1

ООО «НОВЫЕ ОБЛАЧНЫЕ ТЕХНОЛОГИИ»

ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ

МойОфис Частное Облако

МойОфис Логос

РУКОВОДСТВО ПО УСТАНОВКЕ

2020.01.R2

На 26 листах

Москва

2020

2

Все упомянутые в этом документе названия продуктов, логотипы, торговые марки итоварные знаки принадлежат их владельцам. Товарные знаки «МойОфис» и «MyOffice»принадлежат ООО «НОВЫЕ ОБЛАЧНЫЕ ТЕХНОЛОГИИ».Ни при каких обстоятельствах нельзя истолковывать любое содержимое настоящегодокумента как прямое или косвенное предоставление лицензии или права наиспользование товарных знаков, логотипов или знаков обслуживания, приведенных внем. Любое несанкционированное использование этих товарных знаков, логотипов илизнаков обслуживания без письменного разрешения их правообладателя строгозапрещено.© ООО «НОВЫЕ ОБЛАЧНЫЕ ТЕХНОЛОГИИ», 2013–2020

3

Содержание1. Общие сведения . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  8

1.1. Назначение . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  81.2. Требования к квалификации персонала . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  81.3. Системные требования . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  91.4. Ограничения . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  9

1.4.1. Ограничение при выполнении кластерной установки . . . . . . . . . . . . . . . . . . . .  91.4.2. Ограничение по работе с подсистемой управления конфигурациями . . . . . . .  91.4.3. Ограничение по работе с системами виртуализации . . . . . . . . . . . . . . . . . . . . .  9

2. Описание архитектуры МойОфис Частное Облако. . . . . . . . . . . . . . . . . . . . . . . . . . . . .  102.1. Общая архитектурная схема . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  102.2. Детальная архитектурная схема МойОфис Логос . . . . . . . . . . . . . . . . . . . . . . . . . .  10

3. Типовые схемы установки МойОфис Частное Облако . . . . . . . . . . . . . . . . . . . . . . . . . .  123.1. Конфигурация без отказоустойчивости . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  123.2. Кластерная отказоустойчивая конфигурация . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  123.3. Типовая схема масштабирования . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  12

4. Первичная установка . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  134.1. Состав дистрибутива . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  13

5. Подготовка к установке . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  135.1. Описание ролей . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  135.2. Подготовка инфраструктуры установки. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  145.3. Проверка и подготовка инсталляционных архивов. . . . . . . . . . . . . . . . . . . . . . . . .  155.4. Общие настройки системы . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  155.5. Настройки системы в "закрытом периметре" . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  165.6. Настройка основных параметров установки . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  175.7. Настройка дополнительных параметров установки . . . . . . . . . . . . . . . . . . . . . . . .  185.8. Конфигурирование сертификатов . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  185.9. Дополнительные параметры для односерверного высокодоступного режима . .  195.10. Настройка межсетевого экранирования . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  195.11. Настройка удаленного доступа. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  20

6. Установка МойОфис Логос . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  206.1. Конфигурация без отказоустойчивости . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  20

6.1.1. Конфигурирование инвентарного файла. . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  206.1.2. Запуск установки . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  206.1.3. Проверка корректности установки. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  21

6.2. Кластерная отказоустойчивая конфигурация . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  216.2.1. Запуск установки . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  216.2.2. Проверка корректности установки. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  22

7. Обновление с предыдущих версий . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  237.1. Состав дистрибутива . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  23

8. Подготовка к обновлению . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  238.1. Описание ролей . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  238.2. Проверка и настройка инфраструктуры установки. . . . . . . . . . . . . . . . . . . . . . . . .  23

8.2.1. Проверка и настройка основных параметров установки . . . . . . . . . . . . . . . . .  23

4

8.2.2. Проверка и настройка дополнительных параметров установки . . . . . . . . . . .  238.2.3. Проверка и настройка межсетевого экранирования . . . . . . . . . . . . . . . . . . . .  238.2.4. Проверка и настройка разграничения доступа . . . . . . . . . . . . . . . . . . . . . . . . .  248.2.5. Проверка и настройка удаленного доступа . . . . . . . . . . . . . . . . . . . . . . . . . . .  248.2.6. Создание резервных копий . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  24

9. Обновление МойОфис Логос. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  249.1. Конфигурация без отказоустойчивости . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  24

9.1.1. Запуск обновления. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  249.1.2. Проверка корректности обновления . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  249.1.3. Миграция данных . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  24

9.2. Кластерная отказоустойчивая конфигурация . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  249.2.1. Масштабирование конфигурации. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  249.2.2. Запуск обновления. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  249.2.3. Проверка корректности обновления . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  249.2.4. Миграция данных . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  24

10. Дополнительные возможности и рекомендации по установке. . . . . . . . . . . . . . . . . .  2510.1. Настройка мониторинга состояния . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  25

11. Техническая поддержка . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  2611.1. Системные сообщения . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  2611.2. Известные проблемы и способы решения . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  26

5

Перечень сокращений, терминов и определений Перечень терминов и определенийприведен в таблице 1.

Taблица 1 – Перечень сокращений, терминов и определений

Сокращение, термин Расшифровка и определение

AD Active Directory, Активный каталог

API Application Programming Interface, интерфейспрограммирования приложений

Auth SSO Single Sign-On, подсистема единого входа (аутентификациии авторизации)

CA Certificate Authority, удостоверяющий центр дляподтверждения подлинности ключей шифрования

CDN Content Delivery Network, сеть доставки содержимого (вданном случае одна из ролей Auth SSO сервера)

CO CloudOffice, Облачный Офис, общее название продукта,нейтральное с точки зрения бренда

CU Converter Unit, сервис конвертирования форматовдокументов на базе кода Core

DCS Document Collaboration Service, сервис редактирования иколлаборации документов на базе кода Core

DNS Domain Name System, система доменных имён

DU Document Unit, синоним DCS

EFK Стек ПО для централизованного сбора и визуализациилогов, ElasticSearch + Fluentd + Kibana

ESIA ЕСИА, Единая Система Идентификации и Аутентификации,информационная система в РФ,обеспечивающая санкционированный доступ участниковинформационного взаимодействия(граждан-заявителей и должностных лиц органовисполнительной власти) к информации,содержащейся в государственных и иных информационныхсистемах

ETCD Распределенная система хранения конфигурации

FS FileStorage, Хранилище

FQDN Fully Qualified Domain Name, полностью определённое имядомена

Inventory file Инвентарный файл Ansible с перечислением ролей и их IPадресов

IPVS IP Virtual Server

6

Сокращение, термин Расшифровка и определение

JKS Java Key Store, хранилище ключей и сертификатов,доступных виртуальной машине Java

JSON JavaScript Object Notation

JVM Java Virtual Machine

Landing Стартовая страница

LDAP Lightweight Directory Access Protocol, облегчённый протоколдоступа к каталогам

PSN Poseidon, приложение почты, календаря и контактов.

Quick launch Меню быстрого запуска

SMTP Simple Mail Transfer Protocol, протокол передачи почтовыхсообщений

SSH Secure Shell, «безопасная оболочка»

UI User Interface, пользовательский интерфейс

URL Uniform Resource Locator, единый указатель ресурса

UX User Experience, «опыт пользователя»

VIP Виртуальный IP адрес, балансировка которогоосуществляется через IPVS

Бандл, bundle Пакет обновлений CDN

Воркер, worker Процесс-обработчик

Плейбук, playbook Сборник скриптов (сценариев) Ansible

7

1. Общие сведения1.1. НазначениеМойОфис Логос – информационно-коммуникационный сервис быстрого обменасообщениями, документами и файлами внутри организации или предприятия;

Подробное описание функций ПО МойОфис приведено в документе «МойОфис Логос.Функциональные возможности».

1.2. Требования к квалификации персоналаАдминистратор Системы должен соответствовать следующим требованиям:

• основы сетевого администрирования:

◦ o сетевая модель OSI и стек протоколов TCP/IP;

◦ IP-адресация и маски подсети;

◦ маршрутизация: статическая и динамическая;

◦ протокол обеспечения отказоустойчивости шлюза (VRRP);

• опыт работы с подсистемой виртуализации на уровне эксперта:

◦ установка Docker;

◦ запуск / остановка / перезапуск контейнеров;

◦ работа с реестром контейнеровcomm_component;

◦ работа с VMWare vSphere ESXi 6.5 и выше;

◦ получение конфигурации контейнеров;

◦ сеть в Docker, взаимодействие приложений в контейнерах;

◦ решение проблем контейнерной виртуализации;

• опыт работы с командной строкой ОС Linux:

◦ знания в объеме курсов Red Hat RH124, RH134, RH254;

◦ знания в объеме, достаточном для сдачи сертификационного экзамена Red HatEX300;

• опыт работы со службой доменных имен (DNS):

◦ знание основных терминов (DNS, IP-адрес и так далее);

◦ понимание принципов работы DNS (корневые серверы, TLD-серверы, серверыимен доменов, разрешающий сервер имен и так далее);

◦ знание типов записи и запросов DNS;

• знание видов архитектуры, а также основных компонентов инфраструктурыоткрытых ключей (PKI), к которым относятся:

◦ закрытый и открытый ключи;

◦ сертификат открытого ключа;

◦ регистрационный центр (RA);

8

◦ сертификационный центр (СА);

◦ хранилище сертификатов (CR);

• практический опыт администрирования на уровне эксперта:

◦ СУБД PostgreSQL;

◦ Redis;

◦ OpenStack Swift;

◦ RabbitMQ.

• опыт работы с системой автоматизации развёртывания Ansible;

1.3. Системные требованияПеречень требований к программному и аппаратному обеспечению приведен вдокументе «МойОфис Логос. Системные требования».

1.4. Ограничения1.4.1. Ограничение при выполнении кластерной установки

Кластерная установка не поддерживается. В текущем релизе все ролиустанавливаются на один физический или виртуальный сервер.

1.4.2. Ограничение по работе с подсистемой управленияконфигурациями

В подсистеме управления конфигурациями не должно быть конфигурационных файловсамой подсистемы. В том числе конфигурационного файла, который по умолчаниюустанавливается с пакетом (например, /etc/ansible/ansible.cfg). Такой файл требуетсяудалить либо перезаписать образцом из поставляемого ПО. Подробнее смотри вhttps://docs.ansible.com/ansible/latest/reference_appendices/config.html#theconfiguration-file

1.4.3. Ограничение по работе с системами виртуализации

Следующие системы виртуализации поддерживаются для обеспечения работыМойОфис Логос: * VMWare. * KVM.

9

2. Описание архитектуры МойОфисЧастное Облако2.1. Общая архитектурная схемаОбщая архитектурная схема МойОфис Частное Облако приведена на Рисунке 1.

Рисунок 1 – Общая архитектурная схема МойОфис Частное Облако

2.2. Детальная архитектурная схема МойОфисЛогосДанная схема МойОфис Логос приведена на Рисунке 2.

10

Рисунок 2 – Детальная архитектурная схема МойОфис Логос

11

3. Типовые схемы установки МойОфисЧастное Облако3.1. Конфигурация без отказоустойчивостиВ этой конфигурации все роли устанавливаются на один физический или виртуальныйсервер.

3.2. Кластерная отказоустойчиваяконфигурацияНе поддерживается в данном релизе.

3.3. Типовая схема масштабированияНе поддерживается в данном релизе.

12

4. Первичная установка4.1. Состав дистрибутиваВ состав дистрибутива входит программное обеспечение МойОфис Логос. Дистрибутивпредствляет собой tgz архив, содержащий:

• Ansible плейбуки для развёртывания ролей.

• Архив образа docker registry.

• Архивы docker образов для каждого из сервисов, входящих в состав продукта.

• Руководство по установке МойОфис Логос.

5. Подготовка к установке5.1. Описание ролейTaблица 2 – Описание ролей ansible входящих в состав пакета установки.

Наименование роли

Расшифровка и определение Примечание

boostrap

Подготовка ssl сертификатов.Настройка параметров ядра Linux c использованиемsystctl.Установка сервиса Docker.Создание необходимых для дальнейшей работыдиректорий.Удаление директорий и останов сервисов,относящихся к предшествующим инсталляциямМойОфис Логос.

docker-swarm

Инициализация Docker в режиме Swarm.

registry Развёртывание docker registry и импорт образовdocker из архива.

etcd Развёртывание сервиса etcd в Docker.

etcd-browser

Развёртывание web-gui для etcd. Опционально.

portainer

Развёртывание web-gui для Docker. Опционально.

efk Развёртывание стека EFK (ElasticSearch, Fluentd,Kibana).

Опциональнo. Возможнологирование cиспользованием journald

13

Наименование роли

Расшифровка и определение Примечание

mq Развёртывание локального узла RabbitMQ. Опционально. Возможноподключение к узлу наФС в кластерном режиме

redis Развёртывание локального узла Redis. Опционально. Возможноподключение к узлу наФС в кластерном режиме

redis-sentinel

Развёртывание redis-sentinel. Опционально. Только длякластерного режима

postgres

Развёртывание локального узла PostgresQL Опционально. Возможноподключение к узлу наФС в кластерном режиме

logos-backend

Развёртывание сервисов бекенда МойОфис Логос.

logos-web

Развёртывание сервисов фронтенда МойОфисЛогос.

5.2. Подготовка инфраструктуры установки

Во избежание проблем не рекомендуется использовать системы, накоторых ранее были проведены инсталляции программногообеспечения, не относящегося к дистрибутиву МойОфис Логос.

В случае возникновения проблем во время деплоя рекомендуетсяустановка на "чистую" систему или использование параметра деплоя -eCLEANUP=true.

Используемая файловая система под docker контейнеры, должнаофициально поддерживаться текущей версией docker. Еслииспользуется XFS, то файловая система должна быть создана с опцией-n ftype=1 (вариант по умолчанию в рекоменованных ОС).

Необходимо инсталлировать минимальный серверный вариант операционной системыодной из рекомендованных версий.

• CentOS

◦ Скачать образ дистрибутива рекомендованной версии с одного из официальныхзеркал, например, https://mirror.yandex.ru/centos/7.5.1804/isos/x86_64/CentOS-7-x86_64-Minimal-1804.iso

◦ Произвести установку в минимальном варианте.

• Astra Linux

◦ Скачать образ дистрибутива рекомендованной версии с одного из официальныхзеркал, например, https://mirrors.edge.kernel.org/astra/stable/orel/iso/orel-current.iso

14

◦ Произвести установку в минимальном варианте.

• Alt Linux

◦ Скачать образ дистрибутива рекомендованной версии с одного из официальныхзеркал, например, http://ftp.basealt.ru/pub/distributions/ALTLinux/p8/images/server/alt-8-server-x86_64.iso

◦ Произвести установку в минимальном варианте.

С сервера установки должен быть возможен доступ на все хосты кластера подпользователем root или другим пользователем с sudo привилегиями (ALL=(ALL)NOPASSWD: ALL). На сервере установки должен быть инсталлированы:

• Пакет Ansible версии 2.9.1 или 2.9.2 (по инструкции https://docs.ansible.com/ansible/latest/installation_guide/intro_installation.html). Работа с более новыми версиямиAnsible возможна, но не гарантирована.

• Пакет Python 2.7+ или Python 3.5+ (рекомендован).

• Пакет jinja2 версии 2.10+ для соответствующей версии Python (для CentOS пакетpython-jinja2 можно обновить с любого репозитория OpenStack, напримерhttp://mirror.centos.org/centos/7/cloud/x86_64/openstack-queens).

5.3. Проверка и подготовка инсталляционныхархивовПри выполнении проверки и подготовки инсталляционных архивов необходимовыполнить следующие действия:

В имени архива цифры версии коммерческого релиза представленызнаками X.

1. После копирования инсталляционного архива необходимо проверить егоконтрольную сумму Sha256. Для этого необходимо скопировать в файл (например,checksum.sha256) контрольную сумму, переданную вместе с дистрибутивом, изапустить следующую команду:

sha256sum -c <<< \"$(cat checksum.sha256) MyOffice-Logos-XXXX.XX.XX.tgz"

2. Распаковать содержимое инсталляционного архива в произвольную директорию,например ~/install_logos/, и перейти в эту директорию:

mkdir -p ~/install_logos/tar xzf "MyOffice-Logos-XXXX.XX.XX.tgz" -C ~/install_logos/cd ~/install_logos/

5.4. Общие настройки системы1. Настроить имя хоста, параметры сети.

15

◦ Процесс развертывания автоматически добавит на целевой машине следующиепараметры в sysctl.conf и выполнит их применение через sysctl -p:

net.ipv4.tcp_keepalive_time = 600net.ipv4.tcp_keepalive_intvl = 60net.ipv4.tcp_keepalive_probes = 3

2. Убедиться, что ресолвятся и доступны:

◦ Сard API сервер (cardapi[-<DOMAIN_ENV>].<DOMAIN_NAME> или другой, указанныйв параметре FS_CARD_URL).

◦ FS App API (appapi[-<DOMAIN_ENV>].<DOMAIN_NAME>, или другой, указанный впараметре FS_APP_URL).

◦ DB сервер указанный в параметре FS_IMPORT_DB_HOST

Желательно убедиться, что возможно подключение к базе данных на DBсервере с использованием утилиты psql и данных, указанных вследующих параметрах:

• FS_IMPORT_DB_USER

• FS_IMPORT_DB_PASS

• FS_IMPORT_DB_PORT

• FS_IMPORT_DB_DB_NAME

Установить утилиту psql можно по инструкции https://www.postgresql.org/download/linux/redhat/

3. Создать запись в DNS:

◦ logos[-<DOMAIN_ENV>].<DOMAIN_NAME>, тип A, содержит внешний REAL_IP адрес

Параметры инсталляции DOMAIN_ENV, DOMAIN_NAME описаны далее в разделе 5.3.

5.5. Настройки системы в "закрытомпериметре"В случае установки МойОфис Частное Облако в "закрытом периметре", то есть влокальной сети, не имеющей прямого выхода в Интернет, на всех хостах, включаяместо оператора, необходимо обеспечить доступность зеркал следующих yumрепозиториев:

• http://mirror.centos.org/centos/7/os/x86_64/

• http://mirror.centos.org/centos/7/extras/x86_64/

• http://mirror.centos.org/centos/7/updates/x86_64/

• http://download.fedoraproject.org/pub/epel/7/x86_64/

• https://download.docker.com/linux/centos/7/x86_64/stable/

16

Поддержка "закрытого периметра" находится в экспериментальномсостоянии!

5.6. Настройка основных параметровустановкиДля конфигурирования параметров необходимо скопировать шаблонный файлпараметров плейбуков:

cp ~/install_logos/group_vars/all/.private.yml~/install_logos/group_vars/all/private.yml

Далее необходимо открыть файл ~/install_logos/group_vars/all/private.yml втекстовом редакторе, и заполнить обязательные и опциональные настройки.

• FS_CARD_URL — HTTP URL доступа к адресной книге FS. Необходимораскомментировать строку и изменить значение параметра на требуемое приинсталляции FS. Параметр должен совпадать с аналогично названным параметром вфайлах директории properties CO.

• FS_APP_URL — HTTP URL доступа к FS AppAPI. Необходимо раскомментировать строкуи изменить значение параметра на требуемое при инсталляции FS. Параметрдолжен совпадать с аналогично названным параметром в файлах директорииproperties CO.

Для обоих параметров поддерживаются схемы http и https. Дляповышения безопасности рекомендуется использовать защищенныйвариант (https), либо гарантировать сетевое соединение между Logos иFS в доверенной внутренней подсети при выборе схемы http.

• FS_APP_LOGIN — необходимо раскомментировать строку и задать логин пользователяFS AppAPI (заранее созданного в базе FS).

• FS_APP_PASS — необходимо раскомментировать строку и задать пароль (в открытомвиде) пользователя FS AppAPI.

• FS_IMPORT_DB_DB_NAME — имя базы данных в Postgres DB, указываемое приразвёртывании FS.

• FS_IMPORT_DB_USER — пользователь для авторизации в указанной базе Postgres DB.

• FS_IMPORT_DB_PASS — пароль для авторизации в указанной базе Postgres DB.

• FS_IMPORT_DB_HOST — FQDN или VIP сервиса Postgres для импорта данных из FS.

• FS_IMPORT_DB_PORT — порт сервиса Postgres для импорта данных из FS.

• PORTAINER_PASSWORD — пароль для доступа к сервису portainer.

• RABBITMQ_USERNAME — имя пользователя для RabbitMQ.

• RABBITMQ_PASSWORD — пароль пользователя RabbitMQ.

• POSTGRES_USERNAME — имя пользователя базы данных Postgres в Logos.

• POSTGRES_PASSWORD — пароль пользователя базы данных Postgres в Logos.

17

• POSTGRES_DATABASE — имя базы данных Postgres в Logos.

• DB_HOST — FQDN или VIP сервиса Postgres собственной базы Logos. Приразвёртывании в односерверном режиме указать значение postgres

• DB_PORT — порт сервиса Postgres собственной базы Logos.

• DOMAIN_NAME — необходимо раскомментировать строку и изменить значениепараметра на требуемый, например DOMAIN_NAME: "example.com".

• apns_cert_url — оставить пустым. Используется для отладки.

• apns_bundle_id — ID бандла сертификатов для работы с APNS,https://help.swiftic.com/hc/en-us/articles/202916391-Find-Your-App-s-Bundle-ID

• apns_dev_mode — оставить false. Используется для отладки.

• apns_cert_pass — указать пароль к сертификату APNS, если он задан.

• fcm_sender_id — ID отправителя в Firebase, https://firebase.google.com/docs/cloud-messaging/concept-options

• fcm_server_key — серверный ключ в Firebase

• fcm_endpoint — HTTP API адрес сервиса FCM

• registry_images_dir — указать "registry"

• registry_private_hostname — указать "logos-private-registry"

• registry_private_port —  указать "5000"

• registry_image — указать "registry"

• registry_tag — указать "2.6.2"

• PRIVATE_REGISTRY_USERNAME — логин для доступа к локальному Docker registry.Задаётся произвольно.

• PRIVATE_REGISTRY_PASSWORD — пароль для доступа к локальному Docker registry.Задаётся произвольно.

• DOCKER_REGISTRY — оставить неизменным. Содержит адрес и порт, по которомубудет доступен локальный репозиторий Docker.

• REPO_HOSTNAME — оставить пустым. Используется для отладки.

5.7. Настройка дополнительных параметровустановки• DOMAIN_ENV — опционально раскомментировать строку и изменить значение

параметра на требуемый, например, "99-9"; при этом все записи в DNS для COнеобходимо будет скорректировать по форме <префикс>-<DOMAIN_ENV>.<DOMAIN_NAME>, например auth-99-9.example.com; почта поумолчанию будет использовать домен @<DOMAIN_ENV>.<DOMAIN_NAME>, например @99-9.example.com.

5.8. Конфигурирование сертификатовДля конфигурирования сертификатов в директории ~/install_logos/certificatesнеобходимо создать директорию, соответствующую сконфигурированному именидомена <DOMAIN_NAME>, содержащую следующие файлы в формате PEM:

18

• server.crt — содержит SSL-сертификат на *.<DOMAIN_NAME> и все промежуточныесертификаты, кроме корневого доверенного, расположенные в указанном порядке(как описано в http://nginx.org/en/docs/http/ngx_http_ssl_module.html#ssl_certificate).

• server.nopass.key — приватный ключ сертификата, не требующий кодовой фразы.

• ca.crt — (опционально) все доверенные SSL сертификаты.

По умолчанию этот файл представляет собой ссылку на файл корневыхсертификатов, установленных в системе. При необходимости измененийфайла ca.crt, использовать символические ссылки на внешние файлыне допустимо, так как они не будут доступны внутри Docker контейнера!

• dhparams.pem — параметры алгоритма DH обмена ключами. Данный файл возможносгенерировать командой openssl dhparam -out dhparams.pem 2048.

Использование самоподписанных сертификатов крайне нежелательно сточки зрения безопасности. Данный способ может использоватьсятолько при инсталляции в ознакомительных целях.

• logosx.p12 — APNS сертификат для push-уведомлений iOS, поместить в директорию~/install_logos/certificates/apns/.

5.9. Дополнительные параметры дляодносерверного высокодоступного режима• redis_cluster_name — имя внешнего кластера Redis, например "imc" в CO,

https://redis.io/topics/sentinel

• redis_cluster_master_client_port — порт мастера внешнего кластера Redis.

• redis_cluster_master_password — пароль мастера внешнего кластера Redis.

• redis_sentinel_cluster_ip_master — ip адрес текущего мастера внешнего кластераRedis.

• MQ_HA_HOSTS — список ip адресов или hostname узлов внешнего кластера RabbitMQ.

5.10. Настройка межсетевого экранированияСетевые порты, доступ к которым необходим с внешних IP адресов, приведены втаблице ниже.

Taблица 3 – Описание портов, доступ к которым необходимо обеспечить

Номер порта Связанный IP Назначение

22 0.0.0.0 ssh

80 0.0.0.0 http

443 0.0.0.0 https

5000 0.0.0.0 docker-registry

19

Номер порта Связанный IP Назначение

5432 0.0.0.0 postgresql

8001 0.0.0.0 etcd-browser

9000 0.0.0.0 portainer

9200 0.0.0.0 fluentd

5.11. Настройка удаленного доступаНастройка удаленного доступа выполняется при помощи роли sshd. Пример настройкироли приведен ниже:

ansible_port: 22sshd: protocol: 2 accept_env: "LC_*" permit_root_login: "no" password_authentication: "yes" use_dns: "no" x11_forwarding: "no" allow_groups: [] allow_users: []

6. Установка МойОфис Логос6.1. Конфигурация без отказоустойчивости6.1.1. Конфигурирование инвентарного файла

Инвентарный файл (inventory file) содержит логические группы (роли), на которыедолжен быть поделен сервер.

Для конфигурирования инвентарного файла используется python скрипт generator.py.Для корректной работы скрипта необходимо задать имя целевой машины в переменнойокружения ANSIBLE_DEPLOY_HOST.

export ANSIBLE_DEPLOY_HOST=<target-hostname>

6.1.2. Запуск установки

Для запуска инсталляции подсистемы Logos необходимо запустить скрипты установкиAnsible из директории ~/install_logos/.

20

./ansible-playbook logos.yml -i inventory/standalone -iinventory/generator.py -t all -u root [дополнительные опции...]

Поддерживается также опция --become для режима sudo в случаепользователя, отличного от root.

По умолчанию опция развёртывания LOG_DRIVER_FLUENTD содержитзначение true, что приводит к установке стека EFK. При передачепеременной значения false логирование будет происходитьпосредством journald (системный журнал).

По умолчанию опция развёртывания CLEANUP содержит значение false.При "чистой" установке необходимо передать этой переменной значениеtrue.

Дополнительные опции передаются после ключа -e.

Для запроса пароля SSH необходимо передать опцию -k.При необходимости использовать приватный ключ вместо опции -k следуетиспользовать опцию –private-key=<путь к файлу приватного ключа>.

При успешном выполнении скрипта сервисы подсистемы Logos будут запущеныавтоматически.

6.1.3. Проверка корректности установки

• В браузере открыть страницу https://logos-DOMAIN_ENV.DOMAIN_NAME

• Убедиться, что происходит переход на страницу авторизации.

• Авторизоваться и убедиться, что происходит автоматический переход на страницумессенджера Logos.

6.2. Кластерная отказоустойчиваяконфигурация6.2.1. Запуск установки

Полностью кластерный режим для сервисов Logos еще неподдерживается. В режиме высокой доступности Logos используетвнешние кластера сервисов Postgres, RabbitMQ, Redis. Этот режимвключается опцией CLUSTER_MODE=True

./ansible-playbook logos.yml -i inventory/standalone -iinventory/generator.py -t all -e CLUSTER_MODE=True -u root[дополнительные опции...]

Дополнительные опции аналогичны односерверному режиму.

21

6.2.2. Проверка корректности установки

• В браузере открыть страницу https://logos-DOMAIN_ENV.DOMAIN_NAME

• Убедиться, что происходит переход на страницу авторизации.

• Авторизаоваться и убедиться, что происходит автоматический переход на страницумессенджера Logos.

22

7. Обновление с предыдущих версийДанный дистрибутив предназначен для чистой установки либо для обновления спредыдущих версий. Информация по чистой установке приведена в разделе 3.Информация по миграции описана в настоящем разделе.

Поддерживается чистая установка или миграция начиная с версии2018.02 Mint.

Для миграции данных необходимо сделать резервную копию базы данных СУБДPostgreSQL. Кроме того, потребуется сделать резервную копию параметров установки вчасти солей, паролей и т.д.

Перед выполнением резервного копирования рекомендуется выключитьсервис целиком, путем выполнения команды systemctl stop docker.Это исключит попадание новых данных в базу данных в процессерезервного копирования.

7.1. Состав дистрибутиваСостав дистрибутива приведен в п. 4.1.

8. Подготовка к обновлению8.1. Описание ролейОписание ролей приведено в п. 5.1.

8.2. Проверка и настройка инфраструктурыустановкиОписание проверки и настройки инфраструктуры установки приведено в п. 5.2.

8.2.1. Проверка и настройка основных параметров установки

Описание проверки и настройки данных параметров приведено в п. 5.5.

8.2.2. Проверка и настройка дополнительных параметровустановки

Описание проверки и настройки дополнительных параметров установки приведено в п.5.6.

8.2.3. Проверка и настройка межсетевого экранирования

Описание проверки и настроек межсетевого экранирования приведено в п. 5.7.

23

8.2.4. Проверка и настройка разграничения доступа

Поддерживается SELinux. Дополнительной настройки не требуется.

8.2.5. Проверка и настройка удаленного доступа

Описание проверки и настройки удаленного доступа приведено в п. 5.9.

8.2.6. Создание резервных копий

Описание процесса создания резервной копии базы данных PostgreSQL приведено в п.4.2.7 Руководства по установке Файлового Хранилища.

9. Обновление МойОфис Логос9.1. Конфигурация без отказоустойчивости9.1.1. Запуск обновления

Запуск обновления аналогичен процессу запуска установки, приведенному в п. 3.3.1.

9.1.2. Проверка корректности обновления

Проверка обновления аналогична проверке установки, описанной в п. 3.3.1

9.1.3. Миграция данных

Миграция данных выполняется автоматически в процессе деплоя.

9.2. Кластерная отказоустойчиваяконфигурация9.2.1. Масштабирование конфигурации

Не поддерживается в данном релизе.

9.2.2. Запуск обновления

Не поддерживается в данном релизе.

9.2.3. Проверка корректности обновления

Не поддерживается в данном релизе.

9.2.4. Миграция данных

Не поддерживается в данном релизе.

24

10. Дополнительные возможности ирекомендации по установке10.1. Настройка мониторинга состоянияНе поддерживается в данном релизе.

25

11. Техническая поддержкаКонтактная информация службы технической поддержкиООО «Новые облачные технологии» в случае возникновения вопросов, не описанных вданном руководстве: Адрес электронной почты: support@service.myoffice.ru Телефон: 8-800-222-1-888.

11.1. Системные сообщенияВ случае использования неподдерживаемого браузера cистема выводитсоответствующее уведомление: * На английском языке: «Your browser is not supported.Please use a different browser to run this app. Learn more about the browser support fromrestrictive documentation». * На русском языке: «Ваш браузер ограничивает работуприложения. Пожалуйста, воспользуйтесь другим браузером. Сведения оподдерживаемых браузерах приведены в сопроводительной документации».

11.2. Известные проблемы и способы решенияНа данный момент отсутствуют.

26