Lançamento do ONLYOFFICE Docs 9.3: Editor de PDF aprimorado e mais opções de assinatura, visualização de várias páginas para documentos, Solver em planilhas, reprodução de GIFs no modo de apresentação de slides, atualizações com inteligência artificial e muito mais.
Lançamento do ONLYOFFICE Docs 9.3

Instalando o ONLYOFFICE Docs Enterprise Edition para Docker no KylinOS

Introdução

O Enterprise Edition permite que você instale o ONLYOFFICE Docs em seu servidor local e integre editores online com a plataforma de colaboração ONLYOFFICE ou outros sistemas populares.

O ONLYOFFICE Docs é um pacote de escritório online que compreende visualizadores e editores para textos, planilhas e apresentações, totalmente compatível com formatos Office Open XML: .docx, .xlsx, .pptx e permite edição colaborativa em tempo real.

Funcionalidades

  • Document Editor
  • Spreadsheet Editor
  • Presentation Editor
  • Visualizadores web móveis
  • Editores web móveis
  • Edição colaborativa
  • Suporte a hieróglifos
  • Suporte para todos os formatos populares: DOC, DOCX, TXT, ODT, RTF, ODP, EPUB, ODS, XLS, XLSX, CSV, PPTX, HTML

Veja a lista detalhada de recursos disponíveis para o ONLYOFFICE Docs Enterprise Edition.

Usando-o dentro do ONLYOFFICE Workspace, você poderá:

  • compartilhar arquivos;
  • gerenciar direitos de acesso a documentos;
  • incorporar documentos em um site;
  • visualizar e editar arquivos armazenados no Drive, Box, Dropbox, OneDrive, OwnCloud conectados ao ONLYOFFICE.

A partir da v7.2, as imagens Docker do ONLYOFFICE Docs foram reformuladas para execução no sistema operacional Kylin Linux Advanced Server OS release V10 [web:44][web:49]. Este guia mostrará como instalar a versão Docker do ONLYOFFICE Docs Enterprise Edition no KylinOS.

Requisitos do sistema
  • CPU
    núcleo duplo de 2 GHz ou melhor
  • RAM
    4 GB ou mais
  • HDD
    pelo menos 40 GB de espaço livre
  • SWAP
    pelo menos 4 GB, mas depende do sistema operacional hospedeiro. Quanto mais, melhor
  • SO
    Distribuição Linux amd64 com versão de kernel 3.10 ou posterior
  • Docker: qualquer versão suportada pelo KylinOS

Instalando o ONLYOFFICE Docs

O Docker especifica servidores DNS do Google por padrão. Se seu ONLYOFFICE Docs não tiver acesso à Internet, recomendamos que você altere o endereço DNS padrão do Docker para o endereço do seu servidor DNS local. Para fazer isso, vá ao arquivo /etc/default/docker e altere o endereço IP na seguinte linha para o endereço IP de um servidor DNS em sua rede local: 
docker_OPTS="--dns 8.8.8.8"

Para sistemas operacionais baseados em RPM como CentOS:

  1. Crie o arquivo de configuração /etc/docker/daemon.json com o seguinte conteúdo: 
    { "dns" : [ "8.8.8.8" ] }
  2. Reinicie o serviço Docker: 
    sudo systemctl restart docker.service
Desabilite o SELinux

Você precisa desabilitar o SELinux no arquivo de configuração /etc/selinux/config [web:50][web:53].

Abra o arquivo /etc/selinux/config usando qualquer editor de texto, substitua a string SELINUX=enforcing ou SELINUX=permissive por SELINUX=disabled e salve as alterações.

Reinicie seu servidor para que as alterações entrem em vigor. Certifique-se de que o SELinux está desabilitado:

[root@test ~]# sestatus
SELinux status:                 disabled
Instale o ONLYOFFICE Docs

Execute o seguinte comando para instalar o ONLYOFFICE Docs:

sudo docker run -i -t -d -p 80:80 --security-opt seccomp=unconfined --restart=always -e JWT_SECRET=my_jwt_secret onlyoffice/documentserver-ee
Importante A partir da versão 7.2, adicionamos uma geração aleatória do JWT secret. Se o JWT secret não for especificado com a variável de ambiente, isso leva à sua regeneração durante cada reinicialização de VMs ou servidor físico, portanto, pode haver problemas nas integrações. Para evitar esse problema, especifique seu próprio valor em -e JWT_SECRET=my_jwt_secret.

Se você não for usar JWT em sua instalação, use -e JWT_ENABLED=false.

A chave --security-opt seccomp=unconfined é necessária para desabilitar perfis de segurança para o contêiner. Mais detalhes podem ser encontrados aqui.

Você também pode usar nosso perfil de segurança personalizado: kylin-seccomp7.json.

Por padrão, o ONLYOFFICE Docs escuta as conexões recebidas usando a porta 80. A partir da versão 4.3, você pode alterar a porta para o ONLYOFFICE Docs se planeja usá-la em vez da padrão. Isso pode ser feito facilmente alterando a porta de mapeamento durante a instalação: 
sudo docker run -i -t -d -p <PORT_NUMBER>:80 --security-opt seccomp=unconfined --restart=always -e JWT_SECRET=my_jwt_secret onlyoffice/documentserver-ee
Onde <PORT_NUMBER> é o número da porta que você deseja que o ONLYOFFICE Docs use.

Isso instalará o ONLYOFFICE Docs e todas as dependências necessárias (a lista do que está sendo feito pelo script pode ser encontrada aqui).

Adicione uma exceção de firewall

Você também precisa adicionar uma exceção ao serviço firewalld.service:

sudo firewall-cmd --zone=public --add-port=80/tcp --permanent
sudo firewall-cmd --reload

Assim que a configuração estiver concluída, você pode digitar http://localhost na barra de endereços do navegador para abrir a página de boas-vindas do ONLYOFFICE Docs, onde encontrará mais instruções sobre como habilitar exemplos de documentos ou integrar editores online em seu aplicativo web usando a API fornecida.

Armazenando dados fora dos contêineres

Todos os dados são armazenados em diretórios especialmente designados, volumes de dados, no seguinte local:

  • /var/log/onlyoffice para logs do ONLYOFFICE Docs
  • /var/www/onlyoffice/Data para certificados
  • /var/lib/onlyoffice para cache de arquivos
  • /var/lib/postgresql para banco de dados
Recomendamos Recomendamos fortemente que você armazene os dados fora dos contêineres Docker na máquina hospedeira, pois isso permite atualizar facilmente o ONLYOFFICE Docs assim que a nova versão for lançada, sem perder seus dados.

Para obter acesso aos seus dados localizados fora do contêiner, você precisa montar os volumes. Isso pode ser feito especificando a opção -v no comando docker run.

sudo docker run -i -t -d -p 80:80 --security-opt seccomp=unconfined --restart=always \
    -v /app/onlyoffice/DocumentServer/logs:/var/log/onlyoffice  \
    -v /app/onlyoffice/DocumentServer/data:/var/www/onlyoffice/Data  \
    -v /app/onlyoffice/DocumentServer/lib:/var/lib/onlyoffice \
    -v /app/onlyoffice/DocumentServer/db:/var/lib/postgresql -e JWT_SECRET=my_jwt_secret onlyoffice/documentserver-ee
Observe que, caso você esteja tentando montar pastas que ainda não foram criadas, essas pastas serão criadas, mas o acesso a elas será limitado. Você precisará alterar manualmente seus direitos de acesso.

Normalmente, você não precisa armazenar dados do contêiner porque a operação do contêiner não depende de seu estado. Salvar dados será útil:

  • para facilitar o acesso aos dados do contêiner, como logs;
  • para remover o limite no tamanho dos dados dentro do contêiner;
  • ao usar serviços iniciados fora do contêiner, como PostgreSQL, Redis, RabbitMQ.

Executando o ONLYOFFICE Docs usando HTTPS

sudo docker run -i -t -d -p 443:443 --security-opt seccomp=unconfined --restart=always \
-v /app/onlyoffice/DocumentServer/data:/var/www/onlyoffice/Data -e JWT_SECRET=my_jwt_secret onlyoffice/documentserver-ee

O acesso ao aplicativo onlyoffice pode ser protegido usando SSL para evitar acesso não autorizado. Embora um certificado SSL certificado por CA permita a verificação de confiança através da CA, certificados autoassinados também podem fornecer um nível igual de verificação de confiança, desde que cada cliente tome algumas medidas adicionais para verificar a identidade do seu site. As instruções para conseguir isso são fornecidas abaixo.

Para proteger o aplicativo via SSL, duas coisas são necessárias:

  • Chave privada (.key)
  • Certificado SSL (.crt)

Portanto, você precisa criar e instalar os seguintes arquivos:

/app/onlyoffice/DocumentServer/data/certs/onlyoffice.key
/app/onlyoffice/DocumentServer/data/certs/onlyoffice.crt

Ao usar certificados certificados por CA (por exemplo, Let's Encrypt), esses arquivos são fornecidos a você pela CA. Se você estiver usando certificados autoassinados, precisará gerar esses arquivos você mesmo.

Alternando o ONLYOFFICE Docs para HTTPS usando certbot

A maneira mais fácil de alternar o ONLYOFFICE Docs para HTTPS é obter automaticamente certificados SSL Let's Encrypt usando o certbot.

Execute o contêiner Docker do ONLYOFFICE Docs, especificando as portas 80 e 443 e definindo seus próprios valores para as variáveis:

sudo docker run -i -t -d -p 80:80 -p 443:443 --security-opt seccomp=unconfined --restart=always \
    -e LETS_ENCRYPT_DOMAIN=yourdomain.com -e LETS_ENCRYPT_MAIL=email@example.com -e JWT_SECRET=my_jwt_secret onlyoffice/documentserver-ee

Onde:

  • LETS_ENCRYPT_DOMAIN - um nome de domínio a ser usado para o certificado.
  • LETS_ENCRYPT_MAIL - um email usado para registro e contato de recuperação.

O certificado assinado pela CA letsencrypt.org será automaticamente gerado e instalado em seu servidor. Agora, seu ONLYOFFICE Docs deve estar disponível no endereço https://yourdomain.com.

Geração de certificados autoassinados

A geração de certificados SSL autoassinados envolve um procedimento simples de 3 etapas:

ETAPA 1: Crie a chave privada do servidor

openssl genrsa -out onlyoffice.key 2048

ETAPA 2: Crie a solicitação de assinatura de certificado (CSR)

openssl req -new -key onlyoffice.key -out onlyoffice.csr

ETAPA 3: Assine o certificado usando a chave privada e o CSR

openssl x509 -req -days 365 -in onlyoffice.csr -signkey onlyoffice.key -out onlyoffice.crt

Agora você gerou um certificado SSL válido por 365 dias.

Fortalecendo a segurança do servidor

Esta seção fornece instruções para fortalecer a segurança do seu servidor.

Para conseguir isso, você precisa gerar parâmetros DHE mais fortes.

openssl dhparam -out dhparam.pem 2048
Instalação dos certificados SSL

Dos quatro arquivos gerados acima, você precisa instalar os arquivos onlyoffice.key, onlyoffice.crt e dhparam.pem no servidor onlyoffice. O arquivo CSR não é necessário, mas certifique-se de fazer backup seguro do arquivo (caso você precise dele novamente).

O caminho padrão que o aplicativo onlyoffice está configurado para procurar os certificados SSL é em /var/www/onlyoffice/Data/certs, no entanto, isso pode ser alterado usando as opções de configuração SSL_KEY_PATH, SSL_CERTIFICATE_PATH e SSL_DHPARAM_PATH.

O caminho /var/www/onlyoffice/Data/ é o caminho do armazenamento de dados, o que significa que você deve criar uma pasta chamada certs dentro de /app/onlyoffice/DocumentServer/data/ e copiar os arquivos para ela e, como medida de segurança, você atualizará a permissão no arquivo onlyoffice.key para ser legível apenas pelo proprietário.

mkdir -p /app/onlyoffice/DocumentServer/data/certs
cp onlyoffice.key /app/onlyoffice/DocumentServer/data/certs/
cp onlyoffice.crt /app/onlyoffice/DocumentServer/data/certs/
cp dhparam.pem /app/onlyoffice/DocumentServer/data/certs/
chmod 400 /app/onlyoffice/DocumentServer/data/certs/onlyoffice.key

E reinicie o contêiner Docker:

sudo docker restart {{DOCUMENT_SERVER_ID}}

Agora você está a apenas um passo de ter nosso aplicativo protegido.

Parâmetros de configuração disponíveis
Consulte as opções do comando docker run para o sinalizador --env-file, onde você pode especificar todas as variáveis de ambiente necessárias em um único arquivo. Isso evitará que você escreva um comando docker run potencialmente longo.

Abaixo está a lista completa de parâmetros que podem ser definidos usando variáveis de ambiente.

  • ONLYOFFICE_HTTPS_HSTS_ENABLED: Opção de configuração avançada para desativar a configuração HSTS. Aplicável somente quando SSL está em uso. O padrão é true.
  • ONLYOFFICE_HTTPS_HSTS_MAXAGE: Opção de configuração avançada para definir o max-age HSTS na configuração do vHost NGINX do onlyoffice. Aplicável somente quando SSL está em uso. O padrão é 31536000.
  • SSL_CERTIFICATE_PATH: O caminho para o certificado SSL a ser usado. O padrão é /var/www/onlyoffice/Data/certs/tls.crt.
  • SSL_KEY_PATH: O caminho para a chave privada do certificado SSL. O padrão é /var/www/onlyoffice/Data/certs/tls.key.
  • SSL_DHPARAM_PATH: O caminho para o parâmetro Diffie-Hellman. O padrão é /var/www/onlyoffice/Data/certs/dhparam.pem.
  • SSL_VERIFY_CLIENT: Habilita a verificação de certificados de cliente usando o arquivo CA_CERTIFICATES_PATH. O padrão é false.
  • DB_TYPE: O tipo de banco de dados. Valores suportados são postgres, mariadb ou mysql. O padrão é postgres.
  • DB_HOST: O endereço IP ou o nome do host onde o servidor de banco de dados está sendo executado.
  • DB_PORT: O número da porta do servidor de banco de dados.
  • DB_NAME: O nome de um banco de dados a ser criado na inicialização da imagem.
  • DB_USER: O novo nome de usuário com permissões de superusuário para a conta do banco de dados.
  • DB_PWD: A senha definida para a conta do banco de dados.
  • AMQP_URI: O AMQP URI para conectar ao servidor de message broker.
  • AMQP_TYPE: O tipo de message broker. Valores suportados são rabbitmq ou activemq. O padrão é rabbitmq.
  • REDIS_SERVER_HOST: O endereço IP ou o nome do host onde o servidor Redis está sendo executado.
  • REDIS_SERVER_PORT: O número da porta do servidor Redis.
  • NGINX_WORKER_PROCESSES: Define o número de processos de trabalho NGINX.
  • NGINX_WORKER_CONNECTIONS: Define o número máximo de conexões simultâneas que podem ser abertas por um processo de trabalho NGINX.
  • SECURE_LINK_SECRET: Define o segredo para a diretiva de configuração nginx secure_link_md5. O padrão é string aleatória.
  • JWT_ENABLED: Especifica a habilitação da validação de token web JSON pelo ONLYOFFICE Docs. O padrão é true.
  • JWT_SECRET: Define a chave secreta para validar o token web JSON na solicitação ao ONLYOFFICE Docs. O padrão é valor aleatório.
  • JWT_HEADER: Define o cabeçalho HTTP que será usado para enviar o token web JSON. O padrão é Authorization.
  • JWT_IN_BODY: Especifica a habilitação da validação de token no corpo da solicitação ao ONLYOFFICE Docs. O padrão é false.
  • WOPI_ENABLED: Especifica a habilitação dos manipuladores wopi. O padrão é false.
  • USE_UNAUTHORIZED_STORAGE: Defina como true se estiver usando certificados autoassinados para seu servidor de armazenamento, por exemplo, Nextcloud. O padrão é false.
  • GENERATE_FONTS: Quando true, regenera a lista de fontes e as miniaturas de fontes etc. em cada inicialização. O padrão é true.
  • METRICS_ENABLED: Especifica a habilitação do StatsD para o ONLYOFFICE Docs. O padrão é false.
  • METRICS_HOST: Define o host de escuta do StatsD. O padrão é localhost.
  • METRICS_PORT: Define a porta de escuta do StatsD. O padrão é 8125.
  • METRICS_PREFIX: Define o prefixo de métricas do StatsD para serviços de backend. O padrão é ds..
  • LETS_ENCRYPT_DOMAIN: Define o domínio para o certificado Let's Encrypt.
  • LETS_ENCRYPT_MAIL: Define o endereço de email do administrador do domínio para o certificado Let's Encrypt.

Registrando sua versão Enterprise Edition

Se você comprou o Enterprise Edition e recebeu o arquivo license.lic, você pode colocá-lo em sua instalação para obter a versão completa do software.

Quando você está usando o contêiner docker, o arquivo license.lic pode ser colocado em qualquer pasta (por exemplo, /app/onlyoffice/DocumentServer/data/license.lic), mas você precisará montar essa pasta quando o contêiner for iniciado:

sudo docker run -i -t -d -p 80:80 --security-opt seccomp=unconfined --restart=always \
-v /app/onlyoffice/DocumentServer/data:/var/www/onlyoffice/Data \
-e JWT_SECRET=my_jwt_secret onlyoffice/documentserver-ee

Depois disso, sua versão do Enterprise Edition se tornará registrada e com todos os recursos.

Artigo com o tag:
Veja todas as etiquetas