DEV Community: Alfredo Castro

Implantando uma VPN Site-to-Client com PritUNL na AWS via CloudFormation

Alfredo Castro — Wed, 25 Jun 2025 11:00:00 +0000

O acesso seguro a recursos internos de uma infraestrutura de TI tornou-se uma prioridade para empresas e profissionais de tecnologia. Ambientes críticos, como servidores de aplicação, bancos de dados e painéis administrativos, costumam ter suas portas e serviços mais sensíveis isolados da internet pública por questões de segurança. Essa prática é essencial para reduzir a exposição a ataques, mas também cria um desafio: como acessar esses recursos remotamente de forma segura e controlada?

É aí que entra o papel das VPNs (Virtual Private Network). Elas possibilitam a criação de uma conexão criptografada entre o usuário e a rede corporativa, permitindo acesso a recursos internos como se estivesse conectado diretamente na rede interna. Isso não apenas fortalece a segurança, mas também aumenta a flexibilidade e a produtividade das equipes.

Neste tutorial, vamos demonstrar como implantar rapidamente uma VPN Site-to-Client utilizando PritUNL (uma solução open-source robusta e fácil de gerenciar) utilizaremos o AWS CloudFormation para automatizar o provisionamento da infraestrutura.

Pré-requisitos:

É necessário possuir uma conta na AWS com uma VPC previamente configurada, incluindo ao menos uma subnet pública disponível.
Também é necessário acessar o repositório no GitHub e fazer o download dos arquivos PritUNL-EC2.yaml e PritUNL-SSM.yaml, iremos utilizar eles para provisionar o ambiente com o CloudFormation.

📁 Pasta PritUNL no GitHub: https://github.com/alfredotavio/aws/tree/main/PritUNL

Etapa 01 - Parametrização do Ambiente

Nesta etapa, vamos preparar as informações necessárias para subir a infraestrutura, como:

Identificar o ID da AMI que será usada (Ubuntu 24.04 ARM).
Identificar o range da VPC.

Acesse a console AWS e procure pelo serviço "EC2".

Clique em "Launch instance".

Em "Quick Start" altere para "Ubuntu", em "Architecture" altere para "64-bit (Arm)".

Confirme as mudanças clicando em "Confirm changes".

Copie o ID da AMI no campo "AMI ID" e deixe anotado em um bloco de notas, iremos utilizar está AMI para subir a nossa EC2 (no meu exemplo o ID é ami-07041441b708acbd6).

Agora vamos anotar o range da VPC, procure pelo serviço "VPC". Em seguida clique em "Your VPCs".

Em "IPv4 CIDR", anote o range em um bloco de notas, iremos utilizar este range para configurar a rota dentro do PritUNL (no meu exemplo o range é 10.0.0.0/21).

Etapa 02 - Provisionamento da Instância EC2 via CloudFormation

Aqui vamos criar a stack que irá provisionar a instância EC2 (utilizando o arquivo PritUNL-EC2.yaml).

Acesse a console AWS e procure pelo serviço "CloudFormation".

Clique em "Create stack".

Selecione "Choose an existing template" e em seguida selecione "Upload a template file". Clique em "Choose file" e selecione o arquivo PritUNL-EC2.yaml baixado do repositório do GitHub. Em seguida clique em "Next".

Nesta etapa, defina as seguintes configurações:

Em "Stack name", defina o nome da Stack.

Em "ID da AMI", digite o ID da AMI que anotamos na etapa anterior.

Em "VPC", selecione a VPC que iremos utilizar.

Em "Sub-rede", selecione a subnet pública que iremos utilizar.

Em "Par de Chaves (Key Pair)", selecione a chave de sua preferencia.

Em seguida clique em "Next".

Nesta etapa, apenas marque o checkbox "I acknowledge that AWS CloudFormation might create IAM resources with custom names." e em seguida clique em "Next".

Confirme as informações e clique em "Submit".

O CloudFormation irá começar a provisionar a EC2.

Aguarde até que o CloudFormation finalize a criação dos recursos para seguir com a próxima etapa.

A Stack irá mostrar "CREATE_COMPLETE" quando finalizar.

Etapa 03 - Implantação da PritUNL na EC2 via CloudFormation e AWS Systems Manager (SSM)

Aqui vamos criar a stack que irá implantar a VPN PritUNL na EC2 (utilizando o arquivo PritUNL-SSM.yaml).

Acesse a console AWS e procure pelo serviço "CloudFormation".

Clique em "Create stack" e em seguida "With new resources (standard)".

Selecione "Choose an existing template" e em seguida selecione "Upload a template file". Clique em "Choose file" e selecione o arquivo PritUNL-SSM.yaml baixado do repositório do GitHub. Em seguida clique em "Next".

Em "Stack name", defina o nome da Stack.

Em "EC2InstanceId", selecione a EC2 que provisionamos na etapa anterior.

Em seguida clique em "Next".

Clique em "Next".

Confirme as informações e clique em "Submit".

O CloudFormation irá começar a executar o SSM.

Aguarde até que o CloudFormation finalize.

A Stack irá mostrar "CREATE_COMPLETE" quando finalizar.

A execução da implantação pode demorar aproximadamente 5 minutos, para acompanhar o status, faça o seguinte:

Procure pelo serviço "Systems Manager".

No menu lateral a esquerda, clique em "Run Command".

Aqui você pode verificar o status da execução como "In Progress", clique no ID do "Command ID" para mais informações.

Nesta tela podemos verificar o ID da instância que está sendo implantada a nossa VPN PritUNL e o status da execução.

Assim que finalizar a execução, o status irá mudar para "Success".

Etapa 04 - Criando o registro DNS

Vamos definir e criar a URL que iremos utilizar para acessar o dashboard da VPN PritUNL.

Irei utilizar o domínio alfredocastro.com.br, defini a URL vpn.alfredocastro.com.br para o dashboard da VPN.

Acesse o seu gerenciador de registros DNS do seu domínio e crie o registro abaixo de acordo com o seu cenário:

Tipo	Registro	Valor	Observação
A	VPN	34.XX.XXX.247	Elastic IP atribuído à EC2

Vamos obter o endereço IP da EC2 provisionada, acesse a console AWS e procure pelo serviço "EC2".

No menu lateral a esquerda, clique em "Instances".

Selecione a EC2 "VPN-PritUNL" e em seguida copie o IP Publico no campo "Public IPv4 address".

Veja um exemplo:

Para consultar a propagação do registro criado, consulte o site: WhatsMyDNS

Etapa 05 - Obtendo o usuário e senha padrão da VPN PritUNL

Acesse a console AWS e procure pelo serviço "EC2".

No menu lateral a esquerda, clique em "Instances".

Selecione a EC2 "VPN-PritUNL" e em seguida clique no botão "Connect".

Altere o tipo para "Session Manager" e clique no botão "Connect".

Execute o comando abaixo para obter o usuário e a senha padrão:

cat /opt/pritunl/default_password.txt

Agora podemos acessar e realizar a configuração da nossa VPN.

Etapa 06 - Configuração inicial da VPN PritUNL

Acesse o dashboard da VPN PritUNL digitando o endereço IP Público em seu navegador.

Digite o Username e Password encontrado na etapa anterior e clique em "Sign in".

Ao realizar o primeiro acesso será solicitado a configuração inicial, faça as alterações conforme o seu ambiente, neste exemplo, alterei o username do usuário administrador e a sua senha, desativei o acesso por IPv6 e configurei o domínio de acesso para o DNS que criamos na etapa 04 (vpn.alfredocastro.com.br). Após realizar a configuração conforme o seu ambiente, clique em "Save".

A VPN irá solicitar um certificado Let's Encrypt para o DNS configurado, se tudo ocorrer conforme o planejado será exibida a seguinte mensagem "Successfully saved settings".

Acesse novamente o dashboard da VPN PritUNL, porém agora acesse utilizando o DNS configurado na etapa anterior, veja que agora exibe um certificado válido gerado pela Let's Encrypt.

Etapa 07 - Configurando a VPN PritUNL

Acesse o dashboard da VPN PritUNL utilizando o DNS configurado na etapa anterior, digite o Username e Password configurado por você na etapa anterior e clique em "Sign in".

Altere para a aba "Users".

Clique em "Add Organization".

Defina um nome para a sua organização e clique em "Add".

Será exibida a seguinte mensagem "Successfully added organization", agora clique em "Add User".

Digite as informações (Nome e email) do usuário que deseja adicionar em sua VPN, selecione a organização que criamos na etapa anterior e defina um código PIN para o usuário (código numérico com pelo menos 6 dígitos). Em seguida clique em "Add".

Será exibida a seguinte mensagem "Successfully added user", agora clique na aba "Servers".

Clique em "Add Server".

Defina um nome para o server da VPN.

No campo "Port" defina uma porta entre 5050 e 5060 está configuração é importante, pois em nosso Security Group da instância está liberado este range de portas.

Caso você queira autenticação MFA (recomendo habilitar para maior segurança), marque o checkbox "Enable Google Authenticator".

Em seguida, clique em "Add".

Será exibida a seguinte mensagem "Successfully added server", agora clique em "Attach Organization".

Selecione a organização e o server que você deseja vincular, em seguida clique em "Attach".

Será exibida a seguinte mensagem "Successfully attached organization", agora clique em "Remove Route" para removermos a rota padrão "0.0.0.0/0".

Se deixarmos a rota padrão, todo o nosso tráfego irá passar pela VPN, nosso objetivo é apenas o tráfego da rede interna (VPC) passe pela VPN.

Confirme a remoção clicando em "Remove".

Clique em "Add Route".

Digite o range de IP da sua VPC, anotamos ele na etapa 01, selecione qual o server deseja vincular o range e clique em "Attach".

Será exibida a seguinte mensagem "Successfully added route", agora clique em "Start Server".

Pronto, servidor configurado e pronto para ser utilizado.

Agora você pode importar o usuário para o client.

Etapa 08 - Importando o usuário para o Client PritUNL

Volte para a aba "Users", em seguida clique no botão parecido com uma corrente "Get temporary profile links" ele fica ao lado do botão parecido com um QR Code.

Será gerado 4 links temporários que expirão em 24h, iremos utilizar o terceiro link, copie e acesse pelo navegador.

Primeiro vamos realizar a alteração do código PIN, clique em "Configure Pin".

Digite o código PIN definido na etapa de criação do usuário e em seguida digite o novo código PIN (código numérico com pelo menos 6 dígitos). Em seguida clique em "Change Pin".

Será exibida a seguinte mensagem "Pin successfully changed", agora você deve escanear o QR Code em seu Google Authenticator ou similar. Em seguida anote o "Profile URI Link:" iremos utilizar ele no Client PritUNL para importar. Clique no "Download Client" para ser redirecionado para o site da PritUNL para baixar o client.

Baixe e instale o cliente PritUNL de acordo com a arquitetura do seu sistema operacional (Linux/Windows/MacOS).

Após instalar o client, abra e clique no botão "Import".

Cole o Profile URI copiado na etapa anterior e clique em "Import".

Pronto, usuário importado.

Etapa 09 - Testando a VPN

Com o client aberto, clique no botão "Connect".

Em "Pin", digite o seu código PIN.

Em "Authenticator Passcode", digite o código aleatório que é gerado no Google Authenticator.

Em seguida clique em "Connect".

Se as informações estiverem corretas, será exibido o IP do servidor VPN com o tempo de conexão.

Dentro do dashboard da VPN PritUNL você consegue verificar o status do usuário.

Agora vamos testar a comunicação com a rede interna (VPC), acesse a console AWS e em seguida acesse o serviço "EC2". Selecione a EC2 da VPN e copie o endereço IP privado.

Abra um terminal na sua máquina e utilize o comando "telnet" para verificar se você possui acesso a uma porta específica, no meu caso utilizei a porta HTTP 80.

telnet 10.0.0.11 80

Porta acessada com sucesso nossa VPN está funcionando. Agora podemos liberar o endereço IP privado da nossa instância no SG das demais instâncias EC2 para realizarmos o acesso via VPN.

Espero tê-lo ajudado! Se houver alguma dúvida, não hesite em entrar em contato.

https://alfredocastro.com.br/posts/implantando-uma-vpn-site-to-client-com-pritunl-na-aws-via-cloudformation/

Instalando e Configurando o Servidor de E-mail Carbonio CE na AWS (Substituto do Zimbra)

Alfredo Castro — Thu, 18 Apr 2024 14:17:28 +0000

A segurança em um servidor de e-mail é de extrema importância para qualquer organização ou empresa. Os servidores de e-mail lidam com uma quantidade significativa de informações sensíveis e confidenciais, incluindo comunicações internas e externas, documentos anexados, dados de contato e muito mais. Portanto, garantir a segurança desses dados é essencial para proteger a privacidade dos usuários e a integridade das informações da organização.

A Synacor anunciou que, a partir de dezembro de 2023, não fornecerá mais suporte nem atualizações de segurança para o Zimbra Open Source. Isso significa que a versão 8.8.15 será a última Open Source disponível. Manter uma versão de um servidor de e-mail sem suporte ou sem atualizações de segurança pode acarretar diversos riscos, especialmente vulnerabilidades de segurança não corrigidas que podem ser exploradas por hackers. Como é de conhecimento geral, o e-mail representa uma das principais portas de entrada para esse tipo de ataque, e um sistema de e-mail vulnerável pode deixar as empresas expostas a sérias consequências.

A Zextras resolveu disponibilizar e manter a sua própria versão chamada Carbonio CE, e é sobre ele que iremos falar hoje. O passo a passo abaixo irei demonstrar como instalar e configurar o servidor de e-mail Carbonio CE em uma instância EC2 na AWS.

Ambiente:

Uma instância EC2 com um Elastic IP.

Também é necessário possuir um registro DNS.

Sistema Operacional	CPU	RAM	HD	Versão do E-mail
Ubuntu 20.04 LTS	4vCPU	16GB	50GB	Carbonio Release 24.3.0

Portas externas (0.0.0.0/0):

80 (HTTP)
443 (HTTPs)
25 (SMTP)
465 (SMTPs)
587 (SMTP)
143 (IMAP)
993 (IMAPs)
110 (POP3)
995 (POP3s)

Porta interna (VPN/IP Static):

6071 (Administração)

Etapa 01 - Criando os registro DNS

Antes de tudo, vamos definir e criar a URL que iremos utilizar para o servidor de e-mail.

Irei utilizar o domínio alfredocastro.com.br, defini a URL mail.alfredocastro.com.br para o portal web do Carbonio CE.

Acesse o seu gerenciador de registros DNS do seu domínio e crie os registro abaixo de acordo com o seu cenário:

Tipo	Registro	Valor	Observação
A	mail	52.XX.XXX.216	Elastic IP atribuído à EC2
MX	@	10 mail.alfredocastro.com.br	URL definida para o servidro de e-mail
TXT	@	v=spf1 ip4:52.XX.XXX.216/32 -all	Elastic IP atribuído à EC2
TXT	_dmarc	v=DMARC1; p=none; sp=quarantine; rua=mailto:admin@alfredocastro.com.br	E-mail para envio de recebimento de relatórios de conformidade DMARC

Veja um exemplo:

Para consultar a propagação do registro criado, consulte o site: WhatsMyDNS

Etapa 02 - Solicitando a remoção de restrição da porta 25 SMTP do Elastic IP

Obs: Antes de criar um registro DNS reverso, você deve definir um registro DNS de encaminhamento correspondente (registro tipo A) que aponte para seu endereço Elastic IP (feito na etapa anterior).

Criando um registro DNS reverso.

Acesse a console AWS e procure pelo serviço "EC2".

No menu lateral a esquerda, clique em "Elastic IPs".

Selecione o Elastic IP e clique em Actions > Update reverse DNS.

Digite a URL criada na etapa anterior para o servidor de e-mail. Em seguida escreva update e clique no botão "Update".

Acesse a URL abaixo e preencha o formulário para solicitar a liberação da porta 25 (SMTP).

https://aws-portal.amazon.com/gp/aws/html-forms-controller/contactus/ec2-email-limit-rdns-request

Email address: email para receber o contato da AWS

Use case description: Descrição do motivo que você quer a liberação da porta SMTP

Elastic IP address: O endereço IP atachado na instância EC2

Reverse DNS record: A URL que você definiu para o DNS Reverso

Em seguida clique em "Submit".

Você irá receber um e-mail de confirmação da solicitação.

Caso sua solicitação seja aprovada, você irá receber outro email confirmando.

Utilizei o seguinte texto para solicitar a liberação:

I request the release of the SMTP port for sending emails through the provided EIP below. We will use an EC2 with this EIP to set up a business email server.
To ensure that the EC2 is not used for sending unwanted emails, the following measures will be implemented:
* Email Authentication: Implementation of SPF (Sender Policy Framework) and DKIM (DomainKeys Identified Mail) authentication to verify the authenticity of sent emails.
* Constant Monitoring: Implementation of monitoring tools to identify any suspicious activity or abnormal email volume.
* Responsible Use Policies: Establishment of internal policies to ensure that email sending is done responsibly and in compliance with applicable laws and regulations.

Para realizar um teste, acesse sua instância EC2 e execute um telnet em algum servidor de e-mail na porta 25. No exemplo abaixo utilizei o servidor do Gmail.

telnet smtp.gmail.com 25

Etapa 03 - Instalando e configurando o Carbonio CE

Primeiro vamos atualizar a lista de pacotes disponíveis nos repositórios. Execute o seguinte comando:

apt-get update

Agora vamos alterar o hostname da máquina. Execute o seguinte comando:

hostnamectl set-hostname mail

Precisamos atualizar o arquivo /etc/hosts com o IP da máquina seguido do FQDN e o hostname. Execute o primeiro comando para descobrir o seu IP, em seguida altere o segundo comando conforme o seu ambiente:

hostname -I
echo "10.0.2.133 mail.alfredocastro.com.br mail" >> /etc/hosts

Reinicie a máquina utilizando o comando abaixo:

reboot

Execute os comandos abaixo para adicionar o repositório da Zextras:

NOTA: Acesse a página do Carbonio Community Edition e preencha o formulário. Você receberá um e-mail com instruções de como adicionar o repositório, parecido com os comandos abaixo:
cd /tmp
wget https://repo.zextras.io/inst_repo_ubuntu.sh
chmod +x inst_repo_ubuntu.sh
./inst_repo_ubuntu.sh

Agora execute o comando abaixo para realizar a instalação do Carbonio CE:

apt-get install service-discover-server \
carbonio-directory-server \
carbonio-proxy \
carbonio-webui \
carbonio-files-ui \
carbonio-admin-login-ui \
carbonio-mta \
carbonio-appserver \
carbonio-user-management \
carbonio-files-ce \
carbonio-files-db \
carbonio-storages-ce \
carbonio-preview-ce \
carbonio-docs-connector-ce \
carbonio-docs-editor \
carbonio-admin-ui \
carbonio-admin-console-ui \
postgresql-12 -y

Execute o seguinte comando para realizar a configuração inicial do Carbonio CE:

carbonio-bootstrap

Vamos realizar a alteração do timezone do Carbonio CE, digite "1" para entrar no menu "Common Configuration":

Digite "6" para entrar no menu "TimeZone":

Digite o número corresponde ao seu timezone, irei configurar o timezone de "America/Sao_Paulo" número "43":

Retorne ao menu principal digitando "r":

Confirme as configurações digitando "y":

Aguarde até que ele exiba a mensagem "Configuration complete", e em seguida tecle "ENTER":

Agora vamos configurar o Carbonio Mesh, ele é necessário para permitir a comunicação entre o Carbonio e seus componentes. Execute o comando abaixo para realizar a configuração de forma interativa:

service-discover setup-wizard

Primeiro ele irá solicitar o seu endereço IP seguido da máscara de rede, no meu exemplo será o 10.0.2.133/20. Em seguida irá solicitar uma senha para o Carbonio Mesh que é usado para configurações e gerenciamento, repita a senha novamente (por segurança, ele não irá mostrar os caracteres):

Obs: Caso tenha perdido a senha, você pode encotrar ela no arquivo /var/lib/service-discover/password (acessível apenas pelo usuário root).

Para concluir a instalação do Carbonio Mesh, execute o seguinte comando (será solicitada a senha, digite a senha definida na etapa anterior):

pending-setups -a

Execute os comandos abaixo para realizar a criação da Role, da Database e para o banco de dados inicial de arquivos para o Carbonio CE:

NOTA: Altere DB_ADM_PWD para uma senha de sua escolha, no primeiro e no terceiro comando.

su - postgres -c "psql --command=\"CREATE ROLE carbonio_adm WITH LOGIN SUPERUSER encrypted password 'DB_ADM_PWD';\""
su - postgres -c "psql --command=\"CREATE DATABASE carbonio_adm owner carbonio_adm;\""
PGPASSWORD=DB_ADM_PWD carbonio-files-db-bootstrap carbonio_adm 127.0.0.1

Execute um Stop/Start utilizando os comandos abaixo:

su - zextras
zmcontrol stop
zmcontrol start

Execute o comando abaixo para definir uma senha para o usuário Global Admin (usuário administrador da console Carbonio CE acessível na porta 6071):

NOTA: Altere a informação do domínio conforme o seu ambiente e altere para uma senha de sua escolha.
su - zextras
carbonio prov setpassword zextras@alfredocastro.com.br YOURPASSWORD
NOTA: Execute o comando logado com o usuário zextras (su - zextras).

Etapa 04 - Configurando o DKIM

DKIM, ou DomainKeys Identified Mail, é um método de autenticação de emails. Ele ajuda a verificar a autenticidade do remetente e a integridade da mensagem de email. Quando um servidor de email usa DKIM, ele adiciona uma assinatura criptográfica aos cabeçalhos do email enviado. Essa assinatura é gerada usando uma chave privada específica do domínio do remetente.

Quando o email é recebido pelo servidor de destino, o servidor verifica essa assinatura usando a chave pública disponível no registro DNS do domínio do remetente. Se a assinatura corresponder aos dados do cabeçalho do email, isso indica que o email não foi alterado após ter sido enviado pelo remetente autenticado.

Essencialmente, DKIM ajuda a combater o spoofing de email e a garantir que os emails sejam autenticados como legítimos. Isso pode ajudar a reduzir a probabilidade de que emails falsificados ou maliciosos sejam entregues na caixa de entrada do destinatário.

Para configurarmos, execute o seguinte comando para gerar o registro DNS:

NOTA: Altere o domínio conforme o seu ambiente.
su - zextras
/opt/zextras/libexec/zmdkimkeyutil -a -d alfredocastro.com.br

No exemplo acima, foi gerado o seguinte registro para ser criado no DNS:

Tipo: TXT

Registro: 9EEEDFAE-FC33-11EE-9B42-EAD105BED053._domainkey

Valor: v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA5IYCXNy92oQdyTDrXAIfDFz/fHzmNdeqhgSeErR/m0SYDguQKeb7c19zr4imctX2a6HdzV1W5c8w90jvbvKYGUuBOBhSA/APx0DEa+DxV59+D173PE/iKpDuAIBajWyXT+oVH9JX6iCg33Jk4ghEakZ4jz+NsSkVJ3rwUIHvBWnfb7BNF5MPnQ18O9YHvS3POdldIdIme/JHCuew3k/biXIhZxVE9zg2YXwq1AjxCo24jqtDIUhG26koAeSguDDXremk3hyzEG4qKLnF47gdbDSijBBllAMV3CVzqBhBuVOV3gNA1ifGtiAUXH3YHQJeYFqy2yld8oZlqFozuSXzFQIDAQAB

Acesse o seu gerenciador de registros DNS do seu domínio e crie o registro acima de acordo com o seu cenário:

Veja um exemplo:

Para consultar a propagação do registro criado, consulte o site: WhatsMyDNS

Etapa 05 - Configurando um Certificado SSL Let's Encrypt no Carbonio CE via Console

A Zextras introduziu uma maneira simplificada e aprimorada de configurar certificados SSL Let's Encrypt através da Console Web. Com esta atualização, você agora pode facilmente implementar certificados para um único domínio ou vários domínios.

Para configurar o Let's Encrypt, você precisa ter o pacote certbot, execute o seguinte comando para verificar se ele está instalado:

dpkg -l | grep carbonio-certbot

Verifique o modo zimbraReverseProxyMailMode do seu servidor. Por padrão é definido como https, execute o seguinte comando:

NOTA: Altere a URL conforme o seu ambiente

su - zextras -c "carbonio prov gs mail.alfredocastro.com.br | grep -i zimbraReverseProxyMailMode"

Para que o certbot funcione, precisamos alterar o modo zimbraReverseProxyMailMode de https para redirect, execute os comandos abaixo para realizar a alteração:

NOTA: Altere a URL conforme o seu ambiente

su - zextras -c "carbonio prov ms mail.alfredocastro.com.br zimbraReverseProxyMailMode redirect"
su - zextras -c "zmconfigdctl restart"
su - zextras -c "carbonio prov gs mail.alfredocastro.com.br | grep -i zimbraReverseProxyMailMode"

Faça login no Console de administração do Carbonio CE, utilize o usuário zextras@alfredocastro.com.br:

NOTA: https://mail.alfredocastro.com.br:6071/ - altere a URL conforme o seu ambiente

Clique em "Domains" no menu lateral esquerdo:

Selecione o domínio desejado:

Clique em "Virtual Hosts & Certificates":

Digite a URL que você configurou em seu servidor de mail e clique em "ADD":

Clique em "SAVE":

Clique em "UPLOAD AND VERIFY CERTIFICATE":

Altere "Certificate Type" para "I want to use a Let's Encrypt (longChain) certificate" e em seguida clique em "GENERATE CERTIFICATE":

Você verá uma notificação em verde escrito "The System is processing your certificate generation request. It will send the result to the Global and Domain notification recipients.", o Carbonio CE irá solicitar o certificado.

Se tudo ocorrer bem você irá receber dois e-mails com a conclusão da solicitação, acesse a URL do seu servidor de e-mail e faça login com o usuário zextras@alfredocastro.com.br:

Para finalizar, execute o comando abaixo para reiniciar o Carbonio CE e finalizar a instalação do Certificado SSL:

su - zextras -c "zmcontrol restart"

Espero tê-lo ajudado! Se houver alguma dúvida, não hesite em entrar em contato.

https://alfredocastro.com.br/posts/instalando-e-configurando-o-servidor-de-e-mail-carbonio-ce-na-aws-substituto-do-zimbra/

Acessando Containers do Amazon ECS Fargate pelo AWS Cli

Alfredo Castro — Fri, 16 Feb 2024 21:00:30 +0000

A utilização de containers, especialmente no ambiente da nuvem, revolucionou a maneira como desenvolvemos, implantamos e escalamos aplicações. No ambiente AWS, o AWS Fargate proporciona um mecanismo de computação sem servidor para execução de containers, permitindo maior agilidade e eficiência. Contudo, mesmo em ambientes altamente automatizados, a necessidade de debugar e realizar troubleshooting pode surgir, e é aí que o AWS Exec se torna uma ferramenta crucial.

O AWS Exec é uma ferramenta poderosa que simplifica o processo de acesso a containeres em execução no AWS Fargate. Essa funcionalidade proporciona aos desenvolvedores a capacidade de interagir diretamente com os containeres, permitindo diagnósticos mais precisos e a resolução eficiente de problemas.

Existem diversas razões pelas quais o AWS Exec se destaca na importância do processo de debug e troubleshooting em ambientes AWS Fargate. Uma delas é a capacidade de se conectar diretamente aos containeres em execução, possibilitando a execução de comandos interativos. Isso significa que os desenvolvedores podem inspecionar o estado interno do container, analisar logs em tempo real e até mesmo realizar alterações na configuração para testes pontuais.

Pré-requisito:

Um Cluster ECS com uma task em execução.

Etapa 01 - Configurando a permissão necessária na Task Role do Cluster ECS

Para acessarmos o Container, precisamos adicionar uma policy com permissão de SSM.

Acesse a console AWS e procure pelo serviço "Elastic Cotainer Service".

No menu lateral a esquerda, clique em "Clusters".

Clique no "Cluster" onde possui o container que você quer acessar.

Altere para a aba "Tasks".

Clique no ID da "Task".

Altere para a aba "Networking".

Clique no nome da "Task role", você será redirecionado para o "IAM" onde poderá editar a Role.

Clique em "Add permissions" e em seguida clique em "Create inline policy".

Altere o "Policy editor" para o modo "JSON".

Adicione o seguinte JSON e clique em "Next".

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "ssmmessages:CreateDataChannel",
                "ssmmessages:OpenDataChannel",
                "ssmmessages:OpenControlChannel",
                "ssmmessages:CreateControlChannel"
            ],
            "Resource": "*"
        }
    ]
}

Defina um nome para a Policy e clique em "Create policy".

Pronto, permissões necessárias adicionadas ao "Task role" do nosso cluster.

Etapa 02 - Criando uma Access key

Acesse a console AWS e procure pelo serviço "IAM".

No menu lateral a esquerda, clique em "Users".

Clique em "Create user".

Defina um nome para o "User name" e clique em "Next".

Marque a opção "Attach policies directly", pesquise pela policy "AmazonECS_FullAccess" (policy gerenciada pela AWS) e selecione ela, em seguida clique em "Next".

Revise as informações e clique em "Create user".

Clique no "User name" que acabamos de criar.

Clique em "Create access key".

Selecione "Command Line Interface (CLI)", marque a opção "I understand the above recommendation and want to proceed to create an access key.", em seguida clique em "Next".

Clique em "Create access key".

Anote a "Access key" e a "Secret access key" gerada, em seguida clique em "Done".

Pronto, access key criada com sucesso.

Etapa 03 - Instalando e configurando o AWS Cli e o SSM Plugin

Na máquina que você irá utilizar para acessar o container, execute os seguintes comandos para realizar a instalação do AWS Cli e do SSM Plugin. Em seguida realize a configuração de um profile com a "Access key" e a "Secret access key" que geramos anteriormente.

Para ambiente Ubuntu Server (22.04):

Instalando o AWS Cli.

cd /tmp
apt-get update
curl "https://awscli.amazonaws.com/awscli-exe-linux-x86_64.zip" -o "awscliv2.zip"
unzip awscliv2.zip
sudo ./aws/install
aws --version

Instalando o SSM Plugin.

curl "https://s3.amazonaws.com/session-manager-downloads/plugin/latest/ubuntu_64bit/session-manager-plugin.deb" -o "session-manager-plugin.deb"
sudo dpkg -i session-manager-plugin.deb
session-manager-plugin

Configurando o profile no AWS Cli.

aws configure --profile Site-Alfredo
AKIAR3YIWCET6PRJOIMI
GNL5NDMFKMqsA5umnIPBLiPLODchQl5wjhnYFDex
us-east-1

Pronto, instalamos o AWS Cli e o SSM Plugin e configuramos um profile com a Access key gerada na etapa anterior.

Etapa 04 - Habilitando o ECS Exec e acessando o container

Acesse a console AWS e procure pelo serviço "Elastic Container Service".

No menu lateral a esquerda, clique em "Clusters".

Clique no "Cluster".

Obs: Anote o "Cluster name" iremos utilizar para o próximo comando. Nesse exemplo o nome é "cluster-site-alfredo".

Clique na aba "Services".

Obs: Anote o "Service name" e a "Task definition" iremos utilizar para o próximo comando. Nesse exemplo o nome do service é "service-site-alfredo" e a task definition é "task-site-alfredo:3".

Com as seguintes informações anotadas:

Cluster Name: cluster-site-alfredo
Service Name: service-site-alfredo
Task Definition: task-site-alfredo:3

Execute o comando abaixo.

aws ecs update-service \
  --cluster ECS_CLUSTER_NAME  \
  --service ECS_SERVICE_NAME \
  --task-definition ECS_TASK-DEFINITION_NAME \
  --force-new-deployment \
  --enable-execute-command \
  --profile CLI_PROFILE

Exemplo:

aws ecs update-service \
  --cluster cluster-site-alfredo  \
  --service service-site-alfredo \
  --task-definition task-site-alfredo:3 \
  --force-new-deployment \
  --enable-execute-command \
  --profile Site-Alfredo

Obs: Lembre-se de adicionar o --profile com o nome do profile que você configurou em seu AWS Cli.

Altere para a aba de "Tasks", no exemplo abaixo podemos ver que o ECS está com duas "Tasks". Aguarde por alguns minutos, o ECS irá provisionar a "Task" com o AWS Exec habilitado.

Após aguardar por alguns minutos, acesse novamente a aba de "Tasks", no exemplo abaixo podemos ver que o ECS agora possui apenas uma "Task". Clique na "Task ID".

Obs: Anote o "Task ID" iremos utilizar para o próximo comando. Nesse exemplo o ID da task é "3e63a718518c485fb64a749a3cc2a5ce".

Clique na aba "Configuration".

Desça até o campo "Containers".

Obs: Anote o "Container name" iremos utilizar para o próximo comando. Nesse exemplo o nome do container é container-site-alfredo".

Com as seguintes informações anotadas:

Cluster Name: cluster-site-alfredo
Service Name: service-site-alfredo
Task Definition: task-site-alfredo:3
Task ID: 3e63a718518c485fb64a749a3cc2a5ce
Container Name: container-site-alfredo

Execute o comando abaixo.

aws ecs execute-command \
  --region us-east-1 \
  --cluster ECS_CLUSTER_NAME \
  --task ECS_TASK_ID \
  --container CONTAINER_NAME \
  --command "/bin/sh" \
  --interactive \
  --profile CLI_PROFILE

Exemplo:

aws ecs execute-command \
  --region us-east-1 \
  --cluster cluster-site-alfredo \
  --task 3e63a718518c485fb64a749a3cc2a5ce \
  --container container-site-alfredo \
  --command "/bin/sh" \
  --interactive \
  --profile Site-Alfredo

Obs: Lembre-se de adicionar o --profile com o nome do profile que você configurou em seu AWS Cli e da região onde está o seu ECS, no nosso exemplo estamos utilizando N. Virginia "us-east-1".

Pronto, se tudo ocorrer conforme o esperado você terá como retorno o shell do container Fargate e poderá executar comandos dentro do container.

Extra - Troubleshooting

Ao tentarmos acessar o container apresenta o seguinte erro "ERROR: Unable to start command: Failed to start pty: fork/exec /bin/bash: no such file or directory".

O erro ocorre pois não foi possível encontrar o executável /bin/bash, altere o shell no exemplo que utilizamos usamos o shell /bin/sh.

Ao tentarmos acessar o container apresenta o seguinte erro "An error occurred (InvalidParameterException) when calling the ExecuteCommand operation: The execute command failed because execute command was not enabled when the task was run or the execute command agent isn't running. Wait and try again or run a new task with execute command enabled and try again.".

O erro ocorre porque não está habilitado o AWS Exec na "Task", execute os procedimentos da Etapa 04, caso já tenha executado pode ser que o ECS ainda não atualizou a "Task", aguarde alguns minutos até que ele atualize.

Espero tê-lo ajudado! Se houver alguma dúvida, não hesite em entrar em contato.

https://alfredocastro.com.br/

Configurando Amazon SES para envio de e-mail

Alfredo Castro — Tue, 30 Jan 2024 03:28:50 +0000

O Amazon Simple Email Service (SES) é um serviço econômico projetado para facilitar o envio de e-mails integrado a diversas aplicações, permitindo a automação de envios em larga escala.

Se você utiliza um software de e-mail para enviar mensagens transacionais, campanhas de marketing ou newsletters, o Amazon SES oferece uma estrutura de pagamento flexível, permitindo que você pague apenas pelo que efetivamente utilizar. Além disso, ele suporta diferentes configurações de implantação, como endereços IP dedicados, compartilhados ou próprios.

Neste tutorial, vou ajudá-lo a configurar o Amazon SES para o seu domínio. Vamos gerar uma credencial SMTP e enviar um e-mail de teste.

Pré-requisito:

Uma conta AWS e um domínio (irei utilizar o domínio alfredocastro.com.br).

Etapa 01 - Configurando o Amazon SES

Acesse a console AWS e procure pelo serviço "Amazon Simple Email Service".

No menu lateral a esquerda, clique em "Verified identities".

Clique em "Create identity".

Nesta etapa, você poderá escolher entre a criação de uma identidade do tipo "Domain" ou "Email address".

Uma identidade do tipo "Domain" significa que após o Amazon SES configurado, você terá a capacidade de enviar e-mails representando qualquer endereço vinculado ao domínio configurado, por exemplo, você poderá enviar e-mails representando mkt@alfredocastro.com.br ou marketing@alfredocastro.com.br e assim por diante.

Já com a identidade do tipo "Email address", você irá configurar o Amazon SES para enviar e-mails apenas com um determinado endereço de e-mail.

Para este tutorial, vamos utilizar o tipo "Domain", no campo "Domain" digite o seu domínio, deixe as demais configurações padrões e clique em "Create identity".

Pronto, você concluiu com sucesso a criação da identidade para o seu domínio.

Na próxima tela que abrir, será apresentada uma ação para confirmar que você é o proprietário desse domínio.

Você precisará criar alguns registros do tipo CNAME no seu DNS para configurar o DKIM e, dessa forma, confirmar a propriedade do domínio.

Na aba "Authentication", vá até o campo "Publish DNS records", será exibido 3 registro DNS do tipo CNAME para serem criados em seu DNS.

Etapa 02 - Criando os registro DNS

Acesse o seu gerenciador de registros DNS do seu domínio.

Crie os registros do tipo CNAME conforme exibido na etapa anterior. Veja um exemplo:

Para consultar a propagação do registro criado, consulte o site: WhatsMyDNS

Após a propagação, você receberá um e-mail (e-mail que está configurado em sua Root Account da AWS) confirmando que a configuração do DKIM foi realizada com sucesso.

Acesse o Amazon SES e entre na identidade que acabamos de criar, você irá conseguir visualizar o status como "Verified" e o status do DKIM como "Successful".

Etapa 03 - Solicitando acesso ao Amazon SES produção

Acesse a console AWS e acesse o serviço "Amazon Simple Email Service".

No menu lateral a esquerda, clique em "Account dashboard".

Veja na mensagem em amarelo, a identidade que acabamos de criar está no modo "Sandbox", clique no botão "View Get set up page".

Nossa conta está em "Sandbox" e com algumas restrições de utilização, podemos enviar apenas 200 e-mails por 24 horas e podemos enviar apenas e-mails para a nossa própria identidade verificada.

Para remover essa restrição, precisamos abrir um chamado para a AWS, clique no botão "Request production access".

Precisamos preencher esse formulário explicando para qual finalidade iremos utilizar o Amazon SES, a AWS irá analisar a solicitação e se estiver de acordo irá liberar nossa identidade para o modo "Production".

Em "Mail type" selecione qual tipo de email você irá enviar, se é e-mail do tipo "Marketing" ou "Transactional", para este tutorial irei utilizar como "Transactional".

Em "Website URL" digite a URL do site da sua empresa ou produto para que a AWS possa analisar qual o tipo do conteúdo será enviado.

Em "Use case description", faça uma descrição do tipo de e-mail que será enviado e quais medidas você irá tomar para que os e-mails enviados não sejam considerados pelos usuários como Spam, a AWS solicita que você responda 3 questões:



1) How will you build or acquire your mailing list?
2) How will you handle bounces and complaints?
3) How can recipients unsubscribe from your mailing list, and how will you respond to those requests?

Eu utilizei o seguinte texto para a minha solicitação (basicamente expliquei que iria utilizar o Amazon SES como envio de email transacional, e-mails enviados por um novo sistema que estou criando e dei um exemplo do tipo de e-mail "Esqueci minha senha" e e-mails com novas postagens, também expliquei que para não ter meus e-mails marcados como indesejados ou serem enviados para o Spam, irei criar um link para que os usuários possam remover seu e-mail da lista de envio ou podem acessar o sistema e remover o envio de e-mails):



How will you build or acquire your mailing list?
It's a new system, I will use AWS SES to send emails to new registered users, to send "I forgot my password" emails and to send notifications of new posts made on the website.

How will you handle bounces and complaints?
Each user will can cancelate the notification of system. Or via a link that will be sent along with the email.

How can recipients unsubscribe from your mailing list, and how will you respond to those requests?
Each user will can cancelate the notification of system through of a option 'help' inside the system. Or via a link that will be sent along with the email.

As it is a new system, I believe that daily emails will be sent around 100 emails.

Marque a caixa "I agree to the AWS Service Terms and Acceptable Use Policy (AUP)" e clique em "Submit request".

Você receberá uma mensagem informando que a requisição foi enviada com sucesso e a AWS irá revisar em 24 horas. O status será alterado para "Under review".

Atualize a página e você irá visualizar uma mensagem com o ID do ticket aberto para a AWS. Você pode clicar no link e ir até o ticket para enviar mais informações para a AWS, caso a AWS encontre alguma inconsistencia, ela irá enviar uma mensagem pelo ticket.

Após a análise da AWS, você irá receber uma e-mail (e-mail da conta Root Account) avisando que o Amazon SES foi liberado para o modo "Production".

Acesse o serviço novamente e clique em "Account dashboard", agora podemos ver que a nossa cota para envios de e-mails foi alterada para 50.000 e-mails por 24 horas e o nosso status está como "Healthy".

Esse número de e-mails foi definido pela AWS, você consegue solicitar um ajuste conforme a utilização.

A AWS fornece um dashboard onde podemos ver como está nossa utilização diária.

Etapa 04 - Criando credencial SMTP via AWS Console

Agora que já possuimos o nosso Amazon SES configurado e habilitado para envio de e-mails, devemos gerar uma credencial SMTP.

Acesse a console AWS e acesse o serviço "Amazon Simple Email Service".

No menu lateral a esquerda, clique em "SMTP settings".

Clique no botão "Create SMTP credentials".

Por padrão, a AWS irá criar o "User name" como "ses-smtp-user.YYYYMMDD-HHMMSS", caso você queira, poderá alterar o nome do "User name", abaixo irá mostrar qual a permissão o usuário possui.

Basicamente a AWS cria um usuário IAM com uma Policy de Allow para ses:SendRawEmail, ela gera uma Access keys e executa um script para gerar uma credencial SMTP.

Eu alterei o nome do meu usuário para "ses-smtp-alfredo", clique em "Create user".

Copie os dados exibidos na tela e salve em um local seguro o "SMTP username" e "SMTP password" é a nossa credencial de autenticação no Amazon SES para envio de e-mails. Clique em "Return to SES console".

Retornando à guia "SMTP settings", encontraremos as informações essenciais para a configuração da nossa aplicação, incluindo o "SMTP endpoint", as configurações de "TLS" e "Port".

Etapa 05 - Criando credencial SMTP via credencial programática

Nesta etapa irei demonstrar como gerar uma credencial SMTP via credencial programática, para isso é necessário executar um script para transformar a Secret Key em uma credencial SMTP.

NOTA: A credencial SMTP é gerada por região e só funciona para o Amazon SES daquela região, você pode utilizar a mesma Secret Key para gerar credencial SMTP para outras regiões.

Acesse a console AWS e acesse o serviço "IAM".

No menu lateral a esquerda, clique em "Users".

Clique em "Create user".

Em "User name", defina um nome para o seu usuário e clique em "Next".

Iremos definir as permissões depois, apenas clique em "Next".

Clique em "Create user".

Clique no usuário que acabamos de criar.

Clique em "Add permissions" e em seguida clique em "Create inline policy".

Altere o "Policy editor" para "JSON".

Cole o seguinte JSON no "Policy editor" e clique em "Next".



{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "ses:SendRawEmail",
            "Resource": "*"
        }
    ]
}

Defina um nome para a Policy e clique em "Create policy".

Clique na aba "Security credentials".

Em "Access keys", clique em "Create access key".

Escolha a "Use case" como "Other" e clique em "Next".

Clique em "Create access key".

Salve a "Access key" e a "Secret access key" gerada em um local seguro, clique em "Done".

Agora, precisamos converter nossa "Secret access key" em uma credencial SMTP.

Utilizei um Linux com Ubuntu 22.04. Primeiro, instalei o python3 e, em seguida, criei o arquivo com o script em python.
Ao executar o script, forneça a "Secret access key" e, em seguida, indique a região para a qual deseja gerar a credencial SMTP. Neste tutorial, estamos usando a região us-east-1.



apt-get update
apt-get install python3 -y
vim /tmp/ses.py

Script:



#!/usr/bin/env python3

import hmac
import hashlib
import base64
import argparse

SMTP_REGIONS = [
    "us-east-2",  # US East (Ohio)
    "us-east-1",  # US East (N. Virginia)
    "us-west-2",  # US West (Oregon)
    "ap-south-1",  # Asia Pacific (Mumbai)
    "ap-northeast-2",  # Asia Pacific (Seoul)
    "ap-southeast-1",  # Asia Pacific (Singapore)
    "ap-southeast-2",  # Asia Pacific (Sydney)
    "ap-northeast-1",  # Asia Pacific (Tokyo)
    "ca-central-1",  # Canada (Central)
    "eu-central-1",  # Europe (Frankfurt)
    "eu-west-1",  # Europe (Ireland)
    "eu-west-2",  # Europe (London)
    "eu-south-1",  # Europe (Milan)
    "eu-north-1",  # Europe (Stockholm)
    "sa-east-1",  # South America (Sao Paulo)
    "us-gov-west-1",  # AWS GovCloud (US)
]

# These values are required to calculate the signature. Do not change them.
DATE = "11111111"
SERVICE = "ses"
MESSAGE = "SendRawEmail"
TERMINAL = "aws4_request"
VERSION = 0x04


def sign(key, msg):
    return hmac.new(key, msg.encode("utf-8"), hashlib.sha256).digest()


def calculate_key(secret_access_key, region):
    if region not in SMTP_REGIONS:
        raise ValueError(f"The {region} Region doesn't have an SMTP endpoint.")

    signature = sign(("AWS4" + secret_access_key).encode("utf-8"), DATE)
    signature = sign(signature, region)
    signature = sign(signature, SERVICE)
    signature = sign(signature, TERMINAL)
    signature = sign(signature, MESSAGE)
    signature_and_version = bytes([VERSION]) + signature
    smtp_password = base64.b64encode(signature_and_version)
    return smtp_password.decode("utf-8")


def main():
    parser = argparse.ArgumentParser(
        description="Convert a Secret Access Key to an SMTP password."
    )
    parser.add_argument("secret", help="The Secret Access Key to convert.")
    parser.add_argument(
        "region",
        help="The AWS Region where the SMTP password will be used.",
        choices=SMTP_REGIONS,
    )
    args = parser.parse_args()
    print(calculate_key(args.secret, args.region))


if __name__ == "__main__":
    main()

Executando o script:

NOTA: A saída do script será a sua credencial SMTP.



python3 /tmp/ses.py AedgghOlpaoKFYZ+5w/aoAo/BEBb/1z9RQ2V4N9W us-east-1

Etapa 06 - Testando envio de e-mail via AWS Console

Agora vamos realizar um teste de envio de e-mail utilizando a própria Console da AWS.

Acesse a console AWS e acesse o serviço "Amazon Simple Email Service".

No menu lateral a esquerda, clique em "Verified identities".

Clique no seu domínio.

Clique no botão "Send test email".

Em "Email format", selecione "Formatted".

Em "From-address", digite o nome do email que irá enviar a mensagem.

Em "Scenario", selecione "Custom".

Em "Custom recipient", digite o e-mail do destinatário, quem irá receber o nosso e-mail de teste.

Em "Subject", digite um assunto para o e-mail.

Em "Body", digite uma mensagem de teste.

Clique em "Send test email".

Veja as informações extraida do e-mail de teste que acabamos de enviar:

Nosso e-mail foi enviado com sucesso!

Etapa 07 - Testando envio de e-mail via script

Agora vamos realizar um teste de envio de e-mail utilizando um script bash utilizando a nossa credencial SMTP gerada na etapa 05.

Utilizei o mesmo Linux com Ubuntu 22.04, primeiro instalei o sendemail e em seguida criei o arquivo com o script em bash com permissão de execução.
Antes de executar o script, altere as variáveis conforme o seu ambiente.



apt-get update
apt-get install sendemail -y
vim /tmp/email.sh

Script:



#!/bin/bash

# STMP endpoint
SMTP_HOST="email-smtp.us-east-1.amazonaws.com"
# STARTTLS Port
SMTP_PORT="587"
# Access key
SMTP_USER="AKIAR3YIWCET3TYHQR6T"
# Credencial SMTP
SMTP_PASS="BHqSfD7stBQJf55FGQ9RoSeNK5h2E0LvOaQFl0DmZs2Z"
# Remetente
EMAIL_FROM="contato2@alfredocastro.com.br"
# Destinatário
EMAIL_TO="alfredotavio@gmail.com"
# Assunto
SUBJECT="Teste de Envio 2"
# Mensagem
echo "E-mail de teste 2" | \
        sendemail -o tls=yes -f ${EMAIL_FROM} -u ${SUBJECT} -t ${EMAIL_TO} -s ${SMTP_HOST}:${SMTP_PORT} -xu ${SMTP_USER} -xp ${SMTP_PASS}

Executando o script:



chmod +x /tmp/email.sh
/tmp/email.sh

Veja as informações extraida do e-mail de teste que acabamos de enviar utilizando nosso script em bash:

Espero tê-lo ajudado! Se houver alguma dúvida, não hesite em entrar em contato.

Instalando a Wiki Outline em Docker com Autenticação via GitLab

Alfredo Castro — Fri, 22 Dec 2023 20:53:18 +0000

Uma das ferramentas essenciais para empresas que desejam organizar, compartilhar e preservar conhecimento é a Wiki. Ela funciona como um repositório centralizado de informações, permitindo a criação, edição e colaboração em documentos de maneira simples e acessível a todos os membros da equipe.

Neste tutorial, vamos abordar a instalação da Wiki Outline em um ambiente Docker, garantindo a facilidade na configuração. Além disso, vamos configurar a autenticação via GitLab, tornando o acesso à Wiki mais seguro e integrado aos sistemas existentes na empresa.

Ambiente

Para está implementação, estou utilizando um servidor Linux com a distribuição Ubuntu na versão 22.04.

O servidor que utilizei possui a seguinte configuração: 2 vCPUs, 4GB RAM e um disco SSD de 30GB.

Para que nosso servidor seja acessível pela internet, e para que o nosso Traefik gere o certificado via Let's Encrypt, precisamos possuir um endereço IP público e precisamos liberar as portas 80 e 443 para a internet.

Também é necessário possuirmos um registro DNS para criarmos as URLs para o Outline e para o MinIO.

Disponibilizei o Docker Compose no seguinte repositório do GitHub: https://github.com/alfredotavio/outline-authgitlab-docker

Imagens utilizadas:

postgresql - Versão latest (16.1)
redis - Versão latest (7.2.3)
minio - Versão latest (RELEASE.2023-12-20T01-00-02Z)
outline - Versão 0.74.0
traefik - Versão latest (v2.10.7)

Estrutura:



.
├── .env
└── docker-compose.yml

Não irei abordar a instalação do Docker Engine, caso ainda não saiba realizar a instalação, consulte este outro post:

https://dev.to/alfredotavio/como-instalar-o-docker-engine-no-linux-5092

É necessário possuirmos um servidor GitLab instalado e configurado, no tutorial não irei entrar em detalhes de como realizar a instalação do GitLab, caso não possua uma servidor GitLab, consulte este outro post:

https://dev.to/alfredotavio/instalando-gitlab-usando-docker-4b57

Etapa 01 - Criando os registro DNS

Antes de tudo, vamos definir e criar as URLs que iremos utilizar para o Outline e para o nosso MinIO.

Irei utilizar o domínio alfredocastro.com.br, defini a URL wiki.alfredocastro.com.br para o Outline e as URLs storage.alfredocastro.com.br e storage-admin.alfredocastro.com.br para o MinIO.

Acesse o seu gerenciador de registros DNS do seu domínio e crie dois registro do tipo A colocando como valor o endereço IP público do seu servidor.

Veja um exemplo:

Para consultar a propagação do registro criado, consulte o site: WhatsMyDNS

Etapa 02 - Clonando o repositório do Docker Compose

Após realizar a instalação do Docker Engine, vamos dar seguimento com a nossa implementação.

Execute os seguintes comandos para clonar nosso Docker Compose para dentro do nosso servidor:



cd /opt
git clone https://github.com/alfredotavio/outline-authgitlab-docker.git

NOTA: Utilizei o diretório /opt do Linux, caso queira você pode alterar para outro diretório de sua escolha.

Etapa 03 - Gerando as keys SECRET_KEY e UTILS_SECRET

Utilize o comando abaixo para gerar as keys SECRET_KEY e UTILS_SECRET, utilize o comando duas vezes.
Iremos adicionar as keys geradas no arquivo de variáveis .env.



openssl rand -hex 32

Salve as keys aleatórias hex-encoded 32-byte geradas.

Etapa 04 - Gerando o Token OAuth no GitLab

Siga as etapas para gerar o Token OAuth para as variáveis OIDC_CLIENT_ID e OIDC_CLIENT_SECRET.

Faça login no GitLab.

Clique na foto do perfil do usuário na aba lateral esquerda. Em seguida, clique em "Edit profile".

No menu lateral esquerdo, clique em "Applications".

Clique no botão "Add new application".

Preencha os seguintes campos:

Nome: um nome para o token OAuth.

Redirect URI: a URL para a qual o usuário será redirecionado após o Login. Substitua wiki.alfredocastro.com.br pela URL do Outline que você definiu na etapa 01, mantenha /auth/oidc.callback.

Selecione: Confidential, openid, email.

Em seguida, clique em "Save application".

Copie o "Application ID" e a "Secret", iremos utilizar no arquivo de variáveis .env para as variáveis OIDC_CLIENT_ID e OIDC_CLIENT_SECRET. Em seguida, clique em "Continue".

Etapa 05 - Definindo as variáveis

Para definirmos as variáveis, devemos editar o arquivo .env na raiz do projeto, utilize o seguinte comando:



vim /opt/outline-authgitlab-docker/.env

Altere as seguintes variáveis (altere de acordo com o seu ambiente, lembre-se das informações geradas nas etapas anteriores):



# URL do seu GitLab
GITLAB_URL=gitlab.alfredocastro.com.br
# Gere uma senha para o usuário PostgreSQL
POSTGRES_PASSWORD=4plDjot8gsBuoUm2t8g
# Gere uma senha para o usuário minioadmin
MINIO_ROOT_PASSWORD=uuD4Tkqn1DLWK8L2NZL
# Gere uma senha para o usuário minio
MINIO_USER_PASSWORD=K8uk1WL4TDqnNZLuL2D
# Key aleatória hex-encoded 32-byte gerada na etapa 03
SECRET_KEY=ac19f89a7208b8b555391ac30df954d23c72cd73334d5464d9191b69db661b60
# Key aleatória hex-encoded 32-byte gerada na etapa 03
UTILS_SECRET=3858016d319b5ccdb0c6d81df8c5084395e3cd88d46a519d84719e59bbddf735
# ID do Token OAuth gerado na etapa 04
OIDC_CLIENT_ID=bee5543039223825096f902a47b3860981c6f4b12ea7be803fcf30343db71f49
# Secret do Token OAuth gerado na etapa 04
OIDC_CLIENT_SECRET=gloas-0748860386fd7ad12bfb6f81a72f389767f3c0f576d4570c4489738e0ce50243
# URL do Outline definida na etapa 01
WIKI_URL_TRAEFIK=wiki.alfredocastro.com.br
# URL do MinIO definida na etapa 01
MINIO_URL_TRAEFIK=storage.alfredocastro.com.br
# URL do MinIO definida na etapa 01
MINIO_ADMIN_URL_TRAEFIK=storage-admin.alfredocastro.com.br
# Endereço de email para geração do certificado Let's Encrypt
ACME_EMAIL_TRAEFIK=alfredotavio@gmail.com

Etapa 06 - Executando o Docker Compose

Para subirmos nosso ambiente, basta executarmos o seguinte comando dentro do diretório raiz onde está nosso docker-compose.yml:



docker compose up -d

NOTA: O Docker irá fazer o download e o provisionamento de todas as imagens. Aguarde alguns minutos até que as imagens concluam a primeira configuração.

Etapa 07 - Acessando a Wiki Outline

Acesse a URL da Wiki Outline que definimos na etapa 01, irá exibir uma tela com um botão "Continuar com o GtiLab" clique nele.

Você será redirecionado para a página de login do GitLab, utilize o seu usuário do GitLab para fazer login.

Clique no botão "Authorize" para autorizar o Outline a interagir com o GitLab via Token OAuth.

Você será redirecionado para a página inicial da Wiki Outline, seu usuário terá acesso admin e você poderá realizar as configurações que achar melhor para a sua Wiki.

Espero tê-lo ajudado! Se houver alguma dúvida, não hesite em entrar em contato.

Instalando GitLab Usando Docker

Alfredo Castro — Sat, 09 Dec 2023 22:12:59 +0000

O GitLab é uma plataforma robusta para gerenciamento de repositórios Git, oferecendo uma variedade de recursos para equipes de desenvolvimento colaborarem de forma eficiente. Uma forma prática de implantar o GitLab é através do Docker Compose, facilitando a configuração e o gerenciamento do ambiente.

Neste tutorial, irei demonstrar os passos necessários para instalar o GitLab usando Docker Compose, permitindo que você tenha seu próprio servidor GitLab em execução rapidamente e com facilidade.

Ambiente

Para está implementação, estou utilizando um servidor Linux com a distribuição Ubuntu na versão 22.04.

O servidor que utilizei possui a seguinte configuração: 2 vCPUs, 4GB RAM e um disco SSD de 30GB.

Para que nosso servidor seja acessível pela internet, e para que o nosso GitLab gere o certificado via Let's Encrypt, precisamos possuir um endereço IP público e precisamos liberar as portas 80 e 443 para a internet.

Também é necessário possuirmos um registro DNS para criarmos as URLs para o GitLab.

Disponibilizei o Docker Compose no seguinte repositório do GitHub: https://github.com/alfredotavio/gitlab-docker

Imagens utilizadas:

gitlab - Versão 16.6.1-ce.0
gitlab-runner - Versão Alpine

Estrutura:

.
└── docker-compose.yml

Não irei abordar a instalação do Docker Engine, caso ainda não saiba realizar a instalação, consulte este outro post:

https://dev.to/alfredotavio/como-instalar-o-docker-engine-no-linux-5092

Etapa 01 - Criando os registro DNS

Antes de tudo, vamos definir e criar a URL que iremos utilizar para o GitLab.

Irei utilizar o domínio alfredocastro.com.br, defini a URL gitlab.alfredocastro.com.br - ATENÇÃO: Você precisa alterar no arquivo do Docker Compose (docker-compose.yml).

Acesse o seu gerenciador de registros DNS do seu domínio e crie um registro do tipo A colocando como valor o endereço IP público do seu servidor.

Veja um exemplo:

Para consultar a propagação do registro criado, consulte o site: WhatsMyDNS

Etapa 02 - Clonando o repositório do Docker Compose

Após realizar a instalação do Docker Engine, vamos dar seguimento com a nossa implementação.

Execute os seguintes comandos para clonar nosso Docker Compose para dentro do nosso servidor:

cd /opt
git clone https://github.com/alfredotavio/gitlab-docker.git
cd gitlab-docker

NOTA: Utilizei o diretório /opt do Linux, caso queira você pode alterar para outro diretório de sua escolha.

Etapa 03 - Definindo a URL do GitLab

Primeiro vamos definir a URL de acesso, edite o arquivo docker-compose.yml na raiz do projeto e altere a URL do GitLab, são duas linhas, no atual projeto está definido como gitlab.example.com.

vim /opt/gitlab-docker/docker-compose.yml

Etapa 04 - Executando o Docker Compose

Para subirmos nosso ambiente, basta executarmos o seguinte comando dentro do diretório raiz onde está nosso docker-compose.yml:

docker compose up -d

NOTA: O Docker irá fazer o download e o provisionamento de todas as imagens. Aguarde alguns minutos até que as imagens concluam a primeira configuração.

Etapa 05 - Acessando o ambiente

Por padrão, o GitLab define automaticamente uma senha temporária encontrada dentro do arquivo "initial_root_password". Para obter a senha, utilize o seguinte comando:

docker exec -it gitlab grep "Password:" /etc/gitlab/initial_root_password

Acesse a URL do GitLab que definimos na primeira etapa, será solicitado um usuário e senha para acessar, por padrão o usuário é o "root" e a senha será a exibida no comando anterior.

Após realizar o primeiro login, é recomendado alterar a senha e o email do usuário "root", também é recomendado desativar a opção de registro público.

Para alterar a senha e o email do usuário "root", após realizar o login, clique na foto do perfil do usuário na aba lateral esquerda.

Em seguida, clique em "Edit profile".

Na aba "Profile", desça até o campo "Email" e altere o email "admin@example.com" para o seu endereço de email, em seguida clique em "Update profile settings".

Será solicitado a confirmação da senha do usuário "root", utilize a senha temporária que pegamos anteriormente.

Agora clique na aba "Password" no menu lateral esquerdo.

Em "Current password", digite a senha temporária que pegamos anteriormente, em "New password" defina uma nova senha e em "Password confirmation" repita a nova senha, em seguida clique em "Save password".

Você será deslogado e irá exibir uma mensagem dizendo que a senha foi atualizada com sucesso.

Faça o login novamente, agora utilizando a nova senha. Vamos desativar a opção de registro público, após o login, será exibido uma mensagem de alerta "Check your sign-up restrictions - Your GitLab instance allows anyone to register for an account, which is a security risk on public-facing GitLab instances. You should deactivate new sign ups if public users aren't expected to register for an account." clique no botão "Deactivate".

Desmarque a opção "Sign-up enabled" e clique no botão "Save changes".

Pronto, agora já subimos o GitLab e fizemos as primeiras configurações de segurança.

Etapa 06 - Integrando o GitLab com o GitLab Runner

Para realizar a integração do GitLab Runner com o GitLab, é necessário a geração de um token e realizar o registro dentro do GitLab Runner.

Para gerar o token você precisar acessar a "Admin Area", na tela inicial após realizar o login, clique na caixa "Configure GitLab".

No menu lateral esquerdo, clique em "CI/CD" e depois em "Runners".

Clique no botão "New instance runner".

Faça as seguintes configurações:

Em "Platform" marque "Linux".

Em "Tags" marque a caixa "Run untagged jobs".

Clique no botão "Create runner".

Copie e anote o comando exibido no "Step 1" e clique no botão "Go to runners page".

Veja que o nosso Runner está com o status "Idle" e a última interação está como "Never".

Agora devemos acessar o terminal onde está o nosso Docker Compose para executar o comando de registro do GitLab Runner. Acesse sua instância Linux e digite o seguinte comando para realizar o registro do GitLab Runner dentro do seu GitLab, lembre-se de alterar os campos "--url" e "--token" para as informações correspondentes ao seu Runner gerado anteriormente.

docker exec -it gitlab-runner gitlab-runner register --name MyRunner --url "https://gitlab.alfredocastro.com.br" --token "glrt-FyeL9ZZz6QozSD2aJE3x" --executor docker --docker-image "docker:latest" --non-interactive

A execução deve retornar uma mensagem parecida com a do print seguinte "Runner registered sucessfully".

Volte para o browser com os Runners e atualize a página para vermos o status do nosso Runner, veja no print que ele está com o status "Online" e já possui o tempo da última interação.

Pronto, já subimos nosso ambiente com GitLab e GitLab Runner integrado.

Espero tê-lo ajudado! Se houver alguma dúvida, não hesite em entrar em contato.

Instalando Zabbix Server com MySQL, Grafana e Traefik em Docker

Alfredo Castro — Mon, 13 Nov 2023 11:42:04 +0000

O monitoramento eficaz da infraestrutura de TI é uma necessidade crítica para qualquer organização que deseje manter o desempenho e a disponibilidade de seus sistemas. O Zabbix é uma plataforma Open Source amplamente utilizada para monitorar servidores, redes e serviços, oferecendo recursos poderosos de coleta de dados e geração de alertas. Além disso, a combinação do Zabbix com outras ferramentas, como MySQL para armazenamento dos dados, Grafana para visualização de métricas e Traefik para gerenciamento de tráfego, pode criar um ambiente de monitoramento completo e altamente escalável.

Neste tutorial, irei guiá-lo pelo processo de instalação do Zabbix Server utilizando o MySQL como Banco de Dados, o Grafana para criação de Dashboards robustos para analisar métricas geradas pelo Zabbix Server, e o Traefik para gerenciar o tráfego das URLs para os respectivos serviços, além da geração do certificado utilizando o Let's Encrypt, tudo dentro de contêineres Docker. Essa abordagem facilita a implantação e a manutenção do sistema de monitoramento, permitindo que você tenha um ambiente configurado rapidamente. Vamos abordar cada etapa do processo, desde a configuração do Docker até a integração das ferramentas, garantindo que você tenha uma solução robusta de monitoramento em funcionamento. Prepare-se para explorar o mundo do monitoramento de sistemas de forma eficaz e eficiente.

Ambiente

Para está implementação, estou utilizando um servidor Linux com a distribuição Ubuntu na versão 22.04.

O servidor que utilizei possui a seguinte configuração: 2 vCPUs, 2GB RAM e um disco SSD de 30GB.

Também é necessário possuirmos um registro DNS para criarmos as URLs para o Zabbix Server Web e para o nosso Grafana.

Disponibilizei o Docker Compose no seguinte repositório do GitHub: https://github.com/alfredotavio/zabbix-grafana-docker

Imagens utilizadas:

mysql - Versão 8.0
zabbix-server-mysql - Versão 6.0
zabbix-web-apache-mysql - Versão 6.0
zabbix-web-service - Versão 6.0
grafana - Versão 9.5.3
traefik - Versão latest

Estrutura:



.
├── env
│   ├── db.env
│   ├── grafana.env
│   ├── traefik.env
│   ├── zbx-rpt.env
│   ├── zbx-srv.env
│   └── zbx-web.env
├── .env
└── docker-compose.yml

Não irei abordar a instalação do Docker Engine, caso ainda não saiba realizar a instalação, consulte este outro post:

https://dev.to/alfredotavio/como-instalar-o-docker-engine-no-linux-5092

Etapa 01 - Criando os registro DNS

Antes de tudo, vamos definir e criar as URLs que iremos utilizar para o Zabbix Server Web e para o nosso Grafana.

Irei utilizar o domínio alfredocastro.com.br, defini a URL zabbix.alfredocastro.com.br para o Zabbix Server e a URL grafana.alfredocastro.com.br para o Grafana.

Acesse o seu gerenciador de registros DNS do seu domínio e crie dois registro do tipo A colocando como valor o endereço IP público do seu servidor.

Veja um exemplo:

Para consultar a propagação do registro criado, consulte o site: WhatsMyDNS

Etapa 02 - Clonando o repositório do Docker Compose

Após realizar a instalação do Docker Engine, vamos dar seguimento com a nossa implementação.

Execute os seguintes comandos para clonar nosso Docker Compose para dentro do nosso servidor:



cd /opt
git clone https://github.com/alfredotavio/zabbix-grafana-docker.git
cd /opt/zabbix-grafana-docker

NOTA: Utilizei o diretório /opt do Linux, caso queira você pode alterar para outro diretório de sua escolha.

Etapa 03 - Definindo as variáveis

Primeiro vamos definir as variáveis com as URLs de acesso, edite o arquivo .env na raiz do projeto e altere as variáveis ZABBIX_URL para a URL do Zabbix Server e a GRAFANA_URL para a URL do Grafana, altere a variável ACME_EMAIL para um endereço de e-mail seu:



vim /opt/zabbix-grafana-docker/.env

Agora devemos definir as variáveis do Banco de Dados MySQL. Edite o arquivo db.env dentro do diretório env. Irei alterar apenas as variáveis MYSQL_ROOT_PASSWORD e MYSQL_PASSWORD, essas variáveis define a senha para o usuário root e a senha para o usuário da variável MYSQL_USER.



vim /opt/zabbix-grafana-docker/env/db.env

NOTA: Não irei alterar as demais variáveis pois irei subir apenas para demonstração. Recomendo você ler a documentação do Zabbix para definir as variáveis de acordo com o cenário do seu ambiente a ser monitorado.

Etapa 04 - Executando o Docker Compose

Para subirmos nosso ambiente, basta executarmos o seguinte comando dentro do diretório raiz onde está nosso docker-compose.yml:



docker compose up -d

NOTA: O Docker irá fazer o download e o provisionamento de todas as imagens. Aguarde alguns minutos até que as imagens concluam a primeira configuração.

Etapa 05 - Acessando o ambiente

Acesse a URL do Zabbix Server que definimos na primeira etapa, será solicitado um usuário e senha para acessar, por padrão o usuário é o "Admin" e a senha é "zabbix".

Após o primeiro login, altere a senha do usuário Admin o quanto antes para evitar qualquer acesso indevido, para isso, clique em "User settings > Profile" no campo inferior esquerdo.

Clique em "Change password".

Digite a nova senha em "Password" e repita em "Password (once again)", em seguida clique em "Update".

Agora acesse a URL do Grafana que definimos na primeira etapa, será solicitado um usuário e senha para acessar, por padrão o usuário é o "admin" e a senha é "admin".

Em seguida será solicitado a alteração da senha, digite a senha no campo "New password" e repita em "Confirm new password", em seguida clique em "Submit".

Etapa 06 - Integrando o Grafana com o Zabbix Server

Para realizar a integração do Grafana com o Zabbix Server, é necessário a instalação de um plugin, em nosso arquivo Docker Compose está configurado para realizar a instalação automaticamente.

Antes de configurar o plugin, devemos acessar o Zabbix Server e criar um usuário para realizar a integração, toda a comunicação entre o Grafana e o Zabbix Server é feita por API e o Grafana irá utilizar esse usuário para acessar a API.

Clique em "Administration > Users" na barra lateral esquerda.

Clique em "Create user" no canto superior direito.

Preencha as informações para a criação do usuário:

Username: grafana

Name: Grafana

Last name: User

Groups: Zabbix administrators

Password: DEFINA-UMA-SENHA

Password (once again): DEFINA-UMA-SENHA

Altere para a aba "Permissions".

Role: Admin role

Em seguida, clique em "Add".

Acesse o Grafana, clique nos três tracinhos no canto superior esquerdo, clique em "Administration > Plugins".

Pesquise por "zabbix", ele irá mostrar o plugin "Zabbix - By Alexander Zobnin" já instalado, clique no plugin.

No canto superior direito, clique no botão "Enable".

No menu lateral esquerdo, clique em "Data sources".

Clique no botão "Add data source".

Filtre por "zabbix", em seguida clique no plugin do "Zabbix".

Faça as seguintes configurações:

URL: https://zabbix.alfredocastro.com.br/api_jsonrpc.php

Username: grafana

Password: SENHA-DEFINIDA-PARA-O-USUÁRIO-GRAFANA

Clique em "Save & test".

Se tudo ocorreu conforme o esperado, o Grafana exibirá uma mensagem contendo a versão do Zabbix API.

Etapa 06 - Instalando o Zabbix Agent no próprio servidor

Ao logar no Zabbix Server Web, você pode perceber que possui um alerta falando que o Zabbix Agent no host Zabbix server não está disponível.

Para corrigir esse alerta, devemos instalar o Zabbix Agent em nosso servidor, onde o nosso Docker está. Acesse o servidor via SSH e siga os procedimentos abaixo:

Adicione o repositório do Zabbix Release 6.0, execute os seguintes comandos:



cd /tmp
wget https://repo.zabbix.com/zabbix/6.0/ubuntu/pool/main/z/zabbix-release/zabbix-release_latest%2Bubuntu22.04_all.deb
dpkg -i zabbix-release_latest+ubuntu22.04_all.deb
apt-get update
apt-get install zabbix-agent -y

Execute os comandos abaixo para realizarmos a configuração do arquivo zabbix_agentd.conf:



cd /etc/zabbix/
mv zabbix_agentd.conf zabbix_agentd.conf.original
echo "##### Zabbix Agent #####" >> /etc/zabbix/zabbix_agentd.conf
cat zabbix_agentd.conf.original | grep -Ev '^#|^$' >> zabbix_agentd.conf
sed -i 's/127.0.0.1/10.10.0.11/g' /etc/zabbix/zabbix_agentd.conf
sed -i 's/Zabbix server/Zabbix server/g' /etc/zabbix/zabbix_agentd.conf
echo "Timeout=15" >> /etc/zabbix/zabbix_agentd.conf
echo "DebugLevel=3" >> /etc/zabbix/zabbix_agentd.conf
systemctl enable zabbix-agent
service zabbix-agent restart

NOTA: Para o Zabbix Agent do servidor Docker, devemos adicionar o IP privado do container chamado zabbix-server, de acordo com o nosso docker-compose.yml esse IP é o 10.10.0.11.

Agora devemos alterar o IP dentro do Zabbix Server Web, acesse a URL, faça login e clique em "Configuration > Hosts" na barra lateral esquerda.

Clique no nome do host "Zabbix server".

Altere o "IP address" de "127.0.0.1" para o endereço IP privado do servidor Docker, você pode visualizar o endereço IP privado executando o comando "ifconfig" ou "ip addr", em seguida clique em "Update".

Após alguns instantes o alerta será marcado com o Status "RESOLVED".

Troubleshooting - Docker Logs

Se por algum motivo você está enfrentado algum problema para subir o ambiente em Docker, você pode utilizar o comando abaixo para verificar os logs dos containers e com isso encontrar um norte para a resolução.



cd /opt/zabbix-grafana-docker/
docker compose logs -f

Espero tê-lo ajudado! Se houver alguma dúvida, não hesite em entrar em contato.

Como instalar o Docker Engine no Linux

Alfredo Castro — Sun, 12 Nov 2023 17:00:56 +0000

O Docker é uma tecnologia open source que revolucionou e facilitou a criação, administração e implementação de aplicativos por meio de contêineres. Esta ferramenta resolve um desafio de longa data enfrentado por desenvolvedores e administradores de sistemas. Quem da área de TI que nunca ouviu a frase "Na minha máquina funciona".

O Docker entra em cena como uma solução brilhante para resolver esse problema. Funcionando como uma espécie de máquina virtual leve, o Docker permite a execução de aplicativos em contêineres isolados, superando as complexidades das dependências. Dessa forma, preocupações relacionadas aos requisitos e compatibilidade são praticamente eliminadas, tornando a implantação de aplicativos mais simples e consistente.

Neste tutorial irei te ajudar a instalar o Docker em Sistemas Linux.

Ambiente

Irei abordar a instalação em ambientes onde o gerenciamento de pacotes é o APT - Advanced Package Tool (distribuições baseadas em Debian) e onde o gerenciamento de pacotes é o YUM - Yellowdog Updater Modified (distribuições baseadas em Red Hat).

Instalação no Sistema Operacional Ubuntu

Irei utilizar a distribuição Ubuntu na versão 22.04, é possível que os comandos variem de acordo com a versão da distribuição.

Etapa 01 - Atualizando a lista de pacotes dos repositórios configurados

Execute o seguinte comando para atualizar a lista de pacotes disponíveis nos repositórios configurados.

apt-get update

Etapa 02 - Configurando o repositório Docker

Para instalarmos o Docker utilizando o gerenciado de pacotes, primeiro devemos configurar o repositório oficial do Docker. Para isso, execute os seguintes comandos:

apt-get install ca-certificates curl gnupg
install -m 0755 -d /etc/apt/keyrings
curl -fsSL https://download.docker.com/linux/ubuntu/gpg | sudo gpg --dearmor -o /etc/apt/keyrings/docker.gpg
chmod a+r /etc/apt/keyrings/docker.gpg
echo \
  "deb [arch="$(dpkg --print-architecture)" signed-by=/etc/apt/keyrings/docker.gpg] https://download.docker.com/linux/ubuntu \
  "$(. /etc/os-release && echo "$VERSION_CODENAME")" stable" | \
  sudo tee /etc/apt/sources.list.d/docker.list > /dev/null
apt-get update

Etapa 03 - Instalando a versão mais recente do Docker

Utilize o seguinte comando para instalar a versão mais recente do Docker:

apt-get install docker-ce docker-ce-cli containerd.io docker-buildx-plugin docker-compose-plugin

Etapa 04 - Verificando a versão instalada

Para confirmar a instalação do Docker e verificar a versão instalada, utilize o seguinte comando:

docker --version
docker compose version

Instalação no Sistema Operacional CentOS

Irei utilizar a distribuição CentOS na versão 9, é possível que os comandos variem de acordo com a versão da distribuição.

Etapa 01 - Instalando o gerenciado de repositórios

Execute o seguinte comando para instalar o yum-config-manager, ele é um utilitário para gerenciar repositórios de pacotes.

yum install -y yum-utils

Etapa 02 - Configurando o repositório Docker

Assim como fizemos para a distribuição Ubuntu, precisamos fazer para o CentOS, primeiro devemos configurar o repositório oficial do Docker. Para isso, execute o seguinte comando:

yum-config-manager --add-repo https://download.docker.com/linux/centos/docker-ce.repo

Etapa 03 - Instalando a versão mais recente do Docker

Utilize o seguinte comando para instalar a versão mais recente do Docker:

yum install docker-ce docker-ce-cli containerd.io docker-buildx-plugin docker-compose-plugin

NOTA: Será exibido um resumo dos pacotes que serão instalados. No final, será solicitada a confirmação da instalação. Pressione 'y' e depois tecle Enter.

NOTA: Se por acaso for solicitado aceitar a chave GPG, verifique se o fingerprint é igual a

060A 61C5 1B55 8A7F 742B 77AA C52F EB6B 621E 9F35

Pressione 'y' e depois tecle Enter.

Etapa 04 - Verificando a versão instalada

Para confirmar a instalação do Docker e verificar a versão instalada, utilize o seguinte comando:

docker --version
docker compose version

Espero tê-lo ajudado! Se houver alguma dúvida, não hesite em entrar em contato.

Instalar Zabbix Agent no Sistema Operacional Windows via Script Batch

Alfredo Castro — Wed, 08 Nov 2023 00:37:44 +0000

Veja como simplificar o processo de instalação do Zabbix Agent em seus servidores Windows utilizando um Script Batch, ele irá automatizar toda a instalação do Zabbix Agent. Baixar, instalar, liberar firewall e realizar todas as configurações necessárias de maneira eficiente e sem complicações.

Disponibilizei o script em um repositório do GitHub.

NOTA: O script atual utiliza o instalador do Zabbix Agent na versão 6.0.22. Caso deseje utilizar uma versão diferente do instalador, basta editar o script e ajustar a URL para a versão desejada. Você pode encontrar as diversas versões disponíveis nas URL1 ou URL2.

Etapa 01 - Executando o Prompt de Comando como Administrador

1) Clique no menu iniciar do Windows e pesquise pelo Prompt de Comando digitando "cmd".
2) Clique com o botão direito do mouse e escolha a opção "Run as administrator".

Etapa 02 - Executando o Script

1) Primeiro vamos baixar o Script, execute no Prompt de Comando, o seguinte comando:

curl https://raw.githubusercontent.com/alfredotavio/install-zabbix-windows/main/install-zabbix-agent.bat --silent --output C:\install-zabbix-agent.bat

NOTA: O Script será baixado para dentro do C:\ .
2) Execute o Script com o seguinte comando:
C:\install-zabbix-agent.bat
NOTA: Será solicitado duas informações, na primeira você deve digitar o IP ou o DNS do seu Zabbix Server, na segunda você deve digitar o Hostname que você cadastrou para este servidor dentro do Zabbix Server. Por último, ele irá mostrar um "Ok", isso indica que a regra no Firewall foi criada com sucesso.

Etapa 03 - Verificando a instalação

1) Acesse os arquivos de programas do Windows, e procure pelo diretório "Zabbix Agent".

NOTA: Diretório C:\Program Files\Zabbix Agent.
2) Clique com o botão direito do mouse em cima do arquivo "zabbix_agentd.conf" e abra o arquivo com o "Notepad" do Windows.

3) Pesquise pelas opções "Server" e "ServerActive", confirme que a opção foi definida conforme digitamos na etapa anterior.

4) Agora pesquise pela opção "Hostname", confirme que a opção foi definida conforme digitamos na etapa anterior.

5) Clique no menu iniciar e pesquise por "firewall", execute o "Windows Defender Firewall with Advanced Security".

6) No menu lateral esquerdo, clique em "Inbound Rules".

7) Pesquise pela regra chamada "Zabbix Agent".

NOTA: Action - Allow, Protocol - TCP, Local Port - 10050.

Etapa Extra: Verificando o arquivo de logs da instalação

1) Caso a instalação não seja bem sucedida, você pode encontrar logs no seguinte arquivo: install-zabbix-agent-log.txt (Dentro dos arquivos temporários do Windows). Segure as teclas "Win+R" para abrir o "Run" do Windows.

2) Digite "%TEMP%\install-zabbix-agent-log.txt" e aperte "Ok".

3) O arquivo irá abrir no "Notepad" do Windows.

Espero tê-lo ajudado! Se houver alguma dúvida, não hesite em entrar em contato.

Criar IAM Role Cross-Account

Alfredo Castro — Sun, 29 Oct 2023 07:29:01 +0000

A Amazon Web Services (AWS) oferece uma ampla variedade de serviços e recursos poderosos para atender às necessidades de organizações em todo o mundo. No entanto, garantir que esses recursos estejam seguros e acessíveis apenas para as partes autorizadas é essencial. Para alcançar esse equilíbrio entre segurança e acessibilidade, a AWS fornece um mecanismo chamado IAM (Identity and Access Management), que permite definir e gerenciar permissões para usuários, grupos e recursos de maneira granular.

É uma prática recomendada pela AWS a utilização de várias contas para aprimorar a segurança, eficiência, controle de recursos e a segregação de ambientes.

Neste tutorial, abordaremos um cenário comum: a necessidade de conceder acesso a recursos da AWS em uma conta de destino a partir de uma conta de origem diferente. Isso é conhecido como "IAM Role Cross-Account". Essa configuração é útil em casos como compartilhamento de recursos entre equipes, ambientes de desenvolvimento e produção separados ou até mesmo entre organizações diferentes que colaboram na AWS.

Pré-requisito:

Duas contas AWS, a conta A (origem - conta que requer acesso à conta de destino) será nossa conta principal onde iremos criar o usuário (IAM User) e a conta B (destino - conta com os recursos aos quais você deseja acessar) será a conta onde iremos criar a função (IAM Role) para que o nosso usuário da conta A assuma e tenha as permissões necessárias para administrar a conta B.

Etapa 01 - Criar o usuário (Conta A)

1) Acesse a console AWS e procure pelo serviço "IAM".
2) No menu lateral a esquerda, clique em "Users".

3) Clique em "Create user".

4) Defina um username para o usuário, marque a opção "Provide user access to the AWS Management Console" para que o usuário tenha acesso via Console Web da AWS, marque a opção "I want to create an IAM user" para criar um usuário IAM. Se você deseja especificar uma senha personalizada, marque a opção "Custom password" e digite a senha. Por último, se desejar que o usuário redefina a senha assim que acessar o console, marque a opção "Users must create a new password at next sign-in" e clique em "Next".

5) Nesta etapa, definimos as permissões para o usuário. Por enquanto, não iremos atribuir nenhuma permissão, apenas clique em "Next.

6) Revise as informações e clique em "Create user".

7) Salve as informações de acesso e clique em "Return to users list".

8) Na tela de "Users", podemos ver o nosso usuário recém criado.

Etapa 02 - Criar a IAM Role (Conta B)

1) Acesse a console AWS e procure pelo serviço "IAM".
2) No menu lateral a esquerda, clique em "Roles".

3) Clique em "Create role".

4) Marque a entidade confiável como "AWS account", marque a opção "Another AWS account" e digite o Account ID de 12 digitos da conta A (você consegue visualizar o Account ID no passo 8 da etapa anterior), em seguida clique em "Next".

5) Selecione as permissões que deseja conceder ao usuário da conta A. Neste exemplo, estamos concedendo a permissão "AmazonEC2FullAccess". O usuário da conta A que criamos terá permissão total para acessar os recursos EC2 na conta B. Em seguida, clique em "Next".

6) Defina um nome para a Role, revise as informações da entidade confiável (garanta que esteja com o Account ID da conta A) e as permissões corretas. Em seguida, clique em "Create role".

7) Na tela de "Roles", podemos ver a nossa Role recém criado, clique nela para podermos copiar o ARN (iremos utilizar para a próxima etapa).

8) Clique nos dois quadradinhos para copiar o ARN da Role.

Etapa 03 - Conceder acesso a Role da conta B via Inline Policy (Conta A)

1) Acesse a console AWS e procure pelo serviço "IAM".
2) No menu lateral a esquerda, clique em "Users".

3) Clique no usuário criado na etapa 01.

4) Clique em "Add permissions" e em seguida clique em "Create inline policy".

5) Clique em "JSON" para alternar o Policy editor.

6) Adicione o seguinte JSON alterando o "Resource" para o ARN da Role criada na etapa 02. Em seguida, clique em "Next".

{
  "Version": "2012-10-17",
  "Statement": {
      "Effect": "Allow",
      "Action": "sts:AssumeRole",
      "Resource": "arn:aws:iam::XXXXXXXXXXXX:role/CrossAccount-RoleEC2"
  }
}

7) Defina um nome para a Policy, revise as informações e clique em "Create policy".

8) Nesta tela podemos ver a Policy definida para o nosso usuário.

Etapa 04 - Executando o Switch role para trocar de conta (Conta A)

1) Acesse a URL de login da Console Web da AWS
2) Selecione "IAM user", digite o Account ID de 12 dígitos da conta A. Em seguida, clique em "Next".

3) Confirme o Account ID da conta A, digite o username do usuário criado na etapa 01 e a senha que você definiu. Em seguida, clique em "Sign in".

(Obs: Caso tenha marcado a opção de redefinir a senha no primeiro login, a AWS irá solicitar que você defina uma nova senha para continuar, digite a nova senha e avance para o próximo passo).
4) Com o Console logado na conta A, clique no nome do usuário no canto superior direito.

5) Clique em "Switch role".

6) Clique em "Switch role".

7) No campo "Account" digite o Account ID da conta B, no campo "Role" digite o nome da Role criada na etapa 02. Em seguida, clique em "Switch role".

8) No canto superior direito da Console Web, podemos ver que assumimos a Role CrossAccount-RoleEC2 da conta B.

Etapa 05 - Testando as permissões (Conta B)

1) Após assumirmos a Role "CrossAccount-RoleEC2" da conta B, procure pelo serviço "EC2".

(Obs: na imagem podemos ver que estamos com acesso a todas as informações do Dashboard do recurso EC2, se desejar, crie uma instância EC2 para testar a permissão)
2) Agora procure pelo serviço "S3".

(Obs: na imagem podemos ver imediatamente o erro "You don't have permissions to list buckets", a permissão que concedemos para o usuário foi apenas para o recurso "EC2")

Espero tê-lo ajudado! Se houver alguma dúvida, não hesite em deixar um comentário.

Criptografar Amazon EBS utilizando KMS com CMK gerenciada pelo cliente

Alfredo Castro — Thu, 13 Jul 2023 05:42:45 +0000

A criptografia do Amazon Elastic Block Store (EBS) desempenha um papel fundamental na proteção dos dados sensíveis e confidenciais armazenados na nuvem da Amazon Web Services (AWS). Ela fornece uma camada adicional de segurança, ajudando a evitar violações de dados e possíveis danos à reputação da empresa. Além disso, a criptografia do EBS é fácil de configurar e usar, não exigindo conhecimentos avançados em criptografia por parte dos usuários. Outro ponto importante é que a criptografia do EBS ajuda as empresas a cumprir requisitos de conformidade regulatória, como a Lei Geral de Proteção de Dados (LGPD) no Brasil ou o Regulamento Geral sobre a Proteção de Dados (GDPR) na União Europeia. Ao criptografar os dados armazenados no EBS, as empresas estão adotando uma abordagem proativa para proteger a privacidade dos dados dos seus clientes.

No cenário abaixo, irei demonstrar como criptografar um volume EBS de uma instância em produção.

Etapa 01 - Criar chave KMS gerenciada pelo cliente

1) Acesse a console AWS e procure pelo serviço "Key Management Service".
2) No menu lateral a esquerda, clique em "Customer managed keys".

3) Clique em "Create key".

4) Selecione a "Key type" como "Symmetric" e a "Key usage" como "Encrypt and decrypt" e clique em "Next".

5) Defina um nome de sua escolha para o "Alias" da key e clique em "Next".

6) Em "Define key administrative permissions" clique em "Next".

7) Em "Define key usage permissions" clique em "Next".

8) Revise as informações e clique em "Finish" para criar a chave KMS.

Etapa 02 - Criptografando o volume EBS

1) Acesse a console AWS e procure pelo serviço "EC2".
2) No menu lateral a esquerda, clique em "Instances".

3) Selecione a instância desejada, clique em "Instance state" > "Stop instance", confirme clicando em "Stop".

4) Após a instância desligar, gere um snapshot do volume EBS da instância, no menu lateral a esquerda, clique em "Volumes".

5) Selecione o volume EBS e clique em "Actions" > "Create snapshot".

6) Clique em "Create snapshot".

7) No menu lateral a esquerda, clique em "Snapshots".

8) Selecione o snapshot, clique em "Actions" > "Copy snapshot".

9) Marque a opção "Encrypt this snapshot", em "KMS key" selecione a CMK criada na etapa 01 e clique em "Copy snapshot".

10) Após a cópia do snapshot finalizar, selecione o snapshot criptografado e clique em "Actions" > "Create volume from snapshot".

11) Defina o "Volume type" de sua escolha, garanta que o volume seja criado na mesma "Availability Zone" da instância EC2, em "KMS key" selecione a CMK criada na etapa 01 e clique em "Create volume".

12) No menu lateral a esquerda, clique em "Volumes".

13) Primeiro precisamos desatachar o volume sem criptografia da instância EC2, selecione o volume e clique em "Actions" > "Detach volume", confirme clicando em "Detach".

14) Em seguida, selecione o volume criptografado e clique em "Actions" > "Attach volume".

15) Em "Instance" selecione a instância EC2 e em "Device name" digite "/dev/sda1" pois o volume é um root volume de uma instância Linux e clique em "Attach volume".

16) No menu lateral a esquerda, clique em "Instances".

17) Selecione a instância desejada, clique em "Instance state" > "Start instance".

18) Pronto, no print abaixo podemos ver que o volume EBS está criptografado.

AWS Backup Cross-Account com KMS para instâncias EC2

Alfredo Castro — Thu, 13 Jul 2023 03:41:25 +0000

Em um mundo cada vez mais digital e dependente de tecnologia, as aplicações desempenham um papel fundamental para empresas, organizações e até mesmo para usuários individuais. Elas armazenam informações críticas, processam dados essenciais e fornecem funcionalidades vitais para o funcionamento diário de diversos setores. Diante desse cenário, é de extrema importância garantir a segurança e disponibilidade dessas aplicações, e uma das medidas essenciais nesse sentido é a realização de backups.

O backup de aplicações é uma medida essencial para garantir a segurança e disponibilidade dos dados vitais em um mundo digitalizado. Diante de ameaças como falhas técnicas, ataques cibernéticos e erros humanos, a perda de informações pode ser desastrosa para empresas e indivíduos. Realizar backups regularmente protege contra tais situações, permitindo a recuperação rápida e eficiente dos dados. Além disso, backups são fundamentais para garantir a continuidade dos negócios, minimizar prejuízos financeiros e evitar danos à reputação.

A Amazon Web Services (AWS) oferece uma solução de backup chamada AWS Backup, que fornece uma maneira centralizada de gerenciar backups em vários serviços e contas da AWS. O AWS Backup permite que as empresas criem, automatizem e gerenciem backups de seus dados, aplicativos e recursos.

No cenário abaixo, irei explicar como configurar o AWS Backup para realizar backups de suas instâncias EC2 em uma região específica e como configurar ele para enviar os backups para outra conta da AWS (Backup Cross-Account).

O backup entre contas oferece suporte apenas a CMKs gerenciadas pelo cliente. Ele não oferece suporte a cofres de backup criptografados usando CMKs gerenciadas pela AWS, incluindo cofres padrão, as CMKs gerenciadas pela AWS não devem ser compartilhadas entre contas, por isso precisamos criar nossa própria chave.

O cenário abaixo também funciona para volumes que estão criptografados com a CMK gerenciada pelo cliente.

Pré-requisito:

Duas contas AWS, a conta A (origem) será nossa conta de aplicação onde está rodando nossa instância EC2 e a conta B (destino) será nossa conta de gerencia onde iremos armazenar a cópia do Backup.
Precisamos configurar o AWS Organizations em nossa conta B e ingressar a conta A no Organization (não entrarei em detalhes de como realizar a criação do AWS Organizations).

Etapa 01 - Ativar o Cross-Account Backup (Conta B)

1) Acesse a console AWS e procure pelo serviço "AWS Backup".
2) No menu lateral a esquerda, clique em "Settings".

3) Procure o campo "Cross-account management" e habilite as funções "Backup policies", "Cross-account monitoring" e "Cross-account backup", clicando no botão "Turn on", o status deverá mudar de "Off" para "On".

Etapa 02 - Criar chave KMS na conta de destino (Conta B)

1) Acesse a console AWS e procure pelo serviço "Key Management Service".
2) No menu lateral a esquerda, clique em "Customer managed keys".

3) Clique em "Create key".

4) Selecione a "Key type" como "Symmetric" e a "Key usage" como "Encrypt and decrypt" e clique em "Next".

5) Defina um nome de sua escolha para o "Alias" da key e clique em "Next".

6) Em "Define key administrative permissions" selecione a role "AWSServiceRoleForBackup" e clique em "Next".

7) Em "Define key usage permissions" selecione a role "AWSServiceRoleForBackup" e clique em "Next".

8) Revise as informações e clique em "Finish" para criar a chave KMS.

Etapa 03 - Criar o Backup Vault na conta de destino (Conta B)

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Allow AccountSrcID to copy into DestMyBackupVault",
      "Effect": "Allow",
      "Action": "backup:CopyIntoBackupVault",
      "Resource": "*",
      "Principal": {
        "AWS": "arn:aws:iam::AccountSrcID:root"
      }
    }
  ]
}

6) Copie o ARN do Vault para utilizarmos na próxima etapa.

Etapa 04 - Criar chave KMS na conta de origem (Conta A)

1) Acesse a console AWS e procure pelo serviço "Key Management Service".
2) No menu lateral a esquerda, clique em "Customer managed keys".

3) Clique em "Create key".

4) Selecione a "Key type" como "Symmetric" e a "Key usage" como "Encrypt and decrypt" e clique em "Next".

5) Defina um nome de sua escolha para o "Alias" da key e clique em "Next".

6) Em "Define key administrative permissions" selecione a role "AWSServiceRoleForBackup" e clique em "Next".

7) Em "Define key usage permissions" selecione a role "AWSServiceRoleForBackup", em "Other AWS accounts" clique em "Add another AWS account" e digite o ID da conta de destino (conta B) e clique em "Next".

8) Revise as informações e clique em "Finish" para criar a chave KMS.

Etapa 05 - Configurar o AWS Backup (Conta A)

1) Acesse a console AWS e procure pelo serviço "AWS Backup".
2) No menu lateral a esquerda, clique em "Backup vaults".

3) Clique no botão "Create backup vault".

4) Defina um nome de sua escolha para o Backup Vault, em seguida selecione a "Encrypt key" criada na etapa 04 "arn:aws:kms:us-east-1:XXXXXXXXXXXX:alias/AWS-Backup" e clique em "Create backup vault".

5) No menu lateral a esquerda, clique em "Backup plans".

6) Clique no botão "Create backup plan".

7) Em "Start options", defina "Build a new plan", em seguida defina um nome de sua escolha para o Backup Plan.

8) Em "Backup rule configuration", defina um nome de sua escolha para o Backup Rule, em "Backup vault" selecione o Vault criado anteriormente, em "Backup frequency" defina a frequência de backup desejada (nesse exemplo a frequência será diária), em "Backup window" definimos qual será o horário que a regra de backup será executada (nesse exemplo será as 03:00 AM UTC. Obs: 00:00 horário de brasília), em "Retention period" definimos o tempo de retenção do backup (nesse exemplo a retenção será de 1 semana).

9) Em "Copy to destination" definimos para qual região/conta iremos enviar a cópia do backup (nesse exemplo iremos enviar para a região US East (N. Virginia) e para o Vault da conta B), em "External vault ARN" adicionamos o ARN do Vault criado na etapa 03 Ex: arn:aws:backup:us-east-1:XXXXXXXXXXXX:backup-vault:DestMyBackupVault (irá aparecer uma mensagem falando que será necessário adicionar permissão de acesso da conta B no vault da conta A) clique no botão "Allow" para adicionar a permissão.

10) Em "Retention period" definimos qual será a retenção dos backups na conta B (nesse exemplo a retenção da conta B será de 3 dias). Clique em "Create plan".

11) Agora definimos qual será os recursos que iremos fazer Backup (nesse exemplo vamos realizar o backup das instâncias EC2 que possuem a TAG "Backup = True"). Em "General" defina um nome de sua escolha para o Assign Resources, mantenha a "IAM role" como "Default role".

12) Em "Resource selection", marque a opção "Include specific resource types", em "Select specific resource types" selecione "EC2", em "Refine selection using tags" adicione a TAG "Key" = Backup o "Condition for value" = Equals e o "Value" = True. Clique em "Assign resources".

13) Clique em "Continue".

Etapa 06 - Adicionar a TAG de Backup = True em todas as instâncias que você deseja realizar o Backup (Conta A)

1) Acesse a console AWS e procure pelo serviço "EC2".
2) No menu lateral a esquerda, clique em "Instances".

3) Selecione a instância desejada, clique em "Actions" > "Instance settings" > "Manage tags".

4) Clique em "Add new tag", em "Key" digite Backup e em "Value" digite True. Clique em Save.

Etapa 07 - Verificar backups realizados (Conta A)

1) Acesse a console AWS e procure pelo serviço "AWS Backup".
2) No menu lateral a esquerda, clique em "Jobs".

3) Em "Backup jobs" podemos ver os backups realizados na conta de origem (Conta A).

4) Em "Copy jobs" podemos ver os backups copiados para a conta de destino (Conta B).

Espero tê-lo ajudado! Se houver alguma dúvida, não hesite em deixar um comentário.