Установка северс: Установка предпускового подогревателя Северс+

Содержание

Установка и регистрация | Руководство администратора TrueConf Server

Системные требования для сервера TrueConf Server

  Начальная конфигурация Рекомендуемая конфигурация
Процессор Intel Core i3-8100 (3.6 ГГц)
Intel Core i5-7400 (3.0 ГГц)
Intel Xeon E3-1270 v5 (3.6 ГГц)

или любой другой процессор с количеством логических ядер не менее 4 и оценкой PassMark® более 7000 баллов.

Intel Core i7-8700 (3.2 ГГц)
AMD Ryzen 7 2700 (3.2 ГГц)
Intel Core i7-7700K (4.2 ГГц)
Intel Xeon E5-1680 v4 (3.4 ГГц)
Intel Xeon E5-2667 v4 (3.2 ГГц)

или любой другой процессор с количеством логических ядер не менее 8 и оценкой PassMark® более 12000 баллов.

Возможности типовых конфигураций
  • До 1000 онлайн-пользователей, подключенных через клиентские приложения TrueConf.
  • Запись или вещание одной видеоконференции любого типа.

А также…
  • До 200 участников в конференциях любого типа, подключенных через приложения TrueConf
или
  • До 100 WebRTC участников в ролевых конференциях.
или
  • До 25 WebRTC участников, отображаемых в конференциях любого типа.
или
  • До 100 SIP или H.323 терминалов в ролевых конференциях.
или
  • До 10 SIP или H.323 терминалов, отображаемых в одной конференции любого типа.
  • До 400 участников в конференциях любого типа, подключенных через приложения TrueConf
или
  • До 200 WebRTC участников в ролевых конференциях.
или
  • До 36 WebRTC участников, отображаемых в конференциях любого типа.
или
  • До 100 SIP или H. 323 терминалов в ролевых конференциях.
или
  • До 20 SIP или H.323 терминалов, отображаемых в одной конференции любого типа.
Примеры других типовых конфигураций →
Возможности аппаратного ускорения на GPU Добавление видеокарты уровня NVIDIA Quadro P2000 увеличивает количество индивидуальных раскладок для SIP/H.323 участников на 20 штук, без необходимости менять остальное оборудование
Операционная система Выделенная или виртуальная серверная операционная система:
  • Microsoft Windows Server 2016/2019 (в том числе редакции Core) с установленными последними версиями обновлений
  • Debian 10 / 11
  • CentOS 8
  • Astra Linux CE 2.12
  • Astra Linux SE 1.6 / 1.7
  • Альт Сервер 9
  • РЕД ОС 7.3
  • ROSA 7.9
Оперативная память 8 ГБ 16 ГБ и выше
Жесткий диск 20 ГБ свободного места на диске
Сеть Ethernet 1 Гбит/с
Порты
  • 443 (возможно изменить в панели управления) — HTTPS-порт по умолчанию, для передачи служебной информации между сервером, клиентскими приложениями и браузерами.

    Если этот порт закрыт, планировщик конференций, показ презентаций и расширенное управление конференцией из клиентского приложения работать не будут.
  • 4307 (возможно изменить в панели управления) — порт для обмена медиаданными с клиентскими приложениями.
Подробнее →
IP Для корректной работы сервера требуется статический IP адрес
Поддерживаемые гипервизоры Microsoft® Hyper-V, Xen, KVM, Oracle VM VirtualBox, VMware Workstation и ESXi
Совместимые криптографические шлюзы КриптоПро NGate, С-Терра Шлюз, «ИнфоТеКС» ViPNet, «Код безопасности» АПКШ «Континент»
Совместимые криптографические шлюзы КриптоПро NGate, С-Терра Шлюз, «ИнфоТеКС» ViPNet, «Код безопасности» АПКШ «Континент»

Что такое регистрационный ключ и как его получить?

Перед установкой TrueConf Server убедитесь, что у вас есть регистрационный ключ – уникальная секретная комбинация символов, однозначно идентифицирующая лицензии для вашего экземпляра сервера ВКС. Скорее всего, вы уже получили ключ при скачивании установщика сервера с нашего сайта или при его покупке у одного из наших партнёров. Тогда пропускайте этот шаг и переходите к установке сервера.

Если же у вас нет ключа, вы можете использовать бесплатную лицензию, нажав на кнопку Скачать бесплатно на странице TrueConf Server Free.

Детальное сравнение возможностей бесплатной и платной версий доступно на странице цен.

Откроется страница с формой, которую нужно заполнить, чтобы получить TrueConf Server Free:

Регистрационный ключ придет на почту, которую вы указали при заполнении формы.

Ключ должен прийти в течении 15 минут

Если этого не произошло, свяжитесь с нами любым удобным способом, или проверьте папку СПАМ вашего почтового клиента.

После заполнения формы откроется страница выбора операционной системы с инструкциями для установки.

Установка сервера

TrueConf Server поставляется в виде дистрибутива, в который входит серверная часть и клиентские приложения для операционной системы Windows. Клиентские приложения TrueConf для других популярных операционных систем доступны на веб-сайте TrueConf (на гостевой странице TrueConf Server можно найти ссылки для их скачивания).

При установке TrueConf Server за межсетевым экраном (firewall) для завершения регистрации необходимо сделать порт 4310 открытым для нашего регистрационного сервера reg.trueconf.com.

Установка на ОС Windows

На открывшейся после заполнения формы странице перейдите на вкладку Windows и нажмите кнопку Скачать TrueConf Server.

После загрузки дистрибутива запустите его, чтобы начать установку. Процесс установки займёт менее минуты.

В процессе установки вы можете указать:

  • Web TCP порт – для доступа к панели управления по HTTP;

  • TCP порт базы данных – для доступа к системе отчётов сервера.

Порт базы данных для отчётов сервера по умолчанию равен 5432, выбирается при установке и после этого не может быть изменён (кроме как путём полной переустановки TrueConf Server). Для панели управления по умолчанию выбирается порт 80 или 8888 (если порт 80 недоступен). Если порты 80 и 8888 оба недоступны, то укажите его сами в процессе установки.

Если порт панели управления не равен 80 (для подключения по HTTP) или 443 (для подключения по HTTPS), то для открытия панели управления его необходимо явно указать в адресной строке браузера после двоеточия в имени хоста (например, http://localhost:8080).

Можно ли установить TrueConf Server на ПК, где уже есть веб-сервер?

Да. Инсталлятор либо сам выберет свободный порт, либо предложит задать его вручную.

Когда установка завершится, в браузере автоматически откроется панель управления администратора.

Установка на ОС семейства Linux

Так как TrueConf Server содержит свой веб-сервер, используйте вариант установки ОС без предустановленного веб-сервера для предотвращения возможных конфликтов.

Шаг 1.

Прежде всего, в ОС требуется добавить пользователя, под которым будет производиться установка и который будет иметь доступ к панели управления сервером. Можно использовать учётную запись, созданную при установке ОС.

Шаг 2.

На открывшейся после заполнения формы странице перейдите на вкладку Linux с описанием дальнейших шагов.

Нажмите ссылку во втором пункте, чтобы перейти к подробной инструкции по установке TrueConf Server для Linux на нашем блоге.

Шаг 3.

Скачайте дистрибутив для вашей операционной системы.

Шаг 4.

При ручном развёртывании перейдите в каталог со скачанным установочным пакетом и от имени администратора выполните указанные далее команды в зависимости от вашей ОС, где trueconf-server-name – название файла.

На Debian, Astra Linux:

На CentOS 8, РЕД ОС:

На ROSA:

На Альт Сервер:

Шаг 5.

В процессе установки на Debian, Astra Linux, Альт Сервер появится поле для ввода имён пользователей ОС, которые будут иметь административный доступ к панели управления сервером. Укажите имя созданного ранее пользователя.

На CentOS, РЕД ОС, ROSA окно добавления пользователя не появляется. Поэтому после завершения процесса установки TrueConf Server выполните команду (обязательно под root или с помощью sudo):

где user – имя созданного ранее пользователя.

Шаг 6.

В ОС добавится две службы TrueConf: веб-сервер trueconf-web и основная служба сервера trueconf. Веб-сервер должен запуститься автоматически после установки.

С другого компьютера в вашей локальной сети зайдите на страницу установленного сервера по IP компьютера с ОС Linux.

Чтобы узнать IP-адрес в Linux, используйте команду ip a.

Для доступа к панели управления по умолчанию выбирается порт 80 или 8888 (если порт 80 недоступен). Если порты 80 и 8888 оба недоступны, то вам потребуется настроить другой порт вручную после установки.

Если порт панели управления не равен 80 (для подключения по HTTP) или 443 (для подключения по HTTPS), то для открытия панели управления его необходимо явно указать в адресной строке браузера после двоеточия в имени хоста (например, http://localhost:8080).

Откроется гостевая страница. Нажмите Вход для администратора и войдите под учётными данными созданного ранее пользователя для перехода к регистрации сервера.

Как изменить порт для доступа к панели управления без переустановки сервера

Для ОС семейства Windows

Перейдите в рабочую директорию сервера (по умолчанию C:\Program Files\TrueConf Server\httpconf\conf) и откройте файл listen. conf, используя любой текстовый редактор (обязательно с правами администратора). Измените номер порта в параметре Listen <номер порта> (например, Listen 8888), после чего сохраните внесённые изменения. Перезагрузите компьютер, на котором установлен сервер.

Для ОС семейства Linux

Во время установки на ОС семейства Linux не отображается окно выбора порта для доступа к панели управления. Поэтому при необходимости изменить этот порт можно только после установки.

Перейдите в каталог /opt/trueconf/server/etc/webmanager/ с правами суперпользователя и откройте файл httpd.conf с помощью любого текстового редактора. Измените номер порта в параметре Listen <номер порта> (например, Listen 8888), после чего сохраните внесённые изменения. Перезагрузите службу веб-сервера, используя команду:

Процесс регистрации сервера

Зарегистрируйте сервер. Для этого вам понадобится полученный ранее регистрационный ключ.

Вернитесь на страницу настройки TrueConf Server, введите в соответствующее поле ваш ключ и нажмите кнопку Регистрация:

После того как сервер будет успешно зарегистрирован, в верхнем правом углу окна панели управления появится соответствующая надпись работает, зарегистрирован:

Offline-регистрация

Чтобы пройти оффлайн-регистрацию на ПК без подключения к Интернету, вам потребуется устройство с доступом к сети для получения регистрационного ключа. Перейдите с данного устройства на страницу заполнения заявки и следуйте инструкции из пункта Регистрация сервера.

После того, как на ваш электронный адрес придет письмо с регистрационным ключом, его нужно ввести в соответствующее поле Регистрационный ключ панели управления на ПК, не подключенном к Интернету, и нажать на кнопку Регистрация:

В окне регистрации появится кнопка Создать файл регистрации. Нажмите на нее, чтобы сгенерировать файл c регистрационной информацией:

Созданный файл offlinereg. vrg автоматически сохраняется в папке Загрузки браузера. Отправьте его по адресу [email protected] В ответ вы получите файл, который необходимо передать на ПК, на котором осуществляется оффлайн-регистрация сервера.

Обязательно дождитесь ответа на уже отправленный запрос без повторного запуска offline-регистрации. В случае повторного запуска offline-регистрации всю процедуру придётся проходить заново.

Нажмите Выбрать файл и выберите на вашем компьютере присланный файл offline2.vrg, затем нажмите на кнопку Продолжить:

При успешном прохождении процедуры offline-регистрации откроется страница панели управления с уведомлением о том, что сервер зарегистрирован.

Смена регистрационного ключа

Чтобы сменить регистрационный ключ:

  1. Войдите в панели управления в раздел Панель управления → Информация о сервере.

  2. Перейдите на вкладку Информация.

  3. Нажмите кнопку Регистрация и укажите новый ключ, как было показано ранее:

Частые вопросы о регистрации

  1. Можно ли зарегистрировать TrueConf Server Free без подключения к Интернету?

    Нет. Данная возможность доступна только пользователям годовой или бессрочной лицензии продукта TrueConf Server. Если вам нужна тестовая версия TrueConf Server, которая работает без подключения к Интернету — просто свяжитесь с нами.

  2. Что делать, если при смене ключа высвечивается надпись Смена компьютера не доступна для этого регистрационного ключа?

    Это значит, что ваш ключ «привязан» к компьютеру, на котором был установлен сервер. Чтобы отключить такую привязку, свяжитесь с нами одним из способов.

  3. Что делать, если при вводе ключа появляется надпись У сервера отсутствуют действующие лицензии?

    Это значит, срок действия лицензии с этим ключом истёк или на вашем ПК сбились время и дата. Проверьте, чтобы они соответствовали действительности.

Настройка доступа к панели управления

По умолчанию сервер можно администрировать через любой компьютер локальной сети, в которой он установлен, то есть доступ ограничен следующими диапазонами IP адресов: 10. *, 192.168.*, 172.16-172.31, 127.*.

При этом удалённый доступ к панели управления TrueConf Server требует авторизации с учётными данными пользователя, который входит в одну из групп:

  • TrueConf Server Admin на Windows (tcadmins на ОС семейства Linux) — для администрирования сервера;

  • TrueConf Server Security Admin на Windows (tcsecadmins на ОС семейства Linux) — для просмотра отчётов и записей видеоконференций.

При установке сервера на ОС Windows в первую группу добавляется текущая учётная запись пользователя. На ОС Linux в группу tcadmins добавляются пользователи, указанные вручную в процессе установки. Для предоставления доступа к панели управления другому пользователю администратор должен добавить его учётную запись в одну из групп.

Доступ к администрированию сервера на ОС Windows также открыт пользователям группы Администраторы. На ОС семейства Linux доступ к панели управления получает пользователь, указанный при установке сервера.

Если вы хотите настраивать сервер удалённо с другой машины, то убедитесь, что firewall сервера позволяет соединение по порту, выбранному для доступа к панели управления (по умолчанию это порт 80), и что данная возможность была активирована в настройках безопасности панели управления.

Статус сервера

Текущее состояние TrueConf Server отображается в строке Статус сервера в виде текста зелёного (если он работает) или красного (если он остановлен) цвета в правом верхнем углу панели управления:

Что делать, если сервер не запускается?

В строке Статус сервера отображается текст Остановлен.

Этому есть три возможные причины:

Журнал сервера

При возникновении неполадок на сервере служба поддержки TrueConf сможет помочь вам быстрее и эффективнее при наличии логов сервера. Основной лог сервера можно посмотреть в журнале, доступном по кнопке Система → Журнал сервера в верхнем правом углу.

Чтобы логи были максимально информативными, в разделе Панель управления → Настройки должна быть активирована опция Включить подробное логирование. Сотрудники службы технической поддержки могут попросить вас сделать это чтобы облегчить процесс устранения неполадок.

Также в рабочем каталоге TrueConf Server сохраняется ряд дополнительных лог-файлов, о которых подробно рассказано в соответствующей статье базы знаний.

Настройка предпочтений

Некоторые настройки могут быть установлены персонально для каждого администратора сервера: язык интерфейса панели управления, часовой пояс, параметры экспорта отчётов.

  1. Перейдите в меню Система → Предпочтения… в правом верхнем углу панели управления.

  2. Выберите предпочитаемый язык интерфейса панели управления, а также часовой пояс. Данное значение будет влиять на отображение времени событий во всех журналах сервера, а также автоматически применяться в соответствующем поле при планировании конференций. Вы можете использовать часовой пояс машины, на которой развёрнут сервер, отметив соответствующий флажок.

  3. В секции Экспорт CSV можно настроить параметры экспорта отчётов – используемую кодировку и символ-разделитель для представления строки таблицы в текстовом формате.

После изменения предпочтений нажмите Применить чтобы сохранить их.

Подключение пользователей

Где пользователям взять клиентские приложения

Чтобы пользователи вашего сервера могли подключиться к системе видеоконференцсвязи, распространите среди них ссылку на гостевую страницу, где можно скачать клиентские приложения для всех поддерживаемых платформ.

Гостевая страница доступна по адресу http[s]://<server>[:<port>], где:

  • <server> — адрес компьютера с TrueConf Server;

  • <port> — порт, отведённый под панель управления администратора (если используется значение по умолчанию — порт 80 — его можно не указывать).

Например:

Вы можете настроить ссылку на гостевую страницу в меню Веб → Настройки панели управления.

Подключение клиентского приложения к TrueConf Server

Чтобы приложение подключилось к вашему серверу и пользователь мог авторизоваться на нём, необходимо указать приложению адрес сервера в сети. Сделать это можно вручную или дать приложению возможность найти сервер автоматически через DNS.

После подключения к нужному серверу пользователь должен будет пройти авторизацию, введя логин и пароль.

Ручная настройка клиентского приложения

Ручная настройка связи с сервером заключается в том, чтобы пользователь сам ввёл в меню сетевых настроек приложения (либо при первом его запуске) адрес сервера и порт для подключения. Подробные инструкции по подключению к серверу каждого конкретного приложения доступны на гостевой странице.

Настройка автоматического подключения

Клиентское приложение может автоматически найти TrueConf Server в локальной сети. Для этого надо указать адрес сервера в домене DNS, являющийся для клиентского компьютера первичным доменом (primary DNS suffix). В нужном домене необходимо создать SRV-запись сервиса vcs2.tcp и указать в ней адрес и порт сервера.

Пример настройки для утилиты DNS из Microsoft Windows 2012 Server:

  • в меню правой кнопки целевого домена выбрать Тип записи ресурса;

  • из списка выбрать тип Расположение службы (запись SRV);

  • установить настройки согласно изображению.

В этом примере сервер доступен по адресу videoserver.your.domain.com и порту 4307. Обратите внимание, что название протокола (tcp) не содержит подчёркивания.

Установка сервера отчетов Power BI — Power BI

  • Статья
  • Чтение занимает 5 мин
  • Участники: 9

Были ли сведения на этой странице полезными?

Да Нет

Хотите оставить дополнительный отзыв?

Отзывы будут отправляться в корпорацию Майкрософт. Нажав кнопку «Отправить», вы разрешаете использовать свой отзыв для улучшения продуктов и служб Майкрософт. Политика конфиденциальности.

Отправить

Спасибо!

В этой статье

Узнайте, как установить сервер отчетов Power BI.

Скачивание сервера отчетов Power BI

На странице Локальная работа с отчетами с использованием Сервера отчетов Power BI выберите Download free trial (Скачать бесплатную пробную версию).

При запуске файла PowerBIReportServer.exe вы можете выбрать бесплатную пробную версию или ввести ключ продукта. Чтобы получить дополнительные сведения, продолжите чтение.

Подготовка к установке

Прежде чем устанавливать Сервер отчетов Power BI, рекомендуем ознакомиться с требованиями к оборудованию и программному обеспечению для установки Сервера отчетов Power BI.

Важно!

Сервер отчетов Power BI можно установить в среде, имеющей контроллер домена только для чтения (RODC), но для правильной работы ему необходим доступ к контроллеру домена для чтения и записи. Если Сервер отчетов Power BI имеет доступ только к RODC, при попытке администрирования службы могут возникнуть ошибки.

Ключ продукта сервера отчетов Power BI

Ключ продукта для Сервера отчетов Power BI можно получить из двух различных источников:

  • Power BI Premium
  • SQL Server Enterprise Software Assurance (SA)

Чтобы получить дополнительные сведения, продолжите чтение.

Power BI Premium

Если вы приобрели Power BI Premium, то сможете получить ключ продукта для Сервера отчетов Power BI на вкладке Параметры Premium портала администрирования Power BI. Портал администрирования доступен только глобальным администраторам или пользователям, которым назначена роль «Администратор службы Power BI».

Выберите Ключ сервера отчетов Power BI, и появится диалоговое окно с вашим ключом продукта. Вы можете скопировать его и использовать при установке.

SQL Server Enterprise Software Assurance (SA)

Если вы заключили соглашение SQL Server Enterprise SA, то можете получить ключ продукта на веб-сайте Volume Licensing Service Center.

Важно!

При установке решения «Сервер отчетов Power BI» на нескольких серверах для горизонтального увеличения масштаба все серверы должны использовать один и тот же ключ продукта Power BI Premium или SQL Server Enterprise Software Assurance (SA).

Установка сервера отчетов

Сама по себе установка Сервера отчетов Power BI выполняется очень легко. Чтобы установить его, нужно выполнить совсем немного действий.

Для установки вам не требуется ядро СУБД SQL Server. После установки нужно будет настроить службы отчетов Reporting Services.

  1. Найдите папку с файлом PowerBIReportServer.exe и запустите установщик.

  2. Выберите Install Power BI Report Server (Установить сервер отчетов Power BI).

  3. Выберите устанавливаемый выпуск, а затем нажмите кнопку Далее.

    Выберите выпуск Evaluation или Developer.

    В противном случае введите ключ продукта для сервера, полученный из службы Power BI или на сайте Volume License Service Center. Дополнительные сведения о получении ключа продукта см. в разделе Подготовка к установке выше.

  4. Прочтите и примите условия лицензионного соглашения, а затем нажмите кнопку

    Далее.

  5. Для хранения базы данных сервера отчетов требуется ядро СУБД. Нажмите кнопку Далее, чтобы установить только сервер отчетов.

  6. Укажите расположение установки для сервера отчетов. Чтобы продолжить, нажмите кнопку Установить.

    Путь по умолчанию: C:\Program Files\Microsoft Power BI Report Server.

  7. После успешной установки нажмите кнопку Настроить сервер отчетов, чтобы запустить диспетчер конфигурации служб Reporting Services.

Настройка сервера отчетов

Если нажать кнопку Настроить сервер отчетов в программе установки, откроется диспетчер конфигурации служб Reporting Services. Дополнительные сведения см. в статье о диспетчере конфигурации служб Reporting Services.

Для завершения начальной настройки Reporting Services необходимо создать базу данных сервера отчетов. Для выполнения этого шага требуется сервер базы данных SQL Server.

Создание базы данных на другом сервере

Если для создания базы данных сервера отчетов вы используете сервер базы данных на другом компьютере, необходимо изменить учетную запись службы для сервера отчетов на учетные данные, принимаемые сервером базы данных.

По умолчанию сервер отчетов использует учетную запись виртуальной службы. При попытке создать базу данных на другом сервере может появиться следующая ошибка на этапе применения прав на подключение.

System.Data.SqlClient.SqlException (0x80131904): Windows NT user or group '(null)' not found. Check the name again.

Чтобы устранить ее, измените учетную запись службы на учетную запись сетевой службы или учетную запись домена. При изменении учетной записи службы на учетную запись сетевой службы к серверу отчетов применяются права в контексте учетной записи компьютера.

Дополнительные сведения см. в разделе Настройка учетной записи службы сервера отчетов.

Служба Windows

Служба Windows создается в процессе установки. Она отображается как сервер отчетов Power BI. Имя службы — PowerBIReportServer.

Резервирование URL-адресов по умолчанию

Резервирование URL-адреса состоит из префикса, имени узла, номера порта и имени виртуального каталога.

Часть Описание
Prefix Префикс по умолчанию — HTTP. Если сертификат SSL уже установлен, программа установки попытается создать резервирование URL-адресов с префиксом HTTPS.
Имя узла Именем узла по умолчанию является строгий шаблон (+). Он указывает, что сервер отчетов принимает все HTTP-запросы в заданном порте для любого имени узла, который соответствует компьютеру, включая https://<computername>/reportserver, https://localhost/reportserver или https://<IPAddress>/reportserver.
Порт По умолчанию используется порт 80. Если используется порт, отличный от порта 80, необходимо явно добавить его в URL-адрес при открытии веб-портала в окне браузера.
Виртуальный каталог По умолчанию виртуальные каталоги создаются в формате ReportServer для веб-службы сервера отчетов и Reports — для веб-портала. Для веб-службы сервера отчетов по умолчанию используется виртуальный каталог reportserver. Для веб-портала виртуальный каталог по умолчанию — reports.

Ниже приведен пример полного URL-адреса.

  • https://+:80/reportserver, предоставляет доступ к серверу отчетов.
  • https://+:80/reports, предоставляет доступ к веб-порталу.

Брандмауэр

Если при доступе к серверу отчетов с удаленного компьютера используется брандмауэр, необходимо корректно настроить правила брандмауэра.

Откройте TCP-порт, настроенный для URL веб-службы и URL веб-портала. По умолчанию для них используется TCP-порт 80.

Дополнительная настройка

Дальнейшие действия

Обзор функций администратора
Как найти ключ продукта сервера отчетов
Установка Power BI Desktop для Сервера отчетов Power BI
Verify a Reporting Services installation (Проверка установки служб Reporting Services)
Configure the Report Server Service Account (SSRS Configuration Manager) (Настройка учетной записи службы сервера отчетов (System Center Configuration Manager))
Configure Report Server URLs (SSRS Configuration Manager) (Настройка URL-адресов сервера отчетов (System Center Configuration Manager))
Configure a Report Server Database Connection (SSRS Configuration Manager) (Настройка подключения к базе данных сервера отчетов (System Center Configuration Manager))
SSRS Encryption Keys — Initialize a Report Server (Ключи шифрования SSRS — инициализация сервера отчетов)
Configure SSL Connections on a Native Mode Report Server (Настройка подключений SSL на сервере отчетов в основном режиме)
Configure Windows Service Accounts and Permissions (Настройка учетных записей и разрешений службы Windows)
Поддержка браузера для сервера отчетов Power BI

Появились дополнительные вопросы? Попробуйте задать вопрос в сообществе Power BI.

Руководство по установке сервера 1С на Linux (декабрь 2019)

 ВАЖНО: Читайте обновлённое руководство по установке сервера 1С под Linux в статье «От экспертов „1С‑Рарус“: Установка серверной части 1С в Linux среде» (сентябрь 2021).

Описание

Руководство рассчитано на технических специалистов с опытом установки операционных систем семейства WINDOWS, но не работающих с ОС Linux. В руководстве описывается установка и настройка серверной системы на базе ОС Linux с сервером 1С, предназначенным для эксплуатации отраслевых решений 1С-Рарус. Система включает следующие компоненты: сервер 1С, сервер СУБД PostgreSQL, менеджер лицензий платформы, сервер лицензирования 1С-Рарус, сервер лицензирования СЛК, веб-сервер Apache, FTP сервер. Администрирование компонентов системы производится путем  удаленного подключения к консоли. Выполнена базовая оптимизация параметров работы компонентов в соответствии с рекомендациями 1С.

Руководство рассчитано под конкретные версии

  • Ubuntu-16.04.3-server-amd64.
  • PostgreSQL Pro 9.6.3.3.
  • Apache 2.2.
  • Сервер 1С 8.3.13.1513.

Термины

  • deb — расширение для ОС Debian/Ubuntu.
  • tar — формат файла архива, а также название традиционной для Unix (https://ru.wikipedia.org/wiki/Unix) программы для работы с такими архивами.
  • Локаль (locale) — это файл, содержащий таблицу с указанием того, какие символы считать буквами, и как их следует сортировать.
  • Загрузка пакетов происходит из репозиториев. Список доступных репозиториев указывается в файле /etc/apt/sources.list.
  • Репозиторий, хранилище — место, где хранятся и поддерживаются какие-либо данные, необходимые для обновлений/установки приложений/пакетов.
  • Зависимости — одна из важнейших сфер деятельности RPM (менеджер пакетов). БД RPM отслеживает зависимости между пакетами, что значительно облегчает задачи администратора. Зависимости возникают в тех случаях, когда работоспособность ПО из одного пакета зависит от ПО, входящего в состав другого пакета.

1. Установка ОС Ubuntu (серверный вариант)

Дистрибутив Ubuntu можно взять на официальном сайте (http://old-releases.ubuntu.com/releases/16.04.3/). Для этого понадобится ISO-файл серверного образа для платформы х64 PC (AMD64).

Руководство рассчитано на версию Ubuntu-16.04.3-server-amd64.iso. На основе образа при помощи утилиты Rufus (https://rufus.ie/) необходимо создать загрузочную флешку. Для выбора компонентов при установке следует использовать клавишу «пробел».

При установке дистрибутива, везде выбираем язык системы English. В дальнейшем, при установке 1С, будет выставляться нужная локаль русского языка.

При выборе раскладки если клавиатура стандартная, выбираем пункт «не определять». Если не стандартная, например, клавиатура mac, выбираем «определить».

Разбивка диска производится на усмотрение оператора системы. Минимальный объём диска выбирается, исходя из размеров текущей/будущей базы 1С + 80Gb под временные файлы и систему/резерв. Если оператор системы не знаком с вариантами разбивки, рекомендуется делать разбивку, предложенную по умолчанию:

После чего записываем изменения на диск:

ВАЖНО! Если UbuntuServer устанавливается на диск, где уже находится какая-либо операционная система, то необходимо заранее выделить на этом диске место под неё. Если на диске стоит ОС Windows, то необходимо, например при помощи AcronisDiskManager, отделить от текущего диска необходимое место, и создать на его базе раздел в формате EXT3/4.

При установке отказываемся от автоматической установки update.

В software selection выбираем пункт (клавишей пробел) OpenSSh server, остальное на усмотрение оператора системы, но не рекомендуется перегружать 1С сервер излишними задачами, такими как  mail server/dns server/etc.

PostrgresSQL database устанавливается отдельно, так как БД, идущая в основной сборке UbuntuServer, не настроена под задачи 1С.

Если в дальнейшем для использования сервера требуется установить на нём графический интерфейс, то необходимо выполнить команду:

  • sudo apt-get install ubuntu-desktop -y

Если в процессе установки возникла ошибка «Неудовлетворенные зависимости. Попытайтесь выполнить „apt-get -f install“, не указывая имени пакета, (или найдите другое решение).», то выполнить команды:

  • sudo apt-get clean
  • sudo apt-get install -f

После чего повторить установку и перезагрузить сервер:

Так же для удобства использования системы без графического интерфейса, необходимо установить MidnightCommander командой:

2. Подготовка ПК под управлением OC Windows для удалённого управления UbuntuServer

Данный раздел нужен для того, чтобы вести дальнейшую работу с UbuntuServer из под ОС Windows. После завершения установки необходимо авторизироваться в системе под заданным паролем и логином. При подключении с другого ПК под windows необходим ssh-клиент. Рекомендуется использовать Putty (https://www.chiark.greenend.org.uk/~sgtatham/putty/latest.html).

Для подключения необходимо знать IP адрес сервера и проверить статус SSH. В консоли UbuntuServer пишем следующие команды:

  • sudo ifconfig — система покажет IP сервера.

  • sudo service ssh status — система покажет статус сервиса SSH.

    Если сервис SSH не активен:

    • необходимо выполнить команду sudo service ssh start
    • повторить проверку статуса сервиса командой sudo service ssh status

Запустить Putty на удалённом ПК. Ввести ip-адрес UbuntuServer и нажать Оpen. В появившемся окне консоли ввести логин и пароль от UbuntuServer.

Для переноса файлов из ОС Windows на UbuntuServer необходима программа При использовании удаленного ПК c OC Windows рекомендуется программа WinSCP (https://winscp.net/download/WinSCP-5.15.1-Setup.exe) (программа, необходимая для переноса файлов из windows в linux системы, ftp-шары).

3. Установка сервера 1С

После установки сервера происходит генерация и установка необходимых локалей. Это особенно важно, если система была установлена с языком отличным от русского. Для этого в консоли вводятся следующие команды:

  • sudo locale-gen en_US
  • sudo locale-gen ru_RU
  • sudo dpkg-reconfigure locales (где выбираем ru_RU.UTF-8)

Создается папка для дистрибутива 1С при помощи команды:

В созданную ранее папку нужно закачать имеющийся дистрибуrdсервера 1С для deb64, например: deb64_8_3_13_1513.tar.gz (https://releases.1c.ru/version_file?nick=Platform83&ver=8.3.13.1513&path=Platform%5C8_3_13_1513%5Cdeb64_8_3_13_1513.tar.gz). Это можно сделать из браузера сервера, используя графический интерфейс. Также можно поместить скачанные файлы на сервер, создав на нём ftp-сервер.

Запустив WinSCP, в появившемся окне необходимо указать ip-адрес UbuntuServer и нажать «войти»:

Далее в появившемся файловом менеджере в правом окне необходимо перейти в созданную на сервере папку и скопировать дистрибутив, после чего возвратиться в консоль сервера или Putty. Переход в папку с дистрибутивом осуществляется командой:

Затем необходимо распаковать архив:

  • tar xvzf deb64_8_3_13_1513.tar.gz

Установить пакеты:

При установке на Ubuntu может возникнуть проблема с отсутствием пакета libwebkitgtk-1.0-0. Решить ее можно с помощью последовательного ввода команд в терминал:

  • sudo apt-get install libwebkitgtk-1.0-0
  • sudo apt-get -f install

ВАЖНО! У установочных пакетов deb1с есть зависимости, ввиду чего, если установка не закончилась успешно, необходимо пакеты входящие в поставку платформы 1С (https://releases.1c.ru/version_files?nick=Platform83&ver=8.3.13.1513) скачать отдельно в папку ~/downloads/

Запускаем сервер 1С:

  • sudo service srv1cv83 start

Проверяем запуск сервера:

  • sudo service srv1cv83 status

Для запуска сервера в режиме отладки необходимо изменить конфигурационный файл /etc/init.d/srv1cv83 (документация по файлу https://its.1c.ru/db/v837doc#bookmark:adm:TI000000418).

Если, после вывода статуса сервиса, в консоли нельзя ввести другую команду, то требуется нажать клавишу Q.

Для удобства пользования рекомендуется поставить файловый менеджер MidnightCommander. Для этого в консоли сервера прописывается команда:

В дальнейшем, после установки, можно работать в менеджере из-под консоли, выполнив команду: 

Или сразу править нужный конфигурационный файл/скрипт командой:

  • sudo mcedit /etc/init.d/srv1cv83

Для примера отредактируем файл /etc/init.d/srv1cv83 командой:

  • sudo mcedit /etc/init.d/srv1cv83

В появившемся редакторе изменим ключ SRV1CV8_DEBUG (значение 1=вкл debug, значение 0=выкл debug). Также данную строку необходимо раскомментировать (убрать символ # перед ключом), после чего жмём F2 (сохранить изменения) и F10 (выйти из редактора).

После данных изменений сервис 1С севера необходимо перезапустить командой:

  • sudo service srv1cv83 restart

4. Установка PostgreSQL Pro 9.6.3.3 для 1С

Перед началом установки СУБД требуется произвести регистрацию ключа репозитория PostgreSQL и обновить его пакеты тут (http://1c.postgrespro.ru/keys/GPG-KEY-POSTGRESPRO-1C).

Добавить репозиторий командой:

  • sudo sh -c ‘echo «deb http://1c.postgrespro.ru/deb/ $(lsb_release -cs) main» > /etc/apt/sources.list.d/postgrespro-1c.list’
  • wget —quiet -O — http://repo.postgrespro.ru/pgpro-11/keys/GPG-KEY-POSTGRESPRO | sudo apt-key add | sudo apt-get update

Установить postgresql 9.6:

  • sudo apt-get install postgresql-pro-1c-9. (точка в конце обязательна).

Отредактировать сетевую конфигурацию postgresql:

  • sudo mcedit /etc/postgresql/9.6/main/pg_hba.conf
  • Изменить строчку на host all all 127.0.0.1/32 trust

Запустить postgresql:

  • sudo service postgresql start

Установить пароль на пользователя (в поле %password% указать пароль):

  • psql -U postgres -d template1 -c «ALTER USER postgres PASSWORD %password%»

Если вариант команд выше выдала ошибку, то выполнить следующие:

  • sudo -u postgres psql
  • ALTER USER postgres with PASSWORD ‘password’

Перезапустить postgresql: 

  • sudo systemctl restart postgresql

Прописать postgresql в автозагрузку и проверить статус службы:

  • sudo systemctl enable postgresql 
  • systemctl status postgresql

Для работы в postgresql под UbuntuServer нужно для начала зайти под пользователем postgres: 

Далее зайти в сам postgres командой: 

  • psql (выйти из этого пользователя команда /q)

Для работы в Postgresql с удаленного ПК под управление ОС Windows используется утилита PgAdmin (https://www.postgresql.org/ftp/pgadmin/pgadmin3/v1.22.2/win32/). В самой утилите необходимо нажать «Добавить новое подключение к серверу». В появившемся окне ввести данные сервера: ip-адрес, логин и пароль пользователя postgresql, указанные при его установке.

5. Оптимизация параметров PostgreSQL

Рекомендации 1С по настройке postgresql можно посмотреть на сайте ИТС (https://its.1c.ru/db/metod8dev#browse:13:-1:1989:2035:2510:2536).

Для оптимизации параметров Postgresql можно воспользоваться сервисом (https://pgtune.leopard.in.ua/#/).

На странице сервиса необходимо указать параметры настраиваемой системы и сервера:

  • Версии СУБД = 9.6
  • Тип ОС = Linux
  • Количество ОЗУ
  • Количество процессоров
  • Количество подключений к базе (оптимально максимально возможное значение)
  • Тип жесткого диска (HDD/SSD/NAS)

Нажать Generate и скопировать данные из правого окна в конец конфигурационного файла расположенного по адресу /etc/postgresql/9.6/main/postgresql.conf.

Вставка в mcedit производиться с помощью комбинации клавиш shift+insert

После сохранения конфигурационного файла нужно перезапустить сервер postgres командой:

  • sudo systemctl restart postgresql

ВАЖНО! Сервер может не запуститься из-за технических ограничений, после выполнения указанных выше процедур. Для решения этого необходимо прописать следующие параметры самого сервера в конце файла /etc/sysctl.conf:

  • kernel.shmmax=17179869184 (2Гб в битах)
  • kernel.shmall=4194304 (0,52Мб в битах)

Перезагружаем сервер командой:

6. Установкой менеджера hasp от etersoft

Необходимо скачать пакет для Ubuntu 16.04 тут (https://download.etersoft.ru/pub/Etersoft/HASP/last/Ubuntu/16.04/haspd_7.90-eter2ubuntu_i386.deb) с сайта (http://etersoft.ru) и поместить его на сервер UbuntuServer в папку ~/downloads/.

После того, как загрузка помещёна в папку указанную выше, необходимо в консоли сервера перейти в эту папку командой:

Разрешить установку х32 пакетов: sudo

  • sudo dpkg —add-architecture i386

Обновить список пакетов:

Установить необходимые зависимости:

  • sudo apt install -f libc6:i386 libusb-1.0.0:i386 libgcc1:i386 gcc-6-base:i386 libudev1:i386

Затем запустить установку скачанного пакета и менеджера лицензий: 

  • sudo dpkg -i haspd_7.90-eter2ubuntu_i386.deb
  • sudo service haspd start

Проверить его работу:

Если необходимо, скачать драйвер ключа по ссылке (http://download.etersoft.ru/pub/Etersoft/HASP/last/Ubuntu/16.04/haspd-modules_7.90-eter2ubuntu_i386.deb), установить:

  • sudo dpkg -i haspd-modules_7.90-eter2ubuntu_i386.deb

7. Установка типовой конфигурации

Для установки типовой конфигурации, необходим установленный графический интерфейс на UbunruServer, далее необходимо скачать архив данной конфигурации и поместить его на сервер UbuntuServer в папку ~/downloads/.

К примеру возьмем демонстрационную базу (https://releases.1c.ru/version_file?nick=Platform83&ver=8.3.13.1513&path=Platform%5C8_3_13_1513%5Cdemo.zip). База заархивирована в .zip формат и имеет имя demo.zip. После того, как архив помещён в папку указанную выше, необходимо в консоли сервера перейти в эту папку командой:

Затем требуется разархивировать архив при помощи команды:

Приступить непосредственно к установке шаблона используя команду:

  • sh setup (не setup.exe)

8. Создание и добавление базы на 1С сервер

Для создании базы на ПК под управление OC Windows требуется записать в файл

  • C:\Windows\System32\drivers\etc\hosts

строку:

  • ip address  UbuntuServerName (к примеру 192.168.0.110 Ubuntu)

Для добавления базы непосредственно с сервера можно воспользоваться консольными утилитами ras и rac входящих в комплект сервера 1С.

Перейдем в каталог платформы:

Запустим сервер удаленного администрирования кластера серверов:

  • sudo ./ras –daemon cluster

Прочитаем информацию о кластере сервер 1С:

Получим список баз по данному кластеру (CLUSTER_UID — идентификатор кластера с предыдущего шага):

  • ./rac infobase –cluster=%CLUSTER_UID% summary list

Добавить администратора кластера:

  • ./rac cluster admin –cluster=%CLUSTER_UID% register –name=admin –pwd=%password% –auth=pwd

Добавить базу:

Если на сервере доступен графический интерфейс, то добавление можно произвести следующим образом:

Если в процессе создания базы появилась ошибка региональных стандартов, то необходимо запустить 1С с русской локалью командой в консоли:

  • LANG=ru_RU. UTF-8 /opt/1C/v8.3/x86_64/1cv8

Для создания базы с удалённого ПК требуется заменить localhost (или 127.0.0.1) на ip-адрес UbuntuServer.

9. Установка и настройка веб-сервера

Apache — популярный тип Apache-сервера, является веб-сервером по умолчанию для многих операционных систем и доступен в стандартном репозитории Ubuntu.
Установка Apache выполняется командой:

  • sudo apt-get install apache2

Конфигурировать Apache можно через файл apache2.conf при помощи команды:

  • sudo mcedit /etc/apache2/apache2.conf

После каждой реконфигурации файла требуется перезапуск Apache командой:

  • sudo service apache2 restart

10. Установка сервера лицензирования 1С-Рарус

Версия сервера лицензирования для Ubuntu, использованная в статье, опубликована по ссылке. Необходимо выбрать .deb пакет amd64 (так как сервер устанавливался х64).

После скачивания файл необходимо поместить на сервер в любую удобную папку, например /home/%username%/downloads, после чего в консоли перейти в неё с помощью команды:

Дальнейшая установка осуществляется командой:

  • sudo dpkg -i licserver_2.1.0.339_amd64.deb

Проверить работу сервера лицензирования можно с помощью:

При наличии графического интерфейса, зайти на сервер лицензирования можно непосредственно с UbuntuServer через браузер по адресу:

С другого ПК заходить необходимо по адресу:

  • http://%IP_адрес_UbuntuServer%:15201

11. Установка сервера лицензирования СЛК

Для установки сервера СЛК требуется скачать нужный архив с сайта (http://prom.licencecenter.ru/), поместив его в папку /home/%username%/downloads/.

Далее в консоли перейти в папку командой:

Выполнить установку:

Проверить, что сервер успешно установлен и запущен можно при помощи команды: 

  • service licenceserver status

Для ОС Linux с графическим окружением при установке сервера СЛК ссылка на консоль добавляется в меню приложений:

  • Приложения → Системные / Офис → Консоль сервера СЛК (браузер по умолчанию)

Для работы с удалённого ПК администрирование сервера, установка лицензий и настройка параметров выполняется с помощью консоли, выполненной в виде веб-приложения и доступной через веб-браузер по адресу и порту сервера СЛК. Например, на локальном компьютере при использовании стандартного порта адрес консоли будет http://localhost:9099 (где localhost это ip-адрес UbuntuServer). Более подробное руководство размещено на сайте licencecenter.com (https://licencecenter.com/downloads/licence/3.0/doc/СЛК3.0_Руководство_администратора.pdf).

12. Установка и настройка FTP-сервера

VSFTPD — популярный тип FTP-сервера, является FTP-сервером по умолчанию для многих операционных систем и доступен в стандартном репозитории Ubuntu.

Для установки  VSFTPD-сервера, используется команда: 

  • sudo apt-get install vsftpd

После установки потребуется настроить FTP-сервер под конкретные задачи с помощью конфигурационного файла, расположенного по адресу /etc/vsftpd.conf.

Содержимое файла вполне доступно для понимания и достаточно детализировано, чтобы разобраться в нем самостоятельно. Тем не менее, рекомендуется изменить некоторые настройки следующим образом:

  • listen=YES
  • listen_ipv6=NO
  • anonymous_enable=NO
  • local_enable=YES
  • write_enable=YES
  • chroot_local_user=YES
  • local_umask=022
  • force_dot_files=YES
  • allow_writeable_chroot=YES

Прежде чем запустить FTP-сервер, необходимо добавить строку /<usr/sbin/nologin в файл /etc/shell, для подключения пользователей к FTP-серверу без предоставления им shell-доступа:

  • sudo su echo «/usr/sbin/nologin» >> /etc/shells

Теперь FTP-сервер готов к запуску:

  • sudo service vsftpd start

Для запрета доступа со всех IP-адресов, кроме тех, которые планируется использовать для подключения к FTP-серверу, необходимо внести изменения в файл /etc/hosts.allow:

  • vsftpd : 127.0.0.1 : allow
  • vsftpd : allowed_IP_adress : allow
  • vsftpd : ALL : deny

Добавьте пользователя, запретите ему подключение по ssh, а затем задайте домашнюю директорию (home directory) — каталог, где будут храниться данные пользователя.

После создания пользователя, смените ему пароль: 

  • useradd %user_name% —shell /usr/sbin/nologin —home-dir /%path_to_directory% %passwd_user_name%

Для создания нового пользователя с правом редактирования файлов уже существующего пользователя, используются точно такие же идентификаторы UID и GID.

  • useradd %user_name% -o -u UID_client -g GID_client —shell /usr/sbin/nologin —home-dir /%path_to_directory% %passwd_user_name%

Проверка значений идентификаторов UID и GID осуществляется при помощи команды:

Ссылки

  1. Дистрибутивы:
    • Ubuntu-16.04.3-server-amd64 — http://old-releases.ubuntu.com/releases/16.04.3/ubuntu-16.04-server-amd64.iso
    • PostgreSQL Pro 9.6.3.3 — http://1c.postgrespro.ru/deb/pool/main/p/postgresql-pro-1c-9.6/
    • Apache 2.2 — https://archive.apache.org/dist/httpd/
    • Сервер 1С 8.3.13.1513 для Ubuntu — https://releases.1c.ru/version_file?nick=Platform83&ver=8.3.13.1513&path=Platform%5C8_3_13_1513%5Cdeb64_8_3_13_1513.tar.gz
    • Утилита Rufus — https://rufus.ie/
    • Putty — https://www.chiark.greenend.org.uk/~sgtatham/putty/latest.html
    • WinSCP — https://winscp.net/download/WinSCP-5.15.1-Setup.exe
    • FTP Vsftpd — https://security.appspot.com/downloads/vsftpd-3.0.3.tar.gz
    • PgAdmin — https://www.postgresql.org/ftp/pgadmin/pgadmin3/v1.22.2/win32/
    • HASP — https://download.etersoft.ru/pub/Etersoft/HASP/last/Ubuntu/16.04/haspd_7.90-eter1ubuntu_i386.deb
    • Сервер СЛК — http://prom.licencecenter.ru/
    • Сервер лицензирования 1С-Рарус
  2. Статьи:
    • Документация по Ubuntu Server — https://help.ubuntu.ru/wiki/руководство_по_ubuntu_server
    • Документация по файлу srv1cv83 — https://its.1c.ru/db/v837doc#bookmark:adm:TI000000418
    • Документация по postgresql pro — https://postgrespro.ru/docs/postgresql/9.6/index
    • Оптимизация postgresql — https://pgtune.leopard.in.ua/#/
    • Документация по FTP — https://help.ubuntu.ru/wiki/руководство_по_ubuntu_server/файловые_сервера/ftp_server
    • Документация по Apache(eng) — http://httpd.apache.org/docs/2.2/
    • Пример установки сервера под postgresql 9.4 — https://infostart.ru/public/502542/
  3. Команды консоли Ubuntu — https://help.ubuntu.ru/wiki/командная_строка

 ВАЖНО: Читайте обновлённое руководство по установке сервера 1С под Linux в статье «От экспертов „1С‑Рарус“: Установка серверной части 1С в Linux среде» (сентябрь 2021).

Авторы статьи

Мавроди Ярослав

Виноградов Евгений

Авторы благодарят за помощь в подготовке материалов Сергея Мирошникова, Даниила Романова, Константина Белова, Илью Жаринова.

Установка и настройка сервера OpenVPN в Ubuntu 20.04

Введение

Виртуальная частная сеть (VPN) позволит вам работать в незащищенных сетях, как если бы вы находились в частной сети. Она предоставляет возможность получить безопасный и защищенный доступ к сети Интернет со смартфона или ноутбука при подключении к недоверенной сети, например Wi-Fi в отеле или в кафе.

В сочетании с соединениями HTTPS данная схема позволяет защитить учетные данные и транзакции в беспроводной сети. Вы можете обойти географические ограничения и цензуру и скрыть свое местоположение, а также любой незашифрованный трафик HTTP при работе в незащищенной сети.

OpenVPN — это полнофункциональное решение VPN с открытым исходным кодом, которое использует протокол TLS и позволяет использовать широкий круг конфигураций. В этом обучающем руководстве мы установим OpenVPN на сервере Ubuntu 20.04 и настроим его для доступа с клиентского компьютера.

Примечание. Если вы планируете настроить сервер OpenVPN на DigitalOcean Droplet, то мы, как и многие поставщики хостинга, будем взимать плату за превышение лимита пропускной способности. По этой причине необходимо следить за объемом трафика, который обрабатывает ваш сервер.

Дополнительную информацию можно найти на этой странице.

Предварительные требования

Для данного обучающего руководства вам потребуется следующее:

Примечание. Хотя технически возможно использовать ваш сервер OpenVPN или ваш локальный компьютер в качестве центра сертификации, делать это не рекомендуется, поскольку это открывает ваш VPN для ряда уязвимостей. Согласно официальной документации OpenVPN, вы должны разместить ЦС на отдельном компьютере, который будет отвечать за импорт и подписание запросов сертификатов. По этой причине в данном обучающем модуле предполагается, что ваш ЦС располагается на отдельном сервере Ubuntu 20.04, где также имеются пользователь без привилегий root с привилегиями sudo и базовый брандмауэр.

Помимо этого вам потребуется клиентский компьютер, который вы будете использовать для подключения к вашему серверу OpenVPN. В этом обучающем руководстве мы будем называть его клиентом OpenVPN. В целях данного руководства рекомендуется использовать ваш локальный компьютер в качестве клиента OpenVPN.

После выполнения всех предварительных требований вы можете начать установку и настройку сервера OpenVPN в Ubuntu 20.04.

Примечание. Обратите внимание, что если вы отключите аутентификацию с помощью пароля при настройке этих серверов, то можете столкнуться с трудностями при передаче файлов между ними, как предусматривается последующими разделами этого обучающего руководства. Чтобы устранить эту проблему, вам нужно будет заново включить аутентификацию с помощью пароля на каждом сервере. Также вы можете сгенерировать пару ключей SSH для каждого сервера и добавить публичный ключ SSH сервера OpenVPN в файл authorized_keys на компьютере ЦС, и наоборот. Дополнительные инструкции по этим решениям можно найти в обучающем модуле Настройка ключей SSH в Ubuntu 20.04.

Шаг 1 — Установка OpenVPN и Easy-RSA

Первый шаг этого руководства подразумевает установку OpenVPN и Easy-RSA. Easy-RSA — это инструмент управления инфраструктурой открытых ключей (PKI), который вы будете использовать на сервере OpenVPN для генерации запроса сертификата, который вы затем будете проверять и подписывать на сервере ЦС.

Для начала обновите указатель пакетов сервера OpenVPN и установите OpenVPN и Easy-RSA. Оба пакета доступны в репозиториях Ubuntu по умолчанию, и поэтому вы можете использовать apt для установки:

  1. sudo apt update
  2. sudo apt install openvpn easy-rsa

Далее вам потребуется создать новую директорию на сервере OpenVPN от имени вашего пользователя non-root user с названием ~/easy-rsa:

  1. mkdir ~/easy-rsa

Теперь вам нужно создать символьную ссылку из скрипта easyrsa, установленного пакетом в директории ~/easy-rsa, которую вы только что создали:

  1. ln -s /usr/share/easy-rsa/* ~/easy-rsa/

Примечание. Хотя другие руководства могут предписывать скопировать файлы пакета easy-rsa в директорию PKI, в этом обучающем руководстве мы используем подход на основе символьных ссылок. Таким образом, любые изменения пакета easy-rsa будут автоматически отражаться в ваших скриптах PKI.

В заключение убедитесь, что владельцем директории является ваш пользователь non-root user с привилегиями sudo, и ограничьте доступ с помощью команды chmod:

  1. sudo chown sammy ~/easy-rsa
  2. chmod 700 ~/easy-rsa

После установки этих программ и их перемещения в нужные локации в вашей системе следующим шагом будет создание инфраструктуры открытых ключей (PKI) на сервере OpenVPN, чтобы вы могли запрашивать и управлять сертификатами TLS для клиентов и других серверов, которые будут подключаться к вашему VPN.

Шаг 2 — Создание PKI для OpenVPN

Прежде чем вы сможете создавать закрытый ключ и сертификат вашего сервера OpenVPN, вам нужно создать локальную директорию инфраструктуры открытых ключей на сервере OpenVPN. Вы будете использовать эту директорию для управления запросами сертификата сервера и клиентов, вместо того чтобы получать их прямо на сервере ЦС.

Для создания директории PKI на сервере OpenVPN вам нужно указать в файле vars ряд значений по умолчанию. Используйте команду cd для перехода в каталог easy-rsa, а затем создайте и отредактируйте файл vars с помощью nano или другого предпочитаемого текстового редактора:

  1. cd ~/easy-rsa
  2. nano vars

После открытия файла вставьте следующие две строки:

~/easy-rsa/vars

set_var EASYRSA_ALGO "ec"
set_var EASYRSA_DIGEST "sha512"

Эти две строки потребуются вам в файле vars на сервере OpenVPN, поскольку он не будет использоваться в качестве ЦС. Они будут гарантировать, что ваши закрытые ключи и запросы сертификата будут настроены для использования современной криптографии на эллиптических кривых (Elliptic Curve Cryptography, ECC) при генерации ключей и защищенных подписей для ваших клиентов и сервера OpenVPN.

Под настройкой использования ECC для ваших серверов OpenVPN и ЦС подразумевается, что, когда клиент и сервер будут пытаться установить общий симметричный ключ, они будут использовать алгоритмы эллиптической кривой для обмена. Использование ECC для обмена ключами значительно быстрее, чем использование простого алгоритма Диффи — Хеллмана с классическим алгоритмом RSA, поскольку числа намного меньше, а вычисления выполняются быстрее.

Справка: когда клиенты подключаются к OpenVPN, они используют асимметричное шифрование (также известное как открытый/закрытый ключ) для выполнения TLS-рукопожатия. Однако при передаче шифрованного VPN-трафика сервер и клиенты используют симметричное шифрование, которое также известно как шифрование общедоступного ключа.

Симметричное шифрование требует гораздо меньшего количества вычислений по сравнению с асимметричным: используемые числа гораздо меньше, и современные процессоры имеют инструкции для выполнения оптимизированного симметричного шифрования. Для переключения с асимметричного на симметричное шифрование сервер OpenVPN и клиент будут использовать алгоритм Диффи — Хеллмана на эллиптических кривых для согласования общего секретного ключа в максимально короткие сроки.

После добавления в файл vars данных вы можете перейти к созданию директории PKI. Для этого воспользуйтесь скриптом easyrsa с опцией init-pki. Хотя вы уже использовали эту команду на сервере ЦС в соответствии с предварительными требованиями, необходимо запустить ее здесь, поскольку сервер OpenVPN и сервер ЦС имеют разные директории PKI.

  1. ./easyrsa init-pki

Обратите внимание, что на сервере OpenVPN не нужно создавать центр сертификации. Ваш сервер ЦС отвечает за валидацию и подпись сертификатов. PKI на вашем сервере VPN используется только в качестве удобного и централизованного места хранения запросов сертификата и публичных сертификатов.

После инициализации PKI на сервере OpenVPN вы можете перейти к следующему шагу и создать запрос сертификата и закрытого ключа сервера OpenVPN.

Шаг 3 — Создание запроса сертификата и закрытого ключа сервера OpenVPN

Теперь, когда на вашем сервере OpenVPN установлено все необходимое, на следующем шаге мы сгенерируем закрытый ключ и запрос подписи сертификата на вашем сервере OpenVPN. После этого вы передадите запрос в ваш центр сертификации для подписи, создав необходимый сертификат. После подписи сертификата вы передадите его назад на сервер OpenVPN и установите его для использования на сервере.

Для начала перейдите в директорию ~/easy-rsa на сервере OpenVPN, используя вашего пользователя non-root user:

  1. cd ~/easy-rsa

Теперь вы можете вызвать easyrsa с опцией gen-req, за которой необходимо указать стандартное имя для компьютера. Вы можете использовать любое стандартное имя, но лучше всего выбрать запоминающийся вариант. В этом обучающем руководстве для сервера OpenVPN будет использоваться стандартное имя server. Обязательно добавьте опцию nopass. Без этого файл запроса будет защищен паролем, что впоследствии может привести к проблемам с разрешениями.

Примечание. Если вы выберете любое другое имя, а не server, вы должны будете следовать некоторым из приведенных ниже инструкций с изменениями. Например, при копировании сгенерированных файлов в директорию /etc/openvpn вам нужно будет указать правильные имена. Позднее вам нужно будет изменить файл etc/openvpn/server.conf, чтобы он указывал на соответствующие файлы .crt и .key.

  1. ./easyrsa gen-req server nopass

Output

Common Name (eg: your user, host, or server name) [server]: Keypair and certificate request completed. Your files are: req: /home/sammy/easy-rsa/pki/reqs/server.req key: /home/sammy/easy-rsa/pki/private/server.key

В результате будет создан закрытый ключ для сервера и файл запроса сертификата с именем server.req. Скопируйте ключ сервера в директорию /etc/openvpn/server:

  1. sudo cp /home/sammy/easy-rsa/pki/private/server.key /etc/openvpn/server/

В результате выполнения этих шагов вы успешно создали закрытый ключ для вашего сервера OpenVPN. Также вы создали запрос на подпись сертификата для сервера OpenVPN. Запрос на подпись сертификата теперь готов к подписи в вашем центре сертификации. В следующем разделе этого обучающего руководства вы узнаете, как подписать запрос на подпись сертификата с помощью закрытого ключа вашего сервера ЦС.

Шаг 4 — Подпись запроса сертификата сервера OpenVPN

На предыдущем шаге вы создали запрос на подпись сертификата (CSR) и закрытый ключ для сервера OpenVPN. Теперь сервер ЦС должен узнать о сертификате server и выполнить его валидацию. После подтверждения сертификата сервером ЦС и его отправки назад на сервер OpenVPN клиенты, которые доверяют вашему ЦС, также смогут доверять серверу OpenVPN.

На сервере OpenVPN от имени вашего пользователя non-root user воспользуйтесь запросом на передачу или другим методом передачи для копирования запроса сертификата server.req на сервер ЦС для подписи:

  1. scp /home/sammy/easy-rsa/pki/reqs/server.req sammy@your_ca_server_ip:/tmp

Если вы выполнили предварительное требование обучающего модуля «Установка и настройка Центра сертификации (ЦС) в Ubuntu 20.04», следующим шагом будет войти на сервер ЦС как пользователь без привилегий root, которого вы создали для управления ЦС. Вы использовали команду cd для перехода в каталог ~/easy-rsa, где вы создали и импортируйте запрос сертификата с помощью скрипта easyrsa:

  1. cd ~/easy-rsa
  2. ./easyrsa import-req /tmp/server.req server

Output

. . . The request has been successfully imported with a short name of: server You may now use this name to perform signing operations on this request.

Далее подпишите запрос, запустив скрипт easyrsa с опцией sign-req и указанием типа запроса и стандартного имени. В качестве типа запроса может использоваться client или server. Поскольку мы работаем с запросом сертификата сервера OpenVPN, необходимо использовать тип запроса server:

  1. ./easyrsa sign-req server server

В выводе вам будет нужно подтвердить, что запрос поступил из надежного источника. Введите yes, а затем нажмите ENTER для подтверждения:

Output

You are about to sign the following certificate. Please check over the details shown below for accuracy. Note that this request has not been cryptographically verified. Please be sure it came from a trusted source or that you have verified the request checksum with the sender. Request subject, to be signed as a server certificate for 3650 days: subject= commonName = server Type the word 'yes' to continue, or any other input to abort. Confirm request details: yes . . . Certificate created at: /home/sammy/easy-rsa/pki/issued/server.crt

Обратите внимание, что если вы зашифровали закрытый ключ ЦС, вам будет предложено ввести пароль в данный момент.

В результате выполнения этих шагов вы успешно подписали запрос сертификата сервера OpenVPN с помощью закрытого ключа сервера ЦС. Полученный файл server.crt​​​ содержит открытый ключ шифрования сервера OpenVPN, а также новую подпись от сервера ЦС. Смысл подписи состоит в том, чтобы сообщить всем, кто доверяет серверу ЦС, что они также могут доверять серверу OpenVPN при подключении к нему.

Для завершения настройки сертификатов скопируйте файлы server.crt и ca.crt с сервера ЦС на сервер OpenVPN:

  1. scp pki/issued/server.crt sammy@your_vpn_server_ip:/tmp
  2. scp pki/ca.crt sammy@your_vpn_server_ip:/tmp

Теперь вернитесь на ваш сервер OpenVPN, скопируйте файлы из /tmp в /etc/openvpn/server:

  1. sudo cp /tmp/{server.crt,ca.crt} /etc/openvpn/server

Теперь ваш сервер OpenVPN почти готов к принятию подключений. На следующем шаге вы выполните ряд дополнительных шагов для повышения безопасности сервера.

Шаг 5 — Настройка криптографических материалов OpenVPN

В качестве дополнительного уровня безопасности мы добавим дополнительный общий секретный ключ, который будет использовать сервер и все клиенты, с помощью директивы OpenVPN tls-crypt. Эта опция используется, чтобы «затемнить» сертификат TLS, используемый, когда сервер и клиент первоначально подключаются друг к другу. Также она используется сервером OpenVPN для выполнения быстрых проверок входящих пакетов: если пакет подписан с помощью предварительно предоставленного ключа, сервер обрабатывает его, если подпись отсутствует, сервер понимает, что пакет получен из непроверенного источника, и может отклонить его, не выполняя дополнительную работу по расшифровке.

Эта опция поможет убедиться, что ваш сервер OpenVPN может справляться с неудостоверенным трафиком, сканированием портов и DoS-атаками, которые могут связывать ресурсы сервера. Она также затрудняет выявление сетевого трафика OpenVPN.

Для получения предварительно предоставленного ключа tls-crypt​​​ запустите следующую команду на сервере OpenVPN в директории ~/easy-rsa:

  1. cd ~/easy-rsa
  2. openvpn --genkey --secret ta.key

В результате вы получите файл с именем ta.key. Скопируйте его в директорию /etc/openvpn/server/:

  1. sudo cp ta.key /etc/openvpn/server

После получения этих файлов на сервере OpenVPN вы можете переходить к созданию клиентских сертификатов и файлов ключей для ваших пользователей, которые вы будете использовать для подключения к VPN.

Шаг 6 — Создание сертификата клиента и пары ключей

Хотя вы можете сгенерировать закрытый ключ и запрос сертификата на клиентской системе и отправить их в ЦС для подписания, в этом обучающем руководстве мы рассмотрим процесс генерирования запроса сертификата на сервере OpenVPN. Преимущество этого подхода заключается в том, что мы можем создать скрипт, который будет автоматически генерировать файлы конфигурации клиентов, содержащие все необходимые ключи и сертификаты. Благодаря этому вам не нужно будет передавать ключи, сертификаты и файлы конфигурации на клиентские системы, и процесс подключения к VPN ускорится.

В этом обучающем руководстве мы создадим одну пару из ключа и сертификата для клиентской системы. Если у вас несколько клиентских систем, вы можете повторить этот процесс для каждой такой системы. Обратите внимание, что для каждого клиента в скрипте нужно указать уникальное имя. В этом обучающем руководстве мы будем использовать первую пару сертификат/ключ под именем client1.

Вначале создайте в домашней директории структуру директорий, где будут храниться файлы сертификатов и ключей клиентской системы:

  1. mkdir -p ~/client-configs/keys

Поскольку в этой директории будут храниться пары сертификат/ключ ваших клиентов и файлы конфигурации, для нее следует закрыть все разрешения:

  1. chmod -R 700 ~/client-configs

Вернитесь в директорию EasyRSA и запустите скрипт easyrsa с опциями gen-req и nopass, указав обычное имя клиента:

  1. cd ~/easy-rsa
  2. ./easyrsa gen-req client1 nopass

Нажмите ENTER, чтобы подтвердить обычное имя. Скопируйте файл client1.key в ранее созданную директорию ~/client-configs/keys/​​​:

  1. cp pki/private/client1.key ~/client-configs/keys/

Затем передайте файл client1.req на сервер ЦС, используя безопасный метод:

  1. scp pki/reqs/client1.req sammy@your_ca_server_ip:/tmp

Теперь выполните вход на ваш сервер ЦС. Затем перейдите в директорию EasyRSA и импортируйте запрос сертификата:

  1. cd ~/easy-rsa
  2. ./easyrsa import-req /tmp/client1.req client1

Затем подпишите запрос, как вы делали это для сервера на предыдущем шаге. Однако в этот раз обязательно укажите тип запроса client:

  1. ./easyrsa sign-req client client1

При запросе введите yes, чтобы подтвердить, что вы планируете подписать запрос сертификата и что он поступил из доверенного источника:

Output

Type the word 'yes' to continue, or any other input to abort. Confirm request details: yes

Если вы зашифровали свой ключ ЦС, вам будет предложено ввести пароль.

В результате будет создан файл клиентского сертификата с именем client1.crt. Переместите этот файл обратно на сервер.

  1. scp pki/issued/client1.crt sammy@your_server_ip:/tmp

Вернитесь на ваш сервер OpenVPN, скопируйте клиентский сертификат в директорию ~/client-configs/keys/​​:

  1. cp /tmp/client1.crt ~/client-configs/keys/

Затем скопируйте файлы ca.crt и ta.key в директорию ~/client-configs/keys/ и предоставьте соответствующие разрешения для вашего пользователя sudo:

  1. cp ~/easy-rsa/ta.key ~/client-configs/keys/
  2. sudo cp /etc/openvpn/server/ca.crt ~/client-configs/keys/
  3. sudo chown sammy.sammy ~/client-configs/keys/*

В результате вы сгенерировали ключи и сертификаты для сервера и клиента и сохранили их в соответствующих директориях на вашем сервере OpenVPN. С этими файлами еще предстоит выполнить несколько действий, но к ним мы вернемся позднее. Теперь вы можете перейти к настройке OpenVPN.

Шаг 7 — Настройка OpenVPN

Как и во многих широко используемых инструментах с открытым исходным кодом, OpenVPN имеет множество доступных параметров настройки для кастомизации вашего сервера согласно вашим нуждам. В этом разделе мы предоставим инструкции по настройке конфигурации сервера OpenVPN на основе одного из примеров файлов конфигурации, который включен в документацию для этого программного обеспечения.

Вначале скопируйте файл server.conf в качестве отправной точки для вашего собственного файла конфигурации:

  1. sudo cp /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz /etc/openvpn/server/
  2. sudo gunzip /etc/openvpn/server/server.conf.gz

Откройте новый файл для редактирования в текстовом редакторе по вашему выбору. В нашем случае мы будем использовать nano:

  1. sudo nano /etc/openvpn/server/server.conf

Нам нужно изменить несколько строк в этом файле. Сначала необходимо найти раздел HMAC в конфигурации, выполнив поиск директивы tls-auth. Эта строка должна быть разкомментирована. Закомментируйте ее, добавив ; в начало строки. Затем добавьте после нее новую строку, содержащую только значение tls-crypt ta.key​​​:

/etc/openvpn/server/server.conf

;tls-auth ta.key 0 # This file is secret
tls-crypt ta.key

Затем найдите раздел криптографических шифров, выполнив поиск строк с текстом cipher. По умолчанию установлено значение AES-256-CBC, однако шифр AES-256-GCM обеспечивает более высокий уровень шифрования, производительности и лучше поддерживается современными клиентами OpenVPN. Мы закомментируем значение по умолчанию, добавив ; в начало этой строки, а затем добавим другую строку после нее, содержащую обновленное значение AES-256-GCM:

/etc/openvpn/server/server.conf

;cipher AES-256-CBC
cipher AES-256-GCM

Сразу после этой строки добавьте директиву auth для выбора алгоритма выборки сообщений HMAC. Для этого хорошо подойдет SHA256:

/etc/openvpn/server/server.conf

auth SHA256

Затем найдите строку с директивой dh, которая определяет параметры алгоритма Диффи — Хеллмана. Поскольку мы настроили все сертификаты для использования криптографии на эллиптических кривых, нет необходимости в использовании файла прототипа Диффи — Хеллмана. Закомментируйте существующую строку dh dh3048.pem​​​ или dh dh.pem. Имя файла для ключа Диффи — Хеллмана может отличаться от того, что перечислено в примере файла конфигурации сервера. Затем добавьте строку после нее с содержанием dh none:

/etc/openvpn/server/server.conf

;dh dh3048.pem
dh none

Далее нам нужно запустить OpenVPN без привилегий, с которыми он запущен, поэтому нам нужно указать на необходимость запуска с пользователем nobody и группой nogroup. Чтобы активировать эту возможность, найдите и разкомментируйте строки user nobody и group nogroup, удалив ; в начале каждой строки:

/etc/openvpn/server/server.conf

user nobody
group nogroup

(Необязательно) Изменение DNS для перенаправления всего трафика через сеть VPN

Вышеуказанные настройки создадут соединение VPN между вашим клиентом и сервером, но не будут заставлять соединения использовать туннель. Если вы хотите использовать VPN для перенаправления всего вашего клиентского трафика, вам нужно будет передать дополнительные настройки на клиентские компьютеры.

Для начала найдите и разкомментируйте строку push "redirect-gateway def1 bypass-dhcp". Она будет сообщать вашему клиенту о необходимости перенаправлять весь трафик через ваш сервер OpenVPN. Обратите внимание, что при активации этой функции могут возникать проблемы с подключением к другим сетевым службам, например SSH:

/etc/openvpn/server/server.conf

push "redirect-gateway def1 bypass-dhcp"

Под этой строкой найдите раздел dhcp-option. Удалите ; в начале обеих строк, чтобы разкомментировать эти строки:

/etc/openvpn/server/server.conf

push "dhcp-option DNS 208.67.222.222"
push "dhcp-option DNS 208.67.220.220"

Эти строки будут сообщать вашему клиенту о необходимости использования бесплатных интерпретаторов OpenDNS на перечисленных IP-адресах. Если вы предпочитаете использовать другие интерпретаторы DNS, вставьте их на место выделенных IP-адресов.

Это поможет клиентам изменить настройки DNS, чтобы туннель VPN использовался как шлюз по умолчанию.

(Необязательно) Изменение порта и протокола

По умолчанию сервер OpenVPN использует для подключения клиентов порт 1194 и протокол UDP. Если вам потребуется использовать другой порт из-за ограничений сети клиента, вы можете изменить номер порта. Если вы не храните веб-контент на сервере OpenVPN, вам подойдет порт 443, поскольку его обычно не запрещают правила брандмауэра.

Чтобы заставить OpenVPN прослушивать порт 443, откройте файл server.conf и найдите строку, которая выглядит следующим образом:

/etc/openvpn/server/server.conf

port 1194

Измените ее, указав порт 443:

/etc/openvpn/server/server.conf

# Optional!
port 443

Довольно часто этот порт также ограничивает протокол. В этом случае найдите строку proto под строкой port и измените протокол с udp на tcp:

/etc/openvpn/server/server.conf

# Optional!
proto tcp

Если вы действительно смените протокол на TCP, вам нужно будет изменить значение директивы explicit-exit-notify с 1 на 0, поскольку эта директива используется только протоколом UDP. В противном случае при запуске службы OpenVPN возможны ошибки протокола TCP.

Найдите строку explicit-exit-notify в конце файла и измените значение на 0:

/etc/openvpn/server/server.conf

# Optional!
explicit-exit-notify 0

Если вам не нужно использовать другие порт и протокол, лучше всего оставить эти настройки без изменений.

(Необязательно) Указание на учетные данные, отличающиеся от используемых по умолчанию

Если вы выбрали другое имя при вводе команды ./easyrsa gen-req server ранее, измените строки cert и key​​​ в файле конфигурации server.conf​​, чтобы они указывали на соответствующие файлы .crt и .key. Если вы использовали имя по умолчанию server, можно считать, что все уже настроено корректно:

/etc/openvpn/server/server.conf

cert server.crt
key server.key

После завершения редактирования сохраните и закройте файл.

Вы успешно завершили настройку общих параметров OpenVPN. На следующем шаге мы настроим сетевые параметры сервера.

Шаг 8 — Настройка конфигурации сети сервера OpenVPN

Чтобы OpenVPN мог правильно перенаправлять трафик через сеть VPN, необходимо изменить некоторые параметры конфигурации сети сервера. Прежде всего нужно изменить параметр IP forwarding, который определяет необходимость перенаправления IP-трафика. Это необходимо для реализации функций VPN, обеспечиваемых вашим сервером.

Чтобы изменить используемые по умолчанию настройки IP-передачи сервера OpenVPN, откройте файл /etc/sysctl.conf с помощью nano или предпочитаемого редактора:

  1. sudo nano /etc/sysctl.conf

Добавьте следующую строку в конец файла:

/etc/sysctl.conf

net.ipv4.ip_forward = 1

Сохраните файл и закройте его после завершения.

Чтобы прочитать файл и загрузить значения для текущей сессии, введите:

  1. sudo sysctl -p

Output

net.ipv4.ip_forward = 1

Теперь ваш сервер OpenVPN сможет перенаправлять входящий трафик из одного сетевого устройства на другое. Эта настройка гарантирует, что сервер сможет направлять трафик от клиентов, подключенных к виртуальному интерфейсу VPN, на другие физические сетевые устройства. Эта конфигурация будет передавать весь веб-трафик от вашего клиента через IP-адрес вашего сервера, а открытый IP-адрес клиента будет фактически скрыт.

На следующем шаге вам нужно настроить ряд правил брандмауэра, чтобы гарантировать корректную передачу входящего и исходящего трафика на вашем сервере OpenVPN.

Шаг 9 — Настройка брандмауэра

К настоящему моменту вы установили OpenVPN на ваш сервер, настроили его и создали ключи и сертификаты, необходимые вашему клиенту для доступа к VPN. Однако вы еще не предоставили OpenVPN какие-либо инструкции о том, куда нужно отправлять входящий веб-трафик от клиентов. Вы можете указать, как сервер должен обрабатывать клиентский трафик, добавив ряд правил брандмауэра и настроив конфигурацию маршрутизации.

Если вы выполнили предварительные требования, указанные в начале этого обучающего модуля, у вас на сервере должен быть установлен и запущен ufw. Чтобы разрешить OpenVPN через брандмауэр, вам нужно будет включить маскировку. Маскировка — это концепция таблиц iptables, на основе которой выполняется автоматическая трансляция сетевых адресов (NAT) для правильной маршрутизации клиентских соединений.

Прежде чем открыть файл конфигурации брандмауэра для добавления правил маскарадинга, нужно предварительно найти публичный сетевой интерфейс компьютера. Для этого введите:

  1. ip route list default

Строка после слова «dev» в этой команде — это ваш публичный интерфейс. Например, в этом результате показан интерфейс с именем eth0, который выделен ниже:

Output

default via 159.65.160.1 dev eth0 proto static

Когда у вас будет интерфейс, связанный с маршрутом по умолчанию, откройте файл /etc/ufw/before.rules, чтобы добавить соответствующую конфигурацию:

  1. sudo nano /etc/ufw/before.rules

Правила UFW обычно добавляются с помощью команды ufw. Правила, перечисленные в файле before.rules, считываются и активируются до загрузки обычных правил UFW. Добавьте в верхнюю часть файла выделенные ниже строки. После этого будет задана политика по умолчанию для цепочки POSTROUTING в таблице nat, и любой трафик из VPN будет маскироваться. Обязательно замените eth0 в строке -A POSTROUTING на интерфейс, определенный с помощью следующей команды:

/etc/ufw/before.rules

#
# rules.before
#
# Rules that should be run before the ufw command line added rules. Custom
# rules should be added to one of these chains:
#   ufw-before-input
#   ufw-before-output
#   ufw-before-forward
#

# START OPENVPN RULES# NAT table rules*nat:POSTROUTING ACCEPT [0:0]# Allow traffic from OpenVPN client to eth0 (change to the interface you discovered!)-A POSTROUTING -s 10.8.0.0/8 -o eth0 -j MASQUERADECOMMIT# END OPENVPN RULES

# Don't delete these required lines, otherwise there will be errors
*filter
. . .

Сохраните файл и закройте его после завершения.

Затем вам нужно будет указать UFW разрешать перенаправление пакетов по умолчанию. Для этого откройте файл /etc/default/ufw:

  1. sudo nano /etc/default/ufw

Найдите в файле директиву DEFAULT_FORWARD_POLICY и измените значение с DROP на ACCEPT:

/etc/default/ufw

DEFAULT_FORWARD_POLICY="ACCEPT"

Сохраните файл и закройте его после завершения.

Затем измените настройки брандмауэра, чтобы разрешить трафик OpenVPN. Если вы не изменили порт и протокол в файле /etc/openvpn/server.conf, вам нужно будет открыть трафик UDP на порту 1194. Если вы изменили порт или протокол, замените выбранные здесь значения.

Если вы забыли добавить порт SSH при выполнении обязательного обучающего модуля, добавьте его сейчас:

  1. sudo ufw allow 1194/udp
  2. sudo ufw allow OpenSSH

После добавления этих правил отключите и заново включите UFW, чтобы загрузить изменения из всех измененных файлов:

  1. sudo ufw disable
  2. sudo ufw enable

Теперь ваш сервер настроен для правильной обработки трафика OpenVPN. После создания правил брандмауэра мы можем запустить службу OpenVPN на сервере.

Шаг 10 — Запуск OpenVPN

OpenVPN работает как служба systemd, поэтому мы можем использовать systemctl для управления. Мы настроим для OpenVPN запуск при загрузке, чтобы вы могли подключаться к вашей VPN в любое время, пока ваш сервер работает. Для этого активируйте службу OpenVPN, добавив ее в systemctl:

  1. sudo systemctl -f enable [email protected]

Затем запустите службу OpenVPN:

  1. sudo systemctl start [email protected]

Еще раз проверьте, что служба OpenVPN активна, воспользовавшись следующей командой. Вы должны увидеть в выводе active (running):

  1. sudo systemctl status [email protected]

Output

[email protected] - OpenVPN service for server Loaded: loaded (/lib/systemd/system/[email protected]; enabled; vendor preset: enabled) Active: active (running) since Wed 2020-04-29 15:39:59 UTC; 6s ago Docs: man:openvpn(8) https://community.openvpn.net/openvpn/wiki/Openvpn24ManPage https://community.openvpn.net/openvpn/wiki/HOWTO Main PID: 16872 (openvpn) Status: "Initialization Sequence Completed" Tasks: 1 (limit: 1137) Memory: 1.0M CGroup: /system.slice/system-openvpn\x2dserver.slice/[email protected] └─16872 /usr/sbin/openvpn --status /run/openvpn-server/status-server.log --status-version 2 --suppress-timestamps --c> . . . . . . Apr 29 15:39:59 ubuntu-20 openvpn[16872]: Initialization Sequence Completed

Мы успешно завершили конфигурацию OpenVPN на стороне сервера. Далее вам нужно будет настроить клиентский компьютер и подключиться к серверу OpenVPN.

Шаг 11 — Создание инфраструктуры конфигурации клиентских систем

Создание файлов конфигурации для клиентов OpenVPN может быть связано с этой задачей, поскольку каждый клиент должен иметь собственную конфигурацию, и каждая из этих конфигураций должна соответствовать параметрам, заданным в файле конфигурации сервера. Вместо создания единого файла конфигурации, который можно использовать только для одного клиента, на этом шаге мы определим процесс создания инфраструктуры клиентской конфигурации, который вы сможете использовать для быстрого генерирования файлов конфигурации. Вначале вы создадите «базовый» файл конфигурации, а затем сценарий, который позволит по мере необходимости генерировать уникальные файлы конфигурации клиентов, сертификаты и ключи.

Для начала создайте новую директорию для хранения файлов конфигурации клиентов в ранее созданной директории client-configs:

  1. mkdir -p ~/client-configs/files

Затем скопируйте файл с образцом конфигурации клиента в директорию client-configs, чтобы использовать ее как базовую конфигурацию:

  1. cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf ~/client-configs/base.conf

Откройте новый файл в nano или предпочитаемом текстовом редакторе:

  1. nano ~/client-configs/base.conf

Найдите в файле директиву remote. Она указывает клиенту адрес сервера OpenVPN, т. е. публичный IP-адрес вашего сервера OpenVPN. Если вы решили изменить порт, который будет прослушивать сервер OpenVPN, вам нужно будет заменить 1194 на выбранный порт:

~/client-configs/base.conf

. . .
# The hostname/IP and port of the server.
# You can have multiple remote entries
# to load balance between the servers.
remote your_server_ip1194
. . .

Протокол должен соответствовать значениям, используемым в конфигурации сервера:

~/client-configs/base.conf

proto udp

Разкомментируйте директивы user и group, удалив символ ; в начале каждой строки:

~/client-configs/base.conf

# Downgrade privileges after initialization (non-Windows only)
user nobody
group nogroup

Найдите директивы, задающие ca, cert и key. Поставьте знак комментария перед строками этих директив, поскольку вы вскоре добавите сертификаты и ключи в сам файл:

~/client-configs/base.conf

# SSL/TLS parms.
# See the server config file for more
# description. It's best to use
# a separate .crt/.key file pair
# for each client. A single ca
# file can be used for all clients.
;ca ca.crt
;cert client.crt
;key client.key

Затем закомментируйте директиву tls-auth, поскольку вы добавите ta.key прямо в файл конфигурации клиента (а сервер настроен на использование tls-crypt):

~/client-configs/base.conf

# If a tls-auth key is used on the server
# then every client must also have the key.
;tls-auth ta.key 1

Создайте зеркало настроек cipher и auth, заданных в файле /etc/openvpn/server/server.conf​​​:

~/client-configs/base.conf

cipher AES-256-GCMauth SHA256

Затем добавьте в файл директиву key-direction. Вы должны задать значение «1», чтобы VPN правильно работала на клиентском компьютере:

~/client-configs/base.conf

key-direction 1

В заключение добавьте несколько закомментированных строк для обработки различных методов, которые клиенты VPN на базе Linux будут использовать для разрешения DNS. Также мы добавим два похожих, но отдельных набора закомментированных строк. Первый набор предназначен для клиентов, которые не используют systemd-resolved для управления DNS. Эти клиенты используют утилиту resolvconf для обновления информации DNS для клиентов Linux.

~/client-configs/base.conf

; script-security 2; up /etc/openvpn/update-resolv-conf; down /etc/openvpn/update-resolv-conf

Теперь добавьте другой набор строк для клиентов, которые используют systemd-resolved для разрешения DNS:

~/client-configs/base.conf

; script-security 2; up /etc/openvpn/update-systemd-resolved; down /etc/openvpn/update-systemd-resolved; down-pre; dhcp-option DOMAIN-ROUTE .

Сохраните файл и закройте его после завершения.

На шаге 13 «Установка конфигурации клиента» этого обучающего модуля вы узнаете, как определять, работает ли разрешение DNS для клиентов Linux, и какой раздел нужно разкомментировать.

Далее создайте простой скрипт, который скомпилирует базовую конфигурацию с соответствующим сертификатом, ключом и файлами шифрования, и поместите сгенерированную конфигурацию в директорию ~/client-configs/files. Откройте новый файл с именем make_config.sh в директории ~/client-configs:

  1. nano ~/client-configs/make_config.sh

Добавьте в файл следующее:

~/client-configs/make_config.sh

#!/bin/bash

# First argument: Client identifier

KEY_DIR=~/client-configs/keys
OUTPUT_DIR=~/client-configs/files
BASE_CONFIG=~/client-configs/base.conf

cat ${BASE_CONFIG} \
    <(echo -e '<ca>') \
    ${KEY_DIR}/ca.crt \
    <(echo -e '</ca>\n<cert>') \
    ${KEY_DIR}/${1}.crt \
    <(echo -e '</cert>\n<key>') \
    ${KEY_DIR}/${1}.key \
    <(echo -e '</key>\n<tls-crypt>') \
    ${KEY_DIR}/ta.key \
    <(echo -e '</tls-crypt>') \
    > ${OUTPUT_DIR}/${1}.ovpn

Сохраните файл и закройте его после завершения.

Прежде чем продолжить, отметьте этот файл как исполняемый, введя следующую команду:

  1. chmod 700 ~/client-configs/make_config.sh

Этот скрипт создает копию созданного вами файла base.conf, собирает все созданные вами для клиента файлы сертификатов и ключей, извлекает их содержимое, добавляет их в копию базового файла конфигурации и экспортирует все это в новый файл конфигурации клиента. Это означает, что вся необходимая информация хранится в одном месте, и вам не нужно по отдельности управлять файлами конфигурации клиента, сертификатами и ключами. Преимущество такого метода состоит в том, что если в будущем вам потребуется добавить клиент, вы можете просто запустить этот скрипт, чтобы быстро создать файл конфигурации, а вся важная информация будет храниться в одном удобном для доступа месте.

Учтите, что при добавлении каждого нового клиента вам нужно будет сгенерировать для него новые ключи и сертификаты, прежде чем запускать этот скрипт и генерировать файл конфигурации. На следующем шаге вы сможете потренироваться в использовании этого скрипта.

Шаг 12 — Создание конфигураций клиентов

Если вы следовали указаниям руководства, на шаге 6 вы создали клиентский сертификат и ключ с именами client1.crt и client1.key соответственно. Вы можете сгенерировать файл конфигурации для этих учетных данных, перейдя в директорию ~/client-configs и запустив скрипт, созданный в конце предыдущего шага:

  1. cd ~/client-configs
  2. ./make_config.sh client1

При этом файл client1.ovpn будет создан в директории ~/client-configs/files:

  1. ls ~/client-configs/files

Output

client1.ovpn

Этот файл нужно будет переместить на устройство, которое вы планируете использовать в качестве клиента. Например, это может быть ваш локальный компьютер или мобильное устройство.

Хотя конкретные приложения для передачи зависят от операционной системы устройства и ваших предпочтений, один из наиболее надежных и безопасных способов — использовать SFTP (протокол передачи файлов SSH) или SCP (защищенное копирование) на стороне сервера. При этом файлы аутентификации VPN вашего клиента будут передаваться через шифрованное соединение.

Здесь представлен пример команды SFTP, которую можно запустить с локального компьютера (под управлением macOS или Linux). Она будет копировать файл client1.ovpn, который мы создали на последнем шаге, в вашу домашнюю директорию:

  1. sftp sammy@openvpn_server_ip:client-configs/files/client1.ovpn ~/

Ниже представлено несколько инструментов и обучающих руководств для безопасной передачи файлов с сервера OpenVPN на локальный компьютер:

Шаг 13 — Установка клиентской конфигурации

В этом разделе рассказывается о том, как установить клиентский профиль VPN в Windows, macOS, Linux, iOS и Android. Эти инструкции не зависят друг от друга, так что вы можете сразу перейти к той, которая относится к вашему устройству.

Подключение OpenVPN будет иметь имя, совпадающее с именем файла .ovpn. В этом обучающем руководстве это означает, что соединение будет иметь имя client1.ovpn, что соответствует первому сгенерированному клиентскому файлу.

Windows

Установка

Загрузите клиентское приложение OpenVPN для Windows со страницы загрузки OpenVPN. Выберите подходящую версию программы установки для вашей версии Windows.

Примечание. Для установки OpenVPN требуются права администратора.

После установки OpenVPN, скопируйте файл .ovpn в:

C:\Program Files\OpenVPN\config

При запуске OpenVPN профиль будет автоматически обнаружен и сделан доступным.

Вы должны запускать OpenVPN от имени администратора каждый раз, даже если используете учетную запись администратора. Чтобы вам не нужно было при каждом запуске VPN нажимать правую кнопку мыши и выбирать Запуск от имени администратора, такой запуск следует настроить в учетной записи администратора. Это также означает, что обычным пользователям нужно будет ввести пароль администратора, чтобы использовать OpenVPN. Обычные пользователи не смогут правильно подключиться к серверу, если у приложения OpenVPN на клиентской системе нет прав администратора, поэтому необходим повышенный уровень привилегий.

Чтобы настроить приложение OpenVPN для запуска от имени администратора при каждом запуске, нажмите правой кнопкой мыши на его ярлык и выберите пункт Свойства. Внизу вкладки Совместимость нажмите кнопку Изменить параметры для всех пользователей. В новом окне установите отметку Запускать эту программу от имени администратора.

Подключение

При каждом запуске графического интерфейса OpenVPN операционная система Windows будет спрашивать, разрешаете или вы этой программме внести изменения на вашем компьютере. Нажмите Да. При запуске клиентского приложения OpenVPN в области задач появляется значок приложения, с помощью которого вы сможете подключать и отключать соединение VPN; соединение VPN не устанавливается автоматически.

После запуска OpenVPN нажмите правой кнопкой на значок OpenVPN в области задач, чтобы создать соединение. Откроется контекстное меню. Выберите client1 в верхней части меню (это ваш профиль client1.ovpn) и нажмите Подключиться.

Откроется окно состояния, где будут выведены данные журнала при установке соединения, и после подключения клиента будет выведено сообщение.

Отключение от VPN выполняется аналогично: перейдите в область задач, нажмите значок приложения OpenVPN правой кнопкой мыши, выберите профиль клиента и нажмите Отключиться.

macOS

Установка

Tunnelblick — бесплатный клиент OpenVPN с открытым исходным кодом для macOS. Вы можете загрузить последний образ этого клиентского приложения со страницы загрузки Tunnelblick. Дважды нажмите загруженный файл .dmg и следуйте указаниям по установке.

В конце процесса установки Tunnelblick спросит, есть ли у вас файлы конфигурации. Укажите ответ У меня есть файлы конфигурации и дайте Tunnelblick завершить работу. Откройте окно Finder и дважды нажмите client1.ovpn. Tunnelblick установит клиентский профиль. Для этого требуются привилегии администратора.

Подключение

Запустите Tunnelblick, дважды щелкнув значок Tunnelblick в папке Приложения. После запуска Tunnelblick в панели меню в правом верхнем углу экрана появится значок Tunnelblick для управления соединениями. Нажмите на значок, а затем нажмите на пункт меню Подключить client1, чтобы создать соединение VPN.

Linux

Установка

Если вы используете Linux, существуют различные инструменты в зависимости от вашего дистрибутива. Диспетчер окон или среда рабочего стола также могут содержать утилиты для подключения.

Однако проще всего будет использовать для этой цели программное обеспечение OpenVPN.

В Ubuntu или Debian вы можете установить его так же, как и на сервере, введя следующую команду:

  1. sudo apt update
  2. sudo apt install openvpn

В CentOS вы можете активировать репозитории EPEL и выполнить установку, введя следующую команду:

  1. sudo dnf install epel-release
  2. sudo dnf install openvpn
Настройка клиентов, использующих
systemd-resolved

Вначале определите, использует ли ваша система systemd-resolved для разрешения DNS, проверив файл /etc/resolv.conf:

  1. cat /etc/resolv.conf

Output

# This file is managed by man:systemd-resolved(8). Do not edit. . . . nameserver 127.0.0.53 options edns0

Если ваша система настроена для использования systemd-resolved для разрешения DNS , IP-адрес после опции nameserver будет иметь значение 127.0.0.53. Также в файле должны быть комментарии, в частности информация о том, как systemd-resolved управляет файлом. Если у вас отображается не 127.0.0.53, а другой IP-адрес, то есть вероятность, что ваша система не использует systemd-resolved. В этом случае вы можете перейти к следующему разделу, предназначенному для настройки клиентов Linux, использующих скрипт update-resolv-conf.

Для поддержки этих клиентов нужно предварительно установить пакет openvpn-systemd-resolved. Он содержит скрипты, принудительно запускающие использование systemd-resolved для разрешения DNS сервером VPN.

  1. sudo apt install openvpn-systemd-resolved

После установки пакета настройте клиент для его использования и отправки всех запросов DNS через интерфейс VPN. Откройте файл VPN клиента:

  1. nano client1.ovpn

Разкомментируйте следующие строки, добавленные вами ранее:

client1.ovpn

script-security 2
up /etc/openvpn/update-systemd-resolved
down /etc/openvpn/update-systemd-resolved
down-pre
dhcp-option DOMAIN-ROUTE .
Настройка клиентов, использующих
update-resolv-conf

Если ваша система не использует systemd-resolved для управления DNS, проверьте наличие в вашем дистрибутиве скрипта /etc/openvpn/update-resolv-conf:

  1. ls /etc/openvpn

Output

update-resolv-conf

Если в вашем клиенте имеется файл update-resolv-conf, измените ранее переданный файл конфигурации клиента OpenVPN:

  1. nano client1.ovpn

Разкомментируйте три добавленные вами строки для изменения настроек DNS:

client1.ovpn

script-security 2
up /etc/openvpn/update-resolv-conf
down /etc/openvpn/update-resolv-conf

Если вы используете CentOS, измените директиву group с nogroup на nobody для соответствия доступным группам дистрибутива:

client1.ovpn

group nobody

Сохраните и закройте файл.

Подключение

Теперь для подключения к VPN вы можете просто указать команде openvpn файл конфигурации клиента:

  1. sudo openvpn --config client1.ovpn

Эта команда должна установить подключение к вашей VPN.

Примечание. Если ваш клиент использует systemd-resolved для управления DNS, проверьте правильность применения настроек, запустив команду systemd-resolve --status:

  1. systemd-resolve --status tun0

Результат будет выглядеть следующим образом:

Output

Link 22 (tun0) . . . DNS Servers: 208.67.222.222208.67.220.220 DNS Domain: ~.

Если вы видите IP-адреса серверов DNS, настроенные вами на сервере OpenVPN, и настройку ~. для DNS Domain в выводе, это означает, что вы правильно настроили клиент для управления DNS на сервере VPN. Также вы можете проверить отправку запросов DNS через VPN используя сайт DNS leak test.com или другой подобный сайт.

iOS

Установка

Найдите в магазине приложений iTunes App Store приложение OpenVPN Connect, официальный клиент OpenVPN для iOS, и установите его. Чтобы переместить конфигурацию клиента iOS на устройство, подключите его к компьютеру напрямую.

Здесь описан процесс завершения передачи с помощью iTunes. Откройте iTunes на компьютере и нажмите iPhone > приложения. Прокрутите страницу до раздела Общий доступ к файлам и нажмите на приложение OpenVPN. Пустое окно справа OpenVPN Documents предназначено для общего доступа к файлам. Перетащите файл .ovpn в окно OpenVPN Documents.

Запустите приложение OpenVPN на iPhone. Вы получите уведомление, что новый профиль готов к импорту. Нажмите зеленый значок плюс, чтобы импортировать его.

Подключение

Приложение OpenVPN готово к использованию нового профиля. Установите соединение, передвинув кнопку Подключиться в положение Вкл. Для отключения передвиньте эту же кнопку в положение Выкл.

Примечание. Переключатель VPN в разделе Настройки нельзя использовать для подключения к VPN. Если вы попробуете сделать это, вы получите уведомление о том, что для подключения нужно использовать приложение OpenVPN.

Android

Установка

Откройте магазин приложений Google Play Store. Найдите приложение Android OpenVPN Connect, официальное клиентское приложение OpenVPN для Android, и установите его.

Вы можете переместить профиль .ovpn, подключив устройство Android к вашему компьютеру через интерфейс USB и скопировав файл. Если у вас в компьютере есть разъем для SD-карт, вы можете извлечь SD-карту из устройства, скопировать на нее профиль и вставить карту обратно в устройство Android.

Запустите приложение OpenVPN и нажмите меню FILE, чтобы импортировать профиль.

Затем перейдите в местоположение сохраненного профиля (на снимке экрана используется расположение /storage/emulated/0/openvpn) и выберите файл .ovpn​​​. Нажмите кнопку IMPORT, чтобы завершить импорт этого профиля.

Подключение После добавления профиля вы увидите следующий экран:

Для подключения нажмите кнопку-переключатель рядом с профилем, который вы хотите использовать. Вы увидите статистические данные вашего подключения в режиме реального времени и трафик, проходящий через ваш сервер OpenVPN:

Для отключения просто нажмите кнопку-переключатель слева еще раз. Вам будет предложено подтвердить, что вы хотите отключиться от VPN.

Шаг 14 — Тестирование соединения VPN (необязательно)

Примечание. Этот метод тестирования подключения VPN будет работать только в случае, если вы выбрали перенаправление всего трафика через VPN на шаге 7 при редактировании файла server.conf​​ для OpenVPN.

После завершения установки нужно провести простую проверку, чтобы убедиться, что все работает нормально. Не активируйте соединение VPN, откройте браузер и перейдите в DNSLeakTest.

Сайт покажет IP-адрес, назначенный вашим интернет-провайдером и видный остальному миру. Чтобы проверить настройки DNS через этот же сайт, нажмите Расширенный тест, и вы увидите, какие серверы DNS вы используете.

Теперь подключите клиент OpenVPN к VPN вашего дроплета и обновите браузер. Вы увидите совершенно другой IP-адрес (адрес вашего сервера VPN), и именно этот адрес будет виден остальному миру. Итак, в приложении DNSLeakTest функция Расширенный тест проверит ваши настройки DNS и подтвердит, что вы используете параметры DNS, заданные вашей VPN.

Шаг 15 — Отзыв сертификатов клиента

Иногда вам может понадобиться отозвать клиентский сертификат, чтобы предотвратить дальнейший доступ к серверу OpenVPN.

Для этго используйте пример из предварительного обучающего модуля «Установка и настройка центра сертификации в 20.04» из раздела «Отзыв сертификата».

После отзыва сертификата для клиента с помощью этих инструкций вам нужно будет скопировать созданный файл crl.pem на ваш сервер OpenVPN в директорию /etc/openvpn/server:

  1. sudo cp /tmp/crl.pem /etc/openvpn/server/

Затем откройте файл конфигурации сервера OpenVPN:

  1. sudo nano /etc/openvpn/server/server.conf

Добавьте в конце файла опцию crl-verify, чтобы сервер OpenVPN проверял созданный нами список отзыва сертификатов при каждой попытке подключения:

/etc/openvpn/server/server.conf

crl-verify crl.pem

Сохраните и закройте файл.

Перезапустите OpenVPN, чтобы завершить отзыв сертификата:

  1. sudo systemctl restart [email protected]

Клиент больше не сможет подключаться к серверу, используя старые учетные данные.

Чтобы запретить доступ другим клиентам, повторите эту процедуру:

  1. Для отзыва сертификата используется команда ./easyrsa revoke client_name.
  2. Создайте новый список CRL.
  3. Переместите новый файл crl.pem на сервер OpenVPN и скопируйте его в директорию /etc/openvpn/server/, чтобы перезаписать старый список.
  4. Перезапустите службу OpenVPN.

С помощью этой процедуры вы можете отозвать любые сертификаты, которые ранее выпустили для вашего сервера.

Заключение

Теперь у вас должна быть полностью готовая к использованию виртуальная частная сеть, запущенная на вашем сервере OpenVPN. Вы можете просматривать веб-ресурсы и загружать контент, не беспокоясь о том, что злоумышленники смогут отслеживать вашу активность.

Для дальнейшей кастомизации вашей установки OpenVPN можно выполнить несколько шагов, например, настроить для вашего клиента автоматическое подключение к VPN или задать специальные правила и политики доступа для конкретного клиента. При выполнении этих действий по кастомизации OpenVPN вы должны ознакомиться с официальной документацией для OpenVPN.

Для настройки большего числа клиентов вам нужно выполнить шаги 6 и 11–13 для каждого дополнительного устройства. Чтобы запретить доступ клиентским системам, следуйте указаниям в шаге 15.

Установка и настройка Microsoft Hyper-V Server 2019

T-Rex

Тираннозавр Рекс

В этой статье мы создадим виртуальную машину с Windows Server 2019 и развернем там Hyper-V Server. Попутно разберемся что нового появилось в этой версии.

Hyper-V — это платформа виртуализации от Microsoft, которая распределяет ресурсы одного физического сервера между набором виртуальных серверов. Чтобы создать среду для Hyper-V Server 2019, закажем выделенный сервер. Для этого в меню Серверы и оборудование выберем нужный сервер.

В нашем примере — это сервер по тарифу EL11-SSD с процессором Intel® Xeon® E-2236 3.4 ГГц, ОЗУ 32 ГБ DDR4 и двумя дисками SSD по 480 ГБ каждый. Далее выбираем операционную систему Windows 2019 — подойдут версии 2019 Datacenter (64-bit) и 2019 Standard (64-bit). В обоих случаях можно добавить роль Hyper-V.

Далее нажимаем Заказать и Оплатить. Деньги списываются с личного счёта.

Установка сервера занимает время, поэтому, чтобы его не тратить впустую, расскажем о новых функциях в Windows Server 2019 относительно Hyper-V.

Что нового в Hyper-V Server 2019

Любопытная особенность Hyper-V Server 2019 — это то, что первоначально эта версия была Hyper-V Server 2016 R2, вышедшая в конце 2018 года. Но из-за неприемлемого количества багов, она была отозвана и полноценно вышла уже в 2019 году под новой версией. А теперь, давайте разберем нововведения данного релиза.

Во-первых — это обновленная консоль администратора Windows Admin Center (WAC). Теперь она доступна через веб-интерфейс. Из браузера стало возможным управлять виртуальными машинами, сервисами на них, запускать скрипты PowerShell, инициировать RDP-сессии и выполнять прочие операции. Во-вторых, появилась возможность работать с окружением Linux. Работает через специальный слой совместимости Windows Subsystem for Linux (WSL) на уровне ядра ОС. Таким образом, можно запускать bash-скрипты или бинарные файлы ELF без необходимости входа на виртуальный сервер через консольный клиент (например, Putty или SecureCRT).

Во-вторых, улучшились механизмы безопасности. Windows Defender теперь имеет на борту поддержку Advanced Threat Protection. Этот механизм умеет блокировать доступ к файлам и папкам из недоверенных источников (например, для защиты от вирусов-шифровальщиков), защищает от вредоносных процессов, сетевых атак, а также поддерживает шифрование сетевых соединений между виртуальными машинами.

В-третьих, улучшилась поддержка экранированных виртуальных машин. Теперь внутри них можно запускать Linux-подобные системы: RHEL, SUSE, Ubuntu. Кроме этого, такими машинами теперь можно управлять при помощи VMConnect и PowerShell Direct.

В-четвертых, появилась служба миграции хранилища. Этот инструмент позволяет мигрировать с устаревших версий Windows Server: 2003, 2008 или 2012. Можно мигрировать даже AD со всеми пользователями и настройками.

В-пятых и далее: улучшились инструменты репликации, работа с географически распределенными серверами, функции дедупликации, появилась поддержка Kubernetes и многое другое. Подробнее о нововведениях можно узнать на соответствующей странице Microsoft.

А пока мы рассказывали о новых возможностях гипервизора, установка сервера завершилась и можно приступать к настройке Hyper-V.

Как установить Hyper-V Server 2019

Для установки Hyper-V в образе Windows Server есть соответствующая роль, которую нужно активировать. Для этого откроем консоль управления сервером и нажмем Add Roles and Features. Появится меню, в котором нужно выбрать Hyper-V.

Далее нажать на Add Features для добавления необходимых инструментов.

Далее нужно настроить роль Hyper-V: Virtual Switches, Migration и Default Stores.

На экране Virtual Switches нужно выбрать сетевой интерфейс, который будет использоваться платформой виртуализации в качестве виртуального коммутатора. В нашем примере — Intel Ethernet l210 #2. Важно не задействовать под это основной сетевой интерфейс, который будет использоваться для физического доступа к управлению сервером.

Следующая настройка — Migration. Для целей демонстрации здесь можно оставить всё по умолчанию.

Default Stores — также оставляем по умолчанию.

Когда всё готово к установке — можно нажимать кнопку Install. После завершения установки потребуется перезагрузка.

После перезагрузки сервера, через командную строку можно открыть утилиту sconfig и посмотреть возможные настройки Hyper-V Server. Об этом в следующем разделе.

Как настроить Hyper-V Server утилитой sconfig

Утилита sconfig имеет интерфейс командной строки.

Важными пунктами являются:

  • Domain/Workgroup — настроено при создании сервера.
  • Computer Name — настроено при создании сервера.
  • Configure Remote Management — включено. Опция нужна для удалённого управления сервером с Hyper-V через специальные утилиты или PowerShell.
  • Remote Desktop — включено. Опция нужна для возможности удаленного управления сервером.
  • Network Setting — это сетевые настройки виртуального коммутатора, которые уже были выполнены на этапе установки роли Hyper-V на шаге Virtual Switches.

Таким образом, необходимые настройки были выполнены ранее.

Как удаленно управлять Hyper-V Server

Самый простой способ удаленного управления — это использование веб-интерфейса WAC. Для начала, нужно загрузить это приложение с сайта Microsoft. При установке следует использовать значения по умолчанию. После установки станет доступен веб-интерфейс консоли. Его можно открыть по имени сервера или IP-адресу из удаленных локаций.

Из этого интерфейса можно управлять виртуальными коммутаторами.

Или, например, создать в Hyper-V новую виртуальную машину.

Об отдельных функциях управления Hyper-V расскажем в разделах ниже.

Как использовать PowerShell для настройки Hyper-V Server

Обратите внимание, что на этапе добавления роли Hyper-V, мы добавили возможность управления через PowerShell при помощи Hyper-V Module for Windows Power Shell. Таким образом, теперь достаточно просто открыть консоль PowerShell. Чтобы узнать общее количество командлетов, выполним следующую команду:

Get-Command –ModuleHyper-V | Measure-Object

Увидим, что общее количество командлетов — 1940 штук.

Командлеты управляют инфраструктурой Hyper-V аналогично консоли WAC. Например, при помощи командлета Get-NetIPConfiguration можно проверить настройки сети:

Для примера, проверим включена ли поддержка IPv6 на сетевом интерфейсе. Для этого выполним команду:

Get-NetAdapterBinding -InterfaceDescription "Hyper-V Virtual Ethernet Adapter" | Where-Object -Property DisplayName -Match IPv6 | Format-Table -AutoSize

Вывод будет следующим:

Значение True в поле Enabled показывает, что IPv6 включен. Попробуем его выключить. Для этого выполним следующий командлет:

Disable-NetAdapterBinding -InterfaceDescription "Hyper-V Virtual Ethernet Adapter" -ComponentID ms_tcpip6

Этот командлет вывод не показывает, поэтому проверим поле Enabled при помощи командлета Get-NetAdapterBinding:

PowerShell позволяет полноценно управлять инфраструктурой Hyper-V.

Как настроить правила Advanced Firewall для Hyper-V Server

Advanced Firewall — это расширенные настройки сетевого экрана на основе правил. Как и все остальное, их можно настраивать через PowerShell. Чтобы увидеть доступные команды для управления сетевым экраном, выполним следующий командлет с параметрами:

Get-Command -Noun *Firewall* -Module NetSecurity

В выводе увидим:

Теперь, чтобы включить правила для удаленного доступа к серверу, выполняем последовательно следующие командлеты через командную строку PowerShell:

Enable-NetFireWallRule -DisplayName "Windows Management Instrumentation (DCOM-In)"
Enable-NetFireWallRule -DisplayGroup "Remote Event Log Management"
Enable-NetFireWallRule -DisplayGroup "Remote Service Management"
Enable-NetFireWallRule -DisplayGroup "Remote Volume Management"
Enable-NetFireWallRule -DisplayGroup "Windows Defender Firewall Remote Management"
Enable-NetFireWallRule -DisplayGroup "Remote Scheduled Tasks Management"

Проверить работу и статус этих правил можно в веб-консоли Windows Admin Center:

Обратите внимание, что если открывать Windows Admin Center через браузер с русской локалью, интерфейс будет на русском языке. Это не зависит от настроек самого сервера. Например, наш демо-сервер развернут с английской локалью и тот же самый Windows Admin Center открывается там на английском языке. Для сравнения:

Возможность выбирать — очень приятная возможность.

Как создать дисковое хранилище для виртуальных машин

Дисковое хранилище для виртуальных машин мы создали на этапе установки на сервер роли Hyper-V. Это было на шаге Default Stores. В этом разделе мы покажем как теперь управлять этими разделами. Самый простой способ — через консоль Windows Admin Center.

Для этого нужно перейти в раздел Settings и перейти к настройкам Hyper-V. Здесь мы видим те же самые созданные разделы под хранилище для виртуальных машин.

При необходимости, расположение хранилища можно изменить, создав под него, например, новый дисковый раздел.

Как настроить виртуальный коммутатор в Hyper-V Server

Базовая настройка виртуального коммутатора была выполнена при установке роли Hyper-V на экране Virtual Switches. Посмотрим эти настройки в WAC.

Из этого же интерфейса возможно создание новых виртуальных коммутаторов или редактирование существующих.

Как создавать виртуальные машины в Hyper-V Server

Теперь перейдем к тому, ради чего всё и затевалось — созданию виртуальной машины в Hyper-V. Воспользуемся для этого уже знакомым WAC. Для начала скачаем образ Windows 10 с сайта для разработчиков Microsoft.

Разархивируем и добавим образ жесткого диска при создании виртуальной машины и нажимаем кнопку Create.

После создания виртуальной машины, можно ее запускать через меню WAC.

Виртуальная машина создана и готова к использованию.

Как сделать резервную копию виртуальных машин в Hyper-V Server

Создать резервную копию виртуальной машины Hyper-V можно при помощи встроенной утилиты wbadmin. По умолчанию её на сервере нет, поэтому добавим роль Windows Server Backup.

После добавления новой роли, будет доступна утилита wbadmin. Выполним команду для получения списка имеющихся на сервере виртуальных машин:

wbadmin get virtualmachines

В ответ получим данные о созданной ранее виртуальной машине с именем Windows10.

После получения имени машин все готово к началу создания резервной копии. Для этого выполним следующую команду:

wbadmin start backup -backuptarget:D: -hyperv:"Windows10" -quiet

Это запустит процесс создания резервной копии:

После достижения 100% появится сообщение об успешном завершении операции. Лог создания можно увидеть в одной директории с резервной копией.

Утилита позволяет настроить создание резервных копий по расписанию.

Заключение

Мы рассказали об обновлениях в Hyper-V Server 2019 и о базовых настройках, которых будет достаточно для запуска вашей первой виртуальной машине на гипервизоре. Выделенный сервер Selectel с предустановленной операционной системой поможет максимально быстро запустить проект виртуализации на базе Hyper-V.

Не удается найти страницу | Autodesk Knowledge Network

(* {{l10n_strings.REQUIRED_FIELD}})

{{l10n_strings.CREATE_NEW_COLLECTION}}*

{{l10n_strings.ADD_COLLECTION_DESCRIPTION}}

{{l10n_strings.COLLECTION_DESCRIPTION}} {{addToCollection.description.length}}/500 {{l10n_strings.TAGS}} {{$item}} {{l10n_strings.PRODUCTS}} {{l10n_strings.DRAG_TEXT}}  

{{l10n_strings.DRAG_TEXT_HELP}}

{{l10n_strings.LANGUAGE}} {{$select.selected.display}}

{{article.content_lang.display}}

{{l10n_strings.AUTHOR}}  

{{l10n_strings.AUTHOR_TOOLTIP_TEXT}}

{{$select.selected.display}} {{l10n_strings.CREATE_AND_ADD_TO_COLLECTION_MODAL_BUTTON}} {{l10n_strings.CREATE_A_COLLECTION_ERROR}}

Северс + с помпой установка honda fit. Блог, факты, фотографии

Содержание статьи:
  • Фото
  • [FAQ] Установка электроподогревателя СЕВЕРС+. ФОТООТЧЁТ.
  • Видео
  • Похожие статьи
  • Honda CR-V › Бортжурнал › Предпусковой подогреватель Северс + с помпой.  Установка без проблем, поставил рядом с модулятором АБС, шланги резать не стал. Установил на вход в печку.

    Honda Fit I owner story — electrical and electronics.  У нас уже потихоньку наступает зима, и » Северс » вновь позволяет экономить топливо на прогревах, а так же сохраняет ресурс двигателя. По поводу быстрого прогрева за счет помпы, по.

    Honda – сравнительно молодая японская автостроительная компания, она была образована в 1948 году. В настоящий момент концерн кроме автомобилей выпускает также мотоциклы, самолеты и занимается робототехникой. Многие специалисты относят автомобили Хонда к одним из наиболее надежных.

    Установить. Установка Северс -М.  Подогрев двигателя на Honda Fit. Для всех подогревателей ЗАО «Лидер» разработаны монтажные комплекты.

    Найти ещё сообщения от Поршень. Подписаться на эту тему…. В Китае Lamborghini в результате…. Фото-отчёт по установке котла Северс М -.

    Информация • Хонда авто форум

    Здравствуйте, гость Вход Регистрация. Здравствуйте, гость Вход Регистрация…….. Правила форума Помощь ПОИСК Пользователи Календарь ПОИСК Галерея Блоги. Искать только в этом форуме?. Подписка на тему «,. Поскольку к тексту на этом форуме со своего компа можно загрузить только одно изображение описание сего действа будет состоять из нескольких моих постов.


    Устанавливаем электроподогреватель ОЖ для отечественных авто на Хонду Огрызок Фит Несмотря на сложившуюся моду, я остаюсь приверженцем взглядов, что сигналка с автозапуском не самый лучший вариант не морозить зад возле машины по утрам. И что самое интересное любая машина меня в этом поддержить Лишний раз тарахтеть двигателю… ничего хорошего в этом нет.

    Да и с точки зрения экономии тоже сплошные преимущества. И сам девайс дешевле и электричество у нас пока дешевле бензина. Недостаток только один- нужна розетка. Собственно для тех, у кого нет проблем с розетками рядом с машиной это и написано. Итак, имеем электроподогреватель автомобильный произведенный неким ООО гдето в Тюмени.

    Судя по коробке этот агрегат выпускается для ГАЗов, УАЗов, ВАЗов и вероятно еще чего-нибудь, отличия я думаю могут быть в мощности и способе крепления. Видел раньше в продаже подобные устройства, но не цилиндрической формы, а прямоугольной с несколькими отверстиями для крепления. Для нестандартного крепления или лучше так: для крепления к нестандартному автомобилю лучше подходит цилиндр, его можно закрепить одним болтом, да и вообще чем меньше углов, тем легче впихать предмет.

    Главный вопрос — куда подключить? В инструкции написано нижний шланг те забор холодного тосла подключается к сливному отверстию ОЖ на блоке цилиндров, верхний выход подогретой ОЖ вместо датчика температуры. Проблема только в том что у нас в этом месте нет датчика…. Подключать выход надо повыше дабы обеспечить естественную циркуляцию и до термостата чтобы не греть радиатор. Демонтировать эту трубку достаточно просто, стенки у нее толстые, поэтому просто снимаем и привариваем к ней патрубок из набора, на который потом напялим выходной шланг.

    Снимаем пластиковую защиту снизу. Сливает ОЖ с радиатора. Сливаем ОЖ с блока до пробки хрен долезешь и затянута она нехило, пришлось надеть удлинительную насадку на рычаг ключа. Чтобы обеспечить доступ в область термостата снимает аккумулятор и воздушный фильтр. До снятия воздушного фильтра желательно прикинуть место вваривания патрубка и его направления, наметить маркером.

    Снять металлическую трубку выходящую с блока и к сварщику. Диаметр пробки свободно позволяет сделать в центре отверстие и нарезать там резьбу в которую вкрутить патрубок из комплекта отопителя.

    За одним я заказал и пробку-заглушку вместо патрубка, так на всякий случай. На картинках собственно видно, что получилось после сварщика и токаря.

    Собственно собираем все наместо. Мажем герметиком сливную пробку, закручиваем. Мажем им же патрубок, закручиваем в сливную пробку. Сваренный кусок трубы устанавливаем на место. На самом отопителе я сменил заводской эл. К корпусу отопителя хомутом крепим крепежный кранштейн и лезем под машину примерять местоположение и сверлить отверстие в корпусе авто под крепеж. Места там достаточно да и работе автомобиля данная дислокация устройства не мешает.

    Установка помпового подогревателя двигателя «Лунфэй»

    Установить сервер | Документы SonarQube

    В этом разделе описывается экземпляр SonarQube с одним узлом. Дополнительные сведения о настройке кластера см. в разделе Установка сервера как кластера.

    Компоненты экземпляра

    Экземпляр SonarQube состоит из трех компонентов:

    1. На сервере SonarQube запущены следующие процессы:

      • веб-сервер, обслуживающий пользовательский интерфейс SonarQube.
      • поисковый сервер на основе Elasticsearch.
      • вычислительный движок, отвечающий за обработку отчетов об анализе кода и их сохранение в базе данных SonarQube.
    2. База данных для хранения следующего:

      • Показатели и проблемы качества и безопасности кода, возникающие при сканировании кода.
      • Конфигурация экземпляра SonarQube.
    3. Один или несколько сканеров, работающих на ваших серверах сборки или непрерывной интеграции для анализа проектов.

    Хосты и местоположения

    Для оптимальной производительности сервер и база данных SonarQube должны быть установлены на отдельных хостах, а хост сервера должен быть выделен.Хосты сервера и базы данных должны находиться в одной сети.

    Все хосты должны быть синхронизированы по времени.

    Поддерживаются несколько механизмов баз данных. Обязательно соблюдайте требования, перечисленные для вашей базы данных. Это настоящие требования, а не рекомендации.

    Создайте пустую схему и пользователя sonarqube . Предоставьте этому sonarqube права пользователя на создание , обновление и удаление объектов для этой схемы.

    Microsoft SQL Server

    Сопоставление ДОЛЖНО учитывать регистр (CS) и диакритические знаки (AS).
    READ_COMMITED_SNAPSHOT ДОЛЖЕН быть установлен в базе данных SonarQube.

    Стратегия общей блокировки базы данных MS SQL может повлиять на время выполнения SonarQube. Убедитесь, что для is_read_committed_snapshot_on установлено значение true , чтобы SonarQube не сталкивался с потенциальными взаимоблокировками при больших нагрузках.

    Пример запроса для проверки is_read_committed_snapshot_on :

      SELECT is_read_committed_snapshot_on FROM sys.базы данных ГДЕ name='YourSonarQubeDatabase';
      

    Пример запроса на обновление is_read_committed_snapshot_on :

      ALTER DATABASE YourSonarQubeDatabase SET READ_COMMITTED_SNAPSHOT ON WITH ROLLBACK IMMEDIATE;
      

    Встроенная система безопасности

    Чтобы использовать встроенную систему безопасности:

    1. Загрузите пакет Microsoft SQL JDBC Driver 9.4.1 и скопируйте mssql-jdbc_auth-9.4.1.x64.dll в любую папку на вашем пути.
    2. Если вы используете SonarQube как службу Windows, убедитесь, что учетная запись Windows, под которой работает служба, имеет разрешение на подключение к вашему серверу SQL.Учетная запись должна иметь членство в роли базы данных db_owner .

      Если вы запускаете сервер SonarQube из командной строки, пользователь, под которым запущена командная строка, должен иметь членство в роли базы данных db_owner .

    3. Убедитесь, что свойства sonar.jdbc.username или sonar.jdbc.password закомментированы, иначе SonarQube будет использовать аутентификацию SQL.
      sonar.jdbc.url=jdbc:sqlserver://localhost;databaseName=sonar;integratedSecurity=true
      

    Проверка подлинности SQL

    Чтобы использовать проверку подлинности SQL, используйте следующую строку подключения.Также убедитесь, что sonar.jdbc.username и sonar.jdbc.password установлены правильно:

      sonar.jdbc.url=jdbc:sqlserver://localhost;databaseName=sonar
    sonar.jdbc.username=сонаркуб
    sonar.jdbc.password=мой пароль
      

    Oracle

    Если в одном экземпляре Oracle есть две схемы SonarQube, особенно если они предназначены для двух разных версий, SonarQube запутается и выберет первую найденную. Чтобы избежать этой проблемы:

    • Любые привилегии, связанные с пользователем SonarQube Oracle, должны быть уменьшены
    • Или на стороне Oracle должен быть определен триггер для автоматического изменения сеанса пользователя SonarQube Oracle при установлении нового соединения:

    Драйвер Oracle JDBC версии 12.1.0.1 и 12.1.0.2 имеют серьезные ошибки и не рекомендуются для использования с SonarQube (см. подробнее).

    PostgreSQL

    Если вы хотите использовать пользовательскую схему, а не общедоступную по умолчанию, необходимо установить свойство search_path PostgreSQL :

      ALTER USER mySonarUser SET search_path to mySonarQubeSchema
      

    Сначала проверьте требования. Затем скачать и разархивировать дистрибутив (не распаковывать в директорию, начинающуюся с цифры).

    SonarQube нельзя запустить как root в системах на базе Unix, поэтому при необходимости создайте специальную учетную запись пользователя для SonarQube.

    $SONARQUBE-HOME (ниже) указывает путь к каталогу, в который был разархивирован дистрибутив SonarQube.

    Настройка доступа к базе данных

    Изменить $SONARQUBE-HOME/conf/sonar.properties для настройки параметров базы данных. Шаблоны доступны для каждой поддерживаемой базы данных. Просто раскомментируйте и настройте нужный вам шаблон и закомментируйте строки, посвященные h3:

      Пример для PostgreSQL
    сонар.jdbc.username=сонаркуб
    sonar.jdbc.password=мой пароль
    sonar.jdbc.url=jdbc:postgresql://localhost/sonarqube
      

    Добавление драйвера JDBC

    Драйверы для поддерживаемых баз данных (кроме Oracle) уже предоставлены. Не заменяйте предоставленные драйверы; только они поддерживаются.

    Для Oracle: скопируйте драйвер JDBC в $SONARQUBE-HOME/extensions/jdbc-driver/oracle .

    Настройка пути к хранилищу Elasticsearch

    По умолчанию данные Elasticsearch хранятся в $SONARQUBE-HOME/data , но это не рекомендуется для рабочих экземпляров.Вместо этого вы должны хранить эти данные в другом месте, в идеале на выделенном томе с быстрым вводом-выводом. Помимо поддержания приемлемой производительности, это также облегчит обновление SonarQube.

    Отредактируйте $SONARQUBE-HOME/conf/sonar.properties , чтобы настроить следующие параметры:

      sonar.path.data=/var/sonarqube/данные
    sonar.path.temp=/var/sonarqube/temp
      

    Пользователь, используемый для запуска SonarQube, должен иметь доступ для чтения и записи к этим каталогам.

    Запуск веб-сервера

    Порт по умолчанию — «9000», а контекстный путь — «/».Эти значения можно изменить в $SONARQUBE-HOME/conf/sonar.properties :

    .
      сонар.веб.хост=192.168.0.1
    сонар.web.port=80
    sonar.web.context=/sonarqube
      

    Выполните следующий скрипт для запуска сервера:

    • В Linux: bin/linux-x86-64/sonar.sh start
    • В macOS: bin/macosx-universal-64/sonar.sh start
    • В Windows: bin/windows-x86-64/StartSonar.bat

    Теперь вы можете просматривать SonarQube по адресу http://localhost:9000 (учетные данные системного администратора по умолчанию: admin / admin ).

    Настройка установки Java

    Если на вашем сервере установлено несколько версий Java, вам может потребоваться явно указать, какая версия Java используется.

    Чтобы изменить Java JVM, используемую SonarQube, отредактируйте $SONARQUBE-HOME/conf/wrapper.conf и обновите следующую строку:

      wrapper.java.command=/path/to/my/jdk/bin/java
      

    Расширенные функции установки

    Выполните следующие действия для первой установки:

    1. Создание следующих томов помогает предотвратить потерю информации при обновлении до новой версии или при переходе на более позднюю версию:

      • sonarqube_data — содержит файлы данных, такие как встроенная база данных h3 и индексы Elasticsearch
      • sonarqube_logs — содержит журналы SonarQube о доступе, веб-процессе, процессе CE и Elasticsearch
      • sonarqube_extensions — будет содержать любые установленные вами плагины и драйвер Oracle JDBC, если это необходимо.

      Создайте тома с помощью следующих команд:

        $> создание тома докера --name sonarqube_data
      $> docker volume create --name sonarqube_logs
      $> docker volume create --name sonarqube_extensions
        

      Убедитесь, что вы используете тома, как показано в приведенных выше командах, а не привязываете монтирование. Использование привязки препятствует правильному заполнению плагинов.

    2. Драйверы для поддерживаемых баз данных (кроме Oracle) уже предоставлены.Если вы используете базу данных Oracle, вам необходимо добавить драйвер JDBC в том sonar_extensions . Для этого:

      а. Запустите контейнер SonarQube со встроенной базой данных h3:

      .
        $ запуск докера --rm \
          -p 9000:9000 \
          -v sonarqube_extensions:/opt/sonarqube/расширения \
          <имя_изображения>
        

      б. Выйдите после того, как SonarQube запустится должным образом.

      в. Скопируйте драйвер JDBC Oracle в sonarqube_extensions/jdbc-driver/oracle .

    3. Запустите образ со свойствами вашей базы данных, определенными с помощью флага переменной среды -e:

        $> docker run -d --name sonarqube \
          -p 9000:9000 \
          -e SONAR_JDBC_URL=... \
          -e SONAR_JDBC_USERNAME=... \
          -e SONAR_JDBC_PASSWORD=... \
          -v sonarqube_data:/opt/sonarqube/данные \
          -v sonarqube_extensions:/opt/sonarqube/расширения \
          -v sonarqube_logs:/opt/sonarqube/журналы \
          <имя_изображения>
        

      Для установок на основе докеров переменные среды заменяют все параметры, которые были предоставлены со свойствами.См. Переменные среды Docker.

      Использование переменных среды SONARQUBE_JDBC_USERNAME , SONARQUBE_JDBC_PASSWORD и SONARQUBE_JDBC_URL устарело и перестанет работать в будущих выпусках.

    Пример конфигурации Docker Compose

    Если вы используете Docker Compose, используйте следующий пример в качестве справки при настройке файла .yml . Щелкните заголовок ниже, чтобы развернуть .yml файл.

    В приведенном ниже примере будет использоваться последняя версия образа SonarQube Docker. Если вы хотите использовать LTS-версию SonarQube, вам необходимо обновить пример с тегом изображения sonarqube:lts-community .

    Пример файла Docker Compose .yml

      версия: «3»
    
    Сервисы:
      гидролокатор:
        изображение: sonarqube:community
        зависит от:
          - дб
        окружающая обстановка:
          SONAR_JDBC_URL: jdbc:postgresql://db:5432/sonar
          SONAR_JDBC_USERNAME: сонар
          SONAR_JDBC_PASSWORD: сонар
        тома:
          - sonarqube_data:/opt/sonarqube/данные
          - sonarqube_extensions:/opt/sonarqube/расширения
          - sonarqube_logs:/opt/sonarqube/журналы
        порты:
          - "9000:9000"
      дБ:
        изображение: postgres:12
        окружающая обстановка:
          POSTGRES_USER: сонар
          POSTGRES_PASSWORD: сонар
        тома:
          - postgresql:/var/lib/postgresql
          - postgresql_data:/var/lib/postgresql/данные
    
    тома:
      сонаркуб_данные:
      sonarqube_extensions:
      sonarqube_logs:
      постгрескл:
      postgresql_data:
      

    После того, как ваш сервер установлен и запущен, вы также можете установить плагины.Теперь вы готовы приступить к анализу исходного кода.

    Не удалось подключиться к Marketplace через прокси

    Дважды проверьте правильность настройки прокси-сервера в $SONARQUBE_HOME/conf/sonar.properties . Обратите внимание, что если ваше имя пользователя прокси-сервера содержит обратную косую черту, то оно должно быть экранировано — например, имя пользователя «домен\пользователь» в файле должно выглядеть так:

      http.proxyUser=домен\\пользователь
      

    Для некоторых прокси-серверов исключение "java.net.ProtocolException: сервер перенаправляется слишком много раз" может означать, что было настроено неправильное имя пользователя или пароль.

    Исключение java.lang.RuntimeException: невозможно запустить elasticsearch от имени пользователя root

    SonarQube запускает процесс Elasticsearch, и для процесса Elasticsearch будет использоваться та же учетная запись, под которой запущен сам SonarQube. Поскольку Elasticsearch не может быть запущен как root , это означает, что SonarQube тоже не может быть запущен. Вы должны выбрать какую-либо другую учетную запись root , отличную от , для запуска SonarQube, предпочтительно учетную запись, предназначенную для этой цели.

    DNS-кэш Sonarqube

    При отправке отчетов о статусе Quality Gate платформам DevOps SonarQube использует 30-секундную политику времени жизни кэша DNS.При необходимости вы можете изменить этот параметр в вашей JVM:

      эхо "networkaddress.cache.ttl=5" >> "${JAVA_HOME}/conf/security/java.security"
      

    Имейте в виду, что низкие значения увеличивают риск атак с подделкой DNS.

    Установка единого сервера приложений и клиента | Рабочий процесс 2.6 SP1, SIM 4 Документация

    Установить единый сервер приложений и клиент | Рабочий процесс 2.6 SP1, SIM 4 Документация | GE Digital ×

    Вы давно видели рабочий процесс?   Нажмите здесь , чтобы ознакомиться со всеми новыми функциями последней версии.

    Усовершенствуйте свое решение GE!   Загрузите бесплатную пробную версию Proficy Operations Hub, аналитики CSense и т. д.

    Следующая информация проведет вас через весь процесс установки сервера приложений и клиента.

    Об этой задаче

    Примечание. В процессе установки необходимо создать пользователя-администратора. Этому пользователю автоматически назначаются все разрешения, которые позволят вам создавать и определять своих пользователей и разрешения безопасности.

    Процедура

    1. На экране-заставке приложения щелкните Установить клиент и сервер приложений.

      Примечание. Если заставка не появляется, запустите InstallFrontEnd.exe в корневом каталоге папки установки.

      Появится мастер установки.

    2. Щелкните Сервер приложений.

      Появится страница Тип сервера приложений.

    3. Выберите Основной сервер и нажмите кнопку Далее.

      Появится страница лицензионного соглашения.

    4. Ознакомьтесь с лицензионным соглашением и нажмите «Принимаю».

      Появится страница «Папки установки и архитектура».

    5. Действуйте в соответствии с архитектурой вашего компьютера.5
      Если архитектура... Тогда сделайте это...
      1. Примите папку назначения по умолчанию или найдите новое местоположение, а затем нажмите кнопку Далее.

        Появится страница интеграции AD LDS.

      64-разрядная версия
      1. Примите папку назначения по умолчанию (32-разрядная) или найдите новое местоположение.

        Важно! Это место установки 32-разрядных компонентов. Не устанавливайте 32-разрядные компоненты в 64-разрядный каталог установки; в противном случае установка завершится ошибкой.

      2. Примите целевую папку по умолчанию (64-разрядную) или выберите новое местоположение.
      3. Выберите 32-разрядную или 64-разрядную версию в зависимости от архитектуры, в которой должен работать сервер.

        Совет. По умолчанию используется 64-разрядная версия, но вы также можете выбрать 32-разрядную версию. Если ваша среда изменится после установки, вы можете использовать инструмент Configure Server, чтобы изменить архитектуру.

      4. Щелкните Далее.

        Появится страница интеграции AD LDS.

    6. Для интеграции Active Directory Leasage Directory Услуги (AD LDS), выполните одно следующее: Тогда ... Тогда ...
      Если AD LDS ...
      НЕ установлено Вам предоставляется информация о его использовании. Если это не требуется, нажмите Далее.
      Установлено в среде тестирования и/или разработки Установите флажок Не использовать службы каталогов Microsoft и нажмите кнопку Далее.
      Установлено в рабочей среде Нажмите кнопку Далее.
    7. Если вы используете AD LDS, выполните следующую процедуру:
      1. Снимите флажок Не использовать AD LDS.
      2. В разделе Экземпляр каталога в поле Имя введите имя экземпляра для каталога ADAM.
      3. В поля Порт (LDAP) и Порт (SSL) введите действительные номера портов.
      4. В разделе «Учетные данные пользователя» в поле «Имя» введите имя пользователя, который является членом группы администраторов локального компьютера.
      5. В поле Домен введите имя домена вашей компании.
      6. В поле «Пароль» введите пароль пользователя, введенного в поле «Имя».
    8. Нажмите Далее.

      Появится страница конфигурации базы данных.

    9. Укажите параметры базы данных SQL Server для этого приложения на основе конфигурации вашей среды.

      Примечание. Чтобы создать резервную копию выбранной базы данных, выберите Создать резервную копию существующей базы данных.

      Чтобы настроить параметры SQL Server... Затем...
      Автоматически
      1. Установите флажок Использовать локальную базу данных с проверкой подлинности Windows. Примечание. Для использования этого параметра применяются следующие условия SQL Server:
        • Установлен локально, И
        • Назначен локальным хостом по умолчанию, И
        • Использует проверку подлинности Windows
      2. Перейдите к шагу 10.
      Вручную
      1. Снимите флажок Использовать локальную базу данных с Флажок Проверка подлинности Windows.
      2. Перейдите к шагу 9.
    10. Укажите параметры SQL Server следующим образом:
      1. В поле Сервер введите или выберите имя SQL Server, к которому вы хотите подключиться.

        Примечание. Если SQL Server установлен локально с экземпляром по умолчанию, вы можете ввести localhost .

      2. В поле База данных введите имя вашей базы данных SQL Server или щелкните стрелку раскрывающегося списка для поиска всех баз данных, расположенных на указанном сервере.

        Примечание. Если указанная база данных не существует, она будет создана для вас.

      3. В списке Аутентификация выберите тип аутентификации, который вы хотите использовать, а затем действуйте в соответствии с вашим выбором.
        • Если вы выбрали проверку подлинности Windows, перейдите к шагу 10.
        • Если вы выбрали проверку подлинности SQL Server, перейдите к шагу d.
      4. Введите имя пользователя и пароль для изменения, настроенные для проверки подлинности SQL Server, а затем перейдите к шагу 10.
      5. Учетная запись, используемая для проверки подлинности SQL, должна иметь доступ для создания новых баз данных.
      6. Для установки сервера приложений и соответствующих SIM-карт требуется роль сервера SQL Server Management Studio, db_owner .
      7. Для обычного использования базы данных во время выполнения учетная запись входа в систему SQL Server требует привилегий db_owner и dbcreator . После добавления этих ролей в SQL Server Management Studio запустите средство настройки базы данных, чтобы обновить учетные данные для входа в систему. Дополнительные сведения см. в разделе «Изменение базы данных сервера приложений Workflow» в справке Workflow.
      8. Нажмите Далее.

        Появится страница безопасности.

      9. Укажите учетные данные администратора для аутентификации.
        1. В поле Имя примите имя по умолчанию или введите новое имя.
        2. В поле Пароль введите пароль.

          Примечание. Если включена и настроена сложность пароля, пароль администратора должен соответствовать тем же правилам, которые определены для паролей пользователей.

        3. В поле Подтвердить пароль еще раз введите пароль.
      10. Необязательно: Можно указать один или несколько дополнительных параметров аутентификации. Если вы не хотите использовать эту функцию, снимите все флажки и нажмите кнопку Далее.
        1. Чтобы использовать аутентификацию GE SSO:
          1. Установите флажок Использовать единый вход (SSO).

            Примечание. При установке этого флажка отображается параметр SSO Authentication при входе пользователя в систему.

          2. Выберите параметр идентификации поставщика, соответствующий уровню ограничений и безопасности, требуемому для вашего приложения.

            Примечание. Параметр Production Identity Provider обеспечивает большую безопасность вашего приложения.

        2. Установите флажок Разрешить изменение пароля, если вы хотите разрешить пользователям изменять свой пароль для входа в любое время.

          При установке этого флажка отображается параметр «Изменить пароль», когда пользователь входит в систему.

        3. Установите флажок «Применить блокировку пользователя», а затем задайте порог блокировки, продолжительность и временные рамки. Этот флажок установлен по умолчанию.

          Совет. Учетная запись администратора также ограничена настройками блокировки.

        4. Установите флажок «Использовать сложные правила для паролей», затем выберите «Простой», «Обычный» или «Расширенный», чтобы определить уровень сложности ваших паролей.

          При новых установках этот флажок установлен по умолчанию. При обновлении версий этот флажок по умолчанию снимается.

        5. Выберите Доступ к веб-ЧМИ и введите имя хоста веб-ЧМИ, если вы хотите получить доступ к списку задач рабочего процесса из установленного веб-ЧМИ.
      11. Нажмите Далее.

        Появится страница сертификатов безопасности.

      12. Выберите соответствующий вариант сертификата. Полное описание параметров сертификата см. в разделе Параметры сертификата безопасности.
      13. Щелкните Далее.

        Если на компьютере, на котором выполняется установка, включен брандмауэр, появится страница настроек брандмауэра.

      14. При необходимости запишите номера портов, которые необходимо открыть в брандмауэре, и нажмите кнопку Далее.

        Важно: Если в вашей системе используется брандмауэр, вы должны следовать инструкциям на странице настроек брандмауэра и открыть порты 8447, 8012, 8111, 8112, 8020, 8201, 8202, 8203 и 8204 для входящего TCP-трафика. Для получения информации об открытии порта в брандмауэре см. интерактивную справку для вашей операционной системы Windows.

        Появится страница подтверждения установки.

        Совет: В любой момент процесса настройки вы можете нажать Назад, чтобы вернуться на предыдущую страницу и изменить настройки.

      15. Нажмите «Установить». Появится страница «Установка», отображающая статус каждого шага установки.

        Примечание. В некоторых случаях после установки требуется перезагрузка системы. В этом случае соответствующее сообщение отображается среди перечисленных сообщений о состоянии.

      16. После завершения установки нажмите «Выход».

        Примечание. Если установка завершается с ошибкой или вы хотите изменить параметр конфигурации после завершения установки, вы можете открыть соответствующий автономный компонент для настройки необходимой информации. Дополнительные сведения см. в разделе Конфигурация после установки.

      Результаты

      Список веб-задач автоматически устанавливается при установке сервера приложений Workflow. Пользователи могут получить доступ к списку веб-задач с помощью веб-браузера. Дополнительные сведения см. в разделе Подключение к списку веб-задач.

       

      Установить конфигурацию сервера

      Включить/выключить используемые сервлеты.

      Примечание:  эта опция действительна только для следующих профилей:

      • Производственный профиль
      • Производство + безопасный профиль

      Все веб-приложения JEE имеют файл в каталоге WEB-INF с именем web.xml этот файл определяет сервлеты и сопоставления сервлетов для веб-приложения JEE. Отображение сервлета определяет шаблон URI, на который отвечает конкретный сервлет. Например, сервлет, который обрабатывает запросы файлов .cfm, называется CfmServlet, сопоставление сервлета для которого выглядит следующим образом:

      <отображение сервлета>

         CfmServlet

         *.cfm

      Сервлеты также определены в сети.xml ( ColdFusion install dir/cfusion/wwwroot/WEB-INF ). CfmServlet также определен в web.xml следующим образом:

      <сервлет>

        CfmServlet

        Обработчик шаблонов CFML

        Компилирует и выполняет страницы и теги CFML

        coldfusion.bootstrap.BootstrapServlet

        <параметр инициализации>

           <имя-параметра>сервлет.класс

           coldfusion.CfmServlet

       

        <загрузка при запуске>4

      Вы можете удалить сопоставления сервлетов в файле web.xml, чтобы уменьшить поверхность атаки. Обычно вам не нужно удалять сопоставление CfmServlet или сервлета *.cfm, но есть другие сервлеты и сопоставления, которые вы можете удалить в зависимости от ситуации.

      Дополнительные сведения о внесении изменений в файл web.xml и включении/отключении сервлетов см. в руководстве Пита Фрайтага по блокировке ColdFusion (выпуск 2018 г.) .

      Установка и настройка сервера Tableau

      Темы, указанные внизу этой страницы, описывают шаги по установке и настройке Tableau Server. Если вы устанавливаете распределенное развертывание (кластер), выполните действия, описанные в этом разделе, для установки начального узла, а затем, чтобы установить дополнительные узлы, см. раздел Установка распределенного и высокодоступного сервера Tableau.

      После запуска установки необходимо продолжить установку, активировав лицензию, зарегистрировав Tableau Server и настроив различные параметры, включая аутентификацию.

      Другие способы установки

      Существует несколько альтернативных методов установки Tableau Server.

      Прежде чем начать

      Для установки Tableau Server необходим компьютер, соответствующий аппаратным требованиям.Вы получите информационное сообщение, если ваш компьютер соответствует минимальным требованиям, но не соответствует рекомендуемым минимальным требованиям. В этом случае аппаратное обеспечение вашего компьютера может справиться с пробной установкой Tableau, но не подходит для производственной среды. Дополнительные сведения см. в разделе Перед установкой....

      Этапы установки

      Следующие шаги описывают, как установить Tableau Server на один компьютер. Используйте шаги для установки Tableau Server в развертывании с одним сервером.Используйте шаги для установки начального узла в развертывании Tableau Server с несколькими узлами. Выполните шаги последовательно.

      1. Установить TSM

      2. Активировать и зарегистрировать сервер Tableau

      3. Настройка начальных параметров узла

      4. Добавить учетную запись администратора

       

      Tableau Server в Windows: руководство по установке для всех

      Программное обеспечение

      Tableau — это семейство аналитических инструментов, разработанных, чтобы помочь любому увидеть и понять свои данные.С Tableau вы задаете вопросы, находите ответы и делитесь своими знаниями на основе данных. Tableau Desktop — это приложение для визуального исследования и анализа, и вы можете использовать Tableau Server или Tableau Online для совместной работы в Интернете.

      Примечание . Это руководство было написано для ИТ-специалистов, чтобы установить и настроить один экземпляр Tableau Server. Если вы развертываете более сложный сценарий, см. нашу основную справку Tableau Server (ссылка открывается в новом окне).

      Ищете версию этого руководства для Linux? См. Tableau Server в Linux: руководство по установке для всех (ссылка открывается в новом окне).

      Не пропустите эту часть

      Это правда, что в этом разделе есть куча советов «перед тем, как начать», но они важны и могут в конечном итоге сэкономить вам много времени, а возможно, даже немного денег. Чтение может изменить все.

      Итак, вы хотите установить Tableau Server...

      Пользователи Tableau Desktop мотивированы. Многие из первых установок Tableau Server в организации управляются опытными пользователями и сторонниками Tableau Desktop.

      В этом руководстве описаны задачи планирования и установки, необходимые для развертывания односерверной установки Tableau Server в вашей организации. Вы можете пройти это руководство шаг за шагом и завершить установку Tableau Server соответствующего размера, безопасной и производительной.

      Этот подход к развертыванию серверного программного обеспечения, которым, как правило, управляет опытный пользователь, является уникальным в отрасли решений для бизнес-аналитики. Мы написали это руководство, чтобы ускорить этот сценарий развертывания, объединив основные задачи планирования развертывания, установки и управления в одном руководстве.

      Вы знаете ИТ-специалиста? Пусть помогут!

      По большей части мы написали это руководство для тех, кому может быть поручено настроить Tableau Server в одиночку.Но мы не хотим, чтобы вы были одни! Если у вас есть ИТ-отдел, поделитесь этим документом со своим контактным лицом по ИТ. Заручитесь их поддержкой и доверьтесь их опыту и вкладу.

      Но даже если вы не являетесь экспертом и в вашей организации нет ИТ-отдела, это руководство поможет вам настроить и запустить Tableau Server.

      Кто должен это прочитать?

      Это руководство предназначено для двух основных аудиторий:

      • Новичок в установке серверного программного обеспечения.Это руководство предназначено специально для людей, которые обычно не занимаются установкой серверного программного обеспечения. Это руководство гарантирует, что люди с ограниченным ИТ-опытом смогут легко устанавливать и управлять Tableau Server. Например, мы объясняем концепции, которые вам нужно понять по ходу дела.

      • Опытные ИТ-администраторы или администраторы серверов. Если вы уже занимаетесь установкой серверов, мы думаем, что это руководство будет вам полезно в качестве обзора основных параметров конфигурации, доступных в Tableau Server, или для настройки пробного или первого развертывания.Мы также указали, где ваш опыт, вероятно, понадобится, если вы будете поддерживать новых администраторов, которые используют это руководство для установки сервера Tableau в отделе. Это руководство дает вам основу для ответов на их вопросы.

      Установить сервер Tableau локально? Или использовать Tableau Online?

      Имейте в виду, что вы можете помочь своей команде, отделу или организации освоить данные и аналитику без обязательной локальной установки Tableau Server.Вы можете сэкономить много работы — как на начальном этапе, так и в долгосрочной перспективе — позволив Tableau управлять Tableau Online за вас.

      Tableau Online — это облачное решение, размещенное на Tableau. Он делает то же, что и Tableau Server, но вам не нужно ничего устанавливать на собственное оборудование. Вместо этого вы создаете учетную запись Tableau Online и размещаете свои рабочие книги и источники данных в Интернете. Без покупки и настройки серверов. Никакой интеграции сетей, никакой загрузки драйверов и установки обновлений. Публикация, совместное использование и редактирование рабочих книг в Tableau Online точно такие же, как и в Tableau Server.

      Если вы заинтересованы в создании и распространении аналитики, не задумываясь о базовой инфраструктуре, Tableau Online может быть лучшим выбором для вас. Кроме того, вы можете перестать читать остальную часть этого руководства, начать бесплатную пробную версию и начать делиться книгами менее чем за десять минут.

      Тогда зачем устанавливать Tableau Server? Вот несколько причин установить Tableau Server локально:

      • Управление.Основными проблемами для большинства наших клиентов являются контроль и соответствие требованиям. Например, отраслевое регулирование может потребовать локального развертывания. Установив Tableau Server локально, вы можете проводить аудит соответствия, гарантирующий физический контроль над содержимым и данными, хранящимися в Tableau Server.

      • Доступ гостевого пользователя. В зависимости от вашей лицензии локальная установка позволяет настроить сервер так, чтобы люди могли видеть встроенные представления без необходимости проверки подлинности на сервере.(Мы называем это «Гостевой пользователь».) Это идеально подходит для организаций с небольшим количеством авторов и издателей и большим количеством пользователей, которым нужен только доступ для просмотра на сервере. Эта функциональность поддерживает Tableau Public, где любой человек в мире может просматривать визуализации Tableau.

      • Внутреннее подключение к источнику оперативных данных. Tableau Server оптимизирован для подключения ко многим различным источникам данных, которые могут работать в вашей организации.Хотя Tableau Online поддерживает живые подключения к ряду облачных источников данных, она обеспечивает ограниченную поддержку живых подключений к источникам данных в вашей организации. Если вашему бизнесу требуется запрашивать внутренние данные в режиме реального времени, Tableau Server — лучшая альтернатива для вас.

      • Интеграция с Active Directory. Tableau Server интегрируется с пользователями и группами Windows Active Directory. Вы также можете включить единый вход и бесшовные подключения к популярным реляционным базам данных, таким как Microsoft SQL Server, с проверкой подлинности Kerberos.

      Как насчет Tableau Server в облаке?

      Есть еще один вариант: вы можете установить версию Tableau Server в облачном сервисе, таком как Amazon Web Services, Google Cloud Services или Microsoft Azure. Это руководство оптимизировано для того, чтобы помочь вам установить Tableau Server на компьютер, который находится в вашей локальной среде. Но вы, вероятно, все равно найдете это руководство полезным, если решите запустить Tableau Server в облачном сервисе.

      См. Установка Tableau Server в облаке(ссылка открывается в новом окне).

      Используйте это руководство, если...

      Прежде чем вы погрузитесь в планирование, давайте удостоверимся, что ваши цели совпадают с целью этого руководства.

      Вы хотите установить Tableau Server на одном сервере. Tableau Server может работать в кластерах с несколькими узлами, а также на виртуальных машинах (ВМ), но мы не рассматриваем эти сценарии в этом руководстве.Однако позднее масштабирование Tableau Server на удивление просто по сравнению с другими корпоративными серверными решениями. Для нашей масштабируемой модели всегда требуется первичный узел. Вы можете использовать это руководство, чтобы быстро развернуть основной узел для пробного запуска.
      Ваш сервер Tableau поддерживает от 2 до 100 пользователей. Мы предполагаем, что у вас есть ограниченное количество пользователей, большинство из которых только просматривают контент на сервере Tableau, но не публикуют и не редактируют его.(Хотя развертывание на одном компьютере может поддерживать до 1000 пользователей, лучше всего управлять таким развертыванием ИТ-специалисты.)
      Вы специалист по информационным технологиям. Вы не считаете себя ИТ-специалистом, но вам комфортно устанавливать и настраивать программное обеспечение, а также изменять его параметры.
      Вы выполняете установку в существующей ИТ-среде ... Вы и ваша группа являетесь частью бизнес-подразделения в рамках более широкой организации.Возможно, ваша организация использует Windows Active Directory для управления ресурсами и обеспечения аутентификации и авторизации этих ресурсов.
       ... или вы выполняете установку в среде малого бизнеса. Вы не являетесь частью более крупной организации и не используете Active Directory. Мы рассматриваем и этот сценарий.
      Вы выполняете пробное развертывание.

      Большинство из того, что вы найдете здесь, будет полезно, если вы устанавливаете пробную версию.

      Совет : Если вы ищете самый быстрый и простой путь к установке Tableau Server для Windows для целей «тест-драйва», см. «Быстрая установка» (ссылка открывается в новом окне).

      Это руководство, вероятно,

      , а не будет полезно, если ...

      Если что-либо из следующего описывает ваш сценарий, это руководство, вероятно, предложит лишь ограниченную помощь, и мы рекомендуем вам изучить нашу обширную документацию по Tableau Server (ссылка открывается в новом окне), наши форумы, базу знаний и оперативную поддержку.

      • Вы хотите обновить. Если вы обновляете свой сервер, см. Обновление сервера Tableau (ссылка открывается в новом окне).

      • Вы хотите установить предыдущую версию Tableau Server. Руководство администратора для всех написано для последней версии Tableau Server.

      • Вы хотите развернуть распределенное многокомпьютерное развертывание Tableau Server.Чтобы узнать больше о планировании таких развертываний, см. Руководство по масштабированию Tableau Server для самостоятельной аналитики (ссылка откроется в новом окне).

      • Вы планируете установку на оборудование с недостаточным питанием. Методология, описанная в этом руководстве, позволит получить спецификации оборудования, которые должным образом обеспечены ресурсами для вашего развертывания. Не устанавливайте Tableau Server на маломощные машины или машины, которые используют ресурсы совместно с другими серверными приложениями.

      • Вы должны установить Tableau Server в демилитаризованной зоне, на границе или в другом расширенном сетевом развертывании. Для некоторых бизнес-сценариев требуется доступ к серверу Tableau или источникам данных в многоуровневой сетевой среде, защищенной несколькими уровнями брандмауэра. Однако сценарий в этом руководстве предполагает, что ваши источники данных и сервер Tableau расположены в одной и той же внутренней сети. Доступ к внешнему клиенту, когда пользователи получают доступ к вашему серверу Tableau из Интернета, объясняется в этом руководстве.

      Что теперь?

      Если вы собираетесь установить Tableau Server, мы вам поможем.

      Мы составили это руководство таким образом, чтобы все задачи, связанные с планированием, установкой и настройкой Tableau Server, были представлены по порядку в раскрывающемся меню в верхней части каждой страницы.

      Готов?

      Перейдите к планированию развертывания.

      Установка сервера сайта

      Серверы сайта

      — это архитектурный компонент решения PaperCut. Настройка — это простой процесс. Как и в большинстве архитектурных проектов, время лучше потратить на планирование.

      Шаг 1: планирование

      Планирование — наиболее важный этап успешного развертывания.Уделите несколько минут перед установкой, чтобы просмотреть контрольный список пунктов:

      • Подготовьте лицензию, включающую необходимое количество серверов сайта.

      • Рассмотрите подписанный сертификат доверенного ЦС для вашего

      • Запланируйте установку/обновление сервера приложений до последней версии PaperCut NG или PaperCut MF.

      • Обсудите и выберите подходящие офлайн-политики для вашего сайта.

      • Выберите расположение Site Server, обеспечивающее надежное подключение к устройствам и серверам печати, которые он должен поддерживать.

      • Запланируйте незначительные сбои в работе любых существующих встроенных или аппаратных устройств, которые вы перенастраиваете для использования Site Server.

      • Ознакомьтесь с критически важными функциями, которые поддерживает Site Server, чтобы понять поведение в автономном режиме.

      Шаг 2. Примените лицензию

      Прежде чем устанавливать программное обеспечение Site Server, ваш сервер приложений должен быть лицензирован для серверов сайта.

      Шаг 3: [необязательно] Импорт доверенного подписанного сертификата

      Некоторые МФУ могут видеть ошибку самоподписанного сертификата в процессе внедрения. Установка подписанного сертификата на сервер вашего сайта помогает предотвратить это и защищает ваш сервер PaperCut от атаки MitM.

      Процесс установки подписанного сертификата на сервер сайта почти идентичен шагам, которые вы предпринимаете для установки сертификата на основной сервер приложений PaperCut.Следуйте нашим инструкциям по простой установке сертификата, но при создании сертификата убедитесь, что общее имя (CN) или имя предметной области (SAN) соответствует вашему серверу сайта.

      Шаг 4: Установка

      Перед установкой сервера сайта убедитесь, что основной сервер (центральный сервер приложений) настроен и работает правильно.

      Windows

      На сервере Windows установите программное обеспечение Site Server, выбрав параметр установки Site Server (дополнительно) в мастере установки.Если программное обеспечение основного сервера PaperCut ранее было установлено на сервере, удалите его перед установкой программного обеспечения Site Server.

      Линукс

      Следуйте существующему разделу «Быстрая установка: Linux (CUPS и/или Samba)» руководства PaperCut с дополнительным параметром --site-server при запуске программы установки.

      Mac

      На сервере Mac установите Site Server, загрузив последний образ диска Mac DMG и запустив содержащуюся в нем программу установки PaperCut NG/MF Site Server Install (расширенная).упаковка

      СОВЕТ

      Рекомендуется ограничить соединения Site Server с Application Server фиксированным набором IP-адресов. Чтобы указать список IP-адресов или подсетей, которым разрешено отправлять информацию на сервер приложений, см. раздел Ограничение доступа к серверу приложений.

      Шаг 5. Настройка после установки

      1. Задайте уникальное имя для настраиваемого сервера сайта.

      2. Введите имя или IP-адрес сервера приложений, к которому подключается этот Site Server.

      3. Введите учетные данные пользователя с правами администратора на PaperCut на первичном сервере.

        Теперь сервер сайта подключен к серверу приложений и начинает процесс синхронизации данных.

      4. Сервер сайта не требует дополнительной настройки на локальном компьютере. Вы можете использовать ссылку «Войти» под изображением сервера приложений для доступа к веб-интерфейсу администратора PaperCut.Теперь доступна вкладка «Сайты».

      5. Выберите Sites > Offline Policies, чтобы настроить Offline Policies для вашей установки.

      Расширенная конфигурация сервера сайта

      Большая часть конфигурации Site Server выполняется в веб-интерфейсе администратора, однако в поставщике печати доступны дополнительные параметры конфигурации.конф файл.

      Подключение нескольких серверов печати к Site Server

      Если вы установили сервер сайта на существующий вторичный сервер печати PaperCutConfiguring и локально подключенные принтеры, он автоматически настраивается для работы с новым сервером сайта. Однако, если у вас есть несколько серверов печати, подключенных к серверу сайта, поставщик печати на этих серверах необходимо обновить до той же версии сервера приложений, а также настроить в следующем файле подключение к адресу сервера сайта:

      .
      1. Откройте в текстовом редакторе следующий файл:

        [путь к приложению]\провайдеры\принт\вин\принт-провайдер.конф

      2. Найдите строку, начинающуюся с ApplicationServer=, затем введите IP-адрес сервера сайта. Например:

        ApplicationServer=mainserver.localdomain.com

      3. Найдите строку, начинающуюся с ApplicationServerPort=, затем введите порт для подключения к серверу сайта.Например:

        ApplicationServerPort=9191

      4. Перезапустите сервер, на котором запущен поставщик печати. Если вы не хотите перезапускать сервер, вручную перезапустите службу поставщика печати PaperCut.

      Подключение напрямую к серверу приложений, когда сервер сайта не работает

      В стандартной конфигурации, если ваш сервер сайта недоступен, поставщики печати не будут работать, даже если доступен сервер приложений.Однако вы можете настроить своих провайдеров печати так, чтобы они пытались подключиться напрямую к серверу приложений, если сервер сайта недоступен.

      1. Откройте в текстовом редакторе следующий файл:

        [путь к приложению]\providers\print\win\print-provider.conf

      2. Добавьте новую строку с RedirectFallbackServer=, затем IP-адрес и порт сервера приложений.Например:

        RedirectFallbackServer=mainserver.localdomain.com:9191

      3. Перезапустите сервер, на котором запущен поставщик печати. Если вы не хотите перезапускать сервер, вручную перезапустите службу поставщика печати PaperCut.

      Конфигурация МФД

      Настройте встроенные устройства для использования Site Server в качестве хост-сервера.Вы можете напрямую добавлять новые устройства на Site Server или переносить существующие устройства на Site Server без потери истории устройств.

      Реализации встраиваемых решений различаются в зависимости от производителя, однако в целом их можно разделить на две категории.

      • Устройства, которые подключаются к PaperCut.

        Следуйте инструкциям по установке для вашего конкретного устройства, не забывая вводить адрес сервера сайта там, где обычно вводится адрес сервера приложений.

      • Устройства, к которым подключается PaperCut.

        Следуйте инструкциям по установке для вашего конкретного устройства. При настройке нового устройства выберите сервер, на котором размещено это устройство.

        Запись устройства также предоставляет администраторам возможность изменить это значение Hosted on в любое время в будущем.Это позволяет перемещать устройство с одного сервера на другой.

      ПРИМЕЧАНИЕ
      • Вы можете просмотреть, на каком сервере в настоящее время размещено каждое из ваших устройств, на странице списка устройств в веб-интерфейсе администратора.

      • В зависимости от устройства вы можете разрешить пользователям изменять параметры отложенных заданий печати на устройстве, если сервер сайта доступен, но сервер приложений недоступен.Дополнительные сведения см. в разделе Изменение атрибутов заданий печати на устройстве.

      Конфигурация станции выпуска

      Стандартные станции выпуска и выпуск для мобильной печати — выпуск заданий на печать с помощью приложений для мобильных устройств поддерживается сервером сайта, что позволяет выпускать отложенные задания как в режиме онлайн, так и в автономном режиме.

      • Подключите Standard к Site Server, отредактировав файл connection.properties Release Station и изменив параметр server-ip на адрес Site Server.

        ПРИМЕЧАНИЕ

        Порт, используемый в файле connection.properties, является только портом HTTP. Не меняйте его на порт SSL. Порт SSL, настроенный в файле server.properties, используется для связи Release Station.

      • Получите доступ к версии мобильного приложения Site Server, используя адрес Site Server в URL-адресе, например.грамм. http://[сайт-сервер]:9191/мр

      Проверка установки

      На вкладке «Сайты» веб-интерфейса администратора сразу отображается состояние всех серверов сайта. Пока сервер сайта подключен, PaperCut работает в обычном режиме.

      Чтобы убедиться, что ваш сервер сайта обеспечивает устойчивость, вы можете перевести сайт в автономный режим. Вы можете добиться этого, смоделировав сбой сети (отключив вилку) или отключив сайт на вкладке «Сайты».

      1. На вкладке Сайты выберите сайт.

      2. В области Site Connection выберите Disable connection (force offline).

      3. Нажмите «Применить».

      Вы можете подтвердить, что сайт находится в автономном режиме, используя URL-адрес сервера сайта (http://[Site Server]:9191/admin). Печать и копирование должны продолжаться в соответствии с настройками, указанными в разделе установки. Проверка применения политик с помощью транзакций копирования и печати гарантирует, что ваши настройки были применены правильно.

      Чтобы завершить тест, верните сайт в онлайн-режим, выбрав Включить соединение в записи сайта. Убедитесь, что ваши транзакции были загружены на сервер приложений, выполнив поиск в журнале пользователей, устройств, принтеров или заданий.

      СОВЕТ

      Задания, выполненные в автономном режиме, помечаются как таковые в журнале печати. Вы можете увидеть, какие задания находятся в автономном режиме, просмотрев сведения о задании в файле .Кроме того, при создании отчетов журнала заданий теперь можно фильтровать по автономным заданиям, чтобы сообщать только о заданиях, выполненных в автономном режиме в указанный период.

      ВАЖНО

      Обновление версии до сервера приложений приводит к тому, что серверы сайта поддерживают свой локальный сайт в автономном режиме, пока они также не будут обновлены. Обязательно обновите серверы сайта в рамках процедуры обновления.

      Установить службы анализа SQL Server

      • Статья
      • 2 минуты на чтение
      • 4 участника

      Полезна ли эта страница?

      да Нет

      Любая дополнительная обратная связь?

      Отзыв будет отправлен в Microsoft: при нажатии кнопки отправки ваш отзыв будет использован для улучшения продуктов и услуг Microsoft.Политика конфиденциальности.

      Представлять на рассмотрение

      В этой статье

      Применимо к: Службы анализа SQL Server Службы анализа Azure Power BI Премиум

      Службы SQL Server Analysis Services устанавливаются с помощью мастера установки SQL Server.

      Службы SQL Server Analysis Services поддерживают несколько экземпляров, что означает, что вы можете установить более одной копии на один компьютер или одновременно запускать новую и старую версии.Любой экземпляр, который вы устанавливаете, работает в одном из трех режимов, определенных во время установки: многомерный и интеллектуальный анализ данных, табличный или SharePoint. Если вы хотите использовать несколько режимов, вам понадобится отдельный экземпляр для каждого из них.

      После установки сервера в определенном режиме вы можете использовать его для размещения решений, соответствующих этому режиму. Например, сервер табличного режима необходим, если вы хотите получить доступ к данным табличной модели по сети.

      Установить с помощью мастера

      Ниже показано, какие страницы мастера установки SQL Server используются для установки служб Analysis Services.

      1. Выберите Службы Analysis Services в дереве функций в программе установки.

      2. На странице конфигурации служб Analysis Services выберите режим. Табличный режим по умолчанию..

      Табличный режим использует механизм аналитики в памяти VertiPaq (VertiPaq), который является хранилищем по умолчанию для табличных моделей. После развертывания табличных моделей на сервере можно выборочно настроить табличные решения для использования дискового хранилища DirectQuery в качестве альтернативы хранилищу с привязкой к памяти.

      Многомерный режим и режим интеллектуального анализа данных используют MOLAP в качестве хранилища по умолчанию для моделей, развернутых в службах Analysis Services. После развертывания на сервере вы можете настроить решение для использования ROLAP, если вы хотите выполнять запросы непосредственно к реляционной базе данных, а не хранить данные запроса в многомерной базе данных служб Analysis Services.

      Управление памятью и параметры ввода-вывода можно настроить для повышения производительности при использовании режимов хранения, отличных от стандартных. Дополнительные сведения см. в разделе Свойства сервера в службах Analysis Services.

      Настройка командной строки

      Программа установки SQL Server включает параметр ( ASSERVERMODE ), который указывает режим сервера. В следующем примере показана установка из командной строки, которая устанавливает службы Analysis Services в табличном режиме сервера.

        Setup.exe /q /IAcceptSQLServerLicenseTerms /ACTION=install /FEATURES=AS /ASSERVERMODE=TABULAR /INSTANCENAME=ASTabular /INDICATEPROGRESS /ASSVCACCOUNT= /ASSVCPASSWORD= /ASSYSADMINACCOUNTS=
        

      INSTANCENAME должен содержать менее 17 символов.

      Все значения учетных записей-заполнителей должны быть заменены действительными учетными записями и паролями.

      ASSERVERMODE чувствителен к регистру. Все значения должны быть выражены в верхнем регистре. В следующей таблице описаны допустимые значения для ASSERVERMODE .

      Значение Описание
      ТАБЛИЧНЫЙ Это значение по умолчанию. Если вы не установите ASSERVERMODE , сервер будет установлен в табличном режиме.
      МНОГОМЕРНЫЙ Это необязательное значение.
      POWERPIVOT Это необязательное значение. На практике, если вы задаете параметр ROLE , для режима сервера автоматически устанавливается значение 1, что делает ASSERVERMODE необязательным для установки Power Pivot для SharePoint.

      Программа установки SQL Server больше не устанавливает конструкторы моделей или инструменты управления, используемые для разработки решений или администрирования сервера.

    Добавить комментарий

    Ваш адрес email не будет опубликован.

    *