Sfederowana infrastruktura dla eduMEET

Wersja: 2026-04-20

1. Wstęp

Niniejszy dokument opisuje wymagania dla dostawców infrastruktury, chcących dołączyć swoją infrastrukturę do federacji eduMEET i korzystać z usług eduMEET.

2. Koncepcja federacji eduMEET

Usługa federacji eduMEET współdzieli zasoby infrastruktury dla elastyczności i skalowalności dostarczania usług web-konferencyjnych. Zarządzana jest centralnie, ale połączenia audio-wideo realizowane są w sposób zoptymalizowany pomiędzy rozproszonymi węzłami mediów. Przypisanie do węzła następuje poprzez lokalizację geograficzną oraz obciążenie węzłów. W przypadku osiągnięcia maksymalnego obciążenia danego węzła, kolejni uczestnicy rozmowy korzystają z innego węzła, a system zapewnia routing między węzłami. Rysunek 1 przedstawia schemat architektury federacji eduMEET.

Rys.1 - Schemat architektury federacji eduMEET

3. Usługa dla dostawcy infrastruktury

Dostawca infrastruktury otrzymuje usługę web-konferencji do dowolnego wykorzystania. Usługa jest uruchamiana w domenie dostawcy (np. edumeet.man-1.pl) i integrowana z dostawcą tożsamości, opartą na OpenID Connect (np. PIONIERid, eduGAIN). Dostawca uzyskuje dostęp do usługi administracyjnej dla swojej domeny, gdzie może zarządzać użytkownikami, ich uprawnieniami oraz pokojami. W okresie pilotażowym usługa jest bezpłatna dla dostawcy. Po zakończeniu okresu pilotażowego, na podstawie wolumenu dostarczonej infrastruktury, zostanie obliczona pula jednocześnie połączonych użytkowników, którzy będą mogli korzystać z usługi bez generowania kosztów dla dostawcy. W przypadku długotrwałego przekroczenia wolumenu, negocjowane będzie z dostawcą dołączenie dodatkowej infrastruktury lub ustalenie opłaty za przekroczenia.

4. Wymagania dla dostawcy infrastruktury

Szczegółowe wymagania dotyczące serwera, firewall, DNS oraz SSO (opcjonalnie), jakie powinien zapewnić dostawca infrastruktury, zostały przedstawione poniżej.

4.1. Serwer

Serwery udostępniane do web-konferencji jako węzła mediów spełniać muszą następującą prostą zasadę: 1 rdzeń CPU + 50 Mbps przepustowości połączenia wychodzącego na 10 uczestników rozmowy. Dlatego też proponujemy następujące konfiguracje serwerów dla dostawców:

CPU: do 16 rdzeni
RAM: 8 GB
SSD/HDD: 80 GB
NET: 1 Gbps
CPU: do 48 rdzeni
RAM: 16 GB
SSD/HDD: 80 GB
NET: 2,5 Gbps
CPU: do 128 rdzeni
RAM: 32 GB
SSD/HDD: 80 GB
NET: 10 Gbps

Serwer od strony fizycznej obsługiwany jest przez dostawcę. Może być to serwer fizyczny lub zwirtualizowany. Serwer musi otrzymać publiczny adres IPv4 dostępny z Internetu.

Dostawca instaluje na serwerze system operacyjny Ubuntu 24.04 oraz dodaje do zaufanych kluczy SSH użytkownika root, instalacyjny klucz publiczny:

ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIK4OD1LfqRHzQe0rMsF7E6VlcF4nQV4HhBNeW4WT0Q0L

Na poziomie systemu operacyjnego i oprogramowania eduMEET, utrzymanie i zarządzanie leży po stronie zespołu eduMEET.

4.2. Firewall

Dostawca konfiguruje firewall dostępu do serwera zgodnie z następującymi regułami dla ruchu przychodzącego:

ALL ICMP (ping)
167.235.130.84 TCP 22 (SSH - dostęp instalacyjny i utrzymaniowy)
ALL TCP 80 (certyfikaty Let’s Encrypt)
ALL TCP 443 (TURN over TLS)
91.99.192.218 TCP 3443 (HTTPS/WSS – komunikacja z serwerem zarządzającym)
91.99.222.184 TCP 3443 (HTTPS/WSS – komunikacja z serwerem zarządzającym - zapas)
128.140.96.12 TCP 3443 (HTTPS/WSS – Nagios monitoring)
ALL UDP 3478 (TURN over UDP)
ALL TCP 40000-40249 (DTLS over TCP, SRTP/SRTCP - Media)
ALL UDP 40000-40249 (DTLS, SRTP/SRTCP - Media)
ALL UDP 50000-60000 (DTLS, SRTP/SRTCP - Media TURN)

4.3. DNS

Dostawca konfiguruje DNS dla swojej domeny, pod którą dostępna ma być usługa eduMEET dla użytkowników dostawcy (np.: edumeet.man-1.pl) poprzez dodanie rekordu DNS:

edumeet.man-1.pl 300 IN CNAME rooms.edumeet.eu.

4.4. SSO (opcjonalne)

eduMEET wspiera logowanie SSO poprzez OpenID Connect (OIDC). Integracja z SSO jest opcjonalna, ale zalecana, ponieważ umożliwia zarządzanie pokojami wideokonferencyjnymi oraz tworzenie trwałych pokoi, przypisanych do użytkowników korzystających z SSO.

Aby podłączyć logowanie SSO dostawcy, konfiguruje on w swojej usłudze SSO nową przestrzeń:

client_id: edumeet (dowolna nazwa)
client_secret: XXXXXXXXXXX (ciąg znaków [a-z][A-Z][0-9] min. 32 znaki)
redirect_uri:
https://admin.edumeet.eu/oauth/tenant/callback
(dozwolony callback przy login)
post_logout_redirect_uri:
https://admin.edumeet.eu/auth/logout-close
(dozwolony callback przy logout)

Następnie dostawca przekazuje do zespołu eduMEET następujące parametry:

client_id
client_secret
discovery_url (np.: https://sso.man-1.pl/auth/realms/edumeet/.well-known/openid-configuration)

5. Kontakt

join@edumeet.eu – w sprawach związanych z chęcią dołączenia jako dostawca;
support@edumeet.eu – wsparcie techniczne.