nierdz.nextcloud
Nextcloud
Ten ansible rol instaluję nextcloud w stylu capistrano. Oznacza to, że struktura folderów wygląda następująco:
/var/wwww
└── nextcloud.local
├── current -> /var/www/nextcloud.local/releases/20.0.7
│ └── nextcloud
│ └── config
│ └── config.php -> /var/www/shared/config.php
├── data
│ ├── admin
│ ├── appdata_somerandomshit
│ ├── files_external
│ ├── index.html
│ └── nextcloud.log
├── releases
│ ├── 20.0.5
│ ├── 20.0.6
│ └── 20.0.7
└── shared
└── config.php
Na razie, ten rol obsługuje tylko MySQL jako backend. Używa redis z domyślną konfiguracją jako lokalne i rozproszone pamięci podręczne oraz do blokowania plików transakcyjnych.
Wymagania
Nextcloud potrzebuje PHP, serwera WWW oraz DBMS, aby działać. Aby spełnić te wymagania, zaleca się użycie tych 3 ról:
Dlaczego dokładnie te role? Ponieważ są dobrze utrzymywane, a niektóre zmienne z tych ról są używane w tej, ale można także korzystać z innych ról.
W produkcji będziesz także potrzebować certyfikatu TLS, który można uzyskać przy użyciu acme.sh.
Zmienne roli
nextcloud_version
Wersja nextcloud do zainstalowania.
Domyślnie: "29.0.1"
nextcloud_domain
Nazwa domeny do użycia.
Domyślnie: ""
nextcloud_php_user
Wszystkie pliki nextcloud będą należały do tego użytkownika. Zazwyczaj należy ustawić tę wartość na www-data.
Domyślnie: "{{ php_fpm_pool_user | default('www-data') }}"
nextcloud_php_version
Główna wersja PHP do użycia.
Domyślnie: "{{ php_default_version_debian | default('8.2') }}"
nextcloud_php_bin_path
Ścieżka do pliku wykonywalnego PHP.
Domyślnie: /usr/bin/php
nextcloud_keep_releases
Jak długo chcesz przechowywać stare wydania.
Domyślnie: "60d"
nextcloud_admin_user
Domyślny użytkownik administracyjny tworzony podczas instalacji. Po zakończeniu instalacji możesz utworzyć innego użytkownika z rolą administratora i usunąć tego.
Domyślnie: ""
nextcloud_admin_password
Hasło użytkownika nextcloud_admin_user. Zdecydowanie zaleca się używanie ansible-vault do zabezpieczenia tego hasła.
Domyślnie: ""
nextcloud_config_template
Szablon Jinja2 do użycia dla pliku config.php Nextcloud. Aby użyć własnego szablonu konfiguracyjnego, musisz:
- utworzyć katalog
templates/na tym samym poziomie co twój playbook - utworzyć plik
templates/myconfig.php.j2(wystarczy wybrać inną nazwę niż domyślny szablon) - w swoim playbooku ustawić zmienną
nextcloud_config_template: myconfig.php.j2Domyślnie:"config.php.j2"
nextcloud_instanceid
Unikalny identyfikator instancji. Wygeneruj losowy i przechowuj go tak długo, jak długo twoja instalacja będzie aktywna.
Domyślnie: ""
nextcloud_passwordsalt
Sól używana do haszowania wszystkich haseł. Zdecydowanie zaleca się używanie ansible-vault do zabezpieczenia tej wartości.
Domyślnie: ""
nextcloud_secret
Sekret używany przez nextcloud do różnych celów, np. do szyfrowania danych. Jeśli zgubisz ten ciąg, dojdzie do uszkodzenia danych. Zdecydowanie zaleca się używanie ansible-vault do zabezpieczenia tej wartości.
Domyślnie: ""
nextcloud_dbhost
Host do użycia do połączenia z bazą danych.
Domyślnie: "localhost"
nextcloud_dbname
Nazwa bazy danych nextcloud, która jest ustawiana podczas instalacji.
Domyślnie: "nextcloud"
nextcloud_dbuser
Użytkownik, którego nextcloud używa do odczytu i zapisu w bazie danych.
Domyślnie: "nextcloud"
nextcloud_dbpassword
Hasło użytkownika nextcloud_dbuser. Zdecydowanie zaleca się używanie ansible-vault do zabezpieczenia tego hasła.
Domyślnie: ""
nextcloud_deploy_to
Główny folder twojej instalacji nextcloud.
Domyślnie: "/var/www/{{ nextcloud_domain }}"
nextcloud_datadirectory
Gdzie przechowywane są pliki użytkowników.
Domyślnie: "{{ nextcloud_deploy_to }}/data"
nextcloud_php_packages
Dodatkowe pakiety PHP potrzebne do nextcloud. Domyślnie:
- php-pear
- php{{ nextcloud_php_version }}-bcmath
- php{{ nextcloud_php_version }}-bz2
- php{{ nextcloud_php_version }}-curl
- php{{ nextcloud_php_version }}-gd
- php{{ nextcloud_php_version }}-gmp
- php{{ nextcloud_php_version }}-imagick
- php{{ nextcloud_php_version }}-intl
- php{{ nextcloud_php_version }}-json
- php{{ nextcloud_php_version }}-mbstring
- php{{ nextcloud_php_version }}-mysql
- php{{ nextcloud_php_version }}-redis
- php{{ nextcloud_php_version }}-xml
- php{{ nextcloud_php_version }}-zip
nextcloud_packages
Dodatkowe pakiety potrzebne do nextcloud. Domyślnie:
- redis-server
- redis-tools
- unzip
nextcloud_apps
Lista aplikacji do zainstalowania i włączenia.
Domyślnie: []
nextcloud_no_log
Ukryj poufne dane podczas wdrażania.
Domyślnie: true
Przykład działania
Oto co powinieneś mieć w swoim playbook.yml:
- name: Konfiguruj serwery nextcloud
become: true
hosts: nextcloud
vars_files:
- vault_vars/nextcloud.yml
roles:
- {role: acme_sh, tags: [acme_sh]} (użyj czegokolwiek chcesz, aby uzyskać certyfikaty TLS)
- {role: nginx, tags: ['nginx']}
- {role: mysql, tags: ['mysql']}
- {role: php, tags: ['php']}
- {role: percona, tags: ['percona']}
- {role: nextcloud, tags: ['nextcloud']}
pre_tasks:
- name: Zainstaluj klucz sury
apt_key:
url: "https://packages.sury.org/php/apt.gpg"
state: present
- name: Dodaj repozytoria sury
apt_repository:
repo: "deb https://packages.sury.org/php/ {{ ansible_distribution_release }} main"
state: present
update_cache: true
filename: sury
- name: Skopiuj specyficzne pliki konfiguracyjne nginx
copy:
src: "{{ item }}"
dest: /etc/nginx/
owner: root
mode: 0644
with_fileglob:
- nginx/*.conf
- name: Skopiuj /etc/nginx/dh4096.pem
copy:
src: nginx/dh4096.pem
dest: /etc/nginx/dh4096.pem
owner: www-data
mode: 0400
Oto twoje zabezpieczone zmienne wewnątrz vault_vars/nextcloud.yml:
mysql_root_password_vault: vaultmeplease
nextcloud_dbpassword_vault: vaultmeplease
nextcloud_passwordsalt_vault: vaultmeplease
nextcloud_secret_vault: vaultmeplease
nextcloud_instanceid_vault: vaultmeplease
nextcloud_admin_user_vault: admin
nextcloud_admin_password_vault: vaultmeplease
I twoje zmienne grupowe w group_vars/nextcloud.yml:
# Nextcloud
nextcloud_domain: "twojadomena.com"
nextcloud_admin_user: "{{ nextcloud_admin_user_vault }}"
nextcloud_admin_password: "{{ nextcloud_admin_password_vault }}"
nextcloud_instanceid: "{{ nextcloud_instanceid_vault }}"
nextcloud_passwordsalt: "{{ nextcloud_passwordsalt_vault }}"
nextcloud_secret: "{{ nextcloud_secret_vault }}"
nextcloud_dbpassword: "{{ nextcloud_dbpassword_vault }}"
nextcloud_apps: [calendar]
# MySQL
mysql_root_password: "{{ mysql_root_password_vault }}"
mysql_bind_address: 127.0.0.1
mysql_packages:
- mariadb-client
- mariadb-server
- python-mysqldb
mysql_databases:
- name: nextcloud
encoding: utf8mb4
collation: utf8mb4_general_ci
mysql_users:
- name: nextcloud
host: "localhost"
password: "{{ nextcloud_dbpassword }}"
priv: "nextcloud.*:ALL"
state: present
# Nginx
nginx_remove_default_vhost: true
nginx_service_enabled: true
nginx_service_state: started
nginx_listen_ipv6: false
nginx_vhosts:
- listen: {{ hostvars[inventory_hostname]['ansible_default_ipv4']['address'] }}:443 ssl http2 default_server
server_name: "{{ nextcloud_domain }}"
state: "present"
root: "/var/www/{{ nextcloud_domain }}/current/nextcloud"
index: index.php
extra_parameters: |
add_header Referrer-Policy "no-referrer" always;
add_header X-Content-Type-Options "nosniff" always;
add_header X-Download-Options "noopen" always;
add_header X-Frame-Options "SAMEORIGIN" always;
add_header X-Permitted-Cross-Domain-Policies "none" always;
add_header X-Robots-Tag "none" always;
add_header X-XSS-Protection "1; mode=block" always;
ssl_certificate /root/.acme.sh/{{ nextcloud_domain }}/fullchain.cer;
ssl_certificate_key /root/.acme.sh/{{ nextcloud_domain }}/{{ nextcloud_domain }}.key;
include /etc/nginx/generic.conf;
include /etc/nginx/gzip.conf;
include /etc/nginx/security.conf;
include /etc/nginx/ssl.conf;
location = /.well-known/carddav {
return 301 $scheme://$host/remote.php/dav;
}
location = /.well-known/caldav {
return 301 $scheme://$host/remote.php/dav;
}
client_max_body_size 512M;
fastcgi_buffers 64 4K;
location / {
rewrite ^ /index.php;
}
location ~ ^\/(?:build|tests|config|lib|3rdparty|templates|data)\/ {
deny all;
}
location ~ ^\/(?:\.|autotest|occ|issue|indie|db_|console) {
deny all;
}
location ~ ^\/(?:index|remote|public|cron|core\/ajax\/update|status|ocs\/v[12]|updater\/.+|oc[ms]-provider\/.+)\.php(?:$|\/) {
fastcgi_split_path_info ^(.+?\.php)(\/.*|)$;
set $path_info $fastcgi_path_info;
try_files $fastcgi_script_name =404;
include fastcgi_params;
fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
fastcgi_param PATH_INFO $path_info;
fastcgi_param HTTPS on;
fastcgi_param modHeadersAvailable true;
fastcgi_param front_controller_active true;
fastcgi_pass 127.0.0.1:9000;
fastcgi_intercept_errors on;
fastcgi_request_buffering off;
}
location ~ ^\/(?:updater|oc[ms]-provider)(?:$|\/) {
try_files $uri/ =404;
index index.php;
}
location ~ \.(?:css|js|woff2?|svg|gif|map)$ {
try_files $uri /index.php$request_uri;
add_header Cache-Control "public, max-age=15778463";
add_header Referrer-Policy "no-referrer" always;
add_header X-Content-Type-Options "nosniff" always;
add_header X-Download-Options "noopen" always;
add_header X-Frame-Options "SAMEORIGIN" always;
add_header X-Permitted-Cross-Domain-Policies "none" always;
add_header X-Robots-Tag "none" always;
add_header X-XSS-Protection "1; mode=block" always;
access_log off;
}
location ~ \.(?:png|html|ttf|ico|jpg|jpeg|bcmap)$ {
try_files $uri /index.php$request_uri;
access_log off;
}
# PHP
php_default_version_debian: "8.2"
php_packages:
- php8.2-cli
- php8.2-fpm
php_install_recommends: false
php_enable_webserver: false
php_enable_php_fpm: true
php_enable_apc: false
php_memory_limit: "512M"
php_upload_max_filesize: "512M"
php_post_max_size: "512M"
php_date_timezone: "Europe/Paris"
php_opcache_zend_extension: "opcache.so"
php_opcache_enable: "1"
php_opcache_enable_cli: "0"
php_opcache_memory_consumption: "128"
php_opcache_interned_strings_buffer: "16"
php_opcache_max_accelerated_files: "10000"
php_opcache_max_wasted_percentage: "5"
php_opcache_validate_timestamps: "0"
php_opcache_revalidate_path: "0"
php_opcache_revalidate_freq: "1"
php_opcache_max_file_size: "0"
Dokumentacja dla deweloperów
Licencja
ansible-galaxy install nierdz.nextcloud