Советы по настройке небольшого частного Discourse за брандмауэром?

Поддержка Самостоятельное хостинг
1

Установка Discourse на DigitalOcean или подобных серверах довольно проста. Но я рассматриваю возможность развертывания экземпляра для небольшой группы, с которой я работаю.

В нём может содержаться конфиденциальная или чувствительная информация, поэтому в идеале я хотел бы установить его на внутренний корпоративный сервер. Однако возникают сложности, такие как настройка почтового сервиса и выполнение требований, упомянутых ниже на странице установки:

:bell: Discourse не будет работать с IP-адреса; для продолжения вам необходимо иметь доменное имя, например example.com.

Кто-нибудь настраивал таким образом Discourse с ограничением доступа через брандмауэр? Есть какие-то советы?

2

Вы бы использовали какой-нибудь корпоративный почтовый сервер.

Разместите Discourse за обратным прокси с действительным сертификатом.

3

Спасибо за ответ. Я не эксперт по сетям, поэтому, хотя у меня есть общее представление о том, что вы говорите, детали всё ещё остаются для меня неясными.

Идея заключается в том, чтобы запустить Docker-контейнер Discourse на сервере за брандмауэром. Затем мне понадобится публичный домен, который будет перенаправлять входящие запросы браузера на этот сервер. Это подразумевает настройку Nginx или аналогичного решения, которое будет работать как промежуточный узел? И, полагаю, это должен быть какой-то внутренний [под]домен компании, а не сторонний сервис вроде GoDaddy, если я хочу максимально обеспечить конфиденциальность.

Могу ли я в таких условиях использовать скрипт discourse-setup?

Сертификат — это то, что я могу запросить и управлять им с помощью certbot, и он будет интегрирован в настройку Nginx?

Затем почтовый сервер будет… через Microsoft, поскольку мы используем Outlook? Скорее всего, мне придется обратиться в IT-отдел, чтобы узнать, возможно ли это.

В целом, верно ли я понимаю общую схему?

4

Да, это возможно. Вам нужно решить:

  1. Будете ли вы использовать внутренний почтовый сервер или разрешите исходящий доступ к Mailgun или аналогичному сервису (это приведет к передаче данных через электронную почту)
  2. Если у вас есть контроль над внутренней DNS и вы хотите назначить красивое доменное имя для внутреннего IP-адреса сети.
5

Используйте стандартный скрипт установки, остановите его после создания app.yml, удалите шаблон Let’s Encrypt, предоставьте свой собственный сертификат от вашей внутренней PKI, и всё будет работать отлично.

6

Настройка чего-либо за фаерволом — это задача, требующая навыков сетевого специалиста.

Если вы не знаете, как настроить обратный прокси и/или сделать что-то вроде

вам нужно найти того, кто настраивал фаервол, и попросить его о помощи. Если у вас нет такого человека под рукой,

то это невозможно, если вы не знаете, как заставить certbot работать за фаерволом. Но если вы это знаете, то у вас всё в порядке.

Да. Именно это вам и нужно сделать.

7

Слушайте, я, возможно, не эксперт в сетевых технологиях, но я отлично умею осваивать новые навыки :slight_smile: :saluting_face:

Тем не менее, мне в любом случае придётся в какой-то момент подключить ИТ-отдел, поскольку некоторые шаги находятся вне моего контроля. Но мне нужно заранее знать, что это за шаги, чтобы понимать, о чём просить. Именно для этого я и создал эту тему, пытаясь разобраться в деталях.