...
Настройка VRRP доступна в разделе Инсталляция системы#Настройка Настройка VRRP.
Обновление ОС и инсталляция необходимого ПО
...
Установка пакета ecss-user, подготавливающего хост к установке пакетов ecss-*:
Блок кода sudo aptitude install ecss-user
Во время установки пакета ecss-user создается пользователь ssw, из под которого запускаются все сервисы ecss*. Создаются необходимые папки, выполняется настройка DNS, идет настройка SSL сертификатов.
Также имеется вопрос про установку сертификатов в систему. Актуален только если был сгенерирован само-подписанный сертификат, то в систему установится
ecss10root.crt(при копировании также пытается скачатьecss10root.crt, либо если при ручной установки был помещён данный файл). Если уже имеются сертификаты, то никаких действий не будет произведено. В конце также проверяется валидность сертификата.Чтобы сгенерировать новый сертификат, необходимо удалить
ecss10.{pem,crt,key}иecss10root.{crt,key}, после чего сделатьdpkg-reconfigure ecss-user.При установке ecss-user будут следующие вопрос:
- Способ конфигурирования сертификатов
- Ручной (manual)
После того, как вы выбрали ручной способ конфигурации сертификатов, на экране появится окно, где будет сказано, что необходимо поместить файлы
ecss10.{pem,crt,key}в /etc/ecss/sll, после чего можно продолжить установку. Либо, дойти до конца установки, где вам напомнят, что необходимо сделать. После чего поместите необходимые файлы в требуемую директорию и начните процесс установки заново (перезапустите установку). Если все действия были выполнены верно — установка завершится и можно будет продолжить установку системы. - Сгенерировать само-подписанный сертификат (generate)
Когда выбран пункт генерации, будут следующие вопросы
- Страна (RU)
- Область (Novosibirsk)
- Город (Novosibirsk)
- Организация (Eltex)
- Структурный узел (IMS)
- Имя сертификата (ecss10)
- Почта (ssw-team@eltex.loc)
- Количество дней жизни сертификата
- Пароль для корневого приватного ключа
- Алгоритм шифрования для ключа
- Сложность ключа
- Сложность для параметров диффи-хелмана
- Дополнительные имена, за которые отвечает сертификат (на примере офиса — это ssw1.eltex.loc, ssw2.eltex.loc, ssw.eltex.loc), перечисленные через пробел (можно wildcard только для одного последнего уровня)
Чем больше сложность ключа — тем дольше установка (dhparam при сложности 8192 на своей машине заняло около часа)
После чего вас уведомлять, что необходимо убрать в безопасное место приватный корневой ключ - Скопировать существующие (copy)
- скопировать по ssh
Вопросы:- Логин (user)
- Адрес удалённой машины (10.10.10.10)
- Порт (22)
- Способ авторизации (password или identity_file)
- Пароль (password)
- Файл с ключом (/home/user/.ssh/id_rsa)
- Путь до папки с сертификатом (/etc/ecss/ssl)
- скопировать по http
Вопросы:- url (https://system.restfs.ecss:9993/certs)
- Логин (если используется авторизация basic)
- Пароль
- скопировать с другого сервера ecss10
Используется API http_terminal- url до http_terminal (https://ssw.eltex.loc:9999)
- логин (admin)
- пароль (password)
- нода с сертификатами (core1@ecss1)
- скопировать по ssh
- Ручной (manual)
- Способ конфигурирования сертификатов
Установить пакет ecss-node, содержащий основные подсистемы:
Блок кода sudo aptitude install ecss-node
Предупреждение Внимание! epmd сервис требует наличие ipv6 адреса на lo интерфейсе. Для отключения (если в этом возникнет реальная потребность) ipv6 на отличных от lo интерфейсов используйте следующие настройки в sysctl:
Блок кода net.ipv6.conf.default.disable_ipv6 = 1 net.ipv6.conf.lo.disable_ipv6 = 0
Блок кода lo Link encap:Local Loopback inet addr:127.0.0.1 Mask:255.0.0.0 inet6 addr: ::1/128 Scope:Host UP LOOPBACK RUNNING MTU:65536 Metric:1 RX packets:128107 errors:0 dropped:0 overruns:0 frame:0 TX packets:128107 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1 RX bytes:20598936 (20.5 MB) TX bytes:20598936 (20.5 MB)Примечание В ходе установи пакета ecss-node выполняется конфигурирование внутренних DNS адресов. При установке, в зависимости от текущей конфигурации системы, может появляться сообщение:
Блок кода See "systemctl status dnsmasq.service" and "journalctl -xe" for details. invoke-rc.d: initscript dnsmasq, action "start" failed. ● dnsmasq.service - dnsmasq - A lightweight DHCP and caching DNS server
Такой вывод в ходе установки является нормальным и не свидетельствует о проблемах.
Для установки отдельных подсистем используйте нужные пакеты:
- ecss-restfs
- ecss-media-server
- ecss-web-conf
- ecss-cc-ui
- ecss-security
ecss-media-resources
- ecss-autoprovision
- ecss-teleconference-ui
- ecss-asr
- Если требуется отключить 80 порт, это можно сделать отредактировав файл /etc/nginx/sites-available/ecss-web-conf убрав соответствующую секцию.
Инсталятор предлагает установить и настроить пакет Text2speech от Yandex. Подробнее можно прочитать в разделе Настройка RestFS или во вкладке ниже.
Раскрыть панель Настройка сервиса tts для работы с Yandex-Speechkit (Text-to-Speech)/Настройка в Yandex Облако
Include A Shared Block shared-block-key Yandex-Speechkit page ecss3146:Настройка RestFS
В ходе установки необходимо будет ответить на ряд вопросов для формирования конфигурационных файлов.
Список вопросов в разрезе пакетов ecss можно посмотреть в разделе Инсталляция системы#ВопросыВопросы, задаваемые при инсталляции пакетов ECSS.
...
Запустить и активировать систему. Для этого выполните установку необходимых пакетов.
Предупреждение Инсталляция системы#Установка Установка пакетов ECSS сначала выполняется полностью на одном из серверов кластера. Выполнить установку необходимых пакетов для всех серверов в кластере.
Примечание Пакет ecss-web-conf достаточно установить на один из серверов. Установить имя кластера. Для этого откройте файл mycelium1.config текстовым редактором:
Без форматирования sudo nano /etc/ecss/ecss-mycelium/mycelium1.config
Если у вас в поле "cluster_name" указано "undefined", то необходимо задать произвольное имя для данного параметра, например:
Без форматирования {cluster_name, my_cluster}Предупреждение Данная операция производится на обоих хостах при установке ECSS-10 с резервированием. Если установка производится без резерва, то данную операцию выполнять не обязательно. Настроить доступ к серверам системы. Для этого необходимо отредактировать файл /etc/dnsmasq.d/ecss-broker.
Пример настройки доступа в соответствии с конфигурацией сети, приведён в разделе Руководство по настройке.
Файл /etc/dnsmasq.d/ecss-broker на ecss1:Без форматирования address=/primary.broker.ecss/192.168.1.1 address=/secondary.broker.ecss/192.168.1.2
Файл /etc/dnsmasq.d/ecss-broker на ecss2:
Без форматирования address=/primary.broker.ecss/192.168.1.1 address=/secondary.broker.ecss/192.168.1.2
Предупреждение В качестве primary.broker.ecss и secondary.broker.ecss нельзя использовать адреса, которые были сконфигурированы в keepalived.conf. Настроить RestFS (подробнее см. раздел Настройка RestFS).
...
| Include A Shared Block | ||||
|---|---|---|---|---|
|
Вывод из обслуживания одного сервера
Если по каким-то причинам требуется вывести из обслуживания первый сервер кластера ecss1, то на втором сервере ecss2 необходимо выполнить следующее:
Открыть файл /etc/hosts:
| Блок кода |
|---|
sudo nano /etc/hosts |
Назначить адрес для хоста ecss1 адрес, соответствующий хосту ecss2:
| Блок кода |
|---|
127.0.0.1 localhost
127.0.1.1 ecss2
192.168.1.2 ecss1
# The following lines are desirable for IPv6 capable hosts
::1 localhost ip6-localhost ip6-loopback
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters |
Также данное действие можно произвести при помощи утилиты ecss-control.
Настройка RestFS описана в разделе Настройка RestFS.
...