Author Topic: Zentyal разделить сервисы на разные сервера.  (Read 183 times)

tunsa

  • Zen Samurai
  • ****
  • Posts: 325
  • Karma: +12/-1
    • View Profile
Всем доброго дня!
Что-то совсем тихо стало в нашей ветке форума.
Нужен совет, хочу разделить сервисы на Zentyal имеет ли смысл?  Имеется dhcp, proxy, firewall, dns, vpn, контроллер домена, почта. Пользователей 120, почтовых ящиков 80 (есть 30 пользователей у которых почта достигает объема 20гб в год). В ближайший год-два думаю прибавиться пользователей 30-40.
Думаю будет правильно установить два Zentyal в основном офисе. На Zentyal-1  оставить контроллер домена и почту. Zentyal-2  установить dhcp, proxy, firewall, dns, vpn. Так же планируется установить третий сервер Zentyal-3  в удаленном офисе подключить его  slave к Zentyal-1 (между собой будут соединены openvpn). Планирую используя Zentyal-1 как контроллер домена у Zentyal-3 и Zentyal-2. Прошу дать совет, как лучше организовать это все дело или все-таки не делить сервисы. А как у вас организовано?

luha

  • Zen Samurai
  • ****
  • Posts: 445
  • Karma: +34/-1
    • View Profile
Привет!
Лучше делить. Логично контроллер с почтой DHCP и DNS сделать отдельной машиной, а роутер с прокси и VPN отдельной. Это совершенно разные задачи и разные нагрузки которые мешают друг-другу. Если есть нужда в файловом хранилище то я бы тоже отделил. Цель - улучшение стабильности, лучшая отказоустойчивость и более простой сервис.

Пример. Почта и внутренняя сеть настроены на отдельном сервере, роутер отдельно. Актуализируем настройки роутера, в процессе применения изменений сервер может запнуться, бывает даже на минуту с потерей интернета... внутренняя сеть при этом не страдает никак. Если актуализируется домен или надо обработать почту то опять же нагрузка сервера не сказывается на работе роутера, который и так загружен VPN-ами на четырёх гигабитных каналах.

tunsa

  • Zen Samurai
  • ****
  • Posts: 325
  • Karma: +12/-1
    • View Profile
Спасибо за ответ luha, хоть кто-то есть живой.

У меня сейчас один Zentyal все сервисы на нем, 3 сетевые карты

eth0 - локальная сеть (dhcp) (internal)
eth1 - интернет ( белый ip прописана prt для адреса, ходит почта через него) (external)
eth2 - видеонаблюдение. (internal)

Просто не понимаю, вот ты пишешь роутер на отдельный Zentyal, как тогда с почтой, проброс портов? Тогда в какой из серверов ставить сетевую карту которая смотрит в инет? Можно поподробнее пожалуйста.

Еще такой момент  у меня сейчас 50 пользователей сидят на Windows, есть ли смылс делать контроллер домена, думаю наверно уже пора.
 

luha

  • Zen Samurai
  • ****
  • Posts: 445
  • Karma: +34/-1
    • View Profile
Нет никаких проблем с пробросом портов. На роутере указываешь с какой сетевой карты с какого внешнего IP какие порты куда должны пойти и всё. Я настроил как из вне с двух внешних каналов так и с внутренних сетей (у нас несколько) кто через какой IP и какой канал должен выходить в мир. У нас две входящие линии, каждая со своим пулом адресов, каждая на своей сетевой. Также несколько сетевых смотрят внутрь и у них свои подсети для нескольких независимых фирм.

Зато у каждой фирмы можно настроить их отдельный зенчал с почтой, доменом и зонами DNS. А как это прикажешь реализовывать на одной машине, которая сразу и роутер в придачу?

Сейчас занимаюсь проектированием новой структуры этой сети с поддержкой ip6. Скорее всего роутер на зенчале придётся ликвидировать т.к. он не отвечает необходимым требованиям. И опять же - внутренняя структура не страдает, почта, домены, DNS... каждый на отдельном сервере. Удобно. Потом возьмусь за модернизацию почты и по одному буду заменять или актуализировать.

tunsa

  • Zen Samurai
  • ****
  • Posts: 325
  • Karma: +12/-1
    • View Profile
Нет никаких проблем с пробросом портов. На роутере указываешь с какой сетевой карты с какого внешнего IP какие порты куда должны пойти и всё. Я настроил как из вне с двух внешних каналов так и с внутренних сетей (у нас несколько) кто через какой IP и какой канал должен выходить в мир. У нас две входящие линии, каждая со своим пулом адресов, каждая на своей сетевой. Также несколько сетевых смотрят внутрь и у них свои подсети для нескольких независимых фирм.

Зато у каждой фирмы можно настроить их отдельный зенчал с почтой, доменом и зонами DNS. А как это прикажешь реализовывать на одной машине, которая сразу и роутер в придачу?

Сейчас занимаюсь проектированием новой структуры этой сети с поддержкой ip6. Скорее всего роутер на зенчале придётся ликвидировать т.к. он не отвечает необходимым требованиям. И опять же - внутренняя структура не страдает, почта, домены, DNS... каждый на отдельном сервере. Удобно. Потом возьмусь за модернизацию почты и по одному буду заменять или актуализировать.

А AD пользуешься? сколько у тебя вообще пользователей? vlan есть? А два внешних канала, провайдер один? скорость инетовская делиться между несколькими внешними ip? Надеюсь понятно задаю вопрос.
И еще сервисы, разделены  на виртуалках крутиться или прямо на железе? И backup штатным методом zentyal делайте?
« Last Edit: April 29, 2020, 12:34:45 pm by tunsa »

luha

  • Zen Samurai
  • ****
  • Posts: 445
  • Karma: +34/-1
    • View Profile
Так я же написал - несколько фирм и у каждой свой домен. Это же и есть AD. А у зенчала правило - один сервер, один AD (домен).

Если про почтовые домены и странички, то их множество и каждый сервер как почтовик обслуживает много доменных зон. Странички обслуживаются на веб-серверах, там всё очень сложно, не буду описывать т.к. к теме не относится.

Внешние провайдеры разные. Сделано с целью увеличения надёжности. Тоесть специально подводили две независимые линии оптики, от совершенно разных сетей и провайдеров. Оптика приходит на две разные коробки с двумя разными электрическими линиями с двух разных электростанций даже, но на один роутер в разные сетевые карты. И это, кстати, ещё одна причина почему роутер на зенчале будет ликвидирован. Нет механизма создания кластера. На том же pfSense можно поставить два роутера и они будут синхронизироваться. Но с роутером как раз не было никогда проблем и вообще - зенчал за всё время показал себя как очень хорошая платформа. Подумывали когда-то пересесть на коммерческую версию, однако чёт там не сложилось.

Балансировку пробовал делать, но у зенчала она очень плохо реализована, на практике не применима. Сейчас жёстко прописано что почтовик выходит каждый через свой канал и IP, сервера через свои IP, пользователи через специально выделенный для них IP (чтобы вдруг не засрали почтовые IP если кто вирус подхватит) и т.д. Исторически потихоньку шлифовалось по мере необходимости и развития.

Есть у нас vlan-ы и свои станции телефонные. Собственно для них и нужны эти vlan-ы. Это вообще никаким боком к роутеру не имеет отношение и настраивалось на внутренних DNS-ах. Для роутера чтобы запретить из сети в сеть ходить или наоборот разрешить vlan-ы не нужны. Тоже самое и на смарт-свичах - там чтобы определить какие порты куда смотрять и что там ходит vlan-ы зачем строить?!

Всё крутится на железных серверах по причине высокой нагруженности. Причём часто приходится для одной задачи ставить несколько серверов. Всё зависит от нагрузки.

tunsa

  • Zen Samurai
  • ****
  • Posts: 325
  • Karma: +12/-1
    • View Profile
все понятно, а backup как делаются? Еще вопрос, а если на одном Zentyal настроить контроллер домена, могу ли я второй zentyal к нему подключить и на втором zentyal указать, что контроллер домена это первый zentyal ? Правильно это называется master и slave?
« Last Edit: April 29, 2020, 01:51:15 pm by tunsa »

luha

  • Zen Samurai
  • ****
  • Posts: 445
  • Karma: +34/-1
    • View Profile
Backup у зенчала вроде как есть свой, но я когда только начинал с ним разбираться тестировал и выяснил что он неработоспособный. Поэтому резервную копию делаю через rsync по старинке.

Для одного контроллера домена естественно можно использовать несколько серверов, если надо - один мастер и остальные слейвы. Всё как и с МS серверами. Я эту функцию в частности использовал для того чтобы перекинуть конфигурацию и заменить старый контроллер. Сначала подключил к нему слейвом зенчал, среплицировал всё что было можно и потом переназначил роли, а старый выключил. Короче можно, если нужно, но сам не использую. Дело в том что в зенчале АД это один из модулей, а есть и другие, которые с этим АД через грабли подключены и в итоге имеем то что развернуть на слейве только почту или что-то ещё не получится без того чтобы гарадить тоже самое и на мастере. Дичайшая недоработка.

Модули это беда... ой беда... то они есть, то их убирают, то одним образом реализовано, то другим... а потом из-за них настройки невозможно перенести, актуализировать тоже нельзя. Подружить разные версии не всегда получается. И ещё неизбежно приходится всё допиливать самому, но это у никсов в порядке вещей.

Лучше всего не городить мастер-слейвы, а ставить независимые сервера. Почту и АД лучше всего объединять на одном сервере, а остальное можно выносить, в частности роутер и при этом к АД совершенно не обязательно подрубать. Ну и не плохо бы было учесть что время идёт, прогресс на месте не стоит. АД в классической реализации по факту это морально устаревшая технология. Майкрософт запустили азура-облако и вся эта ваша АД теперь там, десятая винда... сервисы с подпиской... всё такое.

tunsa

  • Zen Samurai
  • ****
  • Posts: 325
  • Karma: +12/-1
    • View Profile
Спасибо luha за информацию, скажи пожалуйста если я на роутере разверну proxy, чтобы пользователей не перебивать руками, можно как-то подключить не slave, а как-то по LDAP пользователей залить?

luha

  • Zen Samurai
  • ****
  • Posts: 445
  • Karma: +34/-1
    • View Profile
LDAP с того что знаю (и как понимаю эту технологию сам для себя), придуман для централизованного доступа и хранения учёток. Это значит что разные программки, сервисы и компьютеры шлют запросы на общий узел. Ну... тоесть не заливают себе копию всей таблички, а просто сверяются по протоколу. Можешь настраивать прокси на отдельном внешнем сервере, единственное надо саму прокси настроить на работу с LDAP. Даже на выбор имеешь любой прокси сервис какой захочешь. Не надо для этого настраивать слэйв.

В рамках одной машины зенчал с прокси и АД на борту точно также реализовано, разве что настройки автоматически делаются скриптами.

tunsa

  • Zen Samurai
  • ****
  • Posts: 325
  • Karma: +12/-1
    • View Profile
А может вообще в качестве шлюза и роутера mikrotik использовать и не городить с zentyal?

luha

  • Zen Samurai
  • ****
  • Posts: 445
  • Karma: +34/-1
    • View Profile
Можно конечно. Зависит от величины фирмы.