Wymagania techniczne dotyczące działania systemu Tritius na własnym serwerze
- 1 Ogólnie
- 2 Wymagania sprzętowe serwera
- 3 Wymagania sprzętowe serwera — wirtualizacja
- 4 Tworzenie kopii zapasowych — zdalne przechowywanie danych
- 5 Infrastruktura sieciowa
- 5.1 Udostępnienie portów (kierunek przychodzący
- 5.2 Adresy IP centrów serwisowych
- 5.3 Zezwolenie na komunikację wychodzącą (kierunek wychodzący
- 5.4 Prawidłowe ustawienia proxy / zapory sieciowej / routera
- 5.5 Bezpieczne umiejscowienie w infrastrukturze sieciowej
- 5.6 Veřejný přístup k webovému systému (HTTPS
- 5.7 Provoz na lokální síti
- 5.8 Odchozí SMTP server
Ogólnie
Tritius można uruchomić na własnym serwerze w formie wstępnie zainstalowanej maszyny wirtualnej.
O serwer, rozwiązanie wirtualizacyjne i jego zarządzanie dba się samodzielnie lub, po uzgodnieniu zdalnego dostępu, wspólnie z nami.
Tritius jest wtedy dostępny jako zwykła aplikacja internetowa, a do korzystania z niej wystarczy zwykła przeglądarka internetowa.
O kopie zapasowe danych i ich archiwizację dbasz sam – możesz skorzystać z naszych gotowych narzędzi, które wystarczy skonfigurować, aby uzyskać dostęp do zdalnego magazynu danych.
Wymagania sprzętowe serwera
Wymagania dotyczące działania systemu Tritius mają charakter orientacyjny, ponieważ rzeczywiste wymagania systemu mogą się różnić, zwłaszcza w zależności od całkowitej ilości skatalogowanych danych i liczby jednocześnie pracujących użytkowników.
Zalecane konfiguracje zakładają działanie całego systemu na jednym serwerze (baza danych + aplikacja serwerowa Tritius + katalog internetowy). Części te można jednak (ze względów bezpieczeństwa i wydajności) obsługiwać oddzielnie.
W przypadku ponad 200 000 woluminów nie zalecamy obsługi systemu na dyskach zewnętrznych (macierzach dyskowych), ale tylko na dedykowanych dyskach umieszczonych bezpośrednio w serwerach.
Wielkość zbioru (liczba tomów) | Liczba użytkowników pracujących jednocześnie | Procesor Tritius | Procesor liczba rdzeni | Dysk Tritius | Dysk (Typ) | RAM Tritius |
|---|---|---|---|---|---|---|
| do 20.000 | < 5 | 2,4GHz | 4 | 50GB | 8GB | |
| do 50.000 | < 10 | 2,4GHz | 4 | 100GB | 12GB | |
| do 100.000 | < 20 | 2,4GHz | 6 | 100GB | 16GB | |
| do 200.000 | < 30 | 3,2GHz | 6 | 200GB | 24GB | |
| do 500.000 | < 50 | 3,2GHz | 8 | 250GB | SSD / M.2 | 48GB |
| do 1.000.000 | < 100 | 3,2GHz | > 12 | 500GB | SSD / M.2 | 64GB |
| ponad 1.000.000 | indywidualna ocena | |||||
Wymagania sprzętowe serwera — wirtualizacja
System Tritius jest obecnie dystrybuowany wyłącznie jako wstępnie zainstalowana maszyna wirtualna w formacie OVF (https://en.wikipedia.org/wiki/Open_Virtualization_Format).
Wirtualną maszynę można uruchomić na niektórych rozwiązaniach wirtualizacyjnych obsługujących format OVF:
- VirtualBox - w wersji podstawowej jest całkowicie bezpłatny,
- VMware - wysokiej jakości płatne rozwiązanie,
- KVM,
- Hyper-V,
- Xen (tryb PV).
Zapewniamy pełne wsparcie i pomoc przy instalacji w VirtualBox na systemie operacyjnym Windows. W przypadku innych rozwiązań prosimy sprawdzić tabelę poniżej.
Podstawowe wsparcie przy imporcie i obsłudze VM oznacza przekazanie podstawowych informacji lub instrukcji, które zostały wykorzystane przez innych klientów, ewentualnie kontakt z innymi klientami korzystającymi z tego rozwiązania – oczywiście bez żadnej gwarancji.
| Rozwiązania wirtualizacyjne | Przekazanie wstępnie zainstalowanej VM (OVF) | Podstawowa pomoc techniczna dotycząca importu i obsługi VM | Instalacja i konfiguracja rozwiązania wirtualizacyjnego oraz import VM |
|---|---|---|---|
| VirtualBox na OS Windows | Tak | Tak | bezpłatnie |
| VirtualBox na OS Linux | Tak | Tak | na żądanie jako usługa płatna lub możliwość pośrednictwa strony trzeciej |
| VMware, KVM, Hyper-V, XEN | Tak | Tak | wyłącznie pod Państwa kierownictwem |
Tworzenie kopii zapasowych — zdalne przechowywanie danych
Kopie zapasowe są automatycznie tworzone lokalnie bezpośrednio na maszynie wirtualnej, a następnie przenoszone do zdalnej pamięci masowej.
Opcjonalnie można również skorzystać z gotowego skryptu do rotacji kopii zapasowych (kopie dzienne, tygodniowe i miesięczne).
Obecnie obsługujemy automatyczne zapisywanie do zdalnych pamięci masowych dostępnych za pośrednictwem protokołów:
- FTP,
- NFS (Linux sieciowy filesystem),
- CIFS (Windows udostępnianie folderów),
- SMB (Windows udostępnianie folderów).
Infrastruktura sieciowa
Do działania Tritia potrzebne jest połączenie internetowe, publiczny adres IP oraz następujące ustawienia infrastruktury sieciowej.
Jeśli chcesz skorzystać z naszej oferty bezpłatnego certyfikatu HTTPS, potrzebujesz publicznego adresu IP z wolnymi (niewykorzystanymi) portami 80 i 443.
Udostępnienie portów (kierunek przychodzący)
Na Państwa publicznym adresie IP należy udostępnić następujące porty, które należy tunelować (przekierować) na lokalne porty VM.
| Publiczne IP | Publiczny port | Lokalny adres IP | Lokalny port | Protokół | Zalecane ograniczenia dostępu | Uwaga |
|---|---|---|---|---|---|---|
| Twój publiczny adres IP | 443* | Lokalne IP VM | 443 | HTTPS | Dostęp bez ograniczeń | Dostęp do bezpiecznej aplikacji internetowej Tritia (katalog internetowy i obsługa biblioteki). |
| Twój publiczny adres IP | 80* | Lokalne IP VM | 80 | HTTP | Dostęp bez ograniczeń | Dostęp do aplikacji internetowej Tritia (katalog internetowy i obsługa biblioteki). Serwer internetowy Tritia zawsze automatycznie przekierowuje użytkownika na bezpieczny protokół HTTPS. |
| Twój publiczny adres IP | 9998 | Lokalne IP VM | 9998 | Z-Server | Dostęp bez ograniczeń | Dostęp do serwera Z, jeśli jest on dozwolony dla danej instancji. |
| Twój publiczny adres IP | 22 (lub inne uzgodnione) | Lokalne IP VM | 22 | SSH | Tylko adresy IP centrów serwisowych | Połączenie SSH z maszyną wirtualną z Tritium w celu zarządzania i konserwacji. |
| Twój publiczny adres IP | 10050 (lub inne uzgodnione) | Lokalne IP VM | 10050 | ZBX | Tylko adresy IP centrów serwisowych | Monitorowanie stanu VM za pomocą Tritium przez Zabbix (monitorowanie pasywne, dla połączeń przychodzących). |
| Twój publiczny adres IP | 9010 (lub inne uzgodnione) | Lokalne IP VM | 9010 | JMX | Tylko adresy IP centrów serwisowych | Monitorowanie stanu Tritia przez JMX. |
*Jeśli masz odwrotny serwer proxy i chcesz korzystać z systemu za tym serwerem, nie ma potrzeby tunelowania portów HTTP i HTTPS. Konfiguracja serwera proxy należy do Ciebie, w tym zapewnienie i instalacja certyfikatu SSL.
Adresy IP centrów serwisowych
Z poniższych adresów IP wykonywane są czynności serwisowe i regularna konserwacja. Zaleca się ograniczenie dostępu do niektórych otwartych portów do tych adresów IP (patrz tabele wymagań dotyczących infrastruktury sieciowej).
| Publiczny adres IP | Opis |
|---|---|
| 77.240.190.199 | Brno 1 (Server hosting ZD - VPN) |
| 95.129.100.95 | Brno 2 (Server hosting ZD) |
| 95.129.102.38 | Brno 3 (Centrum techniczne) |
| 95.129.102.97 | Brno 4 (Centrum techniczne - rezerwowy) |
| 81.19.2.225 | Brno 5 (Technická podpora - nowy dostawca internetu) |
| 77.240.184.80 | Brno 6 (Gateway) |
| 31.30.125.177 | Tábor biuro |
| 195.113.153.8 | Tábor 1 |
| 82.142.98.148 | Tábor 2 |
Zezwolenie na komunikację wychodzącą (kierunek wychodzący)
Ten rozdział nie dotyczy Państwa, jeśli nie ograniczają Państwo komunikacji wychodzącej w swojej sieci.
Jeśli w sieci ograniczasz komunikację wychodzącą (zapora sieciowa na routerze lub serwerze fizycznym), należy zezwolić na następującą komunikację z maszyny wirtualnej do portów docelowych i adresów IP.
| Adresy docelowe IP | Port docelowy | Protokół | Uwaga |
|---|---|---|---|
| Intranet, internet | 80 | HTTP | Połączenie z zewnętrznymi niezabezpieczonymi usługami (np. pobieranie plików, dyskusje itp.) |
| Intranet, internet | 443 | HTTPS | Połączenie z zabezpieczonymi usługami zewnętrznymi (np. MojeId, elektroniczne wypożyczenia itp.) |
| Internet | 9991 | Z39.50 | Pobieranie rekordów przez Z39.50 z publicznych serwerów Z39.50. |
| Internet | 9000 | Z39.50 | Pobieranie rekordów przez Z39.50 z publicznych serwerów Z39.50. |
| vega.nkp.cz | 57779 | SSH | Tunel SSH do wysyłania autorytetów do Biblioteki Narodowej. |
| emvs0.tritius.eu emvs2.clavius.cz | 2516* 2517* | SMTP | Wysyłanie wiadomości e-mail za pośrednictwem domyślnego zewnętrznego serwera SMTP pierwotnego i pomocniczego. |
| carmen.skat.cz | 8080 8433 80 443 | HTTP | Recenzje i okładki książek z Jessiki |
| Jen IP adresy servisních středisek | 10051 | ZBX | Monitorowanie stanu VM za pomocą Tritium przez Zabbix (aktywne wysyłanie, dla połączeń wychodzących). |
| ftp.nkp.cz | 21** | FTP | Wysyłanie statystyk DILIA. |
| sqlmicro0.vkta.cz | 33063*** | Połączenie z bazą danych podczas importowania danych. | |
| knihovny.net | 33062*** | Połączenie z bazą danych podczas importowania danych. |
*Jeśli posiadasz własny serwer SMTP, z którego chcesz korzystać, nie ma potrzeby zezwalania na komunikację z domyślnymi zewnętrznymi serwerami SMTP.
**Jeśli nie planujesz wysyłać statystyk DILIA, konfiguracja tego portu nie jest obowiązkowa.
***Jeśli podczas wdrażania konieczne będzie połączenie z naszą bazą danych.
Prawidłowe ustawienia proxy / zapory sieciowej / routera
Prawie zawsze w bibliotece znajduje się jakiś element, który obsługuje publiczny adres IP, a następnie przekierowuje dane do maszyny wirtualnej z Tritiem. Dochodzi do klasycznego przekierowania, a tym samym do zmiany adresów IP zawartych w nagłówkach żądań HTTP. Niektóre funkcje Tritia są zależne od rozróżnienia między użytkownikami wewnętrznymi i zewnętrznymi (zwłaszcza statystyki dostępu do katalogu), dlatego konieczne jest zapewnienie, aby katalog otrzymał informację o pierwotnym adresie IP, z którego pochodzi żądanie. Służy do tego nagłówek HTTP X-FORWARDED-FOR, który musi być prawidłowo skonfigurowany przez element proxy.
Konkretne ustawienia różnią się w zależności od używanego elementu sieciowego lub serwera. Prosimy skonsultować się z administratorem.
Bezpieczne umiejscowienie w infrastrukturze sieciowej
Ten rozdział nie dotyczy Państwa, jeśli nie wymagają Państwo wysokiego poziomu bezpieczeństwa.
Jeśli wymagany jest bardzo wysoki poziom bezpieczeństwa, należy zapewnić bezpieczną lokalizację maszyny wirtualnej w ramach infrastruktury sieciowej. Dotyczy to wyłącznie szczególnych przypadków, w których klienci sami są świadomi tej potrzeby.
W takich przypadkach konieczne jest umieszczenie maszyny wirtualnej w infrastrukturze sieciowej w taki sposób, aby miała dostęp wyłącznie do niezbędnych zasobów i tylko w wymaganym kierunku. VM nie może mieć dostępu do zasobów ryzykownych – można to zapewnić np. za pomocą zapory sieciowej lub umieszczenia w strefie DMZ. W praktyce oznacza to zezwolenie na komunikację sieciową tylko na starannie wybranych portach, które są dodatkowo ograniczone adresami IP.
Wykorzystane technologie, protokoły i oprogramowanie
Jeśli korzystasz z zaawansowanej zapory sieciowej, która szczegółowo monitoruje ruch, musisz skonfigurować dla maszyny wirtualnej z Tritium oczekiwany ruch, używane protokoły i oprogramowanie. Poniżej znajduje się tabela przeglądowa.
| Kategorie | Komponent | Uwaga |
|---|---|---|
| OS | Debian 9 | Operační systém |
| NTP | Protokol pro nastavení vnitřního času. | |
| SSH | Přístup pro servisní pracovníky. Chráněno certifikáty. | |
| Web | Apache HTTP Server | Porty 80/433 |
| Web | Apache Tomcat | Aplikační server,není vidět z venku, komunikuje s Apache HTTP Server pomocí AJP protokolu. |
| Databáze | MySQL | K MySQL databázi nelze přistoupit zvenčí. |
| Dohled | Zabbix | Standardně na portu 10051. Chráněno přihlašovacími údaji. |
| Dohled | JMX | Standardně na portu 9010. Chráněno přihlašovacími údaji. |
| SMTP | Tritius odesílá e-maily pomocí externího SMTP serveru. | |
| Integrace | Z-server | Standardně na portu 9998. |
| Integrace | OAI server | Komunikuje na HTTP protokolu. |
| Integrace | NCIP server | Komunikuje na HTTP protokolu. |
Veřejný přístup k webovému systému (HTTPS)
Webový systém Tritius je možné vystavit na dohodnuté doménové adrese.
Systém z bezpečnostních důvodů podporuje výhradně komunikaci pod zabezpečeným protokolem HTTPS. SSL certifikát k dohodnuté doméně zajistíme zdarma (případně je možné použít již existujícící certifikát, pokud takový vlastníte).
Pro zajištění veřejného přístupu k webovému systému Tritius existují následující možnosti:
- Umístění webového systému na novou doménu 3. řádu - nejsnadnější a námi doporučovanou varianta
- Vyžaduje vlastnictví volné veřejné IP adresy s volným portem 80 a 443. (Port 80 je vyžadován jen pro automatické přesměrování uživatelů, kteří omylem přistoupí k nezabezpečenému HTTP)
- Příklad pro knihovnu s názvem "Dobrá Knihovna", která vlastní doménu "dobraknihovna.cz" a veřejnou IP adresu 99.88.77.66:
- Je třeba vytvořit DNS záznam typu A: "tritius.dobraknihovna.cz A 99.88.77.66"
- Katalog pro čtenáře: https://tritius.dobraknihovna.cz/Katalog
- Přístup pro obsluhu: https://tritius.dobraknihovna.cz/Tritius
- Umístění webového systému na existující doménu za reverzní proxy server - složitější varianta, ale nevyžaduje volnou veřejnou IP adresu
- Vyžaduje přístup k existujícímu webovému serveru na dané doméně a možnost jeho nastavení jako reverzní proxy server.
- Příklad pro knihovnu s názvem "Dobrá Knihovna", která vlastní doménu "dobraknihovna.cz", na které provozuje webové stránky na adrese http://www.dobraknihovna.cz:
- Je třeba zajistit provoz existujícího webového serveru pod HTTPS - webové stránky nově poběží také na adrese https://www.dobraknihovna.cz (je třeba pořídit SSL certifikát)
- Je třeba zajistit nastavení existujícího webového serveru jako reverzní proxy pro adresy https://www.dobraknihovna.cz/Katalog a https://www.dobraknihovna.cz/Tritius, které budou v lokální síti přesměrovány na virtuální stroj s běžícím Tritiem
- Katalog pro čtenáře: https://www.dobraknihovna.cz/Katalog
- Přístup pro obsluhu: https://www.dobraknihovna.cz/Tritius
- Nastavení reverzní proxy
- Apache
- ProxyRequests Off
- ProxyPreserveHost On
- Timeout 300
- ProxyTimeout 300
- RequestHeader X-Forwarded-Proto "https"
- IIS
- Actions → add
- HTTP_X_FORWARDED_HOST = tritius.knihovna.cz
- HTTP_X_FORWARDED_PROTO = https
- Apache
Provoz na lokální síti
Pokud je server s Tritiem umístěn přímo v lokální síti knihovny, musí být zajištěna možnost komunikace lokálních počitačů s Tritiem. Je třeba zvážit několik potenciálních problémů a uzpůsobit tomu síťovou infrastrukturu a/nebo nastavení:
- Překlad DNS jména např. tritius.knihovna.cz vede na veřejnou IP adresu serveru s Tritiem. Tato IP adresa musí být dostupný i z lokální sítě. Ne vždy je to možné.
- Lze použít lokální DNS server, který pro dotazy z lokální sítě bude vracet přímo lokální IP adresu.
- Lze použít proxy/firewall, který požadavky směřující na danou doménu přesměruje na lokální server.
- Lze použít lokální záznamy DNS v souboru hosts a donutit tak stanice komunikovat s lokální IP adresou.
Odchozí SMTP server
Tritius odesílá mnoho různých typů e-mailů (upomínky, novinky apod.) a proto potřebuje nějaký SMTP server pro odesílání pošty. Ve standardním nastavení Tritia jsou použity servery společnosti Tritius Solutions a.s. Při instalaci Tritia na vlastní server knihovny je běžné použít interní SMTP server knihovny.
Tritius na SMTP knihovny neklade žádné zvláštní požadavky. Pouze doporučujeme zvážit řádně zabezpečení SMTP serveru (jeho umístění v infrastruktuře, šifrování a použité verze protokolů), aby se knihovna nestala rozesílačem spamu.
Dále: