¶ Общая информация
Архитектура DION предусматривает возможность переноса части компонент, отвечающих за обработку медиа-трафика и создание/хранение записей конференции, на площадку организации. Такие компоненты мы называем гибридными нодами. Наличие гибридных нод позволяет проводить конференции в защищенном контуре, не передавая медиа-трафик в облако DION.
В гибридном сценарии связь гибридных нод с облаком DION является обязательным условием для работы конференций, так как в облако передаются сигнальная информация и управляющие команды.
Компоненты DION, вынесенные в гибридную архитектуру, представлены на схеме слева зеленым цветом:
| Наименование компонентна | Описание компонента |
|---|---|
| MEDIA (SFU + Audiohub) | компонент, отвечающий за обработку аудио и видео-потоков |
| Recorder, Record Converter, Record delivery | компоненты, отвечающие за создание, конвертацию и скачивание пользователями видеозаписей конференций |
| TURN | компонент, отвечающий за подключение внешних пользователей ко внутренним медиа-серверам через NAT |
| Dion Proxy | компонент, отвечающий за обнаружение гибридных нод облаком DION |
| KMS | компонент, отвечающий за хранение секрета для шифрования записей конференции при хранении |
| AD Connector | может быть установлен дополнительно для автоматической синхронизации списка пользователей DION с AD, не описан в данном руководстве |
Компоненты могут быть дублированы с целью обеспечения отказоустойчивости и масштабирования.
¶ Подготовка
Прежде, чем перейти к редактированию конфигураций, убедитесь в том, что выполнены следующие шаги:
- Изучите требования к ресурсам гибридных нод DION для вашей инсталляции.
- Определите количество нод каждого типа, исходя из параметров масштабирования, указанных в одноименном столбце таблицы с ресурсами.
- Разверните необходимое количество виртуальных машин/серверов и установите на них операционную систему. Рекомендуем использовать Ubuntu.
- Проверьте, что открыты все необходимые сетевые доступы.
- Если вы планируете производить и хранить записи конференций в контуре предприятия:
- разверните S3 хранилище. В рамках пилотной инсталляции можно воспользоваться тестовым образом S3 Minio, предоставленным DION. Для этого в явном виде сообщите вашей аккаунт-команде о намерении использовать тестовый образ.
- проверьте, что на машинах, на которых будет развернут сервис Recorder, установлен Docker.
- для скачивания записей в гибриде необходимо выпустить сертификат и ключ, подписанные доверенным CA вашей организации, в противном случае браузер будет предупреждать о небезопасности сайта
6. Передайте вашей аккаунт-команде белый IP адрес будущих серверов TURN и dion-proxy.
7. Если вы планируете внедрение нескольких нод Record Delivery, для балансировки нагрузки необходимо задать для них общую DNS запись.
На период установки гибридных нод необходимо наличие доступа в репозиторий операционной системы для установки необходимых зависимостей. При отсутствии доступа к публичному репозиторию некоторые пакеты не будут установлены корректно.
¶ Получение образов компонентов DION
Передайте белые адреса будущих TURN и dion-proxy серверов вашей аккаунт команде или службе поддержки пользователей (support@diongo.ru) и запросите в ответ сертификаты, выпущенные для вашей организации.
Для выдачи сертификатов нам необходимо получить от вас белые адреса серверов dion-proxy и TURN.
Если серверов каждого типа несколько, требуется указать адрес для каждого из них.
Образы можно скачать по ссылке в виде .deb (или .rpm) пакетов и образов контейнеров в следующем составе:
¶ Для проведения конференций в контуре предприятия:
Сервис MEDIA:
- dion-sfu.deb
- dion-audiohub.deb
Сервис dion-proxy:
- dion-proxy.deb
Сервис TURN:
- coturn.deb
¶ Для сервиса записи, шифрования и хранения записей конференций:
Сервис Recorder:
- recorder.deb
- vscreen_transcoder.tar
Сервис Record Delivery:
- dion-record-delivery.deb
Сервис Record Converter:
- dion-record-converter.deb
Сервис KMS (может быть установлен на любой из VM, например, на MEDIA):
- kms.deb
Если вы планируете пилотную инсталляцию с использованием демо-образа S3, вы также должны скачать архив:
- s3_demo_storage.zip (содержит три файла: readme, docker.image, docker-compose.yml)
Дополнительно вам должны быть предоставлены следующие файлы:
- текстовый файл, содержащий ID вашей организации в DION, org_id.txt
- симметричный ключ аутентификации TURN сервера в виде текстового файла TURN_secret.txt
- сертификат и ключ для вашей организации (.crt и .key), сроком действия на 1 год
- сертификат удостоверяющего центра (.pem)
¶ Установка компонентов DION
Примеры в данном разделе приведены для ОС Ubuntu
Если в процессе установки и конфигурации возникнут ошибки, рекомендуем воспользоваться руководством по устранению неисправностей.
На период установки гибридных нод необходимо наличие доступа в репозиторий операционной системы для установки необходимых зависимостей. При отсутствии доступа к публичному репозиторию некоторые пакеты не будут установлены корректно.
- Перенесите образы на соответствующие сервера/виртуальные машины
- Перенесите файлы (.txt и сертификаты) из списка выше на каждый из серверов/виртуальных машин
- Установите .deb пакеты
- Запустите апдейт репозиториев:
sudo apt update
sudo apt upgrade
- Запустите установку пакета с помощью вашего менеджера пакетов, например
apt
sudo apt install -f {путь к файлу}
4. Загрузите образ контейнера vscreen_transcoder.tar в docker на машине, где будет установлен Recorder.
Обратите внимание, что на машине требуется предварительно установить docker.
Рекомендуем воспользоваться официальной инструкцией на сайте Docker.
sudo docker load -i {путь к образу vscreen_transcoder.tar}
Если при установке TURN возникла ошибка:
The following packages have unmet dependencies:
coturn : Depends: libssl1.1 (>= 1.1.0) but it is not installable
E: Unable to correct problems, you have held broken packages.
Выполните следующие команды и повторите установку:
echo "deb http://security.ubuntu.com/ubuntu focal-security main" | sudo tee /etc/apt/sources.list.d/focal-security.list
sudo apt-get update
sudo apt-get install libssl1.1
¶ S3 хранилище для записей
Наличие S3 хранилища является обязательным требованием для проведения записи конференций в гибриде.
Если вы не планируете использовать запись, пропустите эту секцию и переходите к секции “Конфигурирование гибридных сервисов DION”.
Предполагается, что в вашей организации существует S3 хранилище, которое может быть использовано DION для хранения аудио и видео записей конференций. Просим вас заблаговременно создать bucket (директорию для хранения записей), а также пару access-key и secret-key для доступа на S3 хранилище. В конфигурационных файлах DION указываются IP адрес S3 и порт доступа, имя bucket, access-key и secret-key.
Если инсталляция пилотная, вы можете запросить демо-образ S3 у вашей аккаунт-команды.
⚠️ Обратите внимание, демо-образ не подходит для продуктивной инсталляции, так как не поддерживает отказоустойчивость.
Рекомендуем установить minio на отдельной VM.
Для установки на машине требуются docker и docker-compose.
Если произошла перезагрузка и демо-S3 не стартовал автоматически, выполните шаги 4 и 5 инструкции ниже, чтобы запустить сервис заново.
Ниже приведены шаги по развертыванию демо-образа:
1. Распакуйте полученный архив на нужную виртуальную машину
2. Установите на ней docker и docker-compose
Рекомендуем воспользоваться официальной инструкцией на сайте Docker.
3. В файле docker-compose.yml посмотрите и поменяйте при необходимости логин и пароль для доступа к minio. Эти учетные данные используются при входе в minio через веб-интерфейс.
environment:
MINIO_ROOT_USER: {имя пользователя}
MINIO_ROOT_PASSWORD: {пароль}
4. Выполните команду
docker load -i {/путь/minio-release-2023-01-31.docker.image}
5. Перейдите в папку, где лежит файл docker-compose.yml и выполните команду
docker-compose up -d
6. Перейдите в веб-консоль minio по адресуhttp://{IP выбранной VM}:9000
7. Создайте из веб-интерфейса новый bucket и пару access-key и secret key. Запишите имя bucket и ключи.
Запишите ключи сразу же в процессе создания, потом посмотреть их может быть невозможно.
¶ Конфигурирование гибридных сервисов DION
Примеры в данном разделе приведены для ОС Ubuntu
Для редактирования конфигурационных файлов и перезапуска сервисов вам потребуются root права.
При недостатке прав используйте sudo перед каждой командой или введите sudo su один раз в начале работы.
Если какая-либо из гибридных нод будет запущена в нескольких экземплярах, настройки нужно выполнить на каждом экземпляре.
¶ Cервис TURN
Не забудьте передать внешний IP-адрес вашего TURN сервера вашей аккаунт-команде, иначе использовать сервис не получится.
Перейдите в cli ноды, на которой установлен пакет turn.deb
1. Откройте на редактирование конфигурационный файл /etc/turnserver.conf
sudo nano /etc/turnserver.conf
2. Добавьте следующие строки в начало файла:
listening-port=3478
fingerprint
use-auth-secret
realm=turn
simple-log
verbose
- Опция
verboseвключает подробное логирование. Если сервис работает нормально и нет необходимости в наличии логов, строку можно закомментировать.
3. Добавьте в файл строку external-ip=xxx.xxx.xxx.xxx.
- Впишите вместо XXX внешний IP-адрес вашего TURN (например, 92.168.1.1):
external-ip=92.168.1.1
Если ваш TURN имеет два сетевых интерфейса, необходимо вместо
external-ipуказать дополнительные параметры:listening-ip=xx.xx.xx.xx - внешний адрес, на котором TURN слушает пользовательские запросы из Интернета
relay-ip=xx.xx.xx.xx - адрес внутреннего интерфейса, который перенаправляет запросы в сторону гибридных сервисов DION
5. Добавьте в файл строку static-auth-secret=xxx
- Впишите вместо XXX значение turn secret из файла TURN_secret.txt:
static-auth-secret=ZZzyYyRrRZZzyYyRrR00ZZzyYyRrR00ZZzyYyRrR00YYyZz
Если ваш TURN должен работать по 443 TCP, выполните следующие действия:
1. Скопируйте файлы сертификата и ключа в директорию /bin с заменой расширения на .pem:
cp <исходный путь>.key /bin/<имя файла ключа>.pem
cp <исходный путь>.crt /bin/<имя файла сертификата>.pemДобавьте в turnserver.conf следующие строки:
tls-listening-port=443
cert=/bin/путь_к_вашему_сертификату.pem
pkey=/bin/путь_к_вашему_ключу.pem
dh2066⚠️ Важно поместить сертификаты именно в директорию /bin и изменить расширение на .pem
6. Сохраните изменения в файле
ctrl+O ctrl+X в Nano
7. Выполните перезагрузку сервиса
rm /lib/systemd/system/coturn.servicesystemctl daemon-reload
8. Откройте на редактивароние файл /etc/default/coturn
- Раскомментируйте строку
TURNSERVER_ENABLED=1
- Сохраните изменения в файле
ctrl+O ctrl+X в Nano
9. Перезапустите сервис
systemctl stop coturn
systemctl start coturn
10. Убедитесь, что сервис запущен без ошибок и находится в статусе active (running)
systemctl status coturn
Если сервис не запускается, обратитесь к вашей аккаунт-команде за помощью в настройке.
¶ Cервис DION-PROXY
Перейдите в cli ноды, на которой установлен пакет dion-proxy.deb
1. Откройте на редактирование конфигурационный файл /etc/dion/proxy.yaml
sudo nano /etc/dion/proxy.yaml
Все переменные, требующие редактирования, находятся в первой части файла. Следуйте комментариям и инструкции ниже.
При редактировании файла очень важно сохранить исходную табуляцию!
2. В переменной organizationID: укажите ID вашей организации в кавычках. Его можно взять в файле org_id.txt, который вы получили вместе с образами
organizationID: "a2ae8888-b888-4efe-eaee-cf865535555”
Не забудьте поставить пробел между двоеточием и кавычками!
3. Перейдите в секцию grpcOuter:
- Впишите в переменную
host:локальный IP-адрес данной ноды proxy, например, 192.168.1.1. Это адрес, по которому dion-proxy должен быть доступен для других компонентов гибрида
host: "192.168.1.1"
- Впишите в переменную
publicHost:внешний белый IP-адрес данной ноды сервиса dion-proxy, например, 92.68.1.1. Это адрес, по которому dion-proxy должен быть доступен для облака DION
publicHost: "92.168.1.1"
- Впишите в соответствующие переменные полные пути к сертификатам, которые вы загрузили на устройство на этапе подготовки
caCertFile: "путь_к_вашему_сертификату.pem"
serverCertFile: "путь_к_вашему_сертификату.crt"
serverKeyFile: "путь_к_вашему_ключу.key"
4. Перейдите в секцию grpcInner:
- Впишите в переменную
host:локальный IP-адрес данной ноды proxy, например, 192.168.1.1. Это адрес, по которому dion-proxy должен быть доступен для других компонентов гибрида
host: "192.168.1.1"
5. Перейдите в секцию cloudGateway:
- Впишите в соответствующие переменные полные пути к сертификатам, которые вы загрузили на устройство на этапе подготовки
Внимание! Имена переменных в этой секции отличаются от секции
grpcOuter. Не копируйте секцию целиком!
caCertClientsGWFile: "путь_к_вашему_сертификату.pem"
clientCertFile: "путь_к_вашему_сертификату.crt"
clientKeyFile: "путь_к_вашему_ключу.key"
6. Перейдите в секцию, перечисляющую адреса других сервисов DION
- В переменных
host:укажите локальные IP-адреса серверов, на которых развернуты соответствующие медиа-компоненты (например, 192.168.1.2) и сервисы записи (например, 192.168.1.3). Порты не меняйте.
Обратите внимание, адреса сервисов необходимо писать в строке
host:, а не в строке с именем сервиса
sfus:
- host: 192.168.1.2
commandGRPCPort: 9016
healthCheck:
connectionType: http
port: 8016
audioHubs:
- host: 192.168.1.2
commandGRPCPort: 9019
healthCheck:
connectionType: http
port: 8019
Если вы не планируете разворачивать сервисы записи, не заполняйте секции ниже
recorders:
- host: 192.168.1.3
commandGRPCPort: 9037
healthCheck:
connectionType: http
port: 8037
recordConverters:
- host: 192.168.1.3
healthCheck:
connectionType: http
port: 8062
recordDeliverys:
- host:192.168.1.3
healthCheck:
connectionType: http
port: 443
kmsServices:
- host:
healthCheck:
connectionType: http
port: 8135
- Если у вас будет запущено несколько экземпляров какого-либо компонента, например, SFU, необходимо перечислить все экземпляры в виде списка.
В списке очень важно сохранить исходную табуляцию!
sfus:
- host: 192.168.1.2
commandGRPCPort: 9016
healthCheck:
connectionType: http
port: 8016
- host: 192.168.1.4
commandGRPCPort: 9016
healthCheck:
connectionType: http
port: 8016
7. Сохраните изменения в файле
ctrl+O ctrl+X в Nano
8. Перезапустите сервис
systemctl stop dion-proxy
systemctl start dion-proxy
9. Убедитесь, что сервис запущен без ошибок и находится в статусе active (running)
systemctl status dion-proxy
Если сервис не запускается, обратитесь к вашей аккаунт-команде за помощью в настройке.
¶ Cервис SFU
Перейдите в cli ноды, на которой установлен пакет sfu.deb
- Откройте на редактирование конфигурационный файл
/etc/dion/sfu.yaml
sudo nano /etc/dion/sfu.yaml
Все переменные, требующие редактирования, находятся в первой части файла. Следуйте комментариям и инструкции ниже.
При редактировании файла очень важно сохранить исходную табуляцию!
2. Перейдите в секцию mediacontrollerGateway:
- Впишите в переменную
hostIP-адрес вашей dion-proxy ноды (например, 192.168.1.1) вместо URL
- host: 192.168.1.1
Если нод Proxy несколько, необходимо указать все в виде списка:
- host: 192.168.1.1
port: 9764
- host: 192.168.1.2
port: 9764
3. Сохраните изменения в файле
ctrl+O ctrl+X в Nano
4. Перезапустите сервис SFU
systemctl stop dion-sfu
systemctl start dion-sfu
5. Убедитесь, что сервис запущен без ошибок
systemctl status dion-sfu
Если сервис не запускается, обратитесь к вашей аккаунт-команде за помощью в настройке.
¶ Cервис Audiohub
Перейдите в cli ноды, на которой установлен пакет audiohub.deb
1. Откройте на редактирование конфигурационный файл /etc/dion/audiohub.conf
sudo nano /etc/dion/audiohub.conf
Все переменные, требующие редактирования, находятся в первой части файла. Следуйте комментариям и инструкции ниже.
2. В переменную NET_INTERFACE_NAME запишите имя активного сетевого интерфейса вашего сервера (например, eth0). Посмотреть имя интерфейса можно командой ifconfig
NET_INTERFACE_NAME=eth0
3. Перечислите адреса нод Proxy в переменной GW_ADDRESSES, укажите порт 9764 через двоеточие для каждого адреса:
GW_ADDRESSES=192.168.1.1:9764
Если их несколько, перечислите через запятую без пробелов:
GW_ADDRESSES=192.168.1.1:9764,192.168.1.2:9764
4. В переменной ORGANIZATION укажите ID вашей организации без кавычек. Его можно взять в файле org_id.txt, который вы получили вместе с образами
ORGANIZATION=a2ae8888-b888-4efe-eaee-cf865535555
В шагах 5 и 6 описаны настройки, позволяющие включить аудиозапись конференций. Обязательным условием для этого является наличие S3 хранилища. По умолчанию аудиозаписи хранятся в S3 в незашифрованном виде. Для поддержки шифрования необходим сервис DION-KMS.
Если вы не планируете использовать функцию аудиозаписи конференций в гибриде, не заполняйте эти строки. При попытке создать аудиозапись пользователь получит ошибку.
5. Чтобы включить шифрование аудиозаписей, измените значение RECORD_ENCRYPTION_ENABLED на true и укажите адреса всех нод KMS в переменной KMS_ADDRESSES. Адреса указываются через запятую, порт 9135 указывается через двоеточие для каждого адреса. Если шифрование не требуется, оставьте значения переменных по умолчанию.
RECORD_ENCRYPTION_ENABLED=true
KMS_ADDRESSES=192.168.1.3:9135,192.168.1.4:9135
6. Перейдите в секцию #S3
- Чтобы включить аудиозапись, поменяйте значение
S3_ENABLEDнаtrue
S3_ENABLED=true
- Укажите в переменной
S3_API_URLлокальный адрес сервера (например, 192.168.1.3), на котором работает S3 и нужный порт (9000 по умолчанию):
S3_API_URL=192.168.1.3:9000
- Впишите данные для использования S3 в переменные ниже, их можно посмотреть на портале minio:
S3_ACCESS_KEY={access_key}
S3_SECRET_KEY={secret}
S3_BUCKET_NAME={name}
Имя bucket должно совпадать в конфигурационных файлах сервисов audiohub, recorder, record-delivery, record-converter!
7. Сохраните изменения в файле
ctrl+O ctrl+X в Nano
8. Перезапустите сервис
systemctl stop dion-audiohub
systemctl start dion-audiohub
9. Убедитесь, что сервис запущен без ошибок и находится в статусе active (running)
systemctl status dion-audiohub
Если сервис не запускается, обратитесь к вашей аккаунт-команде за помощью в настройке.
Audiohub помимо микширования аудио-потоков может создавать хранимые в контуре организации аудиозаписи конференций DION.
Будет доступно в следующих версиях DION гибрид.
¶ Cервис записи конференций
¶ Сервис KMS
Если вы планируете развернуть несколько KMS нод, их конфигурационные файлы должны быть идентичны. Используйте одинаковый секрет для шифрования!
Перейдите в cli ноды, на которой установлен пакет kms.deb
1. Откройте на редактирование конфигурационный файл /etc/dion/kms.yaml
sudo nano /etc/dion/kms.yaml
2. В переменную recordsMasterKeySecret: впишите произвольную строку. Эта строка будет использоваться при генерации ключа шифрования для хранения записей конференций в S3. Строка указывается без кавычек через пробел после двоеточия, например:
recordsMasterKeySecret: averysecretstring
3. Сохраните изменения в файле
ctrl+O ctrl+X в Nano
4. Перезапустите сервис SFU
systemctl stop dion-kms
systemctl start dion-kms
5. Убедитесь, что сервис запущен без ошибок
systemctl status dion-kms
Если сервис не запускается, обратитесь к вашей аккаунт-команде за помощью в настройке.
¶ Сервис Recorder
На данной машине должен быть установлен
dockerНеобходимо загрузить в docker образ контейнера
vscreen_transcoder.tarДля этого выполните команду:
sudo docker load -i {путь к образу vscreen_transcoder.tar}
Перейдите в cli ноды, на которой установлен пакет recorder.deb
1. Откройте на редактирование конфигурационный файл /etc/dion/recorder.conf
sudo nano /etc/dion/recorder.conf
Все переменные, требующие редактирования, находятся в первой части файла. Следуйте комментариям и инструкции ниже.
2. В переменную NET_INTERFACE_NAME запишите имя активного сетевого интерфейса вашего сервера (например, eth0). Посмотреть имя интерфейса можно командой ifconfig
NET_INTERFACE_NAME=eth0
3. Укажите в переменной CAPI_GW_ADDRESSES локальный адрес сервиса dion-proxy и, через двоеточие, порт 9764 для каждого адреса:
CAPI_GW_ADDRESSES=192.168.1.1:9764
- Если их несколько, перечислите через запятую без пробелов:
CAPI_GW_ADDRESSES=192.168.1.1:9764,192.168.1.2:9764
4. Перейдите в секцию #S3
- Укажите в переменной
API_URLлокальный адрес сервера (например, 192.168.1.3), на котором работает S3, и порт (9000 по умолчанию):
API_URL=192.168.1.3:9000
- Впишите данные для использования S3 в переменные ниже, их можно посмотреть на портале minio:
ACCESS_KEY={access_key}
SECRET_KEY={secret}
BUCKET_NAME={name}
Имя bucket должно совпадать в конфигурационных файлах сервисов audiohub, recorder, record-delivery, record-converter!
5. В переменной ORGANIZATION укажите ID вашей организации без кавычек. Его можно взять в файле org_id.txt, который вы получили вместе с образами
ORGANIZATION=af4587ec-1a70-487a-87fd-9472bf93edf0
В пункте 6 описаны настройки, позволяющие включить шифрование записей конференций при хранении. По умолчанию записи хранятся в S3 в незашифрованном виде. Для поддержки шифрования необходим сервис DION-KMS.
6. Чтобы включить шифрование записей, измените значение RECORD_ENCRYPTION_ENABLED на true и укажите адреса всех нод KMS в переменной KMS_ADDRESSES. Адреса указываются через запятую, порт 9135 указывается через двоеточие для каждого адреса. Если шифрование не требуется, оставьте значения переменных по умолчанию.
RECORD_ENCRYPTION_ENABLED=true
KMS_ADDRESSES=192.168.1.3:9135,192.168.1.4:9135
7. Сохраните изменения в файле
ctrl+O ctrl+X в Nano
8. Перезапустите сервис
systemctl stop dion-recorder
systemctl start dion-recorder
9. Убедитесь, что сервис запущен без ошибок и находится в статусе active (running)
systemctl status dion-recorder
Если сервис не запускается, обратитесь к вашей аккаунт-команде за помощью в настройке.
¶ Cервис Record Converter
Перейдите в cli ноды, на которой установлен пакет dion-record-converter.deb
1. Откройте на редактирование конфигурационный файл /etc/dion/record-converter.conf
sudo nano /etc/dion/record-converter.conf
Все переменные, требующие редактирования, находятся в первой части файла. Следуйте комментариям и инструкции ниже.
2. В переменную NET_INTERFACE_NAME запишите имя активного сетевого интерфейса вашего сервера (например, eth0). Посмотреть имя интерфейса можно командой ifconfig
NET_INTERFACE_NAME=eth0
3. Укажите в переменной CAPI_GW_ADDRESSES локальный адрес сервиса dion-proxy и, через двоеточие, порт 9764:
CAPI_GW_ADDRESSES=192.168.1.1:9764
- Ecли их несколько, перечислите через запятую без пробелов:
CAPI_GW_ADDRESSES=192.168.1.1:9764,192.168.1.2:9764
4. Перейдите в секцию #S3
- Укажите в переменной
API_URLлокальный адрес сервера (например, 192.168.1.3), на котором работает S3 и нужный порт (9000 по умолчанию):
API_URL=192.168.1.3:9000
- Впишите данные для использования S3 в переменные ниже, их можно посмотреть на портале minio:
ACCESS_KEY={access_key}
SECRET_KEY={secret}
BUCKET_NAME={name}
Имя bucket должно совпадать в конфигурационных файлах сервисов audiohub, recorder, record-delivery, record-converter!
5. В переменной ORGANIZATION укажите ID вашей организации без кавычек. Его можно взять в файле org_id.txt, который вы получили вместе с образами
ORGANIZATION=af4587ec-1a70-487a-87fd-9472bf93edf0
В пункте 6 описаны настройки, позволяющие включить шифрование записей конференций при хранении. По умолчанию записи хранятся в S3 в незашифрованном виде. Для поддержки шифрования необходим сервис DION-KMS.
6. Чтобы включить шифрование записей, измените значение SUPPORT_ENCRYPTED_RECORDS на true и укажите адреса всех нод KMS в переменной KMS_ADDRESSES. Адреса указываются через запятую, порт 9135 указывается через двоеточие для каждого адреса. Если шифрование не требуется, оставьте значения переменных по умолчанию.
SUPPORT_ENCRYPTED_RECORDS=true
KMS_ADDRESSES=192.168.1.3:9135,192.168.1.4:9135
7. Сохраните изменения в файле
ctrl+O ctrl+X в Nano
8. Перезапустите сервис
systemctl stop dion-record-converter
systemctl start dion-record-converter
9. Убедитесь, что сервис запущен без ошибок и находится в статусе active (running)
systemctl status dion-record-converter
Если сервис не запускается, обратитесь к вашей аккаунт-команде за помощью в настройке.
¶ Cервис Record Delivery
Перейдите в cli ноды, на которой установлен пакет dion-record-delivery.deb
1. Откройте на редактирование конфигурационный файл /etc/dion/record-delivery.conf
sudo nano /etc/dion/record-delivery.conf
Все переменные, требующие редактирования, находятся в первой части файла. Следуйте комментариям и инструкции ниже.
2. Переменная MAX_USER_DOWNLOADS_COUNT_PER_MINUTE устанавливает ограничение на количество скачиваний одним пользователем в минуту. Если необходимо, поменяйте ее значение.
MAX_USER_DOWNLOADS_COUNT_PER_MINUTE=3
- Переменная TRUSTED_IP_SUBNETS перечисляет подсети, для которых это ограничение не действует. Можно оставить эту переменную пустой:
TRUSTED_IP_SUBNETS=
3. В переменную NET_INTERFACE_NAME запишите имя активного сетевого интерфейса вашего сервера (например, eth0). Посмотреть имя интерфейса можно командой ifconfig
NET_INTERFACE_NAME=eth0
4. Пропишите полные пути к сертификатам. Здесь необходимо использовать сертификаты, выпущенные вашим доверенным CA. Если использовать сертификаты, предоставленные DION, пользователи получат предупреждение о потенциальной опасности сайта при скачивании видео:
HTTP_CERT_FILE_PATH=путь_к_вашему_сертификату.crt
HTTP_KEY_FILE_PATH=путь_к_вашему_ключу.key
5. Укажите в переменной CAPI_GW_ADDRESSES локальный адрес сервиса dion-proxy и, через двоеточие, порт 9764 для каждого адреса:
CAPI_GW_ADDRESSES=192.168.1.1:9764
- Ecли их несколько, перечислите через запятую без пробелов:
CAPI_GW_ADDRESSES=192.168.1.1:9764,192.168.1.2:9764
6. Перейдите в секцию #S3
- Укажите в переменной
API_URLлокальный адрес сервера (например, 192.168.1.3), на котором работает S3 и нужный порт (9000 по умолчанию):
API_URL=192.168.1.3:9000
- Впишите данные для использования S3 в переменные ниже, их можно посмотреть на портале minio:
ACCESS_KEY={access_key}
SECRET_KEY={secret}
BUCKET_NAME={name}
Имя bucket должно совпадать в конфигурационных файлах сервисов audiohub, recorder, record-delivery, record-converter!
В пункте 7 описаны настройки, позволяющие включить шифрование записей конференций при хранении. По умолчанию записи хранятся в S3 в незашифрованном виде. Для поддержки шифрования необходим сервис DION-KMS.
7. Чтобы включить шифрование записей, измените значение SUPPORT_ENCRYPTED_RECORDS на true и укажите адреса всех нод KMS в переменной KMS_ADDRESSES. Адреса указываются через запятую, порт 9135 указывается через двоеточие для каждого адреса. Если шифрование не требуется, оставьте значения переменных по умолчанию.
SUPPORT_ENCRYPTED_RECORDS=true
KMS_ADDRESSES=192.168.1.3:9135,192.168.1.4:9135
8. В переменной ORGANIZATION укажите ID вашей организации без кавычек. Его можно взять в файле org_id.txt, который вы получили вместе с образами
ORGANIZATION=af4587ec-1a70-487a-87fd-9472bf93edf0
9. Сохраните изменения в файле
ctrl+O ctrl+X в Nano
10. Перезапустите сервис
systemctl stop dion-record-delivery
systemctl start dion-record-delivery
11. Убедитесь, что сервис запущен без ошибок и находится в статусе active (running)
systemctl status dion-record-delivery
Если сервис не запускается, обратитесь к вашей аккаунт-команде за помощью в настройке.
¶ Административные настройки
Для запуска гибридного режима, перейдите в административную панель DION.
- В настройках организации активируйте настройки гибридного режима (большая кнопка “Настройки Гибридного Режима”)
В релизе 4.9 в административной панели зафиксирован баг, переключатель “Настройки Гибридного Режима” деактивируется автоматически. Это не влияет на заданные настройки. Для редактирования настроек при следующем входе просто переключите его обратно во включенное состояние.
- Проверьте все настройки в разделе Конференции
Необходимо включить “Возможность переноса конференции в On-Premise”. Остальные настройки можно редактировать на ваше усмотрение.
Для подключения внешних пользователей, активируйте настройку “Свободный доступ к On-Premise конференциям”.
Если вы установили сервисы записи:
- В разделе Видеохостинг включите запись в On-Premise
- Активируйте переключатель “Отправка ссылки на скачивание записи по email”
- Введите в поле “Адрес для скачивания записи в гибридной архитектуре” адрес вашей ноды Record Delivery в формате:
https://IP_адрес или FQDN:443/v1/file
Необходимо вводить адрес именно в формате выше, иначе интерфейс выдаст ошибку при попытке сохранить настройки.
- Если Record Delivery несколько, вместо IP укажите DNS имя:
https://FQDN:443/v1/file
¶ Ожидаемый результат
В результате выполнения шагов из данного руководства ожидается:
- Можно создать комнату в DION, в настройках безопасности комнаты можно выбрать “On-Premise”
- Созданная комната запускается без ошибок
- В комнату могут подключиться пользователи из внутренней сети предприятия и пользователи из интернета (если это разрешено в настройках), видят и слышат друг друга
- В комнате можно включить запись и аудиозапись, если развернуты гибридные компоненты записи
- Созданная запись доступна для скачивания по ссылке из автоматически сгенерированного письма