Embed Size (px)
Citation preview
1 Per Abildgaard
[email protected] 31-05-2018
TEKNISK INFO TIL BRUG FOR ETABLERING AF DECENTRAL KONFERENCESERVER VIA VDX
Indhold 1. Indledning .............................................................................................................................................................................. 2
2. Applianceserver, virtualiseringsplatform og hypervisor ....................................................................................................... 2
3. Mere om krav til hypervisor (fysisk server) og OVA .............................................................................................................. 2
4. Netforbindelse og netværk.................................................................................................................................................... 3
5. Nødvendige netværkskonfigurationer, firewalltilpasninger ................................................................................................. 4
5. Portforklaring......................................................................................................................................................................... 5
6. Certifikat .............................................................................................................................................................................. 10
7. DNS ...................................................................................................................................................................................... 10
8. Opdatering og patchning ..................................................................................................................................................... 10
9. Management og Booking .................................................................................................................................................... 11
10. Branding af møderum........................................................................................................................................................ 11
11. Support .............................................................................................................................................................................. 11
12. Har du spørgsmål? ............................................................................................................................................................. 11
2 Per Abildgaard
[email protected] 31-05-2018
1. Indledning Som del af videoknudepunktet tilbyder MedCom samarbejde om drift af en decentral videokonferenceserver.
Samarbejdsaftalen, som skal udfyldes og underskrives, findes her:
https://www.medcom.dk/systemforvaltning/videoknudepunktet-vdx/startpakke
Jf. samarbejdsaftalen leverer MedCom bl.a. applianceserveren, mens I og jeres organisation (kommune, region, stat) skal
etablere:
• Server til hypervisor og den decentrale konferenceserver
• Hypervisor
• Netforbindelse til serveren
• De nødvendige netværkskonfigurationer, firewalltilpasninger
• Certifikat til den virtuelle server
Du kan i indeværende finde en nærmere beskrivelse af det teknisk set-up og de krav, der skal opfyldes.
2. Applianceserver, virtualiseringsplatform og hypervisor MedCom bygger og sender en virtuel applianceserver til den virtualiseringsplatform, der er aftalt, og som skal afvikles på
en hypervisor hos jer.
Følgende hypervisorer er supporterede:
• VMware
• Hyper-V
• ZEN
• KVM
Det er vores erfaring, at VMware giver den bedste performance.
3. Mere om krav til hypervisor (fysisk server) og OVA Kapaciteten i applianceserveren skaleres ud fra de ressourcer, den får stillet til rådighed af hypervisoren.
Der bruges som tommelfingerregel en vCPU for hver 2 HD-porte og 1 Gb ram pr. vCPU.
Det vil sige, at ved kapacitet på f.eks. 16 samtidige porte, skal der skaleres ud fra nedenstående:
8 vCPU (2,3Ghz eller mere)
8Gb ram
50Gb Hdd
3 Per Abildgaard
[email protected] 31-05-2018
Skaleringen skal ske på baggrund af, hvor mange samtidige porte, der skal bruges. Der kan til enhver tid opskaleres eller
nedskaleres ved at ændre CPU- og ram-ressourcer på applianceserveren.
Den hypervisor, som I anvender, skal overholde nedenstående krav. VIGTIGT: Disse krav kan ikke omgås, da det vil give
ustabilitet i miljøet:
• CPU og ram: Skal være dedikeret og NON-Shared
• vCPU: Må ikke spanne over flere fysiske CPU’er, er det nødvendigt med flere porte end den aktuelle cpu kan
levere skal der oprettes en applianceserver mere. Eksempelvis vil en server med 2x12 cores CPU’er og 64Gb RAM
kunne levere 2 applianceservere med hver 12 vCPU’er og en teoretisk kapacitet på ca. 24 HD porte, i alt 48 HD
porte. Det er ikke tilladt at lave en enkelt applianceserver på 24vCPU’er da det giver ustabilitet i video
kvaliteteten
• EMemory: Der skal være samme mængde hukommelse i hver socket, og alle sockets skal være udfyldt (alle slots i
en channel behøver ikke at være fyldt ud, det er tilstrækkeligt med en DIMM pr. channel). Se nedenstående
eksempel
4. Netforbindelse og netværk Der skal bruges en public IP for hver konferenceserver, firewallet i en DMZ.
Der kan ikke benyttes NAT eller static NAT. Baggrunden er, at de ikke er supporteret af Pexip eller andre
videoleverandører i den model, der anvendes i VDX.
Alle konferenceservere befinder sig i et fully meshed, routet men ikke NAT’et netværk, hvorfor det er hensigtsmæssigt at
placere serveren i en public DMZ bag firewall.
Se evt. dokumentation om emnet her: https://docs.pexip.com/admin/deployment_examples.htm
Pic.1
4 Per Abildgaard
[email protected] 31-05-2018
5. Nødvendige netværkskonfigurationer, firewalltilpasninger For at kunne kommunikere både med managementserveren og andre konferenceservere i VDX samt eventuelt andre
videosystemer, skal der åbnes for en række porte i jeres organisations firewall.
På de næste sider er lister over de indgående og udgående porte.
ESP/UDP 500 skal åbnes indgående og udgående. Det er ikke muligt for jeres konferenceserver at kommunikere med
andet, end de konferenceservere der er konfigureret via management noden. Derfor er der ikke er nogen risiko ved denne
portåbning, men den er obligatorisk.
Der benyttes følgende metode til denne funktion:
• 256-bit AES-CBC til kryptering af trafikken
• SHA 512 hashing til integritetstjek
• 4096-bit Diffie-Hellman modul til nøgleudveksling
• Ikke andre ciphers, hashes eller moduler er tilladt
(Se pic 2-3).
For de resterende er det mest praktisk at lave det som en generel åbning for ikke at skulle vedligeholde accesslisten.
Hvis dette ikke ønskes er der to andre modeller:
• Model 1 – begrænset åbning kun til VDX: Ved kommunikation udelukkende med VDX kan I begrænse jeres
portåbninger (med undtagelse af ovenstående) til VDX-IP-adresser:
• Model 2 – begrænset åbning til VDX og de decentrale konferenceservere: Ved kommunikation udelukkende til
VDX samt andre organisationer med decentrale konferenceservere kan I begrænse jeres portåbninger (igen med
undtagelse af ovenstående) til VDX-IP-adresserne under model 1 samt til IP-adresserne for de decentrale
konferenceservere.
IP-adresserne til VDX, centrale og decentrale konferenceservere, proxyservere og administrationssystemer finder I på
MedComs hjemmeside: https://www.medcom.dk/systemforvaltning/videoknudepunktet-vdx/vejledninger-og-
installationsfiler/tekniske-vejledninger-og-installationsfiler
5 Per Abildgaard
[email protected] 31-05-2018
5. Portforklaring
INDGÅENDE PORTE:
Protokol Source-Port Dest-Port Beskrivelse Enhed
TCP <any> 22 SSH* SSH klient
TCP <any> 80 HTTP Web browser/API interface/S4B/Lync (Konference avatar)
TCP <any> 443 HTTPS Web browser/API interface/Mobil Pexip klient
TCP <any> 1720 H.323 (H.225 signalering) Endepunkt/Kalds control
TCP <any> 5060 SIP Endepunkt/Kalds control
TCP <any> 5061 SIP/TLS Endepunkt/Kalds control
TCP <any> 33000-39999 H.323(Q931/H245 signalering) Endepunkt/Kalds ctrl.
TCP/UDP <any> 40000-49999 RTP/RTCP/RDP/DTLS/RTMP/STUN/TURN Endepunkt/Kalds ctrl./S4B/Pexip klient
UDP <any> 161 SNMP** SNMP server
UDP 500 500 ISAKMP(IPsec) Management-node/Konferencenode
UDP <any> 1719 H.323(RAS signalering) Endepunkt/Kalds control
ESP n/a n/a IPsec/IP protokol 50 Management-node/Konferencenode
UDGÅENDE PORTE
TCP/UDP 55000-65535 53 DNS DNS server
TCP 55000-65535 443 HTTPS Fejl rapportering til Pexip
TCP 33000-39999 1720 H.323(H225 signalering) Endepunkt/Kalds control
TCP/UDP 33000-39999 5060 SIP Endepunkt/Kalds control
TCP 33000-39999 5061 SIP/TLS Endepunkt/Kalds control
TCP 33000-39999 <any> H.323(Q.931/H.245 signalering) Endepunkt/Kalds control
TCP/UDP 40000-49999 <any> RTP/RTCP/RDP/DTLS/RTMP/STUN/TURN Endepunkt/Kalds ctrl./S4B/Pexip klient
TCP 40000-49999 1935 RTMP RTMP streaming server
TCP (TLS) 55000-6535 443/8057 PSOM(Powerpoint præsentaion fra S4B) S4B/Lync web konference service
TCP (TLS) 55000-65535 443 HTTPS(Powerpoint præsentaion fra S4B) S4B/Lync Front End Server/ Edge Server
UDP 123,55000-65535 123 NTP NTP Server
UDP <any> 161 SNMP** SNMP NMS
UDP 500 500 ISAKMP(IPsec) Management-node/Konferencenode
UDP 55000-65535 514 Syslog** Syslog Server
UDP 33000-39999 1719 H.323(RAS signalering) Endepunkt/Kalds control
UDP 40000-49999 3478 STUN/TURN STUN/TURN server
ESP n/a n/a IPsec/IP protokol 50 Management-node/Konferencenode
* Krævet for konsol adgang til serveren
** Kan udelades hvis servicen ikke benyttes
STATISTIK
For statistisk opsamling skal der åbnes for port 22 og 443 mod 77.243.48.172 og SSH mod 77.243.51.142
6 Per Abildgaard
[email protected] 31-05-2018
BESKRIVELSE AF PORTE
Indgående porte:
Konferenceservere
• 500 /UDP
• ESP / IP – Protokol 50 (vpn tunnel mellem samtlige konferenceservere i VDX)
SIP-endepunkter:
• 5060/TCP – SIP
• 5061/TCP – SIP Secure (TLS)
• 40000-49999 UDP - Medie RTP/RTCP
Browser/WebRTC
• 80/TCP – Standard web, redirect til https
• 443/TCP – SIP Secure (TLS)
• 40000-49999 UDP - Medie RTP/RTCP (Pexip)
For Skype 4 Business og Lync:
• 80/TCP – Konference Avatar
• 5061 TCP - SIP secure (TLS)
• 40000-49999 UDP - Medie RTP/RTCP (Lync/S4B (Edge))
• 40000-49999 TCP - Medie RDP/RTMP (Lync/S4B (Edge))
H.323-systemer:
• 1719/UDP – H.323 RAS signalering
• 1720/TCP – H.323 H225 signalering
• 33000-39999 TCP / H323 Q931/H245 Signalering
• 40000-49999/UDP – Medie (RTP/RTCP)
Andre (kan udelades)
• 80 & 443 / TCP – Klient API
• 443 /TCP – Outlook klient (endnu ikke understøttet af VDX)
• 22 / TCP ( SSH) – Administrator adgang
• 161 / UDP – SNMP
8 Per Abildgaard
[email protected] 31-05-2018
UDGÅENDE PORTE:
Konferenceservere
• 500 /UDP
• ESP / IP – Protokol 50 (VPN-tunnel mellem samtlige konferenceservere i VDX)
Endepunkter og klienter:
• 1719/UDP – H.323 RAS signalering
• 1720/TCP – H.323 H225 signalering
• 5060/TCP - SIP
• 5061/TCP – SIP Secure (TLS)
• <Any> / TCP – H.323 Q.931/H.254 Signalering
• <Any> / TCP & UDP – Medie (RTP/RTCP/RDP/DTLS/RTMP/STUN/TURN)
Andre:
• 3478 / UDP – STUN / TURN
• 53 / TCP & UDP – DNS
• 514 / UDP – Syslog ( kan udelades )
• 161 / UDP – SNMP ( kan udelades )
• 443 / TCP – Fejl rapportering
• 1935 / TCP – RTMP Streaming
• 443 / 8057 / TCP – Lync/S4B Web konferencer
• 443 / TCP (HTTPS) – Lync/S4B server
10 Per Abildgaard
[email protected] 31-05-2018
6. Certifikat Der kan benyttes SAN eller Single certifikat på serveren. Ved flere servere anbefales det at benyttes SAN, se eksempel:
• CN = sip.dit.domæne.dk
• SAN= server1.dit.domæne.dk
• SAN= server2.dit.domæne.dk
• CSR: Kan genereres direkte på serveren via openssl, brug evt. dette værktøj:
https://www.digicert.com/easy-csr/openssl.htm
Certifikat, private key og intermediate sendes til [email protected], hvorefter det uploades til din server. Dette kan ikke
gøres lokalt.
7. DNS Følgende service-records skal være tilstede (nedenstående er et eksempel på en server).
Ved egen Lync/S4B skal der benyttes et sub-domæne, da SRV-recorden ”_sipfederationtls._tcp.dit.domæne.dk” kun kan
eksistere en gang på hvert domæne.
_h323.cs._tcp.dit.domæne.dk - 1720 – server1.dit.domæne.dk – 123.123.123.123
_h323.ls._udp.dit.domæne.dk – 1719 – server1.dit.domæne.dk – 123.123.123.123
_sip._tcp.dit.domæne.dk – 5060 – server1.dit.domæne.dk – 123.123.123.123
_sips._tcp.dit.domæne.dk - 5061 – server1.dit.domæne.dk – 123.123.123.123
_sipfederationtls._tcp.dit.domæne.dk – 5061 – sip.dit.domæne.dk – 123.123.123.123
_pexapp._tcp.dit.domæne.dk - 443 – dit.domæne.dk – 123.123.123.123
Du kan teste dit DNS-setup på denne adresse: https://dns.pexip.com Prøv evt. at teste domænet ”rooms.vconf.dk”
8. Opdatering og patchning Den decentrale konferenceserver bliver automatisk patchet og opdateret fra den centrale server.
Organisationen får tilsendt en servicemeddelelse forud for opdateringen / patchningen.
11 Per Abildgaard
[email protected] 31-05-2018
9. Management og Booking For at kunne oprette brugere, møderum m.m. samt benytte booking-platformen skal I have adgang til SDN (Sundhedsdatanettet) og oprette en aftale mod servicen, Service ID:2677, Navn ”Synergy”.
Spørgsmål om SDN kan rettes til [email protected].
10. Branding af møderum Med egen decentral konferenceserver er det muligt at tilpasse udseendet på ens møderum, så de afspejler
organisationens eget logo, farver og lyd:
• Layout for møderum: Selve møderummet består af en række billeder, der kan ændres efter behov. På MedComs
hjemmeside finder I eksempler på MedCom-møderum. Opløsningen på billederne må ikke ændres. Grafisk stilles
der ikke krav.
• Lyd i møderum: I eksemplerne er der også lydfiler på engelsk. Ved behov er det muligt at lave nye lydfiler.
• Layout og webklient: Hvis organisationen ønsker at tilpasse udseendet på webklienten (dvs. hvor video tilgås via
ens browser), skal der laves en separat branding af klienten. Vær opmærksom på, at dette vil kræve en reverse
proxyserver.
Link til MedComs branding: https://www.medcom.dk/media/8487/medcom_tema.zip
Læs evt. mere om webklienten her: https://www.medcom.dk/systemforvaltning/videoknudepunktet-vdx/vejledninger-og-
installationsfiler/tekniske-vejledninger-og-installationsfiler
11. Support Du kan på MedComs hjemmeside læse om VDX-support: https://www.medcom.dk/opslag/support/videoknudepunktet-
vdx
Serviceleverandøren for VDX overvåger den decentrale konferenceserver. I tilfælde af incidents sender serviceleverandøren besked til organisationen jf. samarbejdsaftalen.
12. Har du spørgsmål? …. er du velkommen til at kontakte MedCom ved at skrive til [email protected]
