在Ubuntu 20.04 LTS上安装部署Odoo15并设置Nginx SSL反向代理

安装odoo的方法很多,最简单的是用deb包来安装,或者使用docker来部署,当然如果你想自己定义一些东西,可以考虑源码安装方式,下面我就是用的源码安装方式。

在正式安装之前先确保你的VPS能够访问Github,以及一个域名(设置Nginx SSL代理的时候需要)。

安装依赖

第一步是安装Git 、Pip 、Node.js 和开发构建Odoo所需的工具:

sudo apt update
sudo apt install git python3-pip build-essential wget python3-dev python3-venv \
    python3-wheel libfreetype6-dev libxml2-dev libzip-dev libldap2-dev libsasl2-dev \
    python3-setuptools node-less libjpeg-dev zlib1g-dev libpq-dev \
    libxslt1-dev libldap2-dev libtiff5-dev libjpeg8-dev libopenjp2-7-dev \
    liblcms2-dev libwebp-dev libharfbuzz-dev libfribidi-dev libxcb1-dev

创建系统用户

在 root 用户下运行 Odoo 会带来安全风险。我们将创建一个新的系统用户和组,主目录为/opt/odoo15来运行 Odoo 服务。为此,请运行以下命令:

sudo useradd -m -d /opt/odoo15 -U -r -s /bin/bash odoo15

您可以随意命名用户,只要您创建一个同名的 PostgreSQL 用户即可。

安装和配置 PostgreSQL

Odoo 使用 PostgreSQL 作为数据库后端。PostgreSQL 包含在标准的 Ubuntu 存储库中。安装很简单:

sudo apt install postgresql

安装服务后,创建一个与之前创建的系统用户同名的 PostgreSQL 用户。在这个例子中,那就是odoo15:

sudo su - postgres -c "createuser -s odoo15"

安装 wkhtmltopdf

wkhtmltopdf 是一组开源命令行工具,用于将 HTML 页面渲染为 PDF 和各种图像格式。要在 Odoo 中打印 PDF 报告,您需要安装该wkhtmltox软件包。

Ubuntu 存储库中包含的 wkhtmltopdf 版本不支持页眉和页脚。Odoo 的推荐版本是 version 0.12.5。我们将从 Github 下载并安装该软件包:

sudo wget https://github.com/wkhtmltopdf/wkhtmltopdf/releases/download/0.12.5/wkhtmltox_0.12.5-1.bionic_amd64.deb

下载文件后,键入以下命令进行安装:

sudo apt install ./wkhtmltox_0.12.5-1.bionic_amd64.deb

安装和配置 Odoo 15

我们将在隔离的Python 虚拟环境中从源代码安装 Odoo 。

首先,更改为用户 “odoo15”:

sudo su - odoo15

从 GitHub 克隆 Odoo 15 源代码:

git clone https://www.github.com/odoo/odoo --depth 1 --branch 15.0 /opt/odoo15/odoo

为 Odoo 创建一个新的 Python 虚拟环境:

cd /opt/odoo15
python3 -m venv odoo-venv

激活虚拟环境:

source odoo-venv/bin/activate

Odoo 依赖项在 requirements.txt 文件中指定。使用 pip3 安装所有必需的 Python 模块:

pip3 install wheel
pip3 install -r odoo/requirements.txt
如果在安装过程中遇到任何编译错误,请确保安装了本Installing Prerequisites节中列出的所有必需依赖项。

完成后,键入以下命令停用环境:

deactivate

我们将为 第三方插件创建一个新目录和一个单独的目录:

mkdir /opt/odoo15/odoo-custom-addons

稍后我们会将这个目录添加到addons_path参数中。该参数定义了 Odoo 搜索模块的目录列表。

切换回您的sudo用户:

exit

创建一个配置文件,内容如下:

sudo vi /etc/odoo15.conf
[options]
; This is the password that allows database operations:
admin_passwd = my_admin_passwd
db_host = False
db_port = False
db_user = odoo15
db_password = False
addons_path = /opt/odoo15/odoo/addons,/opt/odoo15/odoo-custom-addons
不要忘记将 更改my_admin_passwd为更安全的内容。

创建 Systemd 单元文件

单元文件是一种配置 ini 样式的文件,其中包含有关服务的信息。

打开您的文本编辑器 并创建一个以odoo15.service以下内容命名的文件:

sudo vi /etc/systemd/system/odoo15.service
[Unit]
Description=Odoo15
Requires=postgresql.service
After=network.target postgresql.service

[Service]
Type=simple
SyslogIdentifier=odoo15
PermissionsStartOnly=true
User=odoo15
Group=odoo15
ExecStart=/opt/odoo15/odoo-venv/bin/python3 /opt/odoo15/odoo/odoo-bin -c /etc/odoo15.conf
StandardOutput=journal+console

[Install]
WantedBy=multi-user.target

通知 systemd 存在新的单元文件:

sudo systemctl daemon-reload

启动 Odoo 服务并通过运行以下命令使其在启动时启动:

sudo systemctl enable --now odoo15

验证服务是否已启动并正在运行:

sudo systemctl status odoo15

安装Nginx

sudo apt install nginx

安装 Certbot

sudo apt install certbot

生成强 Dh (Diffie-Hellman) 组

Diffie–Hellman 密钥交换 (DH) 是一种通过不安全的通信通道安全地交换加密密钥的方法。

通过键入以下命令生成一组新的 2048 位 DH 参数:

sudo openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048

您也可以使用最长 4096 位的密钥长度,但生成可能需要 30 分钟以上,具体取决于系统熵。

获取 Let’s Encrypt SSL 证书

为了获得域的 SSL 证书,我们将使用 Webroot 插件,该插件通过创建一个临时文件来验证${webroot-path}/.well-known/acme-challenge目录中请求的域。Let’s Encrypt 服务器向临时文件发出 HTTP 请求,以验证请求的域是否解析为运行 certbot 的服务器。

为了更简单,我们将把所有的 HTTP 请求映射.well-known/acme-challenge到一个目录,/var/lib/letsencrypt.

以下命令将创建目录并使其可用于 Nginx 服务器:

sudo mkdir -p /var/lib/letsencrypt/.well-known
sudo chgrp www-data /var/lib/letsencrypt
sudo chmod g+s /var/lib/letsencrypt

为了避免重复代码,我们将创建两个片段并将它们包含在所有 Nginx 服务器块文件中。

打开您的文本编辑器 并创建第一个片段letsencrypt.conf:

sudo vi /etc/nginx/snippets/letsencrypt.conf
location ^~ /.well-known/acme-challenge/ {
  allow all;
  root /var/lib/letsencrypt/;
  default_type "text/plain";
  try_files $uri =404;
}

接下来,创建第二个片段 ,ssl.conf其中包括Mozilla推荐的芯片 ,启用 OCSP 装订、HTTP 严格传输安全 (HSTS) 并强制执行少数以安全为中心的 HTTP 标头。

sudo vi /etc/nginx/snippets/ssl.conf
ssl_dhparam /etc/ssl/certs/dhparam.pem;

ssl_session_timeout 1d;
ssl_session_cache shared:SSL:10m;
ssl_session_tickets off;

ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384;
ssl_prefer_server_ciphers on;

ssl_stapling on;
ssl_stapling_verify on;
resolver 8.8.8.8 8.8.4.4 valid=300s;
resolver_timeout 30s;

add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
add_header X-Frame-Options SAMEORIGIN;
add_header X-Content-Type-Options nosniff;

创建letsencrypt.conf代码段后,打开域服务器阻止文件并包含如下所示的代码段:

sudo vi /etc/nginx/sites-available/example.com.conf
server {
  listen 80;
  server_name example.com www.example.com;

  include snippets/letsencrypt.conf;
}

要启用新的服务器块,请创建从文件到sites-enabled目录的符号链接:

sudo ln -s /etc/nginx/sites-available/example.com.conf /etc/nginx/sites-enabled/

重新启动 Nginx 服务 以使更改生效:

sudo systemctl restart nginx

您现在可以使用 webroot 插件运行 Certbot 并通过发出以下命令获取 SSL 证书文件:

sudo certbot certonly --agree-tos --email [email protected] --webroot -w /var/lib/letsencrypt/ -d example.com -d www.example.com

如果成功获取 SSL 证书,certbot 将打印以下消息:

IMPORTANT NOTES:
 - Congratulations! Your certificate and chain have been saved at:
   /etc/letsencrypt/live/example.com/fullchain.pem
   Your key file has been saved at:
   /etc/letsencrypt/live/example.com/privkey.pem
   Your cert will expire on 2020-10-18. To obtain a new or tweaked
   version of this certificate in the future, simply run certbot
   again. To non-interactively renew *all* of your certificates, run
   "certbot renew"
 - Your account credentials have been saved in your Certbot
   configuration directory at /etc/letsencrypt. You should make a
   secure backup of this folder now. This configuration directory will
   also contain certificates and private keys obtained by Certbot so
   making regular backups of this folder is ideal.
 - If you like Certbot, please consider supporting our work by:

   Donating to ISRG / Let's Encrypt:   https://letsencrypt.org/donate
   Donating to EFF:                    https://eff.org/donate-le

为Odoo15配置 SSL 反向代理

sudo vi /etc/nginx/sites-enabled/example.com.conf

以下配置设置 SSL 终止、HTTP 到 HTTPS 重定向 、WWW 到非 WWW 重定向、缓存静态文件并启用GZip 压缩。

# Odoo servers
upstream odoo {
 server 127.0.0.1:8069;
}

upstream odoochat {
 server 127.0.0.1:8072;
}

# HTTP -> HTTPS
server {
    listen 80;
    server_name www.example.com example.com;

    include snippets/letsencrypt.conf;
    return 301 https://example.com$request_uri;
}

# WWW -> NON WWW
server {
    listen 443 ssl http2;
    server_name www.example.com;

    ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;
    ssl_trusted_certificate /etc/letsencrypt/live/example.com/chain.pem;
    include snippets/ssl.conf;
    include snippets/letsencrypt.conf;

    return 301 https://example.com$request_uri;
}

server {
    listen 443 ssl http2;
    server_name example.com;

    proxy_read_timeout 720s;
    proxy_connect_timeout 720s;
    proxy_send_timeout 720s;

    # Proxy headers
    proxy_set_header X-Forwarded-Host $host;
    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    proxy_set_header X-Forwarded-Proto $scheme;
    proxy_set_header X-Real-IP $remote_addr;

    # SSL parameters
    ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;
    ssl_trusted_certificate /etc/letsencrypt/live/example.com/chain.pem;
    include snippets/ssl.conf;
    include snippets/letsencrypt.conf;

    # log files
    access_log /var/log/nginx/odoo.access.log;
    error_log /var/log/nginx/odoo.error.log;

    # Handle longpoll requests
    location /longpolling {
        proxy_pass http://odoochat;
    }

    # Handle / requests
    location / {
       proxy_redirect off;
       proxy_pass http://odoo;
    }

    # Cache static files
    location ~* /web/static/ {
        proxy_cache_valid 200 90m;
        proxy_buffering on;
        expires 864000;
        proxy_pass http://odoo;
    }

    # Gzip
    gzip_types text/css text/less text/plain text/xml application/xml application/json application/javascript;
    gzip on;
}

完成后,重新启动 Nginx 服务:

sudo systemctl restart nginx

告诉 Odoo 启用多处理并使用代理和更改绑定接口

默认情况下,Odoo 在多线程模式下工作。对于生产部署,建议更改为多处理服务器,因为它可以提高稳定性并更好地利用系统资源。

要启用多处理,您需要编辑 Odoo 配置并设置非零数量的工作进程。worker 的数量是根据系统中 CPU 内核的数量和可用的 RAM 内存计算的。

根据官方的Odoo 文档 ,要计算工人数量和所需的RAM 内存 大小,您可以使用以下公式和假设:

工人数计算

理论最大worker数=(system_cpus * 2)+ 1
1 个工人可以服务 ~= 6 个并发用户
Cron 工作者也需要 CPU
RAM内存大小计算

我们会认为所有请求中有 20% 是重请求,80% 是轻请求。大量请求使用大约 1 GB 的 RAM,而较轻的请求使用大约 150 MB 的 RAM
需要的内存 = number_of_workers * ( (light_worker_ratio * light_worker_ram_estimation) + (heavy_worker_ratio * heavy_worker_ram_estimation) )
如果您不知道系统上有多少 CPU,请使用以下grep 命令:

grep -c ^processor /proc/cpuinfo

假设您有一个具有 4 个 CPU 内核、8 GB RAM 内存和 30 个并发 Odoo 用户的系统。

30 users / 6 = 5 (5 是理论所需的工人数量)
(4 * 2) + 1 = 9 ( 9 是理论最大工人数)
根据上面的计算,您可以使用 5 个工人 + 1 个工人作为 cron 工人,总共 6 个工人。

根据worker数量计算RAM内存消耗:

RAM = 6 * ((0.8150) + (0.21024)) ~= 2 GB of RAM
计算表明,Odoo 安装将需要大约 2GB 的 RAM。

默认情况下,Odoo 服务器侦听8069所有接口上的端口。要禁用对 Odoo 实例的直接访问,您可以阻止8069所有公共接口的端口或强制 Odoo 仅侦听本地接口。

我们修改Odoo的设置文件为下面就行

sudo vi /etc/odoo15.conf
proxy_mode = True
xmlrpc_interface = 127.0.0.1
netrpc_interface = 127.0.0.1
limit_memory_hard = 2684354560
limit_memory_soft = 2147483648
limit_request = 8192
limit_time_cpu = 600
limit_time_real = 1200
max_cron_threads = 1
workers = 5

重启 Odoo 服务以使更改生效:

sudo systemctl restart odoo15

如果想以后方便迁移以及一台机器上运行多个Odoo实例可以看我写的另外一篇如何用docker部署odoo

类似文章

发表评论

您的电子邮箱地址不会被公开。