¶ Ожидаемый результат
В результате выполнения шагов данного руководства ожидается:
- В настройках безопасности комнаты в DION можно выбрать параметр On-Premises — конференция будет проводиться на гибридных ресурсах.
- К конференции On-Premises могут подключиться пользователи из внутренней сети предприятия и из интернета (если это разрешено в настройках административных параметров).
- Если развернуты гибридные компоненты записи (см. Установка демо-образа хранилища S3 для записей), в конференции можно включить запись и аудиозапись. Созданная запись конференции доступна для скачивания по ссылке из автоматически сгенерированного письма.
¶ Автоматизация
Начиная с версии 6.0, предусмотрена возможность использовать Ansible для автоматического заполнения конфигурационных файлов гибридных сервисов, что позволяет избежать ошибок, а также сократить время настройки. При автоматизированном конфигурировании требуется указать нужные параметры только один раз в одном файле, после чего Ansible playbook сконфигурирует все сам.
| Данное руководство описывает ручную установку и применение Ansible для автоматического заполнения конфигурационных файлов. |
Если по каким-либо причинам вы не можете использовать Ansible, воспользуйтесь инструкцией по ручной настройке.
¶ Общая информация о решении
Архитектура DION предусматривает возможность переноса части компонентов, отвечающих за обработку медиа-трафика и создание/хранение записей конференции, на площадку организации. Такие компоненты называются гибридными узлами (hybrid node). Наличие гибридных узлов позволяет проводить конференции в защищенном контуре, не передавая медиа-трафик в облако DION.
В гибридном сценарии связь гибридных узлов с облаком DION является обязательным условием для работы конференций, так как в облако передаются сигнальная информация и управляющие команды.
Все гибридные компоненты, доступные к установке, можно разделить на группы по функциональному назначению:
- служебные компоненты
- проведение конференций внутри контура
- создание записей конференций внутри контура
- видеопортал DION Video с хранением видео внутри контура (описано в отдельном руководстве)
- SIP-звонки внутри контура (описано в отдельном руководстве)
|
В данном руководстве рассмотрена установка:
|
Сервисы конференций и записи DION, вынесенные в гибридную архитектуру, представлены на схеме зеленым цветом:
| Наименование компонента | Описание компонента |
|---|---|
| MEDIA (SFU + Audiohub) | Компонент, отвечающий за обработку аудио и видео-потоков. |
| Recorder, Record Converter, Record delivery | Компоненты, отвечающие за создание, конвертацию и скачивание пользователями видеозаписей конференций. Рекомендуется размещение на одном хосте. |
| TURN | Компонент, отвечающий за подключение внешних пользователей ко внутренним медиа-серверам через NAT. |
| Dion Proxy | Компонент, отвечающий за обнаружение гибридных узлов (hybrid node) облаком DION. |
| KMS | Компонент, отвечающий за хранение секрета для шифрования записей конференции при хранении. |
| Компоненты могут быть дублированы с целью обеспечения отказоустойчивости и масштабирования. |
¶ Список поддерживаемых операционных систем
На данный момент тестирование проводится на следующих операционных системах:
- Ubuntu 22.04, Ubuntu 24.04
- Debian 11, Debian 12
- RedOS 7.3, RedOS 8
- Astra Linux Special Edition 1.7, Astra Linux Special Edition 1.8
¶ Действия перед установкой
¶ Планирование ресурсов
Прежде, чем перейти к установке пакетов и редактированию конфигурационных файлов, выполните следующие шаги:
- Изучите требования к ресурсам гибридных узлов DION для вашей инсталляции. Для расчета необходимого количества ресурсов гибридного DION воспользуйтесь калькулятором.
- Разверните необходимое количество виртуальных машин/серверов и установите на них операционную систему.
- Проверьте, что открыты все необходимые сетевые доступы.
- Проверьте доступ в репозиторий операционной системы, это необходимо при установке.
- Для серверов TURN проверьте, что на машинах, на которых будет развернут сервис, установлен Docker.
- Если вы планируете производить и хранить записи конференций в контуре предприятия:
- Разверните хранилище S3.
- Проверьте, что на машинах, на которых будет развернут сервис Recorder, установлен Docker.
- Для скачивания записей в гибриде выпустите сертификат и ключ, подписанные доверенным CA вашей организации. В противном случае браузер будет предупреждать о небезопасности сайта.
- Если вы планируете внедрение нескольких узлов Record Delivery, для балансировки нагрузки необходимо задать общую для всех узлов DNS-запись.
| Во время установки гибридных узлов (hybrid node) необходим доступ в репозиторий операционной системы для установки необходимых зависимостей. При отсутствии доступа к публичному репозиторию некоторые пакеты не будут установлены корректно. |
¶ Получение образов DION и сертификатов
Скачайте образы в виде deb- (или rpm-) пакетов и образов контейнеров в следующем составе:
- Для проведения конференций в контуре предприятия:
- Сервис dion-proxy:
- dion-proxy.deb
- Сервис MEDIA:
- dion-sfu.deb
- dion-audiohub.deb
- Сервис TURN:
- coturn.deb
- Сервис dion-proxy:
- Для сервисов записи, шифрования и хранения записей конференций:
- Сервис Recorder:
- recorder.deb
- vscreen_transcoder.tar
- Сервис Record Delivery:
- dion-record-delivery.deb
- Сервис Record Converter:
- dion-record-converter.deb
- Сервис KMS (может быть установлен на любой из VM):
- kms.deb
- s3_demo_storage.zip (содержит три файла: readme, docker.image, docker-compose.yml)
- Сервис Recorder:
Запросите в службе поддержки пользователей (support@diongo.ru) сертификаты, выпущенные для вашей организации.
| Запрос должен быть отправлен с почтового адреса пользователя, зарегистрированного в DION с ролью Администратор организации. |
Вам должны быть предоставлены следующие файлы:
- Сертификат и ключ для вашей организации (crt и key) с ограниченным сроком действия.
- Сертификат удостоверяющего центра (pem) с ограниченным сроком действия.
- Текстовый файл, содержащий ID вашей организации в DION, org_id.txt.
| ID организации можно также посмотреть и скопировать в Административной панели DION. |
¶ Подготовка машин для автоматизированной конфигурации
| Данные действия следует выполнить на всех машинах, где будут установлены сервисы Dion. |
1. Создайте пользователя dion:
sudo adduser dion2. Добавьте пользователя dion в группу sudo:
sudo usermod -aG sudo dion3. Для корректной работы Ansible отключите запрос пароля при повышении привилегий участникам группы sudo (на всех сервисах DION). Для этого необходимо отредактировать файл /etc/sudoers:
sudo visudo4. Найдите в редакторе строку %sudo ALL=(ALL:ALL) ALL и замените ее на %sudo ALL=(ALL:ALL) NOPASSWD: ALL.
5. Сохраните файл и выйдите из текстового редактора.
¶ Подготовка “якорной” машины для автоматизированного конфигурирования
Автоматизированное конфигурирование производится с использованием Ansible.
Чтобы использовать Ansible, необходимо выделить одну “якорную” машину, на которой будет работать установщик. От этой машины на время установки необходимо иметь открытый доступ по SSH до всех других машин без запроса пароля. Можно использовать в качестве “якорной” одну из машин dion-proxy, если есть возможность сделать от неё доступ по SSH до всех других виртуальных машин DION. В противном случае, используйте любую другую машину, расположенную в LAN. Например, media.
1. Установите Docker на “якорную” машину. Для установки рекомендуем воспользоваться официальной инструкцией.
| Все последующие действия в данном разделе выполняются от пользователя dion на “якорной” машине. |
2. Для корректной работы Ansible требуется настройка безопасного доступа по SSH без запроса пароля для локального хоста на самого себя, а также на другие гибридные узлы DION (на все виртуальные машины, которые участвуют в установке).
a. Создайте новую пару SSH ключей:
ssh-keygen -t rsab. Скопируйте открытый SSH ключ на этот же сервер с помощью команды:
ssh-copy-id dion@ip_адрес c. Повторите действие ssh-copy-id для IP-адресов всех гибридных узлов DION.
| На машине должен быть установлен Docker. Для установки рекомендуем воспользоваться официальной инструкцией. |
3. Добавьте пользователя dion в группу docker:
sudo usermod -aG docker dionДля применения группы следует повторно выполнить вход под пользователем dion:
su - dion4. Скачайте на “якорную” машину архив ansible_hybrid.tar.gz, который содержит Docker-контейнер и Ansible-скрипт, в домашний каталог dion.
5. Распакуйте данный архив в каталог /home/dion/:
cd /home/dion
tar -xf ansible_hybrid.tar.gz6. Создайте каталог cert на “якорной” машине в домашнем каталоге пользователя dion:
sudo mkdir /home/dion/cert7. Передайте права на созданный каталог пользователю dion:
sudo chown dion:dion /home/dion/cert8. Перенесите полученные файлы (txt и сертификаты) в каталог cert на “якорной” машине.
¶ Установка пакетов DION и Docker
|
Выполните следующие действия:
1. Перенесите образы на соответствующие серверы/виртуальные машины.
2. Установите deb- / rpm-пакеты:
a. Выполните обновление репозиториев:
sudo apt update
sudo apt upgradeb. Запустите установку пакета с помощью менеджера пакетов, например apt:
sudo apt install -f {путь к файлу}3. Установите Docker на все машины, на которых будут развернуты сервисы TURN и Recorder. Для установки рекомендуем воспользоваться официальной инструкцией.
4. Загрузите образ контейнера vscreen_transcoder.tar в Docker на машине, где будет установлен Recorder.
| На машине должен быть установлен Docker. Для установки рекомендуем воспользоваться официальной инструкцией. |
sudo docker load -i {путь к образу vscreen_transcoder.tar}5. Установите ffmpeg на машине, где будет установлен Record Converter:
sudo apt install ffmpeg
¶ Запуск TURN в Docker-контейнере
1. Скачайте архив Docker-образа с TURN для настройки на сервере. Архив содержит три файла:
- docker-compose.yaml — файл с параметрами запуска контейнера
- turnserver.conf — конфигурационный файл TURN
- coturn_XXX — образ для запуска контейнера (вместо XXX указана версия Coturn и расширение архива, которое может отсутствовать)
2. Создайте каталог для размещения содержимого архива на целевой виртуальной машине:
sudo mkdir -p /app/dion/coturn/certs3. Распакуйте полученный архив в созданный каталог /app/dion/coturn/.
4. В каталог /app/dion/coturn/certs/ скопируйте сертификат и ключ для вашей организации (crt и key), предоставленные командой DION.
5. Установите docker и docker-compose. Рекомендуем воспользоваться официальной инструкцией на сайте Docker.
6. Загрузите образ из архива в локальный реестр, выполнив команду:
sudo docker load -i /app/dion/coturn/coturn_XXX
¶ Установка демо-образа хранилища S3 для записей
| Если вы не планируете использовать сервис записи конференций, пропустите эту секцию и переходите к разделу конфигурирования сервисов. |
|
Наличие хранилища S3 является обязательным требованием для проведения записи конференций в гибридной системе. Предполагается, что в вашей организации существует хранилище S3, которое может быть использовано DION для хранения аудио и видео записей конференций. Обратите внимание на то, что в конфигурационных файлах DION указываются IP-адрес/имя хоста S3 и порт доступа, имя бакета (директория для хранения записей), пара access-key и secret-key. |
Для пилотной инсталляции вы можете запросить демо-образ S3 у вашей аккаунт-команды. Рекомендуем установить minio на отдельной VM. Для установки на машине требуются docker и docker-compose.
| Демо-образ не подходит для продуктивной инсталляции, так как не поддерживает отказоустойчивость. |
Чтобы развернуть демо-образ, выполните следующее:
1. Распакуйте полученный архив на VM. Архив содержит docker-образ minio, docker-compose.yml и readme.md.
2. Установите docker и docker-compose. Рекомендуем воспользоваться официальной инструкцией на сайте Docker.
3. В файле docker-compose.yml посмотрите и поменяйте при необходимости логин и пароль для доступа к minio. Эти учетные данные используются при входе в minio через веб-интерфейс.
environment:
MINIO_ROOT_USER: {имя пользователя}
MINIO_ROOT_PASSWORD: {пароль}4. Перейдите в веб-консоль minio по адресу http://{IP выбранной VM}:9000.
5. В веб-консоли создайте новый бакет и пару access-key и secret key. Сохраните имя бакета и ключи.
| Сохраните ключи сразу же в процессе создания, позже посмотреть их невозможно. |
Если произошла перезагрузка и демо-S3 не стартовал автоматически, выполните инструкции ниже, чтобы запустить сервис заново.
Перейдите в папку, где лежит файл docker-compose.yml и выполните команду:
docker compose up -dлибо (для docker-compose v1):
docker-compose up -d
¶ Запуск автоматического конфигурирования сервисов DION
| Все действия в данном разделе выполняются на “якорной” машине от пользователя dion. |
1. Откройте файл hosts на редактирование:
nano /home/dion/ansible/playbook/inventory/hostsСтруктура файла выглядит как набор секций, названия которых соответствуют названию сервисов DION. В каждой секции пропишите отдельными строчками все машины, на которых установлен данный сервис DION.
a. Для машин, у которых есть только внутренний IP-адрес, укажите его в параметре ansible_host. Например:
recorder1 ansible_host=192.168.1.1b. Для машин, у которых есть внутренний и внешний IP-адреса, укажите два параметра. Например:
dion-proxy1 ansible_host=192.168.1.2 publicHost=72.72.72.72c. Если узлов одного типа несколько, добавьте дополнительную строку в соответствующий блок. Например:
[turn]
turn1 ansible_host=192.168.1.3 publicHost=72.72.72.73
turn2 ansible_host=192.168.1.4 publicHost=72.72.72.74d. Сохраните изменения в файле.
2. Откройте файл vars.yaml на редактирование:
nano /home/dion/ansible/playbook/inventory/group_vars/all/vars.yamla. Следуйте комментариям в данном файле и заполните нужные параметры.
b. Сохраните изменения в файле.
3. Перейдите в каталог ansible:
cd ansible/Назначьте права на исполнение файла и выполните запуск скрипта:
chmod +x install.sh
./install.sh4. Убедитесь, что скрипт отработал без ошибок. В полях failed значение должно быть 0.
¶ Результат выполнения скрипта
В результате выполнения скрипта на всех узлах DION появятся заполненные конфигурационные файлы. Сервисы DION перейдут в работоспособное состояние.
| После конфигурирования сервисов и настроек административных параметров выполните проверку работоспособности сервисов. |
¶ Действия после установки
¶ Настройки административных параметров
Чтобы гибридный DION начал работу, необходимо не только установить и сконфигурировать гибридные узлы (hybrid node), но и выполнить соответствующие настройки в Административной панели DION.
Для запуска гибридного режима, в Административной панели перейдите в настройки гибридных сервисов:
- В разделе Организации выберите организацию и перейдите в её профиль.
- Включите отображение настроек гибридного режима в панели Настройки гибридного режима.
3. В разделе Конференции включите параметр Возможность переноса конференции в On-Premises.
4. После этого в Личном Кабинете пользователя в настройках безопасности конференции можно будет выбрать, где проводить конференцию:
- Параметр On-Premises включен — конференция проводится на гибридных ресурсах (если они корректно настроены).
- Параметр On-Premises выключен — конференция проводится в облаке.
Остальные параметры можно настроить на ваше усмотрение.
Параметр Новые конференции создаются On-Premises позволяет управлять созданием комнат по умолчанию для пользователей. Если флажки сняты, комнаты пользователей создаются в облаке. Если флажки установлены, конференции создаются на гибридных ресурсах. Этот параметр не влияет на уже созданные конференции.
Поведение системы в зависимости от положения Возможность переноса конференции в On-Premises и Новые конференции создаются On-Premises показано в таблице:
| Возможность переноса конференции в On-Premises | Новые конференции создаются On-Premises | Результат |
|---|---|---|
| Выкл | Выкл | Все новые конференции создаются в облаке, пользователь не может перенести их на площадку организации. |
| Вкл | Выкл | Все новые конференции создаются в облаке, пользователь может перенести их на площадку организации через свой личный кабинет и настройки конференции. |
| Выкл | Вкл | Все новые конференции создаются на площадке организации, пользователь не может перенести их в облако |
| Вкл | Вкл | Все новые конференции создаются на площадке организации, пользователь может перенести их в облако через свой личный кабинет и настройки конференции. |
Для подключения внешних пользователей включите параметр Свободный доступ к On-Premises конференциям.
Если сервисы записи установлены:
- В разделе Видеохостинг для параметра Запись в конференциях установите флажок On-Premises.
- Включите параметр Отправка ссылки на скачивание записи по email.
- В поле Адрес для скачивания записи в гибридной архитектуре введите адрес узла Record Delivery в формате: https://**IP_адрес или FQDN**:443/v1/file
| Необходимо вводить адрес именно в указанном выше формате, иначе при попытке сохранить настройки вы получите ошибку. |
Если в системе несколько узлов Record Delivery, вместо IP укажите DNS-имя: https://**FQDN**:443/v1/file
| При отсутствии в гибридной системе сервисов записи, убедитесь, что в административной панели запись конференций On-Premises отключена. Кнопка записи не будет отображаться пользователю. В противном случае при старте записи пользователю будет отображаться сообщение об ошибке. |
¶ Проверка работоспособности сервисов конференций
После конфигурирования сервисов и настроек административных параметров в настройках безопасности комнаты в DION можно выбрать параметр On-Premises:
- В личном кабинете в разделе “Мои комнаты”, откройте настройки выбранной гибридной комнаты.
- В разделе Безопасность включите On-Premises (этот параметр будет доступен, если в административной панели разрешен перенос комнат в On-premises):
- Если все настройки выполнены корректно и сервисы запущены, включение параметра должно примениться без ошибок. В противном случае, обратитесь к руководству по устранению неисправностей или к вашей аккаунт-команде за помощью.
- Комната с включенным параметром On-Premises (проводимая на гибридных ресурсах) будет обозначена значком в виде синего щита возле имени комнаты. Также значок будет виден во время конференции:
¶ Проверка работоспособности сервисов записи
Для проверки работоспособности сервисов записи необходимо зайти в гибридную конференцию (отмеченную значком в виде синего щита в интерфейсе) и включить запись.
| Для проверки аудиозаписи в настройках конференции в разделе Запись включите параметр Аудиозапись конференции. |
- Запись должна длиться 40 секунд или более, завершиться без ошибок.
- После завершения записи, на почту пользователю должно прийти письмо со ссылкой на скачивание записи.
Если в процессе записи возникли ошибки или ссылка на скачивание записи не пришла, обратитесь к руководству по устранению неисправностей или к вашей аккаунт-команде за помощью.
¶ Проверка статуса сервисов
Статус регистрации сервисов можно отслеживать в Административной панели на вкладке Гибридные сервисы в профиле организации.
При верной конфигурации все сервисы отмечены зелёным цветом.
