התקנת יישומי הייפר בצד השרת

פרק זה מתאר ומסביר אודות רכיבי מערכת הייפר המותקנים ופועלים בצד השרת, בין אם מדובר בשרת המותקן ברשת הארגונית ובין אם בהתקנה בחוות שרתים (ענן), להלן "מחשב".
סדר התקנת היישומים הוא כסדר תתי הפרקים המופיעים בתפריט הניווט (מימין).
מטעמי סודיות, הגישה לחלקים מחומר ההדרכה ניתנת ללקוחות רשומים בלבד.
במידה ואינך רואה את תתי העמודים בתפריט הניווט מימין, לחץ על "כניסה למשתמש רשום" והזן את שם המשתמש והסיסמה שהונפקו לך על ידינו.

איור 1 - דיאגרמת רכיבי התוכנה (כל קוביה מתארת יישום).

דיאגרמת תיאור מרכיבי המערכת
* כיוון ראש החץ בדיאגרמה מורה מי יוזם הפניה (איזה יישום מבצע socket connect to).

שם היישום תיאור
SYE Server יישום מסד הנתונים המשרת את כלל רכיבי המערכת כמתואר בתרשים מעלה באמצעות תקשורת TCP.
היישום יכול להיות מותקן ע"ג אותו המחשב יחד עם שאר רכיביו (בהתקנה "רזה") או בפריסה וביזור רכיבים ע"ג מחשבים שונים כמתואר באיורים שלהלן.
התקשורת בין מסד הנתונים לבין כלל רכיביו מוצפנת בשיטה קניינית שלנו ומול העולם הוא מיישם מנגנוני אבטחה (WAF) ייעודים המגנים על נתוני הייפר מפני "שיבושים" ופריצות.
Hyper Server Side Application יישום צד השרת של הייפר מותקן פעם אחת עבור כל מסד נתונים.
אחראי על ביצוע פעולות מול מערכות חיצוניות (SMS, סליקת אשראי, שרתי דוא"ל, וכיו"ב), הפקת דוחות אוטומטיים ועיבודי לילה.
הישום יכול לפעול על כל מחשב המסוגל לתקשר עם מסד הנתונים, עם זאת אנו ממליצים להתקינו באותו מחשב עם מסד הנתונים.
Hyper Client Application יישום זה הוא תוכנת הקצה (לקוח) המופעלת על ידי משתמשי המערכת, במחשבים שלהם ומתקשר מול מסד הנתונים בלבד.
Hyper Web Application יישום המשמש כמנוע קליטה והגשת נתונים מול מערכות צד שלישי חיצוניות הפונות מהאינטרנט כגון: דפדפנים, API, ושרתים אחרים.
בהתאם להגדרתו, היישום יפעל בתפקיד אחד (מתוך מספר תפקידים אותם הוא מסוגל לבצע) וישמש כמתווך בין העולם למסד הנתונים.
אפשרי שיישום זה יהיה מותקן מספר פעמים כאשר לכל התקנה תהיה הגדרת משימה אחרת.
SYE HTTP Server זהו שרת HTTP Proxy שלנו המכיל בתוכו את החלק הראשון במערך האבטחה (WAF). זאת המקבילה שלנו לשרתים כגון Nginx / Apache ודומיהם, אך עם רשימת יכולות מותאמת להייפר.
מסד נתונים (שרת הייפר) לשונית מסדים
תפקידי השרת:
  • לעמוד בחזית מול דפדפנים ושרתים אחרים ולנהל את התקשורת, את העומסים ושכבת האבטחה הראשונה המתמקדת בעיקר בהפרות פרוטוקול HTTP / TLS.
  • שרת קבצים (http get) מגיש קבצים הנדרשים לאפליקציה (תומך גם ב- React). יכול לייצר רשימת קבצים לצפיה/הורדה בסגנון FTP.
  • מעביר פניות ליישום Hyper Web Application ברשת פנימית מאובטחת, פרוטוקול Http Proxy תיקני (תומך Get, Post, Delete, Put).

השרת יכול לנהל בעצמו תקשורת מוצפנת (HTTPS) כאשר מיושם בו רק דומיין ראשי אחד (אין הגבלה על כמות תתי הדומיינים) וזאת באמצעות רכיב Chilkat המותקן עם השרת (תומך רק בתעודה אחת).
עם זאת על מנת ליישם Server Name Indication (SNI) לריבוי דומיינים, יש לשלבו עם מערכת PROXY נוספת כגון Stunnel / F5 / HA Proxy או כל מערכת אחרת,
אשר תשב בחזית התקשורת ותמיר עבורו את התקשורת מ- HTTPS ל- HTTP.

הגנות, אבטחת מידע ומגבלות השרת
יישום השרת מכיל ומפעיל מנגנונים פנימיים להגנה מפני שיבושי תקשורת וניסיונות חדירה במסגרת אבטחת המידע ובנוסף קיים מנגנון לטיפול בתקשורת איטית.
אך אלו אינם מהווים תחליף להתקנת מערכת הגנה ייעודית כמקובל.
Trading Platform Integration מוצר המדף של הייפר מכיל יישומי התממשקות חיה לפלטפורמות מסחר Meta Trader 4/5.
"Custom Projects Server App" יישום המכיל פיתוחים מיוחדים/פרטיים של לקוחות, כגון ממשקים מול מערכות יעודיות ומודולים נוספים הפועלים ע"ג השרת.
PBX Integration יישום המתקשר עם מרכזיות טלפוניה שונות וביניהם Asterisk.
היישום משמש כחייגן, מאפשר קליטה והקפצת התראות בגין שיחות נכנסות ומבצע שמירה של הקלטות שיחה במסד הנתונים של הלקוח.

התקנה "מינימלית" תכלול את התקנת תוכנת מסד הנתונים (SYE Server) ואת היישום Hyper Server Side Application.
כל השאר היישומים בדיאגרמה הינם יישומים נוספים המשמשים בעיקר כממשקים למערכות צד שלישי ואינם חובה להתקנה.

פריסת היישומים על חומרת הלקוח

עבור לקוחות הרוכשים את המערכת או משכירים אותה עם הרשאה להתקנה פרטית, להלן שתי אפשרויות פריסה והתקנה המומלצת על ידינו:

איור 2 - דיאגרמת פריסה והתקנה ברשת ארגונית.


איור 3 - דיאגרמת פריסה והתקנה ע"ג שרתים בחווה / בענן.

לשיקול הלקוח באם להתקין שתי הזנות רשת (WAN feed) נפרדות בכדי להמנע מהפרעות "D.O.S" על הצד הימני של הדיאגרמה, או לעבוד עם הזנת רשת אחת לכל המכונות.



הערה חשובה:
לא משנה באיזו תצורת התקנה תבחר, בכל מקרה שני סוגי השרתים לעיל דורשים חיבור לרשת האינטרנט לטובת:
  1. גישה מרחוק לשירותים על ידי משתמשי הקצה.
  2. קיום תקשורת מול שרתי ההפצה והעדכונים של SYE.

שרת ההפצה והעדכונים

אנחנו (חברת התוכנה) מחזיקים שרת הפצת מידע ארגוני ועדכוני מערכות.
שרת מסד הנתונים מתקשר עם שרת ההפצה באופן תדיר ומקבל ממנו עדכוני מידע (שערים ומדדים, רשימות רחובות וערים ועוד) ועדכוני מערכות אותם הוא אחראי לשדרג.
עליך לוודא כי שרת מסד הנתונים מתקשר עם האינטרנט לשם קבלת עדכונים אלו.
במידה והנך מתקין את סביבת השרתים מאחורי רשת פרטית סגורה, צור עימנו קשר לקבלת פרטי שרת ההפצה.

דרישות חומרה, הכנות והגדרות לשרת חדש

מערכות הפעלה תואמות:
Windows: 11, Server 2019
ואילך.

המלצות חומרה מינימאליות:

בהנחה שמדובר על מחשב שרת המתוכנן להריץ מסד נתונים בודד של חברה בסדר גודל קטן עד בינוני (עד 30 תחנות קצה), אנו ממליצים על החומרה הבאה.
  • מעבדים: Intel Core i7 בעל 6 ליבות (מינימום) החל מ- 2.9GHz. אפשרי גם מעבד Ivy Bridge (E5 - 6 Cores Minimum) והלאה
  • זיכרון DDR4 בנפח מינימאלי של 32GB
  • כרטיס רשת 1Gbit (אפשרי לעבוד גם ב- TEAMING)
  • כרטיס מסך בסיסי (ללא חשיבות)
  • חיבור לאינטרנט (רוחב פס מינימאלי 100mb/s) עם גישה לשירותי SYE
  • דיסקים קשיחים:
    מסד הנתונים של הייפר מתוכנן לאחסן נתוני טבלאות בקבצי DATA וקבצים אובייקטים נוספים נלווים כגון מסמכי אופיס, אימיילים ועוד.
    על מנת לקבל ביצועים מיטביים, אנו ממליצים לחלק את אחסון המידע על גבי מספר דיסקים שונים וזאת בכדי לאפשר זמני טעינה ושמירה קצרים עד כמה שניתן.
    1. דיסק SSD/NVME ייעודי בנפח של 256GB עבור מערכת הפעלה, עליו ניתן להתקין את תוכנות שרת הנתונים SYE Server.exe ויישומי אוטומציה נוספים
    2. דיסק SSD/NVME ייעודי בנפח של 256GB לפחות, עבור אחסון נתוני טבלאות (קבצי ה- DATA)
    3. דיסק SSD ייעודי עבור אחסון אובייקטים וקבצים בנפח מינימאלי של 1TB או בהתאם להערכת כמות נתונים בארגון
    4. דיסק SSD/HDD ייעודי עבור גיבויים של כל סוגי הנתונים, המלצתנו מערך SSD בנפח מינימאלי של 8TB (אפשרי לגבות גם לכונן HDD)
    * לטובת שמירה על שרידות ויתירות גבוהה, ניתן ליישם את פריסת הדיסקים הנ"ל גם במערכי RAID כראות עינכם.

המלצות להגדרות וטיוב מערכת ההפעלה

* יש לאפשר הרשאות כתיבה ומחיקה לכל קבצי ה- EXE הנמצאים בתיקיית השרת ובהתאמה הרשאת כתיבה ומחיקה לתיקיות שהוגדרו עבור תוכנת השרת.

לפני התקנת יישום השרת SYE Server אנו ממליצים ליישם סדרת הגדרות הקשחה וטיוב למערכת ההפעלה, וזאת בכדי להבטיח את ביצוע המערכת ואבטחתה.
להלן מספר המלצות ליישום. באפשרותך להקשיח מעבר:

  1. וודא כי בשרת היעד לא הותקנה מערכת נוספת (מצד שלישי) העלולות לסכן את מסד הנתונים (לדוגמא: IIS).
    אנו ממליצים להתקין את מסד הנתונים של הייפר על גבי מערכת הפעלה "נקיה"!
  2. וודא התקנה והתאמה של כלל הדרייברים המקוריים אל מול החומרה.
  3. הגדר Power Performance למקסימום ביצועים.
  4. הגדר כתובת IP קבועה "Fix IP" במערכת ההפעלה.
  5. הסר תוכניות שאינן נדרשות, כגון תוכנות שירות שמגיעות עם דרייברים וכלי שירות אחרים המותקנים יחד עם מערכת ההפעלה.
  6. הסר פונקציות שאינן נדרשות במערכת ההפעלה, כגון Gadgets ו- Indexing.
  7. סגור כל אפשרות ל- AUTO PLAY.
  8. ברכיבי הרשת, במידה וניתן הסר שימוש ב: client for Microsoft Networks, File Sharing, TCP IP 6
    השאר רק את פרוטוקול TCP/IPv4 במצב פעיל, שכן זהו הפרוטוקול היחיד הנדרש לשרת שלנו.
    עבור הגדרת NIC TEAMING השאר רק רכיבים התומכים בכך ולא מעבר.
  9. במידה והנך מפעיל חומת אש של WINDOWS, מחק את כל חוקי ה - Inbound והגדר אפשרות לתקשורת בפורט 5902 ופורט 80 עבור יישום SYE Server ופורטים 81, 443 עבור Http Server במידה ומותקן.
  10. החרג קבצי .New, .Data משירותי סריקת זמן אמת של Windows Defender ואנטי וירוס באם קיימים.
  11. מומלץ ליישם Virtual Memory מינימאלי של 800MB (לא חובה). אחרת וודא Virtual Memory יישמר על דיסק NVME.
  12. בטל Hibernate באמצעות פקודת "powercfg off".
  13. הגדר ביצוע עדכונים ל- Windows ביום ושעה שבהם אין פעילות ביחד עם מועד אתחול.
  14. בהתקנת "SYE Server" בתצורת User Desktop נדרש עליך:
    א. לוודא AutoLogon של מערכת ההפעלה על מנת שתוכנת מסד הנתונים תפעל עם ממשק משתמש.
    ב. להוסיף אותו למנגנון ההרצה (Scheduled Task) ב- Log-In של מערכת ההפעלה, או להתקין את יישומון ההפעלה שלנו "Load Apps on right timing" שנמצא ב- "Freeware Tools".
  15. הגדר את שעון מערכת ההפעלה לאזור זמן ל- UTC ופורמט התאריך שעה בהתאם לדרישות הארגון (אנו ממליצים לעבוד בפורמט dd/mm/yyyy).
    תוכנת מסד הנתונים נשענת על שעון מערכת ההפעלה של השרת, לכן מומלץ לוודא שהשעון מכוון באמצעות סנכרון אוטומטי רציף משרת NTP.