Перейти к содержанию

Кластерная установка Почты 1.21.1

Описание документа

В документе содержится информация о процедуре кластерной установки Почты. Минимальной отказоустойчивой конфигурацией для установки почтовой системы считается кластер на 8 машин.

Схема тестового кластера

Вне зависимости от размера кластера нужно соблюдать следующее соотношение виртуальных машин:

cluster-architecture

Минимальная отказоустойчивая конфигурация на 8 машин, которая будет описана в документе, выглядит таким образом:

  • 1 ВМ отводится под мониторинг;
  • 2 ВМ — под фронты;
  • 2 ВМ — под базы данных;
  • 3 ВМ — под хранилища.

Дистрибутив Почты и файл onpremise-deployer_linux должны находиться на гипервизоре, отведенном под мониторинг.

Технические требования

Рекомендованные операционные системы для установки Почты:

  • Astra Linux SE Орел — версии 1.7.3 и выше;
  • РЕД ОС — версии от 7.3 и выше.

Версия ядра — от 5.15 и выше; архитектура системы — x86_64.

Примечание

Список поддерживаемых ОС может быть уточнен в рамках работ по индивидуальному проекту.

Минимальные технические параметры для 8 машин:

  • Установщик + мониторинг: 8 vCPU, 16 GB RAM, 200 GB SSD;
  • Фронт №1: 16 vCPU, 32 GB RAM, 150 GB SSD;
  • Фронт № 2: 16 vCPU, 32 GB RAM, 150 GB SSD;
  • База данных №1: 8 vCPU, 12 GB RAM, 150 GB SSD;
  • База данных №2: 8 vCPU, 12 GB RAM, 150 GB SSD;
  • Хранилище №1: 8 vCPU, 8 GB RAM, 250 GB SSD;
  • Хранилище №2: 8 vCPU, 8 GB RAM, 250 GB SSD;
  • Хранилище №3: 8 vCPU, 8 GB RAM, 250 GB SSD.

Важно

По вопросам создания сайзинг-модели специально для вашей компании обратитесь к представителям VK.

Таблица совместимости

Технология Версия
VK Teams не старше двух последних версий
MS Server 2013/2016
Keycloak/OAuth не старше версии 2.х
Kerberos 5
MySQL 8.0.22
Р7-Офис ee-2024.1.1.375.rev1

Предварительные условия

Представители VK предоставили вам следующие данные:

  • ссылку на скачивание дистрибутива Почты 1.21.1;
  • пароль от архива с дистрибутивом;
  • лицензионный ключ;
  • комплект документации.

Также вам потребуется:

  • набор DNS-записей: A, CNAME, MX, SPF, TXT, NS;
  • поддержка процессорами набора инструкций sse2 и avx для каждого гипервизора;
  • DKIM-подпись с селекторами для каждого домена (или несколько DKIM c разными селекторами для одного домена);
  • доступ к серверам по SSH с правами администратора (вход по ключу или по паролю);
  • локальная сеть 1 GbE или 10 GbE;
  • отключить swap;
  • сертификаты SSL для каждого CNAME или Wildcard-сертификат для домена;
  • доступ к портам: 25, 80, 143, 443, 465, 993, 1025;
  • tar;
  • утилита для распаковки zip-архивов, например 7zip или unzip;
  • Active Directory или другая служба каталогов, работающая по протоколу LDAP.

Используемые протоколы почты:

  • CalDav для синхронизации календаря;
  • Kerberos или NTLM — протокол взаимодействия с Active Directory клиента;
  • HTTPS для доступа к веб-интерфейсу почты с использованием TLS;
  • SMTP — протокол отправки почтовых сообщений (порт 25/465);
  • IMAP — протокол получения почтовых сообщений (порт 143/993);
  • IP in IP — протокол туннелирования IP.

Обязательные предварительные действия

Создание DNS-записей

Для работы почты необходима MX-запись (рекомендуемый приоритет — 10), которая обязательно ведет на mxs.<домен для почты>.

Помимо этого вам нужно создать два основных домена: для почты и для хранилищ, а также набор A- или CNAME-записей.

Для примера в документе будут использоваться следующие DNS-записи:

  • Домен для сервисов почтыvbastra0mail.onprem.ru. При создании почтового домена рекомендуется соблюдение структуры: ***mail.***.*** или ***mail.***.
  • Домен для облачных хранилищvbastra0st.onprem.ru. Пример структуры: ***st.***.*** или ***cloud.***.

Домен для облачных хранилищ должен быть того же уровня, что и домен для сервисов почты, и иметь свое уникальное имя.

Важно

Изменять структуру основных доменов запрещено!
Несоблюдение структуры и уровня доменов может привести к утечке данных через проброс cookies. Также вы столкнетесь с ошибками на этапе настройки доменных имен.

Далее в таблице представлен список A- или CNAME-записей, которые нужно создать перед установкой сервиса Почта. Домены из таблицы должны являться поддоменами для двух основных.

Назначение домена Имя домена Основной домен
Веб-интерфейс авторизации account Для почты
Скачивание вложений Почты af Для почты
Скачивание исполняемых вложений Почты af Для хранилищ
Проксирование активного контента вложений Почты ampproxy Для хранилищ
Просмотр вложений Почты apf Для почты
Просмотр исполняемых вложений Почты apf Для хранилищ
Доменная авторизация (внутренних запросов браузера) auth Для почты
Домен для панели расширенного просмотра действий пользователей becca Для почты
Интерфейс администрирования biz Для почты
Blobcloud-аттачи blobcloud.e Для почты
Домен для BMW gRPC запросов bmw Для почты
Капча c Для почты
Календарь calendar Для почты
Домен интерфейса календаря для VK Teams calendarmsg Для почты
Мобильный календарь calendartouch Для почты
Статические данные календаря calendarx Для почты
VK WorkDisk cloud Для почты
Загрузка файлов в VK WorkDisk cld-uploader.cloud Для почты
Скачивание файлов в веб-интерфейсе VK WorkDisk cloclo.cloud Для почты
Защита от XSS-атак при скачивании файлов из VK WorkDisk cloclo Для хранилищ
Загрузка файлов в VK WorkDisk cloclo-upload.cloud Для почты
Интеграция с API VK WorkDisk openapi.cloud Для почты
Загрузка файлов в публичные папки в VK WorkDisk pu.cloud Для почты
Портальная авторизация VK WorkDisk sdc.cloud Для почты
Скачивание больших почтовых вложений из VK WorkDisk cloclo-stock Для хранилищ
Загрузка больших почтовых вложений в VK WorkDisk uploader.e Для почты
Превью файлов в VK WorkDisk thumb.cloud Для почты
Распаковка архивов в интерфейсе VK WorkDisk cld-unzipper Для хранилищ
Интеграция с API Почты corsapi Для хранилищ
Веб-интерфейс Почты e Для почты
Сервис аватарок filin Для почты
IMAP Почты imap Для почты
Неисполняемые статические данные img Для почты
Исполняемые статические данные imgs Для почты
MX Почты mxs Для почты
OAUTH2-авторизация o2 Для почты
Общепортальные сервисы авторизации portal Для почты
Проксирование внешних вложений Почты proxy Для хранилищ
Домен для текстового редактора R7-office docs Для хранилищ
Облако, реализующее S3 API hb Для хранилищ
SMTP Почты smtp Для почты
Сервер авторизации (межсерверные запросы) swa Для почты
Облако временных вложений Почты tmpatt Для хранилищ
Webdav webdav.cloud Для почты

Итоговый пример домена: af (субдомен из таблицы) + vbastra0mail.onprem.ru (основной домен из примера, который вы замените своим) = af.vbastra0mail.onprem.ru.

Важно

Изменять доменные имена из таблицы запрещено!
Установщик сервиса Почта использует их при развертывании системы. Если при установке не будет найден соответствующий домен, может произойти сбой.

Подключение дисков

К машинам, отведенным под хранилища, рекомендуется заранее подключить диски. Подключенные диски необходимо разбить на разделы, для этого можно использовать любые привычные утилиты, например fdisk.

На разделах дисков необходимо создать файловую систему. Мы рекомендуем ext4, также поддерживается xfs.

Пример команды для создания файловой системы ext4:

    mkfs.ext4 <путь к устройству>

Важно

Минимальный размер раздела диска, используемого под хранилище, составляет 25 GB.

Список портов для установки

Протокол Порт Служба/Контейнер Описание службы/контейнера Назначение порта Кто обращается
TCP 9091 calico-node Демон динамической маршрутизации Сбор метрик prometheus victoria-metrics
TCP 5000 registry Хранилище docker-образов Подключение к сервису Все машины инсталляции
TCP 2379 infraetcd etcd, которое хранит инфраструктурные данные, например настройки сети Подключение клиентов (потребителей) Все машины и контейнеры инсталляции
TCP 2380 infraetcd etcd, которое хранит инфраструктурные данные, например настройки сети Общение между инстансами etcd Другие infraetcd
TCP 4001 infraetcd etcd, которое хранит инфраструктурные данные, например настройки сети Подключение клиентов (потребителей) Все машины и контейнеры инсталляции
TCP 8080 cadvisor Инструмент снятия телеметрии с контейнеров Сбор метрик prometheus victoria-metrics
TCP 2003 carbclick Сервис, который принимает метрики и передает их в clickhouse Прием метрик Любые контейнеры
TCP 2004 carbclick Сервис, который принимает метрики и передает их в clickhouse Прием метрик Любые контейнеры
TCP 22 sshd Демон операционной системы, предоставляющий консоль пользователю ssh подключения Onpremise-deployer
TCP 179 Bird Calico. Работа BGP сессиий _ Между всеми серверами системы
TCP 8888 onpremise-deployer Приложения для установки и начальной настройки VK WorkSpace Подключение администраторов Администраторы
UDP 2003 carbclick Сервис, который принимает метрики и передает их в clickhouse Прием метрик Любые контейнеры

Этапы установки

Весь процесс установки можно разделить на два этапа:

  1. В командной строке на сервере выполняются действия для запуска установщика.
  2. Последующая установка производится в специальном веб-интерфейсе.

Действия в командной строке на сервере

1. Создание пользователя deployer

В командной строке выполните последовательность команд:

sudo -i

# Задаем пароль и создаем пользователя deployer
DEPLOYER_PASSWORD=mURvnxJ9Jr
useradd -G astra-admin -U -m -s /bin/bash deployer
echo deployer:"$DEPLOYER_PASSWORD" | chpasswd

# Игнорируем ошибку "НЕУДАЧНЫЙ ПАРОЛЬ: error loading dictionary"
# в случае, если она появилась

# Перелогиниваемся под пользователя deployer
sudo -i -u deployer 

ssh-keygen -t rsa -N "" 
# Нажимаем Enter (согласиться с вариантом по умолчанию)

# Копируем ssh-ключ
cat /home/deployer/.ssh/id_rsa.pub >> /home/deployer/.ssh/authorized_keys
chmod 600 /home/deployer/.ssh/authorized_keys

# Опционально: проверяем, что сами к себе можем зайти без пароля
ssh deployer@localhost
exit
sudo -i

# Задаем пароль и создаем пользователя deployer
DEPLOYER_PASSWORD=mURvnxJ9Jr
useradd -G wheel -U -m -s /bin/bash deployer
echo deployer:"$DEPLOYER_PASSWORD" | chpasswd

# Перелогиниваемся под пользователя deployer
sudo -i -u deployer 

ssh-keygen -t rsa -N "" 
# Нажимаем Enter (согласиться с вариантом по умолчанию)

# Копируем ssh-ключ в нужную директорию
cat /home/deployer/.ssh/id_rsa.pub >> /home/deployer/.ssh/authorized_keys
chmod 600 /home/deployer/.ssh/authorized_keys

# Опционально: проверяем, что сами к себе можем зайти без пароля
ssh deployer@localhost
exit

Важно

Вся дальнейшая установка будет производиться под созданным пользователем deployer. Если вы планируете устанавливать под другим пользователем, это необходимо учитывать при дальнейшей установке. Также пользователь должен иметь права администратора.

Затем в файле /etc/sudoers раскомментируйте строку, следующую после
## Same thing without a password:

# %astra-admin       ALL=(ALL)       NOPASSWD: ALL
# %wheel        ALL=(ALL)       NOPASSWD: ALL

Для этого нужно выполнить команду sudo visudo и убрать # в начале приведенной выше строки, после чего выйти из Vim c сохранением файла.

То же самое можно сделать с помощью редактора nano:

sudo EDITOR=nano visudo
# Находим нужную строку, удаляем # в ее начале
# Выходим из nano c сохранением изменений

2. Распаковка дистрибутива

Распакуйте дистрибутив под пользователя deployer (в директорию /home/deployer).

Информация

Помимо этого, вы можете распаковать архив с дистрибутивом и в другую папку или создать подпапку.

Нет принципиальной разницы, каким архиватором пользоваться. Ниже приведен пример для unzip:

# В случае если на машину не установлен unzip, скачиваем его:
sudo apt-get install unzip
export UNZIP_DISABLE_ZIPBOMB_DETECTION=true
unzip -o -P пароль имя_архива
# В случае если на машину не установлен unzip, скачиваем его:
sudo yum install unzip
export UNZIP_DISABLE_ZIPBOMB_DETECTION=true
unzip -o -P пароль имя_архива

Важно

После распаковки не удаляйте никакие файлы. По завершении установки допускается только удаление архива, из которого был распакован дистрибутив.

3. Запуск установщика как сервиса

Установщик onpremise-deployer_linux рекомендуется запускать как сервис. При таком запуске не придется прибегать к дополнительным мерам (screen, tmux, nohup и т.п.), позволяющим установщику продолжить работу в случае потери соединения по SSH.

Чтобы запустить установщик как сервис, выполните команду (подходит для Astra Linux, РЕД ОС):

sudo ./onpremise-deployer_linux -concurInstallLimit 5  \
  -serviceEnable -serviceMake -serviceUser deployer

По умолчанию выставлен лимит в 5 потоков, при необходимости вы можете увеличить количество потоков до 10, однако это увеличит и нагрузку на систему. Использование более чем 10 потоков не рекомендуется.

Ответ в случае успешного запуска установщика выглядит следующим образом:

deployer.service was added/updates
see status: <systemctl status deployer.service>
can`t restart rsyslog services: [exit status 5]
OUT: Failed to restart rsyslog.service: Unit rsyslog.service not found.
deployer.service was enable and started
see status: <systemctl status deployer.service>
The authenticity of host 'localhost (::1)' can't be established.
ED25519 key fingerprint is SHA256:g8siO32KUsRU9oC/MHro9WaTNKj4R+DkmVnVa7QsYCo.
This key is not known by any other names
# Введите "yes" и нажмите Enter, чтобы подтвердить подключение
Are you sure you want to continue connecting (yes/no/[fingerprint])?

Примечание

Невозможность включения службы rsyslog не повлияет на корректность работы сервиса.

Действия в веб-интерфейсе установщика

Для перехода в веб-интерфейс в адресной строке браузера укажите адрес: http://server-ip-address:8888. Если перейти по этому адресу не удается, убедитесь, что firewall был отключен.

1. Выбор варианта установки

На стартовой странице нажмите на кнопку Установка.

выбор версии

2. Выбор продуктов и опций

Включите флаг VK WorkMail.

В открывшемся списке отметьте VK WorkDisk и нужные вам компоненты. В случае если планируется настройка интеграций, также выберите их в списке продуктов.

выбор версии выбор версии выбор версии

Примечание

Есть компоненты, настройка которых производится в административной панели (biz.<почтовый домен>), но включить их нужно при установке. Например, Система расширенных транспортных правил и Система миграции WorkDisk из внешних сервисов.

Нажмите кнопку Далее для перехода к следующему шагу.

3. Добавление лицензионного ключа

Введите лицензионный ключ или укажите путь к файлу лицензии .lic, затем нажмите на кнопку Далее.

лицензия

Примечание

Информацию о том, как обновить лицензионный ключ или проверить сроки действия лицензий по продуктам VK WorkSpace, вы сможете найти в приложении.

4. Добавление гипервизора

Нажмите на кнопку Добавить, в выпадающем меню выберите Сервер.

добавление сервера

Откроется окно добавления гипервизора:

окно добавления гипервизора

Заполните поля:

Роль — hypervisor.

IP — адрес машины, на которую производится установка.

SSH-порт — стандартный для SSH, выбран по умолчанию, менять его не нужно.

Имя гипервизора — укажите имя гипервизора или оставьте поле пустым. В случае если вы оставите поле незаполненным, имя гипервизора будет взято из hostname -s и добавится автоматически. Рекомендуется давать названия гипервизорам в соответствии с их назначением, например: hypervisor-mon или storage1, db1 и т.п.

Имя пользователя — укажите имя того пользователя, под которым запущен установщик. В рассматриваемом примере это пользователь deployer.

Пароль — необходимо ввести пароль пользователя, под которым запущен установщик, если он был задан при создании.

Добавьте SSH-ключ (также можно оставить авторизацию по паролю):

  • В поле Приватный ключ выберите Добавить новый ключ. добавить новый ключ
  • Откроется окно добавления ключа. В поле Имя ключа укажите любое удобное имя в соответствии с их назначением deployerRSA.
  • Перейдите в консоль, выполните в ней команду cat ~/.ssh/id_rsa и скопируйте ключ.
  • Затем вставьте его в поле Приватный ключ. Его нужно указать полностью, включая
    -----BEGIN RSA PRIVATE KEY----- и -----END RSA PRIVATE KEY-----
  • Поле Пароль ключа оставьте пустым.
  • Установите чекбокс Использовать по умолчанию, если один ключ используется на всех гипервизорах.
  • Кликните по кнопке Сохранить.

После добавления приватного ключа вы вернетесь к исходному окну добавления гипервизора.

При необходимости настройте дополнительные поля:

  • Data Center — в поле нужно указать дата-центр, на котором размещен гипервизор. Поле актуально и для инсталляций, размещенных в одном дата-центре. Все гипервизоры необходимо распределить по трем фактическим/условным дата-центрам.

  • Теги — для большей наглядности и простоты поиска вы можете присвоить гипервизорам теги в зависимости от их роли. Например: st1, st2, st3.

  • Пропустить проверку некритичных требований — если отметить чекбокс, будет пропущена проверка версии ядра и флагов процессора (sse2, avx). В большинстве случаев выбор чекбокса не требуется.

После заполнения полей нажмите на кнопку Добавить — гипервизор отобразится в веб-интерфейсе установщика.

Примечание

При добавлении сервера реализована проверка на наличие команд tar, scp и необходимых инструкций виртуализации на процессорах. Если при проверке они не будут найдены, то сервер не будет добавлен, а администратор получит сообщение об ошибке.

Аналогичным образом добавьте еще 7 гипервизоров:

  • 2 — под фронты,
  • 2 — под базы данных,
  • 3 — под хранилища.

Для перехода к следующему шагу нажмите на зеленую кнопку Далее в правом верхнем углу.

5. Сетевые настройки

Установщик автоматически вычисляет некоторые сетевые параметры. Эти параметры необходимо проверить и дополнить, если не все из них были определены.

настройки сети

Укажите DNS-сервер.

Важно

Обязательно настройте NTP на ВМ кластера в соответствии с рекомендациями: для RedOS, для Astra Linux.

Убедитесь, что:

  • Подсеть, используемая почтой на серверах, имеет доступ на 80-й или 443-й порт.
  • Подсеть, используемая внутри контейнеров, полностью свободна, уникальна и принадлежит только Почте.

Примечание

Эта подсеть используется только для трафика между контейнерами внутри системы. Если автоматически вычисленная подсеть уникальна и не пересекается с другими подсетями заказчика, значения менять не нужно. По умолчанию используется 20-я подсеть.

Поле MTU сети контейнеров заполняется автоматически. Если вы хотите изменить размер MTU, обратитесь к представителю VK.

Флаг НЕ использовать IP-in-IP и BIRD в большинстве случаев должен оставаться неактивным. Если на машине используется динамическая маршрутизация и необходимо включение опции, обратитесь к представителю VK.

После проверки всех настроек нажмите на кнопку Сохранить и перейдите к следующему шагу.

6. Доменные имена

Информация

Подробную информацию о создании доменных имен вы найдете в разделе Создание DNS-записей.

На вкладке Доменные имена необходимо заполнить все поля:

  • Название вашей компании — введите название компании, которое будет отображаться в интерфейсе почты.
  • Сайт вашей компании — укажите сайт вашей компании.
  • Основной домен для сервисов — в поле необходимо указать ранее созданный Основной домен для почты.
  • Домен для облачных хранилищ — в поле введите ранее созданный Домен для облачных хранилищ.

Важно

Для доменных имен нельзя использовать etc/hosts.

Когда все поля будут заполнены, нажмите на кнопку Сохранить для перехода к следующему шагу.

доменные имена

Примечание

После сохранения доменных имен появятся ошибки. Они пропадут после добавления SSL-сертификатов на следующем шаге, но SMTP, MX и IMAP могут остаться красными — это нормально.

6.1 Добавление SSL-сертификатов

Нажмите на кнопку Добавить сертификат под заголовком SSL-сертификаты.

В открывшейся форме введите сертификат и ключ. Их необходимо указать полностью, включая:
-----BEGIN CERTIFICATE----- и -----END CERTIFICATE-----
и
-----BEGIN PRIVATE KEY----- и -----END PRIVATE KEY-----.

Или нажмите на кнопку Выбрать файл и укажите путь к файлу с сертификатом .crt, а затем к файлу с ключом .key.

Примечание

Приватный ключ должен быть добавлен в открытом виде, без секретной фразы. Закодированный ключ отличается от открытого наличием слова ENCRYPTED: BEGIN ENCRYPTED PRIVATE KEY.

Кликните по кнопке Сохранить.

сохранение сертификата

Если всё верно, в интерфейсе не будет отображаться ошибок и красной подсветки (у SMTP, MX и IMAP красная подсветка может остаться). Нажмите на зеленую кнопку Далее.

сертификат результат

7. Установка гипервизоров

Для начала установки необходимо перейти к списку гипервизоров — для этого нажмите на логотип AdminPanel.

Порядок установки принципиален, так как из них формируется кластер etcd. Для кворума кластеру необходимо N/2+1 экземпляров etcd. В минимальной конфигурации узлы ectd должны быть установлены на три машины, две из которых должны быть постоянно доступны. В документе будет описан вариант установки etcd в минимальной конфигурации.

Существует два варианта формирования кластера: на три гипервизора, отведенных под хранилища, или на машину мониторинга и два гипервизора под базы данных.

Информация

Если вы выберете первый вариант установки etcd, вам потребуется переход в настройки гипервизоров с помощью кнопки значок настроек, ручной запуск отдельных шагов и приостановка установки. Чтобы приостановить установку, нужно нажать на кнопку Stop в общей строке состояния.

Первый вариант выглядит так:

  1. Запустите установку первого гипервизора (мониторинг). На этот гипервизор будет автоматически добавлен первый узел etcd.
  2. Когда установка первого гипервизора завершится, запустите установку второго гипервизора (БД).
  3. Когда установка второго гипервизора завершится, запустить установку третьего (БД).
  4. По такому же принципу последовательно установите все оставшиеся гипервизоры.
  5. На двух гипервизорах, отведенных под базы данных, вручную в настройках выполните опциональный шаг install_etcd.

Второй вариант:

  1. Перейдите в настройки гипервизора, отведенного под мониторинг. Вручную запустите шаги до upload_docker_repo включительно. docker registry
  2. Вернитесь обратно к списку машин и перейдите в настройки первого гипервизора-стораджа.
  3. Вручную запустите шаги до install_etcd включительно. По завершении шага первый узел etcd будет установлен. install etcd
  4. Таким же способом установите etcd на остальные два гипервизора-стораджа.
  5. После того, как кластер etcd собран, запустите установку всех гипервизоров по порядку или общую автоматическую установку.

Важно

Не рекомендуется запускать установку нескольких гипервизоров одновременно — это может привести к ошибкам.

На изображении ниже приведен пример того, как выглядит веб-интерфейс установщика после завершения установки всех гипервизоров.

BeforeAddingContainers

Информация

Развернутую информацию о назначении ролей, их дублируемости, зависимостях и т.п. вы можете найти, кликнув по значку иконка и перейдя в раздел Описание сервисов. В этом же выпадающем меню вы найдете дополнительную документацию, сможете включить или выключить продукты (внутри раздела Продукты) и обновить лицензионный ключ.

8. Распределение контейнеров по гипервизорам

По завершении установки всех гипервизоров можно приступать к распределению и генерации контейнеров.

В нижней части экрана выберите Добавить -> Несколько контейнеров.

AddSeveralContainers

Откроется окно выбора ролей.

select_roles

При распределении ролей нужно соблюдать такой порядок:

  1. Хранилища + raft
  2. xtaz
  3. Базы данных
  4. Мониторинг
  5. Почтовый транспорт
  6. API
  7. Все, что осталось (опционально)

Важно

Порядок распределения ролей принципиально важен, при его нарушении вы столкнетесь с ошибками.

Для выбора ролей используйте поле Теги в качестве фильтра.

Порядок действий при распределении контейнеров

Первыми должны быть выбраны роли для хранилищ:

  1. В выпадающем меню выберите тег Хранилище.
  2. Для фильтра Установлено не более: установите значение 0.
  3. Отметьте Все доступные для установки роли с помощью чекбокса в таблице. выбор тега и ролей
  4. Ниже в списке гипервизоров отметьте те, которые были отведены под стораджи.
  5. Режим генерации — На каждом гипервизоре. выбор гипервизоров-хранилищ
  6. Выберите тег raft.
  7. Отметьте Все доступные для установки роли.
  8. Выберите гипервизоры, отведенные под хранилища.
  9. Режим генерации — На каждом гипервизоре.
  10. Нажмите на кнопку Добавить. Всплывающее окно, в котором выполнялись предыдущие действия, закроется.

На каждом из гипервизоров-хранилищ нужно дополнительно сгенерировать еще по одному контейнеру xtaz и metad_xtaz:

  1. В поиске введите xtaz.
  2. Выберите контейнеры xtaz и metad_xtaz с помощью чекбоксов.
  3. В списке гипервизоров отметьте те, которые были отведены под стораджи.
  4. Режим генерации — На каждом гипервизоре.
  5. Нажмите на кнопку Добавить. Всплывающее окно, в котором выполнялись предыдущие действия, закроется.

Следующий шаг — распределение ролей для баз данных.

  1. Выберите тег База данных.
  2. Для фильтра Установлено не более: установите значение 0.
  3. Отметьте Все доступные для установки роли.
  4. Ниже выберите гипервизоры, отведенные под базы данных.
  5. Режим генерации — На каждом гипервизоре.
  6. Нажмите на кнопку Добавить.

Чтобы добавить роли для мониторинга, повторно откройте окно выбора ролей.

  1. Выберите тег Мониторинг.
  2. Для фильтра Установлено не более: установите значение 0.
  3. Отметьте Все доступные для установки роли.
  4. Выберите гипервизор-мониторинг.
  5. Режим генерации — На каждом гипервизоре.
  6. Нажмите на кнопку Добавить.

Далее нужно распределить роли для почтового транспорта. Перейдите в окно выбора ролей, нажав Добавить -> Несколько контейнеров.

  1. Выберите тег Почтовый транспорт.
  2. Для фильтра Установлено не более: установите значение 0.
  3. Отметьте Все доступные для установки роли.
  4. Выберите гипервизоры, отведенные под фронты.
  5. Режим генерации — На каждом гипервизоре.
  6. Нажмите на кнопку Добавить.

Завершающий этап — распределить роли для API.

  1. Выберите тег API.
  2. Для фильтра Установлено не более: установите значение 0.
  3. Отметьте Все доступные для установки роли.
  4. Выберите гипервизоры, отведенные под фронты.
  5. Режим генерации — На каждом гипервизоре.
  6. Нажмите на кнопку Добавить.

Финальная проверка для того чтобы убедиться, что все роли распределены:

  1. Откройте окно добавления выбора ролей, нажав на Добавить -> Несколько контейнеров.
  2. Для фильтра Установлено не более: установите значение 0.
  3. Список ролей, доступных для добавления, должен быть пустым. Если это не так, распределите оставшиеся роли по гипевизорам в соответствии с тегами.

После того как все контейнеры сгенерированы, нажмите на зеленую кнопку Далее в правом верхнем углу.

9. Хранилища

Важно

Минимальный размер раздела диска, используемого под хранилище, составляет 25 GB.

В разделе формируются дисковые пары для гипервизоров-хранилищ. Разделение на дисковые пары происходит автоматически, если вы не подключали дополнительные диски. В таком случае можно переходить в настройке mescalito, описанной в следующем шаге.

Ручная настройка дисковых пар требуется в случаях, когда дополнительные диски подключены.

Информация

Под дисковой парой подразумеваются связанные разделы дисков, которые размещены на двух разных гипервизорах. Для повышения отказоустойчивости на дисковую пару записываются одни и те же данные.

В документе описана процедура ручного распределения дисковых пар. При автоматическом формировании дисковых пар настройка не требуется.

Минимальная отказоустойчивая конфигурация: 3 машины, на каждой из которых по 2 дисковых раздела — всего 6 разделов.

При такой конфигурации:

  • Всегда есть пара на запись.
  • Остальные пары доступны для чтения.

При сборке хранилищ дисковые пары объединяются в «логические треугольники». Объединение происходит по принципу: 1-2, 2-3, 3-1.

storages_diagram

Примечание

vkwm-st – это названия машин-стораджей на тестовом стенде, который рассматривается в качестве примера. Стрелки на изображении показывают, какие диски объедиены в пару. На правой части изображения демонтрируется ситуация, когда одно из хранилищ вышло из строя.

В списке слева будут отображаться доступные хранилища, отмеченные восклицательными знаками.

Нужно перейти на вкладку каждого хранилища и сформировать дисковые пары.

хранилища без пар

В минимальной конфигурации, где к каждому из трех гипервизоров-хранилищ подключено по диску, которые, в свою очередь, разделены на 2 части мы имеем:

  • Диск хранилища 1 разделен на 2 части.
  • Диск хранилища 2 разделен на 2 части.
  • Диск хранилища 3 разделен на 2 части.

Всего 6 разделов дисков (2 на одном гипервизоре, 2 — на втором, еще 2 — на третьем).

Важно

В интерфейсе под Диском 1 и Диском 2 подразумеваются разделы хранилищ. Между собой также нужно будет объединить часть диска, размещенного на одном хранилище, с частью диска, размещенного на другом хранилище. При увеличении количества разделов дисков и/или подключенных дисков принцип объединения сохраняется.

  1. Нажмите на кнопку Добавить.
  2. В выпадающем меню выберите контроллер и устройство для Диска 1 первой пары.
  3. Выберите контроллер и устройство для Диска 2 первой пары.
  4. Повторите шаги 2-3 еще для двух пар.

На изображении ниже приведен пример для хранилища zepto_skel:

zepto_skel

9.1 Раздел Mescalito

Для обеспечения отказоустойчивости в разделе уже заданы автоматические настройки кластеров хранилищ писем.

mescalito

Обработчики писем (mescalito) запускаются в контейнерах stm. Их задача — собирать письма из частей, находящихся в разных хранилищах.

В хранилищах индексов (tarantool xtaz) хранится информация о последних действиях пользователей в их почтовых ящиках (горячий кэш). Из хранилищ индексов формируются кластеры, которые обрабатываются в stm.

Информация

Появление ошибки failed to allocate X bytes (или ошибок с подобной формулировкой) при проверке системных логов контейнеров xtaz свидетельствует о недостатке памяти.

Существует 2 типа ящиков:

  • Сервисный — admin@admin.qdit (администраторы почты).
  • Корпоративный — все остальные ящики системы, которые администрируются в
    biz.<почтовый домен>.

Важно

Обработчики работают в однопоточном режиме. Перенаправление информации на другой обработчик будет производиться только в случае недоступности хранилища, на котором установлен соответствующий stm.

Для обеспечения отказоустойчивости для каждого кластера необходимо назначать по 2-3 обработчика, находящихся на разных машинах или в разных дата-центрах.

Информация

Контейнеры stm устанавливаются на каждый гипервизор-сторадж, поэтому количество обработчиков равно количеству машин, отведенных под хранилища. При необходимости могут быть сгенерированы дополнительные контейнеры stm вручную.

9.2 fstab

Раздел акуален для ситуаций, когда были подключены дополнительные диски.

Необходимый набор томов для контейнеров хранилища выдается в виде набора записей для /etc/fstab.

Важно

Установщик ничего не монтирует и не изменяет в /etc/fstab.

Отредактировать fstab и смонтировать разделы нужно самостоятельно в консоли. Монтировать рекомендуется по UUID.

Ниже для примера приведен скриншот с одного из наших тестовых стендов.

fstab

Пример команд для монтирования разделов:

vi /etc/fstab

# Вставляем строчки, скопированные из веб-интерфейса установщика. 
# Сохраняем изменения.

mount -a

# Получаем набор предупреждений <путь> mount point does not exist

mkdir -p <путь>

# Повторяем для всех путей

mount -a

10. Шардирование и репликация БД

Настройка в этом разделе актуальна только для очень крупных инсталляций. В большинстве случаев достаточно настроек по умолчанию, и можно перейти к следующему шагу с помощью кнопки Далее.

Важно

Добавлять кластеры БД можно только на этапе первоначальной установки!

Чтобы добавить более одного кластера, потребуется сгенерировать дополнительные контейнеры.

шардирование и репликация БД

Последовательность действий для добавления кластеров:

  1. Нажмите кнопку Добавить в первой строке, отмеченной красным.
  2. Добавьте контейнеры БД (кнопка Добавить контейнер БД). В зависимости от типа базы данных может быть добавлен как один контейнер, так и два.
  3. Сохраните изменения.
  4. Повторите шаги 1-4 для каждой строки, отмеченной красным.

После добавления всех кластеров появится возможность перейти к следующему шагу с помощью кнопки Далее.

шардирование и репликация БД

11. Настройки компонентов

В разделе выполняются настройки различных компонентов почтовой системы.

компоненты

Авторизация

В разделе есть возможность настроить защиту от подбора паролей. Для этого нажмите на кнопку редактирования.

настройки почты

Настройки авторизации по паролю через внешние протоколы — позволяет запретить пользователям авторизовываться во внешних приложениях (MS Outlook, Почта/Календарь на iOS и т.п.) с помощью основного пароля почты.

Если флаг одного или нескольких протоколов включен, для авторизации по этим протоколам пользователю потребуется не пароль от почты , а одноразовый пароль, сформированный в разделе Настройки -> Безопасность аккаунта Почты.

настройки почты настройки почты

По кнопке Добавить пользователю нужно будет ввести название внешнего приложения, для которого нужно сгенерировать пароль, ввести пароль основной пароль аккаунта.

После чего нужно будет скопировать сгенерированный код и ввести его во внешнее приложение при первом входе под учетной записью Почты.

Если флаг протокола выключен, для входа во внешнее приложение достаточно будет ввести пароль аккаунта Почты.

Примечание

Для получения информации о принципе работы системы ограничения SSO-авторизации по IP/группе в ActiveDirectory обратитесь к представителю VK.

Также в разделе вы можете ограничить количество попыток входа в Почту по IP и по адресу электронной почты и добавить IP и/или адреса в белый список.

настройки почты

Адресная книга

Для случаев, когда необходимо создать общие почтовые ящики для адресов из разных доменов, включите флаг Общая адресная книга для всех доменов.

Информация

Дальнейшая настройка общих почтовых ящиков производится в административной панели (biz.<почтовый домен>).

Чтобы создать организацию, под которой будут объединены домены, кликните по кнопке Добавить.

Появится всплывающее окно, куда нужно ввести название организации.

название организации

С помощью кнопки Добавить домен введите адреса доменов, относящихся к одной организации.

добавить домены

Также есть возможность изменить названия организаций, добавить дополнительные домены и удалить домены/организации. После создания организаций перейдите к списку машин, чтобы повторить нужные шаги.

Настройки почты

Для изменения настроек в разделе нажмите на кнопку редактирования.

настройки почты

Максимальная глубина вложенности папок — вы можете изменить разрешенную глубину вложенности папок, создаваемых пользователями в своих почтовых ящиках. Значение этого поля также используется при миграции. Если глубина вложенности в исходной системе больше установленного значения, папки будут переноситься в папку с крайней допустимой глубиной.

Максимальное количество получателей в письме — можно ограничить количество пользователей, которым письмо будет отправлено единовременно. Значение по умолчанию — 30 получателей, но, если вы хотите изменить их количество, минимальное значение — 100.

Если необходимо запретить в подписи смену имени или поменять местами имя и фамилию, включите соответствующие флаги.

Ограничение доступа к доменам

Выберите нужный домен и нажмите на кнопку редактирования. После включения флага Ограничить доступ к домену появится раздел с более детальными настройками.

ограничение доступа к доменам

Ограничить доступ к домену — если включен только этот флаг, в поле ниже нужно будет ввести IP/подсети, которым будет разрешен доступ к домену. Также вы можете добавить комментарии, если это необходимо.

кому запрещен доступ

Режим запрета — запрещать следующим IP/подсетям — если включены оба флага (ограничение доступа и режим запрета), доступ к доменам будет запрещен IP/подсетям, введенным в поле.

Не забудьте повторить шаги на гипервизоре (нужные шаги уже отмечены желтым). Также можно нажать на кнопку Play в общей строке состояния. Для этого перейдите к списку шагов, кликнув по логотипу AdminPanel.

Важно

Для доменов becca.***.***.*** и bmw.***.***.*** по умолчанию запрещен доступ всем IP/подсетям. Чтобы добавить какие-либо IP/подсети в белый список, необходимо включить опцию Ограничить доступ к домену и добавить в поле IP/подсети. Если включить оба флага, IP/подсети, которые были введены в поле, попадут в черный список.

Панель администрирования

Внутри раздела нужно ввести SPF-запись и DKIM-селектор почтового домена. Так же есть возможность произвести некоторые настройки для административной панели (biz.<почтовый домен>). Чтобы начать настройку, нажмите кнопку редактирования значок редактирования.

настройки административной панели

Административные домены — с помощью кнопки Добавить по одному введите домены (до знака @), которым нужно выдать максимальные права.

Серверная SPF-запись — введите в поле SFP почтового домена.

Примечание

Если оставить поле пустым, будет использована SPF-запись по умолчанию: v=spf1 a:<почтовый домен> mx
-all.

DKIM-селектор — в поле нужно добавить селектор DKIM-подписи почтового домена.

Количество дней перед удалением пользователя — количество дней, по прошествии которых пользователь будет удален из Почты. Изменение настройки по умолчанию актуально при одновременном использовании Почты c Active directory. По умолчанию выставлен срок 5 дней, то есть, пользователь будет удалён из Почты через 5 дней после его удаления из AD.

Размер облака пользователя по умолчанию (Мб) — при необходимости ограничьте максимальный размер облака для каждого пользователя.

Разрешить предварительную настройку сборщиков для всего домена — включите флаг, если необходимо отобразить окно настроек сборщиков писем в административной панели biz.<почтовый домен>/domains/.

настройки в административной панели

Не проверять актуальность включенного функционала (фич) — при включенном флаге установщик будет пропускать шаг bizf -> addBizFeatures.

Общие переменные окружения для всех сервисов панели администрирования — с помощью кнопки Добавить вы можете ввести имя и значение переменных, которые применятся к ролям bizf, biz-celery-worker-* и biz-celery-beat. Вам не нужно будет каждый раз отдельно для всех ролей прописывать переменные, достаточно добавить их в общие переменные окружения.

Политика изменения паролей пользователей

Информация

При интеграции с Active Directory эта вкладка неактуальна. C включенной интеграцией пользователи, заведенные внутри Почты, не смогут совершать никаких действий.

Для изменения настроек во вкладке кликните по кнопке редактирования значок редактирования.

изменение паролей

Разрешить пользователям менять пароли — включенный флаг разрешает пользователям менять пароли для своих почтовых ящиков.

Установить максимальный срок действия пароля — при установленном флаге можно установить срок действия пароля. Срок задается в секундах (под полем есть подсказка о том, сколько это будет в более крупных единицах измерения).

Почтовый транспорт

В этой вкладке вы можете изменить нужные вам настройки, нажав на кнопку редактирования значок редактирования.

почтовый транспорт

Перемещать письма в спам по заголовку от Kaspersky Linux Mail Server — включите флаг, если необходима проверка на заголовок X-KLMS-Message-Action. Если у письма присутствует этот заголовок и его значение отличается от clean, оно будет автоматически отправляться в папку Спам.

Устанавливать заголовок Received в соответствие требованиям Kaspersky Linux Mail Server — в некоторых случаях Kaspersky Linux Mail Server не может определить последний хоп (расстояние между ближайшими узлами в сетевом протоколе) передаваемого сообщения, из-за этого могут появиться ошибки с валидацией отправителя и проверкой SPF. Чтобы избежать подобных ситуаций, установите этот флаг.

Не сбрасывать письма на MX-сервере в медленную очередь при проблемах доставки — включите флаг, если ваша антиспам/антивирус система не умеет определять сервер отправки почты. Так как медленная почтовая очередь в сервисе Почта реализована отдельным шлюзом, с выключенным флагом могут происходить сбои при проверке подлинности отправителя.

Запретить на MX-сервере прием писем для неприпаркованных доменов — чтобы запретить прием писем для доменов с непроверенной MX-записью, включите этот флаг. При включенной отправке писем внутри системы через почтовый шлюз эта опция также будет включена автоматически.

Информация

Чтобы домен считался припаркованным, он должен быть добавлен в панель администратора (biz.<почтовый домен>); MX-запись припаркованного домена должна быть проверена. Перепиской внутри системы будет считаться обмен сообщениями между двумя припаркованными доменами. Чтобы домен считался известным, достаточно добавить его в панель администратора.

Запретить на MX-сервере прием писем от припаркованных доменов — используется для защиты от подделки злоумышленниками писем локальных пользователей. Это неполноценная защита от подделки отправителя, поэтому рекомендуется установка полноценной антиспам-системы.

Перед почтовой системой есть почтовый шлюз — если перед почтовой системой VK WorkSpace будет установлен какой-либо почтовый шлюз, включите этот флаг. В поле нужно будет ввести адрес промежуточного MX.

Отправлять письма внутри системы через почтовый шлюз — если необходимо отправлять всю внутреннюю переписку через MX-запись или какой-либо шлюз (антивирус или антиспам), включите эту опцию. Если опция выключена, письма внутри системы доставляются сразу в ящик, минуя MX-сервер.

почтовый транспорт

Отправлять письма за пределы системы через почтовый шлюз — если вы планируете отправлять исходящие письма через шлюз антивируса/DLP-системы, включите эту опцию.

Кастомные маршруты для доменов — вы можете перенаправить домены на заданные шлюзы вместо стандартных. Вы можете внести в раздел «Почтовые домены» несколько доменов и задать для них несколько адресов шлюзов. Если нужно добавить по одному шлюзу для каждого домена, используйте кнопку Добавить.

Список серверов, имеющих право отправлять почту без авторизации — добавьте список IP-адресов серверов, почта с которых будет приниматься без авторизации. В список нужно обязательно добавить адреса шлюзов, с которых почта должна возвращаться в Почту VK WorkSpace. В этот же список можно внести серверы рассылки почты илив соответствии с их назначением МФУ, отсканированные документы с которых будут отправляться без авторизации. Почта, отправленная в сервис Почта без авторизации, будет приниматься на порт 1025.

Список серверов, имеющих право отправлять почту без авторизации для определенных почтовых доменов — если вы планируете использовать несколько почтовых доменов, есть возможность добавить для каждого домена свои доверенные IP. Письма с указанных доменов должны отправляться на порт 1025.

Отправлять копии сообщений внутри системы на email — в почтовой системе VK WorkSpace реализована возможность отправки копий внутренней переписки на специальный ящик. В таком случае проверка внутренних писем не будет блокировать потоки почты.

Канонические (PTR) имена гипервизоров — укажите название хоста в PTR-записи. PTR-запись позволяет определить по IP имя хоста, с которого приходит почта. Если при проверке имя хоста будет отличаться, письмо не будет доставлено или попадет в папку Спам.

Рассыльщики

В разделе настраиваются служебные почтовые рассылки для внутренних пользователей. Чтобы перейти к настройкам, нажмите на кнопку редактирования. Есть возможность создать рассылки для VK WorkDisk, административной панели и уведомлений об отзыве письма.

настройки логов

Введите email и имя отправителя, а также адрес и порт сервера рассылки, и сохраните изменения. Затем перейдите к списку ролей и запустите автоматическую установку, чтобы применить настройки.

Система расширенных транспортных правил

Чтобы начать настройку, необходимо нажать на иконка, перейти в окно Продукты и включить флаг Система расширенных транспортных правил.

Затем перейдите к списку ролей и запустите автоматическую уставку. Когда нужные роли сгенерируются, перейдите в раздел Компоненты -> Система расширенных транспортных правил и включите нужные флаги.

транспортные правила

Дальнейшая настройка транспортных правил производится в административной панели по завершении установки.

Система учета действий пользователей

Чтобы изменить время хранения логов, кликните по кнопке редактирования.

настройки логов

Время хранения событий по пользователям (в секундах) — вы можете установить время хранения логов. При установленном значении 0 срок хранения логов не будет ограничен.

Включить статистику по IP — при включенном флаге появится окно для изменения срока хранения логов по IP.

Мониторинг

Настройки мониторинга актуальны для случаев, когда необходимо переключиться с внутреннего мониторинга Почты на внешние системы мониторинга (Graphite/Prometheus).

Для включения внешних систем мониторинга необходимо нажать на иконка и перейти в окно Продукты и включить флаг Система сбора и отправки метрик. При этом флаг Система мониторинга будет автоматически отключен.

внешний мониторинг

Примечание

Данные, созданные до переключения на внешний мониторинг, продолжат занимать место на диске. Новые данные будут направляться во внешнюю систему мониторинга.

Сохраните изменения и вернитесь к списку ролей.

Внизу страницы нажмите на кнопку Сгенерировать автоматически, чтобы установщик сформировал новые роли.

Важно

Не нужно запускать автоматическую установку сразу после генерации контейнеров. Сначала необходимо удалить неактуальные роли. Если запустить установку сразу, возникнут сетевые проблемы.

Чтобы предотвратить возможные проблемы, перейдите в консоль и перезапустите установщик с помощью команды: sudo systemctl restart deployer.

После перезапуска в списке ролей отобразятся роли, которые нужно удалить. Если в интерфейсе не подсветились роли для удаления, перезагрузите страницу.

роли к удалению

Удаление может занять некоторое время. Когда все неактуальные роли будут удалены, запустите автоматическую установку.

Далее передите в раздел Настройки компонентов -> Мониторинг. Введите необходимые данные для системы мониторинга, которую вы используете.

настройки мониторинга

Сохраните изменения.

Информация

Также по ссылке Набор готовых дашбордов для Grafana вы можете скачать дашборды в формате JSON для добавления их в Grafana.

Перейдите к списку ролей, кликнув по логотипу AdminPanel, и при необходимости повторите нужные шаги.

Настройки HTTP(S)-прокси

Если вы используете прокси-сервер при подключении клиентов к системе VK WorkSpace, включите флаг Перед VK WorkSpace есть прокси-сервер, чтобы контейнер, отвечающий за HTTPS-соединение, мог принимать трафик без шифрования.

настройки прокси

Список IP прокси-серверов — введите в поле список IP-адресов, с которых Почта будет принимать заголовки с оригинальными IP клиента и оригинальным протоколом подключения.

HTTP-заголовок прокси с оригинальным IP клиента — добавьте в поле заголовок прокси, который передает реальный IP-адрес клиента, иначе сервис будет работать некорректно.

HTTP-заголовок прокси с оригинальным протоколом подключения клиента — для корректной работы почтовых сервисов введите заголовок оригинального протокола подключения.

12. Интеграции

В блоке будут отображаться интеграции, которые вы включили на этапе выбора продуктов и опций (настройки интеграций могут также находиться в верхнем меню).

Настройка интеграции VK Teams и Почты — с помощью документа вы сможете настроить интеграцию между VK Teams и Почтой.

Миграция календарей по протоколу EWS — документ по настройке миграции событий из MS Exchange в Почту VK WorkSpace.

Интеграция с Keycloak для SSO-авторизации — в документе содержится инструкция по настройке интеграции с сервисом SSO-авторизации.

Сборщик почты

В разделе есть возможность добавить почтовые серверы для синхронизации/миграции, а также список папок, которые не будут участвовать в синхронизации.

сборщик почты

Белый список удалённых серверов — по умолчанию в полях указаны внутренние IP-адреса. Если вы планируете миграцию почты с других почтовых серверов, добавьте их IP-адреса или имена в белый список — сервис Почта будет определять эти IP/хосты как публичные. При миграции из систем с белым IP/доменом поле можно оставить пустым. При настройке миграции в административной панели вам нужно будет ввести IP/хост, с которого будет производиться миграция.

Список папок, исключенных из синхронизации — если у вас есть папки, которые не должны участвовать в синхронизациив соответствии с их назначением «Черновики» и «Удаленные», введите их названия через запятую в строгом соответствии с оригинальным названиям из вашей системы (названия папок регистрозависимы).

Интеграция с другими инсталляциями Почты

Информация

Функциональность устарела и будет в скором времени удалена.

В разделе вы можете настроить интеграции с несколькими инсталляциями Почты и/или миграции с Exchange и других почтовых серверов.

Чтобы перейти к настройкам, нажмите на кнопку редактирования. Появится возможность изменить значения полей.

другие инсталляции

Список адресов машин с БД namespase sharing — с помощью кнопки Добавить внесите IP-адреса машин с инсталляциями Почты. При нескольких инсталляциях введите все адреса машин, объединенных в БД namespase sharing.

Каждая из инсталляций получит реплики каталогов пользователей с IP, указанных в поле. При отправке письма система будет знать, на какой почтовый сервер его направить.

По умолчанию в поле указан локальный IP. Если вы пока что не планируете работу с несколькими инталляциями, оставьте значение по умолчанию.

Важно

Если в интеграции участвуют кластерные инсталляции Почты, в поле нужно ввести IP-адреса контейнеров tnt-fedman1.

Также потребуется настройка переменных окружения, описанная в следующем шаге.

Перенаправлять письма неизвестных получателей на сервер — если вы будете проводить миграцию с других почтовых серверов, введите его IP-адрес в поле. В случаях, когда письмо отправляется в адрес пользователей, которые еще не мигрировали в Почту, система будет автоматически перенаправлять их на указанный IP-адрес. Перенаправление будет работать только для припаркованных доменов.

Примечание

Дальнейшая настройка миграции с Exchange или других почтовых серверов производится в административной панели Почты VK WorkSpace по завершении установки.

Продублируйте значение по умолчанию из поля выше, если перенаправление писем в данный момент не требуется.

Сохраните изменения и перейдите к следующему шагу, нажав на кнопку Далее.

Настройки дублирования действий пользователей во внешнее хранилище

Если на этапе выбора продуктов вы включили опцию дублирования логов, потребуются настройки в этом разделе.

Включите флаг того хранилища, которое вы планируете использовать: MySQL, Logstash и rsyslog. Также есть возможность включения TLS-шифрования.

дублирование логов MySQL

Важно

Предварительно создайте таблицу, в которую будут сохраняться логи.

Адрес сервера MySQL — введите адрес сервера MySQL, на котором будут храниться логи.

Порт сервера MySQL — порт, открытый в вашей БД для VK Workspace.

Название схемы в MySQL — тип архитектуры (схемы) вашей БД.

Имя пользователя MySQL — пользователь БД, имеющий права на запись.

Пароль пользователя MySQL — введите пароль пользователя, указанного в поле выше.

дублирование логов LS

Для Logstash достаточно ввести адрес сервера и порт.

Чтобы передавать данные в rsyslog, введите в поля адрес сервера, его порт, а также протокол подключения и syslogtag.

По завершении настроек сохраните изменения.

Настройки cистемы BI-aналитики

Чтобы получить возможность просматривать статистику использования VK WorkDisk в административной панели (biz.<почтовый домен>), в списке продуктов необходимо включить опцию Система BI-аналитики и Kafka внутри инсталяции и нажать на кнопку Сохранить.

Примечание

Если вы используете внешний сервер Kafka, вторую опцию включать не нужно, но потребуется внести данные для подключения. При использовании Kafka внутри инсталляции можно сразу переходить к списку ролей.

Чтобы подключиться к внешнему серверу Kafka, перейдите в раздел Интеграции -> Настройки cистемы BI-аналитики и заполните соответствующие поля.

внешняя статистика

Сохраните изменения.

Перейдите к списку ролей, кликнув по логотипу AdminPanel. Внизу страницы необходимо создать дополнительные роли.

  1. Нажмите на кнопку Добавить -> Несколько контейнеров.
  2. В поле Установлено не более: введите значение 0. Появятся контейнеры для распредления.
  3. Добавьте контейнеры для Clickhouse на гипервизоры для хранилищ.
  4. Если вы используете Kafka внутри инсталяции, распределите контейнеры с Kafka на гипервизоры для баз данных тем же способом (с помощью кнопки Добавить).
  5. По окончании генерации контейнеров запустите автоматическую установку в общей строке состояния.

Когда установка будет завершена, у вас появится возможность просматривать статистику Диска в панели администратора.

13. Переменные окружения

В разделе производится настройка кастомных переменных почтовой системы.

Важно

Настройка переменных окружения возможна только после консультации с представителем VK.

переменные окружения

Чтобы добавить кастомную переменную, нажмите на кнопку редактирования, а затем кнопку Добавить.

В выпадающем меню необходимо выбрать название переменной, а затем ввести ее значение. Значение переменной должно быть введено корректно, иначе установщик не позволит создать переменную.

переменные окружения

Сохраните изменения и нажмите на кнопку Далее для перехода к следующему шагу.

14. Запуск установки всех машин

Нажмите на кнопку Play рядом c общей строкой состояния в верхней части экрана.

Подтвердите запуск автоматической установки, нажав на кнопку Запустить.

подтверждение автозапуска

В зависимости от этапа установки будет меняться цвет индикатора:

  • Серый — в ожидании начала генерации;
  • Синий — в процессе генерации;
  • Желтый — шаг необходимо повторить (установщик делает это самостоятельно);
  • Красный — ошибка.

Ожидайте завершения установки. Пока процесс идет, рядом со строкой состояния будет отображаться красная кнопка Stop.

Примечание

Если в процессе установки и настройки системы происходят изменения конфигурации, некоторые задачи могут потребовать повторного выполнения. Для повторного запуска необходимо нажать на кнопку Play в общей строке состояния в верхней части экрана или рядом с названием конкретного контейнера.

При появлении ошибок на гипервизоре на нем появится тег Не отвечает, а на контейнерах, относящися к этому гипервизору — Не отвечает гипервизор.

гипервизор не отвечает

Сгруппируйте объекты по гипервизору — так вам будет наглядно видно, на каком гипервизоре ошибка.

сгруппировать по гипервизору

После этого перейдите в командную строку и устраните ошибку. По завершении необходимо нажать на шестеренку в строке гипервизора, на котором была ошибка, затем на странице в списке шагов на гипервизоре.

ошибка на гипервизоре

ошибка на гипервизоре

В окне настроек гипервизора нажмите на кнопку Обновить.

ошибка на гипервизоре

Повторно запустите автоустановку.

15. Завершение установки, инициализация домена и вход в панель администратора

Когда установка будет завершена, соответствующий статус отобразится в строке состояния. Для перехода к следующему шагу нажмите на кнопку Далее.

installation complete

Введите имя почтового домена и нажмите на кнопку Добавить.

add domain Откроется новая вкладка, на которой необходимо авторизоваться:

  • Имя пользователя — admin@admin.qdit.
  • Пароль находится в файле — bizOwner.pass, для его просмотра введите в консоли команду: cat <путь до директории с установщиком>/bizOwner.pass.

first login

Если логин и пароль были введены правильно, вы попадете в панель администратора. Для проверки MX-записи нажмите на кнопку Проверить сейчас.

проверка МХ

При успешно пройденной проверке появится уведомление о том, что MX-запись настроена верно.

проверка MX

После проверки MX-записи установку можно считать оконченной. Также потребуется настройка SPF-записи и DKIM-подписи. Инструкции по их настройке вы найдете по ссылке.

Важно

По завершении установки допускается только удаление архива, из которого был распакован дистрибутив в начале установки. Все остальные файлы должны оставаться в папке с файлом onpremise-deployer_linux. Не удаляйте пользователя deployer — эта учетная запись потребуется для обновления и дальнейшей эксплуатации сервиса почты.

16. Добавление дополнительных доменов

Если вы планируете использовать несколько доменов, добавьте их с помощью кнопки Подключить новый проект. Для этого нужно открыть выпадающее меню рядом с вашим доменом и ввести адрес домена.

список доменов

Если хотите сделать домен припаркованным, необходимо пройти проверку MX-записи способом, описанным выше. Чтобы сделать домен известным для системы Почта, достаточно просто добавить домен в список.

Настройка интеграции с Active Directory

Для настройки интеграции с Active Directory перейдите в раздел административной панели Конфигурация -> Настройки.

Чтобы начать настройку, уберите чекбокс Не использовать AD.

окно настроек AD

Адрес AD — введите в поле адрес вашего каталога Active Directory.

Каталоги пользователей — введите значение поля distinguishedName из списка атрибутов каталога. Например, OU=demoapp.DC=presale.DC=local.

Примечание

Если вам нужно указать больше одного каталога пользователей, обратитесь к представителю VK.

Логин администратора — введите в поле логин пользователя Active Directory с правами на чтение каталога и авторизацию пользователей.

Пароль администратора — вставьте в поле пароль пользователя Active Directory с правами на чтение каталога и авторизацию пользователей.

Поле свойства «Отчество» — если вы используете свойство Отчество, введите его значение в это поле.

Использовать шифрованное соединение (LDAPS) — есть возможность добавления сертификата LDAPS с помощью кнопки Добавить сертификат.

Игнорировать ошибки сертификата — если у вас самоподписанный SSL-сертификат, отметьте этот чекбокс.

Сбрасывать сессии пользователей при изменении пароля — если чекбокс отмечен, при изменении пароля пользователя в Active Directory будет сбрасываться сессия
в Почте.

Использовать в качестве логина email вместо username — в текущей версии поле не используется.

Для применения настроек нажмите на кнопку Сохранить.

Если пользователи не появились в Почте, нужно проверить корректность настроек синхронизации с Active Directory с помощью консольной команды:

sudo journalctl -fu onpremise-container-adloader1.service

Дополнительная документация

Инструкция по установке обновлений на кластер — в документе содержится информация по обновлению Почты.

Приложение 1. При входе в панель администратора появляется ошибка «Неверный пароль»

Перепроверьте, что пароль скопирован верно. Чтобы просмотреть пароль, введите в консоли команду: cat <путь до директории с установщиком>/bizOwner.pass. Если пароль был правильным, а ошибка всё равно появилась, также необходимо сгенерировать новый пароль.

В веб-интерфейсе установщика перейдите к списку контейнеров, кликнув по логотипу Admin Panel

куда кликать

Найдите в списке контейнеров fmail1 и нажмите на значок шестеренки справа от названия контейнера.

fmail

Запустите выполнение шага get_biz_owner.

bizOwner

Дождитесь окончания выполнения шага, затем скопируйте новый пароль.

Приложение 2. Обновление лицензионного ключа

Если вам нужно обновить лицензионный ключ, нажмите на значок иконка и в выпадающем меню выберите Обновить лицензионный ключ.

обновление лицензии

В открывшемся окне вы сможете просмотреть информацию о текущих лицензиях, а также обновить лицензионный ключ.

обновление лицензии

Если вы вносили какие-либо изменения, кликните по кнопке Сохранить.

Приложение 3. Логи и полезные команды

Все команды, перечисленные ниже, следует выполнять в консоли машины-мониторинга.

  1. Перезапуск установщика:

    sudo systemctl restart deployer
    
  2. Логи установщика:

    sudo journalctl -fu deployer
    
  3. Список запущенных контейнеров:

    docker ps
    
  4. Логи конкретного контейнера:

    sudo journalctl -eu имя_контейнера
    
  5. Статус контейнера:

    systemctl status имя_контейнера
    
  6. Посмотреть список «сломанных» контейнеров:

    docker ps -a|grep Exit
    
  7. Посмотреть список всех не запустившихся контейнеров:

    sudo systemctl | grep onpremise | grep -v running
    
  8. Удалить контейнер:

    sudo docker rm имя_контейнера
    




Дата обновления документа: 05.07.2024