/auth" -d "username=admin@mo2.fun" -d "password=Passw0rd")

TENANT=$(echo $RESPOND | jq -r '.tenant')

TOKEN=$(echo $RESPOND | jq -r '.token')

ID=$(echo $RESPOND | jq -r '.id')

echo $TOKEN; echo $TENANT; echo $ID

где TOKEN - токен доступа

TENANT - имя тенанта

ID - ID тенанта 

Вывести список общих папок тенанта:

curl --header "Authorization: $TOKEN" -X GET "https://admin.mo2.fun/adminapi/tenants/$TENANT/corporate" | jq 

Но это уже совсем другая история…

Итоги

Мы рассмотрели базовые основы установки комплекса «МойОфис Почта 2» и «Частное Облако 2», которые позволяют сотрудникам обмениваться почтой друг с другом и с внешним миром, а также совместно работать с документами. Надеюсь, эта статья поможет вам освоить новые отечественные продукты, и ваша инфраструктура будет готова к любым вызовам и свершениям. А если вы хотите протестировать решения от МойОфис или узнать больше про опыт установки и применения на индивидуальной консультации, просто оставьте заявку.

© Habrahabr.ru