跳至内容
技术

企业级架构

grommunio 可从单台服务器扩展到负载平衡器后面的集群高可用部署,而不会放弃企业已经依赖的协议和客户端。

试用实时演示 阅读文件
100,000+
每次部署的用户数
活动/活动
高可用性
MAPI/HTTP
原生 Outlook
OIDC - SAML
现代单点登录
建筑学

可扩展

Linux 本机面向服务的内核专为密度和增长而设计--通过增加节点来提高容量。

集群就绪

跨多个节点运行 grommunio。无状态应用服务可横向扩展--节点越多,容量越大。

负载平衡器友好

将任何标准的 L4/L7 负载均衡器放在前面。会话不会被固定在单个节点上,因此流量分配干净利落,不会出现会话粘性问题。

高度可用性

主动/主动和主动/被动拓扑结构、健康检查和自动故障切换功能可在节点丢失和维护时保持邮箱在线。

可扩展的数据层

一个由 MariaDB/Galera 支持的元数据层和一个可扩展的消息存储层,可以独立于应用层进行复制和集群。

模块化设计

MTA、存储、网络和同步是独立的服务--可单独扩展、隔离、监控和更新每个服务。

Linux 本机性能

轻量级 C/C++ 内核 (gromox) 专为提高效率而设计--每个节点可容纳数千个邮箱,且无需额外费用。

建筑一览

分层、可分离、可扩展

堆栈的每一层都是可独立扩展的服务--在需要的地方增加容量。grommunio 组件基于标准、著名的 Linux 基础设施。

grommunio 组件结构图
高可用性

真正的 HA,运营团队的构建方式

超越负载平衡--grommunio 在久经考验的 Linux 高可用性堆栈上运行,可实现真正的容错,而不仅仅是纸面上的冗余。

  • Corosync 和 Pacemaker 在已建立的 Linux HA 协议栈上构建真正的高可用性集群--Corosync 用于集群消息传递和成员资格,Pacemaker 用于资源管理和协调。
  • 自动故障切换和围栏 当节点发生故障时,资源会自动重新定位,并通过 STONITH/fencing 实现分脑保护和数据完整性。
  • 复制和共享存储 与 DRBD、共享 SAN/NAS 或集群数据库层配对,从而避免单一节点成为故障点。
  • 主动/被动或主动/被动 选择与 SLA 相匹配的拓扑结构 - 扩展吞吐量或随时准备接管的热备用。
  • 滚动维护,零停机时间 在集群继续为用户提供服务的同时,一次只对一个节点进行修补和升级。
  • 地理冗余 扩展集群或跨站点和数据中心复制,以实现灾难恢复。
云原生

云原生设计

grommunio 遵循云原生原则,因此其部署、扩展和修复方式与现代基础设施相同。

  • 支持 Container 官方容器镜像可在 Docker、Podman 和 Kubernetes 上运行 - 像协调其他云原生工作负载一样协调 grommunio。
  • 无状态服务 应用程序组件不保留本地状态,因此可以横向扩展(和恢复),并能立即恢复。
  • 复制或共享存储 以适合您的基础架构的方式进行集群--让每个节点都有自己的复制存储,或在通用的 SAN/NAS 存储上运行所有节点。grommunio 同样支持这两种方式。
  • 按需扩展 通过滚动部署和协调器的自动扩展,添加或移除副本以匹配负载。
  • 声明式和自动化 配置即代码和管理 API 使部署具有可重现性和 CI/CD 友好性。
  • 可在任何地方运行 在企业内部、私有云、公共云或主权环境中运行相同的工件--没有锁定。
协议与兼容性

每项协议,绝不妥协

grommunio 采用与 Microsoft Exchange 相同的协议,因此您现有的客户端可以直接连接,无需安装,也无需迁移。

  • MAPI/HTTP - 本机 Outlook Outlook for Windows 可通过 MAPI/HTTP(和 RPC/HTTP)进行本地连接,与 Exchange 完全相同。无插件、无连接器、无中间件。
  • Exchange Web Services (EWS) 为使用 EWS(包括 eM Client、Outlook for Mac 和 macOS 邮件)的客户端和集成提供丰富的互操作性。
  • 脱机地址簿(OAB) 全局地址列表以离线地址簿的形式发布,因此 Outlook 可以对其进行缓存,以实现快速的离线地址查询。
  • Exchange ActiveSync (EAS) 在 iOS、Android 和 Outlook 手机上原生推送电子邮件、日历和通讯录。
  • IMAP、POP3 和 SMTP 为您需要连接的任何邮件客户端或下游系统提供开放标准。
  • CalDAV & CardDAV 基于标准的跨平台日历和联系人同步。
  • 自动发现和自动配置 客户端可自行配置,用户只需输入电子邮件地址即可连接。
协议流程

从客户端到邮箱

每一行都是一条未交叉的车道:一个客户系列、它所使用的协议以及应答的 gromox 服务--这与 Outlook 对抗 Microsoft Exchange 所使用的路径相同。

从客户到 gromox 服务的协议流,每个客户系列一条通道
服务 ↔ 数据

每项服务的落脚点

请求进入 gromox 后,每项服务都会通过定义的接口(每个邮箱的 exmdb、MariaDB 元数据、Redis 缓存或 postfix 端邮件 spool)访问其数据存储。

每个 gromox 服务如何与其数据存储连接
可与电子邮件客户端配合使用

使用你已经喜欢的电子邮件客户端

您的用户可以使用他们熟悉的客户端。由于 grommunio 采用标准协议,几乎所有现代邮件和群件客户端都能在桌面、手机和网络上实现本地连接。

Microsoft Outlook
Windows 可通过 MAPI/HTTP 进行本机通信,与 Exchange 通信完全相同。
Outlook for Mac
macOS,通过 Exchange Web Services (EWS)。
Apple Mail、日历和通讯录
主要通过 Exchange Web Services (EWS) - 以及 CalDAV 和 CardDAV 上的 macOS 和 iOS。
eM Client
grommunio - Windows、macOS 和 Linux 在 Exchange Web Services (EWS) 上的典型跨平台 Outlook 替代版,具有日历、联系人、任务、空闲/忙碌和全局地址列表功能。
Mozilla Thunderbird
通过 Exchange Web Services (EWS),以及 IMAP、SMTP、CalDAV 和 CardDAV。
GNOME Evolution
Linux,通过 Exchange Web Services。
KDE Kontact
Linux,通过 IMAP、CalDAV 和 CardDAV。
Android & iOS
任何 Exchange ActiveSync 设备开箱即可使用。
grommunio Web
内置的全功能网络邮件--无需安装。
身份与访问

适合您环境的身份验证

将 grommunio 插入已运行的身份堆栈--联合登录、执行策略和委托管理。

OpenID Connect (OIDC)

与身份提供商联合认证 - Keycloak、Microsoft Entra ID、Okta 和任何符合 OIDC 标准的 IdP。

SAML 2.0

与企业 SAML 身份提供商进行单点登录,实现无缝会话联合。

LDAP & Active Directory

直接从现有目录服务中验证和配置用户。

MFA 和有条件接入

内置 TOTP 以及完整的 WebAuthn / FIDO2 和通过 IdP 的有条件访问 - 将登录策略集中在一处。

基于角色的管理

细粒度的授权管理角色--针对每个组织和每个租户。

默认安全

TLS 无处不在,现代密码和 S/MIME 可确保端到端信息安全。

安全与信任

层层硬化

安全是 grommunio 的基础,而不是事后才想到的。grommunio拥有良好的记录、完全透明的开放源代码和一套深刻的安全原则,使您的通信得到保护。

默认安全

随处可见的 TLS、现代密码和开箱即用的加固默认设置--没有不安全的传统模式。

纵深防御

跨越传输、应用、存储和身份的独立分层控制。

最低特权

细粒度的 RBAC 和授权管理--每个用户和管理员只获得他们需要的东西。

端到端加密

S/MIME 签名和加密可确保信息的真实性、完整性和保密性。

垃圾邮件和恶意软件防御

grommunio-antispam (由 Rspamd 支持)和 ClamAV 通过基于规则、统计和签名的分析来筛选每封邮件。

连续硬化

快速安全更新、协调的 CVE 响应和负责任的披露流程。

透明和可审计

100% 开放源代码 - 代码可供任何人检查、审计和验证。没有黑盒。

主权与合规

在您控制的基础设施上运行,在您的管辖范围内运行 - 设计与 GDPR 一致。

强大的身份验证

MFA 与 OIDC 和 SAML 一起执行现代化的联合策略驱动访问。

IT 运营

多租户,专为 IT 团队打造

为多个组织运行一个平台,并提供运营团队所期望的部署选项和工具。

  • 真正的多租户 在一个平台上托管多个孤立的组织--每个组织都有自己的域、用户、策略和管理。
  • 灵活的主权部署 在企业内部、您的私有云中,或作为主权托管服务。您的数据留在您的管辖范围内,由您控制。
  • Appliance、软件包或容器 为您的协调器部署整套 ISO 设备、主要 Linux 发行版的本地软件包或容器镜像。
  • 备份和灾难恢复 跨元数据和信息层的一致备份和恢复路径。
  • 监测和可观测性 健康端点、指标和结构化日志可直接插入现有监控堆栈。
  • 长期维护 安全更新和可预测的专业支持发布周期。
  • 声明式配置 从版本控制状态管理平台--基于文件的配置、开放式管理 API 和社区 Ansible / Salt 操作手册可直接融入现有的自动化系统。
  • 零接触式客户端配置 Outlook Autodiscover、Mozilla autoconfig、Exchange ActiveSync Autodiscover 和 Apple .mobileconfig - 所有主流客户端都能通过电子邮件地址进行配置。
开放的生态系统

适合您已运行的基础设施

由于 grommunio 采用的是开放式标准协议,因此它可以与周围的系统--已经在服务器端运行的归档、邮件安全、备份和虚拟化系统,以及用户所依赖的 Outlook 插件--完美融合。

邮件归档

将 grommunio 与 MailStore 等合规归档器搭配使用,再加上标准的 IMAP 和日志,您的保留和电子发现工作流程将保持不变。

邮件网关

将其与邮件安全网关或设备(如 Cisco IronPort 或 Proxmox Mail Gateway)配合使用,进行入站和出站过滤、路由选择和 DLP。

服务器端备份

使用已运行的备份工具保护消息存储和数据库--快照、基于代理或存储级,无需专有格式。

任何管理程序

可作为标准的 Linux guest 在各主要管理程序上运行,包括 VMware、QEMU/KVM、Xen (XCP-ng) 和 Microsoft Hyper-V。

Containers

使用 Docker 或 LXC/LXD 在容器中部署,与平台的其他部分一起进行轻量级、可重现的部署。

Outlook 附加组件

建立在标准 MAPI/HTTP 或 EWS 接口上的插件将继续工作,包括电子邮件签名和免责声明管理器以及类似的服务器端插件。

经过验证的基础

基于互联网运行技术

grommunio 并没有重新发明轮子。它基于世界上最值得信赖、最久经考验的开源技术--与运行互联网的组件相同。

Linux
grommunio 拥有坚如磐石的操作系统基础。
C / C++
用现代 C++ 编写的高性能 gromox 内核。
后缀
全球最值得信赖的邮件传输代理(MTA)。
grommunio-antispam & ClamAV
一流的垃圾邮件过滤和防病毒扫描功能。
Keycloak
用于 OIDC 和 SAML 单点登录的开源身份和访问管理。
SQLite
在单个邮箱级别实现快速、嵌入式存储。
Redis
内存缓存和共享会话状态。
nginx
经过实战检验的反向代理和网络前端。
PHP
为 grommunio Web 应用程序供电。
Python
管理工具、自动化和管理 API。
OpenSSL
行业标准 TLS 和加密技术贯穿始终。
可信赖的图书馆
数十个成熟的开源库 - libcurl、tinyxml2、jsoncpp、zstd 等。
标准领导力

我们执行标准。然后再加以改进。

grommunio 实现了完整的 Microsoft Exchange 协议栈--61 个已发布的 Microsoft 开放规范文档,从 MAPI/HTTP 和 RPC over HTTP 到 Exchange ActiveSync、EWS 以及 MS-OX* 属性的长尾。在文档不足的地方,我们的发现已被合并到 Microsoft 自己发布的规范中;在协议本身不足的地方,我们对其进行了扩展。

  • 61 Microsoft 协议规格,端到端 从 MS-OXCMAPIHTTP 和 MS-OXCROPS 到 MS-OXNSPI、MS-ASCMD、MS-OXWS* 网络服务系列和 MS-OXO* 属性对象 - grommunio 采用与 Exchange Server 本身相同的导线协议,因此 Windows 上的 Outlook 无需客户端连接器即可连接。
  • 15 多处更正已并入 Microsoft 的正式规格中 从 PT_LONG 签名性到 MAPI_HARD_DELETE 语义和缺失的 MS-OXPROPS 大小--我们的审查产生了 15 个拉取请求,Microsoft 已将其纳入自己的开放规范,另外还有两个提交的问题。所有贡献都可在 GitHub 上进行追踪。
  • 假冒 EAS - 超出 Microsoft 自身 EAS 的功能范围 我们对 Exchange ActiveSync 和 Autodiscover 进行了扩展,允许用户通过冒充方式从手机访问共享邮箱。Microsoft 自己的文档明确指出 EAS 不支持共享邮箱或委托访问,而 grommunio 则支持,无需更改客户端。
  • 一次安装多个 LDAP - 群件领域的世界首创 将任意数量的独立目录(Active Directory、OpenLDAP、eDirectory、任何 LDAPv3)附加到每个组织的单个 grommunio 安装中。Microsoft Exchange 在设计上是单一森林,而 grommunio 则不是。
查看我们对 Microsoft 规格的贡献
一直向下打开

无黑盒

grommunio是100%开源,在欧洲设计,从协议层到存储引擎都基于开放标准。其高性能内核gromox在Linux上原生实现了Exchange协议表面--因此无需授权专有连接器,无需信任黑盒子,也无需锁定供应商。

由于每一层都是开放的、基于标准的,因此您可以对其进行审计、集成、自动化,并在您的合规要求所需的任何地方运行它--在您拥有的硬件上、在您选择的云中或在您自己运营的主权环境中。

常见问题

技术 - 常见问题

我可以在高可用性集群中运行 grommunio 吗?

是。grommunio 专为集群式高可用部署(主动/主动或主动/被动)而设计,位于标准负载平衡器后面,具有健康检查和自动故障切换功能。无状态应用服务可跨节点水平扩展。

Outlook 在没有插件或连接器的情况下工作吗?

是的。Outlook for Windows 可通过 MAPI/HTTP(和 RPC/HTTP)进行本地连接,就像它与 Microsoft Exchange 的连接一样--客户端无需安装任何东西,中间也没有中间件。

支持哪些身份供应商和 SSO 标准?

grommunio 支持 OpenID Connect (OIDC) 和 SAML 2.0,可与 Keycloak、Microsoft Entra ID 和 Okta 等提供商进行单点登录,还支持 LDAP 和 Active Directory 进行身份验证和配置。

一个装置可以容纳多个组织吗?

是的。grommunio 提供真正的多租户功能--在一个平台上有多个孤立的组织,每个组织都有自己的域、用户、策略和授权管理。

grommunio 可以部署在哪里?

可在企业内部、私有云或主权托管服务中使用。它可作为整套 ISO 设备、主要 Linux 发行版的本地软件包和容器镜像提供。

支持哪些 Linux 发行版?

openSUSE / SUSE Linux Enterprise、Debian、Ubuntu、Red Hat Enterprise Linux 和 RHEL 兼容系列(Rocky Linux、AlmaLinux)。

如何接收接收到的邮件 - grommunio 是否取代了 postfix?

不。grommunio 与 postfix 一起工作:postfix 是边缘的 SMTP MTA(grommunio-antispam 作为监控器),它将接受的邮件交给 gromox-delivery 和 gromox-delivery-queue 按邮箱发送。Postfix 的配置对于操作员来说并不陌生。

邮箱大小是否有限制?

每个邮箱都有自己的 SQLite 支持的 exmdb 存储,可扩展至数百 GB,并可通过管理用户界面或 API 配置每个用户的配额。客户端的重要注意事项:Microsoft Outlook 不能很好地处理超大邮箱--超过大约 100 GB 后,其本地缓存会变得缓慢并容易损坏。我们建议将 Outlook 使用的邮箱容量控制在 ~100 GB 以下;对于更大的邮箱,请使用联机模式下的 Outlook、grommunio Web 或其他客户端。

如何处理备份?

可使用标准工具(exmdb 的文件级快照、MariaDB 的 mariabackup 或逻辑转储)备份每个邮箱的 exmdb 文件和 MariaDB 元数据数据库。管理文档包括一致的时间点备份和还原程序。

夯实基础

准备好让 grommunio负载运行了吗?

试用实时演示 与我们的团队交流