i，大家好，很榮幸有這個機會可以通過寫博文的方式，把這些年在后端開發過程中總結沉淀下來的經驗和設計思路分享出來

模塊化設計

根據業務場景，將業務抽離成獨立模塊，對外通過接口提供服務，減少系統復雜度和耦合度，實現可復用，易維護，易拓展

項目中實踐例子：

Before：

在返還購APP里有個【我的紅包】的功能，用戶的紅包數據來自多個業務，如：邀請新用戶注冊領取100元紅包，大促活動雙倍紅包，等各種活動紅包，多個活動業務都實現了一套不同規則的紅包領取和紅包獎勵發放的機制，導致紅包不可管理，不能復用，難維護難拓展

After：

• 重構紅包業務
• 紅包可后臺管理
• 紅包信息管理，可添加，可編輯，可配置紅包使用的規則，可管理用戶紅包
• 紅包獎勵發放統一處理
• 應用業務的接入只需要專注給用戶進行紅包發放即可

設計概要

Before VS After

產品有時提出的業務需求沒有往這方面去考慮，結合場景和未來拓展需要，在需求討論的時候提出模塊化設計方案，并可以協助產品進行設計

通用服務抽離

在項目開發中經常會遇到些類似的功能，但是不同的開發人員都各自實現，或者因為不能復用又重新開發一個，導致了類似功能的重復開發，所以我們需要對能夠抽離獨立服務的功能進行抽離，達到復用的效果，并且可以不斷拓展完善，節約了后續開發成本，提高開發效率，易于維護和拓展

項目中實踐例子：

Before

在業務中經常需要對用戶進行信息通知，如：短信定時通知，APP消息推送，微信通知，等

開發人員在接到需求中有通知功能的時候沒有考慮后續拓展，就接入第三方信息通知平臺，然后簡單封裝個信息通知方法，后續也有類似信息通知需求的時候，另一個開發人員發現當前這個通知方法無法滿足自己的需求，然后又自己去了解第三方平臺重新封裝了通知方法，或者后續需求加了定時通知的功能，開發人員針對業務去實現了個定時通知功能，但是只能自己業務上使用，其他業務無法接入，沒有人去做這塊功能的抽離，久而久之就演變成功能重復開發，且不易于維護和拓展

After

接觸到這種可以抽離通用服務需求的時候，就會與產品確認這種需求是否后續會存在類似的需要，然后建議這把塊需求抽離成通用服務，方便后續維護和拓展

設計概要

Before VS After

架構獨立服務

項目開發過程中有些需求是與所在項目業務無關，如：收集用戶行為習慣，收集商品曝光點擊，數據收集提供給BI進行統計報表輸出，公用拉新促活業務（柚子街和返還公用），類似這種需求，我們結合應用場景，考慮服務的獨立性，以及未來的拓展需要，架構獨立項目進行維護，在服務器上獨立分布式部署不影響現有主業務服務器資源

項目中實踐例子：

架構用戶行為跟蹤獨立服務，在開發前預估了下這個服務的請求量，并會有相對大量的并發請求

架構方案：

• 項目搭建選擇用nodejs來做服務端
• 單進程，基于事件驅動和無阻塞I/O，所以非常適合處理并發請求
• 負載均衡：cluster模塊/PM2
• 架構nodejs獨立服務
• 提供服務接口給客戶端
• 接口不直接DB操作，保證并發下的穩定性
• 數據異步入庫
• 通過程序把數據從：消息隊列=>mysql
• nodejs+express+redis(list)/mq+mysql

用戶行為跟蹤服務的服務架構圖

高并發優化

高并發除了需要對服務器進行垂直擴展和水平擴展之外，作為后端開發可以通過高并發優化，保證業務在高并發的時候能夠穩定的運行，避免業務停滯帶來的損失，給用戶帶來不好的體驗

緩存：

• 服務端緩存
• 內存數據庫
• redis
• memcache
• 方式
• 優先緩存
• 穿透DB問題
• 只讀緩存
• 更新/失效刪除
• 注意
• 內存數據庫的分配的內存容量有限，合理規劃使用，濫用最終會導致內存空間不足
• 緩存數據需要設置過期時間，無效/不使用的數據自動過期
• 壓縮數據緩存數據，不使用字段不添加到緩存中
• 根據業務拆分布式部署緩存服務器
• 客戶端緩存
• 方式
• 客戶端請求數據接口，緩存數據和數據版本號，并且每次請求帶上緩存的數據版本號
• 服務端根據上報的數據版本號與數據當前版本號對比
• 版本號一樣不返回數據列表，版本號不一樣返回最新數據和最新版本號
• 場景：
• 更新頻率不高的數據

服務端緩存架構圖

異步

異步編程

• 方式：
• 多線程編程
• nodejs異步編程
• 場景：
• 參與活動成功后進行短信通知
• 非主業務邏輯流程需要的操作，允許異步處理其他輔助業務，等

業務異步處理

• 方式
• 業務接口將客戶端上報的數據PUSH到消息隊列（MQ中間件），然后就響應結果給用戶
• 編寫獨立程序去訂閱消息隊列，異步處理業務
• 場景：
• 大促活動整點搶限量紅包
• 參與成功后委婉提示：預計X天后進行紅包發放
• 并發量比較大的業務，且沒有其他更好的優化方案，業務允許異步處理
• 注意：
• 把控隊列消耗的進度
• 保證冪等性和數據最終一致性
• 缺陷：
• 犧牲用戶體驗

【業務異步處理】架構圖

【業務異步處理】除了可以在高并發業務中使用，在上面通用服務的設計里也是用這種架構方式

限流

在類秒殺的活動中通過限制請求量，可以避免超賣，超領等問題

高并發的活動業務，通過前端控流，分散請求，減少并發量

• 服務端限流
• redis 計數器
• 如：類秒殺活動
• 客戶端控流
• 通過參與活動游戲的方式
• 紅包雨/小游戲，等方式

服務降級

當服務器資源消耗已經達到一定的級別的時候，為了保證核心業務正常運行，需要丟卒保車，棄車保帥，服務降級是最后的手段，避免服務器宕機導致業務停滯帶來的損失，以及給用戶帶來不好的體驗

• 業務降級
• 從復雜服務，變成簡單服務
• 從動態交互，變成靜態頁面
• 分流到CDN
• 從CDN拉取提前備好的JSON數據
• 引導到CDN靜態頁面
• 停止服務
• 停止非核心業務，并進行委婉提示

高并發優化概要圖

防刷/防羊毛黨

大多數公司的產品設計和程序猿對于推廣活動業務的防刷意識不強，在活動業務設計和開發的過程中沒有把防刷的功能加入業務中，給那些喜歡刷活動的人創造了很多的空子 等到你發現自己被刷的時候，已經產生了不小的損失，少則幾百幾千，多則幾萬

隨著利益的誘惑，現在已經浮現了一個新的職業“刷客”，專業刷互聯網活動為生，養了N臺手機+N個手機號碼+N個微信賬號，刷到的獎勵金進行提現，刷到活動商品進行低價轉手處理，開辟了一條新的灰色產業鏈

我們要拿起武器(代碼)進行自我的防御，風控，加高門檻，通過校驗和限制減少風險發生的各種可能性，減少風險發生時造成的損失

這里列出常用套路（具體應用結合業務場景）：

校驗請求合法性

• 請求參數合法性判斷
• 請求頭校驗
• user-agent
• referer
• … …
• 簽名校驗
• 對請求參數進行簽名
• 設備限制
• IP限制
• 微信unionid/openid合法性判斷
• 驗證碼/手機短信驗證碼
• 犧牲體驗
• 自建黑名單系統過濾

業務風控

• 限制設備/微信參與次數
• 限制最多獎勵次數
• 獎池限制
• 根據具體業務場景設計… …

應對角色

• 普通用戶
• 技術用戶
• 專業刷客
• 目前還沒有很好的限制方式

防刷/防羊毛黨套路概要圖

附加

• APP/H5中簽名規則應該由客戶端童鞋開發，然后拓展API給前端JS調用，在H5發起接口請求的時候調用客戶端拓展的簽名，這樣可以避免前端JS里構造簽名規則而被發現破解

并發問題

多操作

• 場景：

當==同用戶==多次觸發點擊，或者通過模擬并發請求，就會出現多操作的問題，比如：簽到功能，一天只能簽到一次，可以獲得1積分，但是并發的情況下會出現用戶可以獲得多積分的問題

• 剖析：

簡化簽到邏輯一般是這樣的：

在此我向大家推薦一個架構學習交流群。交流學習群號：736220120

查詢是否有簽到記錄 –> 否 –> 添加今日簽到記錄 –> 累加用戶積分 –> 簽到成功

查詢是否有簽到記錄 –> 是 –> 今日已經簽到過

假設這個時候用戶A并發兩個簽到請求，這時會同時進入到 【查詢是否有簽到記錄】，然后同時返回否，就會添加兩條的簽到記錄，并且多累加積分

• 解決方案：

最理想簡單的方案，只需要在簽到記錄表添加【簽到日期】+【用戶ID】的組合唯一索引，當并發的時候只有會一條可以添加成功，其他添加操作會因為唯一約束而失敗

庫存負數

• 場景：

當==多用戶==并發點擊參與活動，如：抽獎活動，這個時候獎品只有一個庫存了，理論上只有一個用戶可以獲得，但是并發的時候往往會出現他們都成功獲得獎品，導致獎品多支出，加大了活動成本

• 剖析：

有問題的邏輯流程一般是這樣的：

中獎 –> 查詢獎品庫存 –> 有 –> 更新獎品庫存 –> 添加中獎紀錄 –> 告知中獎

中獎 –> 查詢獎品庫存 –> 無 –> 告知無中獎

假設抽獎活動，當前獎品A只有最后一個庫存，然后用戶A、B、C，同時參與活動同時中獎獎品都是A，這個時候查詢商品庫存是存在1個，就會進行更新庫存，添加中獎紀錄，然后就同時中獎了

• 解決方案：

最理想根本就不需要用多做一個庫存的SELECT獎品庫存操作，只需要UPDATE 獎品庫存-1 WHERE 獎品庫存>=1，UPDATE成功后就說明是有庫存的，然后再做后續操作，并發的時候只會有一個用戶UPDATE成功

總結：

在開發業務接口的時候需要把==同用戶==和==多用戶==并發的場景考慮進去，這樣就可以避免在并發的時候產生數據異常問題，導致成本多支出

可以使用下面的工具進行模擬并發測試：

• Apache JMeter
• Charles Advanced Repeat
• Visual Studio 性能負載

數據采集技巧（番外）

普遍方案

• 獲取平臺數據接口
• 模擬接口請求
• 數據解析過濾
• 數據構造入庫

使用selenium+Headless自動化測試框架

• 開發
• 推薦用python開發
• python+selenium+headless
• 控制請求頻率，避免被平臺限制請求
• 使用代理IP，繞過請求IP限制
• 優點
• 無需模擬接口請求
• 無法攻克數據接口模擬請求(加密簽名等)
• 接口版本頻繁變化(需要重新調研)
• 平臺接口/頁面版本變化，可以快速調整
• 只需要調整采集數據所在的HTML元素的位置(class/id)
• 可以用戶操作/選中/點擊/模擬登陸，等
• 登陸失效后可以模擬登陸
• 可以發送登陸二維碼到釘釘進行掃碼登錄
• 應用場景：
• 競品數據采集
• 淘寶商品價格和自建商品庫后臺價格監控
• 淘寶領券金額和自建商品庫后臺券金額監控
• … …

反反爬蟲

在做數據采集的過程中，有些平臺會對重要數據的請求設置反爬蟲策略，避免數據被競品挖掘和利用，以及消耗大量資源拖垮服務器， 反爬蟲和反反爬蟲是技術之間的較量，這場沒有硝煙的戰爭永不停息。（程序員何必為難程序員）在此我向大家推薦一個架構學習交流群。交流學習群號：736220120 里面會分享一些資深架構師錄制的視頻錄像：有Spring，MyBatis，Netty源碼分析，高并發、高性能、分布式、微服務架構的原理，JVM性能優化、分布式架構等這些成為架構師必備的知識體系。還能領取免費的學習資源，目前受益良多。

• 反爬蟲可以分為以下兩種
• 服務端限制
• 服務器端行請求限制，防止爬蟲進行數據請求
• 前端限制
• 前端通過CSS和HTML標簽進行干擾混淆關鍵數據，防止爬蟲輕易獲取數據
• 破解服務端限制：
• 模擬設置請求頭
• Referer
• User-Agent
• Authorization
• …..
• 破解簽名
• 簽名規則
• 在JS中找到簽名規則
• 控制請求平率
• 調整請求時間，延遲請求
• 代理IP
• 切換請求的代理IP，自建/第三方
• 登錄限制
• 帶上登錄成功后的Cookie/Authorization
• 驗證碼限制
• 識圖，基于庫/第三方
• 投毒破解
• 為了防止被投毒，需要對數據進行抽樣校驗
• 破解前端限制：
• font-face，自定義字體干擾
• 找到ttf字體文件地址，然后下載下來，使用font解析模塊包對ttf文件進行解析，與文字編碼進行映射出中文
• 偽元素隱藏式
• 在CSS里找到xxxx::before {content: “中文”;}對應的中文
• backgroud-image移量
• 通過背景圖片的position位置偏移量和圖片中的內容進行映射
• html標簽干擾
• 過濾掉干擾混淆的HTML標簽，或者只讀取有效數據的HTML標簽的內容

總結

在此我向大家推薦一個架構學習交流群。交流學習群號：736220120 里面會分享一些資深架構師錄制的視頻錄像：有Spring，MyBatis，Netty源碼分析，高并發、高性能、分布式、微服務架構的原理，JVM性能優化、分布式架構等這些成為架構師必備的知識體系。還能領取免費的學習資源，目前受益良多。

作為后端開發者，不僅是完成需求功能開發，要結合業務場景進行合理設計，架構未來，對核心業務進行壓測優化，以保證業務在并發下能夠正常運行，同時要考慮安全問題以及防刷，防羊毛黨，在編碼上避免壞代碼味道，面相抽象開發，適當使用設計模式，避免技術債

開發應該銘記于心的精句：

• 技術的存在價值，是讓技術推動業務增長，實現公司盈利增長
• 沒有最好的架構只有最適合的架構
• 開發語言只是工具，在適合的場景中使用適合的工具
• 抽象思維是從具體存在的各不相同的問題當中洞察問題的本質，理解產品需求的深層次模型，治本而不是治標
• 知識很重要，她雖然不能直接給你財富，但是可以給你很多機會，活到老學到老

extcloud 是一款自由 (開源) 的類 Dropbox 軟件，由 ownCloud 分支演化形成。Nextcloud 并非只是 Dropbox 的克隆，它還提供了很多附加特性，如日歷、聯系人、計劃任務以及流媒體 Ampache。 -- Muhammad Arul

本文導航

• -步驟 1 - 在 CentOS 7 中安裝 Nginx 和 PHP7-FPM …… 04%

• -步驟 2 - 配置 PHP7-FPM …… 11%

• -步驟 3 - 安裝和配置 MariaDB …… 20%

• -步驟 4 - 為 Nextcloud 生成一個自簽名 SSL 證書 …… 30%

• -步驟 5 - 下載和安裝 Nextcloud …… 36%

• -步驟 6 - 在 Nginx 中為 Nextcloud 配置虛擬主機 …… 42%

• -步驟 7 - 為 Nextcloud 配置 SELinux 和 FirewallD 規則 …… 80%

• -步驟 8 - Nextcloud 安裝 …… 90%

• -參考鏈接 …… 95%

編譯自： https://www.howtoforge.com/tutorial/how-to-install-nextcloud-with-nginx-and-php-fpm-on-centos-7/

作者： Muhammad Arul

譯者： GHLandy

Nextcloud 是一款自由 (開源) 的類 Dropbox 軟件，由 ownCloud 分支演化形成。它使用 PHP 和 JavaScript 編寫，支持多種數據庫系統，比如 MySQL/MariaDB、PostgreSQL、Oracle 數據庫和 SQLite。它可以使你的桌面系統和云服務器中的文件保持同步，Nextcloud 為 Windows、Linux、Mac、安卓以及蘋果手機都提供了客戶端支持。Nextcloud 并非只是 Dropbox 的克隆，它還提供了很多附加特性，如日歷、聯系人、計劃任務以及流媒體 Ampache。

在這篇文章中，我將向你展示如何在 CentOS 7 服務器中安裝和配置最新版本的 Nextcloud 10。我會通過 Nginx 和 PHP7-FPM 來運行 Nextcloud，同時使用 MariaDB 做為數據庫系統。

先決條件

• 64 位的 CentOS 7

• 服務器的 Root 權限

步驟 1 - 在 CentOS 7 中安裝 Nginx 和 PHP7-FPM

在開始安裝 Nginx 和 php7-fpm 之前，我們還學要先添加 EPEL 包的倉庫源。使用如下命令：

yum -y install epel-release

現在開始從 EPEL 倉庫來安裝 Nginx：

yum -y install nginx

然后我們還需要為 php7-fpm 添加另外一個倉庫。互聯網中有很個遠程倉庫提供了 PHP 7 系列包，我在這里使用的是 webtatic。

添加 PHP7-FPM webtatic 倉庫：

rpm -Uvh https://mirror.webtatic.com/yum/el7/webtatic-release.rpm

然后就是安裝 PHP7-FPM 以及 Nextcloud 需要的一些包。

yum -y install php70w-fpm php70w-cli php70w-gd php70w-mcrypt php70w-mysql php70w-pear php70w-xml php70w-mbstring php70w-pdo php70w-json php70w-pecl-apcu php70w-pecl-apcu-devel

最后，從服務器終端里查看 PHP 的版本號，以便驗證 PHP 是否正確安裝。

php -v

查看 PHP 版本號

步驟 2 - 配置 PHP7-FPM

在這一個步驟中，我們將配置 php-fpm 與 Nginx 協同運行。Php7-fpm 將使用 nginx 用戶來運行，并監聽 9000 端口。

使用 vim 編輯默認的 php7-fpm 配置文件。

vim /etc/php-fpm.d/www.conf

在第 8 行和第 10行，user 和 group 賦值為 nginx。

user = nginx

group = nginx

在第 22 行，確保 php-fpm 運行在指定端口。

listen = 127.0.0.1:9000

取消第 366-370 行的注釋，啟用 php-fpm 的系統環境變量。

env[HOSTNAME] = $HOSTNAME

env[PATH] = /usr/local/bin:/usr/bin:/bin

env[TMP] = /tmp

env[TMPDIR] = /tmp

env[TEMP] = /tmp

保存文件并退出 vim 編輯器。

下一步，就是在 /var/lib/ 目錄下創建一個新的文件夾 session，并將其擁有者變更為 nginx 用戶。

mkdir -p /var/lib/php/session

chown nginx:nginx -R /var/lib/php/session/

然后啟動 php-fpm 和 Nginx，并且將它們設置為隨開機啟動的服務。

sudo systemctl start php-fpm

sudo systemctl start nginx

sudo systemctl enable php-fpm

sudo systemctl enable nginx

啟動 php-fpm 和 Nginx

PHP7-FPM 配置完成

步驟 3 - 安裝和配置 MariaDB

我這里使用 MariaDB 作為 Nextcloud 的數據庫。可以直接使用 yum 命令從 CentOS 默認遠程倉庫中安裝 mariadb-server 包。

yum -y install mariadb mariadb-server

啟動 MariaDB，并將其添加到隨系統啟動的服務中去。

systemctl start mariadb

systemctl enable mariadb

現在開始配置 MariaDB 的 root 用戶密碼。

mysql_secure_installation

鍵入 Y ，然后設置 MariaDB 的 root 密碼。

Set root password? [Y/n] Y

New password:

Re-enter new password:

Remove anonymous users? [Y/n] Y

Disallow root login remotely? [Y/n] Y

Remove test database and access to it? [Y/n] Y

Reload privilege tables now? [Y/n] Y

這樣就設置好了密碼，現在登錄到 mysql shell 并為 Nextcloud 創建一個新的數據庫和用戶。這里我創建名為 nextcloud_db 的數據庫以及名為 nextclouduser 的用戶，用戶密碼為 nextclouduser@。當然了，要給你自己的系統選用一個更安全的密碼。

mysql -u root -p

輸入 MariaDB 的 root 密碼，即可登錄 mysql shell。

輸入以下 mysql 查詢語句來創建新的數據庫和用戶。

create database nextcloud_db;

create user nextclouduser@localhost identified by 'nextclouduser@';

grant all privileges on nextcloud_db.* to nextclouduser@localhost identified by 'nextclouduser@';

flush privileges;

為 Nextcloud 創建一個新的數據庫和用戶

nextcloud_db 數據庫和 nextclouduser 數據庫用戶創建完成

步驟 4 - 為 Nextcloud 生成一個自簽名 SSL 證書

在教程中，我會讓客戶端以 https 連接來運行 Nextcloud。你可以使用諸如 let's encrypt 等免費 SSL 證書，或者是自己創建自簽名 (self signed) SSL 證書。這里我使用 OpenSSL 來創建自己的自簽名 SSL 證書。

為 SSL 文件創建新目錄：

mkdir -p /etc/nginx/cert/

如下，使用 openssl 生成一個新的 SSL 證書。

openssl req -new -x509 -days 365 -nodes -out /etc/nginx/cert/nextcloud.crt -keyout /etc/nginx/cert/nextcloud.key

最后使用 chmod 命令將所有證書文件的權限設置為 600。

chmod 700 /etc/nginx/cert

chmod 600 /etc/nginx/cert/*

為 Nextcloud 生成一個自簽名 SSL 證書

步驟 5 - 下載和安裝 Nextcloud

我直接使用 wget 命令下載 Nextcloud 到服務器上，因此需要先行安裝 wget。此外，還需要安裝 unzip 來進行解壓。使用 yum 命令來安裝這兩個程序。

yum -y install wget unzip

先進入 /tmp 目錄，然后使用 wget 從官網下載最新的 Nextcloud 10。

cd /tmp

wget https://download.nextcloud.com/server/releases/nextcloud-10.0.2.zip

解壓 Nextcloud，并將其移動到 /usr/share/nginx/html/ 目錄。

unzip nextcloud-10.0.2.zip

mv nextcloud/ /usr/share/nginx/html/

下一步，轉到 Nginx 的 web 根目錄為 Nextcloud 創建一個 data 文件夾。

cd /usr/share/nginx/html/

mkdir -p nextcloud/data/

變更 nextcloud 目錄的擁有者為 nginx 用戶和組。

chown nginx:nginx -R nextcloud/

步驟 6 - 在 Nginx 中為 Nextcloud 配置虛擬主機

在步驟 5 我們已經下載好了 Nextcloud 源碼，并配置好了讓它運行于 Nginx 服務器中，但我們還需要為它配置一個虛擬主機。在 Nginx 的 conf.d 目錄下創建一個新的虛擬主機配置文件 nextcloud.conf。

cd /etc/nginx/conf.d/

vim nextcloud.conf

將以下內容粘貼到虛擬主機配置文件中：

upstream php-handler {

server 127.0.0.1:9000;

#server unix:/var/run/php5-fpm.sock;

}

server {

listen 80;

server_name cloud.nextcloud.co;

# enforce https

return 301 https://$server_name$request_uri;

}

server {

listen 443 ssl;

server_name cloud.nextcloud.co;

ssl_certificate /etc/nginx/cert/nextcloud.crt;

ssl_certificate_key /etc/nginx/cert/nextcloud.key;

# Add headers to serve security related headers

# Before enabling Strict-Transport-Security headers please read into this

# topic first.

add_header Strict-Transport-Security "max-age=15768000;

includeSubDomains; preload;";

add_header X-Content-Type-Options nosniff;

add_header X-Frame-Options "SAMEORIGIN";

add_header X-XSS-Protection "1; mode=block";

add_header X-Robots-Tag none;

add_header X-Download-Options noopen;

add_header X-Permitted-Cross-Domain-Policies none;

# Path to the root of your installation

root /usr/share/nginx/html/nextcloud/;

location = /robots.txt {

allow all;

log_not_found off;

access_log off;

}

# The following 2 rules are only needed for the user_webfinger app.

# Uncomment it if you're planning to use this app.

#rewrite ^/.well-known/host-meta /public.php?service=host-meta last;

#rewrite ^/.well-known/host-meta.json /public.php?service=host-meta-json

# last;

location = /.well-known/carddav {

return 301 $scheme://$host/remote.php/dav;

}

location = /.well-known/caldav {

return 301 $scheme://$host/remote.php/dav;

}

# set max upload size

client_max_body_size 512M;

fastcgi_buffers 64 4K;

# Disable gzip to avoid the removal of the ETag header

gzip off;

# Uncomment if your server is build with the ngx_pagespeed module

# This module is currently not supported.

#pagespeed off;

error_page 403 /core/templates/403.php;

error_page 404 /core/templates/404.php;

location / {

rewrite ^ /index.php$uri;

}

location ~ ^/(?:build|tests|config|lib|3rdparty|templates|data)/ {

deny all;

}

location ~ ^/(?:\.|autotest|occ|issue|indie|db_|console) {

deny all;

}

location ~ ^/(?:index|remote|public|cron|core/ajax/update|status|ocs/v[12]|updater/.+|ocs-provider/.+|core/templates/40[34])\.php(?:$|/) {

include fastcgi_params;

fastcgi_split_path_info ^(.+\.php)(/.*)$;

fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;

fastcgi_param PATH_INFO $fastcgi_path_info;

fastcgi_param HTTPS on;

#Avoid sending the security headers twice

fastcgi_param modHeadersAvailable true;

fastcgi_param front_controller_active true;

fastcgi_pass php-handler;

fastcgi_intercept_errors on;

fastcgi_request_buffering off;

}

location ~ ^/(?:updater|ocs-provider)(?:$|/) {

try_files $uri/ =404;

index index.php;

}

# Adding the cache control header for js and css files

# Make sure it is BELOW the PHP block

location ~* \.(?:css|js)$ {

try_files $uri /index.php$uri$is_args$args;

add_header Cache-Control "public, max-age=7200";

# Add headers to serve security related headers (It is intended to

# have those duplicated to the ones above)

# Before enabling Strict-Transport-Security headers please read into

# this topic first.

add_header Strict-Transport-Security "max-age=15768000;

includeSubDomains; preload;";

add_header X-Content-Type-Options nosniff;

add_header X-Frame-Options "SAMEORIGIN";

add_header X-XSS-Protection "1; mode=block";

add_header X-Robots-Tag none;

add_header X-Download-Options noopen;

add_header X-Permitted-Cross-Domain-Policies none;

# Optional: Don't log access to assets

access_log off;

}

location ~* \.(?:svg|gif|png|html|ttf|woff|ico|jpg|jpeg)$ {

try_files $uri /index.php$uri$is_args$args;

# Optional: Don't log access to other assets

access_log off;

}

}

保存文件并退出 vim。

下載測試以下該 Nginx 配置文件是否有錯誤，沒有的話就可以重啟服務了。

nginx -t

systemctl restart nginx

在 Nginx 中為 Nextcloud 配置虛擬主機

步驟 7 - 為 Nextcloud 配置 SELinux 和 FirewallD 規則

本教程中，我們將以強制模式運行 SELinux，因此需要一個 SELinux 管理工具來為 Nextcloud 配置 SELinux。

使用以下命令安裝 SELinux 管理工具。

yum -y install policycoreutils-python

然后以 root 用戶來運行以下命令，以便讓 Nextcloud 運行于 SELinux 環境之下。如果你是用的其他名稱的目錄，記得將 nextcloud 替換掉。

semanage fcontext -a -t httpd_sys_rw_content_t '/usr/share/nginx/html/nextcloud/data(/.*)?'

semanage fcontext -a -t httpd_sys_rw_content_t '/usr/share/nginx/html/nextcloud/config(/.*)?'

semanage fcontext -a -t httpd_sys_rw_content_t '/usr/share/nginx/html/nextcloud/apps(/.*)?'

semanage fcontext -a -t httpd_sys_rw_content_t '/usr/share/nginx/html/nextcloud/assets(/.*)?'

semanage fcontext -a -t httpd_sys_rw_content_t '/usr/share/nginx/html/nextcloud/.htaccess'

semanage fcontext -a -t httpd_sys_rw_content_t '/usr/share/nginx/html/nextcloud/.user.ini'

restorecon -Rv '/usr/share/nginx/html/nextcloud/'

接下來，我們要啟用 firewalld 服務，同時為 Nextcloud 開啟 http 和 https 端口。

啟動 firewalld 并設置隨系統啟動。

systemctl start firewalld

systemctl enable firewalld

現在使用 firewall-cmd 命令來開啟 http 和 https 端口，然后重新加載防火墻。

firewall-cmd --permanent --add-service=http

firewall-cmd --permanent --add-service=https

firewall-cmd --reload

為 Nextcloud 配置 FirewallD 規則

至此，服務器配置完成。

步驟 8 - Nextcloud 安裝

打開你的 Web 瀏覽器，輸入你為 Nextcloud 設置的域名，我這里設置為 cloud.nextcloud.co，然后會重定向到安全性更好的 https 連接。

設置你的管理員用戶名和密碼，然后輸入數據驗證信息，點擊 '完成安裝 (Finish Setup)'。

Nextcloud 安裝

Nextcloud 管理面板大致如下：

Nextcloud 管理面板

Nextcloud 用戶設置：

Nextcloud 用戶設置

管理設置：

管理設置

至此，我們在 CentOS 7 服務器上通過使用 Nginx、PHP7-FPM、MariaDB 完成了 Nextcloud 的安裝。

參考鏈接

• https://docs.nextcloud.com/

譯者簡介：

GHLandy[1] —— 劃不完粉腮柳眉泣別離。

via: https://www.howtoforge.com/tutorial/how-to-install-nextcloud-with-nginx-and-php-fpm-on-centos-7/

作者：Muhammad Arul[2] 譯者：GHLandy 校對：wxy

本文由 LCTT[3] 原創編譯，Linux中國 榮譽推出

• [1]: GHLandy - http://GHLandy.com

• [2]: Muhammad Arul - https://www.howtoforge.com/tutorial/how-to-install-nextcloud-with-nginx-and-php-fpm-on-centos-7/

• [3]: LCTT - https://github.com/LCTT/TranslateProject