Digitální Suverenita — Čtyři Pilíře

• Infrastrukturní Suverenita
  Nezávislý provoz serverů a sítí
• Datová Suverenita
  Kontrola nad ukládáním a přístupem k datům
• Softwarová Suverenita
  Open-source software bez proprietárních závislostí
• Provozní Suverenita
  Úplná kontrola nad aktualizacemi a údržbou

Co je openDesk?

• Open-source alternativa k M365 a Google Workspace
• Od vlády pro vládu (BMI / ZenDiS)
• BSI certifikovaný (německá suverenita)
• Cloud-Native: Pracovní prostředí založené na Kubernetes
• Modulární Komponenty:
  • Chat, Soubory, Wiki, Projektový management
  • E-mail, Diagramy, Webová kancelář, Video
• Self-Hosted nebo SaaS

Přehled Komponent

Komponenta	Software
Chat	Element / Synapse
Soubory	Nextcloud
Wiki	XWiki
Projekt	OpenProject
E-mail	OX App Suite
Diagramy	CryptPad
Webová kancelář	Collabora
Video	Jitsi

Statistiky Projektu openDesk

Vývoj	Komunita
Začátek: červenec 2023	Přispěvatelé: ~ 70
Délka trvání: ~ 3 roky	Organizace: ~ 27
Commity: ~ 1 500
Vydání: ~ 150

OpenCode.de | Dodavatelský řetězec
Platforma financovaná BMI | Podepsané obrazy kontejnerů
Suverénní cloudová infrastruktura | SBOM pro všechny komponenty

Přehled Infrastruktury

Virtualizace s Proxmox

Helmfile & HRZ-Prostředí

# Nasazení s Helmfile
helmfile apply -e hrz

• Orchestrace přes Helmfile
  • Deklarativní konfigurace v helmfile_generic.yaml.gotmpl
  • Přepsání specifická pro prostředí v environments/hrz/
  • Automatická záloha závislostí
• HRZ-Prostředí vytvořeno
  • Kopie staging s úpravami
  • Konfigurace specifická pro Uni Marburg
  • Testovací systém pro pilotní provoz

Lokální Vývoj Chartů

# Naklonuj/stáhni charty lokálně
python3 dev/charts-local.py --match intercom
python3 dev/charts-local.py --revert

• Lokální vývoj a testování chartů
• Klonuj/stáhni do charts-<branch>/
• Helmfile odkazy na lokální cesty
• Záloha a obnova s --revert

Import Uživatelů: Provisioning

• UDM REST API — import CSV/ODS, LDAP skupiny
• Propojení účtů — SAML propojení identit
• Demo režim — testovací účty, profilové obrázky

Import Uživatelů: Deprovisioning

Dvoustupňový pracovní postup deprovisioningu:

• Fáze 1: Deaktivace uživatele
  • IAM API → UCS Disable → Časová značka v popisu
  • Keycloak: Odebrat SAML + rozpustit skupiny
• Fáze 2: Smazání uživatele
  • Prodleva (6 měsíců) → Trvalé smazání
  • Výstup: deprovisioned-*, deleted-*

openDesk Edu — Přehled

• Rozšíření openDesk CE pro univerzity
• Nové Komponenty:
  • Systémy pro řízení výuky (ILIAS, Moodle)
  • Videoconference pro výuku (BigBlueButton)
  • Alternativní synchronizace souborů (OpenCloud)
• Vše integrováno s Keycloak SSO
• Nasaďte vše pomocí helmfile apply

GitHub: github.com/opendesk-edu/opendesk-edu

Vzdělávací Komponenty

Komponenta	Stav	Popis
ILIAS	Stabilní	LMS se SAML SSO — Kurzy, SCORM, Testy
Moodle	Beta	LMS se Shibboleth — Pluginy, Klasifikace
BigBlueButton	Beta	Videoconferencing pro výuku — Nahrávání, Tabule
OpenCloud	Beta	Synchronizace souborů na bázi CS3 — Alternativa k Nextcloud

ILIAS SSO — Architektura

Rychlý Start — Nasazení ve 3 krocích

# 1. Naklonuj repozitář
git clone https://github.com/opendesk-edu/opendesk-edu.git
cd opendesk-edu

# 2. Nakonfigurujte své prostředí
# Upravte helmfile/environments/default/global.yaml.gotmpl
# Nastavte svou doménu, e-mailovou doménu a registr obrazů

# 3. Nasaďte
helmfile -e default apply

Plná dokumentace: docs/getting-started.md

Konfigurace Sítě

• Ingress Controller: haproxy-ingress
• Reverse Proxy: Traefik — HTTP/HTTPS ukončení
• LoadBalancer: MetalLB
• Všechny Ingressy migrovány na haproxy

Grafana Dashboard

Proces Aktualizace

# Načti nejnovější vydání
git checkout -b myrelease upstream/tags/v1.12.2
git pull

# Zkontroluj změny
helmfile diff -e hrz

# Použij aktualizace
helmfile apply -e hrz

# Návrat zpět v případě potřeby
helmfile rollback -e hrz

• Kontrolované aktualizace přes Helmfile
• Snadná možnost návratu

HRZ-Aktualizace: Migrace Ingress

• Migrace: nginx → haproxy-ingress
  • v1.11.2 → v1.13.x (větev uniapps)
  • Všechny Ingressy migrovány na haproxy
• Třídy Ingress:
  • ingressClassName: haproxy
  • nginx plně zastaralý
• Konfigurace:
  • replicaCount: 2, LoadBalancer
  • tune.bufsize: 65536, tune.http.maxhdr: 256

HRZ-Aktualizace: Duální Záloha

• Cíl: Redundantní zálohovací úložiště
• Strategie: S3 kompatibilní s restic backendem
  • Primární: s3.example.org:9000/backup-primary
  • Sekundární: s3-backup.example.org:9000/backup-secondary
• Plán: Denně v 00:42, Kontrola týdně, Úklid v neděli
• Retence: 14 Denních, Zachovat posledních 5

Institucionální Překážky

• Právní oddělení
  • GDPR, AVV smlouvy, Dodržování licencí
• Zaměstnanecká rada
  • Služební smlouva, Spolurozhodování o IT systémech
• Správa
  • Preference Microsoftu, Kompatibilita formátů
• Vyžadované Dokumenty
  • DSFA, TCO výpočet

Další Kroky & Doporučení

1. Zahájit pilotní provoz
2. Postupné nasazení (10 → 100 → 1000 uživatelů)
3. Jasné oddělení od produkčních systémů
4. Hodnocení: Kategorizace případů užití podle požadavků na suverenitu
5. Rozpočet na provozní tým (nejen na implementaci)

Zapojte se!

Pomozte nám stavět openDesk Edu pro univerzity!

• Dejte hvězdičku repozitáři: github.com/opendesk-edu/opendesk-edu
• Testujte lokálně: Nasaďte pomocí Helmfile a poskytněte zpětnou vazbu
• Hlaste problémy: Issue pro chyby nebo požadavky na funkce
• Přispívejte: PR jsou vítány — viz CONTRIBUTING.md

Postavme společně suverénní univerzitní software!

Technické Zdroje

• openDesk: docs.opendesk.eu ·
  Deployment-Guide ·
  User-Import
• openDesk Edu: github.com/opendesk-edu/opendesk-edu · Vzdělávací rozšíření pro univerzity
• DFN-AAI: dfn.de/dienste/dfnaai/
• K3s: docs.k3s.io
• Helmfile: helmfile.readthedocs.io
• Automatizace Clusteru: Kubespray ·
  k3s-ansible

Organizační Zdroje

• Doporučení HBDI (hodnocení M365):
  PDF
• Hessischer Digitalpakt Hochschulen:
  PDF
• EVB-IT Open Source (ZenDiS):
  zendis.de
• EVB-IT & BVB (digitale-verwaltung.de):
  digitale-verwaltung.de
• Digitální Suverenita na Univerzitách:
  PDF
• CoCreate-Werkstattgespräch:
  PDF