Kurzzusammenfassung
Hier geht es zur Übersicht der Tarife.
Sowohl im Tarif Mitarbeiter App als auch im Tarif Intranet + Mitarbeiter App bekommst du einen Server, den wir für dich hosten. Alternativ kannst du uns einen Server bereitstellen, auf dem wir dein Just Social installieren (on premise). WICHTIG: Wenn du einen Server bereitstellst, muss dieser alle unten detailliert beschriebenen Hardware- und Softwareanforderungen erfüllen! Dazu gehört auch ein permanenter Root-Zugriff für uns auf den Server, damit wir den bestmöglichen Support für dich leisten können.
Just Social kann im Desktopbereich auf allen gängigen Betriebssystemen in Web-Browsern verwendet werden.
Mobil kann Just Social auf Android und iOS Handys über die Just Social Mobile Apps verwendet werden.
1. Clients
1.1. Desktop
Just Social wird als Web-Anwendung auf einem Server betrieben, auf den die Person mittels Web-Browser als Client zugreift. Folgende Browser werden offiziell in ihrer jeweils aktuellen Version unterstützt:
- Microsoft Edge mit Chromium Technologie
- Mozilla Firefox
- Chrome
- Safari
Optional kann für das lokale Bearbeiten von Dokumenten unser File Sync-Client installiert werden. Dieser läuft auf Microsoft Windows (ab Windows 10) und auf Mac OS (ab 10.15 Catalina).
1.2. Mobil
Mobil kann Just Social über die Just Social Mobile Apps auf iOS und Android Handys genutzt werden. Welche Versionen genau unterstützt werden, kannst du hier nachlesen.
2. Server
Auf dem Server dürfen keine weiteren, nicht von Just Software installierten Anwendungen installiert/betrieben werden.
Der Server benötigt sowohl während der Installation als auch im Betrieb eine Verbindung in Richtung Internet über HTTP und HTTPS. Dies gilt es vor allen Dingen bei der Verwendung von einem Proxy sicherzustellen. Hierüber werden weitere Abhängigkeiten (Debian Pakete, Docker Container, NPM Pakete) installiert und täglich automatisiert aktualisiert. Des weiteren benötigt die Software Just für den Betrieb (Anzeige von Youtube Videos und Versenden von Push Benachrichtigungen an Mobiltelefone) ebenfalls die Verbindung in Richtung Internet über HTTP und HTTPS.
2.1. Betriebssystem
Just Social ist auf einem Server mit Linux als Betriebssystem zu installieren. Unterstützt werden derzeit Debian oder Ubuntu LTS in der letzten stabilen Version (Debian 12 oder mindestens Ubuntu 22.04 LTS). Es wird eine 64 Bit Variante des Betriebssystem vorausgesetzt.
2.2. Hardware
Just Social ist auf einem virtuellen oder dediziertem Server mit folgenden Hardware-Anforderungen zu installieren:
- x86_64 kompatibel CPU (z.B. Intel Core i7), mindestens Quad-Core oder 4 vCPUs
- Mindestens 16 GB RAM
- Mindestens 100 GB HDD (je nach Anforderungen an Storage (Bilder, Dokumente etc.) auch mehr), wir empfehlen 500GB
- Die Partitionen sollten als LVM eingerichtet werden und der größte Teil der Partitionen muss für das /home/ Verzeichnis verfügbar sein, da dort die Daten liegen.
2.3. Ports
Folgende Ports müssen für den Betrieb von Just Social auf einem Single Server freigeschaltet werden (für ein Cluster s. unter Punkt 2.7):
Inbound
- 80/443 (HTTP/HTTPS): Zugriff vom Browser auf den Server
Outbound
- 80/443 (HTTP/HTTPS)
- 123 (ntpd)
- 25 (SMTP, optional):Alternativ kann auch ein internes Mail Relay angebunden werden.
2.4. Wartungszugang
Es ist ein permanenter Wartungszugang auf alle Just Server für die Just Software AG notwendig. Dieser Wartungszugang wird genutzt für:
- Updaten der Software Just Social
- Installation aller verfügbaren Sicherheitsupdates und Betriebssystemupdates ( 2 mal täglich)
- Monitoring des Just Servers und der installierten Komponenten
- Allgemeine Betreuung und Support des Systems
Es müssen die folgenden Ports des Just Servers erreichbar sein:
-
- 22 (SSH)
- 80/443 (HTTPS)
- 5666 (Monitoring)
Technischer Support und Updates
Die Updates (Betriebssystem und Just) und andere automatisierte Verwaltungstasks werden zentral automatisiert per Ansible ausgeführt. Dafür wird ein direkter SSH Zugriff von unseren Serversystemen zum Just Server benötigt. Personenbasierte Zugänge von lokalen Mitarbeiter Rechnern oder RDP Jumphost Verbindungen über Putty sind nicht möglich.
Der Wartungszugang kann entweder per Site-to-Site VPN (Empfehlung) oder über ein Port Forwarding realisiert werden. Ein Beispiel Template für einen VPN Tunnel findet sich weiter unten. Eine feste IP für das Port Forwarding ist auf unserer Seite ebenfalls vorhanden.
Auch Alternativen wie ein SSH Jumphost, Sina oder Genu Boxen sind möglich. Wichtig ist, dass von unseren zentralen Serversystemen die Ansible Playbooks sich mit dem Just Server per SSH verbinden können und Aktionen mit root Rechten ausführen können. Entweder direkt oder per sudo.
Kundensupport
Für den Kundensupport benötigen wir Zugriff per Browser (https) zum Just Server.
Template für einen ipsec Site-toSite Tunnel (Empfehlung)
Nach Absprache kann auch von den Werten abgewichen werden. Dieses ist nur ein Standard Vorschlag.
Auth = PSK
PSK= <Passwort das gemeinsam festgelegt werden muss>
Mode = Main
Just Software AG IP = <externe IP der Just Software AG>
Kunden IP = <externe IP des Kunden>
Phase 1
AES 256
SHA 256
DH Group 14
Lifetime 86400
Phase 2
Just Software AG LAN 10.193.74.0/23 (Auf Wunsch kann hier auch NAT gemacht werden)
Kunden LAN = (Hier reicht die interne IP des Just Servers als /32)
ESP
AES 256
SHA 256
PFS Key Group 14 (2048 bit)
Lifetime 86400
Erlaubt werden durch den Tunnel muss:
ssh TCP 22
http TCP 80
https TCP 443
nrpe TCP 5666
2.5. Domain-Name/Hostname
<JUST-URL> -> <IP des Just Server>
Sofern kein internes Mailrelay verwendet wird ist es notwendig einen SPF- und MX Eintrag zu setzen, damit e-Mails vom Server nicht als SPAM markiert werden.
Diese lauten wie folgt:
<JUST-URL> TXT v=spf1 a -all
just_dkim._domainkey.<JUST-URL>
Typ = TXT
Daten = v=DKIM1; k=rsa; p=<publicKey>
DMARC:
_dmarc.<JUST-URL>
Typ = TXT
Daten = v=DMARC1; p=none; rua=mailto:support@just.social
Die genauen Daten erhaltet Ihr dann von unserem Support-Team.
2.6. SSL-Zertifikat (erforderlich)
Just Social muss über eine verschlüsselte HTTPS-Verbindung abgesichert werden.
Die Certificate-Authority der SSL-Zertifikate müssen im verwendeten Browser/Endgerät bekannt sein. Das bedeutet es werden keine self-signed Zertifikate unterstützt.
Just bietet eine automatisierte Lets Encrypt Unterstützung an. Voraussetzung dafür ist, dass der Just Server unter seiner URL aus dem Internet über HTTP/HTTPS erreichbar ist.
Das Zertifikat muss am Just Server eingespielt werden. Aus Sicherheitsgründen darf die SSL Verbindung nicht schon vorher terminiert werden.
2.7. Cluster
Just kann auch im Cluster betrieben werden. In diesem Fall kommt ein Server als Load Balancer (haproxy) zum Einsatz. Die Load-Balancer-Technologie stellen wir und er ist Teil der Software Just Social und übernimmt dann die Verteilung auf die dahinter liegenden Frontend- und Backend-Server.
Ports:
Ab Just 12.10 werden im Cluster-Betrieb folgende Ports (jeweils TCP) für den Load Balancer benötigt und müssen dementsprechend freigeschaltet sein:
Von extern müssen http (80) und https (443) erreichbar sein (http wird dann immer auf https umgeleitet)Vom Load Balancer zu den Frontend/APP Servern
- 1080
- 2181
- 3333
- 5280
- 6060
- 8080
- 9099
- 10090, 10091, 10093, 10094, 10096, 10097
- 13579
Vom Load Balancer zu den Backend Servern
- 8800
Clustersysteme sind in folgenden Varianten möglich:
Cluster S
- Besteht aus insgesamt 3 Servern
- 1 Load Balancer + 1 Frontend-Server + 1 Backend-Server
Cluster M
- Besteht aus insgesamt 5 Servern
- 1 Loadbalancer + 2 Frontend-Server + 1 Storage-Server + 1 Dokumentenvorschau-Server
Cluster L
- Besteht aus insgesamt 12 Servern
- 2 Load Balancer + 4 Frontend-Server + 1 Chat-Server + 1 Storage-Server + 1 Dokumentenvorschau-Server + 2 Suchserver + 1 Datenbank-Server
Kommentare
Bitte melden Sie sich an, um einen Kommentar zu hinterlassen.