Wiki source code of Technické požadavky na provoz systému Tritius na vlastním serveru
Last modified by Jiri Tobias on 2025/03/05 10:16
Show last authors
| author | version | line-number | content |
|---|---|---|---|
| 1 | |||
| 2 | |||
| 3 | = Obecně = | ||
| 4 | |||
| 5 | Tritius můžete provozovat na vlastním serveru ve formě předinstalovaného virtuálního stroje. | ||
| 6 | |||
| 7 | O server, virtualizační řešení a jeho správu se staráte sami, případně po dohodě o vzdáleném přístupu společně s námi. | ||
| 8 | |||
| 9 | Tritius je pak dostupný jako běžná webová aplikace a k jejímu využívání vám stačí běžný webový prohlížeč. | ||
| 10 | |||
| 11 | Zálohování dat a jejich archivaci zajišťujete vy - můžete využít našich připravených nástrojů, kterým stačí jen nastavit přístup ke vzdálenému úložišti. | ||
| 12 | |||
| 13 | = Hardwarové požadavky na server = | ||
| 14 | |||
| 15 | Požadavky na provoz systému Tritius jsou orientační, protože reálné nároky systému se mohou lišit zejména na základě celkového objemu katalogizovaných dat a počtu současně pracujících uživatelů. | ||
| 16 | |||
| 17 | Doporučené konfigurace počítají s provozem celého systému na jednom serveru (databáze + serverová aplikace Tritius + webový katalog). Tyto části je ovšem možné (z bezpečnostních i výkonových důvodů) provozovat samostatně. | ||
| 18 | |||
| 19 | Nad 200 000 svazků nedoporučujeme provozování systému na externích discích (diskových polích), ale jen na vyhrazených discích umístěných přímo v serverech. | ||
| 20 | |||
| 21 | |=((( | ||
| 22 | Velikost fondu | ||
| 23 | |||
| 24 | (počet svazků) | ||
| 25 | )))|=(% colspan="1" %)((( | ||
| 26 | Počet souběžně | ||
| 27 | |||
| 28 | pracujících uživatelů | ||
| 29 | )))|=(% colspan="1" %)((( | ||
| 30 | Procesor | ||
| 31 | |||
| 32 | Tritius | ||
| 33 | )))|=(% colspan="1" %)((( | ||
| 34 | Procesor | ||
| 35 | |||
| 36 | počet jader | ||
| 37 | )))|=((( | ||
| 38 | Disk | ||
| 39 | |||
| 40 | Tritius | ||
| 41 | )))|=(% colspan="1" %)((( | ||
| 42 | Disk | ||
| 43 | |||
| 44 | (Typ) | ||
| 45 | )))|=((( | ||
| 46 | RAM | ||
| 47 | |||
| 48 | Tritius | ||
| 49 | ))) | ||
| 50 | |do 20.000|(% colspan="1" %)< 5|(% colspan="1" %)2,4GHz|(% colspan="1" %)4|50GB|(% colspan="1" %) |8GB | ||
| 51 | |do 50.000|(% colspan="1" %)< 10|(% colspan="1" %)2,4GHz|(% colspan="1" %)4|100GB|(% colspan="1" %) |12GB | ||
| 52 | |do 100.000|< 20|2,4GHz|6|100GB| |16GB | ||
| 53 | |do 200.000|(% colspan="1" %)< 30|(% colspan="1" %)3,2GHz|(% colspan="1" %)6|200GB|(% colspan="1" %) |24GB | ||
| 54 | |(% colspan="1" %)do 500.000|(% colspan="1" %)< 50|(% colspan="1" %)3,2GHz|(% colspan="1" %)8|(% colspan="1" %)250GB|(% colspan="1" %)SSD / M.2|(% colspan="1" %)48GB | ||
| 55 | |(% colspan="1" %)do 1.000.000|(% colspan="1" %)< 100|(% colspan="1" %)3,2GHz|(% colspan="1" %)> 12|(% colspan="1" %)500GB|(% colspan="1" %)SSD / M.2|(% colspan="1" %)64GB | ||
| 56 | |(% colspan="1" %)nad 1.000.000|(% colspan="6" %)individuální posouzení | ||
| 57 | |||
| 58 | = Softwarové požadavky na server - virtualizace = | ||
| 59 | |||
| 60 | Systém Tritius je nyní distribuován výhradně jako předinstalovaný virtuální stroj ve formátu OVF ([[https:~~/~~/en.wikipedia.org/wiki/Open_Virtualization_Format>>url:https://en.wikipedia.org/wiki/Open_Virtualization_Format]]). | ||
| 61 | |||
| 62 | Virtuální stroj je možno provozovat na některé z virtualizačních řešení podporující OVF: | ||
| 63 | |||
| 64 | * **VirtualBox** - v základní verzi je zcela zdarma, | ||
| 65 | * **VMware** - kvalitní placené řešení, | ||
| 66 | * **KVM**, | ||
| 67 | * **Hyper-V,** | ||
| 68 | * **Xen** (mód PV). | ||
| 69 | |||
| 70 | //Poskytujeme úplnou podporu a pomoc s instalací do VirtualBoxu na operačním systému Windows. Pro jiné řešení prosím ověrte tabulku níže.// | ||
| 71 | |||
| 72 | //Základní podporou s importem a provozem VM je myšleno předání základních informací nebo návodu, který byl využit u jiných zákazníků, případně kontakt na jiné zákazníky využívající toto řešení - ovšem vše bez záruky.// | ||
| 73 | |||
| 74 | |=Virtualizační řešení|=Předání předinstalované VM (OVF)|=Základní podpora s importem a provozem VM|=(% colspan="1" %)Instalace a konfigurace virtualizačního řešení a import VM | ||
| 75 | |VirtualBox na OS Windows|Ano|Ano|(% colspan="1" %)zdarma | ||
| 76 | |VirtualBox na OS Linux|Ano|Ano|(% colspan="1" %)na vyžádání jako placená služba či možnost zprostředkování třetí strany | ||
| 77 | |(% colspan="1" %)VMware, KVM, Hyper-V, XEN|(% colspan="1" %)Ano|(% colspan="1" %)Ano|(% colspan="1" %)výhradně ve vaší režii | ||
| 78 | |||
| 79 | = Zálohování - vzdálené úložiště = | ||
| 80 | |||
| 81 | Zálohy jsou automaticky vytvářeny lokálně přímo na virtuálním stroji a následně jsou přesunuty na vzdálené úložiště. | ||
| 82 | |||
| 83 | Volitelně je možno využití i hotového skriptu pro rotování záloh (X denních, týdenních a měsíčních záloh). | ||
| 84 | |||
| 85 | Nyní podporujeme automatické ukládání na vzdálená uložiště dostupná přes protokoly: | ||
| 86 | |||
| 87 | * **FTP**, | ||
| 88 | * **NFS **(Linux síťový filesystem), | ||
| 89 | * **CIFS** (Windows sdílení složek), | ||
| 90 | * **SMB** (Windows sdílení složek). | ||
| 91 | |||
| 92 | = Síťová infrastruktura = | ||
| 93 | |||
| 94 | **Pro provoz Tritia je třeba internetové připojení, veřejná IP adresa a následující nastavení síťové infrastruktury.** | ||
| 95 | |||
| 96 | **Pokud chcete využít naší nabídky poskytování HTTPS certifikátu zdarma, je třeba veřejná IP adresa s volnými (nevyužitými) porty 80 a 443.** | ||
| 97 | |||
| 98 | == Zpřístupnění portů (příchozí směr) == | ||
| 99 | |||
| 100 | Na vaší veřejné IP adrese je třeba zpřístupnit následující porty, které je třeba tunelovat (přesměrovat) na lokální porty VM. | ||
| 101 | |||
| 102 | |=(% colspan="1" %)Veřejná IP|=Veřejný port|=(% colspan="1" %)Lokální IP|=(% colspan="1" %)Lokální port|=Protokol|=Doporučené omezení přístupu|=(% colspan="1" %)Poznámka | ||
| 103 | |Vaše veřejná IP|**443^^*^^**|Lokální IP VM|**443**|HTTPS|Přístup bez omezení|Přístup k zabezpečné webové aplikaci Tritia (webový katalog i obsluha knihovny). | ||
| 104 | |Vaše veřejná IP|**80^^*^^**|Lokální IP VM|**80**|HTTP|Přístup bez omezení|Přístup k webové aplikaci Tritia (webový katalog i obsluha knihovny). | ||
| 105 | //Webový server Tritia uživatele vždy automaticky přesměruje na zabezpečené HTTPS.// | ||
| 106 | |Vaše veřejná IP|**9998**|Lokální IP VM|**9998**|Z-Server|Přístup bez omezení|Přístup k Z-serveru, pokud je pro instanci povolený. | ||
| 107 | |(% colspan="1" %)Vaše veřejná IP|**22** ^^(nebo jiný dohodnutý)^^|(% colspan="1" %)Lokální IP VM|(% colspan="1" %)**22**|SSH|Jen IP adresy servisních středisek|(% colspan="1" %)SSH připojení na VM s Tritiem pro účely správy a údržby. | ||
| 108 | |(% colspan="1" %)Vaše veřejná IP|**10050** ^^(nebo jiný dohodnutý)^^|(% colspan="1" %)Lokální IP VM|(% colspan="1" %)**10050**|ZBX|Jen IP adresy servisních středisek|(% colspan="1" %)Sledování stavu VM s Tritiem přes Zabbix (pasivní sledování, pro příchozí spojení). | ||
| 109 | |Vaše veřejná IP|**9010**^^ (nebo jiný dohodnutý)^^|Lokální IP VM|**9010**|JMX|Jen IP adresy servisních středisek|Sledování stavu Tritia přes JMX. | ||
| 110 | |||
| 111 | //*Máte-li reverzní proxy a přejete-li si provozovat systém za touto proxy, porty HTTP a HTTPS není třeba tunelovat. Konfigurace webové proxy je na vás včetně zajištění a instalace SSL certifikátu.// | ||
| 112 | |||
| 113 | == IP adresy servisních středisek == | ||
| 114 | |||
| 115 | Z následujích IP adres jsou prováděny servisní úkony a pravidelná údržba. Je doporučeno omezit přístup k některým vystaveným portům na tyto IP adresy (viz tabulky požadavků na síťovou infrastrukturu). | ||
| 116 | |||
| 117 | |=**Veřejná IP adresa**|=Popis | ||
| 118 | |**77.240.190.199**|Brno 1 (Server hosting ZD - VPN) | ||
| 119 | |**95.129.100.95**|Brno 2 (Server hosting ZD) | ||
| 120 | |**95.129.102.38**|Brno 3 (Technické středisko) | ||
| 121 | |**95.129.102.97**|Brno 4 (Technické středisko - záložní) | ||
| 122 | |(% colspan="1" %)**81.19.2.225**|(% colspan="1" %)Brno 5 (Technická podpora - nový poskytovatel internetu) | ||
| 123 | |(% colspan="1" %)**77.240.184.80**|(% colspan="1" %)Brno 6 (Gateway) | ||
| 124 | |(% colspan="1" %)**31.30.125.177**|(% colspan="1" %)Tábor kancelář | ||
| 125 | |**195.113.153.8**|Tábor 1 | ||
| 126 | |(% colspan="1" %)**82.142.98.148**|(% colspan="1" %)Tábor 2 | ||
| 127 | |||
| 128 | == Povolení odchozí komunikace (odchozí směr) == | ||
| 129 | |||
| 130 | **Tato kapitola se vás netýká, pokud na vaší síti neomezujete odchozí komunikaci.** | ||
| 131 | |||
| 132 | Pokud ve vaší síti omezujete odchozí komunikaci (firewall na routeru či fyzickém serveru), je třeba povolit následující komunikaci z VM na cílové porty a IP adresy. | ||
| 133 | |||
| 134 | |=(% colspan="1" %)Cílové IP adresy|=Cílový port|=Protokol|=(% colspan="1" %)Poznámka | ||
| 135 | |Intranet, internet|**80**|HTTP|Napojení na externí nezabezpečené služby (např. stahování obálek, diskuzí, apod.) | ||
| 136 | |Intranet, internet|**443**|HTTPS|Napojení na zabezpečené externí služby (např. MojeId, elektronické výpůjčky, apod.) | ||
| 137 | |(% colspan="1" %)Internet|**9991**|Z39.50|(% colspan="1" %)Stahování záznamů přes Z39.50 z veřejných Z39.50 serverů. | ||
| 138 | |(% colspan="1" %)Internet|(% colspan="1" %)**9000**|(% colspan="1" %)Z39.50|(% colspan="1" %)Stahování záznamů přes Z39.50 z veřejných Z39.50 serverů. | ||
| 139 | |(% colspan="1" %)vega.nkp.cz|**57779**|SSH|(% colspan="1" %)SSH tunel pro odesílání autorit do Národní knihovny. | ||
| 140 | |emvs0.tritius.eu | ||
| 141 | emvs2.clavius.cz |**2516^^*^^** | ||
| 142 | 2517**^^*^^**|SMTP|Odesílání emailů přes výchozí externí primární a sekundární SMTP server. | ||
| 143 | |(% colspan="1" %)carmen.skat.cz|(% colspan="1" %)((( | ||
| 144 | **8080** | ||
| 145 | |||
| 146 | **8433** | ||
| 147 | |||
| 148 | **80** | ||
| 149 | |||
| 150 | **443** | ||
| 151 | )))|(% colspan="1" %)HTTP|(% colspan="1" %)Hodnocení a obálky knih z Jessicy | ||
| 152 | |(% colspan="1" %)Jen IP adresy servisních středisek|(% colspan="1" %)**10051**|(% colspan="1" %)ZBX|(% colspan="1" %)Sledování stavu VM s Tritiem přes Zabbix (aktivní odesílání, pro odchozí spojení). | ||
| 153 | |ftp.nkp.cz|**21~*~***|FTP|Odesílání [[statistik DILIA>>doc:uzivatelsky-manual.vypujcky.DILIA-LITA-statistiky.WebHome]]. | ||
| 154 | |sqlmicro0.vkta.cz|**33063~*~****| |Připojení k databázi při importu dat. | ||
| 155 | |(% colspan="1" %)knihovny.net|(% colspan="1" %)**33062~*~****|(% colspan="1" %) |(% colspan="1" %)Připojení k databázi při importu dat. | ||
| 156 | |||
| 157 | //*Máte-li vlastní SMTP server, který chcete využívat, není třeba komunikaci na výchozí externí SMTP servery povolovat.// | ||
| 158 | |||
| 159 | //~*~*Pokud neplánujete statistiky DILIA odesílat, není nastavení tohoto portu povinné.// | ||
| 160 | |||
| 161 | //~*~**Pokud bude při implementaci potřeba připojení k naší databázi.// | ||
| 162 | |||
| 163 | == Správné nastavení proxy / firewallu / routeru == | ||
| 164 | |||
| 165 | Téměř vždy je v knihovně umístěn nějaký prvek, který obsluhuje veřejnou IP adresu a přesměrovává potom data na VM s Tritiem. Dochází ke klasickému přesměrování a tedy změny IP adres obsažených v hlavičkách HTTP požadavků. Některé funkce Tritia jsou závislé na rozlišení interních a externích uživatelů (zejména statistiky přístupů ke katalogu) a je proto nezbytné zajistit, aby se ke katalogu dostala informace o původní IP adrese, ze které požadavek přišel. K tomu slouží HTTP hlavička X-FORWARDED-FOR, kterou musí proxy prvek správně nastavit. | ||
| 166 | |||
| 167 | Konkrétní nastavení se liší podle použitého síťového prvku nebo serveru. Konzultujte prosím se svým správcem. | ||
| 168 | |||
| 169 | == Bezpečné umístění v síťové infrastruktuře == | ||
| 170 | |||
| 171 | **Tato kapitola se vás netýká, pokud nevyžadujete vysokou úroveň zabezpečení.** | ||
| 172 | |||
| 173 | Pokud je třeba velmi vysoká úroveň zabezpečení, je třeba zajistit bezpečné umístění VM v rámci síťové infrastruktury. Toto se týká pouze speciálních případů, ve kterých zákazníci o této potřebě sami vědí. | ||
| 174 | |||
| 175 | V takových případech je nutné umístit VM v síťové infrastruktuře tak, aby měla přístup výhradně jen k nutným zdrojům a to jen ve směru, který je vyžadován. VM nesmí mít přístup k rizikovým zdrojům - možno zajistit např. firewallem či umístěním v DMZ. Prakticky to znamená povolenou síťovou komunikaci jen na pečlivě vybraných portech, které jsou navíc omezeny IP adresami. | ||
| 176 | |||
| 177 | === Použité technologie, protokoly a software === | ||
| 178 | |||
| 179 | V případě, že používáte sofistikovaný firewall, který sleduje podrobně provoz, budete potřebovat nastavit pro VM s Tritiem jaký je očekávaný provoz, jaké jsou použité protokoly a software. Níže je uvedena přehledová tabulka. | ||
| 180 | |||
| 181 | |=Kategorie|=(% colspan="1" %)Komponenta|=(% colspan="1" %)Poznámka | ||
| 182 | |OS|(% colspan="1" %)Debian 9|(% colspan="1" %)Operační systém | ||
| 183 | |(% colspan="1" %) |(% colspan="1" %)NTP|(% colspan="1" %)Protokol pro nastavení vnitřního času. | ||
| 184 | |(% colspan="1" %) |(% colspan="1" %)SSH|(% colspan="1" %)Přístup pro servisní pracovníky. Chráněno certifikáty. | ||
| 185 | |(% colspan="1" %)Web|(% colspan="1" %)Apache HTTP Server|(% colspan="1" %)Porty 80/433 | ||
| 186 | |(% colspan="1" %)Web|(% colspan="1" %)Apache Tomcat|(% colspan="1" %)Aplikační server,není vidět z venku, komunikuje s Apache HTTP Server pomocí AJP protokolu. | ||
| 187 | |(% colspan="1" %)Databáze|(% colspan="1" %)MySQL|(% colspan="1" %)K MySQL databázi nelze přistoupit zvenčí. | ||
| 188 | |(% colspan="1" %)Dohled|(% colspan="1" %)Zabbix|(% colspan="1" %)Standardně na portu 10051. Chráněno přihlašovacími údaji. | ||
| 189 | |(% colspan="1" %)Dohled|(% colspan="1" %)JMX|(% colspan="1" %)Standardně na portu 9010. Chráněno přihlašovacími údaji. | ||
| 190 | |(% colspan="1" %)E-mail|(% colspan="1" %)SMTP|(% colspan="1" %)Tritius odesílá e-maily pomocí externího SMTP serveru. | ||
| 191 | |(% colspan="1" %)Integrace|(% colspan="1" %)Z-server|(% colspan="1" %)Standardně na portu 9998**.** | ||
| 192 | |(% colspan="1" %)Integrace|(% colspan="1" %)OAI server|(% colspan="1" %)Komunikuje na HTTP protokolu. | ||
| 193 | |(% colspan="1" %)Integrace|(% colspan="1" %)NCIP server|(% colspan="1" %)Komunikuje na HTTP protokolu. | ||
| 194 | |||
| 195 | == Veřejný přístup k webovému systému (HTTPS) == | ||
| 196 | |||
| 197 | Webový systém Tritius je možné vystavit na dohodnuté doménové adrese. | ||
| 198 | |||
| 199 | Systém z bezpečnostních důvodů podporuje výhradně komunikaci pod zabezpečeným protokolem HTTPS. SSL certifikát k dohodnuté doméně zajistíme zdarma (případně je možné použít již existujícící certifikát, pokud takový vlastníte). | ||
| 200 | |||
| 201 | Pro zajištění veřejného přístupu k webovému systému Tritius existují následující možnosti: | ||
| 202 | |||
| 203 | 1. Umístění webového systému na novou doménu 3. řádu - nejsnadnější a námi doporučovanou varianta | ||
| 204 | 1*. **Vyžaduje vlastnictví volné veřejné IP adresy s volným portem 80 a 443. **(Port 80 je vyžadován jen pro automatické přesměrování uživatelů, kteří omylem přistoupí k nezabezpečenému HTTP) | ||
| 205 | 1*. //Příklad pro knihovnu s názvem "Dobrá Knihovna", která vlastní doménu "dobraknihovna.cz" a veřejnou IP adresu 99.88.77.66~:// | ||
| 206 | 1**. //Je třeba vytvořit DNS záznam typu A: "tritius.dobraknihovna.cz A 99.88.77.66"// | ||
| 207 | 1**. //Katalog pro čtenáře: https:~/~/**tritius**.dobraknihovna.cz/Katalog// | ||
| 208 | 1**. //Přístup pro obsluhu: https:~/~/**tritius**.dobraknihovna.cz/Tritius// | ||
| 209 | |||
| 210 | 1. Umístění webového systému na existující doménu za reverzní proxy server - složitější varianta, ale nevyžaduje volnou veřejnou IP adresu | ||
| 211 | 1*. **Vyžaduje přístup k existujícímu webovému serveru na dané doméně a možnost jeho nastavení jako reverzní proxy server.** | ||
| 212 | 1*. //Příklad pro knihovnu s názvem "Dobrá Knihovna", která vlastní doménu "dobraknihovna.cz", na které provozuje webové stránky na adrese http:~/~/www.dobraknihovna.cz~:// | ||
| 213 | 1**. //Je třeba zajistit provoz existujícího webového serveru pod HTTPS - webové stránky nově poběží také na adrese https:~/~/www.dobraknihovna.cz (je třeba pořídit SSL certifikát)// | ||
| 214 | 1**. //Je třeba zajistit nastavení existujícího webového serveru jako reverzní proxy pro adresy https:~/~/www.dobraknihovna.cz/Katalog a https:~/~/www.dobraknihovna.cz/Tritius, které budou v lokální síti přesměrovány na virtuální stroj s běžícím Tritiem// | ||
| 215 | 1**. //Katalog pro čtenáře: https:~/~/**www**.dobraknihovna.cz/Katalog// | ||
| 216 | 1**. //Přístup pro obsluhu: https:~/~/**www**.dobraknihovna.cz/Tritius// | ||
| 217 | 1*. //Nastavení reverzní proxy// | ||
| 218 | 1**. //Apache// | ||
| 219 | 1***. //ProxyRequests Off// | ||
| 220 | 1***. //ProxyPreserveHost On// | ||
| 221 | 1***. //Timeout 300// | ||
| 222 | 1***. //ProxyTimeout 300// | ||
| 223 | 1***. //RequestHeader X-Forwarded-Proto "https"// | ||
| 224 | 1**. IIS | ||
| 225 | 1***. Actions → add | ||
| 226 | 1***. HTTP_X_FORWARDED_HOST = tritius.knihovna.cz | ||
| 227 | 1***. HTTP_X_FORWARDED_PROTO = https | ||
| 228 | |||
| 229 | == Provoz na lokální síti == | ||
| 230 | |||
| 231 | Pokud je server s Tritiem umístěn přímo v lokální síti knihovny, musí být zajištěna možnost komunikace lokálních počitačů s Tritiem. Je třeba zvážit několik potenciálních problémů a uzpůsobit tomu síťovou infrastrukturu a/nebo nastavení: | ||
| 232 | |||
| 233 | * Překlad DNS jména např. tritius.knihovna.cz vede na veřejnou IP adresu serveru s Tritiem. Tato IP adresa musí být dostupný i z lokální sítě. Ne vždy je to možné. | ||
| 234 | * Lze použít lokální DNS server, který pro dotazy z lokální sítě bude vracet přímo lokální IP adresu. | ||
| 235 | * Lze použít proxy/firewall, který požadavky směřující na danou doménu přesměruje na lokální server. | ||
| 236 | * Lze použít lokální záznamy DNS v souboru hosts a donutit tak stanice komunikovat s lokální IP adresou. | ||
| 237 | |||
| 238 | == Odchozí SMTP server == | ||
| 239 | |||
| 240 | Tritius odesílá mnoho různých typů e-mailů (upomínky, novinky apod.) a proto potřebuje nějaký SMTP server pro odesílání pošty. Ve standardním nastavení Tritia jsou použity servery společnosti Tritius Solutions a.s. Při instalaci Tritia na vlastní server knihovny je běžné použít interní SMTP server knihovny. | ||
| 241 | |||
| 242 | Tritius na SMTP knihovny neklade žádné zvláštní požadavky. Pouze doporučujeme zvážit řádně zabezpečení SMTP serveru (jeho umístění v infrastruktuře, šifrování a použité verze protokolů), aby se knihovna nestala rozesílačem spamu. | ||
| 243 | |||
| 244 | Dále: | ||
| 245 | |||
| 246 | [[Technické požadavky na provoz systému Tritius jako služby>>doc:uzivatelsky-manual.Pro-spravce.Technicke-pozadavky-na-provoz-systemu-Tritius-jako-sluzby.WebHome]] |