Каков порядок установки и системные требования среды электронного обучения 3KL (Русский Moodle) на сервер клиента?
1. Системные требования
1.1. Минимальные системные требования
1.2. Рекомендации по выделению системных ресурсов
1.3. Размещение Технической площадки СЭО 3КL
1.3.1. Собственный физический сервер на территории организации Заказчика
1.3.2. Собственный физический сервер в дата-центре провайдера (Colocation)
1.3.3. Арендованный физический сервер в дата-центре провайдера (Dedicated)
1.3.4. Арендованный виртуальный сервер в дата-центре провайдера (VDS/VPS)
1.4. Требования по подготовке Технической площадки к установке СЭО 3KL
2. Общий алгоритм развертывания и жизненный цикл СЭО 3KL на сервере Заказчика
2.1. Активация ключа и получение доступа к личному кабинету
2.2. Подготовка к установке СЭО 3KL
2.3. Установка СЭО 3KL
2.4. Ознакомление с маршрутом внедрения и первичная настройка СЭО 3KL
2.5. Получение вводного инструктажа
2.6. Получение консультаций и обслуживание СЭО 3KL
2.7. Обновление СЭО 3KL
2.8. Перенос СЭО 3KL на другой сервер
2.9. Смена представителя клиента (диспетчера-администратора)
2.10. Прекращение гарантийного обслуживания СЭО 3KL
2.11. Вывод СЭО 3KL из эксплуатации
3. Порядок установки и передачи системы на поддержку
3.1. Решения, которые Заказчику необходимо принять перед установкой
3.1.1. Выбор представителя Заказчика (диспетчера-администратора)
3.1.2. Вид установки
3.1.3. Тип установки
3.1.4. Определение внешнего ip-адреса сервера
3.1.5. Схема разбивки жесткого диска сервера
3.1.6. Выбор/приобретение доменного имени (опционально)
3.1.7. Выбор сертификатов и протокола доступа к вашей СЭО 3KL
3.1.8. Способ доставки уведомлений для СЭО 3KL по электронной почте
3.1.9. Выбор способов и режимов резервного копирования СЭО 3KL
3.2. Реквизиты и права доступа, необходимые для установки
4. Рекомендации по обеспечению стабильного и безопасного функционирования
4.1. Разбивка диска
4.1.1. Общая информация об организации и распределении дискового пространства СЭО 3КL
4.1.2. Рекомендуемые схемы разбивки диска
4.2. Резервное копирование
4.3. Канал связи и доступ к Internet
4.4. Требования к серверному помещению и климатическому режиму
4.5. Требования к физической и электробезопасности
5. Гарантийная техническая поддержка
5.1. Объем гарантийной технической поддержки
5.2. Разграничение прав доступа и обязанностей по обслуживанию системы
5.3. Возможные причины ограничения гарантийной технической поддержки
6. Дополнительная информация для технических специалистов Заказчика
6.1. Используемая СУБД
6.2. Сервер отправки электронной почты
6.3. Moodle и СЭО 3KL
6.4. Версии Moodle и СЭО 3KL
6.5. Протокол HTTPS и SSL-сертификаты
6.6. Обмен данными и внутренние интеграции
6.7. Интеграции с внешним ПО и сервисами
6.8. Настройка внешнего вида
6.9. Гарантийная техническая поддержка и права доступа
1. Системные требования
Среда электронного обучения 3KL (далее — СЭО 3КL, система)является веб-приложением — сама система устанавливается на сервере (далее — Площадка, Техническая площадка), а пользователи взаимодействуют с ней посредством веб-браузера. Для этого Площадка должна быть доступна пользователям по протоколам http (порт 80) и https (порт 443).
Для корректного функционирования, в том числе работы интеграций, отправки почты и т. п., системе требуется неограниченный исходящий доступ в сеть Интернет. Также, доступ в Интернет необходим на этапах установки и обслуживания системы для скачивания пакетов вспомогательного ПО и их обновления.
1) Система должна быть установлена на отдельной Площадке (рекомендуется использовать виртуальную машину, чтобы инженеры Заказчика сохранили возможность технического обслуживания серверного оборудования).
2) В период гарантийной технической поддержки на данной Площадке не должно быть установлено никакого стороннего ПО (сайтов) не находящихся на обслуживании у Исполнителя. Никакие иные специалисты, кроме инженеров Исполнителя не должны иметь доступ к Площадке. Нарушение этих требований приведет к снятию системы с аттестации, прекращению администрирования со стороны Исполнителя и перевод в режим ограниченной гарантийной техподдержки, аналогично «срыву заводской пломбы» на устройстве.
3) Система должна быть доступна Исполнителю по протоколу SSH (22 порт) с полномочиями root. По запросу, может быть предоставлен список ip-адресов для ограничения доступа. Доступ по протоколу VPN возможен только в рамках лицензии версии «Кросс».
Детальные требования изложены в разделах «Порядок установки и передачи системы на поддержку» и «Гарантийная техническая поддержка» актуальной версии Регламента предоставления сервисов.
1.1. Минимальные системные требования
Ресурс | Минимальное рекомендованное значение |
Центральный процессор сервера | не ниже Intel Core i3, 4 ядра |
Объем оперативной памяти сервера | 8 ГБ |
Объем накопителя (постоянной дисковой памяти) для СЭО 3КL | 50 ГБ |
Канал связи для подключения к Internet | с пропускной способностью не менее 10Мбит/с |
1.2. Рекомендации по выделению системных ресурсов
Оценить примерный объем системных ресурсов, необходимых для корректной работы среды электронного обучения, можно по следующим эмпирическим формулам:
Ресурс | Формула |
Оперативная память сервера, ГБ | 2 + (количество конкурентных пользователей / 25) |
Количество ядер центрального процессора сервера, шт. | 2 + (количество конкурентных пользователей / 50) |
Объем накопителя (постоянной дисковой памяти) для СЭО 3КL, ГБ | 30 + 3,9*(объем учебных материалов) |
1.3. Размещение Технической площадки СЭО 3KL
Можно выделить следующие варианты размещения сервера для установки СЭО 3KL:
- собственный физический сервер на территории организации Заказчика;
- собственный физический сервер в дата-центре провайдера;
- арендованный физический сервер в дата-центре провайдера;
- арендованный виртуальный сервер в дата-центре провайдера.
1.3.1. Собственный физический сервер на территории организации Заказчика
Для него требуется отдельное помещение (серверная), единовременные капиталовложения (достаточно большие) в закупку и монтаж оборудования, текущие расходы на обслуживание и замену комплектующих, настройку и поддержание работы сети, а также посменное дежурство системных администраторов. В часы работы пользователей с СЭО 3KL системный администратор должен находиться на рабочем месте и в случае возникновения технических проблем и неисправностей - уметь оперативно восстановить работоспособность системы. Если предполагается работа с системой в выходные дни и нерабочие часы, а системные администраторы выполняют свои должностные обязанности исключительно в рабочее время, то данный вариант размещения сервера не подойдет.
«...оборудование, на котором размещена Техническая площадка, должно быть предназначено для непрерывной бесперебойной работы, оснащено надежными и зарезервированными источниками питания и системой охлаждения. Запрещается выключение системы путем отключения питания, без корректного завершения всех приложений и сервисов, сохранения данных, синхронизации дисков и корректного завершения работы операционной системы. В случае прекращения подачи питания, система должна корректно завершать свою работу по сигналу от источника бесперебойного питания, ресурса которого должно быть достаточно для данной процедуры. Рекомендуется организовать круглосуточное дежурство
квалифицированных специалистов, отвечающих за бесперебойное функционирование оборудования. Помещение, в котором размещено оборудование, должно поддерживать специальный климатический режим, отвечать требованиям физической, информационной, пожарной и электробезопасности».
1.3.2. Собственный физический сервер в дата-центре провайдера (Colocation)
Аренда места в дата-центре хостинг-провайдера для размещения сервера может стать более рациональным решением, чем содержание собственной серверной комнаты с обеспечением всех необходимых технических условий. Например, если серверного оборудования очень мало (одна-две физические машины), целесообразно воспользоваться для его размещения готовой инфраструктурой дата-центра. Аренда по тарифам провайдера как правило обходится дешевле, чем содержание собственной серверной, при этом отсутствует необходимость самостоятельно обеспечивать бесперебойное питание и нести круглосуточное дежурство. С другой стороны, арендатору все равно предстоят капиталовложения в закупку и транспортировку оборудования и текущие расходы на ремонт и замену комплектующих. Также важно учитывать, что не все дата-центры предоставляют доступ к оборудованию в режиме 24/7.
1.3.3. Арендованный физический сервер в дата-центре провайдера (Dedicated)
При определенных обстоятельствах аренда готового работающего серверного оборудования с удаленным доступом становится выгоднее, чем аренда места для размещения собственного сервера. Например, если сервер требуется на ограниченный срок, или если по индивидуальной схеме финансирования относительно небольшие периодические расходы на аренду более предпочтительны, чем единовременные крупные капиталовложения в машины и оборудование. Собственный системный администратор освобождается от обязанностей по ремонту, закупке и замене комплектующих, либо его может не быть совсем — обслуживание оборудования осуществляет провайдер-собственник.
1.3.4. Арендованный виртуальный сервер в дата-центре провайдера (VDS/VPS)
Это сервер, созданный с помощью технологий виртуализации и средств операционной системы, которые разделяют ресурсы физического сервера на изолированные виртуальные машины, при этом каждая становится полноценной операционной системой с собственной памятью, процессами, пользователями. Виртуальные серверы VDS/VPS дают такие же возможности, как и физический сервер, обеспечивая гибкость в настройке операционной системы. В подавляющем большинстве случаев виртуальный сервер - оптимальный вариант для установки СЭО 3KL. Предоставляется готовая инфраструктура, отсутствует физический износ и необходимость следить за аппаратными ресурсами и обновлениями серверного окружения. Можно менять настройки, работать с файлами системы, устанавливать и настраивать любое программное обеспечение (версию PHP, сервер баз данных и т. д.). Провайдер обеспечивает выполнение всех работ, требующих физического присутствия рядом с сервером, а арендатору остается только удаленное системное администрирование операционной системы и СЭО 3KL.
Если оценивать стоимость текущих расходов на аренду, виртуальный сервер — наименее затратный вариант.
1.4. Требования по подготовке Технической площадки к установке СЭО 3KL
В разделе перечислены основные требования к Площадке, соблюдение которых необходимо для установки СЭО 3КL силами гарантийной технической поддержки:
- Виртуальная машина на базе операционной системы Ubuntu Server 20.04.
- Статичный «белый» ip-адрес доступный из сети Интернет без ограничений и вмешательства в трафик внешнего ПО для обработки пользовательских запросов (80 и 443 порты).
- Неограниченный исходящий доступ к сети Интернет для скачивания обновлений, отправки почты и работы интеграций.
- Возможность доступа к виртуальной машине по протоколу ssh (22 порт) с полномочиями администратора (root) для службы технической поддержки.
- Доменное имя (опционально).
- Доступ к smtp-серверу для более надежной отправки уведомлений и оповещений для слушателей и преподавателей в СЭО 3KL (опционально).
2. Общий алгоритм развертывания и жизненный цикл СЭО 3KL на сервере Заказчика
2.1. Активация ключа и получение доступа к личному кабинету
1) После приобретения системы, на адрес электронной почты, указанный в спецификации к договору, будет выслан код активации. Данный код активации необходимо передать представителю вашей организации (диспетчеру-администратору).
2) Диспетчер-администратор выполняет активацию ключа по инструкции в сопроводительном письме с ключом.
3) В случае успешной активации, на вашу электронную почту придет письмо с инструкциями по входу в личный кабинет, а на номер мобильного телефона — пароль.
4) Менеджер по работе с клиентами ООО «Открытые технологии» свяжется с вами и проведет телефонный инструктаж по работе с личным кабинетом.
2.2. Подготовка к установке СЭО 3KL
1) Внимательно изучите материалы, изложенные в разделах «Размещение Технической площадки СЭО 3KL», «Решения, которые Заказчику необходимо принять перед установкой» и «Реквизиты и права доступа, необходимые для установки», определитесь с необходимыми для вас параметрами и настройками.
2) Произведите первоначальную установку операционной системы на Техническую площадку с учетом требований раздела «Размещение Технической площадки СЭО 3KL» и следующих рекомендаций:
- Для лучшего разграничения зон ответственности рекомендуется выделять для Технической площадки виртуальный выделенный сервер. В этом случае разграничение зон ответственности Исполнителя и Заказчика будет проходить по границам этого виртуального выделенного сервера.
- На момент передачи Площадки Исполнителю, операционная система должна быть установлена в минимальном варианте, без любого дополнительного программного обеспечения, контента и учетных записей, кроме минимального набора автоматически установленных самой операционной системой пакетов программного обеспечения, необходимых и достаточных для удаленного подключения по протоколу ssh.
- Консультации со стороны Исполнителя по порядку предварительной установки осуществляются по запросу представителя Заказчика.
- Если Площадка предоставляется без предустановленной операционной системы Ubuntu Server 20.04 TLS 64 bit, Исполнитель сам выполняет установку операционной системы, для чего требуется содействие Заказчика, в виде предоставления временного удаленного доступа к графическому терминалу (KVM-IP по протоколу VNC или RDP) или загрузки с флеш-накопителя с подключением доступа по ssh специалисту Исполнителя.
3) Убедитесь, что Техническая площадка доступна из сети Internet по протоколу ssh.
4) Установите на площадку ssh-ключ, как указано в разделе «Реквизиты и права доступа, необходимые для установки».
5) Подготовьте к передаче Исполнителю все необходимые данные, перечисленные в разделах «Решения, которые необходимо принять перед установкой» и «Реквизиты и права доступа, необходимые для установки».
2.3. Установка СЭО 3KL
1) Войдите в личный кабинет на сайте Исполнителя с использованием логина и пароля, полученных при активации ключа. Создайте новую заявку в категорию «Гарантийная техподдержка / Установка СЭО 3KL на сервер». Заполните поля заявки, которые открылись после выбора типа заявки. В сопроводительном сообщении сообщите всю необходимую информацию.
Это необходимо сделать именно на этом этапе, иначе систему придется повторно переустанавливать с уничтожением всех данных. В рамках гарантийной техподдержки предусмотрено не более одного переноса или повторной инсталляции в год. Добавить данные из старой системы автоматически возможно только на этом этапе, все остальные способы предполагают ручной перенос вашими силами или за отдельную плату.
2) Инженер Исполнителя проверит корректность заполнения заявки, полноту данных, доступ к серверу и запустит процедуру установки. По окончании установки (в случае успеха) инженер Исполнителя сообщит в заявке технический адрес вашей инсталляции СЭО 3KL.
В случае, если операционная система на площадке или доступ к серверу по протоколу ssh невозможны, автоматическая установка не доступна. В этом случае остаются варианты самостоятельной установки силами Заказчика или ручной установки силами Исполнителя в рамках лицензии «Кросс». Для приобретения лицензии «Кросс» обратитесь в клиентский отдел Исполнителя.
2.4. Ознакомление с маршрутом внедрения и первичная настройка СЭО 3KL
1) С главной страницы клиентского портала перейдите к Маршруту внедрения. Для входа на курс используйте логин и пароль от личного кабинета.
2) Изучите предлагаемые материалы по внедрению СЭО 3KL. Рекомендуем начинать с настройки внешнего вида и витрины курсов, затем переходите к выбору способа ввода в систему списка пользователей. Выберите актуальные для вашей организации и следуйте предоставленным рекомендациям.
2.5. Получение вводного инструктажа
Вводный инструктаж в рамках гарантийной технической поддержки предоставляется однократно, продолжительностью до 1 часа. Перед его получением рекомендуем заранее подготовить список вопросов, которые вас интересуют и ответы на которые не удалось получить самостоятельно. Вводный инструктаж проходит в формате вебинара, поэтому на нем имеется возможность продемонстрировать решения непосредственно на вашей системе или на демонстрационном стенде.
Вводный инструктаж проводит методист компании — эксперт по сценариям использования СЭО 3KL для решения различных задач клиентов (в отличие от обычной консультации в рамках гарантийной технической поддержки, на которую отвечают специалисты техподдержки).
2.6. Получение консультаций и обслуживание СЭО 3KL
Техническая поддержка осуществляется в форме обработки заявок в личном кабинете клиента. Доступ в личный кабинет предусматривается только для диспетчера-администратора Заказчика.
Для типовых операций (например, настройка отправки электронной почты, смена доменного имени, настройка резервного копирования, сообщение об ошибке и т. п.) предусмотрены специальные шаблоны заявок: выборе таких типов заявок откроется специальная форма и подсказки со ссылками на базу знаний, разъясняющие нюансы предложенных вариантов. Поэтому, при создании заявки важно правильно выбрать категорию заявки, в рамках которой вам необходима консультация.
Если вы поняли, что нуждаетесь в телефонном консультировании, а оно в вашей версии не предусмотрено, обратитесь в клиентский отдел — менеджеры компании помогут сформировать счет на апгрейд до лицензии с телефонной техподдержкой.
Также можно расширить количество представителей клиента, имеющих возможность обращаться в гарантийную техническую поддержку.
В СЭО 3KL встроена контекстная справка: в зависимости от страницы системы, на которой в данный момент находится пользователь, в справке отображаются ссылки на статьи из базы знаний по теме интерфейса. Набор рекомендованных статей меняется в зависимости от роли пользователя. Воспользуйтесь справкой именно в том интерфейсе СЭО 3KL, в котором столкнулись с затруднением для получения наиболее релевантных материалов.
2.7. Обновление СЭО 3KL
ООО «Открытые технологии» проводит постоянную работу по улучшению СЭО 3KL и ежемесячно выпускает новую версию продукта. С перечнем доработок и исправленных ошибок, выполненных в очередном релизе продукта, можно ознакомиться в расширенном анонсе релиза. Для обеспечения безопасной и стабильной работы системы настоятельно рекомендуем регулярно устанавливать обновления.
Обновления выполняются силами Исполнителя, для чего требуется подать заявку в категории «Гарантийная техподдержка / Обновление версии СЭО 3KL».
2.8. Перенос СЭО 3KL на другой сервер
В рамках гарантийной технической поддержки предусмотрено не более одного переноса системы в год. При переносе системы на новый сервер, старая система удаляется. В случае, если техническая площадка скомпрометирована доступом к ней посторонних лиц (в том числе сотрудников Заказчика), восстановление статуса аттестованной инсталляции и полной гарантийной техподдержки выполняется также путем переноса системы на установленную с нуля Техническую площадку, чтобы исключить последствия действий и настроек, выполненных посторонними лицами.
Для переноса системы на новую Площадку подготовьте сервер аналогично подготовке сервера для первоначальной установки и подайте заявку в категорию «Гарантийная техподдержка / Перенос на другой сервер».
2.9. Смена представителя клиента (диспетчера-администратора)
Для смены представителя необходимо выполнить следующие действия:
1) Зайдите в заявку «Продажи / Смена представителя клиента» и скачайте шаблон письма.
2) Заполните и распечатайте шаблон. Подпишите его у руководителя вашей организации (в случае, если руководитель действует на основании доверенности, получите скан доверенности).
3) Загрузите в личный кабинет скан письма (и доверенности).
4) Отправьте оригиналы документов почтой на адрес: г. Москва, 117303, а/я 33 ООО «Открытые технологии». В качестве альтернативного варианта, письмо может быть подписано ЭЦП и направлено через систему электронного документооборота «Диадок».
2.10. Прекращение гарантийного обслуживания СЭО 3KL
После окончания срока действия лицензии, если не было приобретено продление, гарантийное обслуживание прекращается. Сама система продолжает функционировать, за исключением функций, зависимых от «Облачных сервисов» (например, контекстная справка). Также, при окончании гарантийного обслуживания прекращается доступ к личному кабинету технической поддержки и предоставление дистрибутивов с обновлениями.
2.11. Вывод СЭО 3KL из эксплуатации
Перед выводом системы из эксплуатации рекомендуем сделать полную резервную копию и сохранить ее на надежном носителе.
3. Порядок установки и передачи системы на поддержку
Установка СЭО 3KL может быть выполнена Заказчиком самостоятельно или сотрудниками Исполнителя.
Необходимые сведения для самостоятельной установке изложены в отдельной статье.
Краткая информация по процессу установки и настройки системы силами инженеров гарантийной технической поддержки Исполнителя рассмотрена в разделе «Установка СЭО 3КL». Ниже приведены данные, которые обязательно должны быть предоставлены Исполнителю перед установкой системы на подготовленную Площадку.
3.1. Решения, которые Заказчику необходимо принять перед установкой
Перед установкой системы необходимо принять ряд решений. Мы постарались максимально осветить эти вопросы в цикле статей «Вопросы по установке СЭО 3KL на сервер клиента» нашей базы знаний. Но если вам потребуется дополнительная консультация, вы можете обратиться в службу гарантийной технической поддержки и наши инженеры постараются вам помочь.
3.1.1. Выбор представителя Заказчика (диспетчера-администратора)
Диспетчер-администратор это, в первую очередь, методист и менеджер проекта (не путайте с системным администратором).
Основные требования к диспетчеру-администратору:
- уверенное владение ПК;
- понимание целей и задач внедрения электронного обучения в организации;
- наличие полномочий для принятия большинства решений по проекту внедрения и поддержки электронного обучения или возможность оперативного согласования таких решений.
Всё взаимодействие по установке, настройке и поддержке системы Исполнитель ведет с диспетчером-администратором. С остальными сотрудниками своей организации диспетчер-администратор контактирует сам. По запросу диспетчера-администратора, клиентский отдел Исполнителя может добавить дополнительное контактное лицо в конкретную заявку (требуется ФИО и электронная почта), после чего оно будет видеть переписку в заявке и даже сможет добавлять комментарии, однако техническая поддержка не обязана реагировать на такие комментарии.
3.1.2. Вид установки
Необходимо максимально прозрачно донести до инженеров технической поддержки Исполнителя какая установка вам потребуется:
- чистая система «с нуля»;
- восстановление из резервной копии Moodle или СЭО 3KL;
- перенос данных из существующей инсталляции Moodle или СЭО 3KL;
- обновление существующей инсталляции Moodle или СЭО 3KL.
3.1.3. Тип установки
Для развертывания СЭО 3КL на Площадке организации или в дата-центре мы рекомендуем выделить отдельную виртуальную машину. По её границам разделяются зоны ответственности между нашей гарантийной техподдержкой и техническими службами Заказчика. Виртуальная машина должна быть чистая или с предустановленной ОС Ubuntu Server 20.04 LTS 64bit (не должно быть установлено таких программ как ISPmanager, Webmin и т. д.).
Возможны следующие типы установки СЭО 3КL:
- Публичная - будет доступна пользователям с любого устройства, подключенного к сети Интернет.
- Локальная - доступна для пользователей во внутренней (локальной) сети организации.
3.1.4. Определение внешнего ip-адреса сервера
Если доступ из сети Интернет к СЭО 3КL не требуется, это решение принимать не обязательно.
В случае публичной инсталляции, внешний ip-адрес сервера всегда совпадает с внутренним (в противном случае установка считается локальной). Если вы арендуете виртуальную машину или сервер в дата-центре провайдера, этот адрес можно узнать у него.
3.1.5. Схема разбивки жесткого диска сервера
Подробная информация о возможных вариантах распределения дискового пространства представлена в разделе «Разбивка диска». Косвенным образом ваше решение по разбивке диска будет связано с выбранным местом размещения и выделеными системными ресурсами Технической площадки.
3.1.6. Выбор/приобретение доменного имени (опционально)
По результатам инсталляции мы предоставляем технический домен, вида cNNNN.c.3072.ru, поэтому СЭО 3КL будет доступна, даже если вы не предоставите информацию о вашем доменном имени. А при необходимости, домен можно сменить и позже, создав соответствующую заявку в личном кабинете.
3.1.7. Выбор сертификатов и протокола доступа к вашей СЭО 3KL
Возможные варианты:
- http — без шифрования.
- https — с шифрованием
Все публичные сайты должны быть доступны по протоколу https. Это важно для безопасности ваших пользователей.
Мы рекомендуем использовать сертификаты Let's Encrypt для публичной инсталляции и самоподписанные — для локальной инсталляции. Оба варианта бесплатны.
Также вы можете самостоятельно приобрести SSL-сертификат для вашего домена и передать его гарантийной технической поддержки в заявке на установку или в заявке на настройку SSL (https).
3.1.8. Способ доставки уведомлений для СЭО 3KL по электронной почте
Если система работает на прямом «белом» ip-адресе, по умолчанию доступна отправка писем с технического домена. Для повышения вероятности доставки уведомлений для получателей, рекомендуется подключить полноценный почтовый сервер.
3.1.9. Выбор способов и режимов резервного копирования СЭО 3KL
Подробная информация о возможных вариантах создания и хранения резервных копий представлена в разделе «Резервное копирование».
3.2. Реквизиты и права доступа, необходимые для установки
В случае установки силами Исполнителя, Заказчик передает Исполнителю доступ к системе, на базе операционной системе Ubuntu Server 20.04 установленной до этапа, позволяющего Исполнителю самостоятельно подключиться к площадке по протоколу ssh посредством сети Интернет, с правами суперадминистратора (root). Дальнейшую установку и настройку выполняет Исполнитель.
Для этого нужно выполнить на сервере две команды (обратите внимание: третья команда довольно длинная, важно скопировать ее целиком)
sudo apt install ssh
sudo mkdir /root/.ssh
sudo echo "ssh-rsa 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 ansible_global@ot" > /root/.ssh/authorized_keys
На момент передачи Исполнителю, система должна быть установлена в минимальном варианте, без любого дополнительного программного обеспечения, контента и учетных записей, кроме минимального набора автоматически установленных операционной системой пакетов программного обеспечения, необходимых и достаточных для удаленного подключения по протоколу ssh.
В заявке на установку необходимо указать реквизиты для подключения по ssh (публичный ip-адрес и порт) и способ авторизации технической поддержки Исполнителя на Технической площадке. Возможные варианты:
- RSA-ключ. Просто добавьте RSA-ключ нашего администратора в файл /root/.ssh/authorized_key, как указано выше.
- Открытый пароль (логин и пароль от пользователя, с правом sudo). После установки мы сменим пароль, так как он передавался небезопасным способом и сохранился в личном кабинете и электронной почте.
- PIN-код пароля. Вы можете создать пароль с помощью нашего генератора пароля: вместе с паролем будет сгенерирован PIN-код. Пароль вы устанавливаете на сервер, а PIN-код сообщаете Исполнителю.
- KVM-IP. Если у вас не получилось установить на сервер операционную систему Ubuntu Server 20.04, мы можем сделать это самостоятельно. Для этого нам понадобится доступ к терминалу сервера по протоколу VNC или RDP.
4. Рекомендации по обеспечению стабильного и безопасного функционирования
4.1. Разбивка диска
4.1.1. Общая информация об организации и распределении дискового пространства СЭО 3КL
При размещении инсталляции продукта на собственной Технической площадке Заказчика необходимо предварительно выполнить корректную разбивку дискового пространства на разделы, хранящие статичные файлы, базу данных и бэкапы системы.
При определении необходимого для СЭО 3КL объема дискового пространства следует исходить из изложенных в статье рекомендаций и учитывать, что в случае исчерпания свободного места на жестком диске может произойти сбой, в результате которого будут безвозвратно утрачены данные (особенно при исчерпании места на диске с СУБД), или «зависнет» сервер и к нему невозможно будет подключиться по сети для исправления ситуации. В наиболее благоприятном случае, просто станут недоступны функции, связанные с созданием или увеличением файлов, а это не только загрузка файлов, но и, например, кеширование или создание сессий.
Перечисленные ситуации довольно неприятны, поэтому их легче предотвратить, чем устранять последствия. Основные меры здесь — разбиение диска на функциональные разделы, чтобы локализовать проблему переполнения и поддержание на всех разделах не менее 30% резерва свободного пространства.
Настоятельно рекомендуем в процессе разбиения перевести разделы диска в формат LVM для безопасного и удобного расширения дискового пространства в будущем.
4.1.2. Рекомендуемые схемы разбивки диска
Если разбивка дискового пространства выполняется системным администратором Заказчика и в зависимости от выделенных системных ресурсов, желательно выполнить ее соответствии с одной из приведенных ниже схем:
Схема разбивки диска | Объем корневого раздел, ГБ | Объем раздела для статических данных, ГБ | Объем раздела для инкрементных ежедневных резервных копий, ГБ | Объем раздела для СУБД, ГБ | Раздел для временных файлов1, ГБ | SWAP1, ГБ | Примечание |
Простая | 30 + 3,9*(объем полезных данных2) | — | — | — | — | — | Все дисковое пространство предоставляется одним разделом. |
С выделением раздела для резервных копий | 30 + 3,9*(объем полезных данных2) | — | 2*(объем полезных данных2) | — | — | — | Позволяет использовать более дешевые медленные диски для хранения объемных файлов, к которым не требуется быстрый доступ. При этом уменьшается риск переполнения основного диска. |
Детальная | 30 | 1,2*(планируемый объем полезных данных) | 2*(объем полезных данных2) | = объему БД (ориентировочно, для небольших и средних систем, до 10 ГБ) | Не обязательно. Объем зависит от типа используемого контента, его объема, сложности и количества пользователей. Подбирается эмпирически, обычно на более поздних этапах эксплуатации. | = объему оперативной памяти | Для оптимального использования ресурсов, максимальной производительности и надежности системы. Рекомендуем использовать именно эту схему. |
1 — Для размещения этих разделов рекомендуется использовать быстрые SSD диски.
2 — Объем полезных данных - это учебные материалы, статистика, работы слушателей и т. п.
4.2. Резервное копирование
При размещении инсталляции продукта на собственной Технической площадке Заказчика, в СЭО 3КL настраивается инкрементное резервное копирование. По умолчанию инкрементное резервное копирование выполняется по расписанию, каждый день в 1:30 по местному времени.
Инкрементные резервные копии используются при инсталляции, обновлении, перемещении инсталляции продукта, восстановлении состояния инсталляции на конкретный день.
Рекомендуется выделять под инкрементные резервные копии объем постоянного дискового пространства равный двум полезным объемам системы + 20%.
Для хранения резервных копий системы предпочтительнее использовать отдельный физический диск. Данная мера предосторожности обеспечит наибольшую вероятность сохранения резервных копий системы при выхода из строя основного жесткого диска на сервере. Данный раздел должен быть надежно подключен к серверу, поэтому использование сетевых дисков или usb-накопителей для инкрементного копирования крайне не рекомендуется и может привести к некорректному резервному копированию, замедлению резервного копирования, невозможности создать инкрементную резервную копию, потере резервной копии и даже к переполнению корневого раздела сервера.
По требованию Заказчика, Исполнитель может изменить график выполнения резервного копирования или отменить его. Для изменения способа резервного копирования (изменения графика резервного копирования, перенос бэкапов на внешний сервер, изменение способа резервного копирования) вы можете подать заявку в категории «Гарантийная техподдержка / Резервное копирование» и указать, какие настройки необходимо применить.
По этой причине мы рекомендуем дополнительно делать резервные копии на независимый носитель, который не только физически находится вне сервера (а лучше - вне серверной комнаты), но и не доступен с сервера после выполнения копирования.
Для подобного резервного копирования мы рекомендуем применять либо снимки системы виртуализации, либо периодическое полное резервное копирование на внешний носитель с последующей архивацией на независимое устройство. Подробнее о резервном копировании.
4.3. Канал связи и доступ к Internet
Ширина необходимого интернет-канала зависит от типа и объема контента в системе Заказчика и, ориентировочно, может быть оценена следующим образом:
- если это текст с небольшим количеством изображений — от 200 кбит/с на активного пользователя;
- если в системе размещен «тяжелый контент» (видео) или на том же канале размещен сервер вебинаров (Big Blue Button) — не менее 5 Мбит/с на активного пользователя.
Потребность в пропускной способности канала передачи данных может быть рассчитана по формуле:
5 + (количество конкурентных пользователей /10), Мбит/с.
Даже если взаимодействие пользователей с СЭО 3КL происходит по локальным каналам передачи данных (не связанными с сетью Интернет), для проведения установки и технического обслуживания система
должна быть подключена к глобальной сети Интернет стабильным каналом передачи данных с пропускной способностью не менее 5 Мбит/с.
Для работы ряда инструментов СЭО 3КL требуется входящие и/или исходящее соединение с Интернет и при отсутствии (ограничении) такого соединения функционал таких инструментов может быть недоступен. В частности, это относится к:
- инструменту «Справка» (требуется подключение к api для запроса статей из базы знаний);
- загрузке обновлений языковых пакетов;
- элементу курса «Занятие 3КL» (требуется для интеграции с сервисами вебинаров);
- элементу курса «Библиотека ресурсов» (требуется для подключения к источникам материалов);
- способу записи на курс «Платная подписка 3KL» (требуется для связи с системами обработки электронных платежей);
- способу доставки сообщений «OTSMS» (требуется доступ к api sms.ru);
- плагину предотвращения плагиата «Антиплагиат» (требуется доступ к api сервиса «Антиплагиат»).
4.4. Требования к серверному помещению и климатическому режиму
Для серверного помещения в обязательном порядке должен обеспечиваться режим ограничения доступа (желательно наличие СКУД). Само помещение, в котором размещено серверное оборудование, должно отвечать требованиям физической, информационной, пожарной, электробезопасности и соответствовать требованиям ГОСТ Р 58241, Р 58242, СН 512-78.
В помещении должны быть установлены:
- датчики огня и задымления, подключенные к охранной сигнализации;
- автоматическая система пожаротушения с моментальной подачей огнетушащего вещества (с высокими диэлектрическими свойствами) в локальную зону возгорания;
- негорючие уплотнители на двери и окна;
- автоматическая система вентиляции и поддержания микроклимата в помещении с температурой воздуха в пределах от +18 до +24 °С и влажности в пределах от 30 до 55 %;
- система непрерывного контроля технического состояния и исправности работающего оборудования.
4.5. Требования к физической и электробезопасности
При размещении инсталляции продукта на собственной Технической площадке Заказчика, оборудование, на котором размещена Техническая площадка, должно быть предназначено для непрерывной бесперебойной работы, оснащено надежными и зарезервированными источниками питания и системой охлаждения.
Для предотвращения повреждения оборудования в результате скачков напряжения в сети передачи данных, например, в результате ударов молнии или магнитной бури, рекомендуется устанавливать заземленные гальванические развязки на все Ethernet-соединения, выходящие за пределы серверной.
Цепи электропитания оборудования должны быть защищены от скачков напряжения и аварийных режимов работы электросети. Как правило, функция такой защиты реализована в профессиональных источниках бесперебойного питания.
В целях сохранения целостности данных и компонентов оборудования запрещается выключение системы без корректного завершения всех приложений и сервисов, сохранения данных, синхронизации дисков и штатного завершения работы операционной системы. В случае прекращения подачи питания, система должна корректно завершать свою работу по сигналу от источника бесперебойного питания, ресурса которого должно быть достаточно для данной процедуры. Рекомендуется организовать круглосуточное дежурство квалифицированных специалистов, отвечающих за бесперебойное функционирование оборудования.
5. Гарантийная техническая поддержка
5.1. Объем гарантийной технической поддержки
Техническая поддержка, обслуживание, обновление СЭО 3КL и консультирование диспетчера-администратора выполняется в соответствии с условиями гарантийного обслуживания приобретенной Заказчиком лицензии.
5.2. Разграничение прав доступа и обязанностей по обслуживанию системы
Если не согласовано иное, разграничение зон ответственности Исполнителя и Заказчика проходит по границам выделенной виртуальной машины Технической площадки.
В период действия сервиса только сотрудники Исполнителя могут проводить работы на Технической площадке. Сотрудники и иные подрядчики Заказчика не должны вмешиваться в функционирование Технической площадки без предварительного согласования работ с Исполнителем, за исключением действий, связанных с аппаратными средствами и каналами связи, которые находятся в зоне ответственности Заказчика.
В случае, если в соответствии с условиями Договора или предоставляемого сервиса Исполнитель осуществляет администрирование продукта и Технической площадки, Заказчик обеспечивает Исполнителю доступ к технической площадке по протоколу ssh (входящий порт 22) с правами суперадминистратора операционной системы (root), а также по протоколу https (входящий порт 443) с правами супер-администратора продукта и возможность исходящего подключения к системе мониторинга Zabbix (исходящий порт 10050). В случае отсутствия такого доступа считается, что Заказчик не предоставил Исполнителю необходимые ресурсы для выполнения обслуживания инсталляции продукта или обработки заявки, Исполнитель прекращает предоставление соответствующих сервисов и обработку соответствующих заявок, при этом сервис, работа или услуга считаются предоставленными надлежащим образом.
5.3. Возможные причины ограничения гарантийной технической поддержки
Получение Заказчиком root-доступа к серверу
В связи с пунктом 10.15 действующего регламента предоставления сервисов ООО «Открытые технологии», root-доступ на сервере, предоставляемый Заказчиком, должен быть только у Исполнителя.
Недоступность сервера на котором развернуто ПО Исполнителя для сотрудников Технической поддержки Исполнителя
Если Заказчик, в период действия Договора, намеренно отключил доступ к серверу для сотрудников техподдержки Исполнителя, система клиента считается неаттестованной, а гарантийная техническая поддержка ограничивается консультациями.
Невыполнение Заказчиком требований по объему свободного места для хранилища инкрементного резервного копирования
Если на Технической площадке при настроенном инкрементном резервном копировании будет недостаточно дискового пространства, то создание и сохранение инкрементных резервных копий станет недоступно, а Исполнитель вправе считать данную инсталляцию неаттестованной. Гарантийная техническая поддержка в этом случае ограничивается консультациями.
6. Дополнительная информация для технических специалистов Заказчика
6.1. Используемая СУБД
Система управления базами данных ставится Исполнителем в процессе установки. От пользователя не требуется никаких действий по выбору, установке и настройке СУБД.
На текущий момент рекомендованной СУБД для СЭО 3KL является MySQL.
По отдельному запросу для высоконагруженных систем мы выполняем установку на PostgreSQL. Мнение клиента в этом вопросе учитывается, но окончательное решение принимает инженер гарантийной поддержки. Это связано с тем, что некоторые плагины системы могут иметь неполную совместимость с этой СУБД. Поскольку конвертацию из MySQL в PostgreSQL можно выполнить в любой момент, не имеет смысла выбирать PostgreSQL «на всякий случай». Реальная необходимость использования PostgreSQL возникает в единичных ситуациях.
6.2. Сервер отправки электронной почты
Для полноценной работы СЭО 3KL необходим доступ к службе отправки электронных сообщений (SMTP).
Эта служба используется для отправки писем с подтверждением регистрации, напоминаний паролей, рассылке уведомлений и других сообщений. В качестве альтернативы для отдельных типов сообщений можно использовать другие методы отправки, например SMS, но они требуют доступа к другим соответствующим провайдерам услуг (в случае отправки SMS - платным).
Существует три способа организации этой службы:
- Отдельный SMTP-сервер на сервере с СЭО 3KL. Специалисты Исполнителя могут настроить SMTP-сервер непосредственно на сервере с СЭО 3KL. Для надежной доставки сообщений этим способом необходимо принять ряд мер, чтобы другие почтовые серверы не считали эти сообщения спамом: выделить серверу прямой ip-адрес, настроить для него обратную зону DNS, выделить существующий адрес отправителя на вашем основном почтовом сервере, настроить записи SPF и DKIM в вашем доменном имени.
- Использование корпоративного SMTP-сервера. Если у вас уже есть настроенный почтовый сервер, рационально использовать его. Для этого необходимо создать учетную запись отправителя и сообщить параметры подключения к ней в техническую поддержку. За доставку писем в данном варианте будет отвечать ваш SMTP-сервер.
- Использовать внешний SMTP-сервер. Этот вариант хорош своей простотой и надежностью доставки. Однако, такие сервисы имеют значительные ограничения. Например, почтовая служба Яндекс позволяет отправлять не более 500 писем в день. Сервисы без строгих ограничений обычно предполагают оплату за каждое отправленное письмо.
6.3. Moodle и СЭО 3KL
Среда электронного обучения 3KL базируется на платформе Moodle и полностью с ней совместима.
Технически, СЭО 3KL является комплектом плагинов, которые ставятся поверх Moodle соответствующей версии. При этом, СЭО 3KL поставляется как готовый дистрибутив, включая ядро Moodle, что соответствует лицензионным условиям обеих продуктов.
Юридически, СЭО 3KL является производным произведением, включающим произведения с открытым исходным кодом. Правообладателем СЭО 3KL является ООО «Открытые технологии». Свидетельство о государственной регистрации № 2019665610. Дата регистрации в Реестре программ для ЭВМ 26 ноября 2019 г. Среда электронного обучения 3KL зарегистрирована в Реестре российского программного обеспечения. Регистрационный номер ПО 7069, дата регистрации 07.10.2020 (Приказ Минкомсвязи России от 06.10.2020 №515).
СЭО 3KL адаптирована под нужды российских заказчиков и успешно применяется в корпоративном секторе, вузах, колледжах, сфере дополнительного образования.
В отличие от Moodle, СЭО 3KL поставляется с техподдержкой и содержит более 50-ти дополнительных плагинов, разработанных компанией «Открытые Технологии» с учетом 18-ти летнего опыта внедрения и расширения функциональности среды электронного обучения. Посмотреть таблицу сравнения. Техническая поддержка включает первичную установку, регулярные обновления продукта и доступ к обширной базе знаний, содержащей более 500 статей.
Плагины сторонних разработчиков, совместимые с Moodle соответствующей версии, так же скорее всего будут совместимы и с СЭО 3KL. Применение таких сторонних плагинов в СЭО 3KL возможно и активно практикуется пользователями СЭО 3KL. Однако, никаких гарантий относительно работоспособности и последствия применения таких плагинов, если они не входят в состав СЭО 3KL компания-разработчик не дает. Никакие консультации или помощь по работе с данными плагинами или устранением последствия их работы не входят в гарантийную техническую поддержку, за исключением опций «установить» и опции «удалить», без настройки и сопровождения. Гарантийная техническая поддержка распространяется только на плагины, поставляемые в составе официальных релизов СЭО 3KL (ориентируйтесь на официальную техническую документацию, анонсы релизов и публичные демо-стенды, предоставляемые разработчиком).
6.4. Версии Moodle и СЭО 3KL
Благодаря совместимости, технически возможно обновить Moodle до СЭО 3KL с сохранением всего контента и настроек. Для этого необходимо, чтобы версия Moodle была меньше, либо равна текущей версии СЭО 3KL. Например, если самая новая версия СЭО 3KL имеет версию 4.1.8a (информация на момент написания статьи, ориентируйтесь на анонсы релизов на нашем сайте), то сохранение материалов возможно при переходе с Moodle версии 3.9.x, 3.10.x, 4.0.x, 4.1.x и более ранних, а вот переход с Moodle 4.2.x будет возможен только после выхода СЭО 3KL соответствующей или более поздней версии.
Точно так же, технически возможно вернуться с СЭО 3KL на community-версию Moodle, но с отказом от всего дополнительного функционала, который отсутствует в community-версии и связанных с ним материалов.
6.5. Протокол https и SSL-сертификаты
Поскольку СЭО 3KL является веб-приложением, взаимодействие между веб-сервером и браузером клиента происходит по протоколу http. Протокол http не поддерживает шифрование и все узлы, через который проходит трафик до сервера имеют доступ не только к содержимому всех открываемых страниц, но и к его паролям для входа в систему (что особенно опасно для преподавателей и администраторов) и платежным данным. Доступ к этим данным может получить не только провайдер или сисадмин, но и пользователи той же самой wifi или локальной сети из которой работает пользователь. Для решения этой проблемы в 1994 году был разработан протокол https, который шифрует данные протокола http с помощью протокола SSL.
Чтобы мотивировать администраторов сайтов обеспечивать безопасность их пользователей, с 2017 года многие браузеры и поисковые системы начали помечать сайты, не поддерживающие https как небезопасные, и требовать у пользователя отдельного подтверждения, при каждом входе на данный сайт. Некоторые поисковые системы понижают или даже исключают из поисковой выдачи сайты, не поддерживающие https. Всё это делает использование https практически обязательным для всех сайтов в Internet и крайне желательным для внутренних корпоративных сайтов.
Основная сложность на пути внедрения протокола https — это необходимость получения SSL сертификатов. До 2015 года существовало только 2 опции:
- Бесплатная генерация самоподписанного SSL-сертификата. Это можно сделать самостоятельно с помощью бесплатного и свободно-распространяемого пакета OpenSSL. Недостатком данного варианта является то, что клиент не может установить достоверность данного сертификата. Это создает уязвимость, которую называют «атака посередине»: администратор сети может создать собственный сайт, который расшифровывает все данные от клиентов, сохраняет их копию и только после этого отправляет запросы к исходному сайту. Именно поэтому большинство браузеров выводят предупреждение, когда пользователь пытается войти на сайт с самоподписанным SSL-сертификатом. Принятие такого сертификата намеренно сделано сложным и неинтуитивным, чтобы пользователи с неуверенными навыками и принимающие все предупреждения бездумно, были не в состоянии проигнорировать данное предупреждение.
- Приобретение платного SSL-сертификата в удостоверяющем центре, который сперва проверяет личность и полномочия пользователя.
С 2015 года запущена некоммерческая организация Let's Enrcypt, финансируемая компаниями Google, Amazon, Mozilla, Cisco, Фондом электронных рубежей, IBM и многими другими. Она поддерживает некоммерческий удостоверяющий центр, который позволяет бесплатно выпускать SSL-сертификаты, подтвердив свое владение доменным именем с помощью протокола ACME. Именно этот способ получения SSL-сертификата для активации протокола https используют большинство веб-сайтов. Мы также предлагаем настройку https этим способом.
Основным неудобством сертификатов Let's Encrypt является то, что проверка доменного имени выполняется по протоколу http через Internet. То есть, сертификат Let's Encrypt невозможно получить для сайта, который не доступен в сети Internet. Так же, если не соблюдается наша рекомендация по делегированию на виртуальную машину с СЭО 3KL статического «белого» ip-адреса, доступного из сети Internet без ограничений, получение сертификата Let's Encrypt будет затруднено или вовсе невозможно. В этой ситуации вы можете:
- отказаться от применения шифрованного протокола https, со всеми возникающими негативными последствиями;
- приобрести для вашего домена платный SSL-сертификат и передать его службе технической поддержки Исполнителя для установки;
- самостоятельно настроить https, в том числе с использованием Let's Encrypt, на промежуточном узле.
В последнем случае домен должен быть делегирован на промежуточный узел, который и организует SSL-шифрование. Сервер с СЭО 3KL в этом варианте находится в демилитаризованной зоне, позади промежуточного узла. Все поступающие запросы промежуточный узел должен расшифровывать и, затем передавать на сервер с СЭО 3KL либо с использованием нешифрованного протокола http, либо с использованием самоподписанного сертификата SSL (конечные пользователи его «не видят», поэтому неудобств у них при этом не возникает). Основным недостатком данного варианта может являться то, что промежуточный узел Заказчику придется настраивать полностью самостоятельно. Промежуточный узел при этом не администрируется Исполнителем и может вносить искажения в работу СЭО 3KL. По этой причине, если от Заказчика поступает заявка, связанная с отображением СЭО 3KL в сети Интернет, Исполнитель подключается непосредственно к исходящему порту сервера с СЭО 3KL, в обход промежуточного узла, и если проблема там не воспроизводится, заявка отклоняется, как находящаяся вне зоны ответственности Исполнителя.
Таким образом, при принятии решения о выборе сертификатов и протокола доступа к СЭО 3KL Заказчик должен выбрать один из следующих вариантов (некоторые варианты возможны только при соблюдении технических условий описанных выше):
- Отсутствие шифрования (использование протокола http).
- https с самоподписанным сертификатом.
- https с платным сертификатом.
- https с бесплатным сертификатом Let's Encrypt (рекомендуется).