一、更新系统

1、和更新源同步

1
sudo apt update

2、显示出哪些软件可以更新

1
sudo apt list --upgradable

3、进行更新

1
sudo apt upgrade -y

4、也可以直接用复合命令更新

1
sudo apt update && sudo apt upgrade -y

二、安装 Docker

按照 官方文档 安装 docker

2.1、卸载旧版本

运行以下命令以卸载所有冲突的软件包

1
for pkg in docker.io docker-doc docker-compose podman-docker containerd runc; do sudo apt-get remove $pkg; done

2.2、使用 apt 存储库安装

在新主机上首次安装 Docker 引擎之前,您需要 需要设置 Docker 存储库。之后,您可以安装和更新存储库中的 Docker

1、更新软件包索引并安装软件包以允许使用 基于 HTTPS 的存储库

1
sudo apt-get update
1
sudo apt-get install ca-certificates curl gnupg

2、添加 Docker 的官方 GPG 密钥

1
sudo install -m 0755 -d /etc/apt/keyrings
1
curl -fsSL https://download.docker.com/linux/debian/gpg | sudo gpg --dearmor -o /etc/apt/keyrings/docker.gpg
1
sudo chmod a+r /etc/apt/keyrings/docker.gpg

3、使用以下命令设置存储库

1
2
3
4
echo \
  "deb [arch="$(dpkg --print-architecture)" signed-by=/etc/apt/keyrings/docker.gpg] https://download.docker.com/linux/debian \
  "$(. /etc/os-release && echo "$VERSION_CODENAME")" stable" | \
  sudo tee /etc/apt/sources.list.d/docker.list > /dev/null

4、更新包索引

1
sudo apt-get update

2.3、安装 Docker 引擎

安装 Docker Engine、containerd 和 Docker Compose,要安装最新版本,请运行:

1
sudo apt-get install docker-ce docker-ce-cli containerd.io docker-buildx-plugin docker-compose-plugin

三、安装 nginx

3.1、安装 nginx

1、安装必备组件

1
sudo apt install curl gnupg2 ca-certificates lsb-release debian-archive-keyring

2、导入官方 nginx 签名密钥,以便 apt 可以验证软件包真实性。

获取密钥

1
2
curl https://nginx.org/keys/nginx_signing.key | gpg --dearmor \
    | sudo tee /usr/share/keyrings/nginx-archive-keyring.gpg >/dev/null

3、验证下载的文件是否包含正确的密钥

1
gpg --dry-run --quiet --no-keyring --import --import-options import-show /usr/share/keyrings/nginx-archive-keyring.gpg

4、输出应包含完整指纹,如下所示:573BFD6B3D8FBC641079A6ABABF5BD827BD9BF62

1
2
3
pub   rsa2048 2011-08-19 [SC] [expires: 2024-06-14]
      573BFD6B3D8FBC641079A6ABABF5BD827BD9BF62
uid                      nginx signing key <signing-key@nginx.com>

如果指纹不同,请删除该文件。

5、将 nginx 的稳定源加入系统

1
2
3
echo "deb [signed-by=/usr/share/keyrings/nginx-archive-keyring.gpg] \
http://nginx.org/packages/debian `lsb_release -cs` nginx" \
    | sudo tee /etc/apt/sources.list.d/nginx.list

6、设置 nginx 官方源的优先级高于 Debian 系统的官方仓库

1
2
echo -e "Package: *\nPin: origin nginx.org\nPin: release o=nginx\nPin-Priority: 900\n" \
    | sudo tee /etc/apt/preferences.d/99nginx

7、更新源,并安装 nginx

1
sudo apt update
1
sudo apt install nginx

8、查看状态,启动 nginx

安装好的 nginx 默认是 dead 状态,需要启动,并设置开机启动。

  • 查看nginx服务的状态
1
systemctl status nginx
  • 启动nginx服务
1
sudo systemctl start nginx
  • 设置nginx开机启动
1
sudo systemctl enable nginx
  • 确认nginx服务的启动状态
1
systemctl status nginx
  • 相关命令
1
2
3
4
5
6
7
8
sudo nginx -V                       <-- 查看nginx的编译参数
cat /etc/nginx/nginx.conf           <-- 查看nginx的配置文件
cat /etc/nginx/conf.d/default.conf  <-- 还是nginx的配置文件
systemctl status nginx              <-- 查看nginx服务的状态
sudo systemctl start nginx          <-- 启动nginx服务
sudo systemctl enable nginx         <-- 设置nginx开机启动
systemctl status nginx              <-- 确认nginx服务的启动状态
ip a                                <-- 查看本机IP地址

3.2、 新建证书文件夹 cert

1
cd /etc/nginx
1
mkdir cert
1
cd
  • 将证书上传到 cert 文件夹

使用 Xftp 将下载好的证书上传到证书文件夹。

3.3、默认 nginx 配置文件

1、位于 /etc/nginx/conf.d/default.conf 的配置可以修改如下,开启 gzip,也可以按需开启缓存。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
server {
    listen       80;
    server_name  localhost;

    #access_log  /var/log/nginx/host.access.log  main;

    location / {
        root   /usr/share/nginx/html;
        index  index.html index.htm;
    }

    #error_page  404              /404.html;

    # redirect server error pages to the static page /50x.html
    #
    error_page   500 502 503 504  /50x.html;
    location = /50x.html {
        root   /usr/share/nginx/html;
    }
    
    # proxy the PHP scripts to Apache listening on 127.0.0.1:80
    #
    #location ~ \.php$ {
    #    proxy_pass   http://127.0.0.1;
    #}

    # pass the PHP scripts to FastCGI server listening on 127.0.0.1:9000
    #
    #location ~ \.php$ {
    #    root           html;
    #    fastcgi_pass   127.0.0.1:9000;
    #    fastcgi_index  index.php;
    #    fastcgi_param  SCRIPT_FILENAME  /scripts$fastcgi_script_name;
    #    include        fastcgi_params;
    #}

    # deny access to .htaccess files, if Apache's document root
    # concurs with nginx's one
    #
    #location ~ /\.ht {
    #    deny  all;
    #}

    # 开启gzip
    gzip on;

    # 启用gzip压缩的最小文件,小于设置值的文件将不会压缩
    gzip_min_length 1k; # 开始压缩的最小长度(再小就不要压缩了,意义不在)

    # gzip 压缩级别,1-9,数字越大压缩的越好,也越占用CPU时间,后面会有详细说明
    gzip_comp_level 1;

    # 进行压缩的文件类型。javascript有多种形式。其中的值可以在 mime.types 文件中找到。
    gzip_types text/plain application/javascript application/x-javascript text/css application/xml text/javascript application/x-httpd-php image/jpeg image/gif image/png application/vnd.ms-fontobject font/ttf font/opentype font/x-woff image/svg+xml;

    # 是否在http header中添加Vary: Accept-Encoding,建议开启
    gzip_vary on;

    # 禁用IE 6 gzip
    gzip_disable "MSIE [1-6]\.";  #正则匹配UA,配置禁用gzip条件。此处表示ie6及以下不启用gzip(因为ie低版本不支持)

    # 设置压缩所需要的缓冲区大小     
    gzip_buffers 32 4k; # 缓冲(压缩在内存中缓冲几块? 每块多大?)

    # 设置gzip压缩针对的HTTP协议版本,没做负载的可以不用
    # gzip_http_version 1.0;
    # gzip_http_version 1.1; # 开始压缩的http协议版本(可以不设置,目前几乎全是1.1协议)

    # 开启缓存
    # 缓存图片
    # location ~* ^.+\.(ico|gif|jpg|jpeg|png)$ { 
    #     access_log   off; 
    #     expires      2d;
    # }

    #缓存js、css、视频文件
    # location ~* ^.+\.(css|js|txt|xml|swf|wav)$ {
    #     access_log   off;
    #     expires      24h;
    # }

    # 缓存html类型文件
    # location ~* ^.+\.(html|htm)$ {
    #     expires      1h;
    # }

    # 缓存字体文件,配合gzip更好
    # location ~* ^.+\.(eot|ttf|otf|woff|svg)$ {
    #     access_log   off;
    #     expires 2d;
    # }

    # 格式
    # expires 30s;
    # expires 30m;
    # expires 2h;
    # expires 30d;
    # expires max;

}

2、验证并重载 nginx 配置

1
nginx -t
1
nginx -s reload

四、安装 MariaDB

4.1、查看版本

MySQL 在默认的 Debian 存储库中不可用。 MariaDBDebian 11 中的默认数据库。

MariaDBMySQL 的直接替代品,完全兼容 MySQL,支持所有标准的 MySQL 功能,包括 API 和命令行等。

通过以下命令,我们可以检查 Debian 11 官方源提供的 mariadb-server 是哪个版本的。

1
apt-cache search mariadb-server
1
apt-cache show mariadb-server

4.2、安装 MariaDB

  • 更新源
1
sudo apt update
  • 安装 mariadb-server
1
sudo apt install mariadb-server
  • 确认 mariadb 已启动
1
systemctl status mariadb
  • 执行数据库自带的安全脚本,按提示进行配置
1
sudo mysql_secure_installation

输出内容如下:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
NOTE: RUNNING ALL PARTS OF THIS SCRIPT IS RECOMMENDED FOR ALL MariaDB
      SERVERS IN PRODUCTION USE!  PLEASE READ EACH STEP CAREFULLY!

In order to log into MariaDB to secure it, we'll need the current
password for the root user. If you've just installed MariaDB, and
haven't set the root password yet, you should just press enter here.

Enter current password for root (enter for none): 
OK, successfully used password, moving on...

Setting the root password or using the unix_socket ensures that nobody
can log into the MariaDB root user without the proper authorisation.

You already have your root account protected, so you can safely answer 'n'.

Switch to unix_socket authentication [Y/n] n
 ... skipping.
 
//Unix socket 认证是另一种保护 MariaDB 数据库的方法。Unix socket 认证允许您在不输入密码的情况下连接到 MariaDB。相反,您使用位于服务器上的特殊套接字文件连接到 MariaDB。

//Unix socket 认证比使用密码更安全,因为它不需要您将密码传输到网络上。但是,重要的是要注意,unix socket 认证仅适用于您从同一台机器连接到 MariaDB 服务器的情况。

//如果您不确定使用哪种方法,一般建议设置 root 用户密码并使用 mysql 客户端连接到 MariaDB。这将为您提供安全性和便利性的良好平衡。

You already have your root account protected, so you can safely answer 'n'.

Change the root password? [Y/n] y     //修改 root 用户密码,输入 y 并回车或直接回车
New password: 
Re-enter new password: 
Password updated successfully!
Reloading privilege tables..
 ... Success!

By default, a MariaDB installation has an anonymous user, allowing anyone
to log into MariaDB without having to have a user account created for
them.  This is intended only for testing, and to make the installation
go a bit smoother.  You should remove them before moving into a
production environment.

Remove anonymous users? [Y/n] y     //是否删除匿名用户,建议删除
 ... Success!
//匿名用户是不需要密码即可登录 MariaDB 的用户。删除匿名用户可以帮助您防止未经授权的访问。

Normally, root should only be allowed to connect from 'localhost'.  This
ensures that someone cannot guess at the root password from the network.

Disallow root login remotely? [Y/n] y     //是否禁止 root 远程登录,建议禁止
 ... Success!
//默认情况下,root 用户可以从任何主机远程登录 MariaDB。禁止 root 用户远程登录可以帮助您防止未经授权的访问。

By default, MariaDB comes with a database named 'test' that anyone can
access.  This is also intended only for testing, and should be removed
before moving into a production environment.

Remove test database and access to it? [Y/n] y     //是否删除test数据库,y
 - Dropping test database...
 ... Success!
 - Removing privileges on test database...
 ... Success!
 //测试数据库包含一些示例数据,用于测试 MariaDB 功能。删除测试数据库和对它的访问权限可以帮助您防止数据被损坏。

Reloading the privilege tables will ensure that all changes made so far
will take effect immediately.

Reload privilege tables now? [Y/n] y     //是否重新加载权限表,y
 ... Success!
//重新加载权限表将使 MariaDB 应用程序使用新的权限设置。

Cleaning up...

All done!  If you've completed all of the above steps, your MariaDB
installation should now be secure.

Thanks for using MariaDB!
  • 设置开机启动
1
sudo systemctl enable mariadb

4.3、新建数据库和用户,并进行授权

  • 连接数据库,连接成功后,在 MariaDB [(none)]> 后输入操作命令
1
mysql -uroot -p

输出如下

1
2
3
4
5
6
7
8
9
10
11
root@iZj6cbu3y55faj33gzi8ybZ:~# mysql -uroot -p
Enter password: 
Welcome to the MariaDB monitor.  Commands end with ; or \g.
Your MariaDB connection id is 38
Server version: 10.5.19-MariaDB-0+deb11u2 Debian 11

Copyright (c) 2000, 2018, Oracle, MariaDB Corporation Ab and others.

Type 'help;' or '\h' for help. Type '\c' to clear the current input statement.

MariaDB [(none)]>
  • 修改 root 用户权限设置
1
GRANT ALL PRIVILEGES ON *.* TO 'root'@'localhost' IDENTIFIED BY 'password' WITH GRANT OPTION;
1
flush privileges;
1
exit
1
mysql -uroot -p
  • 新建数据库
1
show databases;
1
create database halodb character set utf8mb4 collate utf8mb4_bin;
  • 添加新用户
1
create user 'halo'@'localhost' identified by '123456';
  • 授权新用户拥有指定数据库的权限
1
grant all privileges on halodb.* to 'halo'@'localhost' with grant option;
  • 刷新使之立刻生效
1
flush privileges;
1
exit
  • 测试新用户连接数据库,输入上面设定好的密码
1
mysql -uhalo -p
1
show databases;
1
exit

五、部署 Halo,版本 2.9

5.1、创建容器组

5.1.1、在系统任意位置创建一个文件夹,此文档以 ~/halo 为例

1
mkdir ~/halo && cd ~/halo

5.1.2、创建 docker-compose.yaml

  • 使用 vim 工具新建文件
1
vim docker-compose.yaml
  • 创建 Halo 实例(使用已有外部数据库,MariaDB 为例)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
version: "3"

services:
  halo:
    image: halohub/halo:2.9
    container_name: halo
    restart: on-failure:3
    network_mode: "host"
    volumes:
      - ./:/root/.halo2
    command:
      # 修改为自己已有的 MySQL 配置
      - --spring.r2dbc.url=r2dbc:pool:mariadb://localhost:3306/halodb
      - --spring.r2dbc.username=halo
      - --spring.r2dbc.password=123456
      - --spring.sql.init.platform=mysql
      # 外部访问地址,请根据实际需要修改
      - --halo.external-url=http://localhost:8090/
      # 端口号 默认8090
      - --server.port=8090

5.1.3、启动 Halo 服务

1
docker compose up -d
  • 实时查看日志
1
docker compose logs -f

5.1.4、用浏览器访问 /console 即可进入 Halo 管理页面,首次启动会进入初始化页面

如果需要配置域名访问,建议先配置好反向代理以及域名解析再进行初始化。如果通过 http://ip:端口号 的形式无法访问,请到服务器厂商后台将运行的端口号添加到安全组,如果服务器使用了 Linux 面板,请检查此 Linux 面板是否有还有安全组配置,需要同样将端口号添加到安全组。

5.2、配置 nginx

5.2.1、nginx 配置

  • 将准备好的域名解析到服务器的 IP

  • 将证书上传到 cert 文件夹

使用 Xftp 将下载好的证书上传到证书文件夹。

  • nginx 配置上传到 /etc/nginx/conf.d 文件夹
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
upstream halo {
  server 127.0.0.1:8090;
}

server {

    listen 80;
    listen [::]:80;

    server_name test.ysbzcn.com;

    return 301 https://$host$request_uri;

}

server {

    listen 443 ssl http2;
    listen [::]:443 ssl http2;

    server_name test.ysbzcn.com; #你的域名,已经解析到服务器ip

  #HTTP 重定向到 HTTPS
    # if ($ssl_protocol = "") { return 301 https://$host$request_uri; }

  #判断 $host 如果不是设置好的域名,就返回403页面,可以禁止 IP 访问 Web。
    if ($host !~ (test.ysbzcn.com)$){
      return 403;
   }

  # IP 访问跳转至域名,将域名替换成自己的。就是判断 $host 如果不是域名结尾的,就重定向至该域名。
  #   if ($host !~ (test.ysbzcn.com)$){
  #     rewrite ^ https://ad.ysbzcn.com$request_uri?;
  #  }

  # IP 访问跳转至域名,将 IP 和域名替换成自己的。判断是 IP 的,就重定向。
  #   if ($host ~ 192.168.1.1){
  #   rewrite ^ https://www.yourdomain.com$request_uri?;
  #  }


  #证书位置
    ssl_certificate      /etc/nginx/cert/test.ysbzcn.com.pem; 
    ssl_certificate_key  /etc/nginx/cert/test.ysbzcn.com.key;

  #证书配置
    ssl_protocols TLSv1.1 TLSv1.2 TLSv1.3;  #安全链接可选的加密协议
    ssl_ciphers TLS13-AES-256-GCM-SHA384:TLS13-CHACHA20-POLY1305-SHA256:TLS13-AES-128-GCM-SHA256:TLS13-AES-128-CCM-8-SHA256:TLS13-AES-128-CCM-SHA256:EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;  #加密算法
    ssl_prefer_server_ciphers on;  #表示优先使用服务端加密套件。默认开启
    ssl_session_timeout 10m;  #缓存有效期

    ssl_session_cache builtin:1000 shared:SSL:10m;
    ssl_buffer_size 1400;
    add_header Strict-Transport-Security max-age=15768000;
    ssl_stapling on;
    ssl_stapling_verify on;
    client_max_body_size 1024m;

  #Nginx 默认的 client_max_body_size 配置大小为 1m,可能会导致你在 Halo 后台上传文件被 Nginx 限制,
  #所以此示例配置文件加上了 client_max_body_size 1024m; 这行配置。当然,1024m 可根据你的需要自行修改

  #日志
    access_log   /var/log/nginx/nginx.test.access.log;
    error_log    /var/log/nginx/nginx.test.error.log;

  #反代设置开始#
    location / {
    proxy_pass http://halo;
    proxy_set_header HOST $host;
    proxy_set_header X-Forwarded-Proto $scheme;
    proxy_set_header X-Real-IP $remote_addr;
    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
  }
  #反代设置结束#

  #如果不按照此操作,请求一些图片或者样式文件不会经过 Halo,所以请不要忽略此配置。
    location ~ .*\.(gif|jpg|jpeg|png|bmp|swf)$
    {
        proxy_pass http://halo;
        expires      30d;
        error_log /dev/null;
        access_log off;
    }
    
    location ~ .*\.(js|css)?$
    {
        proxy_pass http://halo;
        expires      12h;
        error_log /dev/null;
        access_log off; 
    }
  #如果不按照此操作,请求一些图片或者样式文件不会经过 Halo,所以请不要忽略此配置。

  #禁止访问的文件或目录
    location ~ /(\.user\.ini|\.ht|\.git|\.svn|\.project|LICENSE|README\.md) {
      deny all;
    }
  #禁止访问的文件或目录

}

5.2.2、 验证并重载 nginx 配置

1
nginx -t
1
nginx -s reload

这时我们就可以使用域名 https://test.ysbzcn.com/console 初始化 Halo 博客了。

5.3、更新容器组

5.3.1、停止运行中的容器组

1
cd ~/halo && docker compose down

5.3.2、备份数据(重要)

1
cp -r ~/halo ~/halo.archive

需要注意的是,halo.archive 文件名不一定要根据此文档命名,这里仅仅是个示例。

5.3.3、更新 Halo 服务

  • 修改 docker-compose.yaml 中配置的镜像版本
1
2
3
4
services:
  halo:
    image: halohub/halo:2.9
    container_name: halo
1
docker compose pull halo
1
docker compose up -d

5.4、现存问题

目前实际测试来看,使用现有数据库还是有问题,如下信息所示,使用现有数据库,创建完成之后,只有一张表,所有数据都填充在这张表内。

1
2
3
4
5
6
7
MariaDB [halodb]> show tables;
+------------------+
| Tables_in_halodb |
+------------------+
| extensions       |
+------------------+
1 row in set (0.000 sec)
1
MariaDB [halodb]> SELECT * FROM extensions;

所有数据都挤在这张表内,看着强迫症发作很难受,目前不适宜升级 halo2.x 版本。