CentOS 7.9离线部署OnlyOffice踩坑全记录:从依赖包下载到SELinux配置的保姆级避坑指南
CentOS 7.9离线部署OnlyOffice全流程实战:从依赖包下载到SELinux配置的深度排错手册
在企业级生产环境中,离线部署文档协作平台往往面临比常规安装更复杂的挑战。本文将以CentOS 7.9为例,详细拆解OnlyOffice在完全离线环境下的部署全流程,重点解决依赖包下载、环境冲突和SELinux配置三大核心难题。不同于简单步骤罗列,我们将通过真实案例还原典型报错的排查过程,帮助运维人员建立系统化的离线部署方法论。
1. 离线环境准备与依赖包精准下载
离线部署的首要挑战是如何在有网环境中完整获取所有依赖项。传统yum install方式在无外网环境下完全失效,必须采用更精确的包下载策略。
1.1 创建本地YUM仓库镜像
在有网络连接的跳板机上执行以下操作,构建完整的离线仓库:
# 安装必要工具 yum install -y yum-utils createrepo # 创建仓库目录结构 mkdir -p /opt/offline-repo/{base,epel,onlyoffice} # 下载基础系统依赖 repotrack --download_path=/opt/offline-repo/base \ nginx postgresql libstdc++ glibc注意:使用
repotrack而非yumdownloader可以自动解决递归依赖问题,确保下载所有次级依赖包
1.2 OnlyOffice专属依赖处理
OnlyOffice对特定软件版本有严格要求,需特别注意兼容性问题:
# 下载指定版本的Java环境 repotrack --download_path=/opt/offline-repo/onlyoffice \ java-11-openjdk # 获取OnlyOffice官方RPM包 wget https://download.onlyoffice.com/install/desktop/editors/linux/onlyoffice-desktopeditors.x86_64.rpm \ -P /opt/offline-repo/onlyoffice关键版本对照表:
| 组件 | 最低要求版本 | 推荐版本 | 兼容性说明 |
|---|---|---|---|
| Nginx | 1.14+ | 1.20.1 | 需支持HTTP/2 |
| PostgreSQL | 9.6+ | 13.5 | 仅社区版 |
| Java | 11+ | 11.0.15 | 拒绝Java 8 |
1.3 制作可移植的离线安装包
将下载内容打包为可分发的归档文件:
# 生成仓库元数据 createrepo /opt/offline-repo/base createrepo /opt/offline-repo/onlyoffice # 创建完整离线包 tar czvf onlyoffice-offline-bundle-$(date +%Y%m%d).tar.gz \ -C /opt offline-repo2. 目标系统环境初始化
当离线包传输到目标机器后,环境差异往往成为安装失败的首要原因。以下是必须检查的系统状态项:
2.1 现有服务冲突检测
# 检查端口占用情况 netstat -tulnp | grep -E '80|443|5432' # 验证已有服务状态 systemctl is-active nginx postgresql常见冲突解决方案:
- Nginx冲突:修改OnlyOffice默认配置使用非80/443端口
- PostgreSQL冲突:创建独立实例或使用不同数据目录
- Java版本冲突:通过
alternatives系统管理多版本
2.2 离线仓库部署
在目标系统部署本地YUM源:
# 解压离线包 tar xzvf onlyoffice-offline-bundle-20230615.tar.gz -C /opt # 创建repo文件 cat > /etc/yum.repos.d/offline.repo <<EOF [offline-base] name=Offline Base baseurl=file:///opt/offline-repo/base enabled=1 gpgcheck=0 [offline-onlyoffice] name=Offline OnlyOffice baseurl=file:///opt/offline-repo/onlyoffice enabled=1 gpgcheck=0 EOF # 清理缓存 yum clean all yum makecache3. 核心组件安装与配置
3.1 PostgreSQL数据库部署
# 安装特定版本 yum install -y postgresql13-server # 初始化数据库 /usr/pgsql-13/bin/postgresql-13-setup initdb # 修改监听地址 sed -i "s/#listen_addresses = 'localhost'/listen_addresses = '*'/" \ /var/lib/pgsql/13/data/postgresql.conf # 启动服务 systemctl enable --now postgresql-13关键安全配置:
-- 创建专属数据库用户 CREATE USER onlyoffice WITH PASSWORD 'Complex@Password123'; CREATE DATABASE onlyoffice OWNER onlyoffice; -- 限制连接权限 REVOKE ALL ON DATABASE onlyoffice FROM PUBLIC;3.2 Nginx高级配置
针对离线环境优化Nginx配置:
server { listen 8080; server_name office.example.internal; location / { proxy_pass http://localhost:8000; proxy_http_version 1.1; proxy_set_header Upgrade $http_upgrade; proxy_set_header Connection "upgrade"; # 离线环境特别需要延长超时 proxy_read_timeout 1800s; } # 处理WASM MIME类型问题 types { application/wasm wasm; } }提示:在严格安全环境中,建议额外配置client_max_body_size和SSL证书
4. SELinux策略深度定制
完全关闭SELinux会带来安全隐患,更推荐精细化的策略调整:
4.1 问题诊断三板斧
# 查看SELinux状态 sestatus # 检查审计日志 ausearch -m avc -ts recent # 获取详细拒绝信息 sealert -a /var/log/audit/audit.log4.2 定制策略模块开发
针对OnlyOffice创建专属策略:
# 生成.te策略文件 cat > onlyoffice.te <<EOF module onlyoffice 1.0; require { type httpd_t; type postgresql_port_t; class tcp_socket name_connect; } allow httpd_t postgresql_port_t:tcp_socket name_connect; EOF # 编译并加载模块 checkmodule -M -m -o onlyoffice.mod onlyoffice.te semodule_package -o onlyoffice.pp -m onlyoffice.mod semodule -i onlyoffice.pp4.3 文件上下文修复
# 修复文档存储目录标签 semanage fcontext -a -t httpd_sys_rw_content_t "/var/www/onlyoffice_data(/.*)?" restorecon -Rv /var/www/onlyoffice_data # 永久允许Nginx非标准端口 semanage port -a -t http_port_t -p tcp 80805. 典型故障排除手册
5.1 WASM MIME类型错误
现象:文档预览界面空白,浏览器控制台报Invalid MIME type错误
解决方案:
- 确认Nginx配置包含正确的types定义
- 检查文件权限:
ls -Z /etc/nginx/mime.types - 重建Nginx缓存:
systemctl restart nginx
5.2 端口绑定失败
现象:服务启动报Address already in use错误
深度排查步骤:
# 查找占用进程 ss -ltnp 'sport = :8080' # 检查SELinux端口标签 semanage port -l | grep 8080 # 验证防火墙规则 firewall-cmd --list-ports5.3 数据库连接超时
现象:OnlyOffice服务日志显示PostgreSQL connection timeout
网络层检查:
# 测试基础连通性 psql -h 127.0.0.1 -U onlyoffice -d onlyoffice # 验证SELinux布尔值 getsebool -a | grep httpd_can_network_connect_db # 临时允许网络连接 setsebool -P httpd_can_network_connect_db 1在完成所有配置后,建议进行压力测试验证系统稳定性。使用内置文档转换任务模拟高负载场景,持续观察系统资源占用情况和错误日志。