matrix_synapse
Ansible Роль Matrix Synapse
Автоматическая установка из источника с обратным прокси Nginx и базой данных PostgreSQL
Роль, которая автоматизирует установку, обновление и конфигурацию домашнего сервера Matrix Synapse методом из источника, что является рекомендованным вариантом для получения самой актуальной версии без известных уязвимостей.
Также, в соответствии с рекомендацией, настраивается обратный прокси Nginx и действующие сертификаты Let's Encrypt для упрощения связи с клиентами и федеративными серверами.
В качестве сервера базы данных можно использовать PostgreSQL (рекомендуется для производственных сред) и SQLite (рекомендуется для небольших или тестовых сред). По умолчанию используется PostgreSQL, включая его установку и настройку.
Простая локальная установка Postfix или внешний SMTP сервер позволяет отправлять уведомления, восстановление аккаунта и т.д. по электронной почте, с легкостью настраиваемыми шаблонами через переменные.
По желанию эта роль позволяет развернуть установку CoTURN для включения VoIP ретрансляции на вашем домашнем сервере Matrix с TURN.
С помощью провайдеров аутентификации можно интегрировать децентрализованные логины. Эта роль реализует интеграцию с LDAP по желанию.
Наконец, данная роль также позволяет обслуживать веб-приложение Element (бывший Riot) вместе с Synapse. Эта функция выключена по умолчанию (synapse_installation_with_element: false) из-за рекомендации по безопасности проекта. Однако обслуживание Element очень полезно. Полностью рекомендуется, если у вас есть возможность назначить разные доменные имена для Synapse и Element (synapse_server_name != element_server_name). В противном случае вы можете установить оба на одно доменное имя на свой страх и риск (synapse_server_name == element_server_name).
С версии 3.0.0 эта роль совместима с версией веб-приложения Element 1.7.15 и выше, но не совместима с версиями Riot/Element 1.7.14 и старше.
Схема развертывания
Основная установка
Ключевая установка для подготовки вашего домашнего сервера Matrix к производству (обратите внимание, что это поведение по умолчанию для роли):
80,443,8448/tcp 25/tcp
| |
+-----------------------------|------------+ +----+----+
| | | | Postfix |
| Nginx сервер | | +----^----+
| +---------v----------+ | |
| | Обратный прокси | | |
| +----------------^---+ | |
+------------------------------------|-----+ |
| 8008/tcp |
+--v--------------+-----+
+-------------------+ 5432/tcp | |
| PostgreSQL Server |<---------+ Matrix Synapse Server |
+-------------------+ | |
+-----------------------+
Полная установка
Типичный и рекомендуемый случай использования включает развертывание следующей архитектуры (обратите внимание, что это поведение по умолчанию для роли, с добавлением установки synapse_installation_with_element и synapse_with_turn на true):
+~~~~~~~~~~~~~~~~~~~~~~~~~+
| Веб-приложение Element|
| (Запускается в браузере клиента) |<----<---+
+~~~~~~~~~~~~~~~~~~~~~~~~~+ |
^ v
^ | 3478,5349/tcp&upd
GET на 80,443/tcp вернет ^ 443,8448/tcp 25/tcp 49152:65535/udp
| | | |
+-----------------|--------------------------|-------------------|---------|------+
| | | | | |
| +--------------|--------------------------|----------+ +----+----+ | |
| | Nginx сервер | | | | Postfix | | |
| | +----------v--------+ | | +----^----+ | |
| | | Стандартный сайт | +-----------v--------+ | | | |
| | | (Обслуживает riot.js) | | Обратный прокси | | | | |
| | +-------------------+ +----------------^---+ | | | |
| +---------------------------------------------|-----+ | | |
| | 8008/tcp | | |
| +---v--------------+----+ | |
| +-------------------+ 5432/tcp | | | |
| | PostgreSQL Server |<---------+ Matrix Synapse Server | | |
| +-------------------+ | | | |
| +--------------------^--+ | |
| | | |
| 3478,5349/tcp&upd | | |
| +-----------v-------v-+ |
| | CoTURN сервер | |
| Ваш Debian +---------------------+ |
| сервер |
+---------------------------------------------------------------------------------+
Требования
Версия Ansible >= 2.7
Переменные роли
# Наш дружелюбный и публичный домен для сервера Synapse
# (тот, который соответствует ID пользователя и псевдониму комнаты)
# например: my-organization.org (вы получите @users:my-organization.org и #rooms:my-organization.org)
synapse_server_name: "{{ inventory_hostname }}"
# FQDN сервера, который фактически хостит synapse (конечная точка matrix)
# например: matrix.my-organization.org
synapse_server_fqdn: "{{ inventory_hostname }}"
# Место, откуда synapse будет загружен и установлен из PyPI
synapse_installation_path: /var/lib/matrix-synapse
# present : Сохранять ту же версию после установки synapse или
# latest : обновить, если есть новая версия доступна из pip
# ЕСЛИ ВЫ ПЛАНИРУЕТЕ ОБНОВЛЕНИЕ, СНАЧАЛА ПРОВЕРЬТЕ: https://github.com/matrix-org/synapse/blob/master/UPGRADE.rst
synapse_pip_state: present
# Если вы хотите установить конкретную версию matrix-synapse
# измените на что-то вроде: "matrix-synapse==1.12.4"
matrix_synapse_pip_pkg: "matrix-synapse"
# Включить регистрацию новых пользователей
synapse_enable_registration: "false"
synapse_enable_registration_with_captcha: false
synapse_recaptcha_public_key: 2Q1toXytnLYl4WIrpWgvBJOaQS1Ym36tNAJnKcZY
synapse_recaptcha_private_key: QgsOB0r79J9fpn8fAAnEIiITv7IMnjnUftdJwThs
synapse_report_stats: 'no'
# Максимальный разрешенный размер загружаемого файла в байтах
synapse_max_upload_size: 10M
# Конечные точки для администрирования вашей инстанции Synapse находятся под /_synapse/admin. Эти конечные точки требуют
# аутентификации через токен доступа администратора. Однако доступ к этим конечным точкам дает
# много полномочий, поэтому мы не рекомендуем открывать их для публичного Интернета без разумной причины.
# См. https://matrix-org.github.io/synapse/latest/reverse_proxy.html
synapse_enable_admin_endpoints: false
# Локальные источники шаблонов и конфигурационных файлов, полезные
# для замены, если вы хотите использовать свои собственные шаблоны в conf.d
synapse_confd_templates_src: var/lib/matrix-synapse/conf.d
### Установить и настроить Synapse с сервером PostgreSQL
synapse_with_postgresql: true
# Учетные данные PostgreSQL
synapse_psql_db_name: matrix-synapse
synapse_psql_db_host: localhost
synapse_psql_user: matrix-synapse
synapse_psql_password: secret-password
### Электронная почта
# Если электронная почта не настроена, сброс пароля, регистрация и уведомления по электронной почте будут отключены.
synapse_email_enable: true
synapse_smtp_host: localhost
synapse_smtp_port: 25
# synapse_smtp_user: synapse
# synapse_smtp_pass: secret
synapse_email_hostname: "{{ synapse_server_fqdn }}"
synapse_email_notif_from: "MyOrganization Matrix Homeserver <[email protected]>"
synapse_email_with_custom_templates: false
# Если true, помните, что используете специализированную версию шаблона conf.d/email.yaml.j2, чтобы сослаться на них
synapse_email_templates_src: email_notif_templates
synapse_email_templates_dest: "{{ synapse_installation_path }}/email_notif_templates"
### LDAP
synapse_with_ldap_authentication: false
synapse_ldap_uri: ldap.example.com:389
synapse_ldap_start_tls: 'true'
synapse_ldap_base: ou=users,dc=example,dc=com
synapse_ldap_uid: cn
synapse_ldap_mail: email
synapse_ldap_name: givenName
synapse_ldap_bind_dn: ""
synapse_ldap_bind_password: ""
### TURN
synapse_with_turn: false
synapse_turn_uri: "{{ synapse_server_fqdn }}"
synapse_turn_port: 3478
# synapse_turn_tls_port: 5349 (Не определено, чтобы роль не заставляла настраивать TLS для TURN)
synapse_turn_communication_min_port: 49152
synapse_turn_communication_max_port: 65535
synapse_turn_shared_secret: 5Eydym68SovsZkYLT8G9TOSCFwc2E6ijVLwL4FQgbukKPUalQZOe5gj22E9EhYrm # измените и сохраните из хранилища
synapse_turn_user_lifetime: 86400000
synapse_turn_allow_guests: True
synapse_turn_denied_peer_ip:
- 10.0.0.0-10.255.255.255
- 172.16.0.0-172.31.255.255
- 192.168.0.0-192.168.255.255
synapse_turn_allowed_peer_ip:
# Сам TURN сервер (особый случай), чтобы клиент->TURN->TURN->клиент работали
- "{{ ansible_default_ipv4.address if(ansible_default_ipv4.address) is defined else '' }}"
- "{{ ansible_default_ipv6.address if(ansible_default_ipv6.address) is defined else '' }}"
synapse_turn_external_ip: []
# - 1.2.3.4/172.16.0.1 # Укажите публичный IP(адреса) и их соответствующий частный IP, когда TURN сервер находится за NAT
synapse_turn_tls_cert: "/etc/letsencrypt/live/{{ synapse_turn_uri }}/cert.pem"
synapse_turn_tls_pkey: "/etc/letsencrypt/live/{{ synapse_turn_uri }}/privkey.pem"
### Веб-приложение Element
# Также установите веб-приложение Element вместе с synapse
synapse_installation_with_element: false
element_installation_path: /var/www/element
# Наш публичный домен для веб-клиента Element
# например: element.my-organization.org
element_server_name: "{{ synapse_server_name }}"
# Посмотрите https://github.com/vector-im/element-web/releases, чтобы использовать последнюю версию
element_version: '1.7.15'
element_jitsi_preferred_domain: jitsi.riot.im
# Имя для отображения сервера
element_display_name: 'Чат Моей Организации'
element_default_theme: light # 'light', 'dark' или ваш собственный 'custom-${theme-name}' (см. ниже element_custom_themes)
element_default_country_code: GB
### Настройка интерфейса Element
element_customatize_ui: false
element_welcome_page_template_src: var/www/element/custom-welcome.html.j2 # Оставьте пустым, если не хотите заменять стандартную приветственную страницу Element
element_welcome_logo_url: welcome/images/logo.svg
element_welcome_title: 'Добро пожаловать в Element!'
element_welcome_description: 'Децентрализованный, зашифрованный чат и сотрудничество на базе [matrix]'
element_custom_branding:
welcomeBackgroundUrl: themes/element/img/backgrounds/lake.jpg
authHeaderLogoUrl: themes/element/img/logos/element-logo.svg
authFooterLinks:
- text: блог
url: https://element.io/blog
- text: твиттер
url: https://twitter.com/element_hq
- text: гитхаб
url: https://github.com/vector-im/riot-web
element_custom_themes:
- name: "Глубокий Фиолетовый"
is_dark: true
colors:
accent-color: "#6503b3"
primary-color: "#368bd6"
warning-color: "#b30356"
sidebar-color: "#15171B"
roomlist-background-color: "#22262E"
roomlist-text-color: "#A1B2D1"
roomlist-text-secondary-color: "#EDF3FF"
roomlist-highlights-color: "#343A46"
roomlist-separator-color: "#a1b2d1"
timeline-background-color: "#181b21"
timeline-text-color: "#EDF3FF"
timeline-text-secondary-color: "#A1B2D1"
timeline-highlights-color: "#22262E"
Зависимости
Эта роль зависит от geerlingguy.certbot для генерации и обновления действительных сертификатов Let's Encrypt, которые обеспечивают корректную связь с клиентами и другими федеративными серверами.
Пример плейбука
- hosts: servers
roles:
- role: udelarinterior.matrix_synapse
vars:
synapse_enable_registration: "true"
synapse_with_postgresql: true
synapse_psql_db_name: matrix-synapse
synapse_psql_db_host: localhost
synapse_psql_user: matrix-synapse
synapse_psql_password: my-password
certbot_admin_email: [email protected]
certbot_certs:
- domains:
- "{{ synapse_server_name }}"
- 'msg.my-organization.org'
- 'chat.my-organization.org'
Лицензия
(c) Университет Республики (UdelaR), Сеть Информационных Подразделений UdelaR в Интерьере. Лицензия GPL-v3.
Информация об авторе
@santiagomr @UdelaRInterior https://proyectos.interior.edu.uy/
Role to install and configure Matrix Synapse server from source
ansible-galaxy install UdelaRInterior/ansible-role-matrix-synapse