Child pages
  • Technické požadavky na provoz systému Tritius na vlastním serveru
Skip to end of metadata
Go to start of metadata

Obecně

Tritius můžete provozovat na vlastním serveru ve formě předinstalovaného virtuálního stroje.

O server, virtualizační řešení a jeho správu se staráte sami, případně po dohodě o vzdáleném přístupu společně s námi.

Tritius je pak dostupný jako běžná webová aplikace a k jejímu využívání vám stačí běžný webový prohlížeč.

Zálohování dat a jejich archivaci zajišťujete vy - můžete využít našich připravených nástrojů, kterým stačí jen nastavit přístup ke vzdálenému úložišti.

Hardwarové požadavky na server

Požadavky na provoz systému Tritius jsou orientační, protože reálné nároky systému se mohou lišit zejména na základě celkového objemu katalogizovaných dat a počtu současně pracujících uživatelů.

Doporučené konfigurace počítají s provozem celého systému na jednom serveru (databáze + serverová aplikace Tritius + webový katalog). Tyto části je ovšem možné (z bezpečnostních i výkonových důvodů) provozovat samostatně.

Nad 200 000 svazků nedoporučujeme provozování systému na externích discích (diskových polích), ale jen na vyhrazených discích umístěných přímo v serverech.

Velikost fondu

(počet svazků)

Počet souběžně

pracujících uživatelů

Procesor

Tritius

Procesor

počet jader

Disk

Tritius

Disk

(Typ)

RAM

Tritius

do 20.000< 52,4GHz250GB 8GB
do 50.000< 102,4GHz4100GB 12GB
do 100.000< 202,4GHz4100GB 16GB
do 200.000< 303,2GHz6200GB 16GB
do 500.000< 503,2GHz8200GBSSD / M.248GB
do 1.000.000< 1003,2GHz> 12500GBSSD / M.264GB
nad 1.000.000individuální posouzení

Softwarové požadavky na server - virtualizace

Systém Tritius je nyní distribuován výhradně jako předinstalovaný virtuální stroj ve formátu OVF (https://en.wikipedia.org/wiki/Open_Virtualization_Format).

Virtuální stroj je možno provozovat na některé z virtualizačních řešení podporující OVF:

  • VirtualBox - v základní verzi je zcela zdarma,
  • VMware - kvalitní placené řešení,
  • KVM,
  • Hyper-V,
  • Xen (mód PV).

Poskytujeme úplnou podporu a pomoc s instalací do VirtualBoxu na operačním systému Windows. Pro jiné řešení prosím ověrte tabulku níže.

Základní podporou s importem a provozem VM je myšleno předání základních informací nebo návodu, který byl využit u jiných zákazníků, případně kontakt na jiné zákazníky využívající toto řešení - ovšem vše bez záruky.

Virtualizační řešeníPředání předinstalované VM (OVF)Základní podpora s importem a provozem VMInstalace a konfigurace virtualizačního řešení a import VM
VirtualBox na OS WindowsAnoAnozdarma
VirtualBox na OS LinuxAnoAnona vyžádání jako placená služba či možnost zprostředkování třetí strany
VMware, KVM, Hyper-V, XENAnoAnovýhradně ve vaší režii

Zálohování - vzdálené úložiště

Zálohy jsou automaticky vytvářeny lokálně přímo na virtuálním stroji a následně jsou přesunuty na vzdálené úložiště.

Volitelně je možno využití i hotového skriptu pro rotování záloh (X denních, týdenních a měsíčních záloh).

Nyní podporujeme automatické ukládání na vzdálená uložiště dostupná přes protokoly:

  • FTP,
  • NFS (Linux síťový filesystem), 
  • CIFS (Windows sdílení složek),
  • SMB (Windows sdílení složek).

Síťová infrastruktura

Pro provoz Tritia je třeba internetové připojení, veřejná IP adresa a následující nastavení síťové infrastruktury.

Pokud chcete využít naší nabídky poskytování HTTPS certifikátu zdarma, je třeba veřejná IP adresa s volnými (nevyužitými) porty 80 a 443.

Zpřístupnění portů (příchozí směr)

Na vaší veřejné IP adrese je třeba zpřístupnit následující porty, které je třeba tunelovat (přesměrovat) na lokální porty VM.

Veřejná IPVeřejný portLokální IPLokální portProtokolDoporučené omezení přístupuPoznámka
Vaše veřejná IP443*Lokální IP VM443HTTPSPřístup bez omezeníPřístup k zabezpečné webové aplikaci Tritia (webový katalog i obsluha knihovny).
Vaše veřejná IP80*Lokální IP VM80HTTPPřístup bez omezeníPřístup k webové aplikaci Tritia (webový katalog i obsluha knihovny).
Webový server Tritia uživatele vždy automaticky přesměruje na zabezpečené HTTPS.
Vaše veřejná IP9998Lokální IP VM9998Z-ServerPřístup bez omezeníPřístup k Z-serveru, pokud je pro instanci povolený.
Vaše veřejná IP22 (nebo jiný dohodnutý)Lokální IP VM22SSHJen IP adresy servisních středisekSSH připojení na VM s Tritiem pro účely správy a údržby.
Vaše veřejná IP10050 (nebo jiný dohodnutý)Lokální IP VM10050ZBXJen IP adresy servisních středisekSledování stavu VM s Tritiem přes Zabbix (pasivní sledování, pro příchozí spojení).
Vaše veřejná IP9010 (nebo jiný dohodnutý)Lokální IP VM9010JMXJen IP adresy servisních středisekSledování stavu Tritia přes JMX.

*Máte-li reverzní proxy a přejete-li si provozovat systém za touto proxy, porty HTTP a HTTPS není třeba tunelovat. Konfigurace webové proxy je na vás včetně zajištění a instalace SSL certifikátu.

IP adresy servisních středisek

Z následujích IP adres jsou prováděny servisní úkony a pravidelná údržba. Je doporučeno omezit přístup k některým vystaveným portům na tyto IP adresy (viz tabulky požadavků na síťovou infrastrukturu).

Veřejná IP adresaPopis
176.74.157.29Brno 1 (Technická podpora)
95.129.100.95Brno 2 (Server hosting ZD)
195.113.153.8Tábor 1
82.142.98.148Tábor 2

Povolení odchozí komunikace (odchozí směr)

Tato kapitola se vás netýká, pokud na vaší síti neomezujete odchozí komunikaci.

Pokud ve vaší síti omezujete odchozí komunikaci (firewall na routeru či fyzickém serveru), je třeba povolit následující komunikaci z VM na cílové porty a IP adresy.

Cílové IP adresyCílový portProtokolPoznámka
Intranet, internet80HTTPNapojení na externí nezabezpečené služby (např. stahování obálek, diskuzí, apod.)
Intranet, internet443HTTPSNapojení na zabezpečené externí služby (např. MojeId, elektronické výpůjčky, apod.)
Internet9991Z39.50Stahování záznamů přes Z39.50 z veřejných Z39.50 serverů.
Internet9000Z39.50Stahování záznamů přes Z39.50 z veřejných Z39.50 serverů.
vega.nkp.cz57779SSHSSH tunel pro odesílání autorit do Národní knihovny.
emvs0.tritius.eu
emvs2.clavius.cz 
2516*
2517*
SMTPOdesílání emailů přes výchozí externí primární a sekundární SMTP server.
carmen.skat.cz

8080

8433

80

443

HTTPHodnocení a obálky knih z Jessicy
Jen IP adresy servisních středisek10051ZBXSledování stavu VM s Tritiem přes Zabbix (aktivní odesílání, pro odchozí spojení).

*Máte-li vlastní SMTP server, který chcete využívat, není třeba komunikaci na výchozí externí SMTP servery povolovat.

Správné nastavení proxy / firewallu / routeru

Téměř vždy je v knihovně umístěn nějaký prvek, který obsluhuje veřejnou IP adresu a přesměrovává potom data na VM s Tritiem. Dochází ke klasickému přesměrování a tedy změny IP adres obsažených v hlavičkách HTTP požadavků. Některé funkce Tritia jsou závislé na rozlišení interních a externích uživatelů (zejména statistiky přístupů ke katalogu) a je proto nezbytné zajistit, aby se ke katalogu dostala informace o původní IP adrese, ze které požadavek přišel. K tomu slouží HTTP hlavička X-FORWARDED-FOR, kterou musí proxy prvek správně nastavit.

Konkrétní nastavení se liší podle použitého síťového prvku nebo serveru. Konzultujte prosím se svým správcem.

Bezpečné umístění v síťové infrastruktuře

Tato kapitola se vás netýká, pokud nevyžadujete vysokou úroveň zabezpečení.

Pokud je třeba velmi vysoká úroveň zabezpečení, je třeba zajistit bezpečné umístění VM v rámci síťové infrastruktury. Toto se týká pouze speciálních případů, ve kterých zákazníci o této potřebě sami vědí.

V takových případech je nutné umístit VM v síťové infrastruktuře tak, aby měla přístup výhradně jen k nutným zdrojům a to jen ve směru, který je vyžadován. VM nesmí mít přístup k rizikovým zdrojům - možno zajistit např. firewallem či umístěním v DMZ. Prakticky to znamená povolenou síťovou komunikaci jen na pečlivě vybraných portech, které jsou navíc omezeny IP adresami.

Veřejný přístup k webovému systému (HTTPS)

Webový systém Tritius je možné vystavit na dohodnuté doménové adrese.

Systém z bezpečnostních důvodů podporuje výhradně komunikaci pod zabezpečeným protokolem HTTPS. SSL certifikát k dohodnuté doméně zajistíme zdarma (případně je možné použít již existujícící certifikát, pokud takový vlastníte).

Pro zajištění veřejného přístupu k webovému systému Tritius existují následující možnosti:

  1. Umístění webového systému na novou doménu 3. řádu - nejsnadnější a námi doporučovanou varianta
    • Vyžaduje vlastnictví volné veřejné IP adresy s volným portem 80 a 443. (Port 80 je vyžadován jen pro automatické přesměrování uživatelů, kteří omylem přistoupí k nezabezpečenému HTTP)
    • Příklad pro knihovnu s názvem "Dobrá Knihovna", která vlastní doménu "dobraknihovna.cz" a veřejnou IP adresu 99.88.77.66:
      • Je třeba vytvořit DNS záznam typu A: "tritius.dobraknihovna.cz    A 99.88.77.66"
      • Katalog pro čtenáře: https://tritius.dobraknihovna.cz/Katalog
      • Přístup pro obsluhu: https://tritius.dobraknihovna.cz/Tritius

  2. Umístění webového systému na existující doménu za reverzní proxy server - složitější varianta, ale nevyžaduje volnou veřejnou IP adresu
    • Vyžaduje přístup k existujícímu webovému serveru na dané doméně a možnost jeho nastavení jako reverzní proxy server.
    • Příklad pro knihovnu s názvem "Dobrá Knihovna", která vlastní doménu "dobraknihovna.cz", na které provozuje webové stránky na adrese http://www.dobraknihovna.cz:
      • Je třeba zajistit provoz existujícího webového serveru pod HTTPS - webové stránky nově poběží také na adrese https://www.dobraknihovna.cz (je třeba pořídit SSL certifikát)
      • Je třeba zajistit nastavení existujícího webového serveru jako reverzní proxy pro adresy https://www.dobraknihovna.cz/Katalog a https://www.dobraknihovna.cz/Tritius, které budou v lokální síti přesměrovány na virtuální stroj s běžícím Tritiem
      • Katalog pro čtenáře: https://www.dobraknihovna.cz/Katalog
      • Přístup pro obsluhu: https://www.dobraknihovna.cz/Tritius
    • Nastavení reverzní proxy
      • Apache
        • ProxyRequests Off
        • ProxyPreserveHost On
        • Timeout 300
        • ProxyTimeout 300
        • RequestHeader X-Forwarded-Proto "https"
      • IIS
        • Actions → add
        • HTTP_X_FORWARDED_HOST = tritius.knihovna.cz
        • HTTP_X_FORWARDED_PROTO = https

Provoz na lokální síti

Pokud je server s Tritiem umístěn přímo v lokální síti knihovny, musí být zajištěna možnost komunikace lokálních počitačů s Tritiem. Je třeba zvážit několik potenciálních problémů a uzpůsobit tomu síťovou infrastrukturu a/nebo nastavení:

  • Překlad DNS jména např. tritius.knihovna.cz vede na veřejnou IP adresu serveru s Tritiem. Tato IP adresa musí být dostupný i z lokální sítě. Ne vždy je to možné.
  • Lze použít lokální DNS server, který pro dotazy z lokální sítě bude vracet přímo lokální IP adresu.
  • Lze použít proxy/firewall, který požadavky směřující na danou doménu přesměruje na lokální server.
  • Lze použít lokální záznamy DNS v souboru hosts a donutit tak stanice komunikovat s lokální IP adresou.

Odchozí SMTP server

Tritius odesílá mnoho různých typů e-mailů (upomínky, novinky apod.) a proto potřebuje nějaký SMTP server pro odesílání pošty. Ve standardním nastavení Tritia jsou použity servery společnosti Tritius Solutions a.s. Při instalaci Tritia na vlastní server knihovny je běžné použít interní SMTP server knihovny.

Tritius na SMTP knihovny neklade žádné zvláštní požadavky. Pouze doporučujeme zvážit řádně zabezpečení SMTP serveru (jeho umístění v infrastruktuře, šifrování a použité verze protokolů), aby se knihovna nestala rozesílačem spamu.

 

Požadované parametry připojení

V závislosti na velikosti fondu knihovny a předpokládaného počtu stanic doporučujeme následující parametry připojení. 

Velikost fondu

(počet svazků)

Počet souběžně

pracujících uživatelů

Internet

(download/upload)

Internet

odezva

Internet

ztrátovost

do 20.000< 510Mbit/10Mbit< 40ms< 1 %
do 50.000< 1020Mbit/20Mbit< 40ms< 1 %
do 100.000< 2030Mbit/30Mbit< 40ms< 1 %
do 200.000< 3050Mbit/50Mbit< 40ms< 1 %
do 500.000< 5050Mbit/50Mbit< 40ms< 1 %
do 1.000.000< 100100Mbit/100Mbit< 40ms< 1 %
nad 1.000.000individuální posouzení

Uživatelské stanice

Uživatelskou stanicí se myslí zařízení, na kterém pracuje obsluha knihovny.

Softwarové požadavky uživatelské stanice

Pro provoz systému Tritius na uživatelské stanici stačí pro většinu případů internetový prohlížeč v aktuální verzi:

  • Google Chrome *1)

  • Mozilla Firefox, Opera a Edge (nástupce Internet Exploreru) *2)

*1) Na tomto prohlížeči je systém vyvíjen a je nejvíce testován.
*2) Tyto prohlížeče jsou podporované, ale některé funkce mohou být omezené, případně nemusí být dostupné.

Přímý tisk

Pokud potřebujete přímý tisk (tisk účtenek či potvrzení přímo z webového prohlížeče bez potvrzování), je využíváno pomocného nástroje QZ Tray. Prohlížeče z bezpečnostních důvodů neumožňují posílat požadavky na tiskárnu bez dotazů uživateli. Proto je třeba mít tento drobný nástroj instalovaný na všech stanicích, které mají přímý tisk podporovat.

QZ Tray běží na všech běžných operačních systémech (Windows, Linux a další), jelikož sám využívá Java Runtime Environment.

Na klientské stanice s podporou přímého tisku je třeba nainstalovat:

  1. Java SE Runtime Environment - verze 8u101+ (http://www.oracle.com/technetwork/java/javase/downloads/jre8-downloads-2133155.html, nutné pro provoz QZ Tray)
  2. QZ Tray - verze 2.0.4 a novější (https://qz.io/)

Hardwarové požadavky uživatelské stanice

Pro obsluhu systému stačí běžné kancelářské PC - monitor, klávesnice a myš.

Požadovanou konfiguraci je opět možné odvodit od nároků běžné kancelářské práce v používaném operačním systému (uvedená tabulka spíše orientační),

 

Minimální konfigurace

Doporučená konfigurace

CPU1 GHz2 GHz (2 jádra)
RAM1 GB2 GB
LCD15" (1024x768)22" (1920x1080)

Veřejný přístup

Pro veřejný přístup (čtenáři) do webového katalogu opět stačí pouze běžný internetový prohlížeč v aktuální verzi.

Přístup je možný i z mobilních zařízení, i když mohou být některé funkce omezeny vzhledem k nižšímu rozlišení či omezeným funkcím mobilních webových prohlížečů.

Nastavení pro sítě s omezovaným přístupem k internetu

Pokud je do webového katalogu přistupováno ze sítě s omezovaným přístupem k internetu, je třeba zajistit povolení přístupu na následující servery. Není-li přístup povolen, funkce webového katalogu budou omezeny.

Webový katalog obsahuje napojení na externí služby a zdroje dat. Uvedené webové adresy se mohou měnit bez předchozího upozornění - správci domén jsou provozovatelé těchto služeb, my máme jen omezenou kontrolu.

Seznam využívaných služeb a zdrojů dat:

  • No labels