Материал данной статьи будет полезен, в первую очередь, инженерам, которые еще не сталкивались с продуктами платформы VK WorkSpace. Под катом постараюсь простым языком рассказать об установке ПО и ответить на некоторые вопросы, которые могут возникнуть в процессе. Ну, и в конце выделил 7 важных фич VK WorkMail, без которых сложно представить современную почтовую систему. Также, опишу перечень функциональностей, которые предлагает VK WorkMail + VK WorkDisk для администраторов продукта. Думаю, что данный текст будет полезен для разных категорий пользователей и сэкономит вам массу времени при работе с описываемым ПО. Поехали! 

VK WorkMail. Начало 

В установке мы разберем такие моменты: 

• Требования к установке и подготовка 

• Процесс установки

• Возможности интеграции

Подготовка и требования к установке

Перед началом установки ПО необходимо подготовить инфраструктуру. Вместе с дистрибутивом я получил список требований для установки, на который опирался при создании виртуальной машины и настройке сетей. 

В целом, на старте потребуется проанализировать и соблюсти основные требования и условия для установки ПО, что я и сделал:

• Установленные службы каталогов Active Directory;

• SSH-доступ до всех серверов;

• Локальная сеть 1 GbE или 10 GbE;

• Сертификаты SSL для серверов HTTPS версии 3. Я использовал wildcard-сертификаты (fullchain), полученные при помощи CertBot сроком на 3 месяца (*.vkmail.<domain_name>, *.e.vkmail.<domain_name>, *.cloud.vkmail.<domain_name>, *.vkstorage.<domain_name>);

• Если сервер имеет выход в интернет, то должен быть разрешен доступ к портам 25, 143, 80, 443, 465, 993 (WEB, IMAP, SMTP, MX) – при тестировании был назначен белый IP-адрес для виртуальной машины через NAT (1-в-1, с сохранением номера порта);

• Перед началом установки необходимо занести все CNAME в DNS-зону для WorkMail и WorkDisk, а также A-запись (для тестирования я использовал свой личный домен на reg.ru);

• Наличие своих NTP-серверов или использование публичных общедоступных;

• Виртуальная машина с необходимыми характеристиками и установленной на нее операционной системой CentOS 7.9.

А сейчас, собственно, переходим к списку полезных фич.

Фича №1. Варианты инсталляции VK WorkMail

Одной из первых фичей отмечу три варианта инсталляции продукта, каждый из которых имеет свои преимущества. Рассмотрим более детально вариации установок:

a) Централизованная система

Использует один узел с единой централизованной системой и несколькими доменами, если в компании их несколько. Эта система легко управляется, масштабируется и позволяет настраивать правила безопасности и правила для каждого домена. Однако, если требуется размещение в другом контуре, это становится невозможным. Кроме того, использование одного узла для всех доменов не позволяет разделить их физически, например, для резервного копирования.

Плюсы этой системы:

• простое масштабирование;

• простое управление;

• возможность настройки правил для каждого домена;

• возможность иметь общий домен-алиас для всех организаций;

• легкость в реализации общих политик безопасности (например, для доступа)

Минусы:

• невозможность размещения домена в другом контуре;

• использование одного узла для всех доменов.

б) Распределенная система

Это система, которая использует несколько инстансов в разных городах и центрах обработки данных. Каждый инстанс принимает почту только для своего домена. Нельзя создать общий алиас для доменов из разных инстансов, потому что они не связаны. Каждый пользователь автоматически добавляется в адресную книгу через LDAP. Но такая система требует больше оборудования и поддержки, а настройка правил безопасности является более сложной и дорогой.

Плюсы этой системы:

• каждый домен в своем инстансе;

• полностью независимые инстансы.

Минусы:

• нельзя иметь общий домен-алиас, только отдельные домены;

• больше затрат на эксплуатацию и сервера;

• меньше выгода от дедупликации хранилища;

• сложнее реализовать общие политики безопасности, т. к. это разные системы.

в) Гибридная система

Гибридная система позволяет использовать несколько инстансов для отправки входящей почты в соответствующий домен. Если письмо приходит на конкретный домен, оно отправляется прямо на него. Если же письмо приходит на общий алиас, оно передается в специальный сервис для определения местонахождения получателя и перенаправляется в соответствующий инстанс. 

Плюсы:

• Возможность разместить каждый домен в своем инстансе;

• Полное независимость инстансов друг от друга;

• Есть возможность использовать общий домен-алиас.

Минусы:

• Необходимость централизованного звена для приема почты на домен .local;

• Требуется поддерживать общую базу .local на центральном звене или на каждом инстансе;

• Большие затраты на эксплуатацию и сервера;

• Меньшая выгода от дедупликации хранилища;

• Сложнее реализовать общие политики безопасности из-за различий в системах.

Все эти требования и условия достаточно подробно описаны в документации к дистрибутиву.

Установка

Итак, первое, что необходимо выполнить для установки продуктов VK WorkSpace – подготовить необходимое количество виртуальных машин. В случае с установкой VK WorkMail + VK WorkDisk можно обойтись одной виртуальной машиной, что и было сделано.

Заявленные системные требования для установки VK WorkMail и VK WorkDisk:

• WorkMail – 24 vCPU, 32 GB RAM, 200GB SSD, CentOS 7.9

• WorkDisk – 6 vCPU, 12 GB RAM, 100GB SSD, CentOS 7.9

• В результате несложных вычислений становится ясно, что нужна виртуальная машина с такими характеристиками:

• 30 vCPU, 44 GB RAM, 300+ SSD

Объем диска был увеличен в целях долгосрочного тестирования продукта. 

Создав виртуальную машину, установим на нее операционную систему CentOS 7.9 и подготовим к установке почты и хранилища:

• Отключить SELINUX

• При установке ОС 100% дискового пространства необходимо смонтировать в корневой раздел файловой системы (раздел / ). Допустимое исключение — раздел /boot

• Назначить статический IP-адрес

• Сгенерировать RSA-ключ для пользователя, из-под которого будет выполняться установка (deployer) и прописать в authorized_key для SSH

• Раскомментировать строку # %wheel ALL=(ALL) NOPASSWD: ALL в файле sudoers по пути /etc/sudoers

• Установить недостающие пакеты: epel-release, p7zip, certbot, tmux

• Создать каталог в /home/deployer/ для распаковки в него дистрибутива

Для удобства советую использовать подключение к виртуальной машине по SSH, я использовал клиент MobaXterm.

Теперь настало время перенести архив с дистрибутивом в созданный каталог в домашней категории пользователя deployer и распаковать его в текущей директории инструментом p7zip.

Дожидаемся распаковки и удаляем архив с дистрибутивом, чтобы не занимал место на диске.

Запускаем установку из-под пользователя deployer находясь в каталоге с распакованным дистрибутивом командой

sudo ./onpremise-deployer_linux -concurInstallLimit 5, где цифра 5 обозначает количество одновременно выполняемых задач установки. Если характеристики виртуальной машины ниже рекомендуемых вендором – имеет смысл понизить это значение до 3 или 2, чтобы избежать ошибок в момент установки.

Если виртуальная машина настроена правильно, то после ввода команды появится такой лог:

Тем самым мы запустили веб-установщик для продуктов VK WorkMail и VK WorkDisk. Чтобы попасть в интерфейс установщика нам необходимо открыть любой браузер и в адресной строке прописать IP-адрес виртуальной машины с добавлением порта 8888 (пример: 10.10.111.139:8888)

На главной странице установщика выбираем вариант Полные версии продуктов.

Из предложенных вариантов выбираем VK WorkMail и VK WorkDisk. Остальные опции уже на усмотрение каждого и применимы в определенных сценариях. На этом шаге установки вы можете выбрать все необходимые пункты или же в дальнейшем вернуться к процессу установки и доустановить необходимые компоненты.

Выбрав необходимые компоненты жмем кнопку Далее и указываем путь к лицензионному ключу.

Следующим шагом установщик предлагает настроить гипервизоры. В данном случае создаем один гипервизор, так как оба компонента будут установлены на одной виртуальной машине.

Настраиваем наш гипервизор. Указываем роль (hypervisor), имя гипервизора (любое без пробелов на US-раскладке), IP-адрес виртуальной машины, на которую выполняется установка, а также логин и пароль пользователя с правами администратора в ОС виртуальной машины (deployer) и указать ключ RSA, который генерировали ранее (вводим команду из-под пользователя deployer: cat ~/.ssh/id_rsa , копируем вывод включая -----BEGIN RSA PRIVATE KEY---- и ---- END RSA PRIVATE KEY---- и добавляем в поле для ввода ключа.

Добавили гипервизор и переходим к следующему шагу – добавление NTP-серверов, указание доменных имен, добавление SSL-сертификатов.

Для NTP-серверов я прописал ntp2.ntp-servers.net и ntp3.ntp-servers.net, а настройки сети уже прописаны по умолчанию:

На скриншоте ниже информация о загруженных wildcard-сертификатах, а также заполненные поля доменных имен:

Вы, наверное, заметили, что помимо сертификатов для почты и хранилища, мною был загружен сертификат для VK Teams. Все потому, что тестировал я сразу весь сервис и нужна была интеграция с VK Teams, о котором я расскажу уже в следующей статье.

На этой странице также отображается срок действия сертификата, так проще следить за актуальность и перевыпускать их, если нет своего центра сертификации.

На этом первый этап настройки завершен и необходимо приступить к установке гипервизора и генерации его контейнеров, для этого жмем кнопку Далее в правом верхнем углу экрана и приступаем к автоматической установке, как показано на рисунке ниже:

Дожидаемся завершения процесса и жмем на кнопку Сгенерировать автоматически. Тем самым запустим процесс генерации и автонастройки контейнеров, входящих в состав гипервизора.

Дожидаемся окончания процесса генерации контейнеров, после чего жмем далее и переходим к следующему шагу – настройка хранилищ.

Для настройки хранилищ на основе одного диска в системе нам предстоит поочередно открыть все вкладки в левом меню и, в каждой из них нажать кнопку Сгенерировать.

В открывшемся окне генерации пар дисков выбираем единственный доступный носитель и жмем кнопку Сохранить.

После добавления дисковой пары ее необходимо настроить таким образом, чтобы названия дисков не совпадали. В большинстве случаев диск на выбор будет только один, это нормально, ведь используется один диск в операционной системе.

Примечание: после успешной настройки дисковых пар восклицательные знаки на вкладках могут не исчезнуть, этот баг можно побороть обновлением страницы в браузере.

Следующий шаг – настройка почтовых правил. В состав дистрибутива не включены почтовые фильтры, в рамках тестирования этот пункт не обязателен, для ускорения процесса я его пропустил.

Фича №2. Безопасность информации в VK WorkMail.

В мире информационных технологий безопасность всегда была и остается одной из ключевых проблем, особенно касающихся передачи данных по интернету. В этой связи второй фичей я бы выделил - обеспечение информационной безопасности почтового сервера VK WorkMail. Далее, мы более предметно рассмотрим, какие средства защиты информации присутствуют в продукте.

Для этого используются внешние антивирусные и антиспам решения, такие как Dr.Web, Kaspersky и другие, могут значительно повысить эффективность и надежность защиты. Реализация интеграции подобных решений с почтовым сервером VK WorkMail дает возможность улучшить стандартные функции обнаружения вредоносных программ и спама, а также минимизировать инциденты, связанные с безопасностью.

VK WorkMail интегрируется с размещенными антивирусами и антиспам программами в контуре организации (т.е. вне локального сервера). Такой подход позволяет оптимизировать процесс сканирования, одновременно уменьшая нагрузку на локальный сервер.

Также, для обеспечения безопасности, в VK WorkMail реализована интеграция с DLP-системами в инфраструктуре организации.

Интеграция DLP-систем с локальным почтовым сервером VK WorkMail позволяет в режиме реального времени контролировать весь трафик электронной почты, а также снижает риск их утечки через внешние почтовые сервисы. Интеграция с DLP-системами осуществляется путем настройки почтовой системы MX на DLP-систему. Внутри производится пересылка всех писем из DLP-системы в почтовую систему, даже тех, которые отправлены внутри почтовой системы. Таким образом, DLP-системы получают доступ к полной информации о контактах, в том числе к переписке, заголовкам и вложениям к письмам.

Итак, мы закончили второй этап настройки сервиса, приступим к его непосредственной установке.

Нажав на кнопку Далее в правом верхнем углу, вы попадете на страницу автоматической установки контейнеров для гипервизора. Тут все очень просто – жмем на зеленую стрелку и наблюдаем за установщиком. В процессе установки контейнеров происходят изменения в их конфигурации, из-за чего некоторые задачи по настройке и установке контейнеров потребуют повторного выполнения.

Дождавшись окончания установки контейнеров, видим в прогресс-баре статус «Установка завершена» и жмем кнопку Далее, дело осталось за малым.

Прописываем на следующей странице имя почтового домена и нажимаем кнопку Добавить. 

Для того чтобы не приходилось запускать сервис вручную, пропишем следующую команду из-под пользователя deployer:

sudo ./onpremise-deployer_linux -concurInstallLimit 5 -serviceEnable -serviceMake -serviceUser deployer

Тем самым мы сделаем deployer сервисом.

На этом установку продуктов VK WorkMail и VK WorkDisk можно считать завершенной.

При установке я опирался на инструкции, полученные вместе с дистрибутивом. Не всегда их было достаточно, поэтому прибегал к каналам технической поддержки.

Авторизация и проверка установки

После добавления почтового домена в браузере открывается соседняя вкладка для авторизации под администратором системы, по умолчанию его логин admin@admin.qdit. 

Во время настройки контейнера fmail1 формируются логин и пароль, который нужно сохранить. Если в процессе установки выполняется мониторинг логов установщика (команда sudo journalctl -fu deployer), в консоли отобразятся сгенерированные данные. Если мониторинг не выполняется, пароль будет сохранен в файл bizOwner.pass в ту же директорию, где находится бинарный файл установщика.

Открыть его можно как клиентом SSH, так и любым редактором, например nano:

• Переходим в каталог с распакованным дистрибутивом (cd <каталог>)

• Вводим команду sudo nano bizOwner.pass

• Записываем пароль от учетной записи администратора

После успешной авторизации система перенаправит нас на e.<domain_name> — это стандартный адрес входа в почту, тем самым можно понять, что установка прошла без ошибок.

Вторую авторизацию, которую предстоит проверить сразу после установки – вход в панель администрирования. Для этого необходимо открыть соседнюю вкладку в браузере и прописать адрес biz.<domain_name> — это стандартный адрес для входа в панель администратора.

Помимо пробной авторизации имеет смысл проверить, все ли контейнеры работают правильно, не наблюдается ли в их работе ошибок?

Для этого нам необходимо перезагрузить виртуальную машину, авторизоваться под пользователем deployer, запустить сервис и подождать около 15–20 минут. Этого времени должно хватить, чтобы все контейнеры в составе сервера запустились. Теперь давайте убедимся, что наша установка прошла без ошибок и все контейнеры после перезагрузки системы запускаются автоматически и работают:

Вводим команду sudo watch 'docker ps -a | grep Exit | wc -l'

Тем самым будет возможность увидеть число незапущенных контейнеров. Если количество контейнеров уменьшается – значит почта стартует, нужно подождать. Также есть возможность просмотреть все контейнеры в актуальном состоянии:

Команда sudo docker ps -a

Фича № 3. Интеграция с Active Directory

Отдельно рассмотрим варианты интеграции VK WorkMail с другими сервисами в инфраструктуре.

Наверное, первое, о чем стоит сказать – интеграция с Active Directory для синхронизации пользователей. Такая возможность в сервисе есть, реализована она за счет подключения к AD по протоколу LDAP (без шифрования и сертификата) или LDAPS (необходим действующий сертификат в формате .PEM). Эта интеграция позволяет администраторам централизованно управлять пользователями в организации и на платформе VK WorkSpace. 

При добавлении нового сотрудника в определенную группу в AD – он отобразится во вкладке Пользователи в панели управления VK WorkSpace.

Примечание: если объем AD очень большой, при синхронизации может временно отображаться ошибка 502 (или 504). Не переживайте, дождитесь окончания синхронизации.

Фича № 4. Интеграция с KeyCloak для SSO-авторизации

Интеграция локального почтового сервера VK WorkMail с KeyCloak позволит реализовать SSO-авторизацию, то есть единовременную авторизацию, для пользователей в VK WorkMail с использованием учетных данных, которые они уже используют для авторизации в других системах, связанных с KeyCloak. Интеграция с KeyCloak также упростит управление доступом пользователей в VK WorkMail.

Администраторы смогут управлять учетными записями пользователей централизованно через KeyCloak, что сократит время на управление учетными записями и сэкономит ресурсы. Кроме того, KeyCloak предоставляет расширенные функции безопасности, такие как многофакторная аутентификация и политики паролей, которые могут быть использованы для повышения безопасности.

Фича № 5. Интеграция с продуктом VK Teams 

Еще один интересный аспект – интеграция с VK Teams для реализации функциональности Super App. Ранее «Системный софт» уже проводил вебинар, на котором подробно рассказывали про возможности этой интеграции. Если коротко – пользователи смогут работать в почте, календаре, в мессенджере, в хранилище документов и все это благодаря одному десктопному клиенту VK Teams.

Интеграция всех этих функций в VK Teams позволяет упростить и ускорить процесс командной работы, облегчить процесс обмена документами и повысить эффективность работы каждого сотрудника.

Фича № 6. Интеграция с редакторами Р7-Офис и МойОфис

Интеграция с МойОфис и Р7-Офис будет полезна в том случае, если в организации уже установлен один из инструментов работы с документами. Эта интеграция нацелена на обеспечение единого рабочего пространства для пользователей, работа которых заключается в написании и редактировании документов, таблиц и презентаций.

Ранее я уже упоминал о трех вариантах размещения почтового сервера в инфраструктуре (централизованная, распределенная, гибридная). Для выбора одной из систем размещения в установщик добавлена опция «Интеграция с другими инсталляциями VK WorkMail».

Фича № 7. Собственная система резервного копирования

Хочу отметить, что в составе почтового сервера VK WorkMail уже есть свой встроенный инструмент резервного копирования почтовых данных, который является встроенным модулем – не требует дополнительной лицензии. 

Ниже я привел основные функциональные возможности встроенного резервного копирования:

• VK WorkMail предоставляет автоматическое резервное копирование данных, что позволяет сохранять информацию без необходимости ручного вмешательства;

• Внутренние механизмы резервного копирования VK WorkMail обеспечивают защиту от потери данных в случае аварийных ситуаций, таких как отказ оборудования или кибератака.

Основные функциональные возможности платформы

В этом разделе сформирован список всех основных функций платформы, доступный администратору при установке VK WorkMail и VK WorkDisk.

1. Пользователи:

• Создание пользователя.

• Массовое добавление пользователей из CSV-файла.

• Редактирование профиля.

• Управление правами на доступ к другим ящикам.

• Управление объемом ящика пользователя.

• Назначение синонимов.

• Вход под пользователем без ввода логина и пароля.

• Удаление или Блокировка пользователя.

2. Администраторы:

• Назначение или удаление администраторов.

3. Почта:

• Мониторинг состояния сервера и актуальности DNS-записей.

• Миграция почты с других почтовых систем.

• Управление размером почтового ящика и вложений.

• Группы рассылок.

• Управление общими ящиками.

• Настройки интерфейса для реализации фирменного стиля компании.

4. Хранилище:

• Назначение личного хранилища пользователю.

• Управление квотами для личных хранилищ.

• Назначение ограничения на срок хранения данных в личном хранилище пользователя.

• Блокировка или удаление хранилища.

• Создание общих папок.

• Управление доступом к общей папке.

• Управление квотами для общих папок.

5. Структура компании:

• Создание отделов, подразделений, направлений, формирующих иерархию внутри организации.

• Распределение сотрудников внутри созданной иерархии организации.

Заключение

С точки зрения удобства администрирования рассматриваемого решения, можно выделить информативную панель управления VK. Опции и инструменты правильно сгруппированы по своим категориям, что значительно облегчает поиск необходимых настроек.

В момент установки происходит базовая настройка сервиса, которая существенно экономит время в плане конфигурации. Установка может вызвать немало дополнительных вопросов, в связи с чем значительно увеличится время на этот процесс. Обусловлено это микросервисной архитектурой, с которой знакомы далеко не многие.

Оба продукта, VK WorkMail и VK WorkDisk отлично вписываются в  инфраструктуру среднего и крупного сегмента бизнеса. Они могут быть установлены как по отдельности, так и вместе, вплоть до размещения этих сервисов на одной виртуальной машине.

Вендор активно развивает свои облачные и локальные продукты. Об этом говорит богатая дорожная карта и наличие новых функций с каждым обновлением дистрибутива. Наличие встроенных инструментов миграции позволят бесшовно перейти со старого почтового сервера на VK WorkMail, а интеграция с Active Directory дает возможность гибко управлять всем списком пользователей централизованно. Сервисы VK также можно масштабировать и интегрировать друг с другом и это реализовано «из коробки» еще на этапе установки.

P.S. Спасибо что дочитали до конца. В следующих материалах я сделаю подробный обзор про размещение VK Teams в корпоративной инфраструктуре и дальнейшую его интеграцию с VK WorkMail и VK WorkDisk. 

Если заинтересовались возможностями VK WorkMail и готовы протестировать эту «зверушку» на себе, переходите по ссылке и отправляйте заявку на получение триального ключа.