Wymagania techniczne dotyczące działania systemu Tritius na własnym serwerze
- 1 Ogólnie
- 2 Wymagania sprzętowe serwera
- 3 Wymagania sprzętowe serwera — wirtualizacja
- 4 Tworzenie kopii zapasowych — zdalne przechowywanie danych
- 5 Infrastruktura sieciowa
- 5.1 Udostępnienie portów (kierunek przychodzący
- 5.2 Adresy IP centrów serwisowych
- 5.3 Zezwolenie na komunikację wychodzącą (kierunek wychodzący
- 5.4 Prawidłowe ustawienia proxy / zapory sieciowej / routera
- 5.5 Bezpieczne umiejscowienie w infrastrukturze sieciowej
- 5.6 Publiczny dostęp do systemu internetowego (HTTPS
- 5.7 Działanie w sieci lokalnej
- 5.8 Serwer wychodzący SMTP
Ogólnie
Tritius można uruchomić na własnym serwerze w formie wstępnie zainstalowanej maszyny wirtualnej.
O serwer, rozwiązanie wirtualizacyjne i jego zarządzanie dba się samodzielnie lub, po uzgodnieniu zdalnego dostępu, wspólnie z nami.
Tritius jest wtedy dostępny jako zwykła aplikacja internetowa, a do korzystania z niej wystarczy zwykła przeglądarka internetowa.
O kopie zapasowe danych i ich archiwizację dbasz sam – możesz skorzystać z naszych gotowych narzędzi, które wystarczy skonfigurować, aby uzyskać dostęp do zdalnego magazynu danych.
Wymagania sprzętowe serwera
Wymagania dotyczące działania systemu Tritius mają charakter orientacyjny, ponieważ rzeczywiste wymagania systemu mogą się różnić, zwłaszcza w zależności od całkowitej ilości skatalogowanych danych i liczby jednocześnie pracujących użytkowników.
Zalecane konfiguracje zakładają działanie całego systemu na jednym serwerze (baza danych + aplikacja serwerowa Tritius + katalog internetowy). Części te można jednak (ze względów bezpieczeństwa i wydajności) obsługiwać oddzielnie.
W przypadku ponad 200 000 woluminów nie zalecamy obsługi systemu na dyskach zewnętrznych (macierzach dyskowych), ale tylko na dedykowanych dyskach umieszczonych bezpośrednio w serwerach.
Wielkość zbioru (liczba tomów) | Liczba użytkowników pracujących jednocześnie | Procesor Tritius | Procesor liczba rdzeni | Dysk Tritius | Dysk (Typ) | RAM Tritius |
|---|---|---|---|---|---|---|
| do 20.000 | < 5 | 2,4GHz | 4 | 50GB | 8GB | |
| do 50.000 | < 10 | 2,4GHz | 4 | 100GB | 12GB | |
| do 100.000 | < 20 | 2,4GHz | 6 | 100GB | 16GB | |
| do 200.000 | < 30 | 3,2GHz | 6 | 200GB | 24GB | |
| do 500.000 | < 50 | 3,2GHz | 8 | 250GB | SSD / M.2 | 48GB |
| do 1.000.000 | < 100 | 3,2GHz | > 12 | 500GB | SSD / M.2 | 64GB |
| ponad 1.000.000 | indywidualna ocena | |||||
Wymagania sprzętowe serwera — wirtualizacja
System Tritius jest obecnie dystrybuowany wyłącznie jako wstępnie zainstalowana maszyna wirtualna w formacie OVF (https://en.wikipedia.org/wiki/Open_Virtualization_Format).
Wirtualną maszynę można uruchomić na niektórych rozwiązaniach wirtualizacyjnych obsługujących format OVF:
- VirtualBox - w wersji podstawowej jest całkowicie bezpłatny,
- VMware - wysokiej jakości płatne rozwiązanie,
- KVM,
- Hyper-V,
- Xen (tryb PV).
Zapewniamy pełne wsparcie i pomoc przy instalacji w VirtualBox na systemie operacyjnym Windows. W przypadku innych rozwiązań prosimy sprawdzić tabelę poniżej.
Podstawowe wsparcie przy imporcie i obsłudze VM oznacza przekazanie podstawowych informacji lub instrukcji, które zostały wykorzystane przez innych klientów, ewentualnie kontakt z innymi klientami korzystającymi z tego rozwiązania – oczywiście bez żadnej gwarancji.
| Rozwiązania wirtualizacyjne | Przekazanie wstępnie zainstalowanej VM (OVF) | Podstawowa pomoc techniczna dotycząca importu i obsługi VM | Instalacja i konfiguracja rozwiązania wirtualizacyjnego oraz import VM |
|---|---|---|---|
| VirtualBox na OS Windows | Tak | Tak | bezpłatnie |
| VirtualBox na OS Linux | Tak | Tak | na żądanie jako usługa płatna lub możliwość pośrednictwa strony trzeciej |
| VMware, KVM, Hyper-V, XEN | Tak | Tak | wyłącznie pod Państwa kierownictwem |
Tworzenie kopii zapasowych — zdalne przechowywanie danych
Kopie zapasowe są automatycznie tworzone lokalnie bezpośrednio na maszynie wirtualnej, a następnie przenoszone do zdalnej pamięci masowej.
Opcjonalnie można również skorzystać z gotowego skryptu do rotacji kopii zapasowych (kopie dzienne, tygodniowe i miesięczne).
Obecnie obsługujemy automatyczne zapisywanie do zdalnych pamięci masowych dostępnych za pośrednictwem protokołów:
- FTP,
- NFS (Linux sieciowy filesystem),
- CIFS (Windows udostępnianie folderów),
- SMB (Windows udostępnianie folderów).
Infrastruktura sieciowa
Do działania Tritia potrzebne jest połączenie internetowe, publiczny adres IP oraz następujące ustawienia infrastruktury sieciowej.
Jeśli chcesz skorzystać z naszej oferty bezpłatnego certyfikatu HTTPS, potrzebujesz publicznego adresu IP z wolnymi (niewykorzystanymi) portami 80 i 443.
Udostępnienie portów (kierunek przychodzący)
Na Państwa publicznym adresie IP należy udostępnić następujące porty, które należy tunelować (przekierować) na lokalne porty VM.
| Publiczne IP | Publiczny port | Lokalny adres IP | Lokalny port | Protokół | Zalecane ograniczenia dostępu | Uwaga |
|---|---|---|---|---|---|---|
| Twój publiczny adres IP | 443* | Lokalne IP VM | 443 | HTTPS | Dostęp bez ograniczeń | Dostęp do bezpiecznej aplikacji internetowej Tritia (katalog internetowy i obsługa biblioteki). |
| Twój publiczny adres IP | 80* | Lokalne IP VM | 80 | HTTP | Dostęp bez ograniczeń | Dostęp do aplikacji internetowej Tritia (katalog internetowy i obsługa biblioteki). Serwer internetowy Tritia zawsze automatycznie przekierowuje użytkownika na bezpieczny protokół HTTPS. |
| Twój publiczny adres IP | 9998 | Lokalne IP VM | 9998 | Z-Server | Dostęp bez ograniczeń | Dostęp do serwera Z, jeśli jest on dozwolony dla danej instancji. |
| Twój publiczny adres IP | 22 (lub inne uzgodnione) | Lokalne IP VM | 22 | SSH | Tylko adresy IP centrów serwisowych | Połączenie SSH z maszyną wirtualną z Tritium w celu zarządzania i konserwacji. |
| Twój publiczny adres IP | 10050 (lub inne uzgodnione) | Lokalne IP VM | 10050 | ZBX | Tylko adresy IP centrów serwisowych | Monitorowanie stanu VM za pomocą Tritium przez Zabbix (monitorowanie pasywne, dla połączeń przychodzących). |
| Twój publiczny adres IP | 9010 (lub inne uzgodnione) | Lokalne IP VM | 9010 | JMX | Tylko adresy IP centrów serwisowych | Monitorowanie stanu Tritia przez JMX. |
*Jeśli masz odwrotny serwer proxy i chcesz korzystać z systemu za tym serwerem, nie ma potrzeby tunelowania portów HTTP i HTTPS. Konfiguracja serwera proxy należy do Ciebie, w tym zapewnienie i instalacja certyfikatu SSL.
Adresy IP centrów serwisowych
Z poniższych adresów IP wykonywane są czynności serwisowe i regularna konserwacja. Zaleca się ograniczenie dostępu do niektórych otwartych portów do tych adresów IP (patrz tabele wymagań dotyczących infrastruktury sieciowej).
| Publiczny adres IP | Opis |
|---|---|
| 77.240.190.199 | Brno 1 (Server hosting ZD - VPN) |
| 95.129.100.95 | Brno 2 (Server hosting ZD) |
| 95.129.102.38 | Brno 3 (Centrum techniczne) |
| 95.129.102.97 | Brno 4 (Centrum techniczne - rezerwowy) |
| 81.19.2.225 | Brno 5 (Technická podpora - nowy dostawca internetu) |
| 77.240.184.80 | Brno 6 (Gateway) |
| 31.30.125.177 | Tábor biuro |
| 195.113.153.8 | Tábor 1 |
| 82.142.98.148 | Tábor 2 |
Zezwolenie na komunikację wychodzącą (kierunek wychodzący)
Ten rozdział nie dotyczy Państwa, jeśli nie ograniczają Państwo komunikacji wychodzącej w swojej sieci.
Jeśli w sieci ograniczasz komunikację wychodzącą (zapora sieciowa na routerze lub serwerze fizycznym), należy zezwolić na następującą komunikację z maszyny wirtualnej do portów docelowych i adresów IP.
| Adresy docelowe IP | Port docelowy | Protokół | Uwaga |
|---|---|---|---|
| Intranet, internet | 80 | HTTP | Połączenie z zewnętrznymi niezabezpieczonymi usługami (np. pobieranie plików, dyskusje itp.) |
| Intranet, internet | 443 | HTTPS | Połączenie z zabezpieczonymi usługami zewnętrznymi (np. MojeId, elektroniczne wypożyczenia itp.) |
| Internet | 9991 | Z39.50 | Pobieranie rekordów przez Z39.50 z publicznych serwerów Z39.50. |
| Internet | 9000 | Z39.50 | Pobieranie rekordów przez Z39.50 z publicznych serwerów Z39.50. |
| vega.nkp.cz | 57779 | SSH | Tunel SSH do wysyłania autorytetów do Biblioteki Narodowej. |
| emvs0.tritius.eu emvs2.clavius.cz | 2516* 2517* | SMTP | Wysyłanie wiadomości e-mail za pośrednictwem domyślnego zewnętrznego serwera SMTP pierwotnego i pomocniczego. |
| carmen.skat.cz | 8080 8433 80 443 | HTTP | Recenzje i okładki książek z Jessiki |
| Jen IP adresy servisních středisek | 10051 | ZBX | Monitorowanie stanu VM za pomocą Tritium przez Zabbix (aktywne wysyłanie, dla połączeń wychodzących). |
| ftp.nkp.cz | 21** | FTP | Wysyłanie statystyk DILIA. |
| sqlmicro0.vkta.cz | 33063*** | Połączenie z bazą danych podczas importowania danych. | |
| knihovny.net | 33062*** | Połączenie z bazą danych podczas importowania danych. |
*Jeśli posiadasz własny serwer SMTP, z którego chcesz korzystać, nie ma potrzeby zezwalania na komunikację z domyślnymi zewnętrznymi serwerami SMTP.
**Jeśli nie planujesz wysyłać statystyk DILIA, konfiguracja tego portu nie jest obowiązkowa.
***Jeśli podczas wdrażania konieczne będzie połączenie z naszą bazą danych.
Prawidłowe ustawienia proxy / zapory sieciowej / routera
Prawie zawsze w bibliotece znajduje się jakiś element, który obsługuje publiczny adres IP, a następnie przekierowuje dane do maszyny wirtualnej z Tritiem. Dochodzi do klasycznego przekierowania, a tym samym do zmiany adresów IP zawartych w nagłówkach żądań HTTP. Niektóre funkcje Tritia są zależne od rozróżnienia między użytkownikami wewnętrznymi i zewnętrznymi (zwłaszcza statystyki dostępu do katalogu), dlatego konieczne jest zapewnienie, aby katalog otrzymał informację o pierwotnym adresie IP, z którego pochodzi żądanie. Służy do tego nagłówek HTTP X-FORWARDED-FOR, który musi być prawidłowo skonfigurowany przez element proxy.
Konkretne ustawienia różnią się w zależności od używanego elementu sieciowego lub serwera. Prosimy skonsultować się z administratorem.
Bezpieczne umiejscowienie w infrastrukturze sieciowej
Ten rozdział nie dotyczy Państwa, jeśli nie wymagają Państwo wysokiego poziomu bezpieczeństwa.
Jeśli wymagany jest bardzo wysoki poziom bezpieczeństwa, należy zapewnić bezpieczną lokalizację maszyny wirtualnej w ramach infrastruktury sieciowej. Dotyczy to wyłącznie szczególnych przypadków, w których klienci sami są świadomi tej potrzeby.
W takich przypadkach konieczne jest umieszczenie maszyny wirtualnej w infrastrukturze sieciowej w taki sposób, aby miała dostęp wyłącznie do niezbędnych zasobów i tylko w wymaganym kierunku. VM nie może mieć dostępu do zasobów ryzykownych – można to zapewnić np. za pomocą zapory sieciowej lub umieszczenia w strefie DMZ. W praktyce oznacza to zezwolenie na komunikację sieciową tylko na starannie wybranych portach, które są dodatkowo ograniczone adresami IP.
Wykorzystane technologie, protokoły i oprogramowanie
Jeśli korzystasz z zaawansowanej zapory sieciowej, która szczegółowo monitoruje ruch, musisz skonfigurować dla maszyny wirtualnej z Tritium oczekiwany ruch, używane protokoły i oprogramowanie. Poniżej znajduje się tabela przeglądowa.
| Kategorie | Komponent | Uwaga |
|---|---|---|
| OS | Debian 9 | System operacyjny |
| NTP | Protokół do ustawiania czasu wewnętrznego. | |
| SSH | Dostęp dla pracowników serwisowych. Chronione certyfikatami. | |
| Web | Apache HTTP Server | Porty 80/433 |
| Web | Apache Tomcat | Serwer aplikacji, niewidoczny z zewnątrz, komunikuje się z serwerem Apache HTTP za pomocą protokołu AJP. |
| Baza danych | MySQL | Nie można uzyskać dostępu do bazy danych MySQL z zewnątrz. |
| Nadzór | Zabbix | Standardowo na porcie 10051. Chronione danymi logowania. |
| Nadzór | JMX | Standardowo na porcie 9010. Chronione danymi logowania. |
| SMTP | Tritius wysyła wiadomości e-mail za pośrednictwem zewnętrznego serwera SMTP. | |
| Integracja | Z-server | Standardowo na porcie 9998. |
| Integracja | OAI server | Komunikuje się za pomocą protokołu HTTP. |
| Integracja | NCIP server | Komunikuje się za pomocą protokołu HTTP. |
Publiczny dostęp do systemu internetowego (HTTPS)
System internetowy Tritius można udostępnić pod uzgodnionym adresem domeny.
Ze względów bezpieczeństwa system obsługuje wyłącznie komunikację za pomocą bezpiecznego protokołu HTTPS. Certyfikat SSL dla uzgodnionej domeny zapewniamy bezpłatnie (ewentualnie można użyć już istniejącego certyfikatu, jeśli taki posiadasz).
Aby zapewnić publiczny dostęp do systemu internetowego Tritius, dostępne są następujące opcje:
- Umieszczenie systemu internetowego na nowej domenie trzeciego rzędu – najłatwiejsza i zalecana przez nas opcja.
- Wymaga posiadania wolnego publicznego adresu IP z wolnym portem 80 i 443. (Port 80 jest wymagany tylko do automatycznego przekierowywania użytkowników, którzy przypadkowo uzyskają dostęp do niezabezpieczonego protokołu HTTP).
- Przykład dla biblioteki o nazwie „Dobrá Knihovna”, która posiada domenę „dobraknihovna.cz” i publiczny adres IP 99.88.77.66:
- Należy utworzyć rekord DNS typu A: „tritius.dobraknihovna.cz A 99.88.77.66”
- Katalog dla czytelników: https://tritius.dobraknihovna.cz/Katalog
- Dostęp dla obsługi: https://tritius.dobraknihovna.cz/Tritius
- Umieszczenie systemu internetowego na istniejącej domenie za serwerem odwrotnym proxy – opcja bardziej skomplikowana, ale nie wymaga wolnego publicznego adresu IP
- Wymaga dostępu do istniejącego serwera internetowego w danej domenie i możliwości skonfigurowania go jako serwera proxy odwrotnego.
- Przykład biblioteki o nazwie „Dobrá Knihovna”, która jest właścicielem domeny „dobraknihovna.cz”, na której prowadzi stronę internetową pod adresem http://www.dobraknihovna.cz:
- Należy zapewnić działanie istniejącego serwera internetowego pod protokołem HTTPS – strona internetowa będzie teraz działać również pod adresem https://www.dobraknihovna.cz (konieczne jest uzyskanie certyfikatu SSL).
- Należy zapewnić konfigurację istniejącego serwera internetowego jako odwrotnego serwera proxy dla adresów https://www.dobraknihovna.cz/Katalog i https://www.dobraknihovna.cz/Tritius, które będą przekierowywane w sieci lokalnej na maszynę wirtualną z uruchomionym Tritiem.
- Katalog dla czytelników: https://www.dobraknihovna.cz/Katalog
- Dostęp dla obsługi: https://www.dobraknihovna.cz/Tritius
- Ustawienia odwrotnego serwera proxy
- Apache
- ProxyRequests Off
- ProxyPreserveHost On
- Timeout 300
- ProxyTimeout 300
- RequestHeader X-Forwarded-Proto „https”
- IIS
- Actions → add
- HTTP_X_FORWARDED_HOST = tritius.knihovna.cz
- HTTP_X_FORWARDED_PROTO = https
Działanie w sieci lokalnej
Jeśli serwer z Tritiem znajduje się bezpośrednio w lokalnej sieci biblioteki, należy zapewnić możliwość komunikacji lokalnych komputerów z Tritiem. Należy wziąć pod uwagę kilka potencjalnych problemów i dostosować do nich infrastrukturę sieciową i/lub ustawienia:
- Tłumaczenie nazwy DNS, np. tritius.knihovna.cz, prowadzi do publicznego adresu IP serwera z Tritiem. Ten adres IP musi być dostępny również z sieci lokalnej. Nie zawsze jest to możliwe.
- Można użyć lokalnego serwera DNS, który w przypadku zapytań z sieci lokalnej będzie zwracał bezpośrednio lokalny adres IP.
- Można użyć proxy/firewalla, który przekierowuje żądania kierowane do danej domeny na serwer lokalny.
- Można użyć lokalnych wpisów DNS w pliku hosts i zmusić stacje do komunikacji z lokalnym adresem IP.
Serwer wychodzący SMTP
Tritius wysyła wiele różnych rodzajów wiadomości e-mail (przypomnienia, aktualności itp.), dlatego potrzebuje serwera SMTP do wysyłania poczty. W standardowych ustawieniach Tritia wykorzystywane są serwery firmy Tritius Solutions a.s. Podczas instalacji Tritia na własnym serwerze biblioteki zwykle stosuje się wewnętrzny serwer SMTP biblioteki.
Tritius nie stawia żadnych specjalnych wymagań dotyczących SMTP biblioteki. Zalecamy jedynie rozważenie odpowiedniego zabezpieczenia serwera SMTP (jego umiejscowienie w infrastrukturze, szyfrowanie i używane wersje protokołów), aby biblioteka nie stała się nadawcą spamu.
Dalej:
Wymagania techniczne dotyczące działania systemu Tritius jako usługi