Вариант настройки сервисов для рабочей группы

Публикация № 1135962

Администрирование - Системное администрирование

ESXi pfSense nginx.

В публикации описан мой вариант построения сервисов для рабочей группы.

Вводные

1. Выделенный сервер с подключением к интернет

2. Требуется организовать для 5 пользователей (небольшая организация)

2.1 сервер 1С

2.2 файловый сервер

2.3 Web socket сервер (1C сервер взаимодействия)

3. Подключение к сервисам должно быть защищенным, контролируемым, логируемым

3.1 Подключение будет как из локальной сети, так и из интернет

3.2 Подключение к базам 1С будет по протоколу HTTPS, используется только тонкий клиент

3.3 Подключение для редактирования конфигурации только одним пользователем по RDP.

4. Чтобы присутствовала возможность ограничивать/распределять нагрузку по сервисам.

5. Было лицензионно "чистым" и относительно дешевым

6. Чтобы базовые вещи мог сделать "не сильно продвинутый" админ или "продвинутый" пользователь.

 

Описание общее, если нужно уточнить информацию (примеры конфигураций, скриншоты), то пишите в комментарии, по возможность дополню статью.

 

Общая схема

 

Виртуализация

Смешивать все сервисы в одной ОС возможно, но на мой взгляд не нужно. Для разделения использую виртуализацию в частности ESXi, в ограничения лицензии по железу ПК выделенный под сервер как правило вписывается. Лицензия на ESXi бесплатна, но обновления на него нужно устанавливать вручную (после установки из основного дистрибутива), в гугле ищется по "установить обновления esxi".

"Почему не HyperV или KVM?", проще устанавливается, есть достаточно удобный web интерфейс из коробки, удобно управлять виртуальными сетями.

 

Организация сети

Исхожу что в сервере есть минимум один физический интерфейс и он подключен в internet, возможно есть второй с подключением к LAN.

На уровне гипервизора организую виртуальную подсети

1. для серверов

2. с подключением к интернет

3. с подключением к LAN

Между собой сети связываю через роутер с firewall. Из сети интернет в "для серверов" проброс портов делаю только для сервисов с белыми IP, например виртуальные АТС (Манго, МТС и подобное). Для организации использую pfSense https://www.pfsense.org/. Из преимуществ web интерфейс, удобство работы с VPN.

Использую DNS имена для обращения к сервисам, обычно у компании есть сайт, соответственно публичное доменное имя. Локальная сеть выходит в интернет через роутер и пользуется локальным DNS сервером, для внешних пользователей DNS "пробрасывается" с помощью настроек VPN и для адресов компании пользуется локальным сервером.

Для подключения пользователей использую OpenVPN по протоколу UDP с PKI, если "по простому", то при обращении к серверу без ключа доступа на запрос ответа не будет, это препятствует сканированию и анализу открытых портов.

Сертификаты доступа для пользователей генерируются при создании пользователей в pfSense, конфигурационный файл для клиента формируется с помощью доп пакета OpenVPN Client Export Package. При компроментации сертификат можно отозвать что не позволит с ним подключится к системе. Пользователи имеют доступ только до сервера, друг друга не видят (настройка по умолчанию). На клиент можно передать DNS подсеть и нужные маршруты до сереверов в зоне VNet_srv. Преимущество перед PPtP VPN, то что не маршрутизирует весь поток через сервер VPN, только сети указанные в настройках.

 

Файловый сервер

Использую Open-E DSS V7 SOHO https://www.open-e.pro/open-e-sravnenie-joviandss-dss-v7-i-dss-soho/, лицензия бесплатна с ограниченим до 4ТБ. Web админ панель. Из важных для меня плюсов, одну и туже папку можно опубликовать по SMB, FTP, NFS. На нем размещаю общую папку и папку для томов хранения прикрепленных файлов из 1С. Т.к. 1С не умеет использовать для сетевых папок авторизацию, то папка просто срывается.

Резервное копирование файлов реализовано через rclone, статья по настройке //infostart.ru/public/1183106/, скрипт запускается на сервере 1С.

 

Сервер 1С

Организовываю на Windows 10 и MSSQL Express. Серверный вариант windows относительно дорог и относительно win10 и в данном контексте преимуществ не имеет. У MSSQL Express основное ограничение на размер БД в 10ГБ, при адекватной записи/размещении данных и периодической подрезке этого хватает.

Разворачивать на Linux смысла особого нет, потому что диагностировать ошибку/восстановить работоспособность сложнее чем на win, разница в стоимости по лицензиям 10 тыс. руб. при проблемах бизнесу дороже выйдет.

 

Публикация баз 1C по HTTP

В качестве локального web сервера использую apache 2.4 no ssl, рабочие msi сборки (которые видит конфигуратор) беру с https://www.anindya.com/.

Для организации доступа по HTTPS создаю отдельную виртуальную машину с ubuntu + nginx. SSL ключи использую LetsEncrypt, инструкция по получению https://www.digitalocean.com/community/tutorials/nginx-let-s-encrypt-ubuntu-18-04-ru. С помощью nginx получается гибко распределять HTTP запросы фильтруя по доменному имени, директории, источникам запросов. Пример: для одной базы опубликован HTTP сервис с авторизацией в конфиг файле и для этой же базы нужно опубликовать тонкий клиент. Решается c помощью фильтрации по IP

location / {
    deny  192.168.0.15;
    allow 192.168.0.0/24;
    allow 2001:0ab3::/32;
    deny  all;
}

и перенаправлением на нужный URL

location / {
    proxy_pass http://192.168.13.31;
    proxy_set_header Host $host;
    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    proxy_set_header X-Real-IP $remote_addr;
    }

 

Резервное копирование баз 1С

Резервное копирование делаю в .dt, пользователям проще самим восстанавливать при необходимости. Для решения есть скрипты по powershell, пришел к тому что проще пользоваться GUI, при возможности использую EffectSaver(https://efsaver.ru/) лицензия стоит 2,5 тыс. руб. Бекап в локальную папку, дальше шифрование и отправка с помощью rclone.

 

Обслуживание баз

В MSSQL Express встроенный инструментарий регламентного обслуживания отключен. Можно использовать скрипты. При возможности использую QMB (http://qmbsql.ru/) для express бесплатен, одного плана обслуживания хватает. при желании с помощью него можно организовать бекам средствами SQL.

 

Итог

На основе набора приложений можно построить гибкую стабильную и безопасную систему для рабочей группы.

Стоимость лицензий без учета 1С 15 тыс. руб., что для малого бизнеса подъемная сумма.

 

Благодарю за внимание.

Специальные предложения

Оставьте свое сообщение

См. также

Борьба с перебором/брутом паролей по RDP (Cyberarms Intrusion Detection)

Удаленное управление 1cv8.cf Россия Бесплатно (free)

Одна из проблем Windows Server'ов с доступом по RDP их легкое обнаружение в сети интернет и постоянные атаки по бруту/перебору паролей роботами и прочими умельцами желающими попасть на ваш сервер и заработать на вас легких денег, либо просто добавить головной боли в виде шифровальщика, кодированных архивов, удаление информации, форматировании дисков и другие неприятные вещи. Чтобы этого избежать и снизить переборы до минимума, есть программный продукт бесплатный и простой в настройке и управлении, который будет еще одним надежным замком от вредителей.

10.09.2020    1710    ClickUp    17    

Разрешение экрана удаленного рабочего стола на windows server при подключении по протоколу RDP

Удаленное управление ИТ-компания Россия Бесплатно (free)

Способ управления разрешением экрана удаленного рабочего стола.

29.08.2020    4412    Alex10166    7    

Смена паролей всем локальным пользователям Windows с помощью OneScript

Windows OneScript Пароли Бесплатно (free)

Скрипт, который меняет пароли всем локальным пользователям Windows и сохраняет их в файле. Есть функция генерации пароля, можно задать длину пароля.

18.08.2020    422    info1i    7    

Инструкция по установке redmine, gogs на Ubuntu 18.04

Системное администрирование Бесплатно (free)

В статье опишу порядок настройки сервисов для групповой работы.

06.07.2020    1067    malikov_pro    0    

Организация удаленного доступа пользователей к серверу организации используя pfSense

Удаленное управление Бесплатно (free)

В статье по шагам опишу установку и настройку pfSense на арендованную виртуальную машину, организации OpenVPN для пользователей и подключению к серверу.

01.07.2020    1375    malikov_pro    1    

Мониторинг факта выполнения обмена с помощью сервиса healthchecks.io

Интеграция Системное администрирование v8 1cv8.cf Россия Бесплатно (free)

В статье опишу вариант простого мониторинга обработчиков, запускаемых по расписанию.

30.06.2020    1624    malikov_pro    5    

Изучаем Linux. Настройка Ubuntu Server 18.04 для работы PostgreSQL

Linux Бесплатно (free)

После того, как в прошлой публикации меня закидали помидорами за использование Windows+PostgreSQL, решил установить Ubuntu Server 18.04 на тестовую машину и пощупать загадочный для меня мир Линукса. В процессе изучения решил написать все нюансы, что насобирал, для следующих целей: 1) Шпаргалка для себя, чтобы, когда понадобится, опять не собирать информацию по разным источникам. 2) Получить новую порцию помидоров и осознать, что сделал неверно, дабы не переносить это на боевой сервер, если соберусь.

16.06.2020    4233    D_astana    17    

Линукс как основной многофункциональный сервер небольшой компании. Наш опыт

Администрирование СУБД Linux Бесплатно (free)

Однажды, в порыве повышения лицензионности используемого софта, мы решили поставить на наш старенький сервер опен сорс линукс. Был совсем небольшой опыт работы на локальных машинах под линуксом (успешный). Продвинутого опыта работы с линуксом не было. Но в сети довольно много позитивного опыта развертки такой архитектуры, и мы решились. Данная статья точно НЕ является мануалом по установке линукс, но уверен, будет неплохим дополнением.

08.06.2020    3660    ogroup    22    

Готовый сервер 1С с Linux Centos 7 и PostgreSQL 10 на борту

Linux 1С:Франчайзи, автоматизация бизнеса Россия Бесплатно (free)

Сейчас все больше и больше возникает вопросов по развертке и настройке 1С на базе Linux и PostgreSQL, так как работать в файловой базе уже почти нереально из-за сложности типовых конфигураций и развитости платформы, а покупать платное ПО довольно дорого, особенно для небольших организаций.

03.04.2020    2672    aleksxx    19    

Ansible роли для 1С

Системное администрирование v8 Бесплатно (free)

Готовые роли для развертывания 1С через Ansible.

24.03.2020    2073    lopatrik    0    

Разворачиваем узлы CI через Vagrant, строим сеть из виртуальных машин. Цикл "Многопоточный CI для 1С c Packer, Vagrant и Jenkins", часть 3

DevOps CI/CD Linux Бесплатно (free)

Разворачиваем инфраструктуру для CI из образов виртуальных машин.

04.03.2020    4442    Vladimir Litvinenko    14    

Собираем образ виртуальной машины с PostgreSQL и платформой 1С. Цикл "Многопоточный CI для 1С c Packer, Vagrant и Jenkins", часть 2

DevOps CI/CD Linux Бесплатно (free)

Автоматизируем установку и конфигурирование Linux, PostgreSQL, 1C, Apache, Java с возможностью выбора версий дистрибутивов. Упаковываем результат в образ виртуальной машины.

28.02.2020    7742    Vladimir Litvinenko    11    

Рабочее место программиста на Linux. Серия лабораторных работ. Работа 1

Linux v8 Бесплатно (free)

В этой лабораторной работе мы сконфигурируем рабочее место программиста на платформе 1С:Предприятие 8. Воспользуемся подсистемой WSL и установим Linux в ОС Windows. Сервер 1С:Предприятие и сервер базы данных установим в Linux. Остальные компоненты установим в Windows.

17.02.2020    8519    infosoft-v    40    

Настройка SoftEther VPN Client на Linux Debian/Ubuntu/Mint (связка Linux-Windows)

Администрирование СУБД Windows Linux Россия Бесплатно (free)

На сервере установлен и настроен VPN через программное обеспечение SoftEter VPN Server, настроены клиенты с доступом по сертификату, встала задача настроить доступ клиента из Linux и подключиться по RDP (VNC) в Windows к серверу VPN.

04.02.2020    3916    ClickUp    5    

Организация резервного копирования файлов с использованием rclone

Архивирование (backup) Россия Бесплатно (free)

Описание использования достаточно универсальной утилиты по синхронизации файлов.

21.01.2020    3734    malikov_pro    0    

Собственный виртуальный сервер для 1С на Linux Ubuntu

Администрирование данных 1С Linux v8 Бесплатно (free)

Статья для тех, кто хочет научиться разворачивать 1С на linux, и для тех, кто хочет получить недорогой виртуальный сервер для собственных нужд.

24.05.2015    18633    spezc    44    

Публикация базы 1С на веб-сервере Apache на сервере Linux

Администрирование данных 1С WEB Apache Linux v8 1cv8.cf Бесплатно (free)

В отличие от других подобных публикаций здесь будет описано как опубликовать базу (располагающуюся на сервере windows) на веб-сервере apache (расположенном на соседнем сервере под linux).

20.09.2014    146574    spezc    72