
source: Planet-Libre

⇐ retour index

Morot : Installation d’un cluster Zimbra à 6 serveurs

samedi 8 février 2020 à 11:18


Dans cet article, nous allons voir comment installer un cluster Zimbra à six noeuds étape par étape. La répartition des rôles au sein de ce cluster permettra de fournir une architecture résistante aux pannes dans les limites de ce qui est permis par Zimbra. L’installation se fera avec Zimbra version 8.8.15, l’installation ayant peu changé depuis au moins la version 7, il ne devrait pas y avoir de changements pour les versions à venir de la 8.8.

Les quatre grands rôles de serveur dans un cluster Zimbra sont les suivants :

Nos serveurs seront les suivants :

Schématiquement, notre infrastructure ressemblera à ceci :

Pré-requis communs :

Sur chaque serveur on aura pris le soin de télécharger et extraire les sources d’installation :

tar -zxvf zcs-8.8.15_GA_3869.UBUNTU18_64.20190918004220.tgz
cd zcs-8.8.15_GA_3869.UBUNTU18_64.20190918004220/

Installation :

Le premier serveur Zimbra LDAP :

On lance l’installeur sur zldap01, le seul composant que l’on installe étant le zimbra-ldap :


Do you agree with the terms of the software license agreement? [N] Y
Use Zimbra's package repository [Y] Y
Select the packages to install

Install zimbra-ldap [Y] y

Install zimbra-logger [Y] n

Install zimbra-mta [Y] n

Install zimbra-dnscache [N] n

Install zimbra-snmp [Y] n

Install zimbra-store [Y] n

Install zimbra-apache [Y] n

Install zimbra-spell [Y] n

Install zimbra-memcached [Y] n

Install zimbra-proxy [Y] n
Checking required space for zimbra-core


On valide les réglages. L’alerte sur le MX est normale, le domaine étant interne, il ne reçoit pas de mails et donc aucun MX n’est publié. Seul changement, le domaine créé par défaut correspond au nom d’hôte, on modifie pour que cela corresponde au suffixe DNS :

The system will be modified.  Continue? [N] Y
DNS ERROR resolving MX for
It is suggested that the domain name have an MX record configured in DNS
Change domain name? [Yes]
Create domain: []

DNS ERROR resolving MX for
It is suggested that the domain name have an MX record configured in DNS
Re-Enter domain name? [Yes] no
Checking for port conflicts

En principe, s’agissant du premier serveur avec juste un rôle LDAP, il n’y a pas grand chose à retoucher sur le menu de post-installation :

Main menu

   1) Common Configuration:
   2) zimbra-ldap:                             Enabled
   s) Save config to file
   x) Expand menu
   q) Quit

*** CONFIGURATION COMPLETE - press 'a' to apply
Select from menu, or press 'a' to apply config (? - help) a
Save configuration data to a file? [Yes]
Save config in file: [/opt/zimbra/config.5317]
Saving config in /opt/zimbra/config.5317...done.
The system will be modified - continue? [No] Yes
Notify Zimbra of your installation? [Yes] No

C’est tout, notre serveur LDAP est créé. Pour ajouter notre second serveur, on active la réplication LDAP :

su - zimbra
zimbra@zldap01:~$ libexec/zmldapenablereplica
Enabling sync provider on master...succeeded

Installation du LDAP slave :

Pour installer notre serveur LDAP Slave, nous aurons besoin :

Pour les obtenir depuis zldap01 :

zimbra@zldap01:~$ zmlocalconfig  -s ldap_root_password
ldap_root_password = fZhYOIWPu
zimbra@zldap01:~$ zmlocalconfig  -s ldap_replication_password
ldap_replication_password = fZhYOIWPu

On relance le processus d’installation et comme pour le master, le seul package à installer est zibmra-ldap :

Select the packages to install

Install zimbra-ldap [Y] Y


Checking required space for zimbra-core


The system will be modified.  Continue? [N] Y
DNS ERROR resolving MX for
It is suggested that the domain name have an MX record configured in DNS
Change domain name? [Yes] No
Checking for port conflicts

Une fois arrivé au menu de configuration, dans la common configuration il faut définir deux éléments :

La configuration de ces deux éléments sera naturellement à répéter sur les autres noeuds Zimbra.

Ceci a pour effet de raccrocher notre serveur au cluster démarré par le premier serveur LDAP au lieu d’instancier un serveur distinct.

Select, or 'r' for previous menu [r]

Main menu

   1) Common Configuration:
        +Ldap master host:           
        +Ldap port:                            389
******* +Ldap Admin password:                  Not Verified
        +Store ephemeral attributes outside Ldap: no
        +Secure interprocess communications:   yes
        +TimeZone:                             UTC
        +IP Mode:                              ipv4
        +Default SSL digest:                   sha256

   2) zimbra-ldap:                             Enabled
        +Create Domain:                        yes
        +Domain to create:           
        +Ldap replication type:                replica
        +Ldap root password:                   set
******* +Ldap replication password:            Not Verified

   s) Save config to file
   x) Expand menu
   q) Quit

Nous pouvons ensuite aller dans le menu zimbra-ldap pour désactiver la création d’un domaine et surtout définir le mot de passe Ldap replication password (zmlocalconfig -s ldap_replication_password) :

Address unconfigured (**) items and enable ldap replication on ldap master  (? - help) 2

Ldap configuration

   1) Status:                                  Enabled
   2) Create Domain:                           no
   3) Ldap replication type:                   replica
   4) Ldap root password:                      set
** 5) Ldap replication password:               Not Verified

Select, or 'r' for previous menu [r] 5

Password for ldap replication user (min 6 characters): [lQEkl46kG] fZhYOIWPu

Si tout est en ordre, aucun item n’est préfixé d’une étoile et nous pouvons appliquer la configuration.

Main menu

   1) Common Configuration:
   2) zimbra-ldap:                             Enabled
   s) Save config to file
   x) Expand menu
   q) Quit

*** CONFIGURATION COMPLETE - press 'a' to apply
Select from menu, or press 'a' to apply config (? - help) a
Save configuration data to a file? [Yes]
Save config in file: [/opt/zimbra/config.5122]
Saving config in /opt/zimbra/config.5122...done.
The system will be modified - continue? [No] Yes
Notify Zimbra of your installation? [Yes] No

Vérifions que notre cluster comporte bien un second serveur :

su - zimbra
zimbra@zldap02:~$ zmprov gas

Installation des serveurs Proxy/MTA :

L’installation des deux serveurs proxy/mta est identique sur les deux zproxy.

Pour installer nos serveurs ProxyLDAP, nous aurons besoin :

Pour les obtenir depuis zldap01 :

zimbra@zldap01:~$ zmlocalconfig  -s ldap_root_password
ldap_root_password = fZhYOIWPu
zimbra@zldap01:~$ zmlocalconfig  -s ldap_postfix_password
ldap_postfix_password = fZhYOIWPu
zimbra@zldap01:~$ zmlocalconfig  -s ldap_amavis_password
ldap_amavis_password = fZhYOIWPu
zimbra@zldap01:~$ zmlocalconfig  -s ldap_nginx_password
ldap_nginx_password = fZhYOIWPu

On relance le processus d’installation et comme pour le master, les seuls packages à installer sont zibmra-mta, zimbra-proxy et zimbra-memcached :

Do you agree with the terms of the software license agreement? [N] Y
Use Zimbra's package repository [Y]
Select the packages to install

Install zimbra-ldap [Y] n

Install zimbra-logger [Y] n

Install zimbra-mta [Y] Y

Install zimbra-dnscache [Y] n

Install zimbra-snmp [Y] n

Install zimbra-store [Y] n

Install zimbra-apache [Y] n

Install zimbra-spell [Y] n

Install zimbra-memcached [Y] Y

Install zimbra-proxy [Y] Y
Checking required space for zimbra-core


Une fois arrivé au menu de configuration, dans la common configuration il faut définir ces éléments :

Common configuration

   1) Hostname:                      
   2) Ldap master host:              
   3) Ldap port:                               389
   4) Ldap Admin password:                     set
   5) LDAP Base DN:                            cn=zimbra
   6) Store ephemeral attributes outside Ldap: yes
   7) Value for zimbraEphemeralBackendURL:     ldap://default
   8) Secure interprocess communications:      yes
   9) TimeZone:                                UTC
  10) IP Mode:                                 ipv4
  11) Default SSL digest:                      sha256

Select, or 'r' for previous menu [r]

Dans la configuration zimbra-mta il faut définir ces éléments :

Mta configuration

   1) Status:                                  Enabled
   2) Enable Spamassassin:                     yes
   3) Enable Clam AV:                          yes
   4) Enable OpenDKIM:                         yes
   5) Notification address for AV alerts:
   6) Bind password for postfix ldap user:     set
   7) Bind password for amavis ldap user:      set

Select, or 'r' for previous menu [r]

Dans la configuration zimbra-proxy il faut définir ces éléments :

Proxy configuration

   1) Status:                                  Enabled
   2) Enable POP/IMAP Proxy:                   TRUE
   3) Enable strict server name enforcement?   TRUE
   4) IMAP server port:                        7143
   5) IMAP server SSL port:                    7993
   6) IMAP proxy port:                         143
   7) IMAP SSL proxy port:                     993
   8) POP server port:                         7110
   9) POP server SSL port:                     7995
  10) POP proxy port:                          110
  11) POP SSL proxy port:                      995
  12) Bind password for nginx ldap user:       set
  13) Enable HTTP[S] Proxy:                    TRUE
  14) Web server HTTP port:                    8080
  15) Web server HTTPS port:                   8443
  16) HTTP proxy port:                         80
  17) HTTPS proxy port:                        443
  18) Proxy server mode:                       redirect

Select, or 'r' for previous menu [r]

Installation des serveurs Mailstore :

L'installation des deux serveurs proxy/mta est identique sur les deux zproxy.

Pour installer nos serveurs Mailstore, nous aurons besoin :

Sur le mailstore zstore01 uniquement, le package zimbra-logger sera déployé. Il s'agit d'un rôle unique au sein du cluster.

Do you agree with the terms of the software license agreement? [N] Y
Use Zimbra's package repository [Y]
Select the packages to install

Install zimbra-ldap [Y] n

Install zimbra-logger [Y] Y

Install zimbra-mta [Y] n

Install zimbra-dnscache [N] n

Install zimbra-snmp [Y] n

Install zimbra-store [Y] y

Install zimbra-apache [Y] y

Install zimbra-spell [Y] y

Install zimbra-memcached [Y] n

Install zimbra-proxy [Y] n

Install zimbra-drive [Y] n

Install zimbra-imapd (BETA - for evaluation only) [N] n

Install zimbra-chat [Y] n
Checking required space for zimbra-core
Checking space for zimbra-store
Checking required packages for zimbra-store
zimbra-store package check complete.


The system will be modified.  Continue? [N] Y

Une fois arrivé au menu de configuration, dans la common configuration il faut définir ces éléments :

Une fois arrivé au menu de configuration, dans la common configuration il faut définir ces éléments :

Common configuration

   1) Hostname:                      
   2) Ldap master host:              
   3) Ldap port:                               389
   4) Ldap Admin password:                     set
   5) LDAP Base DN:                            cn=zimbra
   6) Store ephemeral attributes outside Ldap: yes
   7) Value for zimbraEphemeralBackendURL:     ldap://default
   8) Secure interprocess communications:      yes
   9) TimeZone:                                UTC
  10) IP Mode:                                 ipv4
  11) Default SSL digest:                      sha256

Select, or 'r' for previous menu [r]

Dans la configuration zimbra-store il faut définir ces éléments :

Main menu

   1) Common Configuration:
   2) zimbra-logger:                           Enabled
   3) zimbra-store:                            Enabled
        +Create Admin User:                    yes
        +Admin user to create:       
******* +Admin Password                        UNSET
        +Anti-virus quarantine user: 
        +Enable automated spam training:       yes
        +Spam training user:         
        +Non-spam(Ham) training user:
******* +SMTP host:                            UNSET
        +Web server HTTP port:                 8080
        +Web server HTTPS port:                8443
        +HTTP proxy port:                      80
        +HTTPS proxy port:                     443
        +Web server mode:                      https
        +IMAP server port:                     7143
        +IMAP server SSL port:                 7993
        +IMAP proxy port:                      143
        +IMAP SSL proxy port:                  993
        +POP server port:                      7110
        +POP server SSL port:                  7995
        +POP proxy port:                       110
        +POP SSL proxy port:                   995
        +Use spell check server:               yes
        +Spell server URL:           
        +Configure for use with mail proxy:    TRUE
        +Configure for use with web proxy:     TRUE
        +Enable version update checks:         TRUE
        +Enable version update notifications:  TRUE
        +Install mailstore (service webapp):   yes
        +Install UI (zimbra,zimbraAdmin webapps): yes

Postinstallation du cluster

Le logger :

Le service logger centralise des statistiques et génère des graphiques de fonctionnement (assez moches...) du cluster Zimbra. Sur une infrastructure importante, c'est un goulot d'étranglement qu'il vaut mieux ne pas déployer, sur un cluster 6 serveurs, cela reste gérable. SSur zmstore01 qui a le rôle logger, nous allons autoriser la réception syslog via le réseau.

vim /etc/rsyslog.conf

Décommenter cette section pour permettre la réception de logs depuis le réseau :

# provides UDP syslog reception
input(type="imudp" port="514")

Et on redémarre syslog :

systemctl restart rsyslog.service

Puis sur tous les serveurs en root, on lance la commande suivante qui aura pour effet de configurer le syslog de chaque serveur pour l'envoi vers le logger :


Finalisation des configurations :

Sur tous les serveurs, on interdit le redémarrage non contrôlé des services. En effet, zmconfigd monitore les changements de configuration et a tendance à redémarrer les services en mode kamikaze.

zmlocalconfig -e "zmconfigd_enable_config_restarts=false"

Sur tous les serveurs on désactive les communications TLS avec leserveur LDAP pour des raisons de performance :

zmlocalconfig -e "zimbra_require_interprocess_security=0"
zmlocalconfig -e ldap_common_require_tls=0
zmlocalconfig -e ldap_starttls_required=false

Sur tous les serveurs on pousse localement les clés SSH pour les communications inter serveur qui passe par ce protocole en exécutant cette commande :

zimbra@zldap01:~$ zmupdateauthkeys
Updating keys for
Fetching key for
Updating keys for
Updating keys for
Fetching key for
Updating keys for
Updating keys for
Fetching key for
Updating keys for
Updating keys for
Fetching key for
Updating keys for
Updating keys for
Fetching key for
Updating keys for
Updating keys for
Fetching key for
Updating keys for
Updating /opt/zimbra/.ssh/authorized_keys

Répartition de charge :

On répartit les flux LDAP :

zldap01, zproxy01, zstore01 :

zmlocalconfig -e "ldap_url=ldap:// ldap://"

zldap02, zproxy02, zstore02 :

zmlocalconfig -e "ldap_url=ldap:// ldap://"

On répartit les flux smtp depuis les stores (pour le flux entrant il suffit d'utiliser la même pondération MX).

Sur zstore01 :

zmprov ms ` zmhostname ` zimbraSmtpHostname ""
zmprov ms ` zmhostname ` +zimbraSmtpHostname ""

Sur zstore02 :

zmprov ms ` zmhostname ` zimbraSmtpHostname ""
zmprov ms ` zmhostname ` +zimbraSmtpHostname ""

Reverse proxyfication des stores :

Sur nos deux stores on s'assure d'être reverse proxyfié :

zmprov ms `zmhostname ` zimbraMailReferMode "reverse-proxied"

Sur les deux proxy on applique une communication en clair entre proxy et store pour des raisons de performance en considérant le réseau suffisamment sûr :

zmprov ms ` zmhostname ` zimbraReverseProxySSLToUpstreamEnabled FALSE

Redémarrage final :

Enfin, on redémarre tous les serveurs avec dans l'ordre LDAP Master, LDAP Slave puis les Proxy/Store :

zmcontrol restart

Optionnel : LDAP Multi-Master :

Sur notre serveur LDAP maître on active la réplication LDAP MMR pour zldap02 :

./libexec/zmldapenable-mmr -s 1 -m ldap://
zmlocalconfig -e ldap_master_url="ldap:// ldap://"
zmlocalconfig -e ldap_url="ldap:// ldap://"
zmcontrol restart

On promouvoie notre LDAP slave zldap02 :
/opt/zimbra/libexec/zmldappromote-replica-mmr -s 2
zmlocalconfig -e ldap_master_url="ldap:// ldap://"
zmcontrol restart

On vérifie notre réplication, les CSN doivent correspondrent :

zimbra@zldap02:~$ libexec/zmreplchk
Master: ldap:// ServerID: 2 Code: 0 Status: In Sync CSNs:
Master: ldap:// ServerID:  Code: 4 Status: Server down
Replica: ldap:// Code: 0 Status: In Sync CSNs:

Enfin, il reste à modifier nos url LDAP sur chaque serveur, en croisant les serveur pour permettre une répartition de charge optimale.

Sur zproxy01 et zstore01 :

zmlocalconfig -e ldap_master_url="ldap:// ldap://"
zmlocalconfig -e ldap_url="ldap:// ldap:// "
zmcontrol restart

Sur zproxy02 et zstore02 :

zmlocalconfig -e ldap_master_url="ldap:// ldap://"
zmlocalconfig -e ldap_url="ldap:// ldap:// "
zmcontrol restart

Une classe de service :

Les classes de service servent à indiquer les fonctionnalités et paramètres par défaut des comptes. Nous allons créer une classe stdMailAccount pour nos boites mail et laisser la COS (Class of service) default intacte et les comptes créés sur cette COS seront répartis aléatoirement entre les deux stores.

zimbra@zstore01:~$ zmprov cpc default stdMailAccount

zimbra@zstore01:~$ zmprov gs zimbraId
# name
zimbraId: e31ae88f-9a15-4988-9a12-81acaa08cfea

zimbra@zstore01:~$ zmprov gs zimbraId
# name
zimbraId: dbbb31b0-7d4e-4e72-b513-b166257e739b

zimbra@zstore01:~$ zmprov mc stdMailAccount zimbraMailHostPool e31ae88f-9a15-4988-9a12-81acaa08cfea
zimbra@zstore01:~$ zmprov mc stdMailAccount +zimbraMailHostPool dbbb31b0-7d4e-4e72-b513-b166257e739b

Enfin, nous allons pousser à titre d'exemple certains paramètres :

zimbra@zstore01:~$ zmprov mc stdMailAccount zimbraDumpsterEnabled TRUE
zimbra@zstore01:~$ zmprov mc stdMailAccount zimbraMailQuota 10485760
zimbra@zstore01:~$ zmprov mc stdMailAccount zimbraPrefCalendarFirstDayOfWeek 1
zimbra@zstore01:~$ zmprov mc stdMailAccount zimbraPrefGroupMailBy message
zimbra@zstore01:~$ zmprov mc stdMailAccount zimbraMaxMailItemsPerPage 100
zmprov mc stdMailAccount zimbraPrefTimeZoneId "GMT+01.00) Brussels / Copenhagen / Madrid / Paris"

Configuration de notre domaine :

On attribue notre COS précédente comme COS par défaut pour tous les nouveaux comptes du domaine

zimbra@zstore01:~$ zmprov gc stdMailAccount zimbraId
# name stdmailaccount
zimbraId: c2d3cad7-5cbf-42e9-aa19-a8cfb7fc6f03

zimbra@zstore01:~$ zmprov md zimbraDomainDefaultCOSId c2d3cad7-5cbf-42e9-aa19-a8cfb7fc6f03

Et accessoirement, nous allons masquer les stores des URL (des partages notamment...) en affectant une URL d'accès qui doit exister dans le DNS.

zimbra@zstore01:~$ zmprov md zimbraPublicServiceHostname

Gravatar de Morot
Original post of Morot.Votez pour ce billet sur Planet Libre.