この記事はAIによって翻訳されました

KylinOSにDockerでONLYOFFICE Docsをインストールする

はじめに

コミュニティ版を使用すると、ONLYOFFICE Docsをローカルサーバーにインストールし、オンラインエディターをONLYOFFICEコラボレーションプラットフォームや他の人気システムと統合することができます。

ONLYOFFICE Docsは、テキスト、スプレッドシート、プレゼンテーション用のビューアーとエディターを含むオンラインオフィススイートで、Office Open XML形式（.docx、.xlsx、.pptx）と完全に互換性があり、リアルタイムでの共同編集を可能にします。

機能

ドキュメントエディター
スプレッドシートエディター
プレゼンテーションエディター
モバイルウェブビューアー
共同編集
漢字サポート
すべての一般的な形式のサポート：DOC、DOCX、TXT、ODT、RTF、ODP、EPUB、ODS、XLS、XLSX、CSV、PPTX、HTML

ONLYOFFICE Docs コミュニティ版で利用可能な機能の詳細なリストは、こちらをご覧ください。

ONLYOFFICE Workspace内で使用することで、以下のことが可能になります：

ファイルを共有する;
ドキュメントへのアクセス権を管理する;
ウェブサイトにドキュメントを埋め込む;
ONLYOFFICEに接続されたDrive、Box、Dropbox、OneDrive、ownCloudに保存されたファイルを表示および編集する。

バージョン7.2から、ONLYOFFICE DocsのDockerイメージはKylin Linux Advanced Server OSリリースV10での実行に対応するように再設計されました。このガイドでは、KylinOSにONLYOFFICE Docs コミュニティ版のDockerバージョンをインストールする方法を示します。

システム要件

CPU：デュアルコア2 GHz以上
RAM：4 GB以上
HDD：最低40 GBの空き容量
SWAP：最低4 GB、ただしホストOSに依存します。多いほど良いです。
OS：amd64 Linuxディストリビューション、カーネルバージョン3.10以降
Docker：KylinOSでサポートされている任意のバージョン

ONLYOFFICE Docsのインストール

DockerはデフォルトでGoogleのDNSサーバーを指定しています。ONLYOFFICE Docsがインターネットにアクセスしない場合は、デフォルトのDocker DNSアドレスをローカルDNSサーバーのアドレスに変更することをお勧めします。そのためには、/etc/default/dockerファイルに移動し、次の行のIPアドレスをローカルネットワーク内のDNSサーバーのIPアドレスに変更します：

docker_OPTS="--dns 8.8.8.8"

CentOSのようなRPMベースのオペレーティングシステムの場合：

次の内容で/etc/docker/daemon.json設定ファイルを作成します：
```
{ "dns" : [ "8.8.8.8" ] }
```
Dockerサービスを再起動します：
```
sudo systemctl restart docker.service
```

SELinuxを無効にする

/etc/selinux/config設定ファイルでSELinuxを無効にする必要があります。

任意のテキストエディターを使用して/etc/selinux/configファイルを開き、SELINUX=enforcingまたはSELINUX=permissive文字列をSELINUX=disabledに置き換え、変更を保存します。

変更を有効にするためにサーバーを再起動してください。SELinuxが無効になっていることを確認してください：

[root@test ~]# sestatus
SELinux status:                 disabled

ONLYOFFICE Docsのインストール

以下のコマンドを実行してONLYOFFICE Docsをインストールします：

sudo docker run -i -t -d -p 80:80 --security-opt seccomp=unconfined --restart=always -e JWT_SECRET=my_jwt_secret onlyoffice/documentserver

重要バージョン7.2から、JWTシークレットのランダム生成を追加しました。環境変数でJWTシークレットが指定されていない場合、VMまたは物理サーバーの再起動時に再生成されるため、統合に問題が生じる可能性があります。この問題を避けるために、-e JWT_SECRET=my_jwt_secretで独自の値を指定してください。

インストールでJWTを使用しない場合は、-e JWT_ENABLED=falseを使用してください。

--security-opt seccomp=unconfinedキーは、コンテナのセキュリティプロファイルを無効にするために必要です。詳細はこちらをご覧ください。

カスタムセキュリティプロファイルも使用できます：kylin-seccomp7.json。

デフォルトでは、ONLYOFFICE Docsはポート80を使用して受信接続をリッスンします。バージョン4.3以降、デフォルトのポートの代わりに使用する場合は、インストール時にマッピングポートを変更することで、ONLYOFFICE Docsのポートを変更できます：

sudo docker run -i -t -d -p <PORT_NUMBER>:80 --security-opt seccomp=unconfined --restart=always -e JWT_SECRET=my_jwt_secret onlyoffice/documentserver

ここで<PORT_NUMBER>は、ONLYOFFICE Docsが使用するポート番号です。

これにより、ONLYOFFICE Docsとその必要なすべての依存関係がインストールされます（スクリプトによって行われる内容のリストはこちらで確認できます）。

ファイアウォール例外の追加

firewalld.serviceサービスに例外を追加する必要もあります：

sudo firewall-cmd --zone=public --add-port=80/tcp --permanent
sudo firewall-cmd --reload

設定が完了したら、ブラウザのアドレスバーにhttp://localhostと入力して、ONLYOFFICE Docsのウェルカムページを開き、ドキュメントのサンプルを有効にする方法や、提供されているAPIを使用してオンラインエディターをウェブアプリケーションに統合する方法についてのさらなる指示を見つけてください。

コンテナ外でのデータ保存

すべてのデータは、特別に指定されたディレクトリ、データボリュームに保存され、次の場所にあります：

/var/log/onlyofficeはONLYOFFICE Docsのログ用
/var/www/onlyoffice/Dataは証明書用
/var/lib/onlyofficeはファイルキャッシュ用
/var/lib/postgresqlはデータベース用

推奨 ONLYOFFICE Docsを新しいバージョンに更新する際にデータを失わないようにするため、データをホストマシン上のDockerコンテナの外に保存することを強くお勧めします。

コンテナ外にあるデータにアクセスするには、ボリュームをマウントする必要があります。これは、docker runコマンドで-vオプションを指定することで行えます。

sudo docker run -i -t -d -p 80:80 --security-opt seccomp=unconfined --restart=always \
    -v /app/onlyoffice/DocumentServer/logs:/var/log/onlyoffice  \
    -v /app/onlyoffice/DocumentServer/data:/var/www/onlyoffice/Data  \
    -v /app/onlyoffice/DocumentServer/lib:/var/lib/onlyoffice \
    -v /app/onlyoffice/DocumentServer/db:/var/lib/postgresql -e JWT_SECRET=my_jwt_secret onlyoffice/documentserver

まだ作成されていないフォルダをマウントしようとする場合、これらのフォルダは作成されますが、アクセスが制限されます。アクセス権を手動で変更する必要があります。

通常、コンテナデータを保存する必要はありません。コンテナの動作はその状態に依存しないためです。データを保存することは以下の場合に役立ちます：

ログなどのコンテナデータに簡単にアクセスするため;
コンテナ内のデータサイズの制限を解除するため;
PostgreSQL、Redis、RabbitMQなど、コンテナ外で起動されたサービスを使用する場合。

HTTPSを使用したONLYOFFICE Docsの実行

sudo docker run -i -t -d -p 443:443 --security-opt seccomp=unconfined --restart=always \
-v /app/onlyoffice/DocumentServer/data:/var/www/onlyoffice/Data -e JWT_SECRET=my_jwt_secret onlyoffice/documentserver

onlyofficeアプリケーションへのアクセスは、SSLを使用して保護することができ、無許可のアクセスを防止します。CA認定のSSL証明書はCAを介して信頼の検証を可能にしますが、自己署名証明書も、各クライアントがあなたのウェブサイトのアイデンティティを確認するための追加の手順を踏む限り、同等の信頼の検証を提供できます。これを達成するための指示が以下に提供されています。

SSLを介してアプリケーションを保護するには、基本的に次の2つが必要です：

プライベートキー (.key)
SSL証明書 (.crt)

したがって、次のファイルを作成してインストールする必要があります：

/app/onlyoffice/DocumentServer/data/certs/onlyoffice.key
/app/onlyoffice/DocumentServer/data/certs/onlyoffice.crt

CA認定の証明書（例：Let's Encrypt）を使用する場合、これらのファイルはCAから提供されます。自己署名証明書を使用する場合は、これらのファイルを自分で生成する必要があります。

certbotを使用してONLYOFFICE DocsをHTTPSに切り替える

最も簡単な方法は、Let's Encryptを自動的に取得して、ONLYOFFICE DocsをHTTPSに切り替えることです。

SSL証明書をcertbotを使用して取得します。

ポート80と443を指定し、変数に独自の値を設定してONLYOFFICE DocsのDockerコンテナを実行します：

sudo docker run -i -t -d -p 80:80 -p 443:443 --security-opt seccomp=unconfined --restart=always \
    -e LETS_ENCRYPT_DOMAIN=yourdomain.com -e LETS_ENCRYPT_MAIL=email@example.com -e JWT_SECRET=my_jwt_secret onlyoffice/documentserver

ここで：

LETS_ENCRYPT_DOMAIN - 証明書に使用するドメイン名。
LETS_ENCRYPT_MAIL - 登録および復旧用のメールアドレス。

letsencrypt.orgのCA署名付き証明書が自動的に生成され、サーバーにインストールされます。これで、ONLYOFFICE Docsはhttps://yourdomain.comで利用可能になります。

自己署名証明書の生成

自己署名SSL証明書の生成は、簡単な3ステップの手順で行います

ステップ1：サーバーの秘密鍵を作成

openssl genrsa -out onlyoffice.key 2048

ステップ2：証明書署名要求（CSR）を作成

openssl req -new -key onlyoffice.key -out onlyoffice.csr

ステップ3：秘密鍵とCSRを使用して証明書に署名

openssl x509 -req -days 365 -in onlyoffice.csr -signkey onlyoffice.key -out onlyoffice.crt

これで365日有効なSSL証明書が生成されました。

サーバーセキュリティの強化

このセクションでは、サーバーセキュリティを強化するための手順を提供します。

これを達成するには、より強力なDHEパラメータを生成する必要があります。

openssl dhparam -out dhparam.pem 2048

SSL証明書のインストール

上記で生成された4つのファイルのうち、onlyoffice.key、onlyoffice.crt、dhparam.pemファイルをonlyofficeサーバーにインストールする必要があります。CSRファイルは必要ありませんが、念のためにバックアップを取っておいてください。

onlyofficeアプリケーションがSSL証明書を探すように設定されているデフォルトのパスは/var/www/onlyoffice/Data/certsですが、SSL_KEY_PATH、SSL_CERTIFICATE_PATH、SSL_DHPARAM_PATHの設定オプションを使用して変更することができます。

/var/www/onlyoffice/Data/パスはデータストアのパスであるため、/app/onlyoffice/DocumentServer/data/内にcertsというフォルダーを作成し、ファイルをコピーし、セキュリティ対策としてonlyoffice.keyファイルの権限を所有者のみが読み取り可能に更新します。

mkdir -p /app/onlyoffice/DocumentServer/data/certs
cp onlyoffice.key /app/onlyoffice/DocumentServer/data/certs/
cp onlyoffice.crt /app/onlyoffice/DocumentServer/data/certs/
cp dhparam.pem /app/onlyoffice/DocumentServer/data/certs/
chmod 400 /app/onlyoffice/DocumentServer/data/certs/onlyoffice.key

そしてDockerコンテナを再起動します：

sudo docker restart {{DOCUMENT_SERVER_ID}}

これでアプリケーションのセキュリティが確保されるまであと一歩です。

利用可能な設定パラメータ

docker runコマンドオプションの--env-fileフラグを参照してください。これにより、すべての必要な環境変数を単一のファイルで指定できます。これにより、潜在的に長いdocker runコマンドを書く手間を省くことができます。

以下は、環境変数を使用して設定できるパラメータの完全なリストです。

ONLYOFFICE_HTTPS_HSTS_ENABLED：HSTS設定をオフにするための高度な設定オプション。SSLが使用されている場合にのみ適用されます。デフォルトはtrueです。
ONLYOFFICE_HTTPS_HSTS_MAXAGE：onlyoffice NGINX vHost設定でHSTSの最大年齢を設定するための高度な設定オプション。SSLが使用されている場合にのみ適用されます。デフォルトは31536000です。
SSL_CERTIFICATE_PATH：使用するSSL証明書のパス。デフォルトは/var/www/onlyoffice/Data/certs/tls.crtです。
SSL_KEY_PATH：SSL証明書の秘密鍵のパス。デフォルトは/var/www/onlyoffice/Data/certs/tls.keyです。
SSL_DHPARAM_PATH：Diffie-Hellmanパラメータのパス。デフォルトは/var/www/onlyoffice/Data/certs/dhparam.pemです。
SSL_VERIFY_CLIENT：CA_CERTIFICATES_PATH fileを使用してクライアント証明書の検証を有効にします。デフォルトはfalseです。
DB_TYPE：データベースのタイプ。サポートされている値はpostgres、mariadb、またはmysqlです。デフォルトはpostgresです。
DB_HOST：データベースサーバーが稼働しているホストのIPアドレスまたは名前。
DB_PORT：データベースサーバーのポート番号。
DB_NAME：イメージの起動時に作成されるデータベースの名前。
DB_USER：データベースアカウントのスーパーユーザー権限を持つ新しいユーザー名。
DB_PWD：データベースアカウントに設定されたパスワード。
AMQP_URI：メッセージブローカーサーバーに接続するためのAMQP URI。
AMQP_TYPE：メッセージブローカーのタイプ。サポートされている値はrabbitmqまたはactivemqです。デフォルトはrabbitmqです。
REDIS_SERVER_HOST：Redisサーバーが稼働しているホストのIPアドレスまたは名前。
REDIS_SERVER_PORT：Redisサーバーのポート番号。
NGINX_WORKER_PROCESSES：NGINXワーカープロセスの数を定義します。
NGINX_WORKER_CONNECTIONS：NGINXワーカープロセスが開くことができる同時接続の最大数を設定します。
SECURE_LINK_SECRET：nginxの設定ディレクティブsecure_link_md5のための秘密を定義します。デフォルトはランダム文字列です。
JWT_ENABLED：ONLYOFFICE DocsによるJSON Webトークンの検証を有効にするかどうかを指定します。デフォルトはtrueです。
JWT_SECRET：ONLYOFFICE DocsへのリクエストでJSON Webトークンを検証するための秘密鍵を定義します。デフォルトはランダム値です。
JWT_HEADER：JSON Webトークンを送信するために使用されるHTTPヘッダーを定義します。デフォルトはAuthorizationです。
JWT_IN_BODY：ONLYOFFICE Docsへのリクエストボディでのトークン検証を有効にするかどうかを指定します。デフォルトはfalseです。
WOPI_ENABLED：wopiハンドラーの有効化を指定します。デフォルトはfalseです。
USE_UNAUTHORIZED_STORAGE：ストレージサーバーに自己署名証明書を使用している場合、例：Nextcloud、trueに設定します。デフォルトはfalseです。
GENERATE_FONTS：trueの場合、起動時にフォントリストとフォントサムネイルなどを再生成します。デフォルトはtrueです。
METRICS_ENABLED：ONLYOFFICE DocsのためのStatsDの有効化を指定します。デフォルトはfalseです。
METRICS_HOST：StatsDのリスニングホストを定義します。デフォルトはlocalhostです。
METRICS_PORT：StatsDのリスニングポートを定義します。デフォルトは8125です。
METRICS_PREFIX：バックエンドサービスのためのStatsDメトリクスプレフィックスを定義します。デフォルトはds.です。
LETS_ENCRYPT_DOMAIN：Let's Encrypt証明書のためのドメインを定義します。
LETS_ENCRYPT_MAIL：Let's Encrypt証明書のためのドメイン管理者のメールアドレスを定義します。