本文由AI翻译

在 KylinOS 上安装 ONLYOFFICE 文档的 Docker 版本

简介

社区版允许您在本地服务器上安装ONLYOFFICE 文档,并将在线编辑器与ONLYOFFICE 协作平台其他流行系统集成。

ONLYOFFICE 文档是一套在线办公套件,包含文本、电子表格和演示文稿的查看器和编辑器,完全兼容 Office Open XML 格式:.docx、.xlsx、.pptx,并支持实时协作编辑。

功能

  • 文档编辑器
  • 电子表格编辑器
  • 演示文稿编辑器
  • 移动网页查看器
  • 协作编辑
  • 支持象形文字
  • 支持所有流行格式:DOC、DOCX、TXT、ODT、RTF、ODP、EPUB、ODS、XLS、XLSX、CSV、PPTX、HTML

查看ONLYOFFICE 文档社区版详细功能列表

ONLYOFFICE 协作空间中使用它,您可以:

  • 共享文件;
  • 管理文档的访问权限;
  • 在网站上嵌入文档;
  • 查看和编辑存储在与 ONLYOFFICE 连接的 Drive、Box、Dropbox、OneDrive、ownCloud 上的文件。

从 v7.2 开始,ONLYOFFICE 文档的 Docker 镜像已重新设计以在 Kylin Linux Advanced Server OS V10 上运行。本指南将向您展示如何在 KylinOS 上安装ONLYOFFICE 文档社区版的 Docker 版本。

系统要求
  • CPU:双核2 GHz或更高
  • RAM4 GB或更多
  • HDD:至少40 GB的可用空间
  • SWAP:至少4 GB,但取决于主机操作系统。更多更好
  • OSamd64 Linux 发行版,内核版本3.10或更高
  • Docker:KylinOS 支持的任何版本

安装 ONLYOFFICE 文档

Docker 默认指定 Google DNS 服务器。如果您的ONLYOFFICE 文档无法访问互联网,我们建议您将默认的 Docker DNS 地址更改为本地 DNS 服务器的地址。为此,请转到/etc/default/docker文件,并在以下行中将 IP 地址更改为本地网络中 DNS 服务器的 IP 地址: 
docker_OPTS="--dns 8.8.8.8"

对于基于 RPM 的操作系统,如 CentOS:

  1. 创建/etc/docker/daemon.json配置文件,内容如下: 
    { "dns" : [ "8.8.8.8" ] }
  2. 重启 Docker 服务: 
    
sudo systemctl restart docker.service
禁用 SELinux

您需要在/etc/selinux/config配置文件中禁用SELinux

使用任何文本编辑器打开/etc/selinux/config文件,将SELINUX=enforcingSELINUX=permissive字符串替换为SELINUX=disabled,并保存更改。

重启服务器以使更改生效。确保 SELinux 已禁用:

[root@test ~]# sestatus
SELinux status:                 disabled
安装 ONLYOFFICE 文档

执行以下命令安装ONLYOFFICE 文档

sudo docker run -i -t -d -p 80:80 --security-opt seccomp=unconfined --restart=always -e JWT_SECRET=my_jwt_secret onlyoffice/documentserver
重要 从版本 7.2 开始,我们添加了 JWT 密钥的随机生成。如果未通过环境变量指定 JWT 密钥,则每次虚拟机或物理服务器重启时都会重新生成它,这可能导致集成问题。为避免此问题,请在-e JWT_SECRET=my_jwt_secret中指定您自己的值。

如果您不打算在安装中使用 JWT,请使用-e JWT_ENABLED=false

--security-opt seccomp=unconfined键用于禁用容器的安全配置文件。更多详情请参见这里

您还可以使用我们的自定义安全配置文件:kylin-seccomp7.json

默认情况下,ONLYOFFICE 文档使用端口80监听传入连接。从版本4.3开始,如果您计划使用非默认端口,可以在安装时更改映射端口来更改ONLYOFFICE 文档的端口: 
sudo docker run -i -t -d -p <PORT_NUMBER>:80 --security-opt seccomp=unconfined --restart=always -e JWT_SECRET=my_jwt_secret onlyoffice/documentserver
其中<PORT_NUMBER>是您希望ONLYOFFICE 文档使用的端口号。

这将安装ONLYOFFICE 文档及其所需的所有依赖项(脚本执行的操作列表可在这里找到)。

添加防火墙例外

您还需要为firewalld.service服务添加例外:

sudo firewall-cmd --zone=public --add-port=80/tcp --permanent
sudo firewall-cmd --reload

配置完成后,您可以在浏览器地址栏中输入http://localhost,打开ONLYOFFICE 文档欢迎页面,您将在此找到有关如何启用文档示例或使用提供的 API将在线编辑器集成到您的 Web 应用程序中的进一步说明。

在容器外存储数据

所有数据都存储在专门指定的目录中,称为数据卷,位于以下位置:

  • /var/log/onlyoffice用于ONLYOFFICE 文档日志
  • /var/www/onlyoffice/Data用于证书
  • /var/lib/onlyoffice用于文件缓存
  • /var/lib/postgresql用于数据库
我们建议 我们强烈建议您将数据存储在主机机器上的 Docker 容器之外,因为这样可以让您在发布新版本时轻松更新ONLYOFFICE 文档而不会丢失数据。

要访问位于容器外的数据,您需要挂载数据卷。这可以通过在 docker run 命令中指定-v选项来完成。

sudo docker run -i -t -d -p 80:80 --security-opt seccomp=unconfined --restart=always \
    -v /app/onlyoffice/DocumentServer/logs:/var/log/onlyoffice  \
    -v /app/onlyoffice/DocumentServer/data:/var/www/onlyoffice/Data  \
    -v /app/onlyoffice/DocumentServer/lib:/var/lib/onlyoffice \
    -v /app/onlyoffice/DocumentServer/db:/var/lib/postgresql -e JWT_SECRET=my_jwt_secret onlyoffice/documentserver
请注意,如果您尝试挂载尚未创建的文件夹,这些文件夹将被创建,但访问权限将受到限制。您需要手动更改其访问权限。

通常,您不需要存储容器数据,因为容器操作不依赖于其状态。保存数据将有助于:

  • 轻松访问容器数据,例如日志;
  • 消除容器内数据大小的限制;
  • 在使用容器外启动的服务(如 PostgreSQL、Redis、RabbitMQ)时。

使用 HTTPS 运行 ONLYOFFICE 文档

sudo docker run -i -t -d -p 443:443 --security-opt seccomp=unconfined --restart=always \
-v /app/onlyoffice/DocumentServer/data:/var/www/onlyoffice/Data -e JWT_SECRET=my_jwt_secret onlyoffice/documentserver

可以使用 SSL 来保护 onlyoffice 应用程序的访问,以防止未经授权的访问。虽然 CA 认证的 SSL 证书允许通过 CA 验证信任,但自签名证书也可以提供相同级别的信任验证,只要每个客户端采取一些额外步骤来验证您网站的身份。以下提供了实现此目的的说明。

要通过 SSL 保护应用程序,基本上需要两件事:

  • 私钥 (.key)
  • SSL 证书 (.crt)

因此,您需要创建并安装以下文件:

/app/onlyoffice/DocumentServer/data/certs/onlyoffice.key
/app/onlyoffice/DocumentServer/data/certs/onlyoffice.crt

使用 CA 认证的证书(例如Let's Encrypt)时,这些文件由 CA 提供。如果您使用自签名证书,则需要自己生成这些文件

使用 certbot 将 ONLYOFFICE 文档切换到 HTTPS

将 ONLYOFFICE 文档 切换到 HTTPS 的最简单方法是使用certbot自动获取Let's Encrypt SSL 证书。

运行 ONLYOFFICE 文档 Docker 容器,指定端口 80 和 443,并为变量设置您自己的值:

sudo docker run -i -t -d -p 80:80 -p 443:443 --security-opt seccomp=unconfined --restart=always \
    -e LETS_ENCRYPT_DOMAIN=yourdomain.com -e LETS_ENCRYPT_MAIL=email@example.com -e JWT_SECRET=my_jwt_secret onlyoffice/documentserver

其中:

  • LETS_ENCRYPT_DOMAIN - 用于证书的域名。
  • LETS_ENCRYPT_MAIL - 用于注册和恢复联系的电子邮件。

letsencrypt.org CA 签名的证书将自动生成并安装到您的服务器上。现在,您的ONLYOFFICE 文档应该可以在 https://yourdomain.com 地址访问。

生成自签名证书

生成自签名 SSL 证书涉及一个简单的三步过程

步骤 1:创建服务器私钥

openssl genrsa -out onlyoffice.key 2048

步骤 2:创建证书签名请求(CSR)

openssl req -new -key onlyoffice.key -out onlyoffice.csr

步骤 3:使用私钥和 CSR 签署证书

openssl x509 -req -days 365 -in onlyoffice.csr -signkey onlyoffice.key -out onlyoffice.crt

您现在已生成一个有效期为 365 天的 SSL 证书。

加强服务器安全

本节为您提供加强服务器安全的说明。

为实现此目的,您需要生成更强的 DHE 参数。

openssl dhparam -out dhparam.pem 2048
安装 SSL 证书

在上面生成的四个文件中,您需要在 onlyoffice 服务器上安装onlyoffice.keyonlyoffice.crtdhparam.pem文件。CSR 文件不需要,但请确保您安全备份该文件(以防您再次需要)。

onlyoffice 应用程序默认配置为在/var/www/onlyoffice/Data/certs路径查找 SSL 证书,但可以使用SSL_KEY_PATHSSL_CERTIFICATE_PATHSSL_DHPARAM_PATH配置选项更改。

/var/www/onlyoffice/Data/路径是数据存储路径,这意味着您必须在/app/onlyoffice/DocumentServer/data/中创建一个名为 certs 的文件夹,并将文件复制到其中,作为安全措施,您将更新onlyoffice.key文件的权限,使其仅对所有者可读。

mkdir -p /app/onlyoffice/DocumentServer/data/certs
cp onlyoffice.key /app/onlyoffice/DocumentServer/data/certs/
cp onlyoffice.crt /app/onlyoffice/DocumentServer/data/certs/
cp dhparam.pem /app/onlyoffice/DocumentServer/data/certs/
chmod 400 /app/onlyoffice/DocumentServer/data/certs/onlyoffice.key

并重启 Docker 容器:

sudo docker restart {{DOCUMENT_SERVER_ID}}

您现在距离让我们的应用程序安全只有一步之遥。

可用的配置参数
请参考 docker run 命令选项中的--env-file标志,您可以在单个文件中指定所有必需的环境变量。这将使您无需编写可能很长的 docker run 命令。

以下是可以使用环境变量设置的参数的完整列表。

  • ONLYOFFICE_HTTPS_HSTS_ENABLED:用于关闭 HSTS 配置的高级配置选项。仅在使用 SSL 时适用。默认为true
  • ONLYOFFICE_HTTPS_HSTS_MAXAGE:用于在 onlyoffice NGINX vHost 配置中设置 HSTS 最大年龄的高级配置选项。仅在使用 SSL 时适用。默认为31536000
  • SSL_CERTIFICATE_PATH:要使用的 SSL 证书的路径。默认为/var/www/onlyoffice/Data/certs/tls.crt
  • SSL_KEY_PATH:SSL 证书私钥的路径。默认为/var/www/onlyoffice/Data/certs/tls.key
  • SSL_DHPARAM_PATH:Diffie-Hellman 参数的路径。默认为/var/www/onlyoffice/Data/certs/dhparam.pem
  • SSL_VERIFY_CLIENT:启用使用CA_CERTIFICATES_PATH file验证客户端证书。默认为false
  • DB_TYPE:数据库类型。支持的值为postgresmariadbmysql。默认为postgres
  • DB_HOST:数据库服务器运行的主机的 IP 地址或名称。
  • DB_PORT:数据库服务器端口号。
  • DB_NAME:在镜像启动时创建的数据库名称。
  • DB_USER:数据库帐户的新用户名,具有超级用户权限。
  • DB_PWD:为数据库帐户设置的密码。
  • AMQP_URI:连接到消息代理服务器的AMQP URI
  • AMQP_TYPE:消息代理类型。支持的值为rabbitmqactivemq。默认为rabbitmq
  • REDIS_SERVER_HOST:Redis 服务器运行的主机的 IP 地址或名称。
  • REDIS_SERVER_PORT:Redis 服务器端口号。
  • NGINX_WORKER_PROCESSES:定义 NGINX 工作进程的数量。
  • NGINX_WORKER_CONNECTIONS:设置 NGINX 工作进程可以打开的最大并发连接数。
  • SECURE_LINK_SECRET:为 nginx 配置指令secure_link_md5定义密钥。默认为随机字符串
  • JWT_ENABLED:指定启用ONLYOFFICE 文档的 JSON web token 验证。默认为true
  • JWT_SECRET:定义在请求到ONLYOFFICE 文档时验证 JSON web token 的密钥。默认为随机值。
  • JWT_HEADER:定义用于发送 JSON web token 的 HTTP 头。默认为Authorization
  • JWT_IN_BODY:指定在请求体中启用对ONLYOFFICE 文档的 token 验证。默认为false
  • WOPI_ENABLED:指定启用 wopi 处理程序。默认为false
  • USE_UNAUTHORIZED_STORAGE:如果为存储服务器(例如 Nextcloud)使用自签名证书,请设置为true。默认为false
  • GENERATE_FONTS:当true时,在每次启动时重新生成字体列表和字体缩略图等。默认为true
  • METRICS_ENABLED:指定为ONLYOFFICE 文档启用 StatsD。默认为false
  • METRICS_HOST:定义 StatsD 监听主机。默认为localhost
  • METRICS_PORT:定义 StatsD 监听端口。默认为8125
  • METRICS_PREFIX:定义后端服务的 StatsD 指标前缀。默认为ds.
  • LETS_ENCRYPT_DOMAIN:定义 Let's Encrypt 证书的域。
  • LETS_ENCRYPT_MAIL:定义 Let's Encrypt 证书的域管理员邮箱地址。

在您自己的服务器上托管 ONLYOFFICE 文档,或在云端使用

在本地部署注册文档云
文章: 标签:
浏览所有标签