MENU

可能是最完美的Nextcloud搭建指南

April 5, 2019 • 极意

  小记:本文看似是教你搭建NextCloud网盘,其实这是一篇Nginx多站点配置入门23333


Nextcloud


  国内的生态环境下存活着无数的毒瘤软件,试问一下,有没有网盘上传/下载时被百度云的限速弄的焦头烂额的时候?有没有下载种子进度到了99.9%的时候迅雷突然卡死的情况?有没有在视频网站中观看一个视频弹出数个广告的时候?以及最令人气愤的是,很多时候即使支付了相关费用,也仍然享受不到本应享受的服务待遇!

  而今天我所带来的,也不止是只有私人网盘这一个解决办法,而是集成私人云盘、离线下载、娱乐影音的一条龙解决方案:
$$
Nextcloud+Aria2+AriaNG+Plex
$$
Nextcloud:

  目前全球最强大的开源云盘软件,说起云盘的话,相信很多人都听过 Owncloud 。而 Nextcloud 就是 Owncloud 主创人员出走创立的新品牌。而 Nextcloud 社区也是非常的活跃 , 现在就已经开发有 RSS 阅读器、Markdown 编辑器、通讯录、脑图 、日程安排等应用, 所以它又不仅仅是一台私人云盘。官网戳这里

Aria2:

  一款开源、轻量级的多协议命令行下载工具,支持 HTTP/HTTPS、FTP、SFTP、BitTorrent 和 Metalink 等协议(这正是大部分软件所不具备的,国内毒瘤除外),拥有众多第三方支持插件,个人认为是目前市面上最好的下载软件。官网戳这里

AriaNG:

  一个让 Aria2 更容易使用的现代 Web 前端.(由国人创作)官网戳这里

Plex:

  Plex是一套媒体播放器及媒体服务器软件,由于Plex Media Server和Plex Media Player组成,主要功能是存储+索引+转码+在线播放。(这里先再议,我过几天先试用下 Kodi 后再做决定)官网戳这里

  对了,最后注明下,这份Nextcloud的搭建教程主要参考自大佬荒岛的博客,不过已经获取了引用权限了嘻嘻

Ok,开始进入本篇的正题吧:


—— Nextcloud搭建教程 ——



  如果你Google相关搭建教程的话,网上其实能找到一大堆,不过90%都是基于Docker或者官方的Snap一键安装方式,但这些一键包实在是不推荐,且不提无法实时部署到官方的最新版本,这些方式的可维护性也都特别低,我之前就遇到过Snap安装之后重启服务器后软件直接崩掉的情形,考虑到稳定对于个人网盘的重要性,个人感觉这种一键包就该直接扔进垃圾堆好了;至于剩下的10%的基于Nginx或者Apache的,大部分都写的相当简略(以至于我怀疑大部分都是瞎写的),1月份那次我找了不下20多份教程才找到一份可以用的,但也是小问题不断,直到我发现了荒岛大佬的这份教程,写的非常棒,而且实际上我是从这份教程中才学会如何正确的配置Nginx环境的。

  操作系统选择的是Debian,其实Ubuntu也能照猫画虎了,但我一直用的南琴浪大佬的魔改BBR只支持Debian和Centos,Centos又感觉有些麻烦的。

— 安装SSL证书 —


  好了,废话就不多说了,先申请一个SSL证书,这里我使用certbot:

apt -y install certbot

  目前certbot支持签发一个叫buypass的SSL证书,这个证书签一次时长是6个月,不用总是担心证书过期了(相应的域名换成你们自己的):

certbot certonly --standalone --agree-tos -d www.你的网站.com -d 你的网站.com --server https://api.buypass.com/acme/directory

  签发成功之后的证书和私钥路径:

/etc/letsencrypt/live/www.你的网站.com/fullchain.pem
/etc/letsencrypt/live/www.你的网站.com/privkey.pem

  接着来安装Openssl,因为我打算给Nginx配置上TLS1.3,这样可以从某种程度上给这个性能烂到爆的程序稍微加点速。在Debian9上安装一个最新版本的Openssl很简单,我们可以不用去编译,直接用到Debian的testing或者unstable(sid)源,这里我建议求稳还是用testing吧,sid真的太过于奔放了:

echo "deb http://deb.debian.org/debian testing main" > /etc/apt/sources.list.d/testing.list
echo "deb-src http://deb.debian.org/debian testing main" >> /etc/apt/sources.list.d/testing.list

  当然你要奔放那也行:

echo "deb http://deb.debian.org/debian unstable main" > /etc/apt/sources.list.d/sid.list
echo "deb-src http://deb.debian.org/debian unstable main" >> /etc/apt/sources.list.d/sid.list

  更新源信息:

apt -y update

  安装指定源内的openssl(二选1即可):

apt -y -t testing install openssl
apt -y -t unstable install openssl

  完成之后查看一下openssl的版本号,这个版本就是支持TLS1.3的了:

img

— LNMP环境配置 —


  接下来就要来编译安装Nginx了,首先安装一些编译所需的依赖:

apt -y install build-essential libpcre3-dev libssl-dev libgd-dev libgeoip-dev zlib1g-dev

  这里给大家推荐一个小技巧,安装一个checkinstall,可以在编译安装完成之后把Nginx打包成deb,下次在别的机器上就不用重新编译了,直接dpkg安装即可:

apt -y install checkinstall

  然后就是下载Nginx的源码解压进入到源码目录:

wget http://nginx.org/download/nginx-1.15.10.tar.gz
tar -xzvf nginx-1.15.10.tar.gz 
cd nginx-1.15.10

  使用下面的参数进行配置:

./configure --user=www-data --group=www-data --prefix=/usr/local/nginx --with-http_ssl_module --with-http_v2_module --with-stream --with-stream_ssl_module --with-http_gzip_static_module --with-http_gunzip_module --with-http_flv_module --with-http_mp4_module --with-http_image_filter_module --with-http_geoip_module --with-http_sub_module --with-http_stub_status_module --with-http_realip_module --with-http_addition_module

  没问题就开始编译并完成安装:

make -j4 && make install

  接着再执行:

checkinstall

  第一个提示选y,然后随便写一点deb包的描述信息再按三次回车,稍等几秒在当前目录就有一个deb打包完成了。

配置nginx的systemd服务:

nano /etc/systemd/system/nginx.service

  写入:

[Unit]
Description=nginx - high performance web server
Documentation=http://nginx.org/en/docs/
After=network-online.target remote-fs.target nss-lookup.target
Wants=network-online.target

[Service]
Type=forking
PIDFile=/usr/local/nginx/logs/nginx.pid
ExecStart=/usr/local/nginx/sbin/nginx -c /usr/local/nginx/conf/nginx.conf
ExecReload=/bin/kill -s HUP $MAINPID
ExecStop=/bin/kill -s TERM $MAINPID

[Install]
WantedBy=multi-user.target

  启动以及设置Nginx的开机启动:

systemctl start nginx
systemctl enable nginx

  接下来安装MariaDB:

apt -y install mariadb-server

  完成之后启动并查看一下运行状态,确保是Active:

systemctl start mariadb.service
systemctl status mariadb.service

  然后执行如下命令开始配置Mariadb:

mysql_secure_installation

  这个向导按照如下配置:

Enter current password for root (enter for none):回车
Set root password? [Y/n] Y
New password: 设置你的Mariadb数据库root密码
Re-enter new password: 重复输入一次密码
Remove anonymous users? [Y/n] Y
Disallow root login remotely? [Y/n] n
Remove test database and access to it? [Y/n] Y
Reload privilege tables now? [Y/n] Y

  然后重启一遍Mariadb,使新的设置生效:

systemctl restart mariadb.service

  这里配置的这个Disallow root login remotely,无法生效。应该是个BUG,无论你是选y还是选n最后root都没有localhost的远程访问权限。因为我打算安装一个phpMyAdmin,如果localhost没有远程访问权限的话,phpMyAdmin无法用root用户登录。什么?你问我为什么要装phpMyAdmin?如果你是老用Nextcloud的你就知道到时候你会经常碰到文件lock的问题,解决办法只能去MySQL里面清表,是用一个图形化方便还是每次都用命令行方便,自行考量。

  所以这里我们得进到MySQL的shell内:

mysql -u root -p

  依次执行如下语句修复:

GRANT ALL PRIVILEGES ON *.* TO 'root'@'localhost' IDENTIFIED BY '你的数据库root密码' WITH GRANT OPTION;
FLUSH PRIVILEGES;
quit

  完成之后,再重启一次:

systemctl restart mariadb.service

  现在安装PHP7.3,因为我们之前给系统换了Testing源,这个源内的PHP版本就是目前的最新版:

apt -y install php7.3 php7.3-common php7.3-cli php7.3-cgi php7.3-fpm php7.3-gd php7.3-mysql php7.3-sqlite3 php7.3-pgsql php7.3-opcache php7.3-mbstring php7.3-curl php7.3-xml php7.3-xmlrpc php7.3-zip php7.3-intl php7.3-json php7.3-bz2

  创建一个wwwroot目录,用于存放所有的站点文件:

mkdir -p /opt/wwwroot

  完成之后现在开始下载phpMyAdmin并设置相应的权限:

apt -y install unzip
cd /opt/wwwroot
wget https://files.phpmyadmin.net/phpMyAdmin/4.8.5/phpMyAdmin-4.8.5-all-languages.zip
unzip phpMyAdmin-4.8.5-all-languages.zip
mv phpMyAdmin-4.8.5-all-languages phpmyadmin
rm -rf phpMyAdmin-4.8.5-all-languages.zip
chown -R www-data:www-data /opt/wwwroot/phpmyadmin
chmod -R 755 /opt/wwwroot/phpmyadmin

  接下来是Nextcloud的安装包:

cd /opt/wwwroot
wget https://download.nextcloud.com/server/releases/nextcloud-15.0.6.zip
unzip nextcloud-15.0.6.zip
rm -rf nextcloud-15.0.6.zip
chown -R www-data:www-data /opt/wwwroot/nextcloud
chmod -R 755 /opt/wwwroot/nextcloud

  因为我们是编译安装的Nginx,这个Nginx没有conf.d目录,于是我们自己手动创建一个,用于引用我们的站点配置文件:

mkdir -p /usr/local/nginx/conf/conf.d

  编辑Nginx的主配置文件:

nano /usr/local/nginx/conf/nginx.conf

  首先将Nginx的运行用户修改为:www-data,然后在http段内加入引用:

include /usr/local/nginx/conf/conf.d/*.conf;

  位置如图:

img

  接着新建一个用于phpMyAdmin的站点配置文件:

nano /usr/local/nginx/conf/conf.d/phpmyadmin.conf

  写入:

server {
    listen       51529;
    server_name  你的服务器公网IP;
    
    location / {
        root   /opt/wwwroot/phpmyadmin;
        index  index.html index.htm index.php;
    }

    location ~ \.php$ {
        root           /opt/wwwroot/phpmyadmin;
        fastcgi_pass   unix:/run/php/php7.3-fpm.sock;
        fastcgi_index  index.php;
        fastcgi_param  SCRIPT_FILENAME  /opt/wwwroot/phpmyadmin$fastcgi_script_name;
        include        fastcgi_params;
    }

}

注:phpMyAdmin是一个数据库管理工具,算是一个比较敏感的资源,不应该能够轻松被外网访问到,所以我在这里监听的端口是一个高位端口,你也可以修改为其他的端口,只要端口不冲突就行。当然你也可以设置登陆密码,后面会提及。

  重启Nginx:

systemctl restart nginx

  通过端口51529访问到phpMyAdmin登录进去创建一个数据库,注意编码格式为如图所示的:

img

  现在开始新建Nextcloud的站点配置文件:

nano /usr/local/nginx/conf/conf.d/nextcloud.conf

  写入如下配置(相应的域名等信息修改为你自己的):

upstream php-handler {
    server unix:/run/php/php7.3-fpm.sock;
}

server {
    listen       80;
    listen       443 ssl http2;
    server_name  www.你的网站.com;
    # WEB页面允许最大的文件上传大小
    client_max_body_size 100000M;
    if ($server_port !~ 443){
        rewrite ^(/.*)$ https://$host$1 permanent;
    }

    # SSL以及TLS1.3支持
    ssl_certificate    /etc/letsencrypt/live/www.你的网站.com/fullchain.pem;
    ssl_certificate_key    /etc/letsencrypt/live/www.你的网站.com/privkey.pem;
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3;
    ssl_ciphers TLS13-AES-256-GCM-SHA384:TLS13-CHACHA20-POLY1305-SHA256:TLS13-AES-128-GCM-SHA256:TLS13-AES-128-CCM-8-SHA256:TLS13-AES-128-CCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE;
    ssl_prefer_server_ciphers on;
    ssl_session_cache shared:SSL:10m;
    ssl_session_timeout 10m;
    error_page 497  https://$host$request_uri;

    # 添加头信息修复Nextcloud后台的警告信息
    add_header X-Content-Type-Options nosniff;
    add_header X-XSS-Protection "1; mode=block";
    add_header X-Robots-Tag none;
    add_header X-Download-Options noopen;
    add_header X-Permitted-Cross-Domain-Policies none;
    add_header Referrer-Policy no-referrer;
    add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
    fastcgi_hide_header X-Powered-By;

    root /opt/wwwroot/nextcloud/;

    location = /robots.txt {
        allow all;
        log_not_found off;
        access_log off;
    }

    location = /.well-known/carddav {
      return 301 $scheme://$host/remote.php/dav;
    }
    location = /.well-known/caldav {
      return 301 $scheme://$host/remote.php/dav;
    }

    # 启用Gzip压缩
    gzip on;
    gzip_vary on;
    gzip_comp_level 4;
    gzip_min_length 256;
    gzip_proxied expired no-cache no-store private no_last_modified no_etag auth;
    gzip_types application/atom+xml application/javascript application/json application/ld+json application/manifest+json application/rss+xml application/vnd.geo+json application/vnd.ms-fontobject application/x-font-ttf application/x-web-app-manifest+json application/xhtml+xml application/xml font/opentype image/bmp image/svg+xml image/x-icon text/cache-manifest text/css text/plain text/vcard text/vnd.rim.location.xloc text/vtt text/x-component text/x-cross-domain-policy;

    # 重定向以及禁止访问敏感目录和资源
    location / {
        rewrite ^ /index.php$request_uri;
    }

    location ~ ^\/(?:build|tests|config|lib|3rdparty|templates|data)\/ {
        deny all;
    }
    location ~ ^\/(?:\.|autotest|occ|issue|indie|db_|console) {
        deny all;
    }

    # PHP配置
    location ~ ^\/(?:index|remote|public|cron|core\/ajax\/update|status|ocs\/v[12]|updater\/.+|ocs-provider\/.+)\.php(?:$|\/) {
        fastcgi_split_path_info ^(.+?\.php)(\/.*|)$;
        include fastcgi_params;
        fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
        fastcgi_param PATH_INFO $fastcgi_path_info;
        fastcgi_param HTTPS on;
        #Avoid sending the security headers twice
        fastcgi_param modHeadersAvailable true;
        fastcgi_param front_controller_active true;
        fastcgi_pass php-handler;
        fastcgi_intercept_errors on;
        fastcgi_request_buffering off;
    }

    location ~ ^\/(?:updater|ocs-provider)(?:$|\/) {
        try_files $uri/ =404;
        index index.php;
    }

    location ~ \.(?:css|js|woff2?|svg|gif)$ {
        try_files $uri /index.php$request_uri;
        add_header Cache-Control "public, max-age=15778463";
        add_header X-Content-Type-Options nosniff;
        add_header X-XSS-Protection "1; mode=block";
        add_header X-Robots-Tag none;
        add_header X-Download-Options noopen;
        add_header X-Permitted-Cross-Domain-Policies none;
        add_header Referrer-Policy no-referrer;
        access_log off;
    }

    location ~ \.(?:png|html|ttf|ico|jpg|jpeg)$ {
        try_files $uri /index.php$request_uri;
        # Optional: Don't log access to other assets
        access_log off;
    }
}

  完成之后再次重启Nginx:

systemctl restart nginx

  现在打开你的站点域名应该就可以看到Nextcloud的安装界面了,填写相应的信息即可完成安装。

— 优化Nextcloud配置 —


  现在我们开始修复Nextcloud安装完成之后后台提示的一些警告和错误信息:

  首先安装php-imagick和redis/php-redis扩展:

apt -y install php-imagick php-redis redis-server

  php-imagick用于修复后台提示的:该实例缺失了一些推荐的PHP模块。为提高性能和兼容性,我们强烈建议安装它们。

  redis和php-redis用于配置内存缓存:内存缓存未配置,为了提升使用体验,请尽量配置内存缓存。更多信息请参见文档。

  现在编辑Nextcloud的配置文件:

nano /opt/wwwroot/nextcloud/config/config.php

  加入如下配置,这里我把lock文件锁定的功能也配置为redis,这是官方推荐的,也是非常重要的,因为在Nextcloud同步文件的过程中比较耗费资源的就是这个lock锁定:

'memcache.local' => '\OC\Memcache\Redis',
'memcache.locking' => '\OC\Memcache\Redis',
'redis' => [
     'host' => 'localhost',
     'port' => 6379,
],

  加入位置在最后面,如图所示,注意缩进:

img

  现在编辑php.ini:

nano /etc/php/7.3/fpm/php.ini

  在[opcache]段的末尾加入如下内容:

opcache.enable=1
opcache.enable_cli=1
opcache.interned_strings_buffer=8
opcache.max_accelerated_files=10000
opcache.memory_consumption=128
opcache.save_comments=1
opcache.revalidate_freq=1

  用于解决Nextcloud后台提示的:PHP 的组件 OPcache 没有正确配置。 为了提供更好的性能,我们建议在 php.ini中使用下列设置。

  接着编辑php-fpm.conf:

nano /etc/php/7.3/fpm/php-fpm.conf

  在文件的末尾加上:

env[PATH] = /usr/local/bin:/usr/bin:/bin:/usr/local/php/bin

  用于解决Nextcloud后台提示的:PHP的安装似乎不正确,无法访问系统环境变量。getenv(“PATH”)函数测试返回了一个空值。 请参照安装说明文档 ↗中的PHP配置说明查阅您服务器的PHP配置信息,特别是在使用php-fpm时。

  这些修改都完成之后重启PHP-FPM,让修改生效:

systemctl restart php7.3-fpm.service

  最后安装sudo:

apt -y install sudo

  进入到nextcloud的站点根目录:

cd /opt/wwwroot/nextcloud

  执行如下命令:

sudo -u www-data php occ db:convert-filecache-bigint

  用于修复Nextcloud后台提示的:数据库中的一些列由于进行长整型转换而缺失。由于在较大的数据表重改变列类型会耗费一些时间,因此程序没有自动对其更改。您可以通过命令行手动执行 “occ db:convert-filecache-bigint” 命令以应用挂起的更改。该操作需要当整个实例变为离线状态后执行。

  按y同意,注意如果你不是全新安装的Nextcloud,并且本身就已经存储了大量数据的情况下,我建议这个修复不要做,因为要耗费大量时间还可能出错。

  在你做完了上面这些操作之后,再次检查一下,应该全部都通过了:

img

  接下来我们做一些相关的性能调优,首先是Cron计划任务,在Nextcloud中默认是AJAX的模式,这个模式是性能最低下,也最不推荐的,官方推荐的是使用Linux自带的Crontab来执行,所以这里我们稍作修改。

  执行如下命令以www-data用户运行crontab:

crontab -u www-data -e

  在文件末尾加入一行(注意站点路径改为你们自己的):

*/5  *  *  *  * php -f /opt/wwwroot/nextcloud/cron.php

  回到后台修改计划任务方式为Cron:

img

  接下来是MySQL的性能调优,编辑:

nano /etc/mysql/conf.d/mysql.cnf

  在这个文件内添加如下内容,注意是mysqld,不是mysql,你可以在这个文件内把mysql这一段删除再加入下面的内容:

[mysqld]
innodb_buffer_pool_size=1G
innodb_io_capacity=4000

  重启Mariadb:

systemctl restart mariadb.service

  最后调整PHP的进程数:

nano /etc/php/7.3/fpm/pool.d/www.conf

  按照官方的推荐应该修改为:

pm = dynamic
pm.max_children = 120
pm.start_servers = 12
pm.min_spare_servers = 6
pm.max_spare_servers = 18

  修改位置如图:

img

  重启PHP-FPM:

systemctl restart php7.3-fpm.service

  至此已经完成了全部操作,现在开始享受一个完美的Nextcloud网盘啦~

— 补充:OCC命令 —


  最后补充一点Nextcloud的OCC操作:(用于更新或者扫描文件)

  在站点路径下(例如本文是/opt/wwwroot/nextcloud/),即可运行OCC命令:

sudo -u www-data php occ

  示例如下:

img

  更新命令:

sudo -u www-data php occ upgrade

  完成后打开网页如果仍然显示处于维护操作中,输入下列命令解除锁定

sudo -u www-data php occ maintenance:mode --off

  不过还是要提示一下,因为Nextcloud有些臃肿,所以一般没事别瞎球升级23333


  下期预告:Aria+AriaNG搭建指南

Tags: None